移動(dòng)ＩＰｖ６中的攻擊源追蹤問題研究

摘要：著重于移動(dòng)IPv6架構(gòu)下的攻擊源追蹤問題研究，給出了IPv6中新的包標(biāo)記算法和包采樣算法，并針對(duì)移動(dòng)環(huán)境中不同的攻擊模式提出了有針對(duì)性的攻擊源追蹤策略。該方法的結(jié)合使用可以有效降低移動(dòng)IPv6中的攻擊源追蹤難度。

關(guān)鍵詞：網(wǎng)絡(luò)安全； 移動(dòng)IPv6； 攻擊源追蹤

中圖分類號(hào)：TP393．08文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1001－3695(2008)03－0903－03

隨著因特網(wǎng)在全球的日益普及，網(wǎng)絡(luò)用戶往往要面臨各種攻擊。雖然其目的各不相同，但幾乎所有的熟練攻擊者都會(huì)使用偽造的源地址來避免被定位。因此如何準(zhǔn)確追蹤到攻擊源成為網(wǎng)絡(luò)安全技術(shù)研究的難點(diǎn)和熱點(diǎn)。目前的技術(shù)主要可分為兩類，即基于包和基于路徑。前者以包取樣法[1]為代表；后者以包標(biāo)記法[2~4]為代表。

早期追蹤技術(shù)的研究基本上是基于IPv4的。而隨著IPv4局限性的逐步體現(xiàn)，IPv6正以其巨

大的優(yōu)越性越來越得到人們的關(guān)注，其取代IPv4只是時(shí)間的問題。移動(dòng)節(jié)點(diǎn)的無縫連接問題導(dǎo)致了移動(dòng)IP的出現(xiàn)，從移動(dòng)IPv4到移動(dòng)IPv6，各種標(biāo)準(zhǔn)逐漸成熟，IP協(xié)議在移動(dòng)環(huán)境下的應(yīng)用正逐步擴(kuò)大。鑒于移動(dòng)IP協(xié)議與固定的有諸多不同之處，有必要對(duì)移動(dòng)IPv6下的攻擊源追蹤問題進(jìn)行深入研究。

1移動(dòng)IPv6及相關(guān)安全問題

1．1移動(dòng)IPv6

TCP/IP網(wǎng)絡(luò)的路由框架使用IP地址來表示網(wǎng)絡(luò)中某個(gè)設(shè)備接口的拓?fù)湮恢?，基于網(wǎng)絡(luò)的上層應(yīng)用根據(jù)一對(duì)IP地址來標(biāo)志一個(gè)鏈接。在移動(dòng)網(wǎng)絡(luò)環(huán)境中，主機(jī)或其他移動(dòng)設(shè)備必須要能夠自由改變地理或拓?fù)湮恢?，這將導(dǎo)致IP地址的改變，從而影響上層應(yīng)用。為了解決移動(dòng)網(wǎng)絡(luò)中的通信問題，IETF定義了移動(dòng)IPv6，使得IPv6節(jié)點(diǎn)可以移動(dòng)，并且在移動(dòng)過程中仍然保持現(xiàn)有的連接。目前移動(dòng)IPv6的正式標(biāo)準(zhǔn)是RFC 3775[5]。

每一個(gè)移動(dòng)節(jié)點(diǎn)（mobile node，MN）會(huì)被賦予一個(gè)家鄉(xiāng)地址（home address， HoA）。家鄉(xiāng)網(wǎng)絡(luò)中的一個(gè)特殊節(jié)點(diǎn)將作為移動(dòng)節(jié)點(diǎn)漫游到外地時(shí)的通信代理，稱為家鄉(xiāng)代理（home agent， HA）。當(dāng)移動(dòng)節(jié)點(diǎn)進(jìn)入外地網(wǎng)絡(luò)時(shí)，它將會(huì)獲得一個(gè)轉(zhuǎn)交地址（careof address， CoA），移動(dòng)節(jié)點(diǎn)使用轉(zhuǎn)交地址在家鄉(xiāng)代理處注冊(cè)，以便通知它現(xiàn)在的位置。當(dāng)對(duì)端節(jié)點(diǎn)（correspondent node， CN）第一次與漫游中的移動(dòng)節(jié)點(diǎn)通信時(shí)，它將發(fā)送數(shù)據(jù)包到家鄉(xiāng)地址，此時(shí)家鄉(xiāng)代理截獲數(shù)據(jù)包，并通過隧道轉(zhuǎn)發(fā)給移動(dòng)節(jié)點(diǎn)。移動(dòng)節(jié)點(diǎn)接收到數(shù)據(jù)包后，可以發(fā)送HoACoA地址綁定更新消息給對(duì)端節(jié)點(diǎn)。更新成功后，來自對(duì)端節(jié)點(diǎn)的報(bào)文將直接發(fā)送到移動(dòng)節(jié)點(diǎn)的轉(zhuǎn)交地址，無須再經(jīng)過家鄉(xiāng)網(wǎng)絡(luò)。圖1表示了移動(dòng)IPv6的通信過程。

HA:家鄉(xiāng)代理MN:移動(dòng)節(jié)點(diǎn)CN:對(duì)端節(jié)點(diǎn)

Src:源地址Des:目的地址HoA:家鄉(xiāng)地址CoA:轉(zhuǎn)交地址

當(dāng)移動(dòng)節(jié)點(diǎn)向?qū)Χ斯?jié)點(diǎn)發(fā)送數(shù)據(jù)包時(shí)，它使用轉(zhuǎn)交地址作為IPv6報(bào)頭的源地址，并且在目的地選項(xiàng)擴(kuò)展報(bào)頭（destination options header）中包括家鄉(xiāng)地址選項(xiàng)；對(duì)端節(jié)點(diǎn)收到此類數(shù)據(jù)包后，交換源地址與擴(kuò)展報(bào)頭中的家鄉(xiāng)地址，該家鄉(xiāng)地址將被提供給上層應(yīng)用。對(duì)于反向數(shù)據(jù)通信，對(duì)端節(jié)點(diǎn)將移動(dòng)節(jié)點(diǎn)的轉(zhuǎn)交地址作為包的目的地址；同時(shí)在第二類路由擴(kuò)展報(bào)頭（type 2 routing header）中攜帶了移動(dòng)節(jié)點(diǎn)的家鄉(xiāng)地址，所有轉(zhuǎn)發(fā)路徑上的IPv6節(jié)點(diǎn)必須檢查其中包含的地址是否是自己的家鄉(xiāng)地址。如果是則接收數(shù)據(jù)包；否則轉(zhuǎn)發(fā)。

1．2移動(dòng)IPv6中的安全問題

任何移動(dòng)解決方案都必須有保護(hù)，以防止攻擊者對(duì)移動(dòng)特性和機(jī)制的惡意利用。在移動(dòng)IPv6中，絕大多數(shù)潛在威脅都與失敗綁定相關(guān)，它通常會(huì)導(dǎo)致拒絕服務(wù)攻擊。同時(shí)，這些威脅也可能會(huì)導(dǎo)致中間人攻擊（maninthemiddle attack）、劫取攻擊（hijacking attack）、機(jī)密性攻擊（confidentiality attack）和偽裝攻擊（impersonation attack）。對(duì)于移動(dòng)IPv6來說，應(yīng)主要預(yù)防下列威脅：

a）與發(fā)送至家鄉(xiāng)代理和對(duì)端節(jié)點(diǎn)的綁定更新相關(guān)的威脅。例如，一個(gè)攻擊者可能在綁定更新消息中聲稱某一移動(dòng)節(jié)點(diǎn)正在一個(gè)不同的位置，而不是其實(shí)際位置來欺騙家鄉(xiāng)代理或?qū)Χ斯?jié)點(diǎn)，這將使數(shù)據(jù)被重定向，從而產(chǎn)生拒絕服務(wù)、竊聽等諸多安全問題。

b）與負(fù)載數(shù)據(jù)包相關(guān)的威脅。與移動(dòng)節(jié)點(diǎn)交換的負(fù)載數(shù)據(jù)包被認(rèn)為與普通的IPv6流量具有相似的威脅，然而，在移動(dòng)IPv6中引入了家鄉(xiāng)地址目的地選項(xiàng)及新的路由報(bào)頭類型，并且在負(fù)載數(shù)據(jù)包中使用了隧道報(bào)頭，這將會(huì)引起一些新的安全威脅，如利用家鄉(xiāng)地址目的地選項(xiàng)的反射攻擊（reflection attack）。

c）動(dòng)態(tài)家鄉(xiāng)代理和移動(dòng)前綴發(fā)現(xiàn)相關(guān)的威脅。這往往會(huì)使得攻擊者獲得攻擊所需的網(wǎng)絡(luò)參數(shù)。

d）針對(duì)移動(dòng)IPv6本身的威脅，如攻擊者可以引誘參與者執(zhí)行代價(jià)高昂的密碼操作，或?yàn)楸３窒鄳?yīng)狀態(tài)而分配內(nèi)存，從而實(shí)現(xiàn)資源耗盡的拒絕服務(wù)攻擊。

移動(dòng)IPv6采取了許多措施來降低上述安全威脅：使用家鄉(xiāng)代理與移動(dòng)節(jié)點(diǎn)之間的安全聯(lián)盟（security association）來防止來自它們之間的攻擊；利用返回路由可達(dá)過程(return routability procedure)來測(cè)試移動(dòng)節(jié)點(diǎn)地址的真實(shí)性；制定一定規(guī)則限制自由使用家鄉(xiāng)地址目的地選項(xiàng)（destination options）、路由報(bào)頭（routing header）和隧道報(bào)頭（tunneled packet hea￣der），等等。但是，針對(duì)移動(dòng)IPv6的攻擊將始終是存在的，因此除了被動(dòng)防御之外，主動(dòng)追蹤攻擊源也是很重要的反擊手段。

2移動(dòng)IPv6中的攻擊源追蹤

在移動(dòng)IPv6的環(huán)境下，攻擊可能來自移動(dòng)節(jié)點(diǎn)和固定節(jié)點(diǎn)；同樣，被攻擊者也可能是固定節(jié)點(diǎn)或移動(dòng)節(jié)點(diǎn)。以下分別就不同的情況加以討論。

2．1固定節(jié)點(diǎn)對(duì)固定節(jié)點(diǎn)

這種情況等同于固定IPv6。此時(shí)，攻擊者可能是處于網(wǎng)絡(luò)任意位置的固定節(jié)點(diǎn)，而被攻擊者可能是家鄉(xiāng)代理或非移動(dòng)的對(duì)端節(jié)點(diǎn)。此時(shí)對(duì)攻擊源的追蹤可以采用包采樣法或包標(biāo)記法。

IPv4下的基于包采樣法和包標(biāo)記法的攻擊源追蹤算法在文獻(xiàn)[1~3]中已分別有比較詳細(xì)的闡述，因此此處對(duì)具體算法不再贅述，僅給出在IPv6下必需的改動(dòng)，并對(duì)包采樣法中使用的存儲(chǔ)技術(shù)BloomFilter作進(jìn)一步的討論。

1）包采樣法在路由器處對(duì)轉(zhuǎn)發(fā)的數(shù)據(jù)包計(jì)算摘要并存儲(chǔ)結(jié)果（采樣），在尋找攻擊源時(shí)通過比較摘要來逐跳地回溯到源點(diǎn)，如在路由器R處存有包P的摘要值x，即可確定P經(jīng)過R。采樣法的優(yōu)點(diǎn)是可以對(duì)單個(gè)包進(jìn)行追蹤，缺點(diǎn)是占用路由器的資源較多[1]。

對(duì)包的采樣必須取報(bào)頭中不變的部分作為輸入。一般來說，IPv6報(bào)頭在傳輸過程中不變的部分是版本（4位）、有效載荷長(zhǎng)度（16位）、下一個(gè)報(bào)頭（8位）、源地址（128位）。太低的取樣輸入會(huì)導(dǎo)致高的沖突率，而過高的輸入會(huì)導(dǎo)致計(jì)算成本的增加。綜合考慮，可以使用上述不變化的報(bào)頭域加上凈荷的前84位一共30 Byte的內(nèi)容用做取樣的輸入。

為了降低摘要值的存儲(chǔ)需求，應(yīng)用了BloomFilter[6]技術(shù)來儲(chǔ)存，如圖2所示。

路由器R使用一個(gè)長(zhǎng)度為m的向量v（Bloom filter）來存儲(chǔ)包的取樣值，v初始全為0（圖2中右邊，陰影部分為0）。對(duì)于轉(zhuǎn)發(fā)的數(shù)據(jù)包P，R用k個(gè)相互獨(dú)立的hash函數(shù)分別計(jì)算摘要值H1(P)，H2(P)，…，Hk(P)，并以摘要值為索引置v中相應(yīng)位置為1，如H3(P)＝1001（10進(jìn)制的值9），則置第9位為1（實(shí)際情況中，hash函數(shù)的輸出長(zhǎng)度與m有關(guān)，即|Hi(P)|≤log2 m）。對(duì)于某個(gè)特定的包，若k個(gè)位置均為1，則認(rèn)為該包經(jīng)過R。若共對(duì)n個(gè)包進(jìn)行了采樣，則稱c=m/n為每項(xiàng)存儲(chǔ)率。與簡(jiǎn)單存儲(chǔ)摘要值相比，該策略可以有效降低存儲(chǔ)量。從下面的定理可以看出，BloomFilter的誤報(bào)率是可以控制在一定范圍的。

例如當(dāng)c＝5時(shí)（用長(zhǎng)度為5n的向量存儲(chǔ)n個(gè)包），k的值為5×ln 2≈3.47，此時(shí)Bloomfilter誤報(bào)率將不超過0.090 3，可以取適當(dāng)?shù)膋值在性能與成本間獲得平衡。

2）包標(biāo)記法在路由器處對(duì)轉(zhuǎn)發(fā)的包在其頭部特定位置寫入自身與下一跳所構(gòu)成的路徑上一條邊的信息，被攻擊者可以通過這些邊信息重構(gòu)出整個(gè)攻擊路徑。在IPv4下的標(biāo)記算法中，報(bào)頭中的標(biāo)域（identification）被用來寫入邊信息（重載）。由于IPv6中已經(jīng)取消了報(bào)頭的標(biāo)志域，傳統(tǒng)的重寫標(biāo)志域的標(biāo)記算法[2]在IPv6中不再適用。

IPv6使用基本報(bào)頭中的8位業(yè)務(wù)流類別（traffic class）和20位流標(biāo)簽（flow label）來標(biāo)志需要特別處理的業(yè)務(wù)流。目前英特網(wǎng)中的需求還不明確，絕大部分的IPv6路由器都不支持該功能，因此可以使用這兩個(gè)域來寫入邊信息。

IPv6下的標(biāo)記算法與文獻(xiàn)[3]中所述的高級(jí)包標(biāo)記策略基本一致，不同之處在于AMS是工作在IPv4下，所以兩者選擇的報(bào)頭重載域不同。IPv6下，上述28位空間中的5位用來表示進(jìn)行標(biāo)記的路由器距離被攻擊者的跳數(shù)（絕大部分的通信距離都不會(huì)超過32跳），稱為距離域；3位用于指出使用的hash函數(shù)，稱為函數(shù)索引域（使用函數(shù)族以降低沖突率，必須在標(biāo)記時(shí)說明使用的是哪個(gè)函數(shù)）；其余的20位用來寫入路由器地址R的hash值H(R)，稱為地址域。路由器使用概率p來決定是否對(duì)轉(zhuǎn)發(fā)的包標(biāo)記。當(dāng)決定標(biāo)記時(shí)，路由器置距離域?yàn)?，在地址域?qū)懭際(R)。當(dāng)決定不標(biāo)記時(shí)，路由器會(huì)檢查接收包中的距離域，當(dāng)發(fā)現(xiàn)是0時(shí)，它知道上一跳進(jìn)行了標(biāo)記，會(huì)將自己的地址散列值與報(bào)頭中地址域中的值作一次異或運(yùn)算，將結(jié)果存入地址域，同時(shí)將距離域加1；不標(biāo)記時(shí)的其余情況下，路由器僅僅是將距離域加1而不作其他處理。

路徑重構(gòu)算法與文獻(xiàn)[3]中所述相同，此處不再贅述。

無論是基于包采樣還是包標(biāo)記的攻擊源追蹤策略，均可以追蹤到攻擊源所在的網(wǎng)絡(luò)，但是由于需要路徑上全程或大部分路由器的參與，在實(shí)施時(shí)有較大的難度。在移動(dòng)IPv6中，一些常見的攻擊是能夠通過較為容易的方法得到攻擊源，或者由于移動(dòng)的特點(diǎn)，攻擊有其特殊性而不能直接應(yīng)用固定環(huán)境中的追蹤工具。以下就對(duì)高度移動(dòng)環(huán)境中的常見攻擊模式的攻擊源追蹤加以討論。

2．2移動(dòng)節(jié)點(diǎn)對(duì)固定節(jié)點(diǎn)

移動(dòng)節(jié)點(diǎn)對(duì)于固定節(jié)點(diǎn)的攻擊主要是指攻擊源本身是移動(dòng)節(jié)點(diǎn)，而被攻擊者是非移動(dòng)的對(duì)端節(jié)點(diǎn)。追蹤包含兩方面內(nèi)容：a)要得到攻擊源的HoA（家鄉(xiāng)地址）以確定身份；b)要得到CoA（轉(zhuǎn)交地址）以確定攻擊發(fā)生的位置。

如果攻擊者使用真實(shí)的HoA和偽造的CoA實(shí)施攻擊，如攻擊者為了得到被攻擊者的某些資料而必須與之通信，就必須使用真實(shí)的HoA以確保獲得返回的數(shù)據(jù)。此時(shí)被攻擊者可以通過HoA確定攻擊者的家鄉(xiāng)代理，然后查詢家鄉(xiāng)代理中的地址綁定緩沖條目來得到攻擊者真實(shí)的CoA，從而同時(shí)確定了攻擊源的身份和位置。

如果攻擊者偽造了HoA，而使用真實(shí)的CoA，如攻擊者為了避免入口過濾而使用真實(shí)的CoA，同時(shí)使用偽造的家鄉(xiāng)地址目的地選項(xiàng)將返回?cái)?shù)據(jù)重定向到第三方（目的地節(jié)點(diǎn)會(huì)以目的地選項(xiàng)擴(kuò)展報(bào)頭中攜帶的家鄉(xiāng)地址作為發(fā)送者的地址），從而導(dǎo)致對(duì)第三方的反射攻擊。此時(shí)被攻擊者實(shí)際上是第三方，對(duì)端節(jié)點(diǎn)成為反射方。要追蹤到攻擊源，第三方首先必須通過CoA找到攻擊源所處的外地網(wǎng)絡(luò)，在該網(wǎng)絡(luò)出口路由器的日志中查找攻擊源發(fā)往其家鄉(xiāng)代理的帶有注冊(cè)更新消息的包的記錄，從而得到攻擊者的家鄉(xiāng)代理地址；進(jìn)一步查詢家鄉(xiāng)代理的地址綁定緩沖條目就可得到攻擊者的CoA在攻擊時(shí)對(duì)應(yīng)的HoA（查詢時(shí)間不能太晚，否則家鄉(xiāng)代理會(huì)刪除舊的記錄），從而確定攻擊者的身份。

最復(fù)雜的一種情況是攻擊者同時(shí)偽造了CoA和HoA，如攻擊者僅僅是簡(jiǎn)單地發(fā)起對(duì)對(duì)端節(jié)點(diǎn)的電子郵件洪泛攻擊。此時(shí)，從收到的攻擊包中無法直接得到追蹤所需的信息，因此只能從攻擊經(jīng)過的路由器中獲得有用的內(nèi)容，如采用包采樣法或包標(biāo)記法。

2．3固定節(jié)點(diǎn)對(duì)移動(dòng)節(jié)點(diǎn)

移動(dòng)節(jié)點(diǎn)作為被攻擊者時(shí)，它可能受到兩種類型的攻擊。a)由偽造的綁定更新引起的，它指示了錯(cuò)誤的CoA，通常會(huì)導(dǎo)致DoS攻擊；b)直接針對(duì)它的攻擊，如洪泛攻擊（flooding attack）。

對(duì)于前者，對(duì)攻擊源的追蹤應(yīng)該由找出綁定消息的發(fā)送者開始。由于綁定更新的重要性，RFC 3775已經(jīng)制定了一系列規(guī)則來降低上述威脅，如使用IPSec和返回路由可達(dá)過程等。這些措施使得大多數(shù)攻擊只能發(fā)生特定路徑上。在存在密碼保護(hù)的情況下，由于攻擊者很難得到移動(dòng)節(jié)點(diǎn)的密鑰信息，它只能通過中間人攻擊來截獲正常的發(fā)送到家鄉(xiāng)代理或?qū)Χ斯?jié)點(diǎn)的綁定更新（binding updates）；然后修改其中的地址后重新發(fā)送。若發(fā)現(xiàn)通過密鑰檢驗(yàn)的偽造綁定更新，首先應(yīng)該考慮到攻擊者曾進(jìn)入了家鄉(xiāng)代理或?qū)Χ斯?jié)點(diǎn)與受害者之間的路徑中，從而縮小查找范圍。

后者的發(fā)生會(huì)對(duì)包采樣法產(chǎn)生一定影響。此時(shí)攻擊包可能被發(fā)送到移動(dòng)節(jié)點(diǎn)的CoA或HoA。

1）包被發(fā)送到移動(dòng)節(jié)點(diǎn)的CoA當(dāng)發(fā)送方（攻擊者）由接收方（被攻擊者）的HoACoA綁定時(shí)，攻擊包會(huì)被發(fā)送到移動(dòng)節(jié)點(diǎn)的CoA，并帶有第二類路由擴(kuò)展報(bào)頭，如圖3所示。

圖中字段含義：NH為下一報(bào)頭（next header）；HEL為擴(kuò)展報(bào)頭長(zhǎng)度（header extend length）；RT為路由類型（routing type）；SL為剩余段（segments left）。

此時(shí)IPv6報(bào)文的目的地地址是移動(dòng)節(jié)點(diǎn)的CoA。第二類路由擴(kuò)展報(bào)頭中攜帶了移動(dòng)節(jié)點(diǎn)的HoA，一旦數(shù)據(jù)包到達(dá)終點(diǎn)，移動(dòng)節(jié)點(diǎn)從第二類路由報(bào)頭中找回其HoA，用做該數(shù)據(jù)包的最終目的地址（可能提供給上層應(yīng)用）。接收者對(duì)于第二類路由報(bào)頭的處理包括：a)交換基本報(bào)頭中的目的地字段與路由擴(kuò)展報(bào)頭中的家鄉(xiāng)地址字段；b)遞減段剩余字段中的值。因此，如果采用包取樣法追蹤攻擊源，在接收者計(jì)算包的取樣值之前，應(yīng)該首先將上述兩個(gè)地址再作一次交換并增加段剩余字段，這樣才能與中間路由器計(jì)算摘要時(shí)使用的包內(nèi)容一致。

2）包被發(fā)送到移動(dòng)節(jié)點(diǎn)的HoA當(dāng)發(fā)送方不知道移動(dòng)節(jié)點(diǎn)的當(dāng)前CoA時(shí)或不支持路由優(yōu)化（不支持地址綁定）時(shí)，數(shù)據(jù)包將被發(fā)送到移動(dòng)節(jié)點(diǎn)的HoA，此時(shí)移動(dòng)節(jié)點(diǎn)的家鄉(xiāng)代理會(huì)截獲此類包，并通過隧道轉(zhuǎn)發(fā)給移動(dòng)節(jié)點(diǎn)。

隧道包外部頭（outer header）的源地址和目的地址分別是家鄉(xiāng)代理的地址和移動(dòng)節(jié)點(diǎn)的CoA；內(nèi)部頭（inner hea￣der）分別為對(duì)端節(jié)點(diǎn)地址和移動(dòng)節(jié)點(diǎn)的HoA。此時(shí)，由于隧道改變了原來攻擊包的內(nèi)容，被攻擊者無法直接應(yīng)用包采樣法，它必須采用一定機(jī)制來通知家鄉(xiāng)代理發(fā)起追蹤，一種可能的解決方案是：移動(dòng)節(jié)點(diǎn)使用ICMPv6通知家鄉(xiāng)代理產(chǎn)生了攻擊，并在ICMPv6的消息體中包含了攻擊包的部分內(nèi)容；家鄉(xiāng)代理根據(jù)收到的攻擊包內(nèi)容完成追蹤，在追蹤完成后使用ICMPv6應(yīng)答提供給移動(dòng)節(jié)點(diǎn)攻擊者的地址。

2．4移動(dòng)節(jié)點(diǎn)對(duì)移動(dòng)節(jié)點(diǎn)

攻擊者和被攻擊者均是移動(dòng)節(jié)點(diǎn)時(shí)的攻擊源追蹤應(yīng)該把上兩節(jié)的內(nèi)容結(jié)合起來加以考慮，即在發(fā)送者是移動(dòng)節(jié)點(diǎn)時(shí)，要考慮目的地選項(xiàng)對(duì)源地址的影響；在接收者是移動(dòng)節(jié)點(diǎn)時(shí)，要考慮第二類路由報(bào)頭和隧道機(jī)制造成的報(bào)文內(nèi)容改變。此處限于篇幅，不再展開討論。

3結(jié)束語

移動(dòng)IPv6環(huán)境中的攻擊源追蹤問題與在IPv4中有諸多不同。首先是IPv6的報(bào)頭格式與IPv4有很大差別；其次是移動(dòng)機(jī)制本身引進(jìn)了一些新的規(guī)則；最后攻擊的方法也有所不同，因此原先基于IPv4的攻擊源追蹤技術(shù)已不再適用，并且追蹤的難度加大。本文就移動(dòng)IPv6中的四種不同攻擊模式提出了有針對(duì)性的攻擊源追蹤策略，研究了基于IPv6的包取樣法和包標(biāo)記法，以及攻擊源頭和目標(biāo)分別為移動(dòng)節(jié)點(diǎn)時(shí)的追蹤策略。上述方法的有機(jī)結(jié)合可以有效降低移動(dòng)IPv6下攻擊源追蹤的難度。

參考文獻(xiàn)：

[1]SNOEREN A C，PARTRIDGE C， SANCHEZ L A，et al. Hashbased IP traceback [C]//Proc ofACM SIGCOMM Conference. San Diego:[s.n.]， 2001:314.

[2]SAVAGE S ， WETHERALL D. Practical network support for IP traceback[C]//Proc of ACM SIGCOMM Conference. Stockholm:[s.n.]，2000:295－300.

[3]SONG D， PERRIG A. Advanced and authenticated marking schemes for IP traceback[C]//Proc of IEEE INFOCOM Conference. Anchorage， Alaska:[s.n.]， 2001: 878－886.

[4]徐永紅，楊云，劉鳳玉，等.基于權(quán)重包標(biāo)記策略的IP追蹤技術(shù)研究[J]. 計(jì)算機(jī)學(xué)報(bào)， 2003，26(11): 15981603. [5]JOHNSON D， PERKINS C， ARKKO J. Mobility support in IPv6， Request for Comments 3775[R].[S.l.]: Internet Engineering Task Force，2004.

[6]FANLi， CAO Pei， ALMEIDA J，et al. Summary cache: a scalable widearea Web cache sharing protocol[J]. IEEE/ACM Trans on Networking， 2000，8(3):281－293.

“本文中所涉及到的圖表、注解、公式等內(nèi)容請(qǐng)以PDF格式閱讀原文”