计算机网络追踪溯源技术资料.docx

计算机网络追踪溯源技术资料.docx

《计算机网络追踪溯源技术资料.docx》由会员分享，可在线阅读，更多相关《计算机网络追踪溯源技术资料.docx（12页珍藏版）》请在冰豆网上搜索。

计算机网络追踪溯源技术资料

计算机网络追踪溯源技术

一、产生背景：

计算机网络是计算机技术和通信技术发展到一定程度相结合的产物，Internet的出现更是将网络技术和人类社会生活予以紧密的结合。

随着网络技术的飞速发展，越来越多的传统运作方式正在被低耗、开放、高效的分布式网络应用所替代，网络已经成为人们日常生活中不可缺少的一部分。

但是，随之而来基于网络的计算机攻击也愈演愈烈，尤其是DDoS攻击，攻击者利用网络的快速和广泛的互联性，使传统意义上的安全措施基本丧失作用，严重威胁着社会和国家的安全；而且网络攻击者大都使用伪造的IP地址，使被攻击者很难确定攻击的位置，从而不能实施有针对性地防护策略。

这些都使得逆向追踪攻击源的追踪技术成为网络主动防御体系中的重要一环，它对于最小化攻击的当前效果、威慑潜在的网络攻击都有着至关重要的作用。

二、DDoS攻击原理：

但是精确定位攻击源并非易事,因为攻击者对远程计算机或网络进行攻击时,通常采用两种手段来隐藏自己的真实地址:

伪造报文IP源地址和间接攻击。

因特网中有许多主机提供代理服务或存在安全漏洞,这些主机会被攻击者作为“跳板”对目标发动攻击,从受害主机只能看到“跳板”地址,而无法获得攻击主机地址。

其攻击模型为：

（attacter）（steppingstone）（zombie）（reflecter）（victim）

图1网络攻击模型

它涉及到的机器包括攻击者、受害者、跳板、僵尸机器、反射器等。

攻击者（AttackerHost）指发起攻击的真正起点,也是追踪溯源希望发现的目标。

被攻击者（VictimHost）指受到攻击的主机,也是攻击源追踪的起点。

跳板机（SteppingStone）指已经被攻击者危及,并作为其通信管道和隐藏身份的主机。

僵尸机（Zombie）指已经被攻击者危及,并被其用作发起攻击的主机。

反射器（Reflector）指未被攻击者危及,但在不知情的情况下参与了攻击。

其中跳板机器和僵尸机器都是攻击者事先已经攻破的主机,我们统称它们为变换器,它们负责把攻击数据包做某种变换以掩盖攻击者的行踪,具体变换如下:

图2

三、网络追踪溯源技术：

计算机网络追踪溯源是指确定网络攻击者身份或位置及其中间介质的过程。

身份指攻击者名字、帐号或与之有关系的类似信息；位置包括其地理位置或虚拟地址：

如IP地址、MAC地址等。

追踪溯源过程还能够提供其他辅助信息，比如攻击路径和攻击时序等。

网络管理者可使用追踪溯源技术定位真正的攻击源，以采取多种安全策略和手段，从源头抑制，防止网络攻击带来更大破坏,并记录攻击过程,为司法取证提供必要的信息支撑.在网络中应用追踪溯源我们可以：

1　确定攻击源,制定实施针对性的防御策略;

2　确定攻击源,采取拦截、隔离等手段,减轻损害,保证网络平稳健康的运行;

3　确定攻击源,记录攻击过程,为司法取证提供有力证据.

1．追踪溯源的困难：

由于当前的TCP/IP协议对IP包的源地址没有验证机制以及Internet基础设施的无状态性，使得想要追踪数据包的真实起点已不容易，而要查找那些通过多个跳板或反射器等实施攻击的真实源地址就更加困难。

具体体现在以下几方面：

（1）当前主要的网络通信协议（TCP/IP）中没有对传输信息进行加密认证的措施，使得各种IP地址伪造技术出现。

使得通过利用攻击数据包中源IP地址的追踪方法失效。

（2）Internet已从原来单纯的专业用户网络变为各行各业都可以使用的大众化网络，其结构更为复杂，使攻击者能够利用网络的复杂性逃避追踪。

（3）各种网络基础和应用软件缺乏足够的安全考虑，攻击者通过俘获大量主机资源，发起间接攻击并隐藏自己。

（4）一些新技术在为用户带来好处的同时，也给追踪溯源带来了更大的障碍。

虚拟专用网络（VPN）采用的IP隧道技术，使得无法获取数据报文的信息；网络服务供应商（ISP）采用的地址池和地址转换（NAT）技术，使得网络IP地址不在固定对应特定的用户；移动通信网络技术的出现更是给追踪溯源提出了实时性的要求，这些新技术的应用都使得网络追踪溯源变得更加的困难。

（5）目前追踪溯源技术的实施还得不到法律保障，如追踪溯源技术中，提取IP报文信息牵扯到个人隐私。

这些问题不是单靠技术手段所能解决的。

2．追踪溯源技术分类：

1）主动询问类

此类方法通过主动询问数据流可能经过的所有路由器，确认其流向路径的机制（InputDebugging）。

主动询问是一种比较粗的方法，通过带有InputDebugging功能的路由器进行一级一级（Hop-by-hop）的沿攻击数据流路径查询追踪，多数路由器具有查找符合某种模式报文的输入接口的调试功能，利用路由器的这一功能，在攻击发生后逐跳确定具有攻击特征的数据包来自哪个路由入口，通过反复使用从而可以确定发送攻击包的真实IP，原理示意图及算法流程如图3所示。

图3带有inputdebugging功能路由器的追踪溯源原理及算法流程图

此类方法目前在计算机网络中已经得到应用，有不少的网络提供商（ISP）通过设备升级改造，安装更加智能的路由器系统提高追踪效率及能力。

缺点：

这种方法是IP追踪时最容易想到的方法，但要求追踪路径上所有路由器必须具有输入调试能力，且需要网络管理员或技术人员手工操作，依赖互联网服务提供商即ISP的高度合作。

虽然其追踪结果非常准确，但由于追踪速度很慢且操作复杂、技术含量高，除了军用等特殊需要外，基本不使用。

2）数据监测类

此类方法通过构建覆盖全网络的监测点对网络中数据流进行监测。

如各种日志记录技术（Logging）。

通过对流经路由器的所有数据包（包括攻击数据包）进行信息存储，一旦发生攻击，由受害端发起查询信息，以此确定攻击路径。

此方法需要大量的存储计算资源且需要数据库技术支持，但基于HASH算法的日志类方法则可大大减少存储资源的需求。

如图4所示：

图4数据检测类追踪溯源原理

另一种思路就是将数据包经过路径的路由器地址信息写入数据报文中，受害者收到攻击数据包后就可以从报文中提取出路径信息，构造出攻击数据的攻击路径，就可以追踪到攻击者，这就是路径记录法。

在IP报文头的IP选项里有一项路径记录功能，可以用来记录报文从攻击者到受害者所经过的路径上的各路由器的口地址，路径记录法就是利用该功能来记录路径信息。

其报文格式如图5所示，

图5带路径记录选项的IP报文结构

其中，“选项码”为7，表示路由器在转发报文时，要将自己的IP地址添加到报文中。

长度指出IP数据报发送主机预先分配给该IP地址存储区域的大小，指针指向该存储区域内下一个用于存放IP地址的位置。

如果预先分配的地址区域大小不足以记录下全部路径，IP协议将放弃记录余下的地址。

因为数据报文的IP选项域也并没有足够的空间存储路由信息，所以出现了另一种思路：

用记录IP地址信息的摘要来节省存储空间。

受害者可以根据所收到的攻击数据包的摘要和路由器中保存的摘要重构攻击路径，源路径隔离引擎就是比较成熟方法之一。

该方法的优点是能够对单个数据包进行很准确的反向跟踪，漏警率为零，且有很好的互操作性。

缺点：

是它需要ISP间的相互合作，对高速路由器存储要求高，并会消耗路由器CPU资源，影响路由器的流量转发性能。

3）路径重构类

路径重构类是目前研究得比较热的一类方法，是追踪溯源技术发展的方向之一，研究产生了大量技术方法及重构算法，其相关理论也较成熟。

其核心思想是通过在网络中传输的数据包中编入路径信息或者单独发送含有路径信息的数据包，接收端通过收集这些包含路径信息的数据包，并根据一定的路径重构算法实现重构攻击数据包路径的目的。

（数据包标记法）

较为著名的有PPM（ProbabilisticPacketMarking）、iTrace、DPM（DeterministicPacketMarking）APPM标记法等。

如图6PPM原理示意图

图6路径重构类追踪溯源原理

1　PPM（ProbabilisticPacketMarking）概率包标记法

InPPM,thepacketisprobabilisticallymarkedinrouterswiththerequiredinformation（dependinguponthetechnique）.Withthelowrequiredcostandlowvolumeofmarking（typically1/25）,PPMhasdrawnmuchattentionasatracebackmethod.PPMusesedgesamplingasamarkingalgorithmwhichencodestheedges（twonodes）insteadofrecordingthenodesasinnodeappendorencodeseachnodeasinnodessampling.EncodingofanyedgeiscarriedbytheXORofthetwoIPaddressresultinginone32bitaddresscalledtheedge-id.Inordertoreducetherequiredspaceformarking,kofnon-overlappingfragmentswereintroduced.Thekfragmentsnumberisaresultfromdividingtheedgeid.Whenarouterchoosestomarkapacket,oneofthekfragments,randomly,willbeinjectedinsidethepacket.Tolessenthecollisionthatcouldhappen,wheredifferentedgescouldhavesamefragmentsvalue,errordetectionwasaddedtothealgorithm.

TherearedrawbackswithPPM.PPMcoversalocalrangesuchasanISPnetworkwheretheywouldhaveacontroltoadministratethenetwork.Therefore,it’sdifficulttotracebackanyattack’ssourcefromoutsidethenetwork.Additionally,PPMissusceptibletoattackasthevictimcouldbemisinformedbyreceivingfakemarkingpacketsfromtheattacker.Inotherwords,markinginformation,whichwillbeusedbythevictimfortracingtheattacker‘ssource,couldbeviolated.Inaddition,overwritingthemarkedmassagesbytheroutersontheattacktreewouldred