计算机网络追踪溯源技术
网络安全事件溯源技术追踪攻击行为的工具和技巧
网络安全事件溯源技术追踪攻击行为的工具和技巧随着网络的飞速发展,网络安全问题也日益突出。
网络攻击事件时有发生,给个人和组织带来了巨大的损失。
因此,网络安全专家们不断寻找有效的方法来追踪攻击行为,以便及时采取措施保护网络安全。
本文将介绍一些网络安全事件溯源技术,包括常用的工具和技巧。
一、网络安全事件溯源技术的意义和目标网络安全事件溯源技术旨在通过收集和分析攻击痕迹,追踪攻击行为的源头,便于快速响应和采取相应的防御措施。
其主要目标包括以下几点:1.确定攻击来源:通过溯源技术可以追踪到攻击的源头IP地址和攻击者的实际物理位置,有助于确定攻击来自哪个国家、组织或个人。
2.获得攻击手段:通过分析攻击痕迹和方式,可以获取攻击者的技术手段和方式,进一步加强网络安全防御。
3.确保法律追诉能力:通过溯源技术可以为网络安全事件提供证据,有助于将攻击者绳之以法,维护网络环境的秩序和安全。
二、网络安全事件溯源的基本原理网络安全事件溯源技术的基本原理是通过收集和分析网络流量等数据信息,从而确定攻击源的位置和身份。
下面介绍几种常用的溯源技术和工具:1.包过滤:这是一种最基本的溯源技术,通过对网络流量进行监控和分析,筛选出与攻击相关的数据包,并追踪其路径,以确定攻击源。
2.IP追踪:通过对攻击者的IP地址进行追踪,可以找到他们所在的物理位置。
常用的IP追踪工具有“tracert”和“traceroute”。
3.DNS日志分析:域名系统(DNS)日志包含了访问者的域名解析请求信息,通过分析这些日志可以了解到攻击者对特定IP地址进行的查询,从而追踪到攻击源。
4.入侵检测系统(IDS):IDS能够实时监控网络流量,通过识别和报警异常行为,帮助追踪攻击源。
5.火墙日志分析:通过分析防火墙日志,识别和分析异常连接和攻击行为,追踪攻击源IP地址。
6.虚拟专用网络(VPN):通过建立加密通道,隐藏真实的IP地址和数据,为用户提供匿名性,增加追踪攻击者的难度。
网络攻击溯源技术
网络攻击溯源技术随着互联网的迅猛发展,网络攻击已经成为我们日常生活中无法回避的问题。
网络黑客和攻击者时常利用各种技术手段入侵他人的计算机系统,窃取个人隐私信息,造成了巨大的损失。
为了解决这个问题,网络攻击溯源技术应运而生。
网络攻击溯源技术是一种通过追踪和分析网络攻击过程的方法,旨在确定攻击源的位置和身份,为进一步采取防御措施提供依据。
下面将详细介绍几种常见的网络攻击溯源技术。
一、IP地址追踪技术IP地址是互联网中用于标识计算机和设备的一串数字。
通过追踪攻击来源的IP地址,可以大致确定攻击者的物理位置和所用的网络服务提供商。
这种技术常常被用于查询攻击者的地理位置,并可以将信息提供给执法机构进行进一步调查。
二、域名溯源技术域名溯源技术是通过对攻击中的恶意域名进行追踪和分析,以确定攻击者的身份。
恶意域名通常会被用于发起网络钓鱼、恶意软件传播等活动中。
通过追踪域名的注册者和使用者的信息,可以帮助警方追踪并定位攻击者。
三、数据包分析技术数据包分析技术是通过对网络流量进行深入的数据包分析,以确定攻击发起者的IP地址、攻击方式和攻击工具等信息。
这种技术可以通过分析网络协议、端口和数据包的特征,对网络攻击进行溯源和定位,进而制定相应的防护措施。
四、黑客行为追踪技术黑客行为追踪技术是通过模拟黑客攻击行为,以便跟踪分析和了解攻击者的行动逻辑和攻击方式。
通过模拟攻击行为,可以发现攻击者的蛛丝马迹,并预测其下一步的攻击目标。
这种技术对于提前预防和减轻网络攻击的损失非常重要。
网络攻击溯源技术的发展给网络安全领域带来了重要的突破和进步。
通过追踪攻击源头,我们可以更好地了解攻击者的手法和动机,加强网络安全防护措施,提高网络安全性。
无论怎样,保护个人隐私和网络安全都是我们每个人的责任。
在使用互联网时,我们应该时刻保持警惕,加强个人防范意识,主动了解网络攻击溯源技术,并积极采取防御措施。
只有全社会共同努力,才能构筑起一个安全可靠的网络环境。
网络攻击溯源技术:如何追踪黑客?
网络攻击溯源技术: 如何追踪黑客?引言在当今数字时代,网络攻击变得越来越普遍和严重。
黑客们利用各种手段侵入系统和网络,窃取敏感信息、破坏数据,给个人和组织造成巨大的损失。
为了有效打击网络犯罪活动,追踪黑客成为了重要的任务。
本文将介绍网络攻击溯源技术,探讨如何追踪黑客的方法和工具。
1. IP地址追踪IP地址是互联网中设备的唯一标识符,追踪黑客的首要方法是获取和分析黑客使用的IP地址。
通过网络日志、入侵检测系统和防火墙等安全设备,管理员可以获得黑客攻击的源IP地址。
然后,可以通过查询公共IP地址数据库,如ARIN、APNIC等,获取IP地址的基本信息,如分配地理位置、所属组织等。
同时,还可以利用WHOIS工具来获得更详细的信息,如IP地址的拥有者和联系方式。
通过分析这些信息,我们可以初步追踪黑客的大致位置和身份。
2. 日志分析网络设备和服务器通常会记录大量的日志信息,包括网络流量、系统事件和用户活动等。
分析这些日志可以帮助我们了解黑客的攻击行为和攻击路径。
例如,通过检查入侵检测系统的日志,我们可以发现黑客的攻击模式和使用的工具。
通过分析网络流量日志,我们可以了解黑客的通信方式和使用的协议。
此外,还可以通过分析系统事件日志和访问日志,发现黑客的异常行为和痕迹,提供线索进行溯源。
3. 恶意软件分析黑客通常使用恶意软件来实施攻击,例如病毒、木马或僵尸网络。
对这些恶意软件进行分析可以揭示黑客的意图和攻击方式。
通过反汇编或动态调试恶意软件,可以获取有关黑客的信息,如使用的命令和控制服务器IP地址。
同时,还可以分析恶意软件的特征和行为,与已知恶意软件库进行对比,找到相应的匹配。
这些分析结果将有助于确定黑客的技术水平和可能的攻击手段。
4. 邮件头和域名分析电子邮件是黑客常用的传播恶意软件和进行钓鱼攻击的方式之一。
通过分析邮件头和域名,我们可以了解黑客的发件人地址和使用的服务器。
邮件头中包含了关于邮件传输的详细信息,如发件人IP地址、邮件路由等。
网络犯罪溯源分析的关键技术有哪些
网络犯罪溯源分析的关键技术有哪些在当今数字化的时代,网络犯罪日益猖獗,给社会带来了巨大的威胁和损失。
为了有效地打击网络犯罪,溯源分析成为了关键环节。
网络犯罪溯源分析旨在追踪犯罪行为的源头,找出犯罪者的身份、动机和作案手段,从而为法律制裁提供有力的证据。
那么,网络犯罪溯源分析到底有哪些关键技术呢?一、数据采集与监控技术数据采集是网络犯罪溯源分析的基础。
通过在网络关键节点部署监测设备,如网络流量监测器、入侵检测系统等,可以实时获取网络中的数据流量和活动信息。
这些设备能够捕捉数据包、记录访问日志、检测异常行为等,为后续的分析提供丰富的数据来源。
此外,还可以利用蜜罐技术来诱捕网络犯罪分子。
蜜罐是一种故意设置的虚假目标系统,它看起来像是一个有价值的网络资源,但实际上是被监控和记录的。
当犯罪分子攻击蜜罐时,系统可以收集到他们的攻击手法、使用的工具以及来源等重要信息。
二、数字取证技术数字取证是在网络犯罪现场收集和分析数字证据的过程。
这包括对计算机硬盘、移动设备、网络存储等介质中的数据进行提取和分析。
首先,要进行数据恢复。
即使数据被删除或格式化,通过专业的工具和技术,仍有可能恢复出有价值的信息。
其次,对文件系统、注册表、缓存等进行深入分析,查找与犯罪相关的痕迹,如登录记录、文件创建和修改时间、网络连接记录等。
另外,时间戳分析也是重要的一环。
通过对比不同文件和操作的时间戳,可以推断出犯罪活动的时间顺序和流程。
三、网络流量分析技术网络流量包含了大量关于网络活动的信息。
通过对流量的分析,可以了解数据的流向、通信模式、数据包的特征等。
流量分析可以采用深度包检测(DPI)技术,深入检查数据包的内容,识别应用层协议和数据。
还可以利用流量建模和行为分析,建立正常网络流量的模型,一旦出现偏离正常模式的流量,就可能预示着网络犯罪活动。
同时,对加密流量的分析也是一个挑战。
虽然加密使得内容难以直接读取,但通过分析流量的特征,如流量大小、连接频率、数据包长度分布等,仍然可以发现一些异常线索。
网络溯源技术
网络溯源技术网络溯源技术是指通过技术手段对网络上的数据进行追溯和追踪,以便确定其来源和传播路径。
随着互联网的普及和发展,网络溯源技术在犯罪侦查、网络安全监控等领域发挥着重要作用。
本文将介绍网络溯源技术的基本原理、应用领域和未来发展趋势。
一、网络溯源技术的原理网络溯源技术基于网络数据的特点和各种技术手段,通过追踪和分析网络数据,找到其源头和传播路径。
它主要包括以下几个方面的原理:1. IP地址追踪:IP地址是互联网上数据传输的基本单位,每个设备在网络上都有一个唯一的IP地址。
通过分析网络数据包中的IP地址,可以追踪到发送方和接收方的位置信息。
2. 域名解析:域名是互联网上的网址,通过域名解析可以将网址转换成对应的IP地址。
通过对域名的解析和追踪,可以找到网站的真实服务器地址。
3. 网络记录分析:网络服务器和网络设备都会留下一些记录,如日志文件、访问记录等。
通过分析这些网络记录,可以还原出网络活动的轨迹。
4. 数据包分析:网络传输的数据包中包含了许多信息,如发送者IP 地址、接收者IP地址、时间戳、传输协议等。
通过对这些数据包的分析,可以还原出网络通信的详细过程。
二、网络溯源技术的应用领域网络溯源技术在很多领域都有广泛的应用。
以下是几个常见的应用领域:1. 犯罪侦查:网络犯罪已成为一种严重的社会问题。
网络溯源技术可以帮助警方追踪犯罪嫌疑人,找到他们的真实身份和行踪,为犯罪侦查提供有力的证据。
2. 网络安全监控:随着网络攻击的不断增多,网络安全监控变得越来越重要。
网络溯源技术可以监测网络中的异常活动,并追踪到攻击者的来源和传播路径,帮助防止和打击网络攻击行为。
3. 知识产权保护:在网络上,侵犯知识产权的行为时有发生。
利用网络溯源技术,可以找到侵权者的身份和传播途径,采取相应的法律措施保护知识产权。
4. 网络舆情监测:网络上的舆情对人们的生活和工作有着巨大的影响。
网络溯源技术可以帮助在海量的网络数据中分析出关键信息,及时掌握舆情动态,为决策提供参考依据。
网络安全追溯与溯源技术研究
网络安全追溯与溯源技术研究随着互联网普及和企业信息化建设的发展,网络安全问题日益凸显。
攻击者为了逃避追责和掩盖自己的犯罪行为,常常采取匿名化技术,给网络安全防护带来了极大的挑战。
为了应对这一问题,网络安全追溯与溯源技术应运而生,通过对恶意行为的溯源,助力相关部门追查犯罪嫌疑人并保护网络安全。
一、追溯与溯源技术解析1. 追溯技术:追溯技术是指根据特定的信息,通过分析和追踪,找到与之相关的其他信息。
在网络安全领域,追溯技术主要用于分析网络攻击的行为、路径和来源,以便从源头上遏制网络攻击。
2. 溯源技术:溯源技术是指根据已有的信息,通过追溯过程分析,找到信息的起源和来源。
在网络安全领域,溯源技术主要用于追查犯罪嫌疑人或者恶意攻击活动的始作俑者。
追溯与溯源技术是网络安全监测和应对的重要手段,有效的追溯与溯源技术可以帮助执法部门对违法行为进行跟踪和打击,还可以提供有力的证据保护网络安全。
二、追溯与溯源技术的应用1. 网络攻击追踪:追踪网络攻击是追溯与溯源技术的重要应用之一。
通过分析攻击行为、攻击路径和攻击来源,可以及时发现恶意行为并采取相应的防护措施。
同时,通过追踪攻击者,可以进一步深入调查并打击相关犯罪行为。
2. 信息泄露追溯:当企业或个人的敏感信息遭到泄露时,通过追溯与溯源技术可以找到信息泄露的源头,进而采取相应措施,保护信息安全。
3. 社交媒体调查:随着社交媒体的普及,网络犯罪和网络欺凌的现象也越来越严重。
追溯与溯源技术可以帮助相关部门分析并追查散布谣言、恶意辱骂等不良行为的人员,保护网络环境的清朗。
4. 网络诈骗追踪:网络诈骗经常利用虚拟身份和匿名性进行欺骗,追溯与溯源技术可以通过追查支付路径、IP地址等信息,找到诈骗分子的真实身份,助力执法部门打击网络诈骗。
三、追溯与溯源技术的挑战1. 匿名化技术:攻击者常常利用虚拟服务器、代理服务器和密码学等技术手段隐藏自己的真实身份,使得追溯与溯源过程变得复杂困难。
网络溯源技术
网络溯源技术随着互联网的快速发展和广泛应用,网络犯罪也日益增加。
为了维护网络安全和打击犯罪活动,网络溯源技术应运而生。
网络溯源技术是一种可以追踪网络活动并确定其来源的技术手段。
本文将介绍网络溯源技术的原理、应用以及对个人隐私的影响。
一、网络溯源技术的原理网络溯源技术主要利用了互联网上的IP地址和域名信息来追踪网络活动。
IP地址是互联网上唯一的地址标识符,每个连接到互联网的设备都有一个独特的IP地址。
通过追踪IP地址,可以确定网络活动的发起者的物理位置和所属网络运营商等信息。
另外,域名信息也可以提供一定的线索,因为每个网站都有一个独特的域名,可以追踪到网站的注册信息以及所属的实体。
二、网络溯源技术的应用1. 打击网络犯罪:网络犯罪日益猖獗,如网络诈骗、网络侵权等。
网络溯源技术可以帮助执法部门追踪犯罪分子的身份和行踪,加强对网络犯罪的打击力度。
2. 解决网络纠纷:在互联网上,经常发生网络纠纷,如网络诽谤、网络侵权等。
网络溯源技术可以确定发布者的真实身份,为解决纠纷提供重要的证据和依据。
3. 维护网络安全:网络攻击和黑客入侵日益猖獗,给企业和个人的信息安全造成了严重威胁。
网络溯源技术可以帮助网络管理员了解攻击者的行为和手法,及时采取措施保护网络安全。
三、网络溯源技术对个人隐私的影响网络溯源技术的广泛应用带来了对个人隐私的担忧。
一方面,网络溯源技术可以追踪个人的网络活动,暴露个人的行踪轨迹和偏好信息。
另一方面,滥用网络溯源技术可能侵犯个人隐私权,甚至成为监控个人活动和侵犯个人权利的手段。
针对这些问题,互联网相关的法律法规也在不断完善,以保护个人隐私权。
同时,网络用户也应加强自我保护意识,合理使用互联网,不参与违法犯罪活动,避免自身信息被滥用。
总结起来,网络溯源技术是一种重要的网络安全手段,可以帮助打击网络犯罪和维护网络安全。
然而,其应用也需要平衡个人隐私权和公共安全之间的关系。
在不断发展的互联网时代,我们需要在确保网络安全的同时,保护每个人的隐私权利。
计算机网络安全事件溯源与取证的流程与工具推荐
计算机网络安全事件溯源与取证的流程与工具推荐随着计算机和互联网的快速发展,网络安全成为了当今世界亟待解决的问题之一。
不论是个人用户还是企业,都面临着来自网络的各种威胁。
面对这些安全事件,溯源和取证成为了解决问题和维护网络安全的重要手段之一。
本文将介绍计算机网络安全事件溯源与取证的流程,并推荐一些常用的工具、技术。
一、计算机网络安全事件溯源的流程1. 收集信息:在面对网络安全事件时,首要任务是收集相关信息,包括事件发生的时间、地点、受影响的主机或网络设备等。
这些信息有助于确定事件的范围和性质。
2. 保留证据:在收集到相关信息后,需要及时采取措施保留证据,例如保存相关日志文件、快照拷贝受影响的主机等。
确保证据的完整性和可靠性对于事件的溯源和取证至关重要。
3. 分析溯源路径:根据收集到的信息和证据,进行溯源路径的分析。
这一步骤可以通过查看相关日志、网络流量记录以及系统调用等方法来确定攻击者的入侵途径和行为。
4. 追踪攻击者:根据溯源路径的分析结果,可以对攻击者进行追踪。
通过进一步的调查和分析,可以确定攻击者的真实身份、攻击手段和意图。
5. 报告与归档:将溯源和取证过程的结果整理成报告,并进行归档保存。
这些报告可以用于进一步的安全防护和教育,以及未来类似事件的处理参考。
二、计算机网络安全事件取证的流程1. 收集物证:物证是指通过技术手段收集到的与网络安全事件相关的物理证据,例如网络设备、存储媒体、硬盘等。
在取证过程中,首先要确保物证的完整性和真实性。
2. 数据采集:对于存储媒体中的数据,需要进行数据采集和提取。
这一步骤可以通过镜像、数据提取工具等方法来实现。
确保采集的数据不受损坏和篡改,保证后续的分析和取证的准确性。
3. 数据分析:对采集到的数据进行分析,包括文件恢复、日志分析、恶意代码分析等。
通过分析,可以还原事件的发生过程,找出攻击者的行为特征和攻击手段。
4. 取证标记:对于分析出的相关证据,需要进行取证标记。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机网络追踪溯源技术一、产生背景:计算机网络是计算机技术和通信技术发展到一定程度相结合的产物,Internet 的出现更是将网络技术和人类社会生活予以紧密的结合。
随着网络技术的飞速发展,越来越多的传统运作方式正在被低耗、开放、高效的分布式网络应用所替代,网络已经成为人们日常生活中不可缺少的一部分。
但是,随之而来基于网络的计算机攻击也愈演愈烈,尤其是DDoS攻击,攻击者利用网络的快速和广泛的互联性,使传统意义上的安全措施基本丧失作用,严重威胁着社会和国家的安全;而且网络攻击者大都使用伪造的IP 地址,使被攻击者很难确定攻击的位置,从而不能实施有针对性地防护策略。
这些都使得逆向追踪攻击源的追踪技术成为网络主动防御体系中的重要一环,它对于最小化攻击的当前效果、威慑潜在的网络攻击都有着至关重要的作用。
二、DDoS攻击原理:但是精确定位攻击源并非易事,因为攻击者对远程计算机或网络进行攻击时, 通常采用两种手段来隐藏自己的真实地址: 伪造报文I P源地址和间接攻击。
因特网中有许多主机提供代理服务或存在安全漏洞, 这些主机会被攻击者作为“跳板”对目标发动攻击, 从受害主机只能看到“跳板”地址, 而无法获得攻击主机地址。
其攻击模型为:(attacter) (stepping stone)(zombie) (reflecter) (victim)图1 网络攻击模型它涉及到的机器包括攻击者、受害者、跳板、僵尸机器、反射器等。
攻击者(Attacker Host)指发起攻击的真正起点,也是追踪溯源希望发现的目标。
被攻击者(Victim Host)指受到攻击的主机,也是攻击源追踪的起点。
跳板机(Stepping Stone)指已经被攻击者危及,并作为其通信管道和隐藏身份的主机。
僵尸机(Zombie)指已经被攻击者危及,并被其用作发起攻击的主机。
反射器(Reflector)指未被攻击者危及,但在不知情的情况下参与了攻击。
其中跳板机器和僵尸机器都是攻击者事先已经攻破的主机, 我们统称它们为变换器, 它们负责把攻击数据包做某种变换以掩盖攻击者的行踪, 具体变换如下:图2三、网络追踪溯源技术:计算机网络追踪溯源是指确定网络攻击者身份或位置及其中间介质的过程。
身份指攻击者名字、帐号或与之有关系的类似信息;位置包括其地理位置或虚拟地址:如IP地址、MAC 地址等。
追踪溯源过程还能够提供其他辅助信息,比如攻击路径和攻击时序等。
网络管理者可使用追踪溯源技术定位真正的攻击源,以采取多种安全策略和手段,从源头抑制,防止网络攻击带来更大破坏, 并记录攻击过程, 为司法取证提供必要的信息支撑. 在网络中应用追踪溯源我们可以:①确定攻击源, 制定实施针对性的防御策略;②确定攻击源, 采取拦截、隔离等手段, 减轻损害, 保证网络平稳健康的运行;③确定攻击源, 记录攻击过程, 为司法取证提供有力证据.1.追踪溯源的困难:由于当前的TCP/IP协议对IP 包的源地址没有验证机制以及Internet基础设施的无状态性,使得想要追踪数据包的真实起点已不容易,而要查找那些通过多个跳板或反射器等实施攻击的真实源地址就更加困难。
具体体现在以下几方面:(1)当前主要的网络通信协议(TCP/IP)中没有对传输信息进行加密认证的措施,使得各种IP 地址伪造技术出现。
使得通过利用攻击数据包中源IP地址的追踪方法失效。
(2)Internet已从原来单纯的专业用户网络变为各行各业都可以使用的大众化网络,其结构更为复杂,使攻击者能够利用网络的复杂性逃避追踪。
(3)各种网络基础和应用软件缺乏足够的安全考虑,攻击者通过俘获大量主机资源,发起间接攻击并隐藏自己。
(4)一些新技术在为用户带来好处的同时,也给追踪溯源带来了更大的障碍。
虚拟专用网络(VPN)采用的IP隧道技术,使得无法获取数据报文的信息;网络服务供应商(ISP)采用的地址池和地址转换(NAT)技术,使得网络IP 地址不在固定对应特定的用户;移动通信网络技术的出现更是给追踪溯源提出了实时性的要求,这些新技术的应用都使得网络追踪溯源变得更加的困难。
(5)目前追踪溯源技术的实施还得不到法律保障,如追踪溯源技术中,提取IP 报文信息牵扯到个人隐私。
这些问题不是单靠技术手段所能解决的。
2.追踪溯源技术分类:1)主动询问类此类方法通过主动询问数据流可能经过的所有路由器,确认其流向路径的机制(Input Debugging)。
主动询问是一种比较粗的方法,通过带有Input Debugging功能的路由器进行一级一级(Hop-by-hop)的沿攻击数据流路径查询追踪,多数路由器具有查找符合某种模式报文的输入接口的调试功能,利用路由器的这一功能,在攻击发生后逐跳确定具有攻击特征的数据包来自哪个路由入口,通过反复使用从而可以确定发送攻击包的真实I P,原理示意图及算法流程如图3 所示。
图3带有input debugging功能路由器的追踪溯源原理及算法流程图此类方法目前在计算机网络中已经得到应用,有不少的网络提供商(ISP)通过设备升级改造,安装更加智能的路由器系统提高追踪效率及能力。
缺点:这种方法是 I P 追踪时最容易想到的方法,但要求追踪路径上所有路由器必须具有输入调试能力,且需要网络管理员或技术人员手工操作,依赖互联网服务提供商即 ISP 的高度合作。
虽然其追踪结果非常准确,但由于追踪速度很慢且操作复杂、技术含量高,除了军用等特殊需要外,基本不使用。
2)数据监测类此类方法通过构建覆盖全网络的监测点对网络中数据流进行监测。
如各种日志记录技术(Logging)。
通过对流经路由器的所有数据包(包括攻击数据包)进行信息存储,一旦发生攻击,由受害端发起查询信息,以此确定攻击路径。
此方法需要大量的存储计算资源且需要数据库技术支持,但基于HASH算法的日志类方法则可大大减少存储资源的需求。
如图4所示:图4 数据检测类追踪溯源原理另一种思路就是将数据包经过路径的路由器地址信息写入数据报文中,受害者收到攻击数据包后就可以从报文中提取出路径信息,构造出攻击数据的攻击路径,就可以追踪到攻击者,这就是路径记录法。
在IP 报文头的 IP 选项里有一项路径记录功能,可以用来记录报文从攻击者到受害者所经过的路径上的各路由器的口地址,路径记录法就是利用该功能来记录路径信息。
其报文格式如图5所示,图5 带路径记录选项的IP报文结构其中,“选项码”为7,表示路由器在转发报文时,要将自己的IP地址添加到报文中。
长度指出IP数据报发送主机预先分配给该IP地址存储区域的大小,指针指向该存储区域内下一个用于存放 IP 地址的位置。
如果预先分配的地址区域大小不足以记录下全部路径,IP 协议将放弃记录余下的地址。
因为数据报文的IP选项域也并没有足够的空间存储路由信息,所以出现了另一种思路:用记录IP地址信息的摘要来节省存储空间。
受害者可以根据所收到的攻击数据包的摘要和路由器中保存的摘要重构攻击路径,源路径隔离引擎就是比较成熟方法之一。
该方法的优点是能够对单个数据包进行很准确的反向跟踪,漏警率为零,且有很好的互操作性。
缺点:是它需要ISP 间的相互合作,对高速路由器存储要求高,并会消耗路由器CPU 资源,影响路由器的流量转发性能。
3)路径重构类路径重构类是目前研究得比较热的一类方法,是追踪溯源技术发展的方向之一,研究产生了大量技术方法及重构算法,其相关理论也较成熟。
其核心思想是通过在网络中传输的数据包中编入路径信息或者单独发送含有路径信息的数据包,接收端通过收集这些包含路径信息的数据包,并根据一定的路径重构算法实现重构攻击数据包路径的目的。
(数据包标记法)较为著名的有PPM(Probabilistic Packet Marking)、iTrace、DPM(Deterministic Packet Marking) APPM 标记法等。
如图6 PPM原理示意图图6 路径重构类追踪溯源原理①PPM(Probabilistic Packet Marking)概率包标记法In PPM, the packet is probabilistically marked in routers with the required information (depending upon the technique). With the low required cost and low volume of marking (typically 1/25), PPM has drawn much attention as a traceback method. PPM uses edge sampling as a marking algorithm which encodes the edges (two nodes) instead of recording the nodes as in node append or encodes each node as in nodes sampling. Encoding of any edge is carried by the XOR of the two IP address resulting in one 32 bit address called the edge-id. In order to reduce the required space for marking, k of non-overlapping fragments were introduced. The k fragments number is a result from dividing the edgeid. When a router chooses to mark a packet, one of the kfragments, randomly, will be injected inside the packet. To lessen the collision that could happen, where different edges could have same fragments value, error detection was added to the algorithm.There are drawbacks with PPM . PPM covers a local range such as an ISP network where they would have a control to administrate the network. Therefore, it’s difficult to traceback any attack’s source from outside the network. Additionally, PPM is susceptible to attack as the victim could be misinformed by receiving fake marking packets from the attacker. In other words, marking information, which will be used by the victim for tracing the attacker‘s source, could be violated. In addition, overwriting the marked massages by the routers on the attack tree would reduce the accuracy.The further the router on the attack path is away from the victim, the high probability for its marked packets to overwritten by a router closer to the victim. Furthermore, PPM increases the overhead and processing in routers because it involves all the routers on the attack path in the marking process. Moreover, in order to reconstruct the attack tree, large storage is needed to store marked packets in routers. Most of the PPM proposed algorithms have not addressed the storage space problem.②DPM(Deterministic Packet Marking) 确定性包标记法I n DPM , the packet is marked by the edge router that it passes through. DPM has the same idea that is using record route option mentioned at to record the routers’ addresses . However, only one IP address will be injected inside the packet. The packet is marked deterministically by the closest interfaces of the edge ingress router. Only the incoming packets will be marked and this mark is not overwritten by a downstream router. Each packet will be marked after it enters the network and this mark will stay the same during the journey inside the network. The scope of DPM covers the entire internet where each edge router should be able to mark the packets. DPM does not involve all of the routers in the attack path in marking. DPM deals with the interfaces in the router as one unit instead dealing with the router as one unit in PPM. It is reported that within 10 packets, the attacker origin can be located .该方法的优点是易于实现与前面的方法相比其不需要ISP 配合(需改造路由器或部署特殊设备), 也不需要大量的人力资源等缺点:但该方法虚警率较高, 计算量很大, 对DDos攻击无效, 且鲁棒性差。