(word完整版)網(wǎng)絡(luò)攻擊溯源技術(shù)概述_第1頁(yè)
(word完整版)網(wǎng)絡(luò)攻擊溯源技術(shù)概述_第2頁(yè)
(word完整版)網(wǎng)絡(luò)攻擊溯源技術(shù)概述_第3頁(yè)
(word完整版)網(wǎng)絡(luò)攻擊溯源技術(shù)概述_第4頁(yè)
(word完整版)網(wǎng)絡(luò)攻擊溯源技術(shù)概述_第5頁(yè)
已閱讀5頁(yè),還剩2頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

(word(word完整版)網(wǎng)絡(luò)攻擊溯源技術(shù)概述(word(word完整版)網(wǎng)絡(luò)攻擊溯源技術(shù)概述引言隨著互聯(lián)網(wǎng)覆蓋面的不斷擴(kuò)大,網(wǎng)絡(luò)安全的重要性不斷增加。面對(duì)層出不窮的新型網(wǎng)絡(luò)入侵技術(shù)和頻率越來(lái)越高的網(wǎng)絡(luò)入侵行為,對(duì)高級(jí)IDS(intrusiondetectionsystem)的需求日益迫切。從20世紀(jì)70年代開(kāi)始了網(wǎng)絡(luò)攻擊防護(hù)措施的最初研究,本文首先分析了網(wǎng)絡(luò)溯源面臨的問(wèn)題,然后述了溯源的分類(lèi)和應(yīng)用場(chǎng)景,最后介紹了多種溯源技術(shù)的優(yōu)點(diǎn).計(jì)算機(jī)網(wǎng)絡(luò)是計(jì)算機(jī)技術(shù)和通信技術(shù)發(fā)展到一定程度相結(jié)合的產(chǎn)物,Internet的出現(xiàn)更是將網(wǎng)絡(luò)技術(shù)和人類(lèi)社會(huì)生活予以緊密的結(jié)合。隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,越來(lái)越多的傳統(tǒng)運(yùn)作方式正在被低耗、開(kāi)放、高效的分布式網(wǎng)絡(luò)應(yīng)用所替代,網(wǎng)絡(luò)已經(jīng)成為人們?nèi)粘I钪胁豢扇鄙俚囊徊糠?。但是,隨之而來(lái)基于網(wǎng)絡(luò)的計(jì)算機(jī)攻擊也愈演愈烈,尤其是DDoS攻擊,攻擊者利用網(wǎng)絡(luò)的快速和廣泛的互聯(lián)性,使傳統(tǒng)意義上的安全措施基本喪失作用,嚴(yán)重威脅著社會(huì)和國(guó)家的安全;而且網(wǎng)絡(luò)攻擊者大都使用偽造的IP地址,使被攻擊者很難確定攻擊源的位置,從而不能實(shí)施有針對(duì)性地防護(hù)策略。這些都使得逆向追蹤攻擊源的追蹤技術(shù)成為網(wǎng)絡(luò)主動(dòng)防御體系中的重要一環(huán),它對(duì)于最小化攻擊的當(dāng)前效果、威懾潛在的網(wǎng)絡(luò)攻擊都有著至關(guān)重要的作用。近年來(lái)互聯(lián)網(wǎng)飛速發(fā)展,截至2011年6月底,中國(guó)網(wǎng)民數(shù)量達(dá)到2.53億,網(wǎng)民規(guī)模躍居世界第一位,普及率達(dá)19。1%,全球普及率已經(jīng)達(dá)到21.1%。互聯(lián)網(wǎng)已經(jīng)擁有足夠龐大的用戶(hù)基礎(chǔ),網(wǎng)上有游戲、聊天、論壇、郵件、商場(chǎng)、新聞等不同的應(yīng)用和服務(wù),現(xiàn)實(shí)生活中存在的現(xiàn)象、業(yè)務(wù)、社會(huì)關(guān)系以及服務(wù)在網(wǎng)絡(luò)上都有不同程度的體現(xiàn),互聯(lián)網(wǎng)已經(jīng)成為名副其實(shí)的虛擬社會(huì)?,F(xiàn)實(shí)生活中除了存在道德約束以外,還有法律威懾-——違法犯罪活動(dòng)會(huì)被追查,犯罪活動(dòng)實(shí)施者為此可能付出很大的代價(jià)甚至人身自由。而與現(xiàn)實(shí)生活不同的是在網(wǎng)絡(luò)虛擬社會(huì)中似乎只有類(lèi)似道德約束的用戶(hù)自律,卻沒(méi)有法律威懾。網(wǎng)絡(luò)上大量存在DDoS攻擊、木馬、蠕蟲(chóng)、僵尸網(wǎng)絡(luò)、非授權(quán)訪(fǎng)問(wèn)、發(fā)送垃圾郵件等惡意行為,但是由于網(wǎng)絡(luò)匿名傳統(tǒng)以及溯源能力的缺失,上述惡意行為即使涉及現(xiàn)實(shí)生活的違法犯罪,也很難有效取證和追查,網(wǎng)絡(luò)犯罪實(shí)施者因此有恃無(wú)恐,更加猖獗。近年來(lái),隨著社會(huì)生活越來(lái)越依賴(lài)互聯(lián)網(wǎng),互聯(lián)網(wǎng)安全問(wèn)題已經(jīng)在抑制網(wǎng)絡(luò)健康有序發(fā)展,互聯(lián)網(wǎng)亟需建設(shè)溯源能力。關(guān)鍵字:溯源互聯(lián)網(wǎng)數(shù)據(jù)技術(shù)(word(word完整版)網(wǎng)絡(luò)攻擊溯源技術(shù)概述目錄TOC\o"1-5"\h\z溯源問(wèn)題分析3網(wǎng)絡(luò)溯源面臨的問(wèn)題4溯源的分類(lèi)與應(yīng)用場(chǎng)景6一、分類(lèi)6二、網(wǎng)絡(luò)溯源應(yīng)用場(chǎng)景8現(xiàn)有技術(shù)9一、分組標(biāo)記溯源法9?節(jié)點(diǎn)取樣技術(shù)9?非IP地址標(biāo)記技術(shù)10二、發(fā)送特定ICMP溯源法10?意圖驅(qū)動(dòng)的ICMP溯源技術(shù)10?帶累積路徑的ICMP溯源技術(shù)10三、日志記錄溯源11四、受控洪泛溯源法11五、鏈路測(cè)試溯源法11六、其他溯源法12結(jié)束語(yǔ)12溯源問(wèn)題分析溯源通常是指尋找網(wǎng)絡(luò)事件發(fā)起者相關(guān)信息,通常用在網(wǎng)絡(luò)攻擊時(shí)對(duì)攻擊者的查找.溯源(word完整版)網(wǎng)絡(luò)攻擊溯源技術(shù)概述相關(guān)的事件可以是應(yīng)用層事件應(yīng)用層溯源,即查找業(yè)務(wù)的使用者,例如查找垃圾郵件的發(fā)送者),也可以是網(wǎng)絡(luò)層事件(網(wǎng)絡(luò)層溯源,即查找特定IP報(bào)的發(fā)送者,例如“pingofdeath”發(fā)起者等).在一些情況下,將應(yīng)用層ID映射到IP地址后可以將應(yīng)用層溯源轉(zhuǎn)化為網(wǎng)絡(luò)層溯源。事件發(fā)起者相關(guān)信息可以是用戶(hù)的注冊(cè)信息、發(fā)起者使用設(shè)備的接入、發(fā)起者主機(jī)相關(guān)信息等。多數(shù)傳統(tǒng)電信網(wǎng)基于連接開(kāi)展業(yè)務(wù),且通常是對(duì)主叫計(jì)費(fèi),因此傳統(tǒng)電信網(wǎng)從設(shè)計(jì)之初就具備溯源能力。通常網(wǎng)絡(luò)設(shè)備會(huì)檢查或者改寫(xiě)終端相關(guān)的源地址/主叫號(hào)碼,因此無(wú)論是電話(huà)業(yè)務(wù)還是幀中繼、ATM等分組數(shù)據(jù)業(yè)務(wù)都具備溯源能力:源地址/主叫號(hào)碼都是確保真實(shí)的,運(yùn)營(yíng)商可以確認(rèn)源地址/主叫號(hào)相關(guān)的終端接入點(diǎn)和所在大致位置。當(dāng)然,隨著當(dāng)前網(wǎng)絡(luò)IP化的進(jìn)展,受IP網(wǎng)能力的制約,傳統(tǒng)電信網(wǎng)在溯源方面也出現(xiàn)了漏洞,例如存在虛假主叫號(hào)碼等現(xiàn)象。計(jì)算機(jī)網(wǎng)絡(luò)追蹤溯源技術(shù)指的是通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)定位攻擊源地址的技術(shù),它涉及到的機(jī)器包括攻擊者、被攻擊者、跳板、僵尸機(jī)、反射器等.其攻擊模型如圖1所示。圖1網(wǎng)絡(luò)攻擊模型攻擊者(ARackerHost)指發(fā)起攻擊的真正起點(diǎn),也是追蹤溯源希望發(fā)現(xiàn)的目標(biāo)。被攻擊者(VictimHost)指受到攻擊的主機(jī),也是攻擊源追蹤的起點(diǎn)。跳板機(jī)(SteppingStone)指已經(jīng)被攻擊者危及,并作為其通信管道和隱藏身份的主機(jī).僵尸機(jī)(Zombie)指已經(jīng)被攻擊者危及,并被其用作發(fā)起攻擊的主機(jī)。反射器(Reflector)指未被攻擊者危及,但在不知情的情況下參與了攻擊。網(wǎng)絡(luò)溯源面臨的問(wèn)題由于當(dāng)前的TCP/IP協(xié)議對(duì)IP包的源地址沒(méi)有驗(yàn)證機(jī)制以及Internet基礎(chǔ)設(shè)施的無(wú)狀態(tài)性,使得想要追蹤數(shù)據(jù)包的真實(shí)起點(diǎn)已不容易,而要查找那些通過(guò)多個(gè)跳板或反射器等實(shí)施攻擊的真實(shí)源地址就更加困難.目前,網(wǎng)絡(luò)溯源面臨的問(wèn)題主要有以下幾個(gè):一、IP網(wǎng)絡(luò)設(shè)計(jì)存在缺陷,缺乏源地址檢驗(yàn)?zāi)芰P網(wǎng)絡(luò)是基于連接發(fā)送數(shù)據(jù),每個(gè)IP分組上都有源地址和目的地址息,IP網(wǎng)絡(luò)為把每個(gè)分組傳遞到目的地,必須在每個(gè)路由器上取目的地址,對(duì)照路由表后將分組從合適的端口發(fā)送出去.以在距離用戶(hù)最近的網(wǎng)絡(luò)設(shè)備上檢查用戶(hù)的源地址,確保用戶(hù)不假冒網(wǎng)段之外的源地址發(fā)送信息。如果網(wǎng)段劃分足夠小,網(wǎng)段內(nèi)有網(wǎng)絡(luò)設(shè)備和一個(gè)用戶(hù)時(shí),就不會(huì)出現(xiàn)虛假源地址現(xiàn)象。此外,可以在中間路由器做粗略的檢查,將源地址明顯是虛假的分組例如當(dāng)A分組的源地址不存在于路由表的時(shí)候,A分組源地址是的)丟棄。上述檢查就是uRPF技術(shù).但是uRPF技術(shù)沒(méi)有在最的互聯(lián)網(wǎng)上大規(guī)模實(shí)現(xiàn),因?yàn)椋阂环矫孀畛醯穆酚善饔?jì)算能力有,很難完成轉(zhuǎn)發(fā)以外的額外檢查工作;另一方面使用虛假源地址后一般只能實(shí)現(xiàn)單向通信(對(duì)方返回的分組將被發(fā)送到被偽冒的設(shè)備),虛假源地址發(fā)送數(shù)據(jù)只能用于單向控制或者攻擊,在最初自律的互聯(lián)網(wǎng)上較少出現(xiàn)。等到互聯(lián)網(wǎng)規(guī)模巨大,安全問(wèn)題凸顯后,即使局部網(wǎng)絡(luò)升級(jí)支持uRPF,也不能有效緩解虛假源地址現(xiàn)象,因此當(dāng)前互聯(lián)網(wǎng)缺乏源地址驗(yàn)證能力。二、網(wǎng)絡(luò)中存在大量的NAT設(shè)備和代理設(shè)備由于互聯(lián)網(wǎng)Pv4地址缺匱以及部分安全原因,因此我國(guó)互聯(lián)網(wǎng)大量使用NAT設(shè)備。此外,互聯(lián)網(wǎng)上還有很多志愿者提供代理設(shè)備。網(wǎng)絡(luò)上IP分組過(guò)NAT設(shè)備或者代理服務(wù)器后會(huì)將源地址改寫(xiě)成NAT設(shè)備或者代理服務(wù)器所擁有的地址,這樣IP分組源地址就不是原始分組發(fā)送者真正的地址。此外,NAT設(shè)備或者代理設(shè)備上特定源地址可能同時(shí)為不同的用戶(hù)服務(wù)。如果不在NAT設(shè)備或者代理服務(wù)器設(shè)備上作例如日志等要求,就不可能找到分組真正的來(lái)源。如果存在多重代理或者多重NAT時(shí),情況更復(fù)雜,如果多個(gè)NAT/代理不屬于一個(gè)管理主體,例如其中一個(gè)NAT/代理位于國(guó)外或者沒(méi)有記錄日志,網(wǎng)絡(luò)溯源將成為不可能完成的任務(wù)。三、實(shí)施犯罪活動(dòng)的設(shè)備往往是無(wú)辜者當(dāng)前互聯(lián)網(wǎng)用戶(hù)眾多,絕大多數(shù)用戶(hù)是缺少安全經(jīng)驗(yàn)和安全意識(shí)的普通用戶(hù)。惡意行為發(fā)起者很容易通過(guò)控制一些“肉雞”(被利用的無(wú)辜者的計(jì)算(word完整版)網(wǎng)絡(luò)攻擊溯源技術(shù)概述機(jī)),作為惡意行為的跳板?需要溯源的IP分組或者網(wǎng)絡(luò)行為對(duì)應(yīng)的IP源地址是無(wú)辜者的地址。這種情況下網(wǎng)絡(luò)溯源可以成功,但是找到的是無(wú)辜者,無(wú)法達(dá)到溯源的真正目的。四、溯源能力部署與互聯(lián)網(wǎng)文化、隱私保護(hù)難以協(xié)調(diào)網(wǎng)絡(luò)溯源原意是針對(duì)網(wǎng)絡(luò)犯罪,查找惡意行為發(fā)起者?但是技術(shù)只是工具,既然能查找惡意行為的發(fā)布者,當(dāng)然也能查找一般行為的發(fā)起者。如果出現(xiàn)濫用溯源系統(tǒng)的話(huà),網(wǎng)絡(luò)上隱私很難保障。網(wǎng)絡(luò)行為可以溯源,這與互聯(lián)網(wǎng)文化似乎相悖,因?yàn)榛ヂ?lián)網(wǎng)長(zhǎng)久以來(lái)一直堅(jiān)持匿名的傳統(tǒng),一般認(rèn)為寬松的互聯(lián)網(wǎng)文化是導(dǎo)致互聯(lián)網(wǎng)快速發(fā)展和巨大成功的基礎(chǔ).因此,部署溯源能力會(huì)引發(fā)有?;ヂ?lián)網(wǎng)文化和阻礙互聯(lián)網(wǎng)發(fā)展的擔(dān)憂(yōu).溯源的分類(lèi)與應(yīng)用場(chǎng)景一、分類(lèi)按照溯源的時(shí)間,可以將溯源分成實(shí)時(shí)溯源以及事后溯源。實(shí)時(shí)溯源是指在網(wǎng)絡(luò)行為發(fā)生過(guò)程中,尋找事件的發(fā)起者.事后溯源是指網(wǎng)絡(luò)行為發(fā)生以后,依據(jù)相關(guān)設(shè)備上的日志信息查找事件的發(fā)起者.按照溯源實(shí)現(xiàn)的位置,可以將溯源分成基于終端溯源以及基于網(wǎng)絡(luò)設(shè)施溯源。基于終端溯源通常是指溯源行為的主要工作是在通信參與者的網(wǎng)絡(luò)終端上實(shí)施。基于網(wǎng)絡(luò)設(shè)施的溯源通常是指溯源行為主要工作是在網(wǎng)絡(luò)設(shè)備上實(shí)施.如圖2所示.按照溯源發(fā)起者

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論