计算机网络追踪溯源技术

计算机网络追踪与追踪技术首先，背景：计算机网络是计算机技术和通信技术在一定程度上结合的产物。互联网的出现使网络技术与人类社会生活紧密结合。随着网络技术的飞速发展，越来越多的传统操作模式正在被低消耗、开放和高效的分布式网络应用所取代。网络已经成为人们日常生活中不可缺少的一部分。然而，以下基于网络的计算机攻击也有所加剧，尤其是DDoS攻击。攻击者利用网络的快速和广泛互联，使得传统的安全措施基本失效，严重威胁社会和国家的安全。此外，大多数网络攻击者使用伪造的IP地址，这使得攻击者难以确定攻击的位置，因此无法实施有针对性的保护策略。所有这些都使得逆向追踪攻击源的追踪技术成为网络主动防御系统的重要组成部分，对于最大限度地降低当前攻击的影响，遏制潜在的网络攻击起着至关重要的作用。二、DDoS攻击原理：然而，要准确定位攻击源并不容易，因为当攻击者攻击远程计算机或网络时，他们通常使用两种方法来隐藏他们的真实地址：伪造消息I/P的源地址和进行间接攻击。互联网中有许多主机提供代理服务或存在安全漏洞。这些主机可以被攻击者用作攻击目标的“跳板”。从受害主机只能看到“跳板”地址，但无法获得攻击主机地址。它的攻击模式是：踏脚石僵尸反射者受害者图1网络攻击模型涉及的机器包括攻击者、受害者、跳板、僵尸机器、反射器等。攻击者主机是指发起攻击的真正起点，也是跟踪源希望找到的目标。受害者是指受害者的主人，也是追踪攻击来源的起点。垫脚石指的是被攻击者危害的主机，用作其通信通道和隐藏身份。僵尸是指它已经被攻击者破坏，并被用作发起攻击的主机。反射者是指没有受到攻击者威胁，但在不知情的情况下参与攻击的人。其中，跳板机和僵尸机是攻击者预先攻破的主机。我们统称它们为转换器。他们负责对攻击数据包进行一些转换，以掩盖攻击者的行踪。具体转换如下：图2三、网络跟踪追溯技术：计算机网络的可追溯性是指确定网络攻击者及其中间媒介的身份或位置的过程。身份是指攻击者的姓名、账号或与之相关的类似信息；位置包括其地理位置或虚拟地址，如IP地址、MAC地址等。追踪追踪过程还可以提供其他辅助信息，如攻击路径和攻击时机。网络管理者可以利用追踪和追踪技术来定位真正的攻击源，从而采取多种安全策略和手段从源头上加以抑制，防止网络攻击造成更大的破坏，并记录攻击过程，为司法取证提供必要的信息支持。在网络追踪和追踪的应用中，我们可以：1.确定攻击源，制定并实施有针对性的防御策略；2.确定攻击源，采取拦截、隔离等手段减少损害，确保网络平稳健康运行；确定攻击来源，记录攻击过程，为司法证据收集提供有力证据。1.追查来源的困难：由于当前的TCP/IP协议没有对IP包的源地址进行验证的机制，并且互联网基础设施是无状态的，因此不容易追踪包的真正起点，但是通过多个跳板或反射器找到攻击的真正源地址就更加困难了。它体现在以下几个方面：(1)目前主要的网络通信协议(TCP/IP)没有对传输信息进行加密和认证的措施，这使得各种IP地址伪造技术应运而生。从而实现了利用攻击数据包中的源IP地址进行跟踪的方法(2)互联网已经从一个简单的专业用户网络转变为一个可以被各行各业使用的流行网络。它的结构更加复杂，使得攻击者能够利用网络的复杂性来逃避跟踪。(3)各种网络基础和应用软件缺乏足够的安全性考虑。攻击者发起间接攻击，并通过捕获大量主机资源来隐藏自己。(4)一些新技术给用户带来好处的同时，也给溯源带来了更多的障碍。虚拟专用网络(VPN)采用的IP隧道技术使得获取数据报文的信息成为可能。网络服务提供商(ISP)采用的地址池和地址转换(NAT)技术使得网络IP地址不固定给特定用户；移动通信网络技术的出现对跟踪和追踪提出了实时性要求。这些新技术的应用使得网络跟踪和追踪更加困难。(5)目前，追踪和追踪技术的实施没有法律保障。例如，在追踪和追踪技术中，提取IP消息信息涉及个人隐私。这些问题不能仅靠技术手段来解决。2.追踪和追踪技术的分类：1)主动探究课这种方法通过主动查询数据流可能经过的所有路由器来确认输入调试机制。主动询问是一种相对粗糙的方法。具有输入调试功能的路由器沿着攻击数据流路径执行逐跳查询跟踪。大多数路由器都具有调试功能，可以找到符合特定模式消息的输入接口。利用路由器的这一功能，路由器在攻击发生后逐跳确定具有攻击特征的数据包来自哪个路由条目。通过重复使用，可以确定攻击包的真实身份。原理图和算法流程如图3所示。图3具有输入调试功能的路由器的跟踪原理和算法流程图这种方法目前已经在计算机网络中得到应用，许多网络提供商已经安装了更多的智能路由器系统，通过设备升级来提高跟踪效率和能力。缺点：这种方法是最容易想到的当我/P跟踪，但它要求在跟踪路径上的所有路由器有输入调试能力，并要求网络管理员或技术人员手动操作，并依赖于互联网服务提供商(ISP)的高度合作。虽然跟踪结果非常准确，但由于跟踪速度慢、操作复杂、技术含量高，除军事和其他特殊需要外，基本上不使用。2)数据监控类这种方法通过构建覆盖整个网络的监控点来监控网络中的数据流。例如各种测井技术。通过对流经路由器的所有数据包(包括攻击数据包)进行信息存储，一旦发生攻击，受害者就会发起查询以确定攻击路径。这种方法需要大量的存储计算资源和数据库技术支持，但是基于HASH算法的日志方法可以大大降低对存储资源的需求。如图4所示：图4追踪和追踪数据检测类的原理另一种想法是将数据包通过的路径的路由器地址信息写入数据消息。受害者收到攻击数据包后，可以从消息中提取路径信息，构造攻击数据的攻击路径，然后跟踪攻击者。这是路径记录方法。在IP数据包报头的IP选项中，有一个路径记录功能，可以用来记录从攻击者到受害者的路径上的路由器的端口地址。路径记录方法使用这个函数来记录路径信息。消息格式如图5所示。图5带路径记录选项的IP报文结构其中，”选项码为7，表示路由器在转发报文时，要将自己的知识产权地址添加到报文中。长度指出知识产权数据报发送主机预先分配给该知识产权地址存储区域的大小，指针指向该存储区域内下一个用于存放知识产权地址的位置。如果预先分配的地址区域大小不足以记录下全部路径知识产权协议将放弃记录余下的地址。因为数据报文的知识产权选项域也并没有足够的空间存储路由信息，所以出现了另一种思路：用记录知识产权地址信息的摘要来节省存储空间。受害者可以根据所收到的攻击数据包的摘要和路由器中保存的摘要重构攻击路径，源路径隔离引擎就是比较成熟方法之一。该方法的优点是能够对单个数据包进行很准确的反向跟踪，漏警率为零，且有很好的互操作性。缺点：是它需要临时系统程序间的相互合作，对高速路由器存储要求高，并会消耗路由器中央处理器资源，影响路由器的流量转发性能。3)路径重构类路径重构类是目前研究得比较热的一类方法，是追踪溯源技术发展的方向之一，研究产生了大量技术方法及重构算法，其相关理论也较成熟。其核心思想是通过在网络中传输的数据包中编入路径信息或者单独发送含有路径信息的数据包，接收端通过收集这些包含路径信息的数据包，并根据一定的路径重构算法实现重构攻击数据包路径的目的（数据包标记法)较为著名的有概率包标记(百万分率)、iTrace、DPM(确定性包标记)APPM标记法等。如图6 PPM原理示意图图6 路径重构类追踪溯源原理1 PPM(概率包标记)概率包标记法在PPM中，数据包在路由器中被概率性地标记为所需信息（取决于技术).由于所需成本低、标记量小（通常为1/25)，PPM作为一种追溯方法引起了广泛关注PPM .使用边缘采样作为标记算法，对边缘（两个节点)进行编码，而不是像节点附加那样记录节点，或者像节点采样那样对每个节点进行编码。任何边的编码都是由两个知识产权地址的异或产生一个32位地址，称为边标识。为了减少标记所需的空间，引入了k个不重叠的片段k .个碎片数是对edgeid进行除法运算的结果。当路由器选择标记一个数据包时，其中一个随机片段将被注入到数据包中。为了减少可能发生的碰撞，不同的边缘可能具有相同的碎片值，在算法中加入了错误检测。PPM也有缺点PPM .覆盖一个本地范围，例如临时系统程序网络，在那里他们可以控制网络的管理。因此，很难从网络外部追踪任何攻击的来源。此外，PPM容易受到攻击，因为受害者可能通过从攻击者那里接收虚假标记数据包而得到错误信息。换句话说，受害者用来追踪攻击者来源的标记信息可能被违反。此外，由攻击树上的路由器覆盖标记的消息会降低准确性。攻击路径上的路由器离受害者越远，其标记的数据包被更靠近受害者的路由器覆盖的可能性就越高。此外，PPM增加了路由器的开销和处理能力，因为它涉