网络攻击溯源技术概述
其他溯源法
• 真实源地址方案:能够限制虚假IP 包接入网 络,解决地址仿冒问题 • 全面实施uRPF 功能:效果类似真实源地址 方案 • 业务实名制:能避开网络层溯源难的问题, 直接将应用层行为映射到实体用户 • IP 地址实名制:通过管理手段将I来自互联网协议自 身缺陷、互联网无序建设、互联网使用者 缺少安全意识等。随着互联网规模的扩大 以及整个社会对互联网依赖性的不断增加, 网络溯源已经迫在眉睫。未来网络溯源应 该是灵活结合管理技术手段,在多个层面 解决问题的系统工程, 互联网溯源仍有待 长期研究。
受控洪泛溯源法
• 受控洪泛溯源法是指网管人员在受攻击设 备的上游设备上向下游每个链路发送大量 的UDP 报文,人为制造拥塞 • 通过向某个连接发送“洪泛数据”后攻击 报文减少,就可以确定该连接是否传输了 攻击报文 • 缺点:溯源行为本身就是一种DDoS,会给 网络带来很大的影响;采用该方法需要操 作人员拥有详细的拓扑图以及相应设备的 控制权限;只在攻击行为进行过程中有效
网络攻击溯源技术概述 •引 言 •溯 源 问 题 分 析 •网 络 溯 源 面 临 的 问 题 •溯 源 的 分 类 与 应 用 场 景 •现 有 技 术 •结 束 语
引言
• 计算机网络是计算机技术和通信技术发展 到一定程度相结合的产物 • 随着互联网覆盖面的不断扩大,网络安全 的重要性不断增加成为人们日常生活中不 可缺少的一部分 • 网络上大量存在DDoS 攻击、木马、蠕虫、 僵尸网络、非授权访问、发送垃圾邮件等 恶意行为 • 随着社会生活越来越依赖互联网,互联网 安全问题已经在抑制网络健康有序发展, 互联网亟需建设溯源能力
图2 网络设施的溯源原理
图3 带外溯源原理
网络溯源应用场景
• 当特定用户受到DDoS 攻击时, 可以通过 溯源技术查找攻发起者 • 当僵尸网络与木马、蠕虫相结合,危害性 很大僵尸网络的控制者通常通过控制的 “肉鸡”实施控制,很难找到真正的控制 者,针对网络上大规模僵尸网络,可以通过 溯源技术查找僵尸网络的控制者
溯源的分类
• 按照溯源的时间,可以将溯源分成实时溯源以及 事后溯源 • 按照溯源实现的位置,可以将溯源分成基于终端 溯源以及基于网络设施溯源(原理如图2) • 按照溯源发起者,可以将溯源分成第三方发起的 溯源以及通信参与者发起的溯源 • 按照溯源是否需要带外通信, 可以将溯源分成带 外溯源以及带内溯源(原理如图3) • 按照被溯源地址,可以将溯源分成针对虚假地址 的溯源以及针对真实地址的溯源
• 攻击者(ARacker Host)指发起攻击的真正 起点,也是追踪溯源希望发现的目标。 • 被攻击者(Victim Host)指受到攻击的主机, 也是攻击源追踪的起点。跳板机(Stepping Stone)指已经被攻击者危及,并作为其通 信管道和隐藏身份的主机。 • 僵尸机(Zombie)指已经被攻击者危及,并 被其用作发起攻击的主机。反射器 (Reflector)指未被攻击者危及,但在不知 情的情况下参与了攻击。
日志记录溯源
• 日志记录溯源法是希望路由器将转发的报 文作为日志记录,在需要的时候再通过数 据挖掘等技术来获取报文传输的具体思路 • 优点:首先,溯源可以在攻击发生以后进 行溯源,没有实时性要求;其次,只要捕 捉到一个分组,就可以实现溯源,对分组 数量没有要求 • 缺点:对网络资源的需求量巨大,而且需 要全网实施;日志格式不统一,不同运营 商日志无法共享
祝 各位 培训 事业 爱情
丰丰硕硕 顺顺利利 圆圆满满 爱情事业双丰收
链路测试溯源法
• 链路测试溯源又称逐跳回溯(hop-byhoptracing),一般是从离被攻击者最近的 路由器开始检查,逐级回溯到离攻击者最 近的路由器 • 优点:与现有协议兼容,与现有的路由器 和网络设施兼容,可以逐步实现 • 缺点:要成功溯源需要攻击持续时间足够 长,而且不适合应对DDoS,多个网络服务 提供商之间的协调较困难
网络溯源面临的问题
• IP 网络设计存在缺陷 • 网络中存在大量的NAT 设备和代理设备由 于互联网Pv4 地址缺匮以及部分安全原因 • 实施犯罪活动的设备往往是无辜者当前互 联网用户众多,绝大多数用户是缺少安全 经验和安全意识的普通用户 • 溯源能力部署与互联网文化、隐私保护难 以协调网络溯源原意是针对网络犯罪, 查 找恶意行为发起者
现有技术
• • • • • • 分组标记溯源法 发 送 特 定 ICMP 溯 源 法 日志记录溯源 受控洪泛溯源法 链路测试溯源法 其他溯源法
分组标记溯源法
• 分组标记技术的基本原理就是要求路由器 每次转发分组时,将自身的地址附加在分 组上 • 针对分组标记技术的缺陷,各个研究机构 投入了大量的力量进行研究,研究出了许 多改进技术,例如:节点取样技术、非IP 地 址标记技术
我国网络防护的现状
溯源问题分析(一)
溯源通常是指寻找网络事件发起 者相关信息,通常用在网络攻击时对 攻击者的查找 。 溯源相关的事件可以分为应用层 溯源网络层溯源 在一些情况下,将应 用层ID 映射到IP 地址后可以将应用 层溯源转化为网络层溯源
溯源问题分析(二)
计算机网络追踪溯源技术指的是通 过计算机网络定位攻击源地址的技术, 它涉及到的机器包括攻击者、被攻击 者、跳板、僵尸机、反射器等。其攻 击模型如图所示
发送特定ICMP 溯源法
• 发送特定ICMP 溯源法是采用路由器上普遍 实现的CMP 协议来实施追踪 • 缺点是:ICMP 报文在某些网络中会被过滤 掉,因此可能在某些情况下失效; 攻击者 有可能发送伪造的ICMP 溯源报文,导致溯 源失败;受害机器需要收集较多的报文才 能重构路径,信息不完整则无法准确地重 构攻击报文的传输路径
