网安学术基于ICMPUDPTCP协议的分布式IP级拓扑探测方法

Posted 2021-04-15 信息安全与通信保密杂志社

摘要：网络拓扑测量是认识、研究网络空间的基础，因此研究网络拓扑测量技术具有重要意义。随着安全防范意识的提高，基于传统方式的探测手段会导致拓扑中存在大量的匿名路由器，降低拓扑完整性。针对该问题，提出了一种基于Traceroute、ICMP、UDP、TCP协议的分布式IP级互联网拓扑探测方法。该方法通过在全球范围内部署的分布式探测节点和多种协议组合的方式，不仅能够加快探测速度，而且能最大限度地减少匿名节点的数量，进一步扩充和加强拓扑图，使获得的拓扑图更接近实际。

0 引 言

随着计算机技术的发展，网络已经成为国家政治、经济、军事等社会系统存在和发展的重要基础。当前，网络空间已经成为继海、陆、空、天之后的“第五维空间”。网络一旦受损，几乎所有的社会系统都将无法正常发挥作用。网络拓扑测量是认识、研究网络空间的根基。因此，研究网络拓扑测量技术具有重要意义。

1　相关工作

国内，黑龙江大学的姜誉等人针对已有技术的探测报文容易被识别为测量路径行为或攻击行为而被过滤，从而破坏路径测量的完整性这一问题，分别提出了基于TCP[6]报文和UDP[7]报文的IP路径主动测量方法。该方法在基于负载平衡机制影响的情况下，发送熟知端口的混合型探测报文，使探测报文抗识别和过滤，从而保证了路径测量的完整性。黑龙江大学的李文婧[8]提出了源端口和目的端口按测量可用端口和不可用端口进行分类的方式进行拓扑探测，以此获得更大的测量空间。北京知道未来信息技术有限公司的杨雨从网络管理的角度提出了基于Traceroute及SNMP协议的IP测绘方法[9]，但该方法需要获得互联网中路由交换设备的访问权限，具有一定的局限性。针对探测工具及探测参数对探测结果的影响，电子工程学院的杨国正提出了Internet拓扑抽样探测的偏向性[10]研究，分析了如何设定探测源和目标节点的密度才能达到优化探测网络特征的问题。

2　分布式IP级拓扑探测方法

近年来，网络安全事件的频发，进一步提高了人们的安全意识。为了防止网络DDoS攻击，人们通常会使用防火墙等网络防护设备。这些防火墙通常会阻止ICMP及探测UDP报文的通过。因此，基于ICMP和UDP协议的探测工具，很容易被防火墙过滤掉。对于探测结果来说，表现出来的特征是存在大量的匿名节点。

针对以上问题，本文根据探测节点、探测目标IP的属性特征，如地理分布、网络时延网络带宽、以及可用算力等，制定合理的探测策略。各探测节点在基于ICMP和UDP协议探测工具的基础上，增加了TCP协议进行补充探测，而通常80、8080及443端口的TCP报文为WEB服务相关数据报文。此类数据通常不会被防火墙等防护设备所过滤，因此可以发现更多的IP节点和边。

2.1　分布式探测架构

为加快探测的速度，将探测任务拆分，并进行分布式探测。探测组件可采用Client/Sever架构。服务器端负责下发探测任务，客户端负责执行探测任务，并将探测结果回传给服务器端。客户端探测工具基于现有Scamper，支持探测协议参数的配置。客户端、服务器端通信机制采用可靠的SSL。客户端可以部署在具备互联网接入条件的任何位置。为实现全球化探测的目标，目前使用VPS（Virtual Private Server，虚拟专用服务器）是一个比较好的选择。与传统的虚拟主机相比，VPS服务器由于不是采用大量虚拟主机共享同一个主机硬件资源的形势。因此，在带宽、速度、网站和邮件的安全性等方面都具有较为明显的优势，且支持超级管理员实现有效的远程管理，使企业能够更加有效地控制自己购买的互联网资源。

2.2　探测目标选取

2.3　探测任务分配

对于生成的目标IP列表，从开源数据集获取探测目标IP的地理信息如MaxMind，将探测目标IP按照地理位置进行聚类。聚类方法选取k -均值聚类方法，是一种无监督学习聚类方法。

首先设定聚类参数k 等于探测节点的个数，然后随机创建k 个质心，遍历每个探测目标IP，计算其到每个质心的欧氏距离，把每个目标点都分配到距离最近的质心的那一类，用一个二维数组数据结构保存，第一列是最近质心序号，第二列是距离。根据二维数组保存的数据，重新计算每个聚簇新的质心。迭代上述过程，直到质心不再发生变化。至此，得到了探测目标IP的聚类集合D={D1,D2,…,Dk} ，而探测节点为s={s1,s2,…,Dk} 。

假设b 为探测节点网络流量，单位Mb/s；h 为可用算力，定义为空闲CPU百分比乘以CPU的效能比；L 为综合了探测节点带宽和可用算力的节点效率。于是，有：

定义探测节点和探测目标的聚类中心的距离，那么探测节点对应每一个聚类探测目标的代价集合为，其中：

依次计算探测节点s={s1,s2,…,sk} 对应的，取集合元素的最小下标为探测节点的探测任务，如s1 节点对应的代价集合，取集合中最小元素的下标n ，那么分配给探测节点s1 的任务为Dk 。重复上述过程，完成探测策略的制定(si,Dj) 。当有新的探测任务加入，可以重复上述过程，制定新的探测策略集合。通过上面提到的C/S分布式探测架构，控制节点通过SSL与探测节点通信，实现可靠的任务下发、消息传递和异常处理。

2.4　探测过程

对于每一个探测任务，分布在全球的探测节点先后采用ICMP、UDP、TCP协议进行补充性探测，具体探测过程如下。

首先，采用基于ICMP协议的探测。探测节点发送ICMP Echo请求报文，中间节点以ICMP TTL超时报文应答，目标节点以ICMP Echo响应报文应答。探测节点的发送请求报文中，TTL字段从1开始递增，直至到最大的TTL，探针默认设置为30。因此，如果任何一个路由节点不处理ICMP Echo请求报文，在探测结果上则表现为匿名节点；如果中间任何一个路由节点丢弃ICMP Echo请求报文或者丢弃ICMP TTL超时报文，那么该ICMP Echo请求报文就永远不会到达它之后的节点，在探测结果上表现为某跳之后全为匿名节点。对于存在匿名路由器的探测目标，转入下一步执行。

其次，采用基于UDP协议的探测。探测节点发送UDP报文，中间节点以ICMP TTL超时报文应答，目标节点以ICMP端口不可达报文应答。发送的UDP报文目的端口号字段默认从33 434开始，依次递增，直至33 463；TTL字段从1开始依次递增，直至最大TTL。中间的路由节点以ICMP TTL超时报文响应探测节点，目的节点以ICMP端口不可达报文响应探测节点。其中任何一种类型的数据报被过滤掉，都会导致匿名节点的出现。对于存在匿名路由器的探测目标，转入下一步执行。

最后，采用基于TCP协议的探测。探测节点发送TCP报文，中间节点以ICMP TTL超时报文应答，目标节点以ICMP端口不可达报文应答。发送的TCP报文目的端口号字段为80。TTL字段从1开始依次递增，直至最大TTL。中间的路由节点以ICMP TTL超时报文响应探测节点，目的节点以ICMP端口不可达报文响应探测节点。80是Web服务的端口号，8080为提供web服务代理的端口，443端口为HTTPS服务端口。该类型的报文在网络中易于路由器之间的转发，以发现更多的节点。

3　实验

本文开发的探测工具支持ICMP、UDP、TCP三种协议，探测采用的参数可通过配置文件进行配置管理。因此，在探测过程中配合使用ICMP、UDP和TCP三种探针首先发出ICMP报文。当ICMP探测结果中出现匿名节点时，则进一步使用UDP进行补充。当UDP探测结果中再次出现匿名节点时，使用TCP协议。合并三次的结果，从而最大限度减少匿名节点的出现。

针对某一探测目标网段，生成目标IP列表（256个目标IP），使用分布于不同位置的8个VPS探测点进行探测，8个探测点探测任务分配结果如表1所示。

采用本方法进行探测，与传统基于单一协议的Traceroute探测工具在获取的点数量进行对比，结果如表2所示。

本方案相比ICMP协议方案可以提升约67%的数量，相比UDP协议方案可以提升约3.3%的数量，相比TCP协议方案可以提升约5.8%的数量。其中，ICMP发现完整路径条数为0，UDP发现完整路径条数为56，TCP发现完整路径条数为0，本方案发现完整路径条数为89。

4　结　语

准确的IP级拓扑结构信息对于恢复路由器级拓扑、AS级拓扑具有重要的指导意义。本文在分析比较现有IP级拓扑发现方法的基础上，提出了一种新的分布式IP级网络拓扑发现方法。该方法能够较大限度地减少匿名节点的数量，进一步扩充和加强IP级拓扑，使获得的拓扑图更接近于实际情况。

参考文献：

[1] 张宏莉,方滨兴,胡铭曾等.Internet测量与分析综述[J].软件学报,2003,14(01):110-116.

[2] Claffy K C,David C.The 9th Workshop on Active Internet Measurements (AIMS-9) Report[C].ACM SIGCOMM Computer Communication Review,2017.

[3] Luckie M.Scamper:a Scalable and Extensible Packet Prober for Active Measurement of the Internet[C].Proceedings of the 10th ACM SIGCOMM conference on Internet measurement,2010:239-245.

[4] Huffaker B,Plummer D,Moore D,et al.Topology Discovery by Active Probing[C].Applications and the Internet (SAINT) Workshops,2002:90-96.

[5] WANG Shao-lei,ZHANG Lei,TANG Chao-jing.A New Algorithm for Internet IP Level Topology Measurement[C].4th National Conference on Electrical,Electronics and Computer Engineering,2015.

[6] 姜誉,方滨兴,任健等.一种基于TCP报文的IP路径主动测量方法:中国,CN101877654A[P].2010-11-03.

[7] 姜誉,方滨兴,任健等.一种基于UDP报文的IP路径主动测量方法:中国,CN101888310A[P].2010-11-17.

[8] 李文婧.因特网IP级拓扑测量空间研究[D].哈尔滨:黑龙江大学,2011.

[9] 杨雨.基于Traceroute及SNMP协议的IP级全球互联网拓扑测绘方法:中国,CN108011746A[P].2018-05-08.

[10]杨国正,陆余良,夏阳.Internet拓扑抽样探测的偏向性研究[J].计算机工程与应用,2010,46(09):111-115.

作者简介：

张　江，网络空间安全四川省重点实验室，中国电科网络空间安全技术重点实验室，中国电子科技网络信息安全有限公司，高级工程师，硕士，主要研究方向为网络拓扑探测、战术通信系统与网络；

孙　治，网络空间安全四川省重点实验室，中国电科网络空间安全技术重点实验室，中国电子科技网络信息安全有限公司，工程师，博士，主要研究方向为人工智能与网络安全、网络空间资源描述；

段梦军，网络空间安全四川省重点实验室，中国电科网络空间安全技术重点实验室，中国电子科技网络信息安全有限公司，工程师，硕士，主要研究方向为网络测绘基础研究；

吴佑珂，网络空间安全四川省重点实验室，中国电科网络空间安全技术重点实验室，中国电子科技网络信息安全有限公司，工程师，硕士，主要研究方向为网络测绘基础研究。

（本文选自《通信技术》2018年第十一期）

原创声明 >>>

网 络 强 国 建 设 的 思 想 库 

—— 安 全 产 业 发 展 的 情 报 站 —— 

创 新 企 业 腾 飞 的 动 力 源

···························································

投稿网址：http://www.txjszz.com