網(wǎng)絡(luò)攻擊溯源技術(shù)概述

引言隨著互聯(lián)網(wǎng)覆蓋面的不斷擴(kuò)大，網(wǎng)絡(luò)安全的重要性不斷增加。面對層出不detection世紀(jì)70年代開始了網(wǎng)絡(luò)攻擊防護(hù)措用場景，最后介紹了多種溯源技術(shù)的優(yōu)點(diǎn)。計(jì)算機(jī)網(wǎng)絡(luò)是計(jì)算機(jī)技術(shù)和通信技術(shù)發(fā)展到一定程度相結(jié)合的產(chǎn)物，用所替代，網(wǎng)絡(luò)已經(jīng)成為人們?nèi)粘Ｉ钪胁豢扇鄙俚囊徊糠?。但是，隨之而來基于網(wǎng)絡(luò)的計(jì)算機(jī)攻擊也愈演愈烈，尤其是DDoS攻擊，攻擊者利用網(wǎng)絡(luò)的快速潛在的網(wǎng)絡(luò)攻擊都有著至關(guān)重要的作用。近年來互聯(lián)網(wǎng)飛速發(fā)展，截至2011年6月底，中國網(wǎng)民數(shù)量達(dá)到2.53億，網(wǎng)民規(guī)模躍居世界第一位，普及率達(dá)19.1%，全球普及率已經(jīng)達(dá)到21.1%?；ヂ?lián)網(wǎng)已經(jīng)擁有足夠龐大的用戶基礎(chǔ)，網(wǎng)上有游戲、聊天、論壇、郵件、商場、新聞存在道德約束以外，還有法律威懾———違法犯罪活動(dòng)會被追查，犯罪活動(dòng)實(shí)社會中似乎只有類似道德約束的用戶自律，卻沒有法律威懾。網(wǎng)絡(luò)上大量存在DDoS攻擊、木馬、蠕蟲、僵尸網(wǎng)絡(luò)、非授權(quán)訪問、發(fā)送垃圾郵件等惡意行為，違法犯罪，也很難有效取證和追查，網(wǎng)絡(luò)犯罪實(shí)施者因此有恃無恐，更加猖獗。有序發(fā)展，互聯(lián)網(wǎng)亟需建設(shè)溯源能力。：溯源互聯(lián)網(wǎng)數(shù)據(jù)技術(shù)關(guān)鍵字目錄4566899·9·非··網(wǎng)絡(luò)溯源面臨的問題由于當(dāng)前的協(xié)議對IP包的源地址沒有驗(yàn)證機(jī)制以及Internet基礎(chǔ)設(shè)施的無狀態(tài)性，使得想要追蹤數(shù)據(jù)包的真實(shí)起點(diǎn)已不容易，而要查找那些通過多個(gè)跳板或反射器等實(shí)施攻擊的真實(shí)源地址就更加困難。目前，網(wǎng)絡(luò)溯源面臨的問題主要有以下幾個(gè)：一、IP網(wǎng)絡(luò)設(shè)計(jì)存在缺陷，缺乏源地址檢驗(yàn)?zāi)芰P網(wǎng)絡(luò)是基于連接發(fā)送數(shù)據(jù)，每個(gè)IP網(wǎng)絡(luò)為把每個(gè)分組傳遞到時(shí)，就不會出現(xiàn)虛假源地址現(xiàn)象。此外，可以在中間路由器做粗略的檢查，將源地址明顯是虛假的分組例如當(dāng)A分組的源地址不存在于路由表的時(shí)候，A分組源地址是的）uRPFuRPF技術(shù)沒有在最的互虛假源地址發(fā)送數(shù)據(jù)只能用于單向控制或者攻擊，安全問題凸顯后，即使局部網(wǎng)絡(luò)升級支持uRPF，也不能有效緩解虛假源地址現(xiàn)象，因此當(dāng)前互聯(lián)網(wǎng)缺乏源地址驗(yàn)證能力。二、網(wǎng)絡(luò)中存在大量的NAT設(shè)備和代理設(shè)備由于互聯(lián)網(wǎng)Pv4地址缺匱以及部分安全原因，因此我國互聯(lián)網(wǎng)大量使用NAT設(shè)備。此外，互聯(lián)網(wǎng)上還有很多IP分組過NAT設(shè)備或者代理服務(wù)器后會將源地址改寫成NAT設(shè)備或者代理服務(wù)器所擁有的地址，這樣IP分組源地址就不是原設(shè)備或者代理設(shè)備上特定源地址可能同時(shí)為不同的用戶服務(wù)。如果不在NAT設(shè)備或者代理服務(wù)器設(shè)備上作例如日志等要求，就不可能找到分組真正的來源。如果存在多重代理或者多重NAT時(shí)，情況更復(fù)雜，如果多個(gè)NAT/代理不屬于一個(gè)管理主體，例如其中一個(gè)NAT/代理位于國外或者沒有記錄日志，網(wǎng)絡(luò)溯源將成為不可能完成的任務(wù)。三、實(shí)施犯罪活動(dòng)的設(shè)備往往是無辜者當(dāng)前互聯(lián)網(wǎng)用戶眾多，絕大多數(shù)用戶是缺少安全經(jīng)驗(yàn)和安全意識的普通用戶。惡意行為發(fā)起者很容易通過控制一些IP分組或者網(wǎng)絡(luò)行為對應(yīng)的IP功，但是找到的是無辜者，無法達(dá)到溯源的真正目的。四、溯源能力部署與互聯(lián)網(wǎng)文化、隱私保護(hù)難以協(xié)調(diào)網(wǎng)絡(luò)溯源原意是針對網(wǎng)絡(luò)犯罪，查找惡意行為發(fā)起者。但是技術(shù)只是工具，既然能查找惡意行為的發(fā)私很難保障。網(wǎng)絡(luò)行為可以溯源，這與互聯(lián)網(wǎng)文化似乎相悖，因?yàn)榛ヂ?lián)網(wǎng)長久的擔(dān)憂。溯源的分類與應(yīng)用場景一、分類按照溯源的時(shí)間，可以將溯源分成實(shí)時(shí)溯源以及事后溯源。實(shí)時(shí)溯源是指在網(wǎng)絡(luò)行為發(fā)生過程中，尋找事件的發(fā)起者。事后溯源是指網(wǎng)絡(luò)行為發(fā)生以后，依據(jù)相關(guān)設(shè)備上的日志信息查找事件的發(fā)起者。按照溯源實(shí)現(xiàn)的位置，可以將溯源分成基于終端溯源以及基于網(wǎng)絡(luò)設(shè)施溯2所示。參與者發(fā)起的溯源通常是由參與通信的一方發(fā)起。按照溯源是否需要帶外通信，圖3圖2網(wǎng)絡(luò)設(shè)施的溯源原理圖4查找路徑的溯源原理現(xiàn)有技術(shù)一、分組標(biāo)記溯源法由器都實(shí)施分組標(biāo)記，則IP包的網(wǎng)絡(luò)層溯源問題就基本上解決了。分組標(biāo)記溯源法有幾個(gè)顯而易見的問題。1040Gbit/sGbit/s端口每秒可能轉(zhuǎn)發(fā)超過2400萬個(gè)40字節(jié)的IP分組，每增加一點(diǎn)計(jì)算復(fù)雜度經(jīng)過路由器的地址信息會導(dǎo)致分組長度增加（例如當(dāng)經(jīng)過20個(gè)路由器時(shí)，至少將增加80進(jìn)技術(shù)，這里簡單介紹節(jié)點(diǎn)取樣技術(shù)和非IP地址標(biāo)記技術(shù)?！す?jié)點(diǎn)取樣技術(shù)路由器實(shí)施的時(shí)候按照一定的比例做標(biāo)記，例如按照1/5000標(biāo)記，且一方面可以減少分組增加的長度。這種情況下，前面路由器做的標(biāo)記有一定概率被后面路由器改寫，但只要收集到足夠多的數(shù)據(jù)包，便可重現(xiàn)分組流的路徑?！し荌P地址標(biāo)記技術(shù)路由器采用AS號來代替IPAS數(shù)會遠(yuǎn)遠(yuǎn)少于二、發(fā)送特定ICMP溯源法發(fā)送特定ICMP溯源法是采用路由器上普遍實(shí)現(xiàn)的CMP協(xié)議來實(shí)施追蹤。ICMP溯源要求每個(gè)路由器都以很低的概率（例如1/10000）隨機(jī)復(fù)制某個(gè)報(bào)文裝在ICMPICMP報(bào)文，一旦收集到足夠的信息即可重構(gòu)報(bào)文的傳輸路徑。由于路由器復(fù)制技術(shù)的主要缺點(diǎn)是：ICMP報(bào)文在某些網(wǎng)絡(luò)中會被過濾掉，因此可能在某些情況下失效；攻擊者有可能發(fā)送偽造的ICMP溯源報(bào)文，導(dǎo)致溯源失?。皇芎C(jī)器輸路徑。針對發(fā)送ICMP溯源也有大量的改進(jìn)方案，這里簡單介紹意圖驅(qū)動(dòng)的（intention-driven）ICMP溯源技術(shù)和帶累積路徑的ICMP溯源技術(shù)?！ひ鈭D驅(qū)動(dòng)的ICMP溯源技術(shù)即讓被攻擊者自己決定是否需要路由器提供ICMP者需要時(shí)發(fā)出ICMPiTrace技術(shù)的性能，但需要對路由設(shè)施做微小的改動(dòng)。·帶累積路徑的ICMP溯源技術(shù)即讓路由器以一定的概率產(chǎn)生ICMP消息，如果某個(gè)分組其后的ICMP消息都到達(dá)下一跳的同一個(gè)路由器，則該路由器產(chǎn)生新的ICMP消息（包含原消息的內(nèi)容并附加上自己的三、日志記錄溯源通過數(shù)據(jù)挖掘等技術(shù)來獲取報(bào)文傳輸?shù)木唧w路。優(yōu)點(diǎn)：首先，溯源可以在攻擊發(fā)生以后進(jìn)行溯源，沒有實(shí)時(shí)性要求；其次，只要捕捉到一個(gè)分組，就可以實(shí)現(xiàn)溯源，對分組數(shù)量沒有要求。缺點(diǎn)：對網(wǎng)絡(luò)資源的需求量巨大，而且需要全網(wǎng)實(shí)施；日志格式不統(tǒng)一，不同運(yùn)營商日志無法共享。當(dāng)前，日志記錄溯源也有一些改進(jìn)技術(shù)，如將分組計(jì)算hash摘要后存儲以及ORMS（one-bitrandommarkingand源需要較多的資源支持，并且要求全網(wǎng)實(shí)施，實(shí)際可操作性不強(qiáng)。四、受控洪泛溯源法受控洪泛溯源法是指網(wǎng)管人員在受攻擊設(shè)備的上游設(shè)備上向下游每個(gè)鏈路發(fā)送大量的UDP報(bào)文，人為制造擁塞。路由器的緩沖區(qū)是共享的，來自負(fù)載較是一種DDoS，會給網(wǎng)絡(luò)帶來很大的影響；采用該方法需要操作人員擁有詳細(xì)的拓?fù)鋱D以及相應(yīng)設(shè)備的控制權(quán)限；只在攻擊行為進(jìn)行過程中有效。五、鏈路測試溯源法上游設(shè)備。不斷重復(fù)該過程就可以找到距離攻擊者最近的路由器。優(yōu)點(diǎn)：與現(xiàn)有協(xié)議兼容，與現(xiàn)有的路由器和網(wǎng)絡(luò)設(shè)施兼容，可以逐步實(shí)現(xiàn)。缺點(diǎn)：要成功溯源需要攻擊持續(xù)時(shí)間足夠長，而且不適合應(yīng)對DDoS，多個(gè)網(wǎng)絡(luò)服務(wù)提供商之間的協(xié)調(diào)較困難。六、其他溯源法題?！ふ鎸?shí)源地址方案：能夠限制虛假IP包接入網(wǎng)絡(luò)，解決地址仿冒問題，但是對DDoS、垃圾郵件等問題的解決幫助不大?！と鎸?shí)施uRPF功能：效果類似真實(shí)源地址方案，同樣面臨真實(shí)源地址方案面臨的問題?！BS中的ID、郵件地址）映射到實(shí)體用戶，但因有悖互聯(lián)網(wǎng)精神而難以推廣。·IP地址實(shí)名制：通過管理手段將IP地址與實(shí)體用戶一一對應(yīng)，但是同樣面臨有?；ヂ?lián)網(wǎng)精神而難以推廣的問題。結(jié)束語斷增加，網(wǎng)絡(luò)溯源已經(jīng)迫在眉睫。雖然當(dāng)前已經(jīng)有基于分組標(biāo)記的溯源技術(shù)、基于發(fā)送特定ICMP的溯源技存在或多或少的