网络攻击及自动追踪技术

技７ｌｔ论１云７ａ劬加坶局，ｚ们，

互联网的共享性和开放性使网上信息安全存在先天不足，再加上系统软件中的安全漏洞以及网络系统欠缺严格的管理，使得系统、网站很容易受到踟络攻击。黑客使用没有可识别特征的数据分组实施网络攻击，基本上没有留下任何犯罪证据。到目前为止，还没有卓有成效的针对网络犯罪的反击和追踪手段，而且对网络攻击的悯查也几乎总是通过人工处理或者阅读记录、日志等手段来完成的。

为了便于读者了解网络攻击和追踪技术，本文首先分析了网络攻击的基本原理和网络攻击类型。并在此基础上，重点探讨了自动追踪攻击者的源ＴＰ地址的主动追踪和反应追踪技术。最后阐述了这些追踪方法的局限性。

一．网络攻击的原理和类型

一旦追踪系统确定了攻击主机，调查人员就可以实施传统的犯罪调查或者证据搜集方法找到攻击者。耍分析追踪问题，必须理解攻击者是如何进行网络攻击，以及他们是如何隐藏他们的身份的。Ｉｎｔｅｒｎｅｔ上攻击及自动追踪技术

的身份通常是由两部分组成的：ＩＰ

地址和用户账号。

１．ＩＰ地址

ＴＰ地址用于将ＴＰ分组发送到发

送者所指定的目的主机。每个分组

包含两个ＩＰ地址：一个是分组的源

地址；另一个是分组的目的地址。直

到分组到达目的主机时，它才会使

用关于源主机的信息。因此，攻击

者可以伪造分组的源地址，将它设

置为另一个计算机的地址或者一个

根本不存在的计算机地址，但是该

分组仍然能到达它的目的主机。

因此，在Ｉｎｔｅｒｎｅｔ上的单向通

信中隐藏身份的一种简单方法就是

伪造或者欺骗源地址，只需将任何

一个假地址放在源地址域中就可以

了，如图１所示。欺骗双向通信中的

源地址要复杂一些。但是，即使攻

击者看不到受害主机发送给伪造的

源地址的分组，攻击者也能实施可

预测的简单双向通信。这是因为一

些操作系统在网络通信中使用了很

容易猜测的序列号，所以攻击者能

猜出受害主机的响应分组中的ＴＣＰ

序列号。

攻击者还可以利用无辜主机

（充当反射主机）攻击目标。如图２

所示，攻击毛机向反射主机发送一

个耍求响应的分组。如果攻击者将

冉晓曼

攻击目标的源ＩＰ地址作为该分组的

源地址，耶么反射主机就会将它的

响应分组发送给攻击目标，这样反

射主机所发送的响麻分组就构成了

攻击源。对于受害主机来说，攻击

就像是来自反射主机的。而对反射

主机来说，初始分组却像是来自受

害主机的。

图２反射主机隐藏身份

２．用户账号

Ｉｎｔｅ丌１ｅｔ身份的第一个组成部

分是用户账号，通常包括用户名（用

户ＩＤ）和某些身份验证资料（通常

为密码）。系统使用身份验证资料确

认提供用户ＴＤ的人是否是拥有这个

账号的人。

一旦攻击者了解了无辜用户的

用户ＩＤ和密码，他就能伪装成那个

人实施犯罪。通过获得管理特权，攻

击者还能在任何一台计算机上创建

新账号。攻击者就利用窃取来的账

号清洗攻击分组：被窃取帐号的主

机（以下称清洗主机）接收和处理

攻击主机的分组，然后再将分组发

送给受害主机，如图３所示。

图３利用清洗主机伪装身份　万方数据

该过程将分组的源地址改为清洗主机的源地址，并且清洗过的分组的内容可以和攻击者的原始分组的内容不同。因此，攻击者可以利用清洗主机伪装他们的身份。

攻击者主要采用两种方式进行清洗伪装：僵尸（Ｚｏｍｂｉｅｓ）和踏脚石（Ｓ硷ｐｐｉｎｇＳｔｏｎｅｓ）。

１）僵尸方式

在攻击者继续攻击之前，转换和延迟攻击者的通信。攻击者可以在僵尸主机上安装一个Ｔｒ州ａｎ程序——程序会在攻击者发出攻击之后的数分钟、数天或数周延迟之后攻击受害主机。或者，攻击者会触发（通过远程命令或者是定时的触发程序）僵尸主机上的内置攻击脚本程序——程序会向受害主机发送多个分组。

２）踏脚石方式

攻击者利用一个巾间主机作为踏脚石。一旦登录到踏脚石主机，攻击者就能发起一次攻击，升且任何一次追踪都不会通往攻击者，而是指向踏脚石上的无辜或者虚假用户。攻击者通常利用多个踏脚石主机实施典型的喾透攻击：使用Ｔｅｌｎｅｔ或其他通用程序登录到主机Ａ，然后利用主机Ａ登录到主机ｎ，等等。最终传送给受害主机的分组是经过多个踏脚石主机接收、重新打包和重新发送的。

＝、自动追踪技术

ｌＰ追踪的目的是识别产生攻击分组的主机的真正ｒＰ地址。通常，可以通过检测ＩＰ分组的源ＩＰ地址域来实现。但是，由于发送者可以很容易地伪造这个地址信息来隐藏他的身份，所以必须采用各种ＴＰ追踪技术：不仅能识别攻击主机的真正ＩＰ地址，而且还可以获得有关产生攻击的机构的信息，例如它的名称和网络管理员的Ｅ—ｍａｉｌ地址等。

现有的ＩＰ追踪方法可以分为主

动追踪和反应追踪两大娄。

１．主动追踪

为了追踪ＪＰ源地址，主动追踪

需要在传输分组时准备一些信息，

并利用这些信息识别攻击源。有两

种主动追踪方法：分组标记和消息

传递。

１）分组标记。如图４所示：

图４分组标记

在分组标记中，分组中存储了

其通过网络时所经过的每个路由器

的信息。接收到经过标记的分组的

主机可以使用这个路由器信息反向

追踪攻击源的网络路径。但是，路

由器必须能够标记分组，而且不会

干扰正常的分组处理。

路由器可以在分组的Ｉｌ’报头标

识域中写它的标汉符。每个标记的

分组在标识域中只包含攻击路径上

的一两个路巾器的信息。但是，在

扩散类型攻击中，目标网络接收了

许多攻击分组，并且能够收集足够

的信息识别攻击路径。标识域用于

重组分段的分组。但是，由于分段

很少是在Ｉｎｔｅｎｌｅｔ上创建的，所以

修改标识域不会影响正常的分组处

理。

２）消息传递．在消息传递方

法中，路由器创建并向分组的目的

地发送泫分组在传输过程中所通过

的前向节点的信息。

图５ＩＣＭＰ追踪消息

如图５所示，说明了Ｉｎｔｅｍｅｔ＿Ｌ＝

硪加Ｄ矗渺‘而，柳技７Ｉｔ论Ｉ云

程任务组（ＴＦＴＦ）所提出的方法：

Ｉｎ怡ｍｅｃ控铂忖艮文协议（ＩｃＭＰ）追

踪消息。路由器创建一个ＩＣＭＰ追

踪消息（包含通过该路由器的ＩＰ分

组），并将该消息发送给分组的目的

地。可以通过查找相应的ＪＣＭＰ追

踪消息，以及检查它的源ＩＰ地址，来

识别经过的路由器。但是，由于为

每个分组都创建一个ＩＣＭＰ追踪消

息会增加网络业务，所以每个路由

器以ｌ／２０，０００的概率为要经过它传

输的分组创建ＩｃＭＰ追踪消息。如

果攻击者发送了许多分组（例如，住

扩散类型的攻击中），那么目标网络

可以收集足够的ＩＣＭＰ追踪消息来

ｉ只别它的攻击路径。

２．反应追踪

在检测到攻击之后，反应追踪

才开始追踪。这种方法大多是从攻

击目标反向追踪到攻击的发起点。

关键问题是要开发有效的反向追踪

算法和分组匹配技术。

１）逐段追踪

逐段追踪从距目标主机最近的

路由器开始，逐段反向追踪到攻击

主机。如图６所示。

图６逐段追踪

在逐段追踪中，追踪程序登录

上距离受攻击的主机最近的路由器，

并监控输入分组。如果汝程序检测

到电子欺骗的分组（通过比较分组

的源ＩＰ地址和它的路由表信息），那

么它就会登录到上一级路由器，并

继续监控分组。如果仍然检测到电

子欺骗的扩散攻击，该程序就会在

再上一级路由器上再次检测电子欺

骗的分组。重复执行这一过程，直

　万方数据