网络攻击溯源技术概述.docx

1、网络攻击溯源技术概述 网络攻击溯源技术概述 随着互联网覆盖面的不断扩大， 网络安全的重要性不断增加。面对层出不穷的新型网络入侵技术和频率越来越高的网络入侵行为，对高级IDS（intrusion detection system）的需求日益迫切。从20 世纪70 年代开始了网络攻击防护措施的最初研究，本文首先分析了网络溯源面临的问题，然后述了溯源的分类和应用场景，最后介绍了多种溯源技术的优点。引言 计算机网络是计算机技术和通信技术发展到一定程度相结合的产物，Intemet的出现更是将网络技术和人类社会生活予以紧密的结合。随着网络技术的飞速发展，越来越多的传统运作方式正在被低耗、开放、高效的分布式

2、网络应用所替代， 网络已经成为人们日常生活中不可缺少的一部分。但是，随之而来基于网络的计算机攻击也愈演愈烈，尤其是DDoS攻击 ，攻击者利用网络的快速和广泛的互联性，使传统意义上的安全措施基本丧失作用，严重威胁着社会和国家的安全；而且网络攻击者大都使用伪造的IP地址，使被攻击者很难确定攻击源的位置，从而不能实施有针对性地防护策略。这些都使得逆向追踪攻击源的追踪技术成为网络主动防御体系中的重要一环，它对于最小化攻击的当前效果、威慑潜在的网络攻击都有着至关重要的作用。 近年来互联网飞速发展，截至2011年6 月底，中国网民数量达到2.53 亿，网民规模跃居世界第一位，普及率达19.1%，全球普及率

3、已经达到21.1%。互联网已经拥有足够庞大的用户基础，网上有游戏、聊天、论坛、邮件、商场、新闻等不同的应用和服务，现实生活中存在的现象、业务、社会关系以及服务在网络上都有不同程度的体现，互联网已经成为名副其实的虚拟社会。现实生活中除了存在道德约束以外， 还有法律威慑违法犯罪活动会被追查，犯罪活动实施者为此可能付出很大的代价甚至人身自由。而与现实生活不同的是在网络虚拟社会中似乎只有类似道德约束的用户自律，却没有法律威慑。网络上大量存在DDoS 攻击、木马、蠕虫、僵尸网络、非授权访问、发送垃圾邮件等恶意行为，但是由于网络匿名传统以及溯源能力的缺失，上述恶意行为即使涉及现实生活的违法犯罪，也很难有效

4、取证和追查，网络犯罪实施者因此有恃无恐，更加猖獗。近年来，随着社会生活越来越依赖互联网，互联网安全问题已经在抑制网络健康有序发展，互联网亟需建设溯源能力。溯源问题分析 溯源通常是指寻找网络事件发起者相关信息，通常用在网络攻击时对攻击者的查找。溯源相关的事件可以是应用层事件应用层溯源，即查找业务的使用者，例如查找垃圾邮件的发送者），也可以是网络层事件（网络层溯源，即查找特定IP 报的发送者，例如“ping of death”发起者等）。在一些情况下，将应用层D 映射到IP 地址后可以将应用层溯源转化为网络层溯源。事件发起者相关信息可以是用户的注册信息、发起者使用设备的接入、发起者主机相关信息等。

5、多数传统电信网基于连接开展业务，且通常是对主叫计费，因此传统电信网从设计之初就具备溯源能。通常网络设备会检查或者改写终端相关的源地址/主叫号码，因此无论是电话业务还是帧中继、ATM 等分组数据业务都具备溯源能力：源地址/主叫号码都是确保真实的，运营商可以确认源地址/主叫号相关的终端接入点和所在大致位置。当然， 随着当前网络IP 化的进展， 受IP 网能力的制约，传统电信网在溯源方面也出现了漏洞，例如存在虚假主叫号码等现象。计算机网络追踪溯源技术指的是通过计算机网络定位攻击源地址的技术， 它涉及到的机器包括攻击者、被攻击者、跳板、僵尸机、反射器等。其攻击模型如图1所示。图1网络攻击模型攻击者(A

6、Racker Host)指发起攻击的真正起点，也是追踪溯源希望发现的目标。被攻击者(Victim Host)指受到攻击的主机，也是攻击源追踪的起点。跳板机(Stepping Stone)指已经被攻击者危及，并作为其通信管道和隐藏身份的主机。僵尸机(Zombie)指已经被攻击者危及，并被其用作发起攻击的主机。反射器(Reflector)指未被攻击者危及，但在不知情的情况下参与了攻击。网络溯源面临的问题 由于当前的TCPIP协议对IP包的源地址没有验证机制以及Internet基础设施的无状态性， 使得想要追踪数据包的真实起点已不容易，而要查找那些通过多个跳板或反射器等实施攻击的真实源地址就更加困难

7、。 目前，网络溯源面临的问题主要有以下几个： 一、IP 网络设计存在缺陷，缺乏源地址检验能力IP 网络是基于连接发送数据， 每个IP 分组上都有源地址和目的地址息，IP 网络为把每个分组传递到目的地，必须在每个路由器上取目的地址，对照路由表后将分组从合适的端口发送出去。一，以在距离用户最近的网络设备上检查用户的源地址，确保用户不假冒网段之外的源地址发送信息。如果网段划分足够小，网段内有网络设备和一个用户时， 就不会出现虚假源地址现象。此外，可以在中间路由器做粗略的检查，将源地址明显是虚假的分组例如当A 分组的源地址不存在于路由表的时候，A 分组源地址是的） 丢弃。上述检查就是uRPF 技术。但

8、是uRPF 技术没有在最的互联网上大规模实现，因为：一方面最初的路由器计算能力有，很难完成转发以外的额外检查工作；另一方面使用虚假源地址后一般只能实现单向通信（对方返回的分组将被发送到被伪冒的设备）， 虚假源地址发送数据只能用于单向控制或者攻击， 在最初自律的互联网上较少出现。等到互联网规模巨大， 安全问题凸显后， 即使局部网络升级支持uRPF，也不能有效缓解虚假源地址现象，因此当前互联网缺乏源地址验证能力。 二、网络中存在大量的NAT 设备和代理设备由于互联网Pv4 地址缺匮以及部分安全原因， 因此我国互联网大量使用NAT 设。此外，互联网上还有很多志愿者提供代理设备。网络上IP 分组过NA

9、T 设备或者代理服务器后会将源地址改写成NAT 设备或者代理服务器所拥有的地址， 这样IP 分组源地址就不是原始分组发送者真正的地址。此外，NAT 设备或者代理设备上特定源地址可能同时为不同的用户服务。如果不在NAT 设备或者代理服务器设备上作例如日志等要求，就不可能找到分组真正的来源。如果存在多重代理或者多重NAT 时，情况更复杂，如果多个NAT/代理不属于一个管理主体，例如其中一个NAT/代理位于国外或者没有记录日志， 网络溯源将成为不可能完成的任务。 三、实施犯罪活动的设备往往是无辜者当前互联网用户众多，绝大多数用户是缺少安全经验和安全意识的普通用户。恶意行为发起者很容易通过控制一些“肉

10、鸡”（被利用的无辜者的计算机），作为恶意行为的跳板。需要溯源的IP 分组或者网络行为对应的IP 源地址是无辜者的地址。这种情况下网络溯源可以成功，但是找到的是无辜者，无法达到溯源的真正目的。 四、溯源能力部署与互联网文化、隐私保护难以协调网络溯源原意是针对网络犯罪， 查找恶意行为发起者。但是技术只是工具，既然能查找恶意行为的发布者，当然也能查找一般行为的发起者。如果出现滥用溯源系统的话，网络上隐私很难保障。网络行为可以溯源，这与互联网文化似乎相悖， 因为互联网长久以来一直坚持匿名的传统，一般认为宽松的互联网文化是导致互联网快速发展和巨大成功的基础。因此，部署溯源能力会引发有悖互联网文化和阻碍互

11、联网发展的担忧。溯源的分类与应用场景 一、分类 按照溯源的时间，可以将溯源分成实时溯源以及事后溯源。实时溯源是指在网络行为发生过程中，寻找事件的发起者。事后溯源是指网络行为发生以后，依据相关设备上的日志信息查找事件的发起者。按照溯源实现的位置，可以将溯源分成基于终端溯源以及基于网络设施溯源。基于终端溯源通常是指溯源行为的主要工作是在通信参与者的网络终端上实施。基于网络设施的溯源通常是指溯源行为主要工作是在网络设备上实施。如图二所示。 按照溯源发起者，可以将溯源分成第三方发起的溯源以及通信参与者发起的溯源。第三方发起的溯源通常是网络运营商或者经授权的部门发起的溯源。通信参与者发起的溯源通常是由参

12、与通信的一方发起。 按照溯源是否需要带外通信， 可以将溯源分成带外溯源以及带内溯源。带外溯源是指需要采用带外通信手段收集相关信息或下发相关指令来实施溯源。如图三所示。带内溯源是指不需要采用带外通信，只需要网络现有的信道实施溯源。图二 网络设施的溯源原理图二 带外溯源原理 按照被溯源地址，可以将溯源分成针对虚假地址的溯源以及针对真实地址的溯源。针对虚假地址的溯源是指查找分组真正的发起者。针对真实地址的溯源是指查找源地址拥有者和/或接入点， 针对真实地址的溯源通常查找动态地址特定时间的使用者。此外根据溯源的目标，可以将溯源分成查找路径的溯源以及查找发起者的溯源。查找路径的溯源只查找分组在网络中的路

13、径，可以用于虚假地址的溯源，如图四所示。也可以用于不需要查找发起者的场景。查找发起者的溯源可以不恢复路径，通常针对真实地址，查找特定时间IP 地址的使用者。图二 查找路径的溯源原理二、网络溯源应用场景 当特定用户受到DDoS 攻击时， 可以通过溯源技术查找攻发起者。如果发起者是大量无辜参与者的话，可以查找攻击的路径，在关键点实施过滤或者流量清洗来缓解攻击。当特定用户受到来自网络的入侵时，可以通过溯源技术查找入侵者的接入点以及入侵者接入网络所使用的注册资料。当僵尸网络与木马、蠕虫相结合，危害性很大。僵尸网络的控制者通常通过控制的“肉鸡”实施控制，很难找到真正的控制者。针对网络上大规模僵尸网络，可

14、以通过溯源技术查找僵尸网络的控制者。邮件协议存在缺陷， 使得根据现有邮件协议以及邮件系统的信息查找垃圾邮件的发送者变得困难。针对网络上泛滥的垃圾邮件，可以通过溯源技术查找垃圾邮件的发送者。现有技术一、分组标记溯源法分组标记技术的基本原理就是要求路由器每次转发分组时，将自身的地址附加在分组上。这样得到某个分组后，根据分组上路由器地址的序列就可以得到分组在路由器网络中确定的路径以及发送该分组设备的接入点。如果网络中所有路由器都实施分组标记， 则IP 包的网络层溯源问题就基本上解决了。分组标记溯源法有几个显而易见的问题。首先，要求路由器在转发每个分组时都附加自身的地址，要求路由器除查表转发外承担额外

15、的工作。附加自身地址需要重新计算网络层校验，生成链路层封装。当前，路由器端口速率已经达到10 Gbit/s，正在向40 Gbit/s 发展。10 Gbit/s 端口每秒可能转发超过2 400 万个40 字节的IP 分组，每增加一点计算复杂度都会导致芯片复杂度上升以及相应的成本急剧上升。其次，在每个分组上附加所经过路由器的地址信息会导致分组长度增加（例如当经过20 个路由器时，至少将增加80 字节），从而可能超过链路能承担的最长分组（MTU）。最后，在每个分组后附加路由器的地址信息可能暴露网络拓扑，增加额外的安全风险。针对分组标记技术的缺陷，各个研究机构投入了大量的力量进行研究，研究出了许多改进

16、技术，这里简单介绍节点取样技术和非IP 地址标记技术。 节点取样技术路由器实施的时候按照一定的比例做标记，例如按照1 / 5 000 标记，且每个分组只记录一个路由器地址。这样一方面可以减少路由器设备的工作量， 另一方面可以减少分组增加的长度。这种情况下，前面路由器做的标记有一定概率被后面路由器改写， 但只要收集到足够多的数据包，便可重现分组流的路径。 非IP 地址标记技术路由器采用AS 号来代替IP地址做标记。分组最后得到的AS 数会远远少于经过的路由器，因此重建路径需要的分组和时间甚至需要的字节数都会减少。付出的代价是不能得到精确的路径，不能得到精确的数据来源（所有定位以自治系统为颗粒度）

17、。二、发送特定ICMP 溯源法 发送特定ICMP 溯源法是采用路由器上普遍实现的CMP 协议来实施追踪。ICMP 溯源要求每个路由器都以很低的概率（例如1/10 000）随机复制某个报文的内容，同时将报文下一跳路由器地址附加在所复制报文后，然后将上述内容封装在ICMP 控制报文中发送到该报文的目的地址。受害主机负责收集这些特殊的ICMP 报文，一旦收集到足够的信息即可重构报文的传输路径。由于路由器复制报文的概率很低，因此负载不会有较大的增加，对网络资源的占用也很少。这种技术的主要缺点是：ICMP 报文在某些网络中会被过滤掉，因此可能在某些情况下失效； 攻击者有可能发送伪造的ICMP 溯源报文，

18、导致溯源失败；受害机器需要收集较多的报文才能重构路径，信息不完整则无法准确地重构攻击报文的传输路径。针对发送ICMP 溯源也有大量的改进方案， 这里简单介绍意图驱动的（intention-driven）ICMP 溯源技术和带累积路径的ICMP 溯源技术。 意图驱动的ICMP 溯源技术即让被攻击者自己决定是否需要路由器提供ICMP 消息，路由器只在被攻击者需要时发出ICMP 消息。其特点是减少了网络流量负担， 极大地改进了iTrace 技术的性能，但需要对路由设施做微小的改动。 带累积路径的ICMP 溯源技术即让路由器以一定的概率产生ICMP 消息， 如果某个分组其后的ICMP 消息都到达下一跳

19、的同一个路由器， 则该路由器产生新的ICMP 消息（包含原消息的内容并附加上自己的IP）。三、日志记录溯源日志记录溯源法是希望路由器将转发的报文作为日志记录，在需要的时候再通过数据挖掘等技术来获取报文传输的具体路。 优点：首先，溯源可以在攻击发生以后进行溯源，没有实时性要求；其次，只要捕捉到一个分组，就可以实现溯源，对分组数量没有要求。缺点：对网络资源的需求量巨大，而且需要全网实施；日志格式不统一，不同运营商日志无法共享。当前，日志记录溯源也有一些改进技术，如将分组计算hash 摘要后存储以及ORMS （one-bit random markingand sampling）等。总体来看，日志记

20、录溯源需要较多的资源支持，并且要求全网实施，实际可操作性不强。四、受控洪泛溯源法 受控洪泛溯源法是指网管人员在受攻击设备的上游设备上向下游每个链路发送大量的UDP 报文，人为制造拥塞。路由器的缓冲区是共享的，来自负载较重的连接上的报文被丢失的概率相应较大，通过向某个连接发送“洪泛数据”后攻击报文减少，就可以确定该连接是否传输了攻击报文。缺点：溯源行为本身就是一种DDoS，会给网络带来很大的影响；采用该方法需要操作人员拥有详细的拓扑图以及相应设备的控制权限；只在攻击行为进行过程中有效。五、链路测试溯源法链路测试溯源又称逐跳回溯（hop-by-hoptracing），一般是从离被攻击者最近的路由器

21、开始检查，逐级回溯到离攻击者最近的路由器。具体手段是网管人员在每个路由器入端口设置相关的过滤条件，如果过滤有效则可以确定上游链路和上游设备。不断重复该过程就可以找到距离攻击者最近的路由器。优点：与现有协议兼容，与现有的路由器和网络设施兼容，可以逐步实现。缺点：要成功溯源需要攻击持续时间足够长，而且不适合应对DDoS，多个网络服务提供商之间的协调较困难。六、其他溯源法除上述溯源法外，还存在其他溯源技术，能在不同层面不同程度解决溯源问题。 真实源地址方案：能够限制虚假IP 包接入网络，解决地址仿冒问题，但是对DDoS、垃圾邮件等问题的解决帮助不大。 全面实施uRPF 功能：效果类似真实源地址方案，

22、同样面临真实源地址方案面临的问题。 业务实名制：能避开网络层溯源难的问题，直接将应用层行为（例如BBS 中的ID、邮件地址）映射到实体用户，但因有悖互联网精神而难以推广。 IP 地址实名制： 通过管理手段将IP 地址与实体用户一一对应，但是同样面临有悖互联网精神而难以推广的问题。结束语互联网溯源难的根源来自互联网协议自身缺陷、互联网无序建设、互联网使用者缺少安全意识等。随着互联网规模的扩大以及整个社会对互联网依赖性的不断增加，网络溯源已经迫在眉睫。虽然当前已经有基于分组标记的溯源技术、基于发送特定ICMP 的溯源技术、基于日志记录的溯源技术、基于受控洪泛的溯源技术、基于链路测试的溯源技术、对上

23、述方法的改进及其他溯源方法。但是就当前而言，现有的溯源技术都存在或多或少的缺陷，没有一种相对成熟的技术可以满足网络溯源的需求。纵观现有溯源技术，第一类是要求网管人员在待溯源事件发生过程中做大量的操作（例如受控洪泛溯源和链路测试溯源）， 该类网络溯源方法能适应复杂的网络环境， 溯源效果取决于网管人员的水平，但是可扩展性较差，而且可能影响网络性能和业务；第二类需要路由器附加工作（例如分组标记溯源、ICMP 溯源以及日志记录溯源等），可扩展性各不相同，但是普遍要求大规模升级网络设备，而且可能影响网络性能；第三类是通过管理手段实施（业务实名制、IP 地址实名制等）。未来网络溯源应该是灵活结合管理技术手段，在多个层面解决问题的系统工程， 互联网溯源仍有待长期研究。