网络攻击溯源技术概述

引言

随着互联网覆盖面的不断扩大，网络安全的重要性不断增加。面对层出不穷的新型网络入侵技术和频率越来越高的网络入侵行为，对高级IDS （intrusion detection system）的需求日益迫切。从20 世纪70 年代开始了网络攻击防护措施的最初研究，本文首先分析了网络溯源面临的问题，然后述了溯源的分类和应用场景，最后介绍了多种溯源技术的优点。

计算机网络是计算机技术和通信技术发展到一定程度相结合的产物，Internet的出现更是将网络技术和人类社会生活予以紧密的结合。随着网络技术的飞速发展，越来越多的传统运作方式正在被低耗、开放、高效的分布式网络应用所替代，网络已经成为人们日常生活中不可缺少的一部分。但是，随之而来基于网络的计算机攻击也愈演愈烈，尤其是DDoS攻击，攻击者利用网络的快速和广泛的互联性，使传统意义上的安全措施基本丧失作用，严重威胁着社会和国家的安全；而且网络攻击者大都使用伪造的IP地址，使被攻击者很难确定攻击源的位置，从而不能实施有针对性地防护策略。这些都使得逆向追踪攻击源的追踪技术成为网络主动防御体系中的重要一环，它对于最小化攻击的当前效果、威慑潜在的网络攻击都有着至关重要的作用。

近年来互联网飞速发展，截至2011年6 月底，中国网民数量达到2.53 亿，网民规模跃居世界第一位，普及率达19.1%，全球普及率已经达到21.1%。互联网已经拥有足够庞大的用户基础，网上有游戏、聊天、论坛、邮件、商场、新闻等不同的应用和服务，现实生活中存在的现象、业务、社会关系以及服务在网络上都有不同程度的体现，互联网已经成为名副其实的虚拟社会。现实生活中除了存在道德约束以外，还有法律威慑———违法犯罪活动会被追查，犯罪活动实施者为此可能付出很大的代价甚至人身自由。而与现实生活不同的是在网络虚拟社会中似乎只有类似道德约束的用户自律，却没有法律威慑。网络上大量存在DDoS 攻击、木马、蠕虫、僵尸网络、非授权访问、发送垃圾邮件等恶意行为，但是由于网络匿名传统以及溯源能力的缺失，上述恶意行为即使涉及现实生活的违法犯罪，也很难有效取证和追查，网络犯罪实施者因此有恃无恐，更加猖獗。近年来，随着社会生活越来越依赖互联网，互联网安全问题已经在抑制网络健康

有序发展，互联网亟需建设溯源能力。关键字：溯源互联网数据技术

目录

溯源问题分析 (4)

网络溯源面临的问题 (5)

溯源的分类与应用场景 (6)

一、分类 (6)

二、网络溯源应用场景 (8)

现有技术 (9)

一、分组标记溯源法 (9)

.节点取样技术 (9)

.非IP 地址标记技术 (10)

二、发送特定ICMP 溯源法 (10)

.意图驱动的ICMP 溯源技术 (10)

.带累积路径的ICMP 溯源技术 (10)

三、日志记录溯源 (11)

四、受控洪泛溯源法 (11)

五、链路测试溯源法 (11)

六、其他溯源法 (12)

结束语 (12)

溯源问题分析

溯源通常是指寻找网络事件发起者相关信息，通常用在网络攻击时对攻击者的查找。溯源相关的事件可以是应用层事件应用层溯源，即查找业务的使用者，例如查找垃圾邮件的发送者），也可以是网络层事件（网络层溯源，即查找特定IP 报的发送者，例如“ping of death”发起者等）。在一些情况下，将应用层ID 映射到IP 地址后可以将应用层溯源转化为网络层溯源。事件发起者相关信息可以是用户的注册信息、发起者使用设备的接入、发起者主机相关信息等。多数传统电信网基于连接开展业务，且通常是对主叫计费，因此传统电信网从设计之初就具备溯源能力。通常网络设备会检查或者改写终端相关的源地址/主叫号码，因此无论是电话业务还是帧中继、ATM 等分组数据业务都具备溯源能力：源地址/主叫号码都是确保真实的，运营商可以确认源地址/主叫号相关的终端接入点和所在大致位置。当然，随着当前网络IP 化的进展，受IP 网能力的制约，传统电信网在溯源方面也出现了漏洞，例如存在虚假主叫号码等现象。

计算机网络追踪溯源技术指的是通过计算机网络定位攻击源地址的技术，它涉及到的机器包括攻击者、被攻击者、跳板、僵尸机、反射器等。其攻击模型如图1所示。

图1网络攻击模型

攻击者(ARacker Host)指发起攻击的真正起点，也是追踪溯源希望发现的目标。

被攻击者(Victim Host)指受到攻击的主机，也是攻击源追踪的起点。跳板机(Stepping Stone)指已经被攻击者危及，并作为其通信管道和隐藏身份的主机。

僵尸机(Zombie)指已经被攻击者危及，并被其用作发起攻击的主机。反射器(Reflector)指未被攻击者危及，但在不知情的情况下参与了攻击。

网络溯源面临的问题

由于当前的TCP／IP协议对IP包的源地址没有验证机制以及Internet基础设施的无状态性，使得想要追踪数据包的真实起点已不容易，而要查找那些通过多个跳板或反射器等实施攻击的真实源地址就更加困难。

目前，网络溯源面临的问题主要有以下几个：

一、IP 网络设计存在缺陷，缺乏源地址检验能力IP 网络是基于连接发送数据，每个IP 分组上都有源地址和目的地址息，IP 网络为把每个分组传递到目的地，必须在每个路由器上取目的地址，对照路由表后将分组从合适的端口发送出去。以在距离用户最近的网络设备上检查用户的源地址，确保用户不假冒网段之外的源地址发送信息。如果网段划分足够小，网段内有网络设备和一个用户时，就不会出现虚假源地址现象。此外，可以在中间路由器做粗略的检查，将源地址明显是虚假的分组例如当A 分组的源地址不存在于路由表的时候，A 分组源地址是的）丢弃。上述检查就是uRPF 技术。但是uRPF 技术没有在最的互联网上大规模实现，因为：一方面最初的路由器计算能力有，很难完成转发以外的额外检查工作；另一方面使用虚假源地址后一般只能实现单向通信（对方返回的分组将被发送到被伪冒的设备），虚假源地址发送数据只能用于单向控制或者攻击，在最初自律的互联网上较少出现。等到互联网规模巨大，安全问题凸显后，即使局部网络升级支持uRPF，也不能有效缓解虚假源地址现象，因此当前互联网缺乏源地址验证能力。

二、网络中存在大量的NAT 设备和代理设备由于互联网Pv4 地址缺匮以及部分安全原因，因此我国互联网大量使用NAT 设备。此外，互联网上还有很多志愿者提供代理设备。网络上IP 分组过NAT 设备或者代理服务器后会将源地址改写成NAT 设备或者代理服务器所拥有的地址，这样IP 分组源地址就不是原始分组发送者真正的地址。此外，NAT 设备或者代理设备上特定源地址可能同时为不同的用户服务。如果不在NAT 设备或者代理服务器设备上作例如日志等要求，就不可能找到分组真正的来源。如果存在多重代理或者多重NAT 时，情况更复杂，如果多个NAT/代理不属于一个管理主体，例如其中一个NAT/代理位于国外或者没有记录日志，网络溯源将成为不可能完成的任务。