网络攻防技术课件第13章追踪溯源
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
流内变换的主要形式有时间扰乱、包乱序、包添 加、包移除和包重组(包合并和包分割)等。
网络攻防技术
23
13.2 追踪溯源面临的挑战
广义而言,反射器和僵Leabharlann Baidu机也属于跳板, 只是反射器被攻击者控制的程度低,攻击 者只能访问反射器,利用网络协议的漏洞 进行攻击数据流的放大、地址伪造等,而 僵尸机被攻击者控制的程度最高,攻击者 具有管理员权限,能够在僵尸机上做想做 的任何操作。
2020/6/10
2020/6/10
网络攻防技术
17
三、网络攻击追踪溯源典型场景
网络攻击追踪溯源的应用场景与攻击事件 和网络应用环境相关,据追踪溯源应用的 网络环境不同,可分为域内追踪溯源和跨 域追踪溯源。
一般而言,域内追踪溯源为协作网域追踪 溯源,跨域追踪溯源为非协作网域追踪溯 源。
下面分别对域内追踪溯源与跨域追踪溯源 进行介绍。
2020/6/10
网络攻防技术
29
二、匿名通信系统对追踪溯源的挑战
根据匿名通信系统对通信延迟的要求,通常 把匿名通信系统分为延迟不敏感(HighLatency)和延迟敏感(Low-Latency)的 匿名通信系统。
后者又称基于流(Flow Based)的匿名通信系统 ,通常在发送者和接收者之间建立匿名通信通道 (即匿名路径),然后把数据放入数据传输的基 本单元——信元(Cell)中沿着建立好的匿名通 道传输,主要用于对延迟有特定要求的服务(如 Web浏览和网络聊天等),典型系统如洋葱路由 (Onion Routing)、Tor、Tarzan、MorphMix 和Crowds等。
2020/6/10
网络攻防技术
18
三、网络攻击追踪溯源典型场景
1. 域内追踪溯源
域内追踪溯源指单个网域内对攻击者的追踪 溯源,攻击者和受害者属于同一个网络路由 、管理策略等网络服务操作完全相同的自治 域(Autonomous System,AS)。
受害者
2020/6/10
攻击路径
网络攻防技术
攻击者
2020/6/10
网络攻防技术
20
三、网络攻击追踪溯源典型场景
2. 跨域追踪溯源
国家级ISP
国家级 ISP
全球 ISP
攻击路径
国家级 ISP
省市级ISP
ISP-A
ISP-B
国家级 ISP
用户网络
网络C
2020/6/10
网络D 受害者
单网域
网络攻防技术
网络E
攻击者 单网域 多网域环境
21
本章主要内容
...
机构1
机构2
机构3 ...
2020/6/10
网络攻防技术
16
二、网络攻击追踪溯源目标层次
4. 攻击组织追踪溯源
攻击者追踪溯源的目标是将网络设备的控制 行为与具体的自然人相关联,技术上面临极 大挑战,而对攻击组织的追踪溯源则更多依 赖物理自然世界的侦察查、情报等信息。
受篇幅所限,本章后续内容主要介绍攻击主 机追踪溯源与控制主机追踪溯源相关的技术 和方法。
机追踪溯源技术取得了不错的研究成果,极大提 高了追踪溯源技术的应用效率。
2020/6/10
网络攻防技术
8
二、网络攻击追踪溯源目标层次
2. 控制主机追踪溯源
控制主机追踪溯源的目标主要是确定攻击的 控制主机。
要进行控制主机追踪溯源,需要沿着攻击事 件的因果链,逐级展开逆向追踪,确定最初 的攻击源主机。
2020/6/10
网络攻防技术
5
二、网络攻击追踪溯源目标层次
按追踪溯源深度,网络攻击追踪溯源可分 为攻击主机追踪溯源、控制主机追踪溯源 、攻击者追踪溯源和攻击组织追踪溯源。
追踪溯源启动
攻击主机 追踪溯源
攻击流 来自外界? 是
否
控制主机 追踪溯源
是 受其否它 主机控制?
否
语言、文字、行 为等分析识别
同时,在攻击者追踪溯源过程中,还需要对 信息数据的准确度和可靠性进行筛选和确定 ,这样才能提高工作效率,保证结果的准确 性。
2020/6/10
网络攻防技术
14
二、网络攻击追踪溯源目标层次
4. 攻击组织追踪溯源
攻击组织追踪溯源是一种高级溯源形式,以 攻击主机、控制主机和攻击者追踪溯源为基 础,结合具体的情报内容,对整个网络攻击 事件的幕后组织机构进行全面的分析评估。
13.1 追踪溯源概述 13.2 追踪溯源面临的挑战 13.3 追踪溯源典型技术 13.4 追踪溯源技术发展趋势
2020/6/10
网络攻防技术
22
13.2 追踪溯源面临的挑战
攻击者为隐藏身份,在攻击实施前通常会 渗透控制数台计算机作为跳板,再通过这 些受控制的跳板攻击最终的目标主机。
2020/6/10
综合分析网络空 间外的情报信息
攻击者 追踪溯源
攻击组织 追踪溯源
追踪溯源结束
2020/6/10
网络攻防技术
6
二、网络攻击追踪溯源目标层次
1. 攻击主机追踪溯源
攻击主机追踪溯源是对攻击主机进行定位, 通常被称为IP追踪(IP Traceback),主要 有:
利用路由器调试接口的输入调试(Input Debugging)追踪技术;
ICMP追踪技术;
可对单个数据包进行追踪的源路径隔离引擎( Source Path Isolation Engine,SPIE)追踪技 术等。
2020/6/10
网络攻防技术
7
二、网络攻击追踪溯源目标层次
1. 攻击主机追踪溯源
在评估攻击主机追踪溯源技术时,需要关注 的典型问题有:
是否需要对路由器等相关网络设备进行改造? 能否对单个数据包进行追踪? 前期是否需要对数据包的特征信息进行了解? 随着日志类、包标记等技术的不断进步,攻击主
典型网络攻击场景中所涉及的角色通常包 括攻击者、受害者、跳板、僵尸机及反射 器等。
恶意主机 攻击者
受控主机
跳板
僵尸机
非受控主机
反射器
受害者
2020/6/10
网络攻防技术
4
一、网络攻击追踪溯源基本概念
一般来说,网络攻击追踪溯源是指确定攻 击者的账号信息、身份信息、IP地址和 MAC地址等虚拟地址信息与地理位置信 息、攻击的中间环节信息以及还原攻击路 径等的过程。
在确认攻击者的基础上,借助潜在的机构信 息、外交形式和政策战略,还有攻击者的身 份信息、工作情况和社会地位等信息,对攻 击者的组织机构关系进行确认。
2020/6/10
网络攻防技术
15
二、网络攻击追踪溯源目标层次
4. 攻击组织追踪溯源
情报、外交
情报侦察 攻击者
潜在机构 政策战略 工作单位 身份信息 社会地位 人际交往
分析进出主机的数据流,对攻击数据流展开识别 ;
还应对多源网络攻击事件进行特定干预,分析其 在网络中的行为变化,确定攻击事件中的因果关 系,便于后续追踪溯源。
2020/6/10
网络攻防技术
10
二、网络攻击追踪溯源目标层次
3. 攻击者追踪溯源
攻击者追踪溯源主要是对网络攻击者进行追 踪定位,追踪者需要找出攻击者和网络主机 行为间的因果关系,通过对网络空间中的信 息数据进行分析,将其和物理世界中的事件 内容关联到一起,并由此确定应对攻击事件 负责的自然人。
2020/6/10
网络攻防技术
11
二、网络攻击追踪溯源目标层次
3. 攻击者追踪溯源
攻击者追踪溯源大体可分为四步:
首先,对网络空间上的事件信息进行确认; 随后,对物理世界中的事件信息进行确认; 然后,对它们之间的关系进行分析; 最后,进行因果关系上的确定。
2020/6/10
网络攻防技术
12
当然,网络中的设备既可能帮助追踪者,同 时也可能会被攻击者所控制,网络攻击追踪 溯源其实就是攻击者和追踪者的一场博弈。
2020/6/10
网络攻防技术
9
二、网络攻击追踪溯源目标层次
2. 控制主机追踪溯源
在反向追踪上一级主机时需要关注:
实施监测主机的内部监测行为; 对主机内系统日志进行信息分析; 对当前主机系统中的所有状态信息进行捕获;
2020/6/10
网络攻防技术
30
二、匿名通信系统对追踪溯源的挑战
由于追踪溯源主要关注于即时通信、网页浏 览和网络电话等延迟敏感业务,因此本节主 要针对延迟敏感的匿名通信系统进行介绍。
具体而言,除基本手段——加密之外,为隐 藏真实的发送者和接收者身份以及通信方之 间的通联关系,匿名通信系统通常将来自多 个通信方的多条网络数据流进行混杂处理, 且对每条数据流也进行某种程度的变换。如 果变换后的数据流没有任何用于关联数据流 发送者或接收者之间通联关系的可识别特征 ,则达到匿名目的。
第十三章 追踪溯源
本章主要内容
13.1 追踪溯源概述 13.2 追踪溯源面临的挑战 13.3 追踪溯源典型技术 13.4 追踪溯源技术发展趋势
2020/6/10
网络攻防技术
2
13.1 追踪溯源概述
网络攻击者大都使用伪造IP地址或通过多个跳板发 起攻击,使防御方很难确定真正攻击源的身份和位 置,难以实施针对性防御策略。
“知己知彼,百战不殆”,在网络攻防对抗中,只 有拥有信息优势,才能更加有效地实施网络对抗策 略,进而取得胜利。
网络攻击追踪溯源的目标是探知攻击者身份、攻击 点位置及攻击路径等信息,据此可针对性制定防护 或反制措施,进而占领网络对抗制高点。
2020/6/10
网络攻防技术
3
一、网络攻击追踪溯源基本概念
网络攻防技术
24
13.2 追踪溯源面临的挑战
此外,为隐藏身份,攻击者还经常借助匿 名通信系统的天然匿名性(如发送者匿名 )来开展攻击。
本节主要对跳板和匿名通信系统对追踪溯 源的挑战进行分析。
2020/6/10
网络攻防技术
25
一、跳板对追踪溯源的挑战
典型的跳板攻击方式如图所示,攻击者首 先登录跳板1,通过跳板1登录跳板2,依 次登录,进而建立跳板链,然后利用跳板 链的末端对受害者发起攻击。
单网域环境
19
三、网络攻击追踪溯源典型场景
2. 跨域追踪溯源
跨域追踪溯源指跨越多个网域进行的攻击源 追踪,攻击者和受害者属于不同的网域,其 网络逻辑域和物理区域也不相同。
跨域追踪溯源是实际中最常遇到的场景,攻 击者为了隐藏自身,常常是通过多个网域发 动攻击,以逃避追踪。
在跨域追踪溯源过程中,需要多个不同网域 进行协同,交互追踪请求信息,以完成真正 攻击源的追踪定位。
主机1
匿名节点1
匿名网络 匿名节点2
主机3
匿名节点3
2020/6/10
主机2
网络攻防技术
主机4
28
二、匿名通信系统对追踪溯源的挑战
根据匿名通信系统对通信延迟的要求,通常 把匿名通信系统分为延迟不敏感(HighLatency)和延迟敏感(Low-Latency)的 匿名通信系统。
前者又称基于消息(Message Based)的匿名通 信系统,通常为每个消息都选择一条路径,这些 路径可相同也可不同,如匿名电子邮件系统 Chaum Mix和Mixminion等。
网络
攻击者
跳板2
跳板1
跳板链
跳板3
受害者
2020/6/10
网络攻防技术
26
一、跳板对追踪溯源的挑战
为更好躲避检测和追踪溯源,攻击者往往还 采用以下手段:
(1) 在中间跳板上安装和使用后门(如netcat)以 躲避登录陆日志的检查;
(2) 在跳板链中的不同部分使用不同类型(即TCP 和UDP)的网络连接来增加数据流关联的难度;
二、网络攻击追踪溯源目标层次
3. 攻击者追踪溯源
用户信息
用户1
信息表示
主机
用户2
语言 行为 文档 其他数据 应用 程序
智能分析
用户3 ...
2020/6/10
网络攻防技术
13
二、网络攻击追踪溯源目标层次
3. 攻击者追踪溯源
已有的攻击者追踪溯源方法和工具只能对攻 击者在某时间、某方面进行表征,还需要将 这些零星的信息进行汇聚和综合,对攻击者 行为进行准确而完整的描述,以便确定攻击 者的身份信息。
(3) 不同跳板间使用加密(采用不同的密钥)连接 来抵御基于包内容的检测;
(4) 在跳板处引入时间扰乱来抵御基于包时间的加 密数据流关联;
(5) 在跳板处主动对其交互数据流添加包重组和垃 圾包等干扰。
2020/6/10
网络攻防技术
27
二、匿名通信系统对追踪溯源的挑战
匿名通信系统通过一定的技术手段将网络 数据流中通信双方的身份信息加以隐藏, 使第三方无法获取或推测通信双方的通信 关系或其中任何一方的身份信息。
2020/6/10
网络攻防技术
31
二、匿名通信系统对追踪溯源的挑战
已有匿名通信系统所采用的流变换手段可大 致分为流内变换(Intra-Flow Transformation)和流间变换(Inter-Flow Transformation)两种。
流内变换是指变换只在当前数据流范围内发 生,不涉及其他数据流,而流间变换则涉及 到多条数据流之间的变换。
网络攻防技术
23
13.2 追踪溯源面临的挑战
广义而言,反射器和僵Leabharlann Baidu机也属于跳板, 只是反射器被攻击者控制的程度低,攻击 者只能访问反射器,利用网络协议的漏洞 进行攻击数据流的放大、地址伪造等,而 僵尸机被攻击者控制的程度最高,攻击者 具有管理员权限,能够在僵尸机上做想做 的任何操作。
2020/6/10
2020/6/10
网络攻防技术
17
三、网络攻击追踪溯源典型场景
网络攻击追踪溯源的应用场景与攻击事件 和网络应用环境相关,据追踪溯源应用的 网络环境不同,可分为域内追踪溯源和跨 域追踪溯源。
一般而言,域内追踪溯源为协作网域追踪 溯源,跨域追踪溯源为非协作网域追踪溯 源。
下面分别对域内追踪溯源与跨域追踪溯源 进行介绍。
2020/6/10
网络攻防技术
29
二、匿名通信系统对追踪溯源的挑战
根据匿名通信系统对通信延迟的要求,通常 把匿名通信系统分为延迟不敏感(HighLatency)和延迟敏感(Low-Latency)的 匿名通信系统。
后者又称基于流(Flow Based)的匿名通信系统 ,通常在发送者和接收者之间建立匿名通信通道 (即匿名路径),然后把数据放入数据传输的基 本单元——信元(Cell)中沿着建立好的匿名通 道传输,主要用于对延迟有特定要求的服务(如 Web浏览和网络聊天等),典型系统如洋葱路由 (Onion Routing)、Tor、Tarzan、MorphMix 和Crowds等。
2020/6/10
网络攻防技术
18
三、网络攻击追踪溯源典型场景
1. 域内追踪溯源
域内追踪溯源指单个网域内对攻击者的追踪 溯源,攻击者和受害者属于同一个网络路由 、管理策略等网络服务操作完全相同的自治 域(Autonomous System,AS)。
受害者
2020/6/10
攻击路径
网络攻防技术
攻击者
2020/6/10
网络攻防技术
20
三、网络攻击追踪溯源典型场景
2. 跨域追踪溯源
国家级ISP
国家级 ISP
全球 ISP
攻击路径
国家级 ISP
省市级ISP
ISP-A
ISP-B
国家级 ISP
用户网络
网络C
2020/6/10
网络D 受害者
单网域
网络攻防技术
网络E
攻击者 单网域 多网域环境
21
本章主要内容
...
机构1
机构2
机构3 ...
2020/6/10
网络攻防技术
16
二、网络攻击追踪溯源目标层次
4. 攻击组织追踪溯源
攻击者追踪溯源的目标是将网络设备的控制 行为与具体的自然人相关联,技术上面临极 大挑战,而对攻击组织的追踪溯源则更多依 赖物理自然世界的侦察查、情报等信息。
受篇幅所限,本章后续内容主要介绍攻击主 机追踪溯源与控制主机追踪溯源相关的技术 和方法。
机追踪溯源技术取得了不错的研究成果,极大提 高了追踪溯源技术的应用效率。
2020/6/10
网络攻防技术
8
二、网络攻击追踪溯源目标层次
2. 控制主机追踪溯源
控制主机追踪溯源的目标主要是确定攻击的 控制主机。
要进行控制主机追踪溯源,需要沿着攻击事 件的因果链,逐级展开逆向追踪,确定最初 的攻击源主机。
2020/6/10
网络攻防技术
5
二、网络攻击追踪溯源目标层次
按追踪溯源深度,网络攻击追踪溯源可分 为攻击主机追踪溯源、控制主机追踪溯源 、攻击者追踪溯源和攻击组织追踪溯源。
追踪溯源启动
攻击主机 追踪溯源
攻击流 来自外界? 是
否
控制主机 追踪溯源
是 受其否它 主机控制?
否
语言、文字、行 为等分析识别
同时,在攻击者追踪溯源过程中,还需要对 信息数据的准确度和可靠性进行筛选和确定 ,这样才能提高工作效率,保证结果的准确 性。
2020/6/10
网络攻防技术
14
二、网络攻击追踪溯源目标层次
4. 攻击组织追踪溯源
攻击组织追踪溯源是一种高级溯源形式,以 攻击主机、控制主机和攻击者追踪溯源为基 础,结合具体的情报内容,对整个网络攻击 事件的幕后组织机构进行全面的分析评估。
13.1 追踪溯源概述 13.2 追踪溯源面临的挑战 13.3 追踪溯源典型技术 13.4 追踪溯源技术发展趋势
2020/6/10
网络攻防技术
22
13.2 追踪溯源面临的挑战
攻击者为隐藏身份,在攻击实施前通常会 渗透控制数台计算机作为跳板,再通过这 些受控制的跳板攻击最终的目标主机。
2020/6/10
综合分析网络空 间外的情报信息
攻击者 追踪溯源
攻击组织 追踪溯源
追踪溯源结束
2020/6/10
网络攻防技术
6
二、网络攻击追踪溯源目标层次
1. 攻击主机追踪溯源
攻击主机追踪溯源是对攻击主机进行定位, 通常被称为IP追踪(IP Traceback),主要 有:
利用路由器调试接口的输入调试(Input Debugging)追踪技术;
ICMP追踪技术;
可对单个数据包进行追踪的源路径隔离引擎( Source Path Isolation Engine,SPIE)追踪技 术等。
2020/6/10
网络攻防技术
7
二、网络攻击追踪溯源目标层次
1. 攻击主机追踪溯源
在评估攻击主机追踪溯源技术时,需要关注 的典型问题有:
是否需要对路由器等相关网络设备进行改造? 能否对单个数据包进行追踪? 前期是否需要对数据包的特征信息进行了解? 随着日志类、包标记等技术的不断进步,攻击主
典型网络攻击场景中所涉及的角色通常包 括攻击者、受害者、跳板、僵尸机及反射 器等。
恶意主机 攻击者
受控主机
跳板
僵尸机
非受控主机
反射器
受害者
2020/6/10
网络攻防技术
4
一、网络攻击追踪溯源基本概念
一般来说,网络攻击追踪溯源是指确定攻 击者的账号信息、身份信息、IP地址和 MAC地址等虚拟地址信息与地理位置信 息、攻击的中间环节信息以及还原攻击路 径等的过程。
在确认攻击者的基础上,借助潜在的机构信 息、外交形式和政策战略,还有攻击者的身 份信息、工作情况和社会地位等信息,对攻 击者的组织机构关系进行确认。
2020/6/10
网络攻防技术
15
二、网络攻击追踪溯源目标层次
4. 攻击组织追踪溯源
情报、外交
情报侦察 攻击者
潜在机构 政策战略 工作单位 身份信息 社会地位 人际交往
分析进出主机的数据流,对攻击数据流展开识别 ;
还应对多源网络攻击事件进行特定干预,分析其 在网络中的行为变化,确定攻击事件中的因果关 系,便于后续追踪溯源。
2020/6/10
网络攻防技术
10
二、网络攻击追踪溯源目标层次
3. 攻击者追踪溯源
攻击者追踪溯源主要是对网络攻击者进行追 踪定位,追踪者需要找出攻击者和网络主机 行为间的因果关系,通过对网络空间中的信 息数据进行分析,将其和物理世界中的事件 内容关联到一起,并由此确定应对攻击事件 负责的自然人。
2020/6/10
网络攻防技术
11
二、网络攻击追踪溯源目标层次
3. 攻击者追踪溯源
攻击者追踪溯源大体可分为四步:
首先,对网络空间上的事件信息进行确认; 随后,对物理世界中的事件信息进行确认; 然后,对它们之间的关系进行分析; 最后,进行因果关系上的确定。
2020/6/10
网络攻防技术
12
当然,网络中的设备既可能帮助追踪者,同 时也可能会被攻击者所控制,网络攻击追踪 溯源其实就是攻击者和追踪者的一场博弈。
2020/6/10
网络攻防技术
9
二、网络攻击追踪溯源目标层次
2. 控制主机追踪溯源
在反向追踪上一级主机时需要关注:
实施监测主机的内部监测行为; 对主机内系统日志进行信息分析; 对当前主机系统中的所有状态信息进行捕获;
2020/6/10
网络攻防技术
30
二、匿名通信系统对追踪溯源的挑战
由于追踪溯源主要关注于即时通信、网页浏 览和网络电话等延迟敏感业务,因此本节主 要针对延迟敏感的匿名通信系统进行介绍。
具体而言,除基本手段——加密之外,为隐 藏真实的发送者和接收者身份以及通信方之 间的通联关系,匿名通信系统通常将来自多 个通信方的多条网络数据流进行混杂处理, 且对每条数据流也进行某种程度的变换。如 果变换后的数据流没有任何用于关联数据流 发送者或接收者之间通联关系的可识别特征 ,则达到匿名目的。
第十三章 追踪溯源
本章主要内容
13.1 追踪溯源概述 13.2 追踪溯源面临的挑战 13.3 追踪溯源典型技术 13.4 追踪溯源技术发展趋势
2020/6/10
网络攻防技术
2
13.1 追踪溯源概述
网络攻击者大都使用伪造IP地址或通过多个跳板发 起攻击,使防御方很难确定真正攻击源的身份和位 置,难以实施针对性防御策略。
“知己知彼,百战不殆”,在网络攻防对抗中,只 有拥有信息优势,才能更加有效地实施网络对抗策 略,进而取得胜利。
网络攻击追踪溯源的目标是探知攻击者身份、攻击 点位置及攻击路径等信息,据此可针对性制定防护 或反制措施,进而占领网络对抗制高点。
2020/6/10
网络攻防技术
3
一、网络攻击追踪溯源基本概念
网络攻防技术
24
13.2 追踪溯源面临的挑战
此外,为隐藏身份,攻击者还经常借助匿 名通信系统的天然匿名性(如发送者匿名 )来开展攻击。
本节主要对跳板和匿名通信系统对追踪溯 源的挑战进行分析。
2020/6/10
网络攻防技术
25
一、跳板对追踪溯源的挑战
典型的跳板攻击方式如图所示,攻击者首 先登录跳板1,通过跳板1登录跳板2,依 次登录,进而建立跳板链,然后利用跳板 链的末端对受害者发起攻击。
单网域环境
19
三、网络攻击追踪溯源典型场景
2. 跨域追踪溯源
跨域追踪溯源指跨越多个网域进行的攻击源 追踪,攻击者和受害者属于不同的网域,其 网络逻辑域和物理区域也不相同。
跨域追踪溯源是实际中最常遇到的场景,攻 击者为了隐藏自身,常常是通过多个网域发 动攻击,以逃避追踪。
在跨域追踪溯源过程中,需要多个不同网域 进行协同,交互追踪请求信息,以完成真正 攻击源的追踪定位。
主机1
匿名节点1
匿名网络 匿名节点2
主机3
匿名节点3
2020/6/10
主机2
网络攻防技术
主机4
28
二、匿名通信系统对追踪溯源的挑战
根据匿名通信系统对通信延迟的要求,通常 把匿名通信系统分为延迟不敏感(HighLatency)和延迟敏感(Low-Latency)的 匿名通信系统。
前者又称基于消息(Message Based)的匿名通 信系统,通常为每个消息都选择一条路径,这些 路径可相同也可不同,如匿名电子邮件系统 Chaum Mix和Mixminion等。
网络
攻击者
跳板2
跳板1
跳板链
跳板3
受害者
2020/6/10
网络攻防技术
26
一、跳板对追踪溯源的挑战
为更好躲避检测和追踪溯源,攻击者往往还 采用以下手段:
(1) 在中间跳板上安装和使用后门(如netcat)以 躲避登录陆日志的检查;
(2) 在跳板链中的不同部分使用不同类型(即TCP 和UDP)的网络连接来增加数据流关联的难度;
二、网络攻击追踪溯源目标层次
3. 攻击者追踪溯源
用户信息
用户1
信息表示
主机
用户2
语言 行为 文档 其他数据 应用 程序
智能分析
用户3 ...
2020/6/10
网络攻防技术
13
二、网络攻击追踪溯源目标层次
3. 攻击者追踪溯源
已有的攻击者追踪溯源方法和工具只能对攻 击者在某时间、某方面进行表征,还需要将 这些零星的信息进行汇聚和综合,对攻击者 行为进行准确而完整的描述,以便确定攻击 者的身份信息。
(3) 不同跳板间使用加密(采用不同的密钥)连接 来抵御基于包内容的检测;
(4) 在跳板处引入时间扰乱来抵御基于包时间的加 密数据流关联;
(5) 在跳板处主动对其交互数据流添加包重组和垃 圾包等干扰。
2020/6/10
网络攻防技术
27
二、匿名通信系统对追踪溯源的挑战
匿名通信系统通过一定的技术手段将网络 数据流中通信双方的身份信息加以隐藏, 使第三方无法获取或推测通信双方的通信 关系或其中任何一方的身份信息。
2020/6/10
网络攻防技术
31
二、匿名通信系统对追踪溯源的挑战
已有匿名通信系统所采用的流变换手段可大 致分为流内变换(Intra-Flow Transformation)和流间变换(Inter-Flow Transformation)两种。
流内变换是指变换只在当前数据流范围内发 生,不涉及其他数据流,而流间变换则涉及 到多条数据流之间的变换。