返回
计算机网络追踪溯源技术

计算机网络追踪溯源技术

ID:1967334

大小:322.05 KB

页数:12页

时间:2017-11-14

计算机网络追踪溯源技术_第1页
计算机网络追踪溯源技术_第2页
计算机网络追踪溯源技术_第3页
计算机网络追踪溯源技术_第4页
计算机网络追踪溯源技术_第5页
资源描述:

《计算机网络追踪溯源技术》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、计算机网络追踪溯源技术一、产生背景:计算机网络是计算机技术和通信技术发展到一定程度相结合的产物,Internet的出现更是将网络技术和人类社会生活予以紧密的结合。随着网络技术的飞速发展,越来越多的传统运作方式正在被低耗、开放、高效的分布式网络应用所替代,网络已经成为人们日常生活中不可缺少的一部分。但是,随之而来基于网络的计算机攻击也愈演愈烈,尤其是DDoS攻击,攻击者利用网络的快速和广泛的互联性,使传统意义上的安全措施基本丧失作用,严重威胁着社会和国家的安全;而且网络攻击者大都使用伪造的IP地址,使被攻击者很难确定攻击的位置,从而不能实施有针对

2、性地防护策略。这些都使得逆向追踪攻击源的追踪技术成为网络主动防御体系中的重要一环,它对于最小化攻击的当前效果、威慑潜在的网络攻击都有着至关重要的作用。二、DDoS攻击原理:但是精确定位攻击源并非易事,因为攻击者对远程计算机或网络进行攻击时,通常采用两种手段来隐藏自己的真实地址:伪造报文IP源地址和间接攻击。因特网中有许多主机提供代理服务或存在安全漏洞,这些主机会被攻击者作为“跳板”对目标发动攻击,从受害主机只能看到“跳板”地址,而无法获得攻击主机地址。其攻击模型为:(attacter)(steppingstone)(zombie)(reflec

3、ter)(victim)图1网络攻击模型它涉及到的机器包括攻击者、受害者、跳板、僵尸机器、反射器等。攻击者(AttackerHost)指发起攻击的真正起点,也是追踪溯源希望发现的目标。被攻击者(VictimHost)指受到攻击的主机,也是攻击源追踪的起点。跳板机(SteppingStone)指已经被攻击者危及,并作为其通信管道和隐藏身份的主机。僵尸机(Zombie)指已经被攻击者危及,并被其用作发起攻击的主机。反射器(Reflector)指未被攻击者危及,但在不知情的情况下参与了攻击。其中跳板机器和僵尸机器都是攻击者事先已经攻破的主机,我们统称

4、它们为变换器,它们负责把攻击数据包做某种变换以掩盖攻击者的行踪,具体变换如下:图2三、网络追踪溯源技术:计算机网络追踪溯源是指确定网络攻击者身份或位置及其中间介质的过程。身份指攻击者名字、帐号或与之有关系的类似信息;位置包括其地理位置或虚拟地址:如IP地址、MAC地址等。追踪溯源过程还能够提供其他辅助信息,比如攻击路径和攻击时序等。网络管理者可使用追踪溯源技术定位真正的攻击源,以采取多种安全策略和手段,从源头抑制,防止网络攻击带来更大破坏,并记录攻击过程,为司法取证提供必要的信息支撑.在网络中应用追踪溯源我们可以:① 确定攻击源,制定实施针对性

5、的防御策略;② 确定攻击源,采取拦截、隔离等手段,减轻损害,保证网络平稳健康的运行;③ 确定攻击源,记录攻击过程,为司法取证提供有力证据.1.追踪溯源的困难:由于当前的TCP/IP协议对IP包的源地址没有验证机制以及Internet基础设施的无状态性,使得想要追踪数据包的真实起点已不容易,而要查找那些通过多个跳板或反射器等实施攻击的真实源地址就更加困难。具体体现在以下几方面:(1)当前主要的网络通信协议(TCP/IP)中没有对传输信息进行加密认证的措施,使得各种IP地址伪造技术出现。使得通过利用攻击数据包中源IP地址的追踪方法失效。(2)Int

6、ernet已从原来单纯的专业用户网络变为各行各业都可以使用的大众化网络,其结构更为复杂,使攻击者能够利用网络的复杂性逃避追踪。(3)各种网络基础和应用软件缺乏足够的安全考虑,攻击者通过俘获大量主机资源,发起间接攻击并隐藏自己。(4)一些新技术在为用户带来好处的同时,也给追踪溯源带来了更大的障碍。虚拟专用网络(VPN)采用的IP隧道技术,使得无法获取数据报文的信息;网络服务供应商(ISP)采用的地址池和地址转换(NAT)技术,使得网络IP地址不在固定对应特定的用户;移动通信网络技术的出现更是给追踪溯源提出了实时性的要求,这些新技术的应用都使得网络

7、追踪溯源变得更加的困难。(5)目前追踪溯源技术的实施还得不到法律保障,如追踪溯源技术中,提取IP报文信息牵扯到个人隐私。这些问题不是单靠技术手段所能解决的。1.追踪溯源技术分类:1)主动询问类此类方法通过主动询问数据流可能经过的所有路由器,确认其流向路径的机制(InputDebugging)。主动询问是一种比较粗的方法,通过带有InputDebugging功能的路由器进行一级一级(Hop-by-hop)的沿攻击数据流路径查询追踪,多数路由器具有查找符合某种模式报文的输入接口的调试功能,利用路由器的这一功能,在攻击发生后逐跳确定具有攻击特征的数据

8、包来自哪个路由入口,通过反复使用从而可以确定发送攻击包的真实IP,原理示意图及算法流程如图3所示。图3带有inputdebugging功能路由器的追踪

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。