資源描述:
《網(wǎng)絡(luò)攻擊溯源技術(shù)概述》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)。
1、網(wǎng)絡(luò)攻擊溯源技術(shù)概述隨著互聯(lián)網(wǎng)覆蓋面的不斷擴(kuò)大,網(wǎng)絡(luò)安全的重要性不斷增加。面對(duì)層出不窮的新型網(wǎng)絡(luò)入侵技術(shù)和頻率越來(lái)越高的網(wǎng)絡(luò)入侵行為,對(duì)高級(jí)IDS(intrusiondetectionsystem)的需求日益迫切。從20世紀(jì)70年代開(kāi)始了網(wǎng)絡(luò)攻擊防護(hù)措施的最初研究,本文首先分析了網(wǎng)絡(luò)溯源面臨的問(wèn)題,然后述了溯源的分類和應(yīng)用場(chǎng)景,最后介紹了多種溯源技術(shù)的優(yōu)點(diǎn)。引言計(jì)算機(jī)網(wǎng)絡(luò)是計(jì)算機(jī)技術(shù)和通信技術(shù)發(fā)展到一定程度相結(jié)合的產(chǎn)物,Intemet的出現(xiàn)更是將網(wǎng)絡(luò)技術(shù)和人類社會(huì)生活予以緊密的結(jié)合。隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,越來(lái)越多的傳統(tǒng)
2、運(yùn)作方式正在被低耗、開(kāi)放、高效的分布式網(wǎng)絡(luò)應(yīng)用所替代,網(wǎng)絡(luò)已經(jīng)成為人們?nèi)粘I钪胁豢扇鄙俚囊徊糠帧5?,隨之而來(lái)基于網(wǎng)絡(luò)的計(jì)算機(jī)攻擊也愈演愈烈,尤其是DDoS攻擊,攻擊者利用網(wǎng)絡(luò)的快速和廣泛的互聯(lián)性,使傳統(tǒng)意義上的安全措施基本喪失作用,嚴(yán)重威脅著社會(huì)和國(guó)家的安全;而且網(wǎng)絡(luò)攻擊者大都使用偽造的IP地址,使被攻擊者很難確定攻擊源的位置,從而不能實(shí)施有針對(duì)性地防護(hù)策略。這些都使得逆向追蹤攻擊源的追蹤技術(shù)成為網(wǎng)絡(luò)主動(dòng)防御體系中的重要一環(huán),它對(duì)于最小化攻擊的當(dāng)前效果、威懾潛在的網(wǎng)絡(luò)攻擊都有著至關(guān)重要的作用。近年來(lái)互聯(lián)網(wǎng)飛速發(fā)展,截
3、至2011年6月底,中國(guó)網(wǎng)民數(shù)量達(dá)到2.53億,網(wǎng)民規(guī)模躍居世界第一位,普及率達(dá)19.1%,全球普及率已經(jīng)達(dá)到21.1%?;ヂ?lián)網(wǎng)已經(jīng)擁有足夠龐大的用戶基礎(chǔ),網(wǎng)上有游戲、聊天、論壇、郵件、商場(chǎng)、新聞等不同的應(yīng)用和服務(wù),現(xiàn)實(shí)生活中存在的現(xiàn)象、業(yè)務(wù)、社會(huì)關(guān)系以及服務(wù)在網(wǎng)絡(luò)上都有不同程度的體現(xiàn),互聯(lián)網(wǎng)已經(jīng)成為名副其實(shí)的虛擬社會(huì)?,F(xiàn)實(shí)生活中除了存在道德約束以外,還有法律威懾———違法犯罪活動(dòng)會(huì)被追查,犯罪活動(dòng)實(shí)施者為此可能付出很大的代價(jià)甚至人身自由。而與現(xiàn)實(shí)生活不同的是在網(wǎng)絡(luò)虛擬社會(huì)中似乎只有類似道德約束的用戶自律,卻沒(méi)有法律威懾
4、。網(wǎng)絡(luò)上大量存在DDoS攻擊、木馬、蠕蟲(chóng)、僵尸網(wǎng)絡(luò)、非授權(quán)訪問(wèn)、發(fā)送垃圾郵件等惡意行為,但是由于網(wǎng)絡(luò)匿名傳統(tǒng)以及溯源能力的缺失,上述惡意行為即使涉及現(xiàn)實(shí)生活的違法犯罪,也很難有效取證和追查,網(wǎng)絡(luò)犯罪實(shí)施者因此有恃無(wú)恐,更加猖獗。近年來(lái),隨著社會(huì)生活越來(lái)越依賴互聯(lián)網(wǎng),互聯(lián)網(wǎng)安全問(wèn)題已經(jīng)在抑制網(wǎng)絡(luò)健康有序發(fā)展,互聯(lián)網(wǎng)亟需建設(shè)溯源能力。目錄溯源問(wèn)題分析4網(wǎng)絡(luò)溯源面臨的問(wèn)題5溯源的分類與應(yīng)用場(chǎng)景8一、分類8二、網(wǎng)絡(luò)溯源應(yīng)用場(chǎng)景10現(xiàn)有技術(shù)11一、分組標(biāo)記溯源法11·節(jié)點(diǎn)取樣技術(shù)12·非IP地址標(biāo)記技術(shù)12二、發(fā)送特定ICMP溯源
5、法12·意圖驅(qū)動(dòng)的ICMP溯源技術(shù)13·帶累積路徑的ICMP溯源技術(shù)13三、日志記錄溯源14五、鏈路測(cè)試溯源法15結(jié)束語(yǔ)16溯源問(wèn)題分析溯源通常是指尋找網(wǎng)絡(luò)事件發(fā)起者相關(guān)信息,通常用在網(wǎng)絡(luò)攻擊時(shí)對(duì)攻擊者的查找。溯源相關(guān)的事件可以是應(yīng)用層事件應(yīng)用層溯源,即查找業(yè)務(wù)的使用者,例如查找垃圾郵件的發(fā)送者),也可以是網(wǎng)絡(luò)層事件(網(wǎng)絡(luò)層溯源,即查找特定IP報(bào)的發(fā)送者,例如“pingofdeath”發(fā)起者等)。在一些情況下,將應(yīng)用層D映射到IP地址后可以將應(yīng)用層溯源轉(zhuǎn)化為網(wǎng)絡(luò)層溯源。事件發(fā)起者相關(guān)信息可以是用戶的注冊(cè)信息、發(fā)起者使用設(shè)
6、備的接入、發(fā)起者主機(jī)相關(guān)信息等。多數(shù)傳統(tǒng)電信網(wǎng)基于連接開(kāi)展業(yè)務(wù),且通常是對(duì)主叫計(jì)費(fèi),因此傳統(tǒng)電信網(wǎng)從設(shè)計(jì)之初就具備溯源能。通常網(wǎng)絡(luò)設(shè)備會(huì)檢查或者改寫終端相關(guān)的源地址/主叫號(hào)碼,因此無(wú)論是電話業(yè)務(wù)還是幀中繼、ATM等分組數(shù)據(jù)業(yè)務(wù)都具備溯源能力:源地址/主叫號(hào)碼都是確保真實(shí)的,運(yùn)營(yíng)商可以確認(rèn)源地址/主叫號(hào)相關(guān)的終端接入點(diǎn)和所在大致位置。當(dāng)然,隨著當(dāng)前網(wǎng)絡(luò)IP化的進(jìn)展,受IP網(wǎng)能力的制約,傳統(tǒng)電信網(wǎng)在溯源方面也出現(xiàn)了漏洞,例如存在虛假主叫號(hào)碼等現(xiàn)象。計(jì)算機(jī)網(wǎng)絡(luò)追蹤溯源技術(shù)指的是通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)定位攻擊源地址的技術(shù),它涉及到的機(jī)器
7、包括攻擊者、被攻擊者、跳板、僵尸機(jī)、反射器等。其攻擊模型如圖1所示。圖1網(wǎng)絡(luò)攻擊模型攻擊者(ARackerHost)指發(fā)起攻擊的真正起點(diǎn),也是追蹤溯源希望發(fā)現(xiàn)的目標(biāo)。被攻擊者(VictimHost)指受到攻擊的主機(jī),也是攻擊源追蹤的起點(diǎn)。跳板機(jī)(SteppingStone)指已經(jīng)被攻擊者危及,并作為其通信管道和隱藏身份的主機(jī)。僵尸機(jī)(Zombie)指已經(jīng)被攻擊者危及,并被其用作發(fā)起攻擊的主機(jī)。反射器(Reflector)指未被攻擊者危及,但在不知情的情況下參與了攻擊。網(wǎng)絡(luò)溯源面臨的問(wèn)題由于當(dāng)前的TCP/IP協(xié)議對(duì)IP包的
8、源地址沒(méi)有驗(yàn)證機(jī)制以及Internet基礎(chǔ)設(shè)施的無(wú)狀態(tài)性,使得想要追蹤數(shù)據(jù)包的真實(shí)起點(diǎn)已不容易,而要查找那些通過(guò)多個(gè)跳板或反射器等實(shí)施攻擊的真實(shí)源地址就更加困難。目前,網(wǎng)絡(luò)溯源面臨的問(wèn)題主要有以下幾個(gè):一、IP網(wǎng)絡(luò)設(shè)計(jì)存在缺陷,缺乏源地址檢驗(yàn)?zāi)芰P網(wǎng)絡(luò)是基于連接發(fā)送數(shù)據(jù),每個(gè)IP分組上都有源地址和目的地址息,IP網(wǎng)