计算机网络追踪溯源技术

计算机网络追踪溯源技术

一、产生背景：

计算机网络是计算机技术和通信技术发展到一定程度相结合的产物，Internet 的出现更是将网络技术和人类社会生活予以紧密的结合。随着网络技术的飞速发展，越来越多的传统运作方式正在被低耗、开放、高效的分布式网络应用所替代，网络已经成为人们日常生活中不可缺少的一部分。但是，随之而来基于网络的计算机攻击也愈演愈烈，尤其是DDoS攻击，攻击者利用网络的快速和广泛的互联性，使传统意义上的安全措施基本丧失作用，严重威胁着社会和国家的安全；而且网络攻击者大都使用伪造的IP 地址，使被攻击者很难确定攻击的位置，从而不能实施有针对性地防护策略。

这些都使得逆向追踪攻击源的追踪技术成为网络主动防御体系中的重要一环，它对于最小化攻击的当前效果、威慑潜在的网络攻击都有着至关重要的作用。

二、DDoS攻击原理：

但是精确定位攻击源并非易事,因为攻击者对远程计算机或网络进行攻击时, 通常采用两种手段来隐藏自己的真实地址: 伪造报文I P源地址和间接攻击。因特网中有许多主机提供代理服务或存在安全漏洞, 这些主机会被攻击者作为“跳板”对目标发动攻击, 从受害主机只能看到“跳板”地址, 而无法获得攻击主机地址。

其攻击模型为：

(attacter) (stepping stone)(zombie) (reflecter) (victim)

图1 网络攻击模型

它涉及到的机器包括攻击者、受害者、跳板、僵尸机器、反射器等。

攻击者(Attacker Host)指发起攻击的真正起点,也是追踪溯源希望发现的目标。

被攻击者(Victim Host)指受到攻击的主机,也是攻击源追踪的起点。

跳板机(Stepping Stone)指已经被攻击者危及,并作为其通信管道和隐藏身份的主机。

僵尸机(Zombie)指已经被攻击者危及,并被其用作发起攻击的主机。

反射器(Reflector)指未被攻击者危及,但在不知情的情况下参与了攻击。

其中跳板机器和僵尸机器都是攻击者事先已经攻破的主机, 我们统称它们为变换器, 它们负责把攻击数据包做某种变换以掩盖攻击者的行踪, 具体变换如下:

图2

三、网络追踪溯源技术：

计算机网络追踪溯源是指确定网络攻击者身份或位置及其中间介质的过程。身份指攻击者名字、帐号或与之有关系的类似信息；位置包括其地理位置或虚拟地址：如IP地址、MAC 地址等。追踪溯源过程还能够提供其他辅助信息，比如攻击路径和攻击时序等。网络管理者可使用追踪溯源技术定位真正的攻击源，以采取多种安全策略和手段，从源头抑制，防止网络攻击带来更大破坏, 并记录攻击过程, 为司法取证提供必要的信息支撑. 在网络中应用追踪溯源我们可以：

①确定攻击源, 制定实施针对性的防御策略;

②确定攻击源, 采取拦截、隔离等手段, 减轻损害, 保证网络平稳健康的运行;

③确定攻击源, 记录攻击过程, 为司法取证提供有力证据.

1．追踪溯源的困难：

由于当前的TCP/IP协议对IP 包的源地址没有验证机制以及Internet基础设施的无状态性，使得想要追踪数据包的真实起点已不容易，而要查找那些通过多个跳板或反射器等实施攻击的真实源地址就更加困难。具体体现在以下几方面：

（1）当前主要的网络通信协议（TCP/IP）中没有对传输信息进行加密认证的措施，使得各种IP 地址伪造技术出现。使得通过利用攻击数据包中源IP地址的追踪方法失效。

（2）Internet已从原来单纯的专业用户网络变为各行各业都可以使用的大众化网络，其结构更为复杂，使攻击者能够利用网络的复杂性逃避追踪。

（3）各种网络基础和应用软件缺乏足够的安全考虑，攻击者通过俘获大量主机资源，发起间接攻击并隐藏自己。

（4）一些新技术在为用户带来好处的同时，也给追踪溯源带来了更大的障碍。虚拟专用网络（VPN）采用的IP隧道技术，使得无法获取数据报文的信息；网络服务供应商（ISP）采用的地址池和地址转换（NAT）技术，使得网络IP 地址不在固定对应特定的用户；移动通信网络技术的出现更是给追踪溯源提出了实时性的要求，这些新技术的应用都使得网络追踪溯源变得更加的困难。

（5）目前追踪溯源技术的实施还得不到法律保障，如追踪溯源技术中，提取IP 报文信息牵扯到个人隐私。这些问题不是单靠技术手段所能解决的。

2．追踪溯源技术分类：

1)主动询问类

此类方法通过主动询问数据流可能经过的所有路由器，确认其流向路径的机制（Input Debugging）。主动询问是一种比较粗的方法，通过带有Input Debugging功能的路由器进行一级一级（Hop-by-hop）的沿攻击数据流路径查询追踪，多数路由器具有查找符合某种模式报文的输入接口的调试功能，利用路由器的这一功能，在攻击发生后逐跳确定具有攻击特征的数据包来自哪个路由入口，通过反复使用从而可以确定发送攻击包的真实I P，原理示意图及算法流程如图3 所示。

图3带有input debugging功能路由器的追踪溯源原理及算法流程图

此类方法目前在计算机网络中已经得到应用，有不少的网络提供商（ISP）通过设备升级改造，安装更加智能的路由器系统提高追踪效率及能力。

缺点：这种方法是 I P 追踪时最容易想到的方法，但要求追踪路径上所有路由器必须具有输入调试能力，且需要网络管理员或技术人员手工操作，依赖互联网服务提供商即 ISP 的高度合作。虽然其追踪结果非常准确，但由于追踪速度很慢且操作复杂、技术含量高，除了军用等特殊需要外，基本不使用。

2)数据监测类

此类方法通过构建覆盖全网络的监测点对网络中数据流进行监测。如各种日志记录技术（Logging）。通过对流经路由器的所有数据包（包括攻击数据包）进行信息存储，一旦发生攻击，由受害端发起查询信息，以此确定攻击路径。此方法需要大量的存储计算资源且需要数据库技术支持，但基于HASH算法的日志类方法则可大大减少存储资源的需求。如图4所示：

图4 数据检测类追踪溯源原理

另一种思路就是将数据包经过路径的路由器地址信息写入数据报文中，受害者收到攻击数据包后就可以从报文中提取出路径信息，构造出攻击数据的攻击路径，就可以追踪到攻击者，这就是路径记录法。在IP 报文头的 IP 选项里有一项路径记录功能，可以用来记录报文从攻击者到受害者所经过的路径上的各路由器的口地址，路径记录法就是利用该功能来记录路径信息。其报文格式如图5所示，

图5 带路径记录选项的IP报文结构