网络攻击溯源技术概述.pptx

《网络攻击溯源技术概述.pptx》由会员分享，可在线阅读，更多相关《网络攻击溯源技术概述.pptx（22页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络攻击溯源技术概述 引 言溯 源 问 题 分 析网 络 溯 源 面 临 的 问 题溯 源 的 分 类 与 应 用 场 景现 有 技 术结 束 语第1页/共22页引 言计算机网络是计算机技术和通信技术发展到一定程度相结合的产物 随着互联网覆盖面的不断扩大，网络安全的重要性不断增加成为人们日常生活中不可缺少的一部分网络上大量存在DDoS 攻击、木马、蠕虫、僵尸网络、非授权访问、发送垃圾邮件等恶意行为随着社会生活越来越依赖互联网，互联网安全问题已经在抑制网络健康有序发展，互联网亟需建设溯源能力第2页/共22页我国网络防护的现状第3页/共22页第4页/共22页溯源问题分析(一)溯源通常是指寻找网络事

2、件发起者相关信息，通常用在网络攻击时对攻击者的查找。溯源相关的事件可以分为应用层溯源网络层溯源 在一些情况下，将应用层ID 映射到IP 地址后可以将应用层溯源转化为网络层溯源 第5页/共22页溯源问题分析(二)计算机网络追踪溯源技术指的是通过计算机网络定位攻击源地址的技术，它涉及到的机器包括攻击者、被攻击者、跳板、僵尸机、反射器等。其攻击模型如图所示第6页/共22页攻击者(ARacker Host)指发起攻击的真正起点，也是追踪溯源希望发现的目标。被攻击者(Victim Host)指受到攻击的主机，也是攻击源追踪的起点。跳板机(Stepping Stone)指已经被攻击者危及，并作为其通信管道

3、和隐藏身份的主机。僵尸机(Zombie)指已经被攻击者危及，并被其用作发起攻击的主机。反射器(Reflector)指未被攻击者危及，但在不知情的情况下参与了攻击。第7页/共22页网络溯源面临的问题网络溯源面临的问题IP 网络设计存在缺陷网络中存在大量的NAT 设备和代理设备由于互联网Pv4 地址缺匮以及部分安全原因实施犯罪活动的设备往往是无辜者当前互联网用户众多，绝大多数用户是缺少安全经验和安全意识的普通用户溯源能力部署与互联网文化、隐私保护难以协调网络溯源原意是针对网络犯罪，查找恶意行为发起者第8页/共22页溯源的分类按照溯源的时间，可以将溯源分成实时溯源以及事后溯源按照溯源实现的位置，可以

4、将溯源分成基于终端溯源以及基于网络设施溯源（原理如图2）按照溯源发起者，可以将溯源分成第三方发起的溯源以及通信参与者发起的溯源按照溯源是否需要带外通信，可以将溯源分成带外溯源以及带内溯源（原理如图3）按照被溯源地址，可以将溯源分成针对虚假地址的溯源以及针对真实地址的溯源第9页/共22页 图2 网络设施的溯源原理第10页/共22页图3 带外溯源原理第11页/共22页网络溯源应用场景当特定用户受到DDoS 攻击时，可以通过溯源技术查找攻发起者当僵尸网络与木马、蠕虫相结合，危害性很大僵尸网络的控制者通常通过控制的“肉鸡”实施控制，很难找到真正的控制者,针对网络上大规模僵尸网络，可以通过溯源技术查找僵

5、尸网络的控制者第12页/共22页现有技术分 组 标 记 溯 源 法发 送 特 定 ICMP 溯 源 法日 志 记 录 溯 源受 控 洪 泛 溯 源 法链 路 测 试 溯 源 法其 他 溯 源 法第13页/共22页分组标记溯源法分组标记技术的基本原理就是要求路由器每次转发分组时，将自身的地址附加在分组上针对分组标记技术的缺陷，各个研究机构投入了大量的力量进行研究，研究出了许多改进技术,例如：节点取样技术、非IP 地址标记技术第14页/共22页发送特定ICMP 溯源法发送特定ICMP 溯源法是采用路由器上普遍实现的CMP 协议来实施追踪缺点是：ICMP 报文在某些网络中会被过滤掉，因此可能在某些情

6、况下失效；攻击者有可能发送伪造的ICMP 溯源报文，导致溯源失败；受害机器需要收集较多的报文才能重构路径，信息不完整则无法准确地重构攻击报文的传输路径第15页/共22页日志记录溯源日志记录溯源法是希望路由器将转发的报文作为日志记录，在需要的时候再通过数据挖掘等技术来获取报文传输的具体思路优点：首先，溯源可以在攻击发生以后进行溯源，没有实时性要求；其次，只要捕捉到一个分组，就可以实现溯源，对分组数量没有要求缺点：对网络资源的需求量巨大，而且需要全网实施；日志格式不统一，不同运营商日志无法共享第16页/共22页受控洪泛溯源法受控洪泛溯源法是指网管人员在受攻击设备的上游设备上向下游每个链路发送大量的

7、UDP 报文，人为制造拥塞通过向某个连接发送“洪泛数据”后攻击报文减少，就可以确定该连接是否传输了攻击报文缺点：溯源行为本身就是一种DDoS，会给网络带来很大的影响；采用该方法需要操作人员拥有详细的拓扑图以及相应设备的控制权限；只在攻击行为进行过程中有效第17页/共22页链路测试溯源法链路测试溯源又称逐跳回溯（hop-by-hoptracing），一般是从离被攻击者最近的路由器开始检查，逐级回溯到离攻击者最近的路由器优点：与现有协议兼容，与现有的路由器和网络设施兼容，可以逐步实现缺点：要成功溯源需要攻击持续时间足够长，而且不适合应对DDoS，多个网络服务提供商之间的协调较困难第18页/共22页

8、其他溯源法真实源地址方案:能够限制虚假IP 包接入网络，解决地址仿冒问题全面实施uRPF 功能:效果类似真实源地址方案业务实名制:能避开网络层溯源难的问题，直接将应用层行为映射到实体用户IP 地址实名制：通过管理手段将IP 地址与实体用户一一对应第19页/共22页结束语 互联网溯源难的根源来自互联网协议自身缺陷、互联网无序建设、互联网使用者缺少安全意识等。随着互联网规模的扩大以及整个社会对互联网依赖性的不断增加，网络溯源已经迫在眉睫。未来网络溯源应该是灵活结合管理技术手段，在多个层面解决问题的系统工程，互联网溯源仍有待长期研究。第20页/共22页祝 各位 培训 丰丰硕硕 事业 顺顺利利 爱情 圆圆满满 爱情事业双丰收 第21页/共22页感谢您的观看！第22页/共22页