趙慧博（武警吉林省隊(duì)直屬支隊(duì)網(wǎng)管中心，吉林長(zhǎng)春，130062）

?

淺談網(wǎng)絡(luò)攻擊源追蹤技術(shù)的分類及展望

趙慧博
（武警吉林省隊(duì)直屬支隊(duì)網(wǎng)管中心，吉林長(zhǎng)春，130062）

摘要：本文主要將網(wǎng)絡(luò)攻擊源追蹤多種不同技術(shù)進(jìn)行了歸納，并分析了各種不同網(wǎng)絡(luò)攻擊源追蹤技術(shù)的優(yōu)點(diǎn)和缺點(diǎn)，對(duì)網(wǎng)絡(luò)攻擊源追蹤的未來研究方向進(jìn)行了探討，對(duì)網(wǎng)絡(luò)攻擊源追蹤技術(shù)相關(guān)問題提供解決辦法。

關(guān)鍵詞：網(wǎng)絡(luò)攻擊源追蹤技術(shù)；系統(tǒng)分類；計(jì)算機(jī)網(wǎng)絡(luò)安全；IP源追蹤

1 IP源追蹤技術(shù)

IP源追蹤技術(shù)大致上可以分為兩類，即反應(yīng)式追蹤、主動(dòng)式追蹤。其中反應(yīng)式追蹤則是對(duì)攻擊進(jìn)行檢測(cè)，之后才開始對(duì)攻擊源過程進(jìn)行追蹤的一種追蹤技術(shù)。主動(dòng)式追蹤則是同時(shí)實(shí)時(shí)監(jiān)測(cè)數(shù)據(jù)包轉(zhuǎn)發(fā)，當(dāng)法神攻擊時(shí)，可以根據(jù)實(shí)時(shí)監(jiān)測(cè)的結(jié)果，重新構(gòu)建攻擊路徑。

只能在攻擊流保持活動(dòng)時(shí)，反應(yīng)式追蹤才能對(duì)攻擊流進(jìn)行追蹤，如果攻擊流結(jié)束，就無法對(duì)IP源進(jìn)行確定，所以反應(yīng)式追蹤這類追蹤技術(shù)，通常適用于實(shí)時(shí)阻斷時(shí)使用，對(duì)于事后卻無法起到分析作用，主要有控制洪流、輸入調(diào)試兩種典型的方法。其中輸入調(diào)試，則是利用路由器，該路由器并且具有帶輸入調(diào)試功能，當(dāng)發(fā)生攻擊之后逐跳，對(duì)攻擊特征包的路徑、路由入口進(jìn)行確定，通過反復(fù)使用，從而對(duì)攻擊包發(fā)送的真實(shí)IP進(jìn)行確定。在IP源追蹤時(shí)，輸入調(diào)試方法是最容易想到的一種方法，但是采用該方法，要求應(yīng)用于追蹤路徑上的路由器，全部必須具有輸入調(diào)試能力，并且需要手工來進(jìn)行干預(yù)，與互聯(lián)網(wǎng)服務(wù)提供商，即ISP具有依賴性，與ISP服務(wù)商高度合作，追蹤速度就會(huì)顯得比較慢。另外一種典型的方法，即控制洪流，當(dāng)發(fā)生攻擊時(shí)，首先采用已有的因特網(wǎng)拓?fù)鋱D，對(duì)距離受害者最近路由的鏈路進(jìn)行選擇洪流攻擊。對(duì)自攻擊者的包的變化進(jìn)行觀察，通過觀察之后確定攻擊數(shù)據(jù)包到底是來自哪條鏈路，采用同樣的方法對(duì)其他每一條鏈路進(jìn)行洪流控制。控制洪流這種典型的方法，經(jīng)過研究是非常有效的。自身就是屬于一種DOS攻擊，需要與因特網(wǎng)拓?fù)鋱D、上游主機(jī)進(jìn)行高度合作。

主動(dòng)式追蹤，是一種既可用于事后分析，又可以對(duì)攻擊的實(shí)時(shí)阻斷。其中包標(biāo)記法修改IP協(xié)議，當(dāng)數(shù)據(jù)包通過路由時(shí)，以一定概率的路由器把路由信息標(biāo)記在數(shù)據(jù)包的IP包頭的identification字段當(dāng)中，當(dāng)收到足夠多的包之后，受害者就可以根據(jù)包頭的信息，重新構(gòu)建攻擊路徑。這種方法不會(huì)產(chǎn)生額外的流量，也不會(huì)被安全策略堵塞，被防火墻阻止，只使用IP包本身的信息。而且需要與來自ISP服務(wù)商進(jìn)行高度合作，這種方法無法適用于分段的IP包、IP通訊加密等等。并且通過相關(guān)研究表明，由于包標(biāo)記方法，在多個(gè)包中存儲(chǔ)路由信息數(shù)據(jù)，利用近似生日組的概念，使得攻擊組散播錯(cuò)誤的信息。目前而言，包標(biāo)記法有不同分類，最基本的也是最常用的即是指PPM方法。PPM方法的最大優(yōu)點(diǎn)在于，容易實(shí)現(xiàn)，但是該方法有著較高的虛警率，需要很大的計(jì)算量，對(duì)DDOS的供給是沒有任何作用的。并且有較差的魯棒性。通過改進(jìn)的標(biāo)記方案，改進(jìn)和認(rèn)證PPM方法，促進(jìn)了精確度、魯棒性的提高，而且計(jì)算量也有所降低。將IP源追蹤技術(shù)問題，通過代數(shù)方法轉(zhuǎn)化為多項(xiàng)式重構(gòu)問題，對(duì)假冒的IP數(shù)據(jù)包的真實(shí)源點(diǎn)，通過利用代數(shù)編碼理論得以恢復(fù)。與PPM方法的最大的區(qū)別在于不是采用HASH函數(shù)作為效驗(yàn)器，而且利用Hornet規(guī)則迭代地算數(shù)編碼邊信息作為效驗(yàn)器。

路由記錄法，對(duì)一種特殊的路由器進(jìn)行利用，摘要近期所轉(zhuǎn)發(fā)的IP包保存包，根據(jù)所受到的攻擊數(shù)據(jù)包的摘要以及路由器中保存的摘要，受害者可以重新進(jìn)行構(gòu)建攻擊路徑，路由記錄方法的典型是源路徑隔離引擎，即SPIE。這種方法最大的優(yōu)點(diǎn)在于就是能夠準(zhǔn)確的反向跟蹤單個(gè)數(shù)據(jù)包，漏警率為零。并且互操作性也非常的好。這種方法最大的缺點(diǎn)在于，需要與ISP服務(wù)商進(jìn)行合作，對(duì)高速路由器存儲(chǔ)具有非常高的要求，并且還會(huì)對(duì)路由器的CPU產(chǎn)生消耗作用，對(duì)路由器的流量轉(zhuǎn)發(fā)性能有著嚴(yán)重的影響。

ICMP消息方法，引入了一種新的iTrace消息，這一消息當(dāng)中，主要包含了消息發(fā)送的路由器IP地址，還有誘發(fā)該消息的數(shù)據(jù)包的相關(guān)信息，路由器如果加載了跟蹤機(jī)制，對(duì)假冒的IP源的數(shù)據(jù)包能夠幫助進(jìn)行識(shí)別。但是這種方法會(huì)產(chǎn)生大量額外負(fù)載，對(duì)網(wǎng)絡(luò)性能有著很大的影響，并且容易被網(wǎng)絡(luò)安全策略堵塞，遠(yuǎn)端路由器的ICMP非常有限。目的驅(qū)動(dòng)的iTrace方法，需要引入一個(gè)“目的位”在數(shù)據(jù)包轉(zhuǎn)發(fā)表、路由表當(dāng)中，對(duì)某個(gè)特殊的目標(biāo)是否需要iTrace跟蹤信息進(jìn)行決定，這種方法能夠?qū)Trace信息進(jìn)行精簡(jiǎn)，能夠促進(jìn)系統(tǒng)性能的提升，幾乎不需要改變路由選擇結(jié)構(gòu)，其最大的缺點(diǎn)在于，由于路由表被頻繁的更新，會(huì)使得路由選擇機(jī)制產(chǎn)生不穩(wěn)定性，甚者還會(huì)改變BGP協(xié)議。

2 跨越挑板的追蹤技術(shù)

能夠找到IP源數(shù)據(jù)包發(fā)送的真實(shí)地址的IP源追蹤技術(shù)，但是卻不一定能夠找到攻擊者，而且還是對(duì)攻擊事件負(fù)責(zé)的攻擊者。因?yàn)樵趯?shí)施攻擊的過程當(dāng)中，大多數(shù)的攻擊者，會(huì)利用“跳板”，所以IP源追蹤技術(shù)對(duì)這類攻擊來說，只是開始的第一步而已。如果要想找到真正的攻擊源，就必須要采用跨越跳板的追蹤技術(shù)。按照追蹤的不同信息源，跨越跳板的追蹤技術(shù)可以分為基于網(wǎng)絡(luò)技術(shù)、基于主機(jī)的技術(shù)；如果是按照追蹤的方法不同而言，則可以分為主動(dòng)式方法、反應(yīng)式方法兩種。其中主動(dòng)式方法經(jīng)進(jìn)行監(jiān)控，對(duì)所有通信量進(jìn)行比較。則反應(yīng)式方法則是對(duì)攻擊后，通過定制的進(jìn)程動(dòng)態(tài)的控制進(jìn)行懷疑，通信量何地何時(shí)與哪些信息相關(guān)聯(lián)，以及如何關(guān)聯(lián)。

較為早期的一些入侵檢測(cè)系統(tǒng)， 比如CIS、DOS等，都具有攻擊源追蹤功能?；谥鳈C(jī)的追蹤方法，對(duì)連接鏈上的每一臺(tái)主機(jī)都有依賴性，如果每個(gè)主機(jī)都被控制了，并且關(guān)聯(lián)信息的提供發(fā)生了錯(cuò)誤，則會(huì)誤導(dǎo)整個(gè)追蹤系統(tǒng)，因此，配置在因特網(wǎng)中的基于主機(jī)的追蹤系統(tǒng)是有一定難度的。

基于網(wǎng)絡(luò)的追蹤，則是根據(jù)網(wǎng)絡(luò)連接屬性，被監(jiān)控主機(jī)不要求全部參與。利用少量信息總結(jié)連接的指紋技術(shù)，是最早的關(guān)聯(lián)技術(shù)，對(duì)時(shí)鐘同步匹配對(duì)應(yīng)時(shí)間間隔的連接指紋有依賴性，而且無法改變重傳的情況，這些都會(huì)對(duì)實(shí)時(shí)追蹤的有效性產(chǎn)生嚴(yán)重的影響?；跁r(shí)間的方案，不是基于連接的內(nèi)容而是基于交互通信中的時(shí)間特點(diǎn)，能夠應(yīng)用于加密的連接。與基于偏差的方法比較類似。采用兩個(gè)TCP連接序列號(hào)的最小平均差，對(duì)兩個(gè)連接是否關(guān)聯(lián)進(jìn)行確定，偏差考慮了TCP序列號(hào)、時(shí)間特征?；跁r(shí)間的方案、偏差的方法，對(duì)時(shí)鐘同步?jīng)]有要求，都適用于檢測(cè)交互式“跳板”。

主動(dòng)式方法需要對(duì)所有的通信數(shù)據(jù)進(jìn)行預(yù)先保存，基于網(wǎng)絡(luò)的反應(yīng)式方法，對(duì)包處理能夠定制，對(duì)連接以及如何關(guān)聯(lián)進(jìn)行動(dòng)態(tài)控制，因此所需要的資源比被動(dòng)方更少。主要有隔離協(xié)議、入侵識(shí)別、休眠水印追蹤、隔離協(xié)議是一種應(yīng)用層協(xié)議，通過交換入侵檢測(cè)信息，邊界控制器與攻擊描述相結(jié)合，共同組織入侵者，并進(jìn)行定位，休眠水印追蹤，利用水印技術(shù)跨越跳板，當(dāng)入侵被檢測(cè)時(shí)，不會(huì)引起額外的開銷，在入侵后的每個(gè)鏈接中，注入水印，喚醒入侵路徑中間路由合作。

3 展望

第一，評(píng)估指標(biāo)體系的建立，比較當(dāng)前優(yōu)勢(shì)和缺點(diǎn)，對(duì)現(xiàn)有算法進(jìn)行完善。第二，網(wǎng)絡(luò)攻擊源追蹤的理論模型的建立，第三，綜合考慮數(shù)據(jù)加密、IPV6、移動(dòng)性等問題，當(dāng)前網(wǎng)絡(luò)源追蹤方法，對(duì)這類問題沒有進(jìn)行綜合考慮，對(duì)這些問題進(jìn)行改進(jìn)，提出可靠、簡(jiǎn)單的追蹤方法，并進(jìn)一步對(duì)其研究。解決網(wǎng)絡(luò)攻擊源追蹤問題，需要結(jié)合管理上的特點(diǎn)來進(jìn)行，當(dāng)還沒有研究出切實(shí)可用、高效簡(jiǎn)單的追蹤算法時(shí)，結(jié)合安全管理，通過實(shí)名認(rèn)證，綁定MAC、IP地址，消除匿名性的源地址，是一項(xiàng)值得研究的課題。

4 總結(jié)

綜上。本文分析了多種網(wǎng)絡(luò)攻擊源追蹤技術(shù)，并對(duì)其進(jìn)行了系統(tǒng)了分類，比較了其中的優(yōu)點(diǎn)和缺點(diǎn)，對(duì)研究方向進(jìn)行了探討，希望未來能夠進(jìn)一步研究，促進(jìn)網(wǎng)絡(luò)攻擊源追蹤技術(shù)的良好發(fā)展。

參考文獻(xiàn)

［1］閆巧，吳建平，江勇.網(wǎng)絡(luò)攻擊源追蹤技術(shù)的分類和展望［J］.清華大學(xué)學(xué)報(bào)（自然科學(xué)版），2015，04：497-500.

［2］孫志磊.網(wǎng)絡(luò)攻擊源追蹤技術(shù)研究［D］.浙江工業(yè)大學(xué)，2012.

［3］張莉莉.MANET中基于穩(wěn)定拓?fù)涞腄DoS攻擊源追蹤研究［D］.復(fù)旦大學(xué)，2012.

［4］張倩倩.反射型分布式拒絕服務(wù)攻擊中攻擊源追蹤的研究［D］.濟(jì)南大學(xué)，2012.

Discussion on the classification and Prospect of network attack source tracing technology

Zhao Huibo
（Jilin Armed Police Detachment directly under the provincial network management center，Changchun Jilin，130062）

Abstract：This paper mainly network attack source tracing a variety of technologies are summarized，and analysis the various network attack source tracing technology and their advantages and disadvantages，the network attack source trace back research directions in the future were also discussed， the tracing network attack source technology related questions provide a solution of.

Keywords：network attack source tracing technology； system classification； computer network security；IP source tracking