网络攻击溯源技术概述.doc

网络攻击溯源技术概述 随着互联网覆盖面的不断扩大， 网络安全的重要性不断增加。面对层出不穷的新型网络入侵技术和频率越来越高的网络入侵行为，对高级IDS（intrusion detection system）的需求日益迫切。从20 世纪70 年代开始了网络攻击防护措施的最初研究，本文首先分析了网络溯源面临的问题，然后述了溯源的分类和应用场景，最后介绍了多种溯源技术的优点。 引言 计算机网络是计算机技术和通信技术发展到一定程度相结合的产物，Intemet的出现更是将网络技术和人类社会生活予以紧密的结合。随着网络技术的飞速发展，越来越多的传统运作方式正在被低耗、开放、高效的分布式网络应用所替代， 网络已经成为人们日常生活中不可缺少的一部分。但是，随之而来基于网络的计算机攻击也愈演愈烈，尤其是DDoS攻击 ，攻击者利用网络的快速和广泛的互联性，使传统意义上的安全措施基本丧失作用，严重威胁着社会和国家的安全；而且网络攻击者大都使用伪造的IP地址，使被攻击者很难确定攻击源的位置，从而不能实施有针对性地防护策略。这些都使得逆向追踪攻击源的追踪技术成为网络主动防御体系中的重要一环，它对于最小化攻击的当前效果、威慑潜在的网络攻击都有着至关重要的作用。 近年来互联网飞速发展，截至2011年6 月底，中国网民数量达到2.53 亿，网民规模跃居世界第一位，普及率达19.1%，全球普及率已经达到21.1%。互联网已经拥有足够庞大的用户基础，网上有游戏、聊天、论坛、邮件、商场、新闻等不同的应用和服务，现实生活中存在的现象、业务、社会关系以及服务在网络上都有不同程度的体现，互联网已经成为名副其实的虚拟社会。现实生活中除了存在道德约束以外， 还有法律威慑———违法犯罪活动会被追查，犯罪活动实施者为此可能付出很大的代价甚至人身自由。而与现实生活不同的是在网络虚拟社会中似乎只有类似道德约束的用户自律，却没有法律威慑。网络上大量存在DDoS 攻击、木马、蠕虫、僵尸网络、非授权访问、发送垃圾邮件等恶意行为，但是由于网络匿名传统以及溯源能力的缺失，上述恶意行为即使涉及现实生活的违法犯罪，也很难有效取证和追查，网络犯罪实施者因此有恃无恐，更加猖獗。近年来，随着社会生活越来越依赖互联网，互联网安全问题已经在抑制网络健康有序发展，互联网亟需建设溯源能力。 目录 TOC \o 1-3 \h \u HYPERLINK \l _Toc5571 溯源问题分析 PAGEREF _Toc5571 4 HYPERLINK \l _Toc18883 网络溯源面临的问题 PAGEREF _Toc18883 5 HYPERLINK \l _Toc29239 溯源的分类与应用场景 PAGEREF _Toc29239 8 HYPERLINK \l _Toc20268 一、分类 PAGEREF _Toc20268 8 HYPERLINK \l _Toc2637 二、网络溯源应用场景 PAGEREF _Toc2637 10 HYPERLINK \l _Toc9246 现有技术 PAGEREF _Toc9246 11 HYPERLINK \l _Toc29054 一、分组标记溯源法 PAGEREF _Toc29054 11 HYPERLINK \l _Toc917 · 节点取样技术 PAGEREF _Toc917 12 HYPERLINK \l _Toc16028 · 非IP 地址标记技术 PAGEREF _Toc16028 12 HYPERLINK \l _Toc22999 二、发送特定ICMP 溯源法 PAGEREF _Toc22999 12 HYPERLINK \l _Toc674 · 意图驱动的ICMP 溯源技术 PAGEREF _Toc674 13 HYPERLINK \l _Toc14971 · 带累积路径的ICMP 溯源技术 PAGEREF _Toc14971 13 HYPERLINK \l _Toc22322 三、日志记录溯源 PAGEREF _Toc22322 14 HYPERLINK \l _Toc25464 五、链路测试溯源法 PAGEREF _Toc25464 15 HYPERLINK \l _Toc18903 结束语 PAGEREF _Toc18903 16 溯源问题分析 溯源通常是指寻找网络事件发起者相关信息，通常用在网络攻击时对攻击者的查找。溯源相关的事件可以是应用层事件应用层溯源，即查找业务的使用者，例如查找垃圾邮件的发送者），也可以是网络层事件（网络层溯源，即查找特定IP 报的发送者，例如“ping of death”发起者等）。在一些情况下，将应用层D 映