洋葱路由技术与拒绝服务式攻击的对比分析

洋葱路由技术与拒绝服务式攻击的对比分析

1前的匿名技术网络上的隐私技术是信息安全研究的重要课题。目前，存在以下两个问题。其中之一是用户的隐私度不足，例如在开放系统中。洋葱路由技术(onionrouting)是信息隐藏领域一种新的匿名连接技术2基础2.1密钥代码的定义洋葱路由技术是由美国海军计算机系统安全研究实验室David等人提出的一套路由策略图1中第一个比特值必须是0,表示后继信息采用公钥密码体制,如RSA;版本由7bit组成,是洋葱系统的版本号;BF标志为4bit,表示反向密钥代码(在匿名连接中从发起者到响应者的方向定义为正向,反之为反向),FF标志为4bit,表示正向密钥代码。目前定义的密钥代码是:0表示不加密,1表示采用DESOFB方式(outputfeedbackmode,56bit),2表示RC4方式(128bit);目标端口和目的IP地址表示洋葱路由网络中下一站的地址信息,两者全0表示当前OR是最后一个节点,32bit的GMT用来表示洋葱包的生存期,以UTC(coordinateduniversaltime)的格式表示,目的是防止重放攻击。2.2采用网络劳动技术标记体制方案是由StefanSavage等人在IP头基础上提出的一种IP包追踪方案然而洋葱包的网络层没有16bit的标志字段,洋葱路由技术作为一种新的路由体制,它必须和Internet进行集成,目前的发展趋势是网络主干上的路由技术将由多协议标记交换(MPLS)技术代替,同时考虑到IPV6的出现,二者对包的传输仍是用生存期(TTL,8bit)来控制。因此本文对洋葱包的GMT字段进行改造,把GMT的32bit划分为8bit的TTL和24bit的标记码,在24bit的空间上进行变换,实现对洋葱路由技术中DDoS的追踪,详细过程见下文3.3节。3洋葱包的高级包装方案3.1提取解决方案2为了方便说明,我们先定义一个树形有向无环图(DAG)的追踪模型,见图2,其中树根V表示从A为了方便分析,下面我们再定义3个名词:定义1路由器错选是指在构造的DDoS攻击路径图上出现OR节点R定义2路由器漏报是指攻击路径上有OR节点R定义3追踪的鲁棒性是指追踪算法具有非常低的OR错选率和漏报率。3.2ddos攻击的模型由于路由技术涉及多种可能存在的情况,为了集中说明本文的设计思想,我们作以下几个方面的假设:(1)攻击者可以产生任何包;(2)多个攻击者可以进行联合;(3)攻击者意识到他们有可能被追踪;(4)攻击包有可能丢失;(5)攻击者可以发送大量的攻击包;(6)攻击者和受害者之间的路由器相对固定;(7)OR受CPU和内存的限制;(8)OR不可能大量被控制;假设的(1)～(4)是对目前攻击者能力的一种保守估计,在Internet环境下所获得的信息是不可信的,要设计一套追踪系统是非常难的,尤其是攻击者有能力建立一些特殊包来阻止潜在的各种追踪方案。然而我们从图2中可以看出,攻击者从A假设的(5)～(8)需要重点说明,首先是实现DDoS的可能性,拒绝服务型攻击是指占据了大量的系统资源,没有剩余的资源给其他用户,系统不能为其他用户提供正常的服务。拒绝服务攻击降低资源的可用性,这些资源可以是处理器、磁盘空间、CPU的时间、打印机、调制解调器,甚至是系统管理员的时间;攻击的结果是网络性能降低或失去向合法用户提供服务的能力。这种类型的攻击由于它实现的原理非常简单,主要是采用欺骗源IP地址和源路由技术,此攻击难以防止,更难追踪和定位攻击源。根据计算机紧急响应组(CERT)的报告,DoS型的攻击次数是以每年50%的速度递增3.3主要的网络传输为了对洋葱标记体制算法思想有个整体了解,我们先对洋葱包GMT字段进行分析,由于GMT字段采用时间戳的办法,标准用UTC形式,单位以秒计,时间是从1970年1月1日的零点开绐,理论上可以表示100年以内的任何时间,以防止重放攻击。但它只记录时间戳而没有标明与OR之间的对应关系,将无法控制路由器时间戳的一致性;另一个原因是目前网络主干为了提高性能,适应多媒体信息的要求,主干上将引进新的交换技术图3中加灰色部分是由两部分组成,其中TTL为传输生存期,用8bit,剩下24bit为标记码,它由5bit的距离矢量和19bit的边采样信息组成。由于TTL和标记码在每个OR上要进行修改,所以可以在洋葱包封装时,取掉包头中的灰色部分,作为一个共享字段随洋葱包头一起传输。这样不仅降低了加解密的时间,同时还降低了存储空间,包头部分节约空间达14.3%。标记码实现的机制是把32bit的路由器IP地址映射成19bit的编码,见图4。由于网络中路由器的拓扑结构图一般可以通过基于路由探测的工具软件(如traceroute等)获得3.4包的随机性分析洋葱标记算法是在OR上进行,每个OR节点收到一个洋葱包P时,用私钥解密洋葱包,剥离最外层的信息,保留TTL和标记字段,将TTL字段的值减1,对标记字然段进行修改时根据随机数µ∈[0,1)和概率门限q来决定对包作何种处理,若µ≤q则重新进行采样,反之则对包的P.distance字段增值。利用概率的随机性,可以有效地阻止攻击者伪造标记,因为伪造的标记有可能在后继路由器上重新采样而更新,或是数据包的P.distance字段值非常大,则在中间的路由器上就被丢弃了。其中h(R受害者在构造攻击路径时,必须有一个以受害者为根的上游路由器有向图,如图2;此图不一定要求非常精确和最新,对受害者的上游DAG图用G受害者V根据采样边信息构造如图2的攻击路径时,设在路由器上重新改写标记的概率是q,则V获得距离为d的边采样概率是q(1-q)4建立认证机制洋葱标记体制的唯一不足是标记没有进行认证,这样中间被控制的OR可以伪造或修改上游OR所做的标记,以阻止受害者V进行分析和重构攻击路径。为了解决这个问题,就需要有一个认证机制。一个直观的方法是OR对标记进行数字签名,然而基于公钥的数字签名有两个问题,首先是签名非常费时(如PII500MHz的机器对1024bit的RSA每秒钟只能签100个左右),其次是空间开销大(1024bit的RSA签名需128字节)。因此我们建议使用MAC对标记部分进行密钥认证,如HMAC-MD5效率是1024bitRSA认证的10受害者V进行重构攻击路径时,目前的算法(如linktesting5可控制的匿名访问机制本文给出的高级标记体制方案是受害者在遭遇攻击时采用的,正常情况下由于包的源地址隐蔽,数量少而无法恢复出沿途的路由器地址,所以保证了OR网络的隐匿功能,但在攻击时,洋葱包的数量是成千上万,可以很快地恢复出攻击路径,进而可以查出攻击者的信息(与源地址ISP配合)。本机制有很低的网络和路由器开销,效率高,同时还节约了存储空间,容易扩展,在IPv4和I