IP溯源技术及其标准化
网络安全应急预案中的追踪和溯源技术
网络安全应急预案中的追踪和溯源技术在当今数字化时代,网络安全问题已经成为各个组织和个人面临的一大挑战。
为了应对网络安全威胁,许多组织都采取了应急预案,以保护其敏感信息和重要资产。
网络安全应急预案的一个重要方面是追踪和溯源技术,它能够帮助组织追踪恶意活动的源头并采取相应的对策。
一、追踪技术1. IP地址追踪IP地址是用于在互联网上识别设备的一串数字。
在网络安全应急中,通过查看受攻击设备的IP地址以及攻击者的IP地址,可以追踪攻击者的行踪。
通过对IP地址进行溯源,可以找到攻击者所在的地理位置,从而为后续的调查打下基础。
2. 包追踪网络通信是通过各种数据包进行的,通过追踪传输的数据包,可以分析和推断出攻击者的活动。
包追踪技术可以帮助分析人员了解攻击的类型、攻击手法以及攻击者的意图,为进一步的溯源提供线索。
二、溯源技术1. 日志分析应急预案中的一个重要环节是对事件进行日志分析。
系统和应用程序往往会生成大量的日志,通过对这些日志进行分析可以找到异常活动和潜在的攻击迹象。
日志分析可以追踪攻击的发生时间、攻击者的行为以及攻击过程中使用的工具和技术,为溯源提供关键信息。
2. 链路追踪链路追踪是指跟踪数据在网络中的传输路径。
通过跟踪数据包的网络路径,可以了解数据包在网络中的媒介和转发路径,从而进一步确定攻击者的来源和攻击路径。
链路追踪技术可以帮助安全团队找到攻击者入侵网络的节点,从而有效地采取应对措施。
三、追踪和溯源技术的意义1. 提高应急响应速度追踪和溯源技术可以帮助安全团队快速了解攻击事件的发生情况。
通过追踪技术,可以迅速确定攻击者的来源和攻击路径,为针对性的应急响应提供基础。
溯源技术则可以帮助安全团队构建完整的攻击链路,了解攻击者的动机和手法,从而更加有效地应对网络安全威胁。
2. 支持法律追责追踪和溯源技术对于网络犯罪的打击具有重要意义。
通过溯源技术,可以确定攻击者的真实身份和所在位置,为追究其法律责任提供依据。
网络安全事件的溯源与取证技术
网络安全事件的溯源与取证技术随着互联网的快速发展,网络安全问题日益突出。
各类网络攻击事件频频发生,给个人隐私和企业信息安全带来严重威胁。
为了有效应对网络安全威胁,溯源和取证技术成为保障网络安全的重要手段。
一、网络安全事件的溯源技术网络安全事件的溯源技术能够追踪入侵者的行为和来源,从而帮助相关部门了解攻击的真实情况,并采取相应的应对措施。
网络安全事件的溯源技术主要包括以下几个方面:1. IP溯源技术IP溯源技术基于网络数据包中的IP地址信息,通过网络日志、防火墙等设备获取攻击者的IP地址,并利用网络追踪工具进行追踪和识别。
通过IP溯源技术,可以大致确定攻击者的位置和身份信息,为后续的取证工作提供重要线索。
2. 数据流和流量分析技术数据流和流量分析技术通过对网络数据包的深度分析,识别出异常的数据流和流量特征。
这些特征可以包括异常的访问行为、大量的请求数据等。
通过对这些异常流量进行分析,可以找到可能的攻击源,并进一步追踪和溯源。
3. 异常行为识别技术异常行为识别技术通过对系统和网络中的异常行为进行监测和识别。
这些异常行为包括未经授权的访问、非法的操作等。
通过对异常行为进行分析和比对,可以找到潜在的攻击目标和攻击者。
二、网络安全事件的取证技术网络安全事件的取证技术能够获取相关数据和证据,为调查和追究责任提供有力支持。
网络安全事件的取证技术主要包括以下几个方面:1. 磁盘取证技术磁盘取证技术通过对硬盘、闪存等存储介质进行数据采集和分析,获取相关的证据信息。
这些证据信息可以包括攻击者使用的工具、攻击过程中的日志记录、入侵相关的文件等。
磁盘取证技术需要借助专业的取证工具和方法,确保获取的证据完整可靠。
2. 内存取证技术内存取证技术主要用于获取操作系统运行过程中的数据和状态信息。
网络攻击过程中,攻击者可能会在内存中留下痕迹,如恶意程序的运行信息、网络连接记录等。
内存取证技术可以有效提取这些信息,为溯源和取证提供重要依据。
网络安全攻击定位与溯源技术研究
网络安全攻击定位与溯源技术研究近年来,随着互联网的普及和信息技术的飞速发展,网络安全问题日益严峻。
网络攻击频频发生,对个人、企业乃至国家的财产和安全造成了巨大威胁。
为了应对这一挑战,网络安全攻击定位与溯源技术逐渐成为保护网络安全的关键手段。
一、攻击定位技术攻击定位技术是一种通过收集和分析攻击相关的信息,追踪攻击源头的技术手段。
它可以帮助网络管理者或安全专家准确地确定攻击者的位置,从而采取相应的应对措施。
目前,常用的攻击定位技术主要包括IP源地址追踪、域名服务(DNS)追踪、跳跃点分析和网络流量分析等。
1. IP源地址追踪IP源地址追踪是一种最为常见和基础的攻击定位技术。
通过分析网络流量和攻击数据包的IP源地址,可以追踪到攻击者的大致位置。
然而,由于攻击者常常使用伪造的IP地址或通过代理服务器进行攻击,仅凭IP地址追踪的结果常常不够准确。
2. 域名服务(DNS)追踪域名服务追踪技术通过分析攻击中使用的域名信息,追踪到攻击者的真实IP地址。
由于攻击者常常利用伪装的域名及域名解析来隐藏自身的真实身份,因此域名服务追踪技术在一定程度上可以提高攻击定位的准确性。
3. 跳跃点分析跳跃点分析是一种利用网络路由路径信息的攻击定位技术。
通过分析攻击数据包在网络上的路由路径,可以确定攻击者的攻击路径,从而推测出其大致位置。
然而,由于网络中存在多个跃点,攻击路径可能经历多次转发和混淆,使得准确的攻击定位变得更加困难。
4. 网络流量分析网络流量分析是一种通过对网络流量进行深入分析,识别异常流量并进行溯源的技术。
通过对网络流量的统计和建模,可以找出异常流量事件,并通过进一步的分析追踪到攻击源头。
然而,网络流量分析技术的准确性和效率仍然面临挑战,尤其是在面对大规模的攻击事件时。
二、攻击溯源技术攻击溯源技术是一种通过追踪攻击路径和关联的信息,识别出攻击者身份和真实位置的技术手段。
通过溯源技术,可以从根本上防止和打击网络攻击,为网络管理者提供关键的信息支持。
IP地址的网络安全事件分析和溯源
IP地址的网络安全事件分析和溯源在当代信息社会,网络安全问题日益突出。
IP地址是在互联网上进行通信的设备的唯一标识符,因此它在网络安全事件的分析和溯源过程中扮演着至关重要的角色。
本文将重点探讨IP地址在网络安全事件中的作用,并研究其分析和溯源方法。
一、IP地址的基本概念IP地址(Internet Protocol Address)是由32位或128位二进制数字构成的标识符,用于识别互联网上的设备。
它可以分为IPv4和IPv6两种格式。
IPv4采用32位二进制地址,如192.168.0.1,而IPv6采用128位二进制地址,如2001:0db8:85a3:0000:0000:8a2e:0370:7334。
每个设备在互联网上都有一个唯一的IP地址,它类似于人类的身份证号码,用于标识设备的身份。
二、IP地址在网络安全事件分析中的作用1. 追踪攻击来源:当网络遭受攻击时,IP地址可以帮助分析人员快速追踪到攻击者的位置。
通过检查攻击流量中的源IP地址,可以确定攻击者的物理位置或所使用的代理服务器等信息。
这对于采取相应的防御措施非常关键。
2. 网络监控和日志分析:通过监控网络中的IP流量,可以及时发现潜在的安全威胁。
日志分析是网络安全事件分析的重要环节,通过分析网络设备和服务器的日志信息,可以发现异常行为和潜在的攻击。
3. 身份验证和访问控制:在许多情况下,IP地址被用于身份验证和访问控制。
例如,在企业的网络中,只有特定的IP地址才能访问敏感数据或关键资源。
通过对访问请求的IP地址进行验证,可以有效控制对网络资源的访问权限,保障系统的安全性。
三、IP地址溯源方法1. 数据包追踪:当网络安全事件发生时,通过对攻击流量数据包的追踪,可以从数据包中提取源IP地址,并进一步追踪攻击者的位置。
常用的数据包监控和分析工具例如Wireshark和tcpdump可以帮助实现这一目的。
2. 日志分析:网络设备和服务器日志中记录了大量的网络流量信息,通过仔细分析这些日志,可以找到被攻击设备的源IP地址。
网络安全事件溯源与取证技术解析
网络安全事件溯源与取证技术解析网络安全事件的发生频率越来越高,给企业和个人带来了巨大的损失和困扰。
为了确保网络安全,有效的网络安全事件溯源与取证技术变得至关重要。
本文将对网络安全事件溯源与取证技术进行详细的解析,以帮助读者更好地了解和应对网络安全威胁。
一、网络安全事件溯源技术网络安全事件溯源技术是追溯网络攻击事件真正元凶和来源的过程。
通过溯源技术,可以确定攻击者的真实身份和行为轨迹,为后续的取证工作提供有力的证据支持。
1. IP地址追踪IP地址追踪是网络安全事件溯源中常用的技术手段之一。
通过分析网络通信中的IP地址信息,可以追踪到攻击者的位置和身份。
各种网络设备、服务器和工具都会记录IP地址信息,通过获取这些信息并进行分析,可以找到攻击者的真实身份。
2. 数据流追踪数据流追踪技术可以帮助我们追溯网络中传输的数据流向和路径,从而确定攻击事件的来源和传播途径。
通过网络流量分析和数据包分析,可以了解被攻击的系统与攻击者之间的通信情况,进而确定攻击者的真实身份。
3. 非法访问追踪在网络安全事件中,攻击者往往会通过非法方式获取系统权限或者访问受限资源。
非法访问追踪技术可以通过监控登录记录、审计日志和操作记录,定位到非法访问的来源。
通过分析攻击者的访问路径和行为特征,可以确定他们的真实身份和操作目的。
二、网络安全事件取证技术网络安全事件取证技术是为了确凿地获取和保留与网络安全事件相关的证据。
通过有效的取证技术,可以为调查和起诉行动提供可靠的证据,确保安全事件的真相得以查明和追究。
1. 数据镜像技术数据镜像技术是网络安全事件取证中常用的技术手段之一。
通过在网络设备或者系统上安装专门的镜像软件,可以复制和保存关键数据的完整副本。
这样一来,就可以保留取证所需的所有数据,防止证据被篡改或者销毁。
2. 日志分析技术网络中的各种设备和系统都会产生大量的日志信息,通过对这些日志信息进行分析,可以找到与网络安全事件相关的关键行为和事件发生时间。
网络溯源技术
网络溯源技术随着互联网的快速发展和广泛应用,网络犯罪也日益增加。
为了维护网络安全和打击犯罪活动,网络溯源技术应运而生。
网络溯源技术是一种可以追踪网络活动并确定其来源的技术手段。
本文将介绍网络溯源技术的原理、应用以及对个人隐私的影响。
一、网络溯源技术的原理网络溯源技术主要利用了互联网上的IP地址和域名信息来追踪网络活动。
IP地址是互联网上唯一的地址标识符,每个连接到互联网的设备都有一个独特的IP地址。
通过追踪IP地址,可以确定网络活动的发起者的物理位置和所属网络运营商等信息。
另外,域名信息也可以提供一定的线索,因为每个网站都有一个独特的域名,可以追踪到网站的注册信息以及所属的实体。
二、网络溯源技术的应用1. 打击网络犯罪:网络犯罪日益猖獗,如网络诈骗、网络侵权等。
网络溯源技术可以帮助执法部门追踪犯罪分子的身份和行踪,加强对网络犯罪的打击力度。
2. 解决网络纠纷:在互联网上,经常发生网络纠纷,如网络诽谤、网络侵权等。
网络溯源技术可以确定发布者的真实身份,为解决纠纷提供重要的证据和依据。
3. 维护网络安全:网络攻击和黑客入侵日益猖獗,给企业和个人的信息安全造成了严重威胁。
网络溯源技术可以帮助网络管理员了解攻击者的行为和手法,及时采取措施保护网络安全。
三、网络溯源技术对个人隐私的影响网络溯源技术的广泛应用带来了对个人隐私的担忧。
一方面,网络溯源技术可以追踪个人的网络活动,暴露个人的行踪轨迹和偏好信息。
另一方面,滥用网络溯源技术可能侵犯个人隐私权,甚至成为监控个人活动和侵犯个人权利的手段。
针对这些问题,互联网相关的法律法规也在不断完善,以保护个人隐私权。
同时,网络用户也应加强自我保护意识,合理使用互联网,不参与违法犯罪活动,避免自身信息被滥用。
总结起来,网络溯源技术是一种重要的网络安全手段,可以帮助打击网络犯罪和维护网络安全。
然而,其应用也需要平衡个人隐私权和公共安全之间的关系。
在不断发展的互联网时代,我们需要在确保网络安全的同时,保护每个人的隐私权利。
互联网安全网络攻击溯源的技术手段
互联网安全网络攻击溯源的技术手段互联网的迅猛发展给人们的生活带来了巨大的便利,同时也带来了一系列的安全隐患。
网络攻击成为互联网安全的一大威胁。
为了保护网络安全,溯源网络攻击行为以追查攻击源头成为了一项重要技术。
一、拓扑溯源拓扑溯源是利用网络拓扑结构信息来追踪网络攻击源头的一种技术手段。
通过分析网络拓扑结构的数据,包括网络节点、边缘与连接关系等,可以确定攻击流量经过的路径,进而追踪攻击源头。
这种技术手段的优势在于其对网络结构的快速响应和准确性。
二、IP溯源IP溯源是通过分析攻击流量中的IP地址来追踪网络攻击源头的技术手段。
通过对攻击流量中源IP地址、目标IP地址以及中间经过的IP 地址进行分析,可以确定攻击源头的位置。
然而,由于IP地址易于伪造和隐藏,这种技术手段存在一定的局限性。
三、日志溯源日志溯源是通过分析系统、网络等设备产生的日志记录来追踪网络攻击源头的一种技术手段。
日志记录了设备的运行状态、网络流量等信息,通过对这些信息进行分析,可以确定攻击源头。
这种技术手段对于恶意攻击的监控和追踪具有较高的效果。
四、流量溯源流量溯源是通过分析网络流量来追踪网络攻击源头的一种技术手段。
通过对网络流量的监控和分析,可以确定攻击源头的位置和路径。
这种技术手段对于网络入侵、分布式拒绝服务攻击等有较好的追踪效果。
五、数据包溯源数据包溯源是通过分析网络数据包来追踪网络攻击源头的一种技术手段。
通过对数据包的数据内容、传输路径进行分析,可以确定攻击源头的位置和相关信息。
这种技术手段对于入侵检测和攻击分析具有重要的作用。
六、多维度溯源多维度溯源将上述各种技术手段进行综合应用,通过对网络拓扑、IP地址、日志、流量和数据包等多种信息进行分析和比对,可以更准确地追踪网络攻击源头。
这种技术手段对于复杂的网络攻击事件具有较好的溯源效果。
综上所述,互联网安全网络攻击溯源的技术手段多种多样。
拓扑溯源、IP溯源、日志溯源、流量溯源和数据包溯源等都是常用的技术手段。
网络安全领域中的网络入侵溯源技术研究
网络安全领域中的网络入侵溯源技术研究网络入侵溯源技术是指通过对网络入侵行为的特征和路径进行追踪和分析,以确定入侵者身份、入侵渠道,从而帮助网络管理员及时应对和防范网络攻击。
随着网络攻击越来越复杂和频繁,网络入侵溯源技术的研究和应用变得尤为重要。
本文将重点探讨网络入侵溯源技术的发展现状、关键技术以及应用前景。
一、发展现状网络入侵溯源技术始于上世纪九十年代,从最初的IP地址追踪发展到现在涵盖多个维度的多因素溯源技术。
目前,主要的发展方向如下:1.1 IP地址追踪IP地址追踪是网络入侵溯源技术的基础,通过记录和分析入侵事件中的IP地址,可以初步确定入侵者所在的网络位置。
但是,由于IP地址易被掩饰和篡改,单纯依靠IP地址追踪已经无法满足实际需求。
1.2 基于路由路径的溯源基于路由路径的溯源技术通过分析和追踪网络数据包的传输路径,可以更准确地确定入侵者所在的网络节点和路径。
该技术对于提高入侵溯源的准确性起到了积极作用。
1.3 数据包内容分析数据包内容分析是一种比较先进的入侵溯源技术,它通过对网络数据包的内容进行深入分析,识别并提取出与入侵事件有关的信息,如入侵者使用的特定工具、攻击方式等。
这种技术在溯源精确性和效率上都有很大提升。
二、关键技术实现网络入侵溯源需要多种关键技术的支持,在实际应用中需要根据具体情况选择合适的技术方案。
以下是几个关键技术的介绍:2.1 日志分析技术日志是记录网络活动的重要信息源,通过对网络设备、应用系统产生的日志进行分析,可以了解到网络入侵的行为特征和路径。
日志分析技术可以有效地对大量日志进行快速过滤和关联,提取出有用的信息用于溯源分析。
2.2 数据挖掘技术网络入侵溯源需要处理海量的复杂数据,数据挖掘技术可以从大数据中挖掘出潜在的模式和关联规则,帮助分析人员发现潜在的入侵行为。
例如,可以通过数据挖掘技术挖掘出具有相似特征的入侵事件,从而对入侵行为进行分类和相似度分析。
2.3 高级网络流量分析技术高级网络流量分析技术通过对网络数据包进行深入分析,包括数据包的协议解析、会话重组、应用层协议分析等,可以获得更多的关于入侵行为的信息。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
IP溯源技术及其标准化1陈剑勇、1滕志猛、2郑水金摘要:本文通过比较社会安全和网络安全的共同特征,说明溯源技术对网络安全的重要性。
在此基础上介绍当前溯源技术三种主要的方法:手工溯源、路由溯源和特征值溯源,提出了巡视溯源方法的框架和工作状态流程。
最后探讨溯源技术标准化的现状和未来。
关键词:溯源技术 手工溯源 路由溯源 特征值溯源 巡视溯源 NGN一、概述随着计算机的普及和网络技术的不断发展,在向社会提供诸多便利的同时,网上各种未授权访问、非法窃取网络资源、拒绝服务,甚至恶意攻击与破坏等事件也层出不穷,给计算机用户和网络运营商造成巨大的损失。
网络安全技术不断发展的同时,黑客攻击网络的技术也在不断发展。
这就形成了一种无止境的对抗,而消费者(运营商)成了这场对抗游戏的受害者,并且消耗掉一部分技术进步带来的益处。
如用户的电脑主频、内存不断升级,防病毒和防火墙的软件也在不断升级,消耗电脑升级带来的益处,这种互相抵消的消耗很难看到一个尽头。
在网络的应用规模还比较小的时候,还没有影响到普通老百姓日常生活的阶段,采用技术对抗的方式,即仅使用安全技术阻止黑客攻击,花费的社会成本比较低,也比较直接。
然而随着网络对社会生活的渗透逐步深入,网络的规模越来越大,特别是社会经济行为日益依赖网络,仅仅依靠安全技术来应对安全威胁,所承受的代价越来越大。
因为安全防护的投入规模和网络扩张规模同步增长,同时更因网络承载的信息资产价值增长而增长。
因此客观上需要另辟蹊径,找到适合网络大规模应用环境下的安全解决方案。
既然网络已经成为社会经济生活赖以存在的基础设施,我们可以从社会安全的解决方法中获得启发。
下面简要对比当前网络和社会安全的异同,具体如表1所示。
表1 社会安全和网络安全对比社会安全网络安全保护对象走在大街上的人接入互联网的终端防护措施没有保护措施防火墙、防病毒保护侵害他人的能力非常容易有一定困难[需要网络技术]原因法律+强溯源能力法律+没有(弱)溯源能力代价人无需购买越来越牢固的盔甲保护自己外出终端需要购买功能越来越强大的防火墙和杀毒软件后,接入Internet将来在下一代社会中,可持续发展在下一代网络中,不可持续发展现实社会安全经过几百上千年的考验,“法律+强溯源能力”成为目前各个国家解决社会安全的普遍方式。
网络安全和社会安全对比,撇开存在方式的差异,两者在安全威胁方面具有许多共同特征,因此借鉴社会安全的解决方法,增强网络的可溯源能力,是解决网络安全的可持续发展之路。
和单纯的安全防护技术相比,依靠法律的手段将随着网络规模的不断扩大越显示其社会成本优势。
网络这种技术的对抗赛,背后是网络溯源技术的缺失。
溯源技术指通过技术手段,将内容、网络行为以及应用行为等追溯到该行为发起者。
而溯源技术的缺失,更多的是由于开放的IP网络缺乏足够溯源能力,导致针对网络违法行为的法规缺乏有效的技术支撑。
目前IP网络溯源能力比较弱,根源在于网络协议和操作系统的缺陷,如IP协议本身无法验证源地址段中的IP地址是否是发送者的IP地址。
比如一台机器可以将自己伪装成另一台机器甚至路由器等。
只有修改与优化协议和系统,使其具备溯源的功能,才能从根本上提高IP网络的溯源能力。
当协议能定位攻击者的地址,就能对网络攻击事件起到威慑作用,使互联网朝着安全与健康的方向发展。
二、溯源技术的发展历程对入侵者进行追踪,最早出现在八十年代末九十年代初,当时网络安全技术还没有形成,对付黑客只能依靠网络管理员的经验,许多相关的组织和机构开始针对黑客行为进行研究,包括入侵动机、入侵者的真实身份、入侵者所在地点、采用的入侵方法和技术、入侵模式、入侵目的和对受害主机造成的影响等,这是溯源技术的最初形式。
目前的研究方向主要在两方面开展:一是在路由转发数据包的过程中实现溯源,二是根据网络连接所具备的特征实现溯源。
对于前者,在路由转发数据包时,搜集入侵者的独特特征,达到追踪入侵者的目的。
对于后者,主要研究和有效区分不同网络连接具备的不同特征,作为入侵证据,达到有效区分入侵者和正常用户的目的。
总的来说,IP溯源作为一门技术还在发展阶段,一些关键问题还没有很好的解决方案,比如一些研究在理论上确实可以实现良好的溯源能力,但缺乏可行性。
三、主要的溯源技术3.1 手工溯源手工溯源主要由多个物理网段的网络管理员和ISP相互协作来实现。
首先画出网络拓扑图(图1),从被攻击的主机开始,主机与第一层路由器之间的连接叫做第一层连接集合,同时为每个路由器分配唯一的标识;紧接着从第一层路由集合出发,依次画出第二层的路由集合和后续路由集合;每一层路由集合都是一个管理域,以此类推,得到类似树结构的网络拓扑图。
当第一层路由集合检测到入侵攻击的时候,记录入侵行为,分析系统日志,得出攻击包来自上一级路由集合中哪个路由器,并把这些信息提交给上一级路由集合的管理者;之后再重复以上操作,直到找到攻击主机为止。
V:受害主机R:路由A:攻击主机图1 网络拓扑图这种溯源方式,实践的时候,溯源的准确度高,不存在技术上的问题。
但投入的人力与物力太大,比如需要多个网络管理员配合工作,并有机构来协调,网络管理员需要二十四小时待命。
3.2 路由溯源整个互联网可以简单地看成是由路由器构成的。
数据包通过的路由器,构成数据包的传输路线节点,路线的源头就是数据包的真实发送点,显然利用路由器完成溯源工作,理论上是可行的。
但是路由溯源在具体实现上比较困难,因为现有的路由器都不支持溯源功能,而路由器的主要任务是转发数据包,如果同时进行溯源定位的工作,需要增加路由器的处理能力和存储能力。
同时要求路由器生产商必须都支持溯源功能,在短期内不易实现。
路由溯源主要通过两种方式实现。
第一种方式是路由对转发的数据包进行处理。
如把路由器地址的信息标志在数据包上面,那样在入侵的目标主机上可以查看源路由地址;第二种方式是通过配置路由的一些属性实现攻击源的溯源。
(1)路由器记录路线信息的方法路由器在转发数据包的同时,在数据包中加入数据包的传输路线信息,如果加入的路线信息是本路由器的IP地址,那么数据包中将包括它经过的所有路由器的IP地址。
当数据包到达目的主机时,重组加入的路线信息,就得到数据包的传输路线,完成溯源定位。
在数据包中加入路线信息的目的是有效地标识途经的路由,路线信息可以是路由器的有效地址或一些数字形式的水印(经过hash处理的数据信息)等,并保证通过重组可以得到数据包的传输路线。
路由器记录路线信息会导致路由器负担激增,数据包长度增加,造成包重组、分片,导致网络负担增强、服务质量下降等一系列问题。
而且一旦入侵数据包经过的某个路由器没有对数据包进行处理,就无法得到完整的入侵路线。
因此缺乏实用性,无法广泛推广。
(2)配置路由器属性的方法路由器的主要功能是转发数据包,路由器的生产商通常提供路由属性,供使用者按照不同的需求进行配置,完成不同的功能。
溯源定位技术兴起后,许多路由器具有抽入调试属性,它允许操作者在路由器出口过滤数据包,判断数据包的入口。
利用这个属性可以进行溯源。
路由溯源方法理论可行,同时能及时查看到数据源头的信息。
但会增加数据报文的长度,加大传输压力;所有路由器全部要执行这种算法,加重路由器的计算量。
同时不易管理和不易实施,因为与不同网段系统管理员交换信息、进行协调需大量时间、精力和相应的权限。
3.3 特征值溯源研究分析表明,网络连接具有不同形式的特征,每个登录连接链的特征具有唯一性,将每个登录连接链的唯一特征量化,得到的特征值可用于区分不同的登录连接链。
由于特征值的唯一性,如同人类的指纹一样具有唯一性,所以称为指纹,指纹唯一标识一个登录连接链。
指纹溯源通过计算比较不同登录连接链的指纹,确定组成入侵登录连接链的各个网络连接,而入侵登录连接链的源头就是入侵源。
因为可以唯一标识登录连接链的因素不止一个,所以每个登录连接链有多种形式指纹,目前的研究包括如下几种:z传输时间指纹:网络登录连接链具有时间特征,包括登录连接链中的各个连接开始传输数据的时间、结束传输数据的时间、连接空闲的时间等。
通过量化登录连接链的时间特征,得到时间指纹。
z内容指纹:组成同一登录连接链的各个网络连接传输的数据包具有相同的特征。
例如数据包的大小、数据包的内容等,通过量化内容特征,得到内容指纹。
z流量指纹:入侵行为往往明显区别于正常行为,例如TCP-RESET数据包、ICMP 数据包和目的/端口不可达数据包,而正常网络操作和误操作不具备这些特征。
通过量化入侵登录连接链的流量特征,得到流量指纹。
z TCP序列号指纹:组成同一登录连接链的各个网络连接的TCP序列号具有相关性,通过量化TCP序列号的相关性,得到TCP序列号指纹。
利用指纹进行溯源,需要采用分布式代理形式。
代理模块分布在不同网段,主要功能是搜集网络登录连接链的指纹,作为入侵者入侵证据。
因此指纹溯源的有效性依赖于代理分布范围的广泛性,计算比较指纹的合理性和正确性。
它在单一管理员控制区域内能够有效工作,但是对于穿越多个管理区域的入侵行为,溯源定位的完整性取决于入侵经过的管理区域是否安装了代理。
总的来说,只要网络连接具备不同的特征,而且是唯一的,将其特征量化,就可以实现定位攻击源的功能。
特征值溯源方式不会大量增加处理量,比较容易大范围推广,但指纹量化标准不一,不够稳定,同时对某些网络不适用;如对加密的报文不适用。
3.4 巡视溯源巡视溯源是指在各主要路由器上增加巡视模块,巡视模块只有被触发才工作。
当受害者需要溯源,在通过一定的认证程序后,触发离用户最近的巡视模块开始工作。
巡视模块先过滤一些干扰数据包,确定攻击数据包,进而找到攻击数据包的上一级路由,找到上一级路由后,把其信息记录到记录模块,并触发上一级路由器的巡视模块,停止现在路由器的巡视模块。
做同样工作,递归下去,直至找到攻击路由的IP地址,最后把溯源结果传回给申请此次溯源的受害用户。
这种溯源方式兼有手工与路由溯源的特点,即将手工溯源的功能交由路由器配置的巡视模块以接力的方式自动完成。
由于巡视模块是采用接力的方式工作,这种方式不会大量增加网络负担,不用对数据包做标志,减少了计算量。
图2显示巡视模块的子功能模块,这些子功能模块共同作用,实现巡视模块的溯源能力。
子模块之间的接口,以及路由器和巡视模块之间的接口还有待研究和定义。
图2 巡视模块内部各子模块巡视模块工作时,处于四个状态,分别是:启动状态、溯源就绪状态、溯源进行状态和溯源完成状态。
状态转换描述如下:首先启动巡视模块,若能正常启动,则进入溯源就绪状态,否则就返回重启;在溯源就绪状态下,先判断状态是否正常,不正常返回修正错误;在状态正常情况下,判断是否有任务到达,如有就进入溯源进行状态,没就返回就绪状态;接着从溯源进行状态判断任务是否完成,若完成就返回溯源就绪状态,否则返回溯源进行状态;在溯源进行状态下,同时定期判断巡视模块是否工作正常,在正常情况下继续溯源,否则根据错误状态重启巡视模块。