下载地址：https://www.usenix.org/legacy/event/sec10/tech/full_papers/Gill.pdf 

 被引次数：102

Gill P, Ganjali Y, Wong B. Dude, Where's That {IP}? Circumventing Measurement-based {IP} Geolocation[C]//19th USENIX Security Symposium (USENIX Security 10). 2010.

Abstract

IP地理定位的许多应用程序都可以从对抗性的客户机非常健壮的地理定位中获益。这些应用程序包括将对在线内容的访问限制在特定地理区域的应用程序和云计算，其中一些组织必须确保其虚拟机停留在适当的地理区域。本文研究了当前的IP地理定位技术对一个试图颠覆这些技术以返回伪造结果的对手的适用性。我们提出并评估了对基于延迟的IP地理定位技术和更先进的拓扑感知技术的攻击。针对基于延迟的技术，我们发现对手在攻击的准确性和可检测性之间有一个明显的权衡。相比之下，我们观察到，更复杂的拓扑感知技术实际上在对手面前表现更糟，因为它们通过使用拓扑和延迟信息给对手更多的输入来进行操作。

1 Introduction

许多应用程序受益于使用IP地理位置来确定主机在互联网上的主机的地理位置。例如，在线广告商和搜索引擎会根据客户所在的位置来调整他们的内容。目前，像Quova [22]和MaxMand[16]这样的地理定位数据库是需要地理定位服务的应用程序中最流行的方法。地理位置也被用于许多对安全很敏感的应用程序中。在线内容提供商，如Hulu [13]，BBC iPlayer [22]，RealMedia [22]和Pandora[20]，将他们的内容分发限制在特定的地理区域。在允许客户端查看内容之前，他们会从其IP地址确定客户端的位置，并且只有在客户端在允许的管辖范围内时才允许访问。此外，互联网赌博网站必须根据客户的位置限制对其申请的访问，或风险的法律影响[29]。因此，这些企业依赖于地理定位来限制访问他们的在线服务。

[22] Quova – IP geolocation experts, 2010. http://www.quova. com.

[16] Maxmind - geolocation and online fraud prevention, 2010. http://www.maxmind.com.

[13] Hulu - watch your favorites. anytime. for free., 2010. http: //www.hulu.com/.

[20] Pandora Internet radio, 2010. http://www.pandora.com.

[29] TRANCREDI, P., AND MCCLUNG, K. Use case: Restrict access to online bettors, August 2009. http://www.quova. com/Uses/UseCaseDetail/09-08-31/Restrict_ Access_to_Online_Bettors.aspx.

展望未来，基础设施即服务器云的增长，如亚马逊的EC2服务[1]，也可能推动使用云计算的组织使用地理定位。云计算的用户在云提供商的基础设施上部署虚拟机，而不必维护其虚拟机正在运行的硬件。然而，管理隐私、信息发现、合规和审计等问题的法律差异要求一些云用户将虚拟机的位置限制在特定的司法管辖区或国家的[6]。这些位置限制可以被指定为云用户和提供商之间的服务级别协议（SLA）的一部分。云用户可以使用IP地理定位来独立验证其云sla中的位置限制是否得到满足。

[1] Amazon EC2, 2010. http://aws.amazon.com/ec2/.

[6] CBC. USA Patriot Act comes under fire in B.C. report, October 2004. http://www.cbc.ca/canada/story/2004/10/ 29/patriotact_bc041029.html.

在这些情况下，地理定位的目标有一个误导地理定位系统关于其真实位置的动机。客户端通常使用代理来误导内容提供商，以便他们可以查看在其地理区域内未经授权的内容。然而，作为回应，一些内容提供商[13]已经识别并阻止了来自已知代理的访问；但这并不能阻止所有客户端绕过地理控制。类似地，云提供商可能会试图打破其sla中的位置限制，将客户的虚拟机转移到更便宜的位置。对云用户强制执行位置要求的政府可能会要求地理位置检查健壮，无论云提供商可能做什么来误导他们。即使云提供商本身不是恶意的，其员工也可能试图将虚拟机迁移到他们可能受到其他恶意虚拟机[24]攻击的位置。因此，虽然云用户可能信任云服务提供商，但他们仍然可能需要cd。对其虚拟机的位置进行独立验证，以满足审计要求或避免法律责任。

[24] RISTENPART, T., TROMER, E., SHACHAM, H., AND SAVAGE, S. Hey, you, get off my cloud! exploring information leakage in third-party compute clouds. In Proceedings of the 16th ACM Conference on Computer and Communications Security (CCS 2009) (November 2009).

IP地理定位是近十年来一个活跃的研究领域。然而，目前所有的地理定位技术都假设了一个良性的目标，而不是故意误导用户，而且对恶意目标的地理定位工作也很有限。城堡有限公司等人将基于约束的地理定位（CBG）[12]应用于快速通量隐藏服务器的地理定位问题，这些服务器使用僵尸网络[5]中的一层代理来隐藏它们的位置。Muir和奥肖特[18]描述了被动地理定位技术（如whois服务）的局限性，并提出了一种使用Tor匿名化网络[28]来查找机器的IP地址的技术。这些之前的工作集中于代理背后的主机的去匿名化，而我们在本文中的贡献是回答关于当前的地理定位算法是否适合于安全敏感的应用程序的基本问题：

[12] GUEYE, B., ZIVIANI, A., CROVELLA, M., AND FDIDA, S. Constraint-based geolocation of Internet hosts. IEEE/ACM Transactions on Networking 14, 6 (December 2006).

[5] CASTELLUCCIA, C., KAAFAR, M., MANILS, P., AND PERITO, D. Geolocalization of proxied services and its application to fast-flux hidden servers. In Proceedings of the ACM SIGCOMM Internet Measurement Conference (November 2009).

[18] MUIR, J., AND VAN OORSCHOT, P. Internet geolocation: Evasion and counterevasion. ACM Computing Surveys 42, 1 (December 2009).

[28] THE TOR PROJECT. Tor: Overview, 2010. http://www. torproject.org/overview.html.en.

•当前的地理定位算法是否足够精确地在某个国家或司法管辖区内定位IP？

我们通过调查之前发表的关于地理定位算法的研究来回答这个问题。我们发现，目前的算法的精度为35-194公里，使它们适合于一个国家内的地理定位。

•对手如何攻击地理定位系统？

我们提出了两种基于测量的地理定位算法——依赖于网络延迟测量和使用网络拓扑信息的算法。为了评估这些攻击的实用性，我们将对手分为两类——一类是可以操纵网络延迟的简单对手，另一类是可以控制一组可路由的IP地址的复杂对手。

•这种攻击的效果如何？他们能被发现吗？

我们通过分析地理定位算法的模型来评估我们的攻击。我们还使用来自PlanetLab [21]的度量进行了经验评估，并对基于延迟和拓扑感知的地理定位算法的实现执行攻击。我们观察到简单的对手的准确性是有限的，必须权衡准确性来检测他们的攻击。另一方面，复杂的对手具有更高的准确性，而且仍然难以被发现。

[21] Planetlab, 2010. http://www.planet-lab.org.

本文的其余部分的结构如下。第2节总结了有关地理定位技术的相关背景和前期工作。我们用于评估当前地理位置建议的安全模型和假设将在第3节中进行描述。我们分别在第4节和第5节中开发和分析了基于延迟和拓扑感知的地理定位方法的攻击。第6节介绍了在遇到利用代理的目标时评估地理位置的相关工作。我们在第7节中提出结论。

2 Geolocation Background

第2节总结了有关地理定位技术的相关背景和前期工作。

IP地理定位旨在解决确定给定IP地址的地理位置的问题。解决方案可以用不同粒度表示；对于大多数应用程序，结果应该足够精确，以确定IP所在的城市，返回城市名称或返回目标所在的经度和纬度。地理定位的两种主要方法分别是使用主动网络度量来确定主机或IP到位置映射的数据库的位置。

基于度量的地理定位算法[9,12,14,19,30,31]利用一组具有已知位置的地理上分布的地标主机来定位目标IP。这些地标测量各种网络属性，如延迟，以及它们自身和目标之间的交通所采取的路径。这些结果被用作地理定位算法的输入，该算法使用它们来确定目标的位置，使用的方法包括：约束目标可能位于的区域（地理定位）[12,30]，迭代力定向算法[31]，机器学习[9]和约束优化[14]。

[9] ERIKSSON, B., BARFORD, P., SOMMERS, J., AND NOWAK, R. A learning-based approach for IP geolocation. In Proceedings of the Passive and Active Measurement Workshop (April 2010).

[12] GUEYE, B., ZIVIANI, A., CROVELLA, M., AND FDIDA, S. Constraint-based geolocation of Internet hosts. IEEE/ACM Transactions on Networking 14, 6 (December 2006).

[14] KATZ-BASSET, E., JOHN, J., KRISHNAMURTHY, A., WETHERALL, D., ANDERSON, T., AND CHAWATHE, Y. Towards IP geolocation using delay and topology mesurements. In Proceedings of the ACM SIGCOMM Internet Measurement Conference (October 2006).

[19] PADMANABHAN, V., AND SUBRAMANIAN, L. An investigation of geographic mapping techniques for Internet hosts. In Proceedings of ACM SIGCOMM (August 2001).

[30] WONG, B., STOYANOV, I., AND SIRER, E. G. Octant: A comprehensive framework for the geolocalization of Internet hosts. In Proceedings of the 4th Symposium on Networked Systems Design and Implementation (NSDI) (Cambridge, MA, April 2007).

[31] YOUNG, I., MARK, B., AND RICHARDS, D. Statistical geolocation of Internet hosts. In Proceedings of the 18th International Conference on Computer Communications and Networks (August 2009).

地理定位算法主要依赖于ping [7]和跟踪[7]的测量。Ping测量互联网上两台机器之间的往返时间（RTT）延迟，而跟踪器发现并测量沿着路径到给定目的地的路由器的RTT。我们根据基于测量的地理定位算法用于确定目标位置的测量类型进行分类。我们将使用端到端RTT的算法称为基于延迟的[9,12,31]，并将那些同时使用RTT和拓扑信息的算法称为拓扑感知算法[14,30]。

[7] CROVELLA, M., AND KRISHNAMURTHY, B. Internet Measurement: Infrastructure, Traffic and Applications. John Wiley & sons, 2006.

[9] ERIKSSON, B., BARFORD, P., SOMMERS, J., AND NOWAK, R. A learning-based approach for IP geolocation. In Proceedings of the Passive and Active Measurement Workshop (April 2010).

[12] GUEYE, B., ZIVIANI, A., CROVELLA, M., AND FDIDA, S. Constraint-based geolocation of Internet hosts. IEEE/ACM Transactions on Networking 14, 6 (December 2006).

[31] YOUNG, I., MARK, B., AND RICHARDS, D. Statistical geolocation of Internet hosts. In Proceedings of the 18th International Conference on Computer Communications and Networks (August 2009).

[14] KATZ-BASSET, E., JOHN, J., KRISHNAMURTHY, A., WETHERALL, D., ANDERSON, T., AND CHAWATHE, Y. Towards IP geolocation using delay and topology mesurements. In Proceedings of the ACM SIGCOMM Internet Measurement Conference (October 2006).

[30] WONG, B., STOYANOV, I., AND SIRER, E. G. Octant: A comprehensive framework for the geolocalization of Internet hosts. In Proceedings of the 4th Symposium on Networked Systems Design and Implementation (NSDI) (Cambridge, MA, April 2007).

基于度量的地理定位的另一种选择是使用IP数据库到位置映射的地理定位。这些数据库可以是专有的，也可以是公共的。公共数据库包括由区域互联网注册处（如ARIN [3]，RIPE [23]）管理的数据库。IP到地理位置映射的专有数据库由Quova [22]和Maxmand[16]等公司提供。虽然构建这些数据库的确切方法不是公开的，但它们有时是基于whois服务、DNS LOC记录和自主系统（AS）编号[2]的组合。注册中心和数据库往往是粗粒度的，通常返回注册IP地址的组织的总部位置。当组织将其IP地址分发到一个广泛的地理区域内，如大型ISPs或内容提供商时，这就成为了一个问题。误导性的数据库地理定位也可以通过使用代理直接实现。

[3] American Registry for Internet numbers (ARIN), 2010. http: //www.arin.net.

[23] Reseaux IP Europeens (RIPE), 2010. http://www.ripe. net.

[22] Quova – IP geolocation experts, 2010. http://www.quova. com.

[16] Maxmind - geolocation and online fraud prevention, 2010. http://www.maxmind.com.

[2] ANDERSON, M., BANSAL, A., DOCTOR, B., HADJIYIANNIC, G., HERRINGSHAW, C., KARPLUS, E., AND MUNIZ, D. Method and apparatus for estimating a geographic location of a networked entity, June 2004. US Patent number: 6684250.

DNS LOC [8]是一个开放的标准，它允许DNS管理员使用位置信息来增强DNS服务器，有效地创建一个公开的IP位置信息数据库。然而，它并没有得到广泛的使用。此外，由于DNS LOC数据库的内容没有经过身份验证，并且是由IP地址的所有者自己设置的，因此它不适合用于对安全敏感的应用程序。

[8] DAVIS, C., VIXIE, P., GOODWIN