反溯源網(wǎng)絡(luò)構(gòu)筑研究

張宇寧

摘要：隨著計(jì)算機(jī)網(wǎng)絡(luò)信息安全問(wèn)題的日益突出，構(gòu)筑反溯源網(wǎng)絡(luò)具有重要意義。將NDIS中間層驅(qū)動(dòng)技術(shù)、P2P隱蔽攻擊網(wǎng)絡(luò)及基于數(shù)據(jù)特征的混淆算法3種技術(shù)相融合，構(gòu)筑反溯源網(wǎng)絡(luò)，可有效降低被外界追蹤溯源的可能性，確保網(wǎng)絡(luò)及信息的安全性和可靠性。

關(guān)鍵詞：反溯源；NDIS；P2P網(wǎng)絡(luò)；混淆算法

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-1161（2014）01-0050-02

計(jì)算機(jī)的誕生及網(wǎng)絡(luò)技術(shù)的發(fā)展改變了人們傳統(tǒng)的生活方式。人們?cè)诰W(wǎng)絡(luò)中嘗試著各種應(yīng)用所帶來(lái)的便利，但卻忽略了網(wǎng)絡(luò)信息安全。隨著各種溯源技術(shù)的發(fā)展和廣泛應(yīng)用，躲在屏幕后面的黑客正熟練地運(yùn)用各種手段及工具，對(duì)各種有價(jià)值的人和信息進(jìn)行肆無(wú)忌憚的溯源跟蹤，人們?cè)诨ヂ?lián)網(wǎng)中的行為變得透明，網(wǎng)絡(luò)和信息安全已經(jīng)受到了嚴(yán)峻考驗(yàn)。為此，構(gòu)筑反溯源網(wǎng)絡(luò)以確保網(wǎng)絡(luò)及信息安全顯得尤為重要。

1 國(guó)內(nèi)外反溯源研究現(xiàn)狀

1.1 匿名通信系統(tǒng)技術(shù)

匿名通信系統(tǒng)技術(shù)是一種隱藏通信發(fā)送者及接受者IP地址、物理位置等實(shí)體信息和雙方通信關(guān)系的通信系統(tǒng)，它令竊聽(tīng)者無(wú)法直接獲知或推知通信雙方的通信關(guān)系或通信的某一方信息，從而更好地保護(hù)網(wǎng)絡(luò)用戶的通信隱私。當(dāng)前關(guān)于匿名通信系統(tǒng)技術(shù)的研究主要在于提高匿名性能，許多原型系統(tǒng)借助于多個(gè)代理的重路由技術(shù)、填充包技術(shù)和加密技術(shù)來(lái)達(dá)到匿名發(fā)送或匿名接收的目的。而當(dāng)匿名系統(tǒng)真正要被應(yīng)用于現(xiàn)實(shí)網(wǎng)絡(luò)中時(shí)，系統(tǒng)管理方式和管理代價(jià)會(huì)直接影響到系統(tǒng)的可擴(kuò)展性。目前的許多匿名原型系統(tǒng)采用集中式管理機(jī)制，不能承受大量用戶的存在，無(wú)法應(yīng)用于大規(guī)模的網(wǎng)絡(luò)環(huán)境中。

1.2 跳板機(jī)網(wǎng)絡(luò)

所謂跳板機(jī)就是一臺(tái)普通的聯(lián)網(wǎng)服務(wù)器，入侵者在對(duì)目標(biāo)進(jìn)行入侵的過(guò)程中，首先要在自己的PC上遠(yuǎn)程登錄該跳板機(jī)，然后通過(guò)遠(yuǎn)程桌面操作該跳板機(jī)對(duì)目標(biāo)進(jìn)行入侵或攻擊，從而實(shí)現(xiàn)了自身的隱藏。跳板網(wǎng)絡(luò)中的節(jié)點(diǎn)均為被控主機(jī)，在路徑選擇和配置上比VPN和協(xié)議代理更加靈活，但由于被控節(jié)點(diǎn)性能參差不齊，個(gè)別節(jié)點(diǎn)的穩(wěn)定性較差，一旦路徑中某個(gè)轉(zhuǎn)發(fā)節(jié)點(diǎn)失效，整條路徑將無(wú)法繼續(xù)正常工作，從而導(dǎo)致目標(biāo)數(shù)據(jù)傳輸?shù)氖　４送?，現(xiàn)在很多防火墻或IDS都有追溯的功能，理論上，對(duì)于在三跳以內(nèi)的跳板網(wǎng)絡(luò)，可以通過(guò)代理跳板主機(jī)找到源主機(jī)。

1.3 VPN代理技術(shù)

VPN代理是在VPN（虛擬專用網(wǎng)絡(luò)）的基礎(chǔ)上衍生出來(lái)的提高網(wǎng)絡(luò)訪問(wèn)速度和安全性的技術(shù)，現(xiàn)在其已成為一種反溯源的重要手段。利用VPN的特殊加密通信協(xié)議在因特網(wǎng)位于不同地方的兩個(gè)結(jié)點(diǎn)間臨時(shí)建立一條穿過(guò)混亂公用網(wǎng)絡(luò)的安全穩(wěn)定的專用隧道。比起真實(shí)地建立一條物理鏈路，VPN在經(jīng)濟(jì)性上表現(xiàn)得非常好，但是所有的安全與穩(wěn)定都取決于VPN代理服務(wù)商，所以VPN的安全與穩(wěn)定系數(shù)并不高。目前也有將VPN代理技術(shù)及跳板機(jī)網(wǎng)絡(luò)相組合來(lái)構(gòu)筑反溯源網(wǎng)絡(luò)，但是由于兩種技術(shù)均有各自的缺陷，效果并不理想。

2 反溯源網(wǎng)絡(luò)的總體設(shè)計(jì)方案

用若干臺(tái)PC作為代理節(jié)點(diǎn)構(gòu)成一個(gè)P2P的隱蔽網(wǎng)絡(luò)（如圖1所示），確保每個(gè)代理節(jié)點(diǎn)在此網(wǎng)絡(luò)中地位相等，完全自治；攻擊源點(diǎn)與代理節(jié)點(diǎn)之間、代理節(jié)點(diǎn)相互之間均采用基于NDIS中間層驅(qū)動(dòng)協(xié)議進(jìn)行數(shù)據(jù)傳輸，有效實(shí)現(xiàn)數(shù)據(jù)的隱蔽轉(zhuǎn)發(fā)；每一次攻擊所選擇的路由為隨機(jī)路由，增加被溯源追蹤的難度；數(shù)據(jù)在傳輸過(guò)程中采用混淆算法進(jìn)行加密，增加溯源人員通過(guò)數(shù)據(jù)流量分析進(jìn)行溯源的難度。

3 反溯源網(wǎng)絡(luò)涉及的主要技術(shù)

3.1 NDIS中間層驅(qū)動(dòng)技術(shù)

NDIS是微軟和其他廠商聯(lián)合制定的，在Windows平臺(tái)下開(kāi)發(fā)網(wǎng)卡驅(qū)動(dòng)程序和網(wǎng)絡(luò)協(xié)議驅(qū)動(dòng)程序必須遵守的設(shè)計(jì)框架。NDIS提供了3個(gè)層次的接口：網(wǎng)絡(luò)接口卡驅(qū)動(dòng)程序、中間層驅(qū)動(dòng)程序和協(xié)議驅(qū)動(dòng)程序。中間層驅(qū)動(dòng)程序在協(xié)議驅(qū)動(dòng)程序和微端口驅(qū)動(dòng)程序之間扮演一個(gè)“中間人”的角色。選用NDIS中間層驅(qū)動(dòng)來(lái)實(shí)現(xiàn)自組網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)發(fā)，可以有效地實(shí)現(xiàn)數(shù)據(jù)的隱蔽轉(zhuǎn)發(fā)，這是因?yàn)槔肗DIS中間驅(qū)動(dòng)程序可以在網(wǎng)卡驅(qū)動(dòng)程序和傳輸驅(qū)動(dòng)程序之間插入一個(gè)中間層，用來(lái)截獲網(wǎng)絡(luò)封包，并方便地對(duì)數(shù)據(jù)包進(jìn)行重新封包、加密、網(wǎng)絡(luò)地址轉(zhuǎn)換等操作。同時(shí)，在利用NDIS中間層驅(qū)動(dòng)進(jìn)行截包和發(fā)送數(shù)據(jù)時(shí)，由于代理處于系統(tǒng)底層，網(wǎng)卡接收的數(shù)據(jù)在向操作系統(tǒng)上層傳遞之前已經(jīng)被攔截，高于NDIS中間層的防火墻等應(yīng)用軟件無(wú)法接觸到目標(biāo)數(shù)據(jù)。因此，節(jié)點(diǎn)中的代理在傳輸數(shù)據(jù)時(shí)能夠有效躲避上述軟件的檢測(cè)。

3.2 P2P隱蔽網(wǎng)絡(luò)的構(gòu)架

P2P網(wǎng)絡(luò)即Peer-to-peer，是一種分布式網(wǎng)絡(luò)，也稱對(duì)等網(wǎng)絡(luò)。它打破了傳統(tǒng)的C/S模式，在網(wǎng)絡(luò)中的每個(gè)節(jié)點(diǎn)地位都是相等的，完全自治，每個(gè)節(jié)點(diǎn)既是服務(wù)器、也是客戶端。P2P網(wǎng)絡(luò)具有耐攻擊、高容錯(cuò)等優(yōu)點(diǎn)。本文選用P2P網(wǎng)絡(luò)作為自組網(wǎng)絡(luò)的架構(gòu)，是由于P2P網(wǎng)絡(luò)采用了分布式的架構(gòu)，不依賴于少數(shù)集中控制節(jié)點(diǎn)，所以部分節(jié)點(diǎn)或網(wǎng)絡(luò)遭到破壞對(duì)其他部分的影響很小，一般在部分節(jié)點(diǎn)失效時(shí)能夠自動(dòng)調(diào)整整體拓?fù)洌３制渌?jié)點(diǎn)的連通性，具有比C/S網(wǎng)絡(luò)更好的健壯性和抗毀性。另外，P2P網(wǎng)絡(luò)中，信息的傳輸分散在各個(gè)節(jié)點(diǎn)之間進(jìn)行，無(wú)需經(jīng)過(guò)某個(gè)集中環(huán)節(jié)，從而大大提高了匿名通信的靈活性和可靠性，使得傳輸?shù)臄?shù)據(jù)被竊聽(tīng)及泄露的可能性大大縮小。

3.3 針對(duì)數(shù)據(jù)特征的混淆算法

分析消息數(shù)據(jù)的時(shí)間特征、流量特征和數(shù)據(jù)特征是溯源追蹤的主要手段，是對(duì)平臺(tái)威脅較大的一種攻擊方式。針對(duì)該方式，可采用相應(yīng)的混淆算法用于偽裝時(shí)間特征、流量特征和數(shù)據(jù)特征，增加溯源分析的難度。

4 預(yù)期效果

選用NDIS中間層驅(qū)動(dòng)來(lái)實(shí)現(xiàn)自組網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)發(fā)，方便了對(duì)數(shù)據(jù)包進(jìn)行重新封包、加密、網(wǎng)絡(luò)地址轉(zhuǎn)換等操作，并有效躲避了防火墻等應(yīng)用軟件的檢測(cè)；P2P網(wǎng)絡(luò)的運(yùn)用，大大提高了匿名通信的靈活性和可靠性，使得傳輸?shù)臄?shù)據(jù)被竊聽(tīng)及泄露的可能性大大縮小；針對(duì)時(shí)間特征、流量特征和數(shù)據(jù)特征所采用的混淆算法，增加了溯源分析的難度。上述3種技術(shù)相融合，構(gòu)筑有效抵御外界追蹤溯源的自組網(wǎng)絡(luò)，可確保網(wǎng)絡(luò)及信息的安全性和可靠性。

摘要：隨著計(jì)算機(jī)網(wǎng)絡(luò)信息安全問(wèn)題的日益突出，構(gòu)筑反溯源網(wǎng)絡(luò)具有重要意義。將NDIS中間層驅(qū)動(dòng)技術(shù)、P2P隱蔽攻擊網(wǎng)絡(luò)及基于數(shù)據(jù)特征的混淆算法3種技術(shù)相融合，構(gòu)筑反溯源網(wǎng)絡(luò)，可有效降低被外界追蹤溯源的可能性，確保網(wǎng)絡(luò)及信息的安全性和可靠性。

關(guān)鍵詞：反溯源；NDIS；P2P網(wǎng)絡(luò)；混淆算法

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-1161（2014）01-0050-02

計(jì)算機(jī)的誕生及網(wǎng)絡(luò)技術(shù)的發(fā)展改變了人們傳統(tǒng)的生活方式。人們?cè)诰W(wǎng)絡(luò)中嘗試著各種應(yīng)用所帶來(lái)的便利，但卻忽略了網(wǎng)絡(luò)信息安全。隨著各種溯源技術(shù)的發(fā)展和廣泛應(yīng)用，躲在屏幕后面的黑客正熟練地運(yùn)用各種手段及工具，對(duì)各種有價(jià)值的人和信息進(jìn)行肆無(wú)忌憚的溯源跟蹤，人們?cè)诨ヂ?lián)網(wǎng)中的行為變得透明，網(wǎng)絡(luò)和信息安全已經(jīng)受到了嚴(yán)峻考驗(yàn)。為此，構(gòu)筑反溯源網(wǎng)絡(luò)以確保網(wǎng)絡(luò)及信息安全顯得尤為重要。

1 國(guó)內(nèi)外反溯源研究現(xiàn)狀

1.1 匿名通信系統(tǒng)技術(shù)

匿名通信系統(tǒng)技術(shù)是一種隱藏通信發(fā)送者及接受者IP地址、物理位置等實(shí)體信息和雙方通信關(guān)系的通信系統(tǒng)，它令竊聽(tīng)者無(wú)法直接獲知或推知通信雙方的通信關(guān)系或通信的某一方信息，從而更好地保護(hù)網(wǎng)絡(luò)用戶的通信隱私。當(dāng)前關(guān)于匿名通信系統(tǒng)技術(shù)的研究主要在于提高匿名性能，許多原型系統(tǒng)借助于多個(gè)代理的重路由技術(shù)、填充包技術(shù)和加密技術(shù)來(lái)達(dá)到匿名發(fā)送或匿名接收的目的。而當(dāng)匿名系統(tǒng)真正要被應(yīng)用于現(xiàn)實(shí)網(wǎng)絡(luò)中時(shí)，系統(tǒng)管理方式和管理代價(jià)會(huì)直接影響到系統(tǒng)的可擴(kuò)展性。目前的許多匿名原型系統(tǒng)采用集中式管理機(jī)制，不能承受大量用戶的存在，無(wú)法應(yīng)用于大規(guī)模的網(wǎng)絡(luò)環(huán)境中。

1.2 跳板機(jī)網(wǎng)絡(luò)

所謂跳板機(jī)就是一臺(tái)普通的聯(lián)網(wǎng)服務(wù)器，入侵者在對(duì)目標(biāo)進(jìn)行入侵的過(guò)程中，首先要在自己的PC上遠(yuǎn)程登錄該跳板機(jī)，然后通過(guò)遠(yuǎn)程桌面操作該跳板機(jī)對(duì)目標(biāo)進(jìn)行入侵或攻擊，從而實(shí)現(xiàn)了自身的隱藏。跳板網(wǎng)絡(luò)中的節(jié)點(diǎn)均為被控主機(jī)，在路徑選擇和配置上比VPN和協(xié)議代理更加靈活，但由于被控節(jié)點(diǎn)性能參差不齊，個(gè)別節(jié)點(diǎn)的穩(wěn)定性較差，一旦路徑中某個(gè)轉(zhuǎn)發(fā)節(jié)點(diǎn)失效，整條路徑將無(wú)法繼續(xù)正常工作，從而導(dǎo)致目標(biāo)數(shù)據(jù)傳輸?shù)氖　４送?，現(xiàn)在很多防火墻或IDS都有追溯的功能，理論上，對(duì)于在三跳以內(nèi)的跳板網(wǎng)絡(luò)，可以通過(guò)代理跳板主機(jī)找到源主機(jī)。

1.3 VPN代理技術(shù)

VPN代理是在VPN（虛擬專用網(wǎng)絡(luò)）的基礎(chǔ)上衍生出來(lái)的提高網(wǎng)絡(luò)訪問(wèn)速度和安全性的技術(shù)，現(xiàn)在其已成為一種反溯源的重要手段。利用VPN的特殊加密通信協(xié)議在因特網(wǎng)位于不同地方的兩個(gè)結(jié)點(diǎn)間臨時(shí)建立一條穿過(guò)混亂公用網(wǎng)絡(luò)的安全穩(wěn)定的專用隧道。比起真實(shí)地建立一條物理鏈路，VPN在經(jīng)濟(jì)性上表現(xiàn)得非常好，但是所有的安全與穩(wěn)定都取決于VPN代理服務(wù)商，所以VPN的安全與穩(wěn)定系數(shù)并不高。目前也有將VPN代理技術(shù)及跳板機(jī)網(wǎng)絡(luò)相組合來(lái)構(gòu)筑反溯源網(wǎng)絡(luò)，但是由于兩種技術(shù)均有各自的缺陷，效果并不理想。

2 反溯源網(wǎng)絡(luò)的總體設(shè)計(jì)方案

用若干臺(tái)PC作為代理節(jié)點(diǎn)構(gòu)成一個(gè)P2P的隱蔽網(wǎng)絡(luò)（如圖1所示），確保每個(gè)代理節(jié)點(diǎn)在此網(wǎng)絡(luò)中地位相等，完全自治；攻擊源點(diǎn)與代理節(jié)點(diǎn)之間、代理節(jié)點(diǎn)相互之間均采用基于NDIS中間層驅(qū)動(dòng)協(xié)議進(jìn)行數(shù)據(jù)傳輸，有效實(shí)現(xiàn)數(shù)據(jù)的隱蔽轉(zhuǎn)發(fā)；每一次攻擊所選擇的路由為隨機(jī)路由，增加被溯源追蹤的難度；數(shù)據(jù)在傳輸過(guò)程中采用混淆算法進(jìn)行加密，增加溯源人員通過(guò)數(shù)據(jù)流量分析進(jìn)行溯源的難度。

3 反溯源網(wǎng)絡(luò)涉及的主要技術(shù)

3.1 NDIS中間層驅(qū)動(dòng)技術(shù)

NDIS是微軟和其他廠商聯(lián)合制定的，在Windows平臺(tái)下開(kāi)發(fā)網(wǎng)卡驅(qū)動(dòng)程序和網(wǎng)絡(luò)協(xié)議驅(qū)動(dòng)程序必須遵守的設(shè)計(jì)框架。NDIS提供了3個(gè)層次的接口：網(wǎng)絡(luò)接口卡驅(qū)動(dòng)程序、中間層驅(qū)動(dòng)程序和協(xié)議驅(qū)動(dòng)程序。中間層驅(qū)動(dòng)程序在協(xié)議驅(qū)動(dòng)程序和微端口驅(qū)動(dòng)程序之間扮演一個(gè)“中間人”的角色。選用NDIS中間層驅(qū)動(dòng)來(lái)實(shí)現(xiàn)自組網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)發(fā)，可以有效地實(shí)現(xiàn)數(shù)據(jù)的隱蔽轉(zhuǎn)發(fā)，這是因?yàn)槔肗DIS中間驅(qū)動(dòng)程序可以在網(wǎng)卡驅(qū)動(dòng)程序和傳輸驅(qū)動(dòng)程序之間插入一個(gè)中間層，用來(lái)截獲網(wǎng)絡(luò)封包，并方便地對(duì)數(shù)據(jù)包進(jìn)行重新封包、加密、網(wǎng)絡(luò)地址轉(zhuǎn)換等操作。同時(shí)，在利用NDIS中間層驅(qū)動(dòng)進(jìn)行截包和發(fā)送數(shù)據(jù)時(shí)，由于代理處于系統(tǒng)底層，網(wǎng)卡接收的數(shù)據(jù)在向操作系統(tǒng)上層傳遞之前已經(jīng)被攔截，高于NDIS中間層的防火墻等應(yīng)用軟件無(wú)法接觸到目標(biāo)數(shù)據(jù)。因此，節(jié)點(diǎn)中的代理在傳輸數(shù)據(jù)時(shí)能夠有效躲避上述軟件的檢測(cè)。

3.2 P2P隱蔽網(wǎng)絡(luò)的構(gòu)架

P2P網(wǎng)絡(luò)即Peer-to-peer，是一種分布式網(wǎng)絡(luò)，也稱對(duì)等網(wǎng)絡(luò)。它打破了傳統(tǒng)的C/S模式，在網(wǎng)絡(luò)中的每個(gè)節(jié)點(diǎn)地位都是相等的，完全自治，每個(gè)節(jié)點(diǎn)既是服務(wù)器、也是客戶端。P2P網(wǎng)絡(luò)具有耐攻擊、高容錯(cuò)等優(yōu)點(diǎn)。本文選用P2P網(wǎng)絡(luò)作為自組網(wǎng)絡(luò)的架構(gòu)，是由于P2P網(wǎng)絡(luò)采用了分布式的架構(gòu)，不依賴于少數(shù)集中控制節(jié)點(diǎn)，所以部分節(jié)點(diǎn)或網(wǎng)絡(luò)遭到破壞對(duì)其他部分的影響很小，一般在部分節(jié)點(diǎn)失效時(shí)能夠自動(dòng)調(diào)整整體拓?fù)?，保持其他?jié)點(diǎn)的連通性，具有比C/S網(wǎng)絡(luò)更好的健壯性和抗毀性。另外，P2P網(wǎng)絡(luò)中，信息的傳輸分散在各個(gè)節(jié)點(diǎn)之間進(jìn)行，無(wú)需經(jīng)過(guò)某個(gè)集中環(huán)節(jié)，從而大大提高了匿名通信的靈活性和可靠性，使得傳輸?shù)臄?shù)據(jù)被竊聽(tīng)及泄露的可能性大大縮小。

3.3 針對(duì)數(shù)據(jù)特征的混淆算法

分析消息數(shù)據(jù)的時(shí)間特征、流量特征和數(shù)據(jù)特征是溯源追蹤的主要手段，是對(duì)平臺(tái)威脅較大的一種攻擊方式。針對(duì)該方式，可采用相應(yīng)的混淆算法用于偽裝時(shí)間特征、流量特征和數(shù)據(jù)特征，增加溯源分析的難度。

4 預(yù)期效果

選用NDIS中間層驅(qū)動(dòng)來(lái)實(shí)現(xiàn)自組網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)發(fā)，方便了對(duì)數(shù)據(jù)包進(jìn)行重新封包、加密、網(wǎng)絡(luò)地址轉(zhuǎn)換等操作，并有效躲避了防火墻等應(yīng)用軟件的檢測(cè)；P2P網(wǎng)絡(luò)的運(yùn)用，大大提高了匿名通信的靈活性和可靠性，使得傳輸?shù)臄?shù)據(jù)被竊聽(tīng)及泄露的可能性大大縮??；針對(duì)時(shí)間特征、流量特征和數(shù)據(jù)特征所采用的混淆算法，增加了溯源分析的難度。上述3種技術(shù)相融合，構(gòu)筑有效抵御外界追蹤溯源的自組網(wǎng)絡(luò)，可確保網(wǎng)絡(luò)及信息的安全性和可靠性。

摘要：隨著計(jì)算機(jī)網(wǎng)絡(luò)信息安全問(wèn)題的日益突出，構(gòu)筑反溯源網(wǎng)絡(luò)具有重要意義。將NDIS中間層驅(qū)動(dòng)技術(shù)、P2P隱蔽攻擊網(wǎng)絡(luò)及基于數(shù)據(jù)特征的混淆算法3種技術(shù)相融合，構(gòu)筑反溯源網(wǎng)絡(luò)，可有效降低被外界追蹤溯源的可能性，確保網(wǎng)絡(luò)及信息的安全性和可靠性。

關(guān)鍵詞：反溯源；NDIS；P2P網(wǎng)絡(luò)；混淆算法

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-1161（2014）01-0050-02

計(jì)算機(jī)的誕生及網(wǎng)絡(luò)技術(shù)的發(fā)展改變了人們傳統(tǒng)的生活方式。人們?cè)诰W(wǎng)絡(luò)中嘗試著各種應(yīng)用所帶來(lái)的便利，但卻忽略了網(wǎng)絡(luò)信息安全。隨著各種溯源技術(shù)的發(fā)展和廣泛應(yīng)用，躲在屏幕后面的黑客正熟練地運(yùn)用各種手段及工具，對(duì)各種有價(jià)值的人和信息進(jìn)行肆無(wú)忌憚的溯源跟蹤，人們?cè)诨ヂ?lián)網(wǎng)中的行為變得透明，網(wǎng)絡(luò)和信息安全已經(jīng)受到了嚴(yán)峻考驗(yàn)。為此，構(gòu)筑反溯源網(wǎng)絡(luò)以確保網(wǎng)絡(luò)及信息安全顯得尤為重要。

1 國(guó)內(nèi)外反溯源研究現(xiàn)狀

1.1 匿名通信系統(tǒng)技術(shù)

匿名通信系統(tǒng)技術(shù)是一種隱藏通信發(fā)送者及接受者IP地址、物理位置等實(shí)體信息和雙方通信關(guān)系的通信系統(tǒng)，它令竊聽(tīng)者無(wú)法直接獲知或推知通信雙方的通信關(guān)系或通信的某一方信息，從而更好地保護(hù)網(wǎng)絡(luò)用戶的通信隱私。當(dāng)前關(guān)于匿名通信系統(tǒng)技術(shù)的研究主要在于提高匿名性能，許多原型系統(tǒng)借助于多個(gè)代理的重路由技術(shù)、填充包技術(shù)和加密技術(shù)來(lái)達(dá)到匿名發(fā)送或匿名接收的目的。而當(dāng)匿名系統(tǒng)真正要被應(yīng)用于現(xiàn)實(shí)網(wǎng)絡(luò)中時(shí)，系統(tǒng)管理方式和管理代價(jià)會(huì)直接影響到系統(tǒng)的可擴(kuò)展性。目前的許多匿名原型系統(tǒng)采用集中式管理機(jī)制，不能承受大量用戶的存在，無(wú)法應(yīng)用于大規(guī)模的網(wǎng)絡(luò)環(huán)境中。

1.2 跳板機(jī)網(wǎng)絡(luò)

所謂跳板機(jī)就是一臺(tái)普通的聯(lián)網(wǎng)服務(wù)器，入侵者在對(duì)目標(biāo)進(jìn)行入侵的過(guò)程中，首先要在自己的PC上遠(yuǎn)程登錄該跳板機(jī)，然后通過(guò)遠(yuǎn)程桌面操作該跳板機(jī)對(duì)目標(biāo)進(jìn)行入侵或攻擊，從而實(shí)現(xiàn)了自身的隱藏。跳板網(wǎng)絡(luò)中的節(jié)點(diǎn)均為被控主機(jī)，在路徑選擇和配置上比VPN和協(xié)議代理更加靈活，但由于被控節(jié)點(diǎn)性能參差不齊，個(gè)別節(jié)點(diǎn)的穩(wěn)定性較差，一旦路徑中某個(gè)轉(zhuǎn)發(fā)節(jié)點(diǎn)失效，整條路徑將無(wú)法繼續(xù)正常工作，從而導(dǎo)致目標(biāo)數(shù)據(jù)傳輸?shù)氖?。此外，現(xiàn)在很多防火墻或IDS都有追溯的功能，理論上，對(duì)于在三跳以內(nèi)的跳板網(wǎng)絡(luò)，可以通過(guò)代理跳板主機(jī)找到源主機(jī)。

1.3 VPN代理技術(shù)

VPN代理是在VPN（虛擬專用網(wǎng)絡(luò)）的基礎(chǔ)上衍生出來(lái)的提高網(wǎng)絡(luò)訪問(wèn)速度和安全性的技術(shù)，現(xiàn)在其已成為一種反溯源的重要手段。利用VPN的特殊加密通信協(xié)議在因特網(wǎng)位于不同地方的兩個(gè)結(jié)點(diǎn)間臨時(shí)建立一條穿過(guò)混亂公用網(wǎng)絡(luò)的安全穩(wěn)定的專用隧道。比起真實(shí)地建立一條物理鏈路，VPN在經(jīng)濟(jì)性上表現(xiàn)得非常好，但是所有的安全與穩(wěn)定都取決于VPN代理服務(wù)商，所以VPN的安全與穩(wěn)定系數(shù)并不高。目前也有將VPN代理技術(shù)及跳板機(jī)網(wǎng)絡(luò)相組合來(lái)構(gòu)筑反溯源網(wǎng)絡(luò)，但是由于兩種技術(shù)均有各自的缺陷，效果并不理想。

2 反溯源網(wǎng)絡(luò)的總體設(shè)計(jì)方案

用若干臺(tái)PC作為代理節(jié)點(diǎn)構(gòu)成一個(gè)P2P的隱蔽網(wǎng)絡(luò)（如圖1所示），確保每個(gè)代理節(jié)點(diǎn)在此網(wǎng)絡(luò)中地位相等，完全自治；攻擊源點(diǎn)與代理節(jié)點(diǎn)之間、代理節(jié)點(diǎn)相互之間均采用基于NDIS中間層驅(qū)動(dòng)協(xié)議進(jìn)行數(shù)據(jù)傳輸，有效實(shí)現(xiàn)數(shù)據(jù)的隱蔽轉(zhuǎn)發(fā)；每一次攻擊所選擇的路由為隨機(jī)路由，增加被溯源追蹤的難度；數(shù)據(jù)在傳輸過(guò)程中采用混淆算法進(jìn)行加密，增加溯源人員通過(guò)數(shù)據(jù)流量分析進(jìn)行溯源的難度。

3 反溯源網(wǎng)絡(luò)涉及的主要技術(shù)

3.1 NDIS中間層驅(qū)動(dòng)技術(shù)

NDIS是微軟和其他廠商聯(lián)合制定的，在Windows平臺(tái)下開(kāi)發(fā)網(wǎng)卡驅(qū)動(dòng)程序和網(wǎng)絡(luò)協(xié)議驅(qū)動(dòng)程序必須遵守的設(shè)計(jì)框架。NDIS提供了3個(gè)層次的接口：網(wǎng)絡(luò)接口卡驅(qū)動(dòng)程序、中間層驅(qū)動(dòng)程序和協(xié)議驅(qū)動(dòng)程序。中間層驅(qū)動(dòng)程序在協(xié)議驅(qū)動(dòng)程序和微端口驅(qū)動(dòng)程序之間扮演一個(gè)“中間人”的角色。選用NDIS中間層驅(qū)動(dòng)來(lái)實(shí)現(xiàn)自組網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)發(fā)，可以有效地實(shí)現(xiàn)數(shù)據(jù)的隱蔽轉(zhuǎn)發(fā)，這是因?yàn)槔肗DIS中間驅(qū)動(dòng)程序可以在網(wǎng)卡驅(qū)動(dòng)程序和傳輸驅(qū)動(dòng)程序之間插入一個(gè)中間層，用來(lái)截獲網(wǎng)絡(luò)封包，并方便地對(duì)數(shù)據(jù)包進(jìn)行重新封包、加密、網(wǎng)絡(luò)地址轉(zhuǎn)換等操作。同時(shí)，在利用NDIS中間層驅(qū)動(dòng)進(jìn)行截包和發(fā)送數(shù)據(jù)時(shí)，由于代理處于系統(tǒng)底層，網(wǎng)卡接收的數(shù)據(jù)在向操作系統(tǒng)上層傳遞之前已經(jīng)被攔截，高于NDIS中間層的防火墻等應(yīng)用軟件無(wú)法接觸到目標(biāo)數(shù)據(jù)。因此，節(jié)點(diǎn)中的代理在傳輸數(shù)據(jù)時(shí)能夠有效躲避上述軟件的檢測(cè)。

3.2 P2P隱蔽網(wǎng)絡(luò)的構(gòu)架

P2P網(wǎng)絡(luò)即Peer-to-peer，是一種分布式網(wǎng)絡(luò)，也稱對(duì)等網(wǎng)絡(luò)。它打破了傳統(tǒng)的C/S模式，在網(wǎng)絡(luò)中的每個(gè)節(jié)點(diǎn)地位都是相等的，完全自治，每個(gè)節(jié)點(diǎn)既是服務(wù)器、也是客戶端。P2P網(wǎng)絡(luò)具有耐攻擊、高容錯(cuò)等優(yōu)點(diǎn)。本文選用P2P網(wǎng)絡(luò)作為自組網(wǎng)絡(luò)的架構(gòu)，是由于P2P網(wǎng)絡(luò)采用了分布式的架構(gòu)，不依賴于少數(shù)集中控制節(jié)點(diǎn)，所以部分節(jié)點(diǎn)或網(wǎng)絡(luò)遭到破壞對(duì)其他部分的影響很小，一般在部分節(jié)點(diǎn)失效時(shí)能夠自動(dòng)調(diào)整整體拓?fù)?，保持其他?jié)點(diǎn)的連通性，具有比C/S網(wǎng)絡(luò)更好的健壯性和抗毀性。另外，P2P網(wǎng)絡(luò)中，信息的傳輸分散在各個(gè)節(jié)點(diǎn)之間進(jìn)行，無(wú)需經(jīng)過(guò)某個(gè)集中環(huán)節(jié)，從而大大提高了匿名通信的靈活性和可靠性，使得傳輸?shù)臄?shù)據(jù)被竊聽(tīng)及泄露的可能性大大縮小。

3.3 針對(duì)數(shù)據(jù)特征的混淆算法

分析消息數(shù)據(jù)的時(shí)間特征、流量特征和數(shù)據(jù)特征是溯源追蹤的主要手段，是對(duì)平臺(tái)威脅較大的一種攻擊方式。針對(duì)該方式，可采用相應(yīng)的混淆算法用于偽裝時(shí)間特征、流量特征和數(shù)據(jù)特征，增加溯源分析的難度。

4 預(yù)期效果

選用NDIS中間層驅(qū)動(dòng)來(lái)實(shí)現(xiàn)自組網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)發(fā)，方便了對(duì)數(shù)據(jù)包進(jìn)行重新封包、加密、網(wǎng)絡(luò)地址轉(zhuǎn)換等操作，并有效躲避了防火墻等應(yīng)用軟件的檢測(cè)；P2P網(wǎng)絡(luò)的運(yùn)用，大大提高了匿名通信的靈活性和可靠性，使得傳輸?shù)臄?shù)據(jù)被竊聽(tīng)及泄露的可能性大大縮?。会槍?duì)時(shí)間特征、流量特征和數(shù)據(jù)特征所采用的混淆算法，增加了溯源分析的難度。上述3種技術(shù)相融合，構(gòu)筑有效抵御外界追蹤溯源的自組網(wǎng)絡(luò)，可確保網(wǎng)絡(luò)及信息的安全性和可靠性。