淺談網絡攻擊源追蹤技術的分類及展望

趙慧博（武警吉林省隊直屬支隊網管中心，吉林長春，130062）

?

淺談網絡攻擊源追蹤技術的分類及展望

趙慧博
（武警吉林省隊直屬支隊網管中心，吉林長春，130062）

摘要：本文主要將網絡攻擊源追蹤多種不同技術進行了歸納，并分析了各種不同網絡攻擊源追蹤技術的優點和缺點，對網絡攻擊源追蹤的未來研究方向進行了探討，對網絡攻擊源追蹤技術相關問題提供解決辦法。

關鍵詞：網絡攻擊源追蹤技術；系統分類；計算機網絡安全；IP源追蹤

1 IP源追蹤技術

IP源追蹤技術大致上可以分為兩類，即反應式追蹤、主動式追蹤。其中反應式追蹤則是對攻擊進行檢測，之后才開始對攻擊源過程進行追蹤的一種追蹤技術。主動式追蹤則是同時實時監測數據包轉發，當法神攻擊時，可以根據實時監測的結果，重新構建攻擊路徑。

只能在攻擊流保持活動時，反應式追蹤才能對攻擊流進行追蹤，如果攻擊流結束，就無法對IP源進行確定，所以反應式追蹤這類追蹤技術，通常適用于實時阻斷時使用，對于事后卻無法起到分析作用，主要有控制洪流、輸入調試兩種典型的方法。其中輸入調試，則是利用路由器，該路由器并且具有帶輸入調試功能，當發生攻擊之后逐跳，對攻擊特征包的路徑、路由入口進行確定，通過反復使用，從而對攻擊包發送的真實IP進行確定。在IP源追蹤時，輸入調試方法是最容易想到的一種方法，但是采用該方法，要求應用于追蹤路徑上的路由器，全部必須具有輸入調試能力，并且需要手工來進行干預，與互聯網服務提供商，即ISP具有依賴性，與ISP服務商高度合作，追蹤速度就會顯得比較慢。另外一種典型的方法，即控制洪流，當發生攻擊時，首先采用已有的因特網拓撲圖，對距離受害者最近路由的鏈路進行選擇洪流攻擊。對自攻擊者的包的變化進行觀察，通過觀察之后確定攻擊數據包到底是來自哪條鏈路，采用同樣的方法對其他每一條鏈路進行洪流控制?？刂坪榱鬟@種典型的方法，經過研究是非常有效的。自身就是屬于一種DOS攻擊，需要與因特網拓撲圖、上游主機進行高度合作。

主動式追蹤，是一種既可用于事后分析，又可以對攻擊的實時阻斷。其中包標記法修改IP協議，當數據包通過路由時，以一定概率的路由器把路由信息標記在數據包的IP包頭的identification字段當中，當收到足夠多的包之后，受害者就可以根據包頭的信息，重新構建攻擊路徑。這種方法不會產生額外的流量，也不會被安全策略堵塞，被防火墻阻止，只使用IP包本身的信息。而且需要與來自ISP服務商進行高度合作，這種方法無法適用于分段的IP包、IP通訊加密等等。并且通過相關研究表明，由于包標記方法，在多個包中存儲路由信息數據，利用近似生日組的概念，使得攻擊組散播錯誤的信息。目前而言，包標記法有不同分類，最基本的也是最常用的即是指PPM方法。PPM方法的最大優點在于，容易實現，但是該方法有著較高的虛警率，需要很大的計算量，對DDOS的供給是沒有任何作用的。并且有較差的魯棒性。通過改進的標記方案，改進和認證PPM方法，促進了精確度、魯棒性的提高，而且計算量也有所降低。將IP源追蹤技術問題，通過代數方法轉化為多項式重構問題，對假冒的IP數據包的真實源點，通過利用代數編碼理論得以恢復。與PPM方法的最大的區別在于不是采用HASH函數作為效驗器，而且利用Hornet規則迭代地算數編碼邊信息作為效驗器。

路由記錄法，對一種特殊的路由器進行利用，摘要近期所轉發的IP包保存包，根據所受到的攻擊數據包的摘要以及路由器中保存的摘要，受害者可以重新進行構建攻擊路徑，路由記錄方法的典型是源路徑隔離引擎，即SPIE。這種方法最大的優點在于就是能夠準確的反向跟蹤單個數據包，漏警率為零。并且互操作性也非常的好。這種方法最大的缺點在于，需要與ISP服務商進行合作，對高速路由器存儲具有非常高的要求，并且還會對路由器的CPU產生消耗作用，對路由器的流量轉發性能有著嚴重的影響。

ICMP消息方法，引入了一種新的iTrace消息，這一消息當中，主要包含了消息發送的路由器IP地址，還有誘發該消息的數據包的相關信息，路由器如果加載了跟蹤機制，對假冒的IP源的數據包能夠幫助進行識別。但是這種方法會產生大量額外負載，對網絡性能有著很大的影響，并且容易被網絡安全策略堵塞，遠端路由器的ICMP非常有限。目的驅動的iTrace方法，需要引入一個“目的位”在數據包轉發表、路由表當中，對某個特殊的目標是否需要iTrace跟蹤信息進行決定，這種方法能夠對iTrace信息進行精簡，能夠促進系統性能的提升，幾乎不需要改變路由選擇結構，其最大的缺點在于，由于路由表被頻繁的更新，會使得路由選擇機制產生不穩定性，甚者還會改變BGP協議。

2 跨越挑板的追蹤技術

能夠找到IP源數據包發送的真實地址的IP源追蹤技術，但是卻不一定能夠找到攻擊者，而且還是對攻擊事件負責的攻擊者。因為在實施攻擊的過程當中，大多數的攻擊者，會利用“跳板”，所以IP源追蹤技術對這類攻擊來說，只是開始的第一步而已。如果要想找到真正的攻擊源，就必須要采用跨越跳板的追蹤技術。按照追蹤的不同信息源，跨越跳板的追蹤技術可以分為基于網絡技術、基于主機的技術；如果是按照追蹤的方法不同而言，則可以分為主動式方法、反應式方法兩種。其中主動式方法經進行監控，對所有通信量進行比較。則反應式方法則是對攻擊后，通過定制的進程動態的控制進行懷疑，通信量何地何時與哪些信息相關聯，以及如何關聯。

較為早期的一些入侵檢測系統， 比如CIS、DOS等，都具有攻擊源追蹤功能?；谥鳈C的追蹤方法，對連接鏈上的每一臺主機都有依賴性，如果每個主機都被控制了，并且關聯信息的提供發生了錯誤，則會誤導整個追蹤系統，因此，配置在因特網中的基于主機的追蹤系統是有一定難度的。

基于網絡的追蹤，則是根據網絡連接屬性，被監控主機不要求全部參與。利用少量信息總結連接的指紋技術，是最早的關聯技術，對時鐘同步匹配對應時間間隔的連接指紋有依賴性，而且無法改變重傳的情況，這些都會對實時追蹤的有效性產生嚴重的影響。基于時間的方案，不是基于連接的內容而是基于交互通信中的時間特點，能夠應用于加密的連接。與基于偏差的方法比較類似。采用兩個TCP連接序列號的最小平均差，對兩個連接是否關聯進行確定，偏差考慮了TCP序列號、時間特征?；跁r間的方案、偏差的方法，對時鐘同步沒有要求，都適用于檢測交互式“跳板”。

主動式方法需要對所有的通信數據進行預先保存，基于網絡的反應式方法，對包處理能夠定制，對連接以及如何關聯進行動態控制，因此所需要的資源比被動方更少。主要有隔離協議、入侵識別、休眠水印追蹤、隔離協議是一種應用層協議，通過交換入侵檢測信息，邊界控制器與攻擊描述相結合，共同組織入侵者，并進行定位，休眠水印追蹤，利用水印技術跨越跳板，當入侵被檢測時，不會引起額外的開銷，在入侵后的每個鏈接中，注入水印，喚醒入侵路徑中間路由合作。

3 展望

第一，評估指標體系的建立，比較當前優勢和缺點，對現有算法進行完善。第二，網絡攻擊源追蹤的理論模型的建立，第三，綜合考慮數據加密、IPV6、移動性等問題，當前網絡源追蹤方法，對這類問題沒有進行綜合考慮，對這些問題進行改進，提出可靠、簡單的追蹤方法，并進一步對其研究。解決網絡攻擊源追蹤問題，需要結合管理上的特點來進行，當還沒有研究出切實可用、高效簡單的追蹤算法時，結合安全管理，通過實名認證，綁定MAC、IP地址，消除匿名性的源地址，是一項值得研究的課題。

4 總結

綜上。本文分析了多種網絡攻擊源追蹤技術，并對其進行了系統了分類，比較了其中的優點和缺點，對研究方向進行了探討，希望未來能夠進一步研究，促進網絡攻擊源追蹤技術的良好發展。

參考文獻

［1］閆巧，吳建平，江勇.網絡攻擊源追蹤技術的分類和展望［J］.清華大學學報（自然科學版），2015，04：497-500.

［2］孫志磊.網絡攻擊源追蹤技術研究［D］.浙江工業大學，2012.

［3］張莉莉.MANET中基于穩定拓撲的DDoS攻擊源追蹤研究［D］.復旦大學，2012.

［4］張倩倩.反射型分布式拒絕服務攻擊中攻擊源追蹤的研究［D］.濟南大學，2012.

Discussion on the classification and Prospect of network attack source tracing technology

Zhao Huibo
（Jilin Armed Police Detachment directly under the provincial network management center，Changchun Jilin，130062）

Abstract：This paper mainly network attack source tracing a variety of technologies are summarized，and analysis the various network attack source tracing technology and their advantages and disadvantages，the network attack source trace back research directions in the future were also discussed， the tracing network attack source technology related questions provide a solution of.

Keywords：network attack source tracing technology； system classification； computer network security；IP source tracking