计算机网络追踪溯源技术.docx
《计算机网络追踪溯源技术.docx》由会员分享,可在线阅读,更多相关《计算机网络追踪溯源技术.docx(12页珍藏版)》请在冰豆网上搜索。
计算机网络追踪溯源技术
计算机网络追踪溯源技术
一、产生背景:
计算机网络是计算机技术和通信技术发展到一定程度相结合的产物,Internet的出现更是将网络技术和人类社会生活予以紧密的结合。
随着网络技术的飞速发展,越来越多的传统运作方式正在被低耗、开放、高效的分布式网络应用所替代,网络已经成为人们日常生活中不可缺少的一部分。
但是,随之而来基于网络的计算机攻击也愈演愈烈,尤其是DDoS攻击,攻击者利用网络的快速和广泛的互联性,使传统意义上的安全措施基本丧失作用,严重威胁着社会和国家的安全;而且网络攻击者大都使用伪造的IP地址,使被攻击者很难确定攻击的位置,从而不能实施有针对性地防护策略。
这些都使得逆向追踪攻击源的追踪技术成为网络主动防御体系中的重要一环,它对于最小化攻击的当前效果、威慑潜在的网络攻击都有着至关重要的作用。
二、DDoS攻击原理:
但是精确定位攻击源并非易事,因为攻击者对远程计算机或网络进行攻击时,通常采用两种手段来隐藏自己的真实地址:
伪造报文IP源地址和间接攻击。
因特网中有许多主机提供代理服务或存在安全漏洞,这些主机会被攻击者作为“跳板”对目标发动攻击,从受害主机只能看到“跳板”地址,而无法获得攻击主机地址。
其攻击模型为:
(attacter)(steppingstone)(zombie)(reflecter)(victim)
图1网络攻击模型
它涉及到的机器包括攻击者、受害者、跳板、僵尸机器、反射器等。
攻击者(AttackerHost)指发起攻击的真正起点,也是追踪溯源希望发现的目标。
被攻击者(VictimHost)指受到攻击的主机,也是攻击源追踪的起点。
跳板机(SteppingStone)指已经被攻击者危及,并作为其通信管道和隐藏身份的主机。
僵尸机(Zombie)指已经被攻击者危及,并被其用作发起攻击的主机。
反射器(Reflector)指未被攻击者危及,但在不知情的情况下参与了攻击。
其中跳板机器和僵尸机器都是攻击者事先已经攻破的主机,我们统称它们为变换器,它们负责把攻击数据包做某种变换以掩盖攻击者的行踪,具体变换如下:
图2
三、网络追踪溯源技术:
计算机网络追踪溯源是指确定网络攻击者身份或位置及其中间介质的过程。
身份指攻击者名字、帐号或与之有关系的类似信息;位置包括其地理位置或虚拟地址:
如IP地址、MAC地址等。
追踪溯源过程还能够提供其他辅助信息,比如攻击路径和攻击时序等。
网络管理者可使用追踪溯源技术定位真正的攻击源,以采取多种安全策略和手段,从源头抑制,防止网络攻击带来更大破坏,并记录攻击过程,为司法取证提供必要的信息支撑.在网络中应用追踪溯源我们可以:
1 确定攻击源,制定实施针对性的防御策略;
2 确定攻击源,采取拦截、隔离等手段,减轻损害,保证网络平稳健康的运行;
3 确定攻击源,记录攻击过程,为司法取证提供有力证据.
1.追踪溯源的困难:
由于当前的TCP/IP协议对IP包的源地址没有验证机制以及Internet基础设施的无状态性,使得想要追踪数据包的真实起点已不容易,而要查找那些通过多个跳板或反射器等实施攻击的真实源地址就更加困难。
具体体现在以下几方面:
(1)当前主要的网络通信协议(TCP/IP)中没有对传输信息进行加密认证的措施,使得各种IP地址伪造技术出现。
使得通过利用攻击数据包中源IP地址的追踪方法失效。
(2)Internet已从原来单纯的专业用户网络变为各行各业都可以使用的大众化网络,其结构更为复杂,使攻击者能够利用网络的复杂性逃避追踪。
(3)各种网络基础和应用软件缺乏足够的安全考虑,攻击者通过俘获大量主机资源,发起间接攻击并隐藏自己。
(4)一些新技术在为用户带来好处的同时,也给追踪溯源带来了更大的障碍。
虚拟专用网络(VPN)采用的IP隧道技术,使得无法获取数据报文的信息;网络服务供应商(ISP)采用的地址池和地址转换(NAT)技术,使得网络IP地址不在固定对应特定的用户;移动通信网络技术的出现更是给追踪溯源提出了实时性的要求,这些新技术的应用都使得网络追踪溯源变得更加的困难。
(5)目前追踪溯源技术的实施还得不到法律保障,如追踪溯源技术中,提取IP报文信息牵扯到个人隐私。
这些问题不是单靠技术手段所能解决的。
2.追踪溯源技术分类:
1)主动询问类
此类方法通过主动询问数据流可能经过的所有路由器,确认其流向路径的机制(InputDebugging)。
主动询问是一种比较粗的方法,通过带有InputDebugging功能的路由器进行一级一级(Hop-by-hop)的沿攻击数据流路径查询追踪,多数路由器具有查找符合某种模式报文的输入接口的调试功能,利用路由器的这一功能,在攻击发生后逐跳确定具有攻击特征的数据包来自哪个路由入口,通过反复使用从而可以确定发送攻击包的真实IP,原理示意图及算法流程如图3所示。
图3带有inputdebugging功能路由器的追踪溯源原理及算法流程图
此类方法目前在计算机网络中已经得到应用,有不少的网络提供商(ISP)通过设备升级改造,安装更加智能的路由器系统提高追踪效率及能力。
缺点:
这种方法是IP追踪时最容易想到的方法,但要求追踪路径上所有路由器必须具有输入调试能力,且需要网络管理员或技术人员手工操作,依赖互联网服务提供商即ISP的高度合作。
虽然其追踪结果非常准确,但由于追踪速度很慢且操作复杂、技术含量高,除了军用等特殊需要外,基本不使用。
2)数据监测类
此类方法通过构建覆盖全网络的监测点对网络中数据流进行监测。
如各种日志记录技术(Logging)。
通过对流经路由器的所有数据包(包括攻击数据包)进行信息存储,一旦发生攻击,由受害端发起查询信息,以此确定攻击路径。
此方法需要大量的存储计算资源且需要数据库技术支持,但基于HASH算法的日志类方法则可大大减少存储资源的需求。
如图4所示:
图4数据检测类追踪溯源原理
另一种思路就是将数据包经过路径的路由器地址信息写入数据报文中,受害者收到攻击数据包后就可以从报文中提取出路径信息,构造出攻击数据的攻击路径,就可以追踪到攻击者,这就是路径记录法。
在IP报文头的IP选项里有一项路径记录功能,可以用来记录报文从攻击者到受害者所经过的路径上的各路由器的口地址,路径记录法就是利用该功能来记录路径信息。
其报文格式如图5所示,
图5带路径记录选项的IP报文结构
其中,“选项码”为7,表示路由器在转发报文时,要将自己的IP地址添加到报文中。
长度指出IP数据报发送主机预先分配给该IP地址存储区域的大小,指针指向该存储区域内下一个用于存放IP地址的位置。
如果预先分配的地址区域大小不足以记录下全部路径,IP协议将放弃记录余下的地址。
因为数据报文的IP选项域也并没有足够的空间存储路由信息,所以出现了另一种思路:
用记录IP地址信息的摘要来节省存储空间。
受害者可以根据所收到的攻击数据包的摘要和路由器中保存的摘要重构攻击路径,源路径隔离引擎就是比较成熟方法之一。
该方法的优点是能够对单个数据包进行很准确的反向跟踪,漏警率为零,且有很好的互操作性。
缺点:
是它需要ISP间的相互合作,对高速路由器存储要求高,并会消耗路由器CPU资源,影响路由器的流量转发性能。
3)路径重构类
路径重构类是目前研究得比较热的一类方法,是追踪溯源技术发展的方向之一,研究产生了大量技术方法及重构算法,其相关理论也较成熟。
其核心思想是通过在网络中传输的数据包中编入路径信息或者单独发送含有路径信息的数据包,接收端通过收集这些包含路径信息的数据包,并根据一定的路径重构算法实现重构攻击数据包路径的目的。
(数据包标记法)
较为著名的有PPM(ProbabilisticPacketMarking)、iTrace、DPM(DeterministicPacketMarking)APPM标记法等。
如图6PPM原理示意图
图6路径重构类追踪溯源原理
1 PPM(ProbabilisticPacketMarking)概率包标记法
InPPM,thepacketisprobabilisticallymarkedinrouterswiththerequiredinformation(dependinguponthetechnique).Withthelowrequiredcostandlowvolumeofmarking(typically1/25),PPMhasdrawnmuchattentionasatracebackmethod.PPMusesedgesamplingasamarkingalgorithmwhichencodestheedges(twonodes)insteadofrecordingthenodesasinnodeappendorencodeseachnodeasinnodessampling.EncodingofanyedgeiscarriedbytheXORofthetwoIPaddressresultinginone32bitaddresscalledtheedge-id.Inordertoreducetherequiredspaceformarking,kofnon-overlappingfragmentswereintroduced.Thekfragmentsnumberisaresultfromdividingtheedgeid.Whenarouterchoosestomarkapacket,oneofthekfragments,randomly,willbeinjectedinsidethepacket.Tolessenthecollisionthatcouldhappen,wheredifferentedgescouldhavesamefragmentsvalue,errordetectionwasaddedtothealgorithm.
TherearedrawbackswithPPM.PPMcoversalocalrangesuchasanISPnetworkwheretheywouldhaveacontroltoadministratethenetwork.Therefore,it’sdifficulttotracebackanyattack’ssourcefromoutsidethenetwork.Additionally,PPMissusceptibletoattackasthevictimcouldbemisinformedbyreceivingfakemarkingpacketsfromtheattacker.Inotherwords,markinginformation,whichwillbeusedbythevictimfortracingtheattacker‘ssource,couldbeviolated.Inaddition,overwritingthemarkedmassagesbytheroutersontheattacktreewouldreducetheaccuracy.Thefurthertherouterontheattackpathisawayfromthevictim,thehighprobabilityforitsmarkedpacketstooverwrittenbyarouterclosertothevictim.Furthermore,PPMincreasestheoverheadandprocessinginroutersbecauseitinvolvesalltheroutersontheattackpathinthemarkingprocess.Moreover,inordertoreconstructtheattacktree,largestorageisneededtostoremarkedpacketsinrouters.MostofthePPMproposedalgorithmshavenotaddressedthestoragespaceproblem.
2 DPM(DeterministicPacketMarking)确定性包标记法
InDPM,thepacketismarkedbytheedgerouterthatitpassesthrough.DPMhasthesameideathatisusingrecordrouteoptionmentionedattorecordtherouters’addresses.However,onlyoneIPaddresswillbeinjectedinsidethepacket.Thepacketismarkeddeterministicallybytheclosestinterfacesoftheedgeingressrouter.Onlytheincomingpacketswillbemarkedandthismarkisnotoverwrittenbyadownstreamrouter.Eachpacketwillbemarkedafteritentersthenetworkandthismarkwillstaythesameduringthejourneyinsidethenetwork.ThescopeofDPMcoverstheentireinternetwhereeachedgeroutershouldbeabletomarkthepackets.DPMdoesnotinvolvealloftheroutersintheattackpathinmarking.DPMdealswiththeinterfacesintherouterasoneunitinsteaddealingwiththerouterasoneunitinPPM.Itisreportedthatwithin10packets,theattackerorigincanbelocated.
该方法的优点是易于实现与前面的方法相比其不需要ISP配合(需改造路由器或部署特殊设备),也不需要大量的人力资源等
缺点:
但该方法虚警率较高,计算量很大,对DDos攻击无效,且鲁棒性差。
[计算机软件在输入错误、磁盘故障、网络过载或有意攻击情况下,能否不死机、不崩溃,就是该软件的鲁棒性。
所谓“鲁棒性”,是指控制系统在一定(结构,大小)的参数摄动下,维持其它某些性能的特性。
]
3 ICMP消息法(iTrace)
ICMP消息法引入了一种新的消息“iTrace消息,该消息包含发送该消息的路由器的IP地址及诱发它的数据包的相关信息,加载了跟踪机制的路由器能够产生这种消息帮助受害主机识别假冒IP源的数据包。
但该方法会产生大量额外负载,影响网络性能并且容易被网络安全策略堵塞,且来自远端路由器的ICMP非常有限。
目的驱动的iTrace方法(intention-driveniTrace)在路由表和数据包转发表中引入了一个“目的位”(intentionbit)来决定某个特殊的目标是否需要iTrace跟踪消息,
该方法能精简iTrace消息提高系统的性能,几乎不需要对路由选择结构做出改变,。
其缺点是:
由于频繁地更新路由表,会导致路由选择机制的不稳定性,并有可能对BGP协议产生改变。
[以上三类技术可用在协作网域追踪溯源当中.]
3.协作网域追踪溯源和非协作网域追踪溯源
当前各种网络追踪溯源技术的有效性都与网络及其网络运营商的密切配合相关,使用网络运营商提供的数据信息或者在其允许下部署相应溯源设备都能较好的完成追踪溯源.考虑全球互联网空间,根据网络或网络运营商的配合程度,我们可以将网络空间分为可控网域和非可控网域.可控网域是指用户能够通过管理技术或行政命令等手段实施控制的网域,与之相反非可控网域就是指用户不能上述手段实施管理控制的网域.由于可控网域与非可控网域为追踪溯源提供的信息与辅助程度截然不同,据此,我们将网络追踪溯源分为协作网域追踪溯源和非协作网域追踪溯源.
1)协作网域追踪溯源
1 问题描述
考虑网络通信,终端P1产生网络数据S,通过R1->R2等一系列中间介质传输到接收端P2,如下图6所示.协作网域追踪溯源问题可描述为,在一个可控的网域中,给定S,如何确定P1.
图6协作网域追踪溯源问题模型
由于追踪溯源在可控网域中,因此能够通过行政或网络管理等技术手段,从网络提供商(ISP)那里获取网络拓扑、路由、IP地址分配等信息;或者在其允许下部署相应设主动采集或标记网络路径信息.通过对这些信息数据的分析处理,还原数据传输信息,重构其路径,达到追踪溯源之目的.目前,协作网域的追踪溯源技术研究较为成熟,形成了不同的技术路线,主要有输入调试、日志、包标记等技术方法。
三种方法原理在上面已说明。
在可控网域中,与网络运营商协作配合,获取信息数据,改造网络设备,部署相应的溯源设备.通过分析处理能够满足网络追踪溯源要求,重构攻击路径,完成追踪溯源.在实际使用中采用何种协作网域溯源技术,则需要综合评估网络负载,ISP配合与否等多种因素,如下表所示,择优选取.
表1协作网域追踪溯源技术比较表
2)非协作网域追踪溯源
1 问题描述
从协作网域追踪溯源技术可以看到,网络追踪溯源的主旨思想是对网络数据信息进行记录分析,通过分析实现网络路径的重构.这些网络数据信息可从两个渠道获取:
(1)与网络营运商协作,由其直接提供
(2)在网络营运商的许可下,部署相应设备,按需采集或记录信息.显然,这些手段在协作网域中都能较为容易的实现,从而有效实施追踪溯源.然而,这些有用信息在非协作网域中却难以获得.
在全球互联网空间,不可能获得每个网域营运商的协作或者被允许部署设备,全球范围追踪溯源的实施受到极大限制.而另一方面,攻击者又总是能够在一个广泛的网络空间中发起大规模的网络攻击,通过第三方或非可控的网域发起攻击,如下图7所示(以DDOS为例),图中的网络区域1、2、3可能属于不同的国家或第三方机构,由于各种因素(政治、安全等)限制,这些网域不提供任何信息,而导致追踪过程的中断,不能溯源定位真正的攻击源.对此,我们需研究在非可控网域的追踪溯源技术,满足全球互联网空间的追踪溯源需求.
图7跨网域攻击模型示意
2 基于网络信息主动感知的非协作追踪溯源技术
为了在非可控网域中有效实施追踪溯源,必先解决非可控网络的信息获取问题,以支撑非协作网域的追踪溯源.我们提出基于网络信息主动感知的非协作追踪溯源技术,通过对非可控网域的信息主动探知获取相应信息,其功能框图如下所示.在非可控网域的网络感知为追踪溯源模块提供信息支撑.比如网络拓扑主动发现能够生成非可控网络的整体拓扑,从而可实施可控DoS技术追踪,或者有的放矢的采集监测数据流,分析网络链路信息等.
图8网络信息主动感知的追踪溯源原理
网络信息主动感知的非协作追踪溯源技术包含信息探知及溯源两方面的能力,主要功能模块包括网络感知、追踪溯源和策略管理.利用拓扑主动发现、网络扫描、渗透等网络主动感知技术在非协作网域中实施信息获取.追踪溯源模块对网络感知获取的信息进行分析处理,重构数据传输路径,并将分析结果与网络感知和策略管理模块进行交互,以调整相应系统运作策略和感知内容.网络感知、追踪溯源、策略管理三个功能模块是相互交织联动的统一体,通过持续不断的分析处理,重构非协作网域攻击数据流路径等信息,实现非协作网域的追踪溯源能力.
a.网络感知
网络感知是一种分布式的架构,由多个感知节点组成.综合使用多种技术,完成扫描、探测和信息收集,分析汇聚成追踪溯源所需的基础信息.网络感知与分析评估、追踪溯源交互信息,根据分析评估和追踪溯源的实际需求,动态调整其探知内容和目标.
b.追踪溯源
追踪溯源通过特殊的路径重构算法及链路检测等技术对网络感知汇聚的信息进行深度分析处理,如网络数据流相关性分析处理.在网络感知模块获取信息基础上,可综合采用可控DoS和网络流分析技术,对攻击行为进行追踪.
可控DoS技术,是Burch等人在2000年提出的一种用于追踪溯源的链路检测技术.该技术的最大优势就是不需要ISP的任何配合,然而其本身却是一种网络攻击.设计思想是在攻击发生时,通过对受害端上一级的网络链路进行DOS攻击测试,如果对某一条链路进行可控DOS时,受害端的网络攻击数据量明显的减少,则判定该链路是攻击链路.如此,一级一级的回溯,完成追踪.网络感知模块可提供非可控网域较为详细的网络拓扑等信息,因此可以利用可控DoS技术对特定链路进行测试.网络流分析技术是在非协作网域中主动获取必要数据进行分析检测,识别网络数据传输链路.该技术在学术界获得了极大的关注.如果网络数据传输没有加密,可通过内容相关分析,确定网络节点的进出端口.Staniford等人是此类技术的最早提出者。
如果网络数据传输采取加密机制保护,仍可以通过时间信息的相关分析,确定其链路关系.通常,网络攻击跳板间通信都采用加密机制保护,然而攻击跳板链路通信数据却具有较高的时间相关性.Zhang等人是时间相关分析技术的最早提出者。
c.策略管理
策略管理负责实时调整网络感知和追踪溯源策略,根据追踪溯源的具体需求,对网络感知的精度和内容进行调整,使其按需提供相应信息.
③一种通用网络追踪溯源技术框架
结合协作与非协作追踪溯源原理,设计提出一种通用的网络追踪溯源技术框架,由协作网域、非协作网域追踪溯源和溯源控制系统组成,如图8所示
图8通用的网络追踪溯源技术框架
通过在可控网域部署相应的溯源设备,完成协作网域的追踪溯源任务.一旦追踪到可控网域边界,则根据攻击数据入口信息确定可能的非可控网域,进而采取网络信息主动感知的追踪溯源技术,对非可控网域的攻击路径进行分析重构,从而实现在全球网络空间中的追踪溯源.协作追踪溯源分系统将包含多种网络追踪溯源技术,为补充.根据具体的攻击行为,智能选取最优溯源技术及策略完成追踪.实施非协作追踪溯源时,需要考虑网络感知(主动拓扑发现、
升级会员 