网络攻防技术课件第13章追踪溯源第3节

合集下载

相关主题

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

关联匹配
A
B E
C
网络或主机
D
F
关联匹配
2020/6/10
网络攻防技术
27
二、跳板攻击溯源技术
（1）被动流关联技术
被动流关联技术可分为基于数据流包头、内容及时间的流关联技术。
①基于包头的流关联技术
基于包头的流关联技术中，对流入和流出网络或主机的消息头将进行相关检查，以确定哪些输入的数据流匹配输出数据流，从而确定数据流的来源。
网络攻防技术
2
一、定位伪造地址的IP追踪技术
从发送一个报文就可导致系统崩溃的简单攻击到复杂的DDoS攻击，很多攻击并不需要与接收方进行交互。
而IP协议自身无法验证源地址段中的IP地址是否发送者的真实IP地址，因此对于这些不需要交互的网络攻击而言，攻击者常常采用采用伪造的IP地址对目标发起攻击，给攻击源追踪制造了极大难度。
其中DIDS、CIS和STOP采用的是被动式溯源技术，而Caller ID则是由美国军方开发的一种基于主机的主动式溯源技术。
2020/6/10
网络攻防技术
18
二、跳板攻击溯源技术
1. 基于主机的溯源方法
(1) DIDS
DIDS提供一种基于主机的追踪机制，试图依据网络入侵检测系统（IDS）来记录追踪网络账户的所有用户， DIDS域中的每一个监控主机都搜集审计记录，并将记录交于DIDS中央控制器分析。
网络攻防技术
4
一、定位伪造地址的IP追踪技术
1. 反应式追踪
反应式追踪只能在攻击正在实施时进行追踪，典型的方法有输入调试法和受控洪泛（ Controlled Flooding）法。
（1）输入调试法
输入调试法利用带输入调试功能的路由器来确定发送攻击包的真实IP地址。
一般网络中的路由器具备输入调试功能，可在输出端口过滤掉包含某个特征的报文，根据路由器的这一特点，在攻击发生时，可对攻击源追踪。
本章主要内容
13.1 追踪溯源概述 13.2 追踪溯源面临的挑战 13.3 追踪溯源典型技术 13.4 追踪溯源技术发展趋势
2020/6/10
网络攻防技术
1
13.3 追踪溯源典型技术
追踪溯源技术大体可分为定位伪造地址的 IP追踪技术、跳板攻击溯源技术和针对匿名通信系统的追踪溯源技术三类。
2020/6/10
2020/6/10
网络攻防技术
5
一、定位伪造地址的IP追踪技术
1. 反应式追踪
（1）输入调试法
该方法要求追踪路径上所有路由器必须具有输入调试能力，需要繁琐的手工干预，且依赖于ISP 的高度合作，追踪速度相对较慢；
另外输入调试法只有在攻击进行时才能追踪，不能追踪间歇性发起的攻击。
2020/6/10
2020/6/10
网络攻防技术
16
二、跳板攻击溯源技术
为追溯和定位跳板链后的真正攻击源，按照溯源时所用信息源的不同，跳板攻击溯源技术可分为基于主机的溯源方法和基于网络的溯源方法。
2020/6/10
网络攻防技术
17
二、跳板攻击溯源技术
1. 基于主机的溯源方法
基于主机的溯源方法主要有分布式入侵检测系统（Distributed Intrusion Detection System， DIDS）、呼叫识别系统（Caller Identification System，CIS）、Caller ID和会话令牌协议（ Session Token Protocol，STOP）。
路由日志法进行追踪溯源时，需要海量的存储空间来存储日志文件，存储开销非常大，另外直接记录报文对用户隐私是一种威胁。
2020/6/10
网络攻防技术源自文库
12
一、定位伪造地址的IP追踪技术
2. 主动式追踪
（3）ICMP追踪法
路由器对它所转发的报文以很低的概率采样，并生成一个与采样的报文相关的ICMP iTrace消息，此消息中包含报文的特征信息、此路由器的IP 地址信息及其上下游路由器IP地址信息，消息的目的IP地址为该报文的目的IP地址，也就是说路由器将消息发送给报文的接收方。
2020/6/10
网络攻防技术
23
二、跳板攻击溯源技术
2. 基于网络的溯源方法
基于网络的反应式方法对数据包处理时是主动干预的，从而动态地控制哪些连接何时何地怎样被关联，因此需要比被动方法更少的资源，典型代表是入侵识别和隔离协议（Intruder Detection and Isolation Protocol，IDIP）。
流关联技术主要有被动流关联技术和主动流水印（Flow Watermarking）技术。
2020/6/10
网络攻防技术
26
二、跳板攻击溯源技术
（1）被动流关联技术
被动流关联技术通过观察网络或系统的进入和流
出的数据流，利用流关联匹配技术，确定输入输
出数据流的关联关系，以此确认网络数据流的传
输路径。
虽然DIDS能够通过用户在DIDS域中的正常登录陆来记录追踪该用户的网络行为，但是由于DIDS对网络行为采用中央监控机制，因此难以应用于像Internet这样的大规模网络中。
2020/6/10
网络攻防技术
19
二、跳板攻击溯源技术
1. 基于主机的溯源方法
(2) CIS
CIS使用分布模型来代替DIDS的中心控制机制，登陆录链上的每一台主机都保存着相关记录。
2020/6/10
网络攻防技术
3
一、定位伪造地址的IP追踪技术
IP追踪技术可追踪采用伪造地址的数据包的真实发送者，分为反应式追踪和主动式追踪两大类。
IP追踪技术
反应式追踪
输入调试法
受控洪泛法节点采样标记法
包标记法边采样标记法
主动式追踪路由日志法自适应包标记法
ICMP追踪法
2020/6/10
请求可递归传递给上游主机，以此实现追踪跳板链的功能。
2020/6/10
网络攻防技术
21
二、跳板攻击溯源技术
1. 基于主机的溯源方法
(4) Caller ID机制
Caller ID机制是美国军方开发的一种基于主机的主动追踪机制。
如果某个攻击者通过一系列的跳板侵入了一台主机，那么，Caller ID将利用相同的攻击策略沿攻击路径相反方向回溯攻击，直至定位攻击源。
当用户由第n-1台主机登陆录第n台主机时，第n台主机会请求第n-1台主机关于该用户的登陆录链的相关记录，在理想情况下会依此追溯到最初的主机。
然后第n台主机会查询第1至n-1台主机上有关此登陆录链的相关信息。只有所有查询到的信息能够匹配，才允许其登陆录第n台主机。
然而，如果CIS要想通过登陆录链上主机所记录的信息来维持登陆录链的完整性，就会给正常的登陆录过程带来大量负载。
但该方法本身就是一种DoS攻击，且需要与上游主机的高度合作及Internet详细拓扑图。
2020/6/10
网络攻防技术
8
一、定位伪造地址的IP追踪技术
（2）受控洪泛法
攻击者
攻击路径大容量探测流
受害者
2020/6/10
网络攻防技术
9
一、定位伪造地址的IP追踪技术
2. 主动式追踪
主动式追踪既可用于对攻击的实时阻断，又可用于对攻击的事后分析，典型方法有包标记（Packet Marking）法、路由日志（ Route Logging）法和ICMP追踪法。
2020/6/10
网络攻防技术
11
一、定位伪造地址的IP追踪技术
2. 主动式追踪
（2）路由日志法
路由日志法利用网络中的边界路由器记录它所有经过的数据包的特征，并保存在日志库中，当受害者检测到攻击发生时，受害者根据收集到的攻击数据包的特征，逐级与路由器日志库中的数据流的特征相比较，确定出攻击路径。
请注意，如果数据流是加密的“内部”网络/主机，因为数据内容被加密成不同的数值，该方法将无效。
相对于DIDS和CIS，Caller ID会带来较少的负载，但要用这种手工方法来追踪现代高速网络上的短时入侵是很困难的，且如果攻击者在侵入跳板主机后修复了他所利用的安全漏洞，那么Caller ID机制就无法奏效。
2020/6/10
网络攻防技术
22
二、跳板攻击溯源技术
2. 基于网络的溯源方法
2020/6/10
网络攻防技术
10
一、定位伪造地址的IP追踪技术
2. 主动式追踪
（1）包标记法
虽然攻击者发出的攻击包的源IP地址可能是假的，但是数据包经过路由器转发的路径是不能造假的，基于此，包标记法的基本思想是：
路由器以一定概率采样它所转发的数据包，并将自己的路由器信息标记到采样到的数据包中，路由器信息随着数据包到达受害者端，当攻击发生时，受害者将分析并处理收集到的标记数据包中的路由器信息，从而重构出攻击路径。
如使用时间戳和数据包头内容可针对telnet或rlogin应用的数据流进行匹配，对攻击者使用手动方式输入控制指令的方式非常有效，但该方法无法针对加密数据流进行匹配。
2020/6/10
网络攻防技术
28
二、跳板攻击溯源技术
（1）被动流关联技术
②基于流内容的流关联技术
在基于流内容的流关联技术中，对输入和输出数据流的内容进行相关检查，看它们是否匹配。
基于网络的溯源方法一般依据网络连接的属性进行溯源，主要有基于偏差（Deviation）的方法、基于网络的反应式方法和流关联技术等。
基于偏差的方法使用两个TCP连接序列号的最小平均差别来确定两个连接是否关联，偏差既考虑了时间特征又考虑了TCP序列号，与TCP负载无关，但无法直接用于加密或压缩的连接；
IDIP是一种应用层协议，IDIP边界控制器通过交换入侵检测信息即攻击描述进行相互合作，共同定位和阻止入侵者，但它要求每个边界控制器具有与被攻击主机上的入侵检测系统相同的入侵检测能力。
2020/6/10
网络攻防技术
24
二、跳板攻击溯源技术
2. 基于网络的溯源方法
流关联技术通过检测两条数据流是否存在关联性来进行流量分析，在跳板攻击源定位、僵尸主控机（Botmaster）溯源、匿名滥用用户关联和匿名网络电话追踪等网络安全和隐私方面有着广泛的应用，是目前学术界的研究热点。
本质上，无论多跳攻击还是匿名通信，都通过若干中间节点（如跳板或中继节点）对信息进行多次转发以掩盖发送者的真实身份与准确位置。
2020/6/10
网络攻防技术
25
二、跳板攻击溯源技术
2. 基于网络的溯源方法
流关联技术计算进出中间节点的数据流之间的相似性，从中找出相关联的数据流，通过这些相关联的数据流向前追溯直至定位到信息源。
2020/6/10
网络攻防技术
13
一、定位伪造地址的IP追踪技术
（3）ICMP追踪法
攻击者
攻击路径少量的ICMP数据流大量的ICMP数据流包含路径信息的ICMP消息
2020/6/10
在受害者上收集ICMP 消息，并进行分析
网络攻防技术
受害者
14
二、跳板攻击溯源技术
网络攻击者为隐藏身份和防止源追踪的另一个常用手段是使用跳板：
通过使用事先控制的一系列中间节点对目标实施攻击，致使追踪者跟踪到的是最后一个跳板，而难以追溯到攻击者本身。
2020/6/10
网络攻防技术
15
二、跳板攻击溯源技术
为更有效地躲避追踪，攻击者还往往在跳板处主动对其产生的交互流量进行加密、包重组（Repacketization）和添加时间扰乱（Timing Perturbation）与垃圾包（Chaff Packet）等干扰。
网络攻防技术
6
一、定位伪造地址的IP追踪技术
（1）输入调试法
攻击者
ISP2
ISP1
攻击路径追踪路径
2020/6/10
网络攻防技术
受害者
7
一、定位伪造地址的IP追踪技术
1. 反应式追踪
（2）受控洪泛法
在攻击发生时，首先利用已有的Internet拓扑图选择距离受害者最近的路由的每一条上游链路，并分别进行泛洪泛攻击，通过观察来自攻击者的包的变化来确定攻击数据包经过哪条链路，然后采用同样方法对上游链路继续泛洪泛，以此逐步定位攻击源。
2020/6/10
网络攻防技术
20
二、跳板攻击溯源技术
1. 基于主机的溯源方法
(3) 会话令牌协议（STOP）
STOP是可递归追踪跳板链的分布式系统。其本质是鉴定协议（Identification Protocol，IDENT）的增强版，增添了取证和溯源功能。
STOP服务器应下游主机请求，通过带外连接保存用户级和应用级数据，这些数据用于取证调查之用。