مقاله ردگیری IP مبتنی بر نشانه گذاری جریان در سطح AS

بخشی از مقاله

چکیده

امروزه یکی از مسائل چالش برانگیز در دنیای امنیت شبکه، مقابله با حملات منع سرویس توزیع شده است، این نوع از حملات با ارسال حجم زیادی از ترافیک به سمت یک میزبان یا سرویسدهنده، دسترسیپذیری آن را محدود و یا سرویسدهی به دیگر کاربران شبکه را مختل میکند. مهمترین چالش موجود برای مقابله با این نوع از حملات، پیدا کردن مبدا سیل ترافیکی بستهها میباشد که بدین منظور روشهای ردگیری IP ارائه شدهاند.

روش ردگیری IP ارائه شده از سازوکار توزیع امضای مسیر برای شناسایی ترافیکهای جعل شده استفاده میکند. در این روش، سیستمهای خودمختار همسایههای مشابه خود را که از روش پیشنهادی پشتیبانی میکنند را، شناسایی و اطلاعات مسیریابی، احراز هویت و همچنین امضای مسیر بین یکدیگر را به اشتراک میگذارند. برای انتقال دادههای ردگیری از سازوکار نشانهگذاری در سطح جریان استفاده شده است. در مقایسه با روشهای موجود نتایج نشان میدهد که، روش ارائه شده دارای کمترین نرخ نشانهگذاری، سربار پردازشی در گرههای میانی و سربار محاسباتی در گره مقصد است، همچنین بالاترین میزان دقت در ردگیری مبدا حملات را داراست.

-1 مقدمه

امروزه با گسترش روزافزون شبکههای کامپیوتری و زیرساختهای ارائه دهنده آنها و همچنین تولید میلیونها برنامهی کاربردی، حملات منع سرویس توزیع شده - DDoS - 1 یکی از اصلیترین و چالش برانگیزترین تهدیدات شبکههای کامپیوتری محسوب میشود. با توجه به افزایش تعداد و حجم این حملات در سالهای آینده، مقابله با این نوع از حملات یک چالش اساسی برای محققان میباشد زیرا: .1 مسیریابی بستههای پروتکل اینترنت 2 - IP - مبتنی بر آدرس مقصد میباشد و .2 بستههای IP احراز هویت نمیشوند و مهاجم قادر است آدرس مبدا بستهها3 را جعل4 و از ردگیری آن جلوگیری کند. در نتیجه روشهای ردگیری IP ،5 راهحلی برای شناسایی و ردگیری مبدا بستهها و مسیر پیموده شده توسط آن ارائه میدهند.

روش ردگیری ارائه شده از تکنیک نشانهگذاری برای انتقال دادههای ردگیری استفاده میکند. ایده اصلی این روش، تزریق دادههای ردگیری به چند فیلد6 از سرآیند بستههای IP و انتقال آنها به همراه بستههای IP به گره مقصد است. در نتیجه در گره مقصد با دریافت دادههای ردگیری و پردازش آنها میتوان گراف شبکهی7 پیموده شده - در مقاله از آن به عنوان امضای مسیر8 یاد میشود - را صرف نظر از اینکه بستهها جعل شدهاند، بازسازی کرد.

بدیهی است نشانهگذاری در سطح بسته9 برای تمام ترافیکهای جریان، موجب ایجاد سربار در گرههای میانی میشود، لذا نشانهگذاری در روش پیشنهادی در سطح جریان10ارائه شده است که در عمل سربار پردازشی گرههای میانی و گره مقصد که دادههای ردگیری در آن جمعآوری و پردازش میشود را به صورت قابل توجهی کاهش میدهد. همچنین روش پیشنهادی در سطح سیستم خودمختار - AS - 11 ارائه شده است، به اینصورت که تنها مسیریابهای مرزی سیستمهای خودمختار - ASBR - 12 جریانهای عبوری را نشانهگذاری میکنند و از آنجایی که نشانهگذاری در سطح جریان است، تعداد محدودی بسته به نمایندگی از تمام بستههای جریان نشانهگذاری میشوند، در نتیجه روش ارائه شده دارای کمترین نرخ نشانهگذاری نیز میباشد.

سهم علمی مقاله، در ادامه بیان میشود:

1.    توپولوژی شبکهی تحت پوشش که امری بسیار با اهمیت است، آشکار نمیشود، در حالی که روشهای سطح مسیریاب، توپولوژی شبکهی تحت پوشش را فاش میکنند، به اینصورت که اگر مسیریابهای موجود در AS، در روند نشانهگذاری حضور داشته باشند، آنگاه با مشاهده نشانهها، معماری شبکه به راحتی قابل تشخیص خواهد بود و به همین دلیل مدیران شبکه از این روشها استقبال نمیکنند.

2.    تعداد دفعات نشانهگذاری به مراتب کاهش پیدا میکند، به اینصورت که تعداد بستههای کمتری برای نشانهگذاری نیاز داریم و در عین حال فضای بیشتری در سرآیند بستهها در اختیار خواهیم داشت.

3.    از آنجایی که روش ارائه شده در سطح جریان است، نرخ نشانهگذاری باز هم کاهش پیدا خواهد کرد، ولی نرخ ردگیری افزایش خواهد داشت.

4.    مسیرهای شناسایی شده در سطح AS بسیار پایدارتر نسبت به مسیرهای شناسایی شده در سطح مسیریاب هستند.

5.    تعداد AS ها به مراتب کمتر از تعداد مسیریابها میباشد. در فوریه 2018، تعداد AS ها 60178 عدد شمارش شده است [27] که در مقایسه با میلیونها مسیریاب تعداد کمی میباشد. همانطور که در [26] بیان شده است، 99 درصد از بستهها برای رسیدن به مقصدشان کمتر از هشت AS و بیشتر از 30 مسیریاب را پشت سر میگذارند. بنابراین ردگیری در سطح AS نسبت به مسیریاب، عملیاتیتر میباشد. به علاوه اینکه، مسیریابی بین AS ها با پروتکل مسیریابی BGP انجام میشود و تعداد AS های بین مبدا تا مقصد قابل شناسایی است. دانستن تعداد AS ها باعث بهبود نشانهگذاری و کاهش تعداد بستههای مورد نیاز، برای بازسازی مسیر میشود.

-2 پیشینهی تحقیق

2؛-1 ردگیری IP مبتنی بر شبکه

ایده اصلی این روش، بررسی ارتباطات شبکهای بین مسیریابها13 تا ردگیری مبدا حمله است. در این روش الگوی خاصی از حمله، توسط مدیر شبکه، مشخص و با آن به ردگیری حمله میپردازد. بعد از تشخیص حمله، با استفاده از اتصالات جریان بالا14گره به گره به مبدا حمله نزدیکتر شده تا مبدا اصلی حمله شناسایی شود. روشهای ردگیری با توجه به ساختار شبکهای که در آن ردگیری صورت میپذیرد ارائه میشوند. این روشها دارای ایرادات فراوانی هستند و باید به صورت دستی کنترل شوند. در ابن بخش میتوان به Input [2] Debugging و [3] Control Flooding اشاره کرد.

2؛-2 ردگیری IP مبتنی بر نشانهگذاری

ایده اصلی این روش تزریق دادههای ردگیری درون چند فیلد از سرآیند بستههای IP است و هدف آن بازسازی مسیر حمله و شناسایی گره حمله یا نزدیکترین گره به آن است. به طور کلی به دو دستهی نشانهگذاری احتمالی15و نشانهگذاری قطعی16تقسیم میشود. Savage و همکارانش [4] اولین بار روش نشانهگذاری احتمالی بسته - PPM - 17 را معرفی کردند. در این روش، هر مسیریاب در طول مسیر حرکت بسته، با احتمال P بخشی از اطلاعات مربوط به شبکه را درون سرآیند بسته قرار میدهد.

این اطلاعات نشانهگذاری شده میتواند شامل آدرس IP مسیریاب فرستنده، آدرس IP مسیریاب بعدی و یا تعداد پرشهای طی شده باشد. [6] iTrace با عبور هر 20,000 بسته، یک بستهی جدید ICMP تولید کرده و به مقصد بستههای عبوری ارسال میکند. پیامهای ICMP تولید شده، شامل دادههای ردگیری، مهرزمانی18 و دادههای احراز هویت بین مبدا و مقصد هستند. قربانی با توجه به دادههای موجود در پیامهای ICMP دریافت شده، مسیر حمله را بازسازی میکند.

Blenky و همکارانش روش نشانهگذاری قطعی بسته[7] DPM19 را ارائه دادند. در این روش، تنها مسیریابهای مرزی ورودی شبکه، در مقایسه با تمام مسیریابها در روش PPM، بستهها را نشانهگذاری میکنند. اطلاعات نشانهگذاری شامل بخشی از دادههای شناسایی رابط20 ورودی است. شبکهی جدیدی وارد شود، توسط مسیریاب مرزی ورودی آن شبکه، نشانهگذاری میشود. در نهایت گره قربانی قادر خواهد بود آدرس مسیریابهای مرزی شبکههایی که بسته از آن عبور کرده است را شناسایی کند.

2؛-3 ردگیری IP مبتنی بر ثبت

در مقابل روشهای نشانهگذاری بسته، روشهای مبتنی بر ثبت، فضایی را در گرههای میانی مسیر برای ثبت دادههای نشانهگذاری به خود اختصاص میدهند. در این روش، نشانهای از همه یا بخش زیادی از بستههای عبوری در هر گره ثبت و از این دادهها برای ردگیری استفاده میشود. اصلیترین ضعف این روشها، نیاز به فضای ذخیرهسازی زیاد، پردازش سنگین آن و نیاز به سختافزارهای خاص است. Snoeren و همکارانش [8] روش SPIE را ارائه دادند.

ایده اصلی این روش ذخیره کردن نشانهای از بستههای عبوری در ساختار دادهای به نام فیلتر بلوم21در مسیریابهای طول مسیر است. در این روش نیاز به فضای ذخیرهسازی زیاد در مسیریابهای عبوری داریم و همچنین این نوع ذخیرهسازی مثبت کاذب بالایی22 دارد. از معایب این روش میتوان به این مورد اشاره کرد که اگر تعداد AS های کمی از روش پیشنهادی پشتیبانی کنند، نرخ ردگیری در این روش به شدت کاهش پیدا خواهد کرد و دادههای ردگیری زیادی تولید میکند که نیاز به فضای ذخیرهسازی زیادی دارد.

2؛-4 ردگیری IP ترکیبی

ایده روشهای ترکیبی، به کارگیری دو یا چند روش ردگیری ذکر شده است، از بارزترین نمونههای روشهای ترکیبی، میتوان به ترکیب روشهای نشانهگذاری و ثبت بسته اشاره کرد که از مزایای هر دو روش استفاده شده است. اصلیترین روشهای ترکیبی ارائه شده عبارتند از: ردگیری لیست اتصالات توزیع شده[10] - DLLT - 23 و نشانهگذاری حلقهای احتمالی بستهها.[11] - PPPM - 24 در روش اول؛ اطلاعات نشانهگذاری شده، در مسیریابهای هسته25نگهداری میشوند. روش دوم به بررسی بستههایی با مقاصد یکسان، به منظور دستیابی به آدرس IP مسیریابهای درگیر در روند نشانهگذاری بستهها میپردازد، این سازوکار نیاز به فضای زیادی برای ذخیرهسازی در مسیریابهای هسته ندارد.

مهاجم در این روش میتواند رشته نشانهگذاری در سرآیند بستهها را جعل کند اما با بررسی مقدار موجود در رشته TTL26 میتوان به این مهم پیبرد. در مقایسه این روش با روش ثبت بستهها، سربار پردازشی و محاسباتی و فضای ذخیرهسازی کاهش پیدا میکند. روش [12] RIHT شمارهی رابط مسیریاب را نشانهگذاری میکند و در صورتی که فضای اختصاص داده شده به آن در سرآیند بسته فضای کافی را نداشته باشد، آن را در جدول مسیریاب، ثبت میکند.

2؛-5 ردگیری IP در سطح AS

در این بخش به روشهای ردگیری که در سطح AS ارائه شدهاند، میپردازیم. در [13] نویسنده روش ردگیری را برای شناسایی AS مهاجم ارائه کرده است. در این روش با احتمال نشانهگذاری P=1/6 شماره سیستم خودمختار - ASN - 27 نشانهگذاری میشود. این روش در زمانی که شماره AS 16 بیت بوده است ارائه شده است. Gong و همکارانش در [14] روش AS-SPT که قابلیت اجرا در حالتی که بخشی از شبکه تحت پوشش از روش پیشنهادی پشتیبانی نمیکنند را دارد، ارائه داد و از روش ردگیری ترکیبی برای ردگیری AS مهاجم استفاده میکند.

AS قربانی با دریافت ترافیک حمله از همسایههایش درخواست بررسی دادههای ثبت شده را دارد، در صورت بازخورد جواب مثبت از یکی از همسایهها این درخواست تکرار شده تا AS مهاجم شناسایی شود. از مهمترین معایب این روش میتوان به این مورد اشاره کرد که به دلیل ارائه شدن این روش در سطح بسته، مقدار زیادی دادهی ردگیری تولید کرده که نیاز به فضای زیاد ثبت در گرههای میانی برای دارد. Durresi و همکارانش روش [15] FAST را ارائه کردند که تنها قابلیت ردگیری پنج AS را دارد و در صورت وجود بیش از این تعداد AS در طول مسیر، حمله قابل شناسایی نمیباشد.

-3 مفاهیم پایه

روش پیشنهادی در سطح جریان ارائه شده است، به این صورت که به ازای تمام بستههای جریان که در پنج مشخصهی آدرس مبدا و مقصد، شماره درگاه مبدا و مقصد و نوع پروتکل لایه 4، یکسان هستند، تعداد محدودی از آن بستهها به نمایندگی از تمام بستههای جریان نشانهگذاری میشود. در ادامه این بخش، در مورد سیستمهای خودمختار AS، نقش پروتکل BGP در روش پیشنهادی و سرآیند بستههای IP صحبت خواهیم کرد.

3؛-1 سیستم خودمختار - - AS

سیستمهای خودمختار مجموعهای از زیرشبکههای متصل به هم هستند که تحت کنترل یک یا چندین عملگر شبکه با یک مدیریت واحد قرار دارند. یک AS سیاستهای مسیریابیکاملاً تعریف شدهای نسبت به اینترنت دارد، به عبارت دیگر AS میتواند دادههایی که مبدا و مقصد آن شبکه خودش باشد را به صورت داخلی جابجا کند و ارتباطات با دیگر شبکهها را بر اساس پروتکل BGP تنظیم کند. در سال 2010، ASN توسط [16] از 16 بیتی به 32 بیتی تغییر پیدا کرد.

3؛-2 نقش پروتکل BGP در روش پیشنهادی

پروتکل شاهراه مرزی - BGP - 28، پروتکل مسیریابی استانداردی است که برای انتقال اطلاعات درون AS و بین AS با استفاده از تبادل پیامهای بهروز رسانی بین آنها استفاده میشود. پیام بهروز رسانی میتواند شامل چندین ویژگی مسیر29 باشد. ویژگی مسیر [17] extended community که اختیاری30و تعدی31میباشد، برای انتقال اطلاعات اضافی بین دو همسایه راه دور میتواند مورد استفاده قرار گیرد و در نتیجه میتواند یک گروه منطقی بین AS های دارای وجه اشتراک ایجاد کند.

ما از ویژگی مسیر تعدی extended community، به منظور شناسایی AS هایی که از روش پیشنهادی در شبکه گسترش جزئی32 پشتیبانی میکنند، استفاده میکنیم. این ویژگی به عنوان بخشی از پیام بهروز رسانی خروجی است که، توسط AS های پشتیبانی کننده از روش پیشنهادی ارسال میشود. AS هایی که از روش پیشنهادی پشتیبانی نمیکنند، هیچ مشکلی در انتقال پیامهای بهروز رسانی به وجود نخواهند آورد زیرا extended community ویژگیای تعدی در پروتکل BGP است و بدون هیچ تغییری آن را ارسال خواهند کرد.

3؛-3 فضای ذخیرهسازی در سرآیند بستههای IP

همانطور که اشاره شد در روشهای نشانهگذاری دادههای ردگیری در چند فیلد سرآیند بستههای IP تزریق میشوند. در برخی روشها از فیلد اختیارات33 بسته IP برای این منظور استفاده شده است که علاوه بر سربار زیاد باعث دور انداخته شدن34 بسته میشود. محققان برای حل این موضوع در [18]، [4,5,6,7] از 16 بیت، فیلد شناسایی35 و 13 بیت، fragment offset استفاده کردهاند. ما نیز در روش پیشنهادی از این دو فیلد برای نگهداری دادههای ردگیری در سرآیند بسته، استفاده کردهایم Savage و همکارانش در [4] بررسی کردهاند که تنها%0,25 از بستهها تکهتکه شدهاند و بیان میکند که با صرف نظر کردن از این بستهها تنها %0,06 از ترافیکهای قانونی تحت تاثیر قرار میگیرد که مقدار زیادی نیست.