网络攻击溯源技术概述

kq1n
0 ℃
2020-06-26

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

网络攻击溯源技术概述•引言•溯源问题分析•网络溯源面临的问题•溯源的分类与应用场景•现有技术•结束语引言•计算机网络是计算机技术和通信技术发展到一定程度相结合的产物•随着互联网覆盖面的不断扩大，网络安全的重要性不断增加成为人们日常生活中不可缺少的一部分•网络上大量存在DDoS攻击、木马、蠕虫、僵尸网络、非授权访问、发送垃圾邮件等恶意行为•随着社会生活越来越依赖互联网，互联网安全问题已经在抑制网络健康有序发展，互联网亟需建设溯源能力我国网络防护的现状溯源问题分析(一)溯源通常是指寻找网络事件发起者相关信息，通常用在网络攻击时对攻击者的查找。溯源相关的事件可以分为应用层溯源网络层溯源在一些情况下，将应用层ID映射到IP地址后可以将应用层溯源转化为网络层溯源溯源问题分析(二)计算机网络追踪溯源技术指的是通过计算机网络定位攻击源地址的技术，它涉及到的机器包括攻击者、被攻击者、跳板、僵尸机、反射器等。其攻击模型如图所示•攻击者(ARackerHost)指发起攻击的真正起点，也是追踪溯源希望发现的目标。•被攻击者(VictimHost)指受到攻击的主机，也是攻击源追踪的起点。跳板机(SteppingStone)指已经被攻击者危及，并作为其通信管道和隐藏身份的主机。•僵尸机(Zombie)指已经被攻击者危及，并被其用作发起攻击的主机。反射器(Reflector)指未被攻击者危及，但在不知情的情况下参与了攻击。网络溯源面临的问题•IP网络设计存在缺陷•网络中存在大量的NAT设备和代理设备由于互联网Pv4地址缺匮以及部分安全原因•实施犯罪活动的设备往往是无辜者当前互联网用户众多，绝大多数用户是缺少安全经验和安全意识的普通用户•溯源能力部署与互联网文化、隐私保护难以协调网络溯源原意是针对网络犯罪，查找恶意行为发起者溯源的分类•按照溯源的时间，可以将溯源分成实时溯源以及事后溯源•按照溯源实现的位置，可以将溯源分成基于终端溯源以及基于网络设施溯源（原理如图2）•按照溯源发起者，可以将溯源分成第三方发起的溯源以及通信参与者发起的溯源•按照溯源是否需要带外通信，可以将溯源分成带外溯源以及带内溯源（原理如图3）•按照被溯源地址，可以将溯源分成针对虚假地址的溯源以及针对真实地址的溯源图2网络设施的溯源原理图3带外溯源原理网络溯源应用场景•当特定用户受到DDoS攻击时，可以通过溯源技术查找攻发起者•当僵尸网络与木马、蠕虫相结合，危害性很大僵尸网络的控制者通常通过控制的“肉鸡”实施控制，很难找到真正的控制者,针对网络上大规模僵尸网络，可以通过溯源技术查找僵尸网络的控制者现有技术•分组标记溯源法•发送特定ICMP溯源法•日志记录溯源•受控洪泛溯源法•链路测试溯源法•其他溯源法分组标记溯源法•分组标记技术的基本原理就是要求路由器每次转发分组时，将自身的地址附加在分组上•针对分组标记技术的缺陷，各个研究机构投入了大量的力量进行研究，研究出了许多改进技术,例如：节点取样技术、非IP地址标记技术发送特定ICMP溯源法•发送特定ICMP溯源法是采用路由器上普遍实现的CMP协议来实施追踪•缺点是：ICMP报文在某些网络中会被过滤掉，因此可能在某些情况下失效；攻击者有可能发送伪造的ICMP溯源报文，导致溯源失败；受害机器需要收集较多的报文才能重构路径，信息不完整则无法准确地重构攻击报文的传输路径日志记录溯源•日志记录溯源法是希望路由器将转发的报文作为日志记录，在需要的时候再通过数据挖掘等技术来获取报文传输的具体思路•优点：首先，溯源可以在攻击发生以后进行溯源，没有实时性要求；其次，只要捕捉到一个分组，就可以实现溯源，对分组数量没有要求•缺点：对网络资源的需求量巨大，而且需要全网实施；日志格式不统一，不同运营商日志无法共享受控洪泛溯源法•受控洪泛溯源法是指网管人员在受攻击设备的上游设备上向下游每个链路发送大量的UDP报文，人为制造拥塞•通过向某个连接发送“洪泛数据”后攻击报文减少，就可以确定该连接是否传输了攻击报文•缺点：溯源行为本身就是一种DDoS，会给网络带来很大的影响；采用该方法需要操作人员拥有详细的拓扑图以及相应设备的控制权限；只在攻击行为进行过程中有效链路测试溯源法•链路测试溯源又称逐跳回溯（hop-by-hoptracing），一般是从离被攻击者最近的路由器开始检查，逐级回溯到离攻击者最近的路由器•优点：与现有协议兼容，与现有的路由器和网络设施兼容，可以逐步实现•缺点：要成功溯源需要攻击持续时间足够长，而且不适合应对DDoS，多个网络服务提供商之间的协调较困难其他溯源法•真实源地址方案:能够限制虚假IP包接入网络，解决地址仿冒问题•全面实施uRPF功能:效果类似真实源地址方案•业务实名制:能避开网络层溯源难的问题，直接将应用层行为映射到实体用户•IP地址实名制：通过管理手段将IP地址与实体用户一一对应结束语互联网溯源难的根源来自互联网协议自身缺陷、互联网无序建设、互联网使用者缺少安全意识等。随着互联网规模的扩大以及整个社会对互联网依赖性的不断增加，网络溯源已经迫在眉睫。未来网络溯源应该是灵活结合管理技术手段，在多个层面解决问题的系统工程，互联网溯源仍有待长期研究。祝各位培训丰丰硕硕事业顺顺利利爱情圆圆满满爱情事业双丰收