互联网恶意节点溯源追踪研究Word格式文档下载.docx
《互联网恶意节点溯源追踪研究Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《互联网恶意节点溯源追踪研究Word格式文档下载.docx(18页珍藏版)》请在冰豆网上搜索。
学生(签名):
日期:
年月日
目录
摘要1
1绪言3
1.1网络安全现状3
1.2网络溯源面临的问题与问题分析3
2互联网溯源追踪的分类及应用场景5
2.1互联网溯源追踪的分类5
2.2互联网溯源追踪应用场景8
3互联网溯源追踪现有技术9
3.1分组标记溯源法9
3.1.1节点取样技术9
3.1.2非IP地址标记技术9
3.2发送特定ICMP溯源法10
3.2.1意图驱动的ICMP溯源技术11
3.2.2带累积路径的ICMP溯源技术11
3.3受控洪泛溯源法11
3.4日志记录溯源法11
3.5链路测试溯源法12
3.6数据包标记溯源法12
3.7其他溯源法13
4一种基于历史标记的IP追踪方案及性能评估14
4.1传统的概率包标记方案(PPM)14
4.2概率包标记方案(PPM)存在的不足14
4.2.1重新覆盖标记14
4.2.2不确定的攻击源15
4.3基于历史标记的IP追踪方案(HPPM)16
4.4性能分析17
4.4.1采样概率p的讨论17
4.4.2不确定因素的控制18
4.4.3性能总结18
4.5方案总结19
5总结19
参考文献20
学生:
林青铎(指导老师:
周先存)
(皖西学院信息工程学院)
摘要
随着互联网用户的不断增加,互联网在全世界范围内的影响力已经越来越大。
互联网安全问题也逐渐受到热议,如同我们日常网络生活偶尔会遭遇各种网络恶意行为的入侵,当我们的利益受到损害,犯罪者却在网络的另一端逍遥法外。
而对网络溯源追踪的研究,可以帮助我们解决这一问题,找到网络恶意行为的真凶。
本文首先从当今互联网所面临的安全环境入手,综述了溯源追踪的必要性与关键性,分析了溯源追踪的分类与应用场景,介绍了现有的溯源追踪技术并且分析其优劣性。
并且针对传统的概率包IP标记方案(PPM),其高误报率与计算复杂的缺陷,给出一种基于历史标记的IP溯源方法(HPPM),用以解决其缺陷,并且加以验证。
最后部分是对现今溯源追踪主要存在问题的分析与未来发展方向的展望。
关键词:
溯源追踪;
网络安全;
IP包标记;
恶意节点;
DDoS攻击。
ResearchonTracingMaliciousNodesinInternet
Student:
QingduoLin(FacultyAdviser:
XiancunZhou)
(CollegeofInformationEngineering,WestAnhuiUniversity)
Abstract:
WiththeincreaseofInternetusers,theInternetworldwideinfluencehasbeengrowing.Internetsecurityproblemsaregraduallybeinghot,asinourdailylivesandoccasionallyencountervariousnetworknetworkintrusionofmaliciousbehavior,whenourinterestsarejeopardized,buttheperpetratorsgounpunishedintheothersideofthenetwork.Traceabilityandtrackingofresearchnetworksthatcanhelpussolvethisproblem,findthemurderersnetworkofmaliciousbehavior.Firstly,fromtoday'
sInternetsecurityenvironmentfacingthestart,reviewthenecessityoftrackingandtraceabilitycriticalanalysisoftheclassificationandtrackingtraceabilityscenariodescribesexistingtraceabilitytrackingtechnologyandanalyzeitsadvantagesanddisadvantages.AndtheprobabilityoftraditionalIPpacketmarkingscheme(PPM),itshighrateoffalsepositivesandthecomputationalcomplexityofthedefectsisgivenanIP-basedtraceabilitymethods(HPPM)historicalmarker,toaddressitsdeficienciesandverified.Thelastpartistheanalysisofthemainproblemsoftodaytracebacktheprospectsandfuturedirection.
Keywords:
Traceabilitytrack;
networksecurity;
IPpacketmarking;
maliciousnodes;
DDoSattacks.
1绪言
1.1网络安全现状
互联网的高速发展,使得我们日常生活的节奏变得越来越快。
据统计截止至2013年12月,我国现有网民的数量已经到达了6.18亿之多,而网络的普及率也接近50%。
拥有如此广大用户基础的互联网已经完全渗入到我们的生活之中。
包括娱乐、交流、社区、新闻、购物等各式各样的应用服务。
互联网俨然已经成为我们日常生活的“第二社会”。
与现实生活中不同,虚拟的世界的道德与法律的约束并没有那么明显,犯罪活动的实施有时候并不会遭到追究和惩罚,而单靠自身的道德约束,显然不能完全的杜绝网络违法犯罪行为的发生,虽然现如今有一定的法律法规出台以保护互联网环境,但是现在的网络上还是大量充斥了病毒、木马、蠕虫、垃圾信息、垃圾邮件、窃取他人账号或财产的网络恶意行为。
但是互联网之所以能够告诉发展,与其本身的匿名传统是分不开的,就像一句玩笑话一样:
“你永远不知道坐在屏幕那端和你聊天的到底是一个人还是一条狗。
”,正是这种网络非真实信息的存在,使得对网络违法犯罪行为的惩戒变得困难起来。
但是互联网精神就是如此,在这样的大环境下如何维护网络健康问题成为我们必须攻克的难题之一。
1.2网络溯源面临的问题与问题分析
溯源,指的是通过一定的方法寻找网络事件的信息,类如发起者、发起时间、IP地址等,一般遭遇而已网络攻击是对攻击发起者进行溯源查找。
溯源的目标或许来源于不同的层次,比如应用层与网络层。
应用层溯源一般能找到某些应用的使用者,比如直接发送病毒的QQ之类;
而网络层溯源则显得更加精确,最后所要找到的一般是IP地址,例如发起DDoS攻击的准确IP地址。
在某些情况下,其实应用层问题与网络层问题是相通的,可以通过映射将问题互相转化。
我们要找的相关信息指的是事件发起者的设备、主机、地址等可以确定目标的信息。
比如我们知道的传统电信网业务都是是以连接为基础,主叫将被计费,所以电信网从设计之处就已经考虑到了溯源能力。
网络设备可以验证或重写与终端或电话号码相关的源地址,所以无论是电话或,帧中继,这组数据服务已经跟踪到跟踪的能力:
当源地址的真实性是可以保证的,操作员可以确认的接入点源地址和近似位置。
当然所有的保护措施不可能都是万无一失的,虚假号码的现象现在也在困扰着传统电信网的溯源。
我们通过一定的技术来获得一起网络事件发起的源地址与相关信息,我们将这种技术称之为互联网溯源追踪技术。
整个过程涉及的机器我们将其分为攻击者、跳板机、僵尸机、反射器、被攻击者。
攻击模型如图1.1所示。
图1.1网络攻击的基本路径
攻击者(ARackerHost)恶意攻击的发起者,最终所要溯源的目标。
跳板机(SteppingStone)发起者用以隐藏身份的机器,类似于管道。
僵尸机(Zombie)已经被攻击,并协助恶意攻击的机器。
反射器(Reflector)尚未被攻击,却同样协助了网络攻击,大多数不知情,俗称“肉鸡”。
被攻击者(VictimHost)最终受到攻击的机器,我们需要从这台机器上提取一定的信息来进行相关溯源。
就我们所知TCP/IP协议对收到的数据包源地址没有验证的机制,从而直接从IP数据包得到起点实属天方夜谭,更不要说大多数攻击者会通过管道和“肉鸡”来掩护自己,在有必要时,被绑架的“肉鸡”还可以被直接放弃,从而使得溯源追踪无迹可寻。
所以,想要完成溯源面临了以下几点问题:
IP网络设计存在缺陷。
互联网是基于连接发送数据的,可是偏偏又没有检测能力,每一个数据包上都写有源地址与目的地址的相关信息,这时候互联网需要进行传输,将每个数据包都送达指定地址,就要对路由器提取信息,路由表上的信息确保了数据分组将从对应的端口发出而不会造成混乱。
当网段划分足够小时,网段之内只有一个用户,就不会出现虚假源地址的情况。
此外还有uRPF技术,uRPF技术指的是对中间路由器做粗略检查,当检查到IP地址不存在路由表时,则判断为虚假分组,直接丢弃。
但是为什么看上去很好的技术没有得到广泛的使用呢?
首先,这种技术对路由器的要求太高,一般的路由器根本就没有办法完成额外的计算工作;
其次,单向通信问题,虚假地址只能单向攻击,也就是说无法进行逆向构造路径的问题,即使能够检测到,也无法真正溯源。
但是伴随着互联网的不断发展,这些漏洞出现之后,既是局域网支持该技术,却无法大规模的扩散推广,因此,当前互联网缺乏验证源地址的能力。
就我国现在的互联网情况来看,NAT设备的与很多志愿者的提供的代理设备成为了溯源追踪阻力之一,因为我们得到的数据包一旦进过了这些设备之后地址就会发生一定的变化,这样经过一个或者多个代理设备之后,再想找到我们所需要的源地址就比较的繁琐复杂。
虽然可以对这些设备的日志上做出标记要求,但是由于设备的不统一,这种要求明显很难统一实现。
如果恶意攻击存在多重代理,而代理的管理主体不唯一,列如国外的管理主体,那么网络溯源追踪将无法实现。
由于现在互联网的用户众多,而且大多数的使用者没有多少的自我安全防御意识和能力,这些用户一旦被盯上,被攻击者有意操纵,就会成为网络恶意行为的跳板机。
而通过这种方法溯源追踪所得到的IP分组都是那些在不知情的情况下进行攻击的无辜者,虽然是成功了,但是这不是我们溯源追踪所要达到的真正目的。
众所周知,互联网之所以能够高速发展,得到大多数人的认可,与其隐私保护方式也有着一定的联系。
但是溯源追踪作为一种针对网络犯罪的手段,同时也是一把双刃剑,如果这种技术被不法分子掌握,那么这种手段将成为他们窥探他人网络隐私的途径,网络隐私难以得到保障。
互联网提倡的就是一种轻松、匿名的环境,这也正是为什么互联网能够在短短的几十年的时间取得如此巨大的成功。
现在,如何利用好溯源追踪这把“武器”而又不伤及网络文化本身成为了一大话题。
2互联网溯源追踪的分类及应用场景
2.1互联网溯源追踪的分类
如果从溯源时间来分类,溯源可分为实时溯源与事后溯源。
实时溯源,当网络行为正在发生时,寻找网络事件的发起者。
事后溯源,当攻击结束之后,根据设备上所能得到的信息来找到事件发起者。
如果从溯源实现的位置来分类,溯源可分为基于网络设施溯源与基于终端溯源。
通常我们主要工作实施于网络设备上的溯源方式称作网络设施溯源,而将主要工作实施于通信参与者网络终端的溯源方式称作终端溯源。
(图2.1)
图2.1网络设施溯源原理
如果从溯源的发起者来分类,溯源可分为参与者发起的溯源与第三方发起的溯源。
简单的说由事件参与人也就是我们自己发起的网络溯源被称为参与者溯源,而由运营商或者相关部门诸如公安局发起的网络溯源被称为第三方溯源。
如果从溯源因为是否需要带外通信来分类,溯源分为带外溯源与带内溯源。
需要使用带外通信手段收集信息和下达指令的溯源方式被称为带外溯源(图2.2);
而不只需要网络现有信道,还对其他信息收集方式有需求的网络溯源方式被称为带内溯源。
图2.2带外溯源原理
如果从被溯源地址真实性分类,溯源可分为虚假地址溯源和真实地址溯源。
虚假地址溯源的目的是指定的,就是IP分组发起人;
而真实地址溯源查找的是源地址的接入点或者拥有者,以及动态地址特定时间的使用者。
如果从溯源的对象来分类,溯源可分为发起者溯源和路径溯源。
发起者溯源针对的恶意攻击的发起人,不限制手段,对路径也不要求重构;
而路径溯源针对的整个恶意攻击的在网络中的路径,主要目的在于重塑路径,至于最后得到的源地址是真是假,是否能找到攻击发起人不作要求。
(图2.3)
图2.3路径溯源原理
2.2互联网溯源追踪应用场景
溯源追踪可以帮助我们查找发起DDoS攻击的攻击者。
这里我们有必要介绍一下DDoS攻击,分布式拒绝服务攻击英文缩写即"
Ddos"
指以分散攻击源来黑进指定网站的黑客方式。
DDoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。
DdoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。
单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项指标不高的性能,它的效果是明显的。
随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了-目标对恶意攻击包的"
消化能力"
加强了不少。
这时候分布式的拒绝服务攻击手段(DDoS)就应运而生了。
DDoS就是利用更多的傀儡机(肉鸡)来发起进攻,以比从前更大的规模来进攻受害者。
重塑路径可以让我们了解攻击者的攻击路径,从而在关键的地方设置障碍来缓解攻击。
溯源追踪技术也可以查找特定用户收到网络恶意攻击是攻击者的接入点与接入网络的注册资料。
僵尸网络与病毒对于互联网的危害都很大,并且这两者还可以进行有效的结合。
僵尸网络可以控制并操作大量的无辜者来进行网络攻击,而且必要时僵尸网络会放弃这些无辜的被控制者,所以很难找到真正的操纵者。
同理,由于网络邮件协议的缺陷,我们也很难溯源一封垃圾邮件。
这个时候,我们也可以运用一定的溯源追踪技术来查找垃圾邮件的真正起点源于何处。
3互联网溯源追踪现有技术
3.1分组标记溯源法
分组标记溯源,简单的来说就是就是标记路由器,一个IP分组在经过一个路由器的时候,我们要求路由器将自己的地址写在这个IP分组里,这样我们最后拿到IP分组,我们就能根据分组中的信息确定这个分组在传输的过程中经过了哪几个路由器。
[7]如果能够保证每一个路由器都被要求标记分组的话,那么网络层溯源根本就不是什么难事,直接读取分组上的路由器信息就行了。
但是该方法的缺点是显而易见的。
首先,对路由器的要求太高,标记分组本身就是对路由器的一个额外任务,而且要完成这个任务并不简单,附加地址的话要经过各种运算和校验,最后才形成封装。
就当前路由器端口速率来考虑,增加运算的复杂程度会对整个芯片的复杂程度造成影响从而影响生产成本。
其次,附加自身地址信息的行为将导致该IP分组的长度增长,如果需要经过的路由器过多的话,就会造成IP分组超过链路最长分组的上限。
最后,如果分组被不法分子得到并加以利用,整个网络路径的拓扑就会暴露出来,这样对自身隐私带来困扰。
3.1.1节点取样技术
为了减少路由器的额外消耗,并且同时减少IP分组链路的总长度,我们可以将路由器做分组标记的比例进行一定的调整,而且每一个IP分组只做一个分组标记。
这样最后得到的分组信息不回出现上述问题。
虽然这种方法可能会导致标记覆盖的问题,会出现距离受害者越远越难被标记,但是只要采样的数据包足够多,还是可以做到路径重建的。
3.1.2非IP地址标记技术
说到这种技术,我们就要提到一个概念,AS号。
自治系统(AutonomousSystem)是指使用统一内部路由协议的一组网络。
如果成员单位的网络路由器准备采用EGP(ExteriorGatewayProtocol)BGP(BorderGatewayProtocol)或IDRP(OSIInter-DomainRoutingProtocol)协议,可以申请AS号码。
一般如果该单位的网络规模比较大或者将来会发展成较大规模的网络,而且有多个出口,建议建立成一个自治系统,这样就需要AS号码。
既然我们可以要求路由器将自己的地址加入IP分组数据包,而自身IP地址过长会造成麻烦,那么我们不妨用AS号来代替路由器地址,这样会使得溯源更简单更快捷,使用的时间更少。
但是所得到的路径未必准确,也就是说溯源追踪未必能得到精确的数据源。
3.2发送特定ICMP溯源法
发送特定ICMP溯源法通过利用ICMP协议来完成我们最终所要达到的溯源目标。
ICMP协议是一种面向无连接的协议,用于传输出错报告控制信息。
它是一个非常重要的协议,它对于网络安全具有极其重要的意义。
ICMP提供一致易懂的出错报告信息。
发送的出错报文返回到发送原数据的设备,因为只有发送设备才是出错报文的逻辑接受者。
发送设备随后可根据ICMP报文确定发生错误的类型,并确定如何才能更好地重发失败的数据包。
但是ICMP唯一的功能是报告问题而不是纠正错误,纠正错误的任务由发送方完成。
我们在网络中经常会使用到ICMP协议,比如我们经常使用的用于检查网络通不通的Ping命令(Linux和Windows中均有),这个“Ping”的过程实际上就是ICMP协议工作的过程。
还有其他的网络命令如跟踪路由的Tracert命令也是基于ICMP协议的。
ICMP溯源首先要求路由器对随机报文进行复制,当然为了减少路由器的压力,随机的概率一般很小,例如控制在一万分之一左右,在复制报文的同时将下一路由器的地址同时加入复制的内容,然后将这些东西进行封装,封装完毕之后发送到目的地址。
这个时候受害者就可以接受这些被复制过的报文以作为路径重构的信息了,只要收集的报文分量足够时,可以通过最后复制上去的路由器地址来进行溯源。
降低复制的概率,可以有效的减小整个网络的负载,并不会给路由器带来很重的额外任务同时也不会占用什么网络资源。
[1]但是这种技术有着比较明显的缺点:
虚假报文,只要攻击者制造虚假的报文,就可以错误的引导溯源的方向,最终造成溯源的失败。
ICMP报文不能通过所有网络,有的网络是会选择性过滤的,导致报文的丢失。
想通过ICMP报文溯源追踪对报文的数量有很大的要求,繁杂的信息量和计算会造成无法及时的溯源,而如果信息量不足的话又会造成无法重塑路径。
所以对于ICMP溯源的改进一直在进行,例如瞎编我们将要提到的意图驱动的ICMP溯源技术与带累计路径的ICMP溯源技术。
3.2.1意图驱动的ICMP溯源技术
改变接受方式,以前的ICMP溯源都是路由器主动发送报文给受害者,这样大量的流量被浪费但是受到的效果并不好,现在换一种方式,来让受害者机器自己来判定是否需要接受报文,只有被需要时,路由器才会向受害者发送所需的溯源报文,提高了效率的同时,大大的降低了无用的网络消耗。
只需要对路由器进行一定的设置,就可以减轻网络负担过重的问题。
3.2.2带累积路径的ICMP溯源技术
路由器是否会产生报文是由概率决定的,但是如果某分组后面的溯源报文到达的目的地相同,为同一个路由器,那么我们则判定该路由器不存在虚假现象,就要求路由器生成新的溯源报文,这样可以有效的排除虚假报文的干扰。
3.3受控洪泛溯源法
受控洪泛溯源法只能在攻击进行时使用,当收到攻击时,我们在受害人机器的上游设备开始向受害人机器发送UDP报文。
UDP是UserDatagramProtocol的简称,中文名是用户数据报协议,是OSI(OpenSystemInterconnection,开放式系统互联)参考模型中一种无连接的传输层协议,提供面向事务的简单不可靠信息传送服务,IETFRFC768是UDP的正式规范。
UDP在IP报文的协议号是17。
当每条链路中都充斥了大量的报文时,则造成了人为的拥堵。
根据经验我们知道一条链接上的负载越重那么该链接上报文丢失的概率也就越大,如果向某链接发送“洪泛数据”后报文减少,我们就可以确定这条链接是否是攻击报文传输所用的链接。
[2]该方案的缺陷:
其实该方案本身是一种“以毒攻毒”的DDoS攻击行径,并不值得提倡。
进行溯源追踪需要拥有高度的控制权限以及整个链路的拓扑。
该方案只能即时进行,攻击一旦停止将不再适用。
3.4日志记录溯源法
日志记录溯源法简单来说就是由路由器做日志记录,然后在有必要时将日志拿出来分析并获得传输的路径。
[3]主要日志记录内容为路由器转发的报文,而在提取日志是需要利用到一些数据挖掘技术。
该技术的对溯源的时间没有强制的要求,可以是即时的也可以在攻击之后。
并且对于信息量并没有很大的要求,只需要一个分组就可以实现重塑路径,实现溯源追踪。
改方法看似很方便快捷,但是有一个致命性的缺点就是过于理想化。
日志全网共享对于网络资源的透明以及安全是一个巨大的考验,而且因为运营商的问题,日志的格式也是不一致的,想要做到共享很难。
所以说从理论上来说日志记录溯源法是最简单而且消耗最小的一种溯源追踪方法,但是所需要的资源太过巨大,而且在现阶段基本不可能大范围使用,所以这种理想化的溯源方法实际操作性不强。
3.5链路测试溯源法
链路测试溯源法,我们又称之为逐跳回溯(hop-by-hoptracing),该方法主要是由管理者在路由器的端口处设置条件,用以过滤信息,得到上游设备和路径的信息,然后开始从被攻击者开始,由近到远开始检查路由器,一层一层的找寻攻击者的攻击路径,只要不断重复该行为就能找到攻击者的源地址[4]
相比于其他过于理想化的方案,这种溯源的方法可操作性稍微强一些。
因为他与现有的网络协议以及网络设施路由器等都有兼容,可实现性比较强,可以逐级完成。
但是,因为该方案是即时性的溯源追踪方案,而且需要检查的步骤比较麻烦,所以必须要求攻击有一定的时持续时间,所以面对DDoS攻击
升级会员 