樊小龍

摘要：近年來，隨著計算機網(wǎng)絡(luò)的普及，人們也越來越注重自己的信息安全，然而一些不法分子利用網(wǎng)絡(luò)攻擊獲取用戶的重要信息。黑客通常使用隱匿網(wǎng)絡(luò)來躲避網(wǎng)絡(luò)追蹤溯源。本文分析了當前網(wǎng)絡(luò)追蹤溯源的問題，對當前網(wǎng)絡(luò)追蹤溯源技術(shù)進行了概括，詳細介紹該技術(shù)的主流方法，最后分析了計算機網(wǎng)絡(luò)追蹤溯源技術(shù)未來的發(fā)展方向。

關(guān)鍵詞：網(wǎng)絡(luò)攻擊；網(wǎng)絡(luò)追蹤；溯源技術(shù)；隱匿網(wǎng)絡(luò)

1 緒論

計算機網(wǎng)絡(luò)是計算機不可或缺的一部分，隨著網(wǎng)絡(luò)的發(fā)展，互聯(lián)網(wǎng)越來越受到攻擊，尤其是DDoS攻擊。攻擊者利用互聯(lián)網(wǎng)快速傳播的特點，大量使用偽造的IP地址進行攻擊。計算機網(wǎng)絡(luò)追蹤溯源技術(shù)是通過網(wǎng)絡(luò)攻擊計算機源地址的技術(shù)。網(wǎng)絡(luò)攻擊者通過技術(shù)手段，建立一些跳板或者能隱藏身份的主機進行網(wǎng)絡(luò)攻擊，因此通過網(wǎng)絡(luò)追蹤溯源技術(shù)找到最終攻擊者。

2 網(wǎng)絡(luò)追溯源技術(shù)

2.1 網(wǎng)絡(luò)溯源技術(shù)現(xiàn)狀

網(wǎng)絡(luò)追蹤溯源主要是追蹤拒絕服務(wù)攻擊（DoS）的源頭。因此在網(wǎng)絡(luò)追溯源中，必須了解網(wǎng)絡(luò)拓撲的基本原理，由于現(xiàn)在網(wǎng)絡(luò)技術(shù)發(fā)達，使用者無法直接獲取網(wǎng)絡(luò)拓撲，因此傳統(tǒng)的方法不能夠適用于現(xiàn)有的網(wǎng)絡(luò)追蹤溯源，甚至根本無法找到。另外一種是基于包標記的溯源方法，這類的方法需要大量的數(shù)據(jù)包來進行傳送路徑重構(gòu)，這種方法僅僅適用于DoS攻擊，就目前而言在DoS攻擊中，網(wǎng)絡(luò)流量較少，因而采用包標記的方法在路徑的規(guī)劃上面會花費很長時間。另一方面，由于現(xiàn)有網(wǎng)絡(luò)為了達到更好的隱藏效果，一般采用多跳中繼代理服務(wù)器，這些中繼節(jié)點一般位于不同的國家地區(qū)，因此就會有新的問題，譬如說，由于地區(qū)限制不同，有些隱匿信息無法發(fā)現(xiàn)或者無法告知對方，因為這會涉及到不同國家和地區(qū)的法律，文化，政治問題；其次是在現(xiàn)有的網(wǎng)絡(luò)追溯源技術(shù)中，由于中繼較多就會路徑組合爆炸問題。在傳統(tǒng)網(wǎng)絡(luò)追蹤溯源技術(shù)中，由于是對數(shù)據(jù)包和日志進行標記。因此對于數(shù)據(jù)包標記和日志標記的方法來說，即便解決了跨區(qū)域問題，也會在匿名網(wǎng)絡(luò)中，多跳中繼代理服務(wù)器經(jīng)過路由器路徑較長，由此會帶來路徑組合爆炸問題，路徑選擇方法耗時非常多。

2.2 網(wǎng)絡(luò)追蹤溯源技術(shù)的體系結(jié)構(gòu)

根據(jù)目前已有的研究對網(wǎng)絡(luò)追蹤溯源技術(shù)的體系結(jié)構(gòu)可包括以下幾個方面。第一，追蹤溯源的時間復(fù)雜度，這里包括完成整個追蹤溯源的計算時間，也包括追蹤溯源的實時性，對當前的追蹤溯源時間復(fù)雜度而言，這里包括算法的時間復(fù)雜度和網(wǎng)絡(luò)負載復(fù)雜度和網(wǎng)絡(luò)空間復(fù)雜度；對于實時性來說，要求追蹤溯源技術(shù)能夠及時發(fā)現(xiàn)確定攻擊源的時間消耗。第二，追蹤溯源技術(shù)自身的安全性。網(wǎng)絡(luò)追蹤溯源技術(shù)對于攻擊者來說也是公開的，因此在溯源過程中，要注意溯源的安全性，要保證溯源技術(shù)能夠安全的進行，這是其他結(jié)構(gòu)最重要的指標之一。第三，對于網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)來說，核心價值在于定位DDoS攻擊的能力。針對當前互聯(lián)網(wǎng)技術(shù)來說，網(wǎng)絡(luò)跳板較多，追蹤溯源所需的數(shù)據(jù)包較多較復(fù)雜，因此對于溯源技術(shù)來說獲取當前DDoS攻擊的定位能力是非常重要的指標。

3 主流網(wǎng)絡(luò)追蹤溯源技術(shù)

現(xiàn)有的溯源技術(shù)可以分為兩類，第一類是基于應(yīng)用程序的溯源方法，第二類是基于隱匿網(wǎng)絡(luò)協(xié)議本身的溯源方法。

3.1 基于應(yīng)用程序的攻擊追蹤溯源方法

基于應(yīng)用程序的攻擊主要包括以下兩點，第一，用戶誤操作或者開發(fā)人員由于編程產(chǎn)生的漏洞，導致用戶隱私泄露；第二，用戶安裝并使用了惡意的軟件，這些軟件通過隱匿的網(wǎng)絡(luò)將用戶信息泄露。這些攻擊的特點主要由于用戶的使用不當引起的，因此用戶在使用互聯(lián)網(wǎng)時要增加自身安全意識，盡量不使用非官方的軟件。因此解決這類攻擊問題，主要在于對數(shù)據(jù)進行分組標記。基于分組標記的IP回溯通常被稱為概率分組標記（PPM）方法，其中分組在路由器轉(zhuǎn)發(fā)時用部分路徑信息概率地標記。這種方法在路由器上產(chǎn)生很少的開銷。但由于其概率性質(zhì)，它只能確定由多個數(shù)據(jù)包組成的流量來源。

3.2 基于隱匿網(wǎng)絡(luò)協(xié)議的攻擊追蹤溯源方法

基于隱匿網(wǎng)絡(luò)協(xié)議的攻擊，其基本攻擊原理是利用網(wǎng)絡(luò)協(xié)議本身設(shè)計進行攻擊或者利用某些流量分析工具或者對通信網(wǎng)絡(luò)進行關(guān)聯(lián)分析。通常的攻擊方式有關(guān)聯(lián)攻擊，前驅(qū)攻擊，交集攻擊，重放攻擊，時序攻擊，網(wǎng)絡(luò)指紋攻擊，代碼注入攻擊，流量水印技術(shù)，鏈路阻塞攻擊等方法進行攻擊。因此基于隱匿網(wǎng)絡(luò)協(xié)議進行攻擊需要對數(shù)據(jù)進行標記和分組?；跀?shù)據(jù)包日志記錄的IP跟蹤通常被稱為基于散列的方法，其中路由器為每個轉(zhuǎn)發(fā)的數(shù)據(jù)包計算和存儲摘要。此方法可以將單個數(shù)據(jù)包跟蹤到其源。然而，在具有高速鏈路的路由器中，分組摘要的存儲空間要求和用于記錄與其到達速率相稱的分組的訪問時間要求是禁止的。因此一種基于數(shù)據(jù)包標記和數(shù)據(jù)包記錄的IP追蹤方法。與PPM方法相比，能夠跟蹤單個數(shù)據(jù)包。與基于散列的方法相比，該方法在路由器上產(chǎn)生的存儲開銷更少，訪問時間更少。具體地，存儲開銷減少到大約一半，并且訪問時間要求減少了相鄰路由器的數(shù)量的因數(shù)。因此網(wǎng)絡(luò)追蹤溯源技術(shù)最本質(zhì)的是要找到網(wǎng)絡(luò)攻擊源，制定相關(guān)的安全策略進行防御。

目前基于隱匿網(wǎng)絡(luò)協(xié)議的攻擊追蹤溯源方法是主流的方法之一，在未來網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)會朝著低存儲，高運算方向發(fā)展。此外，在人工智能技術(shù)的發(fā)展，將會有更加智能的方法來快速的找到網(wǎng)絡(luò)攻擊源；同時建立關(guān)聯(lián)圖譜和自然語言處理模塊，能夠使其找到同類的攻擊源。

4 結(jié)語

隨著國家信息安全戰(zhàn)略的提出，國內(nèi)外各大高校研究所都已經(jīng)積極的投入人力物力對網(wǎng)絡(luò)追蹤溯源進行研究，相信在不遠的將來網(wǎng)絡(luò)攻擊追蹤溯源這類技術(shù)會更加完善。

參考文獻：

[1]卓中流.匿名網(wǎng)絡(luò)追蹤溯源關(guān)鍵技術(shù)研究[D].電子科技大學，2018.

[2]陳周國，蒲石，祝世雄.一種通用的互聯(lián)網(wǎng)追蹤溯源技術(shù)框架[J].計算機系統(tǒng)應(yīng)用，2012，21（09）：166170.

[3]陳周國，蒲石，郝堯，等.網(wǎng)絡(luò)攻擊追蹤溯源層次分析[J].計算機系統(tǒng)應(yīng)用，2014，23（01）：17.