تعقب عناوين الإنترنت
تعقب عناوين انترنت
IP traceback -
تعقب عناوين الإنترنت
محمد الجنيدي
تعقُّب عنـاوين الشـابكة (الإنتـرنت) IP Traceback منهجية تُستخدَم غالباً لتعقُّب الأصل الحقيقي للطرود packets التي تحوي عناوين إنترنت مزوّرة. تستخدم كلمة «تعقب» بمفردها في بقية البحث للتعبير عن «تعقّب عناوين الإنترنت». تُصنَّف آليات الدفاع ضد هجمات تعطيل الخدمة الموزعة Distributed Denial of Service (DDoS) إلى استباقية proactive وتفاعلية reactive وإنقاذية survival. يُعدُّ التعقّب تقنية تفاعلية بحسب هذا التصنيف. يُستخدَم التعقّب لإيجاد منابع تدفُّق البيانات الخبيثة وممرات هجماتها، ولا ينحصر التعقب بهجمات DDoS فقط. يمكن تعريف التعقّب عموماً بأنه تحديد منبع أي طرد في الإنترنت، وليس بالضرورة في حال وجود هجوم. فإذا افتُرض وجود هجوم وأن الضحية ستقوم بعملية التعقّب لتحديد مصدر الهجوم؛ فإن مهمة تحديد المنبع الأساسي لطرد ما معقدة؛ لأن عنوان الإنترنت الخاص بالمنبع قد يكون مزوّراً.
تصنيف أنظمة التعقُّب classification of IP traceback schemes
يمكن تطبيق أنظمة التعقُّب بطريقتين: داخل نظام مستقل في الإنترنت Intra Autonomous System (AS)؛ أي ضمن شبكة خاصة، أو بين الأنظمة المستقلة في الإنترنت Inter AS؛ أي عبر شبكات متنوعة. يبين الشكل (1) تصنيفَ أنظمة التعقب الأساسية سواء طُبِّقت ضمن شبكة خاصة أم عبر شبكات متنوعة.
 |
| الشكل (1) تصنيف أنظمة التعقُّب واختبار الوصلات. |
تبدأ عملية اختبار الوصلات link testing التي تدعى أيضاً التعقُّب خطوة بخطوة Hop by Hop tracing؛ من موقع ضحية الهجوم، وتقوم بتعقُّب الوصلات التي أتى منها الهجوم رجوعاً إلى منبع الهجوم، وتفترض هذه الطريقة أن الهجوم سيبقى فعالاً حتى نهاية التعقُّب.
هناك نوعان من اختبار الوصلات: تدقيق (تمحيص) الدخل input debugging والإغراق المتحكَّم فيه controlled flooding الشكل (2). ففي تقنية تدقيق الدخل على الضحية أن يعرف أنه يتعرض للهجوم، وعليه أن يطوِّر نموذجاً لهذا الهجوم (أو ما يسمى توقيع الهجوم attack signature)، ويقارنه بكل طرد يأتي من الموجّهات routers؛ بحيث يميز الموجّه المرسل لطرود الهجوم، ومن ثم يتابع بالطريقة نفسها من موقع الموجّه الذي جرى تمييزه وباتجـاه الخـلف. أما في تقنية الإغراق المتحكَّم فيه؛ فتُختَبر الوصـلات القادمة إلى الضحية بإغراق كل منها عدة مرات بكميات كبيرة من الطرود، ودراسة تأثير ذلك في تدفق البيانات الواصلة إلى الضحية؛ إذ يمكن بمراقبة التغيّر في معدل كمية الطرود الواصلة إلى الضحية استنتاج الوصلة التي أتى منها الهجوم، ومن ثم تكرار الطريقة من موقع الموجّه الموجود على تلك الوصلة وباتجاه الخلف.
 |
| الشكل (2) اختبار الوصلات. |
تستخدم تقنية وسم الطرود حقولاً نادرة الاستخدام في الترويسة header في طرد بروتوكول الإنترنت IP packet لتخزين مسار المراقبة audit trail، حيث يختلف الحجم المستخدم من الترويسة وفق آليات مختلفة متبعة لتنفيذ هذه التقنية. وتكون آليات وسم الطرود إما احتمالية Probabilistic Packet Marking (PPM) الشكل (3) وإما حتمية Deterministic Packet Marking (DPM) الشكل (4).
 |
| الشكل (3) وسم الطرود الاحتمالي PPM. |
 |
|
الشكل (4) وسم الطرود الحتمي DPM. |
في الآلية الاحتمالية يقوم كل موجّه بوسم الطرد وفق احتمال معيّن، وليكن وسم طرد من كل مئة على سبيل المثال، حيث يستخدم حقل في الترويسة لإضافة الوسم. ويدل جزء من الحقل المستخدم على عدد خطوات مسار الطرد hop count، وهي معلومة مفيدة لإعادة تشكيل مسار الهجوم، ويستخدم الموجه بقية الحقل لإرسال معلومات خاصة به وفق الطريقة المتبعة، وعلى الضحية أن يستقبل عدداً كافياً من الطرود لإعادة تشكيل مسار الهجوم.
في الآلية الحتمية يُوسم كلُّ طردٍ يعبر موجّه دخول ingress router بعنوان الإنترنت الخاص بالموجّه فقط، ويقسم العنوان إلى جزأين متساويين، ويكون وسم كل طرد بأحد الجزأين عشوائياً. ويحصل ضحية الهجوم على العنوان كاملاً عندما يصل إليه الجزآن الخاصان بموجّه دخول معيّن.
التعقُّب باستخدام البروتوكول ICMP
تستخدم هذه التقنية رسائل التعقُّب التي يولّدها بروتوكول رسائل التحكم في الإنترنت:Internet Control Message Protocol (ICMP)، واعتُمِدت معياراً من قبل فريق مهمات هندسة الإنترنت Internet Engineering Task Force (IETF) تحت مسمّى iTrace. يرسل كلُّ موجّه رسالة ICMP خاصة تحتوي على معلومات عن الموجّهات المجاورة (الموجودة على الوصلات السابقة واللاحقة) على المسار إلى كلٍّ من المنبع والنهاية، وذلك برفقة طرد بروتوكول الإنترنت المرسَل إلى نهاية الاتصال. وتحتوي رسالة التعقُّب أيضاً على حقل يؤكد هوية المرسل لمنع تزوير طرود التعقّب الشكل (5)، تُستخدَم رسائل تعقُّب ICMP غالباً من قبل ضحية هجمات تعطيل الخدمة الموزع DDoS لإعادة تشكيل مسار الهجوم.
 |
|
الشكل (5) التعقُّب باستخدام البروتوكول ICMP. |
متابعة بروتوكول الإنترنت IP Logging
تعتمد هذه التقنية على تخزين معلومات عن الطرد مثل حصيلة الطرد (البصمة) packet digest والتوقيع وحقول الترويسة header؛ وذلك على كل الموجهات أو على بعض منها ضمن نطاق شبكة ما. وعند حدوث الهجوم يطلب الضحية من الموجّه السابق له مباشرةً جمعَ معلوماتٍ عن طرد الهجوم، وفي حال وجود المعلومات المطلوبة يُعدّ الموجّه الذي أجاب بها خطوة hop على مسار الهجوم، وتكرَّر الإجرائية ابتداءً من موقع هذا الموجّه إلى الخلف الشكل (6). ومن التحديات الكبيرة التي تواجهها هذه التقنية زيادة العبء على الشبكة وزيادة متطلبات التخزين في الموجّهات المركزية.
 |
|
الشكل (6) نظام المتابعة. |
من أنماط متابعة بروتوكول الإنترنت التعقُّبُ المبني على تلبيد المعطيات hash-based IP Traceback، كما يمكن لهذه التقنية أن تتعقب طرداً بمفرده؛ بشرط توفر نسخة منه، إضافة إلى عنوان النهاية التي يجب أن يصل إليها والزمن التقريبي الذي يستهلكه للوصول إليها. جرى تطوير تقنية لعزل المسار المؤدي إلى المنبع Source Path Isolation Engine (SPIE) لتحقيق هذه الغاية؛ إذ تعتمد على تخزين حصيلة الطرد، ويجري تخفيض استخدام الذاكرة في هذا النمط عن طريق مرشحات بلوم Bloom filters.
يمكن أيضاً دمج تقنية متابعة بروتوكول الإنترنت في تقنية الشبكة الغطائية overlay network لتحسين نتائج التعقُّب عن طريق تخفيض عدد الموجهات المشاركة، ويمكن تنفيذ هذه المنهجية في التعقب ضمن نطاق شبكي واحد Intra-domain، أو عبر شبكات متنوعة Inter-AS، وتناسب هذه التقنية الشبكات ذات الأحجام الكبيرة. يبدأ التعقُّب من ضحية الهجوم وبعكس اتجاه ورود الطرود؛ ولكن تدخل في عملية التعقب المجموعة اللازمة من الموجّهات التي تنتمي إلى الشبكة الغطائية حصراً، كما تستخدم نسخ معدلة ومخصَّصة من مرشحات بلوم لتخفيض تكلفة التخزين.
الأنظمة الهجينة hybrid schemes
نشأت فكرة الأنظمة الهجينة التي تجمع بين الوسم marking والمتابعة logging للتغلب على مساوئ كلٍّ من الطريقتين عند استخدامها بمفردها، مثل حل مشكلة انخفاض الأداء بسبب معالجة كمٍّ كبير من البيانات وتخزينه. ويقترح أحد الأبحاث على سبيل المثال نظامين هجينين للتعقُّب: التعقُّب الموزّع باستخدام القوائم المترابطة Distributed Linked List Traceback (DLLT)، ووسم الطرود الاحتمالي باستخدام قناة تعقُّب Probabilistic Pipeline Packet Marking (PPPM). يعتمد النظام الأول على الاحتفاظ بمعلومات الوسم في الموجّهات المركزية بحيث يمكن جمعها لاحقاً باستخدام قوائم من المعاملات المترابطة؛ في حين يهدف النظام الثاني إلى تزويد الضحية بعناوين الإنترنت الخاصة بالموجّهات التي شاركت في وسم طرود معيّنة عن طريق تجميع هذه العناوين في الطرود المتوجهة إلى النهاية ذاتها.
يقدم الجدول (1) مقارنة نوعية بين أنظمة تعقُّب عناوين الإنترنت الأساسية وفق معاملات تقييم مختلفة:
|
الجدول (1) |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
هناك العديد من أنظمة تعقُّب عناوين الإنترنت، ويمكن باستخدام تقنيات التعقُّب في أثناء الهجمات تحديد عنوان الإنترنت الخاص بمنبع الهجوم على نحو سريع من فور حدوث الهجوم، ويمكن في بعض تقنيات التعقُّب المتطورة اكتشاف الهجوم حتى قبل تأثيره في الضحيّة المفروضة، وذلك بتطبيق التعقُّب على عقد الشبكة الموجودة بين المنبع والنهاية؛ ولا سيما في أثناء هجوم تعطيل الخدمة الموزّع DDoS.
|
مراجع للاستزادة: - H. Burch, B. Cheswick, Tracing Anonymous Packets to Their Approximate Source, Proceedings of the 14th USENIX Conference on System Administration, New Orleans, LA, USA, 2000. - A. Castelucio, et al., An AS Overlay Network for IP Traceback, IEEE Network, 2009. - S. Savage, et al., Practical Network Support for IP Traceback, in Proc. ACM SIGCOMM, 2000. - X. Wang et al., Traceback and Anonymity, Springer 2015.
|
- التصنيف : كهرباء وحاسوب - النوع : كهرباء وحاسوب - المجلد : المجلد التاسع مشاركة :
اخترنا لكم
المجلدات الصادرة عن موسوعة العلوم والتقانات
