IP溯源技术研究(3)

    由于数据包在途中经分段处理的情况是很少出现的(不超过0.25%)，因此IP头中的识别号域(Identification field)便很少使用。于是Savage等人建议将路径信息嵌入到16bits的识别号域中，路由器的IP地址及另外的32bits校验码共64bits被分成8块，每块8bits，以0到7对其编号(称为偏移)。为了顺利进行路径的重构，还需要一个距离域表示路由器到受害者之间的距离，由于路径极少有超过25路的，因此用5bits的空间就够了。当一个路由器标记一个数据包时，其随机的从8个分块中选取一块(8bits)，连同对应的偏移(3bits)，以及距离(5bits)填入该数据包的标记域(即识别号域)中。当路由器选择不标记一个数据包时，它先检查距离域的值是否为0，如果是，则把自己的与标记域中偏移量对应的分块与包中已有的分块异或后再填入原有的位置，然后把距离增1；如果距离不是0，则它只需把距离增1。这样一来，数据包中的标记信息实际上是两个相邻路由器之间的连接信息，这个方案中，至少需要8个数据包才能传送一个路由器的完整信息。
    其它的标记方案与上面的原理类似。有的标记方法8个分块不再是IP地址和检验码，而是IP地址的8个不同的hash值(共有8个不同的hash函数)。
    以上的标记方案，所有的路由器在决定是否标记一个数据包所采用的概率P是固定的、统一的，一般选0.04。一个路由器标记一个包之后，该数据包可能被后续的路由器重新标记，使原有的标记信息被覆盖。因此到达受害者的数据包，其中的标记信息包含离攻击者最近的路由器信息的可能性最小。这使得受害者必须收集较多的包才能获得该路由器的信息。因此有的研究者提出了自适应包标记的方案。利用包标记方案中的距离域，路由器根据此域的值决定标记的概率，以期收集最少的包就可以重构攻击的路径。
    在实验室条件下，该方法获得了不错的效果。在实际应用中，需要路由器厂商和因特网服务提供商的支持。该方法在重构攻击路径时，需要网络拓扑的信息。
7  结束语
    通过以上的比较可以看出，ICMP溯源法和标记报文法对网络负担、管理负担和路由器负载的影响比较小，可以进行分布式追踪和攻击结束后追踪，从整体性能上优于其它的追踪方法。目前的溯源技术还只是限于小范围的实验性信息溯源，全网大范围的溯源技术研究尚处于起步阶段。用户很容易伪造自己的IP地址、大量动态IP地址和私有IP地址的使用、设备很少能长时间保存日志等不利因素，使得溯源时查找特定时间的特定地址租用者比较困难。
    IP溯源技术是当前和未来一段时间的网络研究的热点和难点问题，信息产业部、科技部、国家发改委共同制定的《我们信息产业拥有自主知识产权的关键技术和重要产品目录》中，把网络溯源和分析技术作为未来十五年实现信息产业自主创新和跨越式发展的重要技术来研究。研究简单有效的IP溯源技术，对杜绝DoS攻击，维护网络环境的安全稳定，将产生重要意义。
参考文献
[1]Tanenbaum A S. Computer Networks 4th Edition[M]. Pearson Education Inc.，2003
[2]Stefan Savage，David Wetherall，Member IEEE，Anna Karlin，and Tom Anderson.Network Support for IP Traceback[J]. IEEE/ACM TRANSACTIONS ON NETWORKING  VOL.9，NO.3，JUNE 2001
[3]Stefan Savage，David Wetherall，Anna Karlin and Tom Anderson. Practical Network Support for IP Traceback[J]. Proceedings of the 2000 ACM SIGCOMM Conference[C]，Stockholm，Sweden，August 2000. pp295-306
[4]张静，龚俭.网络入侵追踪研究综述[J].计算机科学.2003年10期
[5]李德全，徐一丁等.IP追踪中的自适应包标记[J].电子学报.2004年32卷8期
[6]刘振绪.有效的动态几率封包标记[R].逢甲大学硕士学位论文.2002年5月