网络攻击中常见掩盖真实IP的攻击方式及虚假IP地址追踪溯源方法.docxVIP

网络攻击中常见掩盖真实IP的攻击方式及虚假IP地址追踪溯源方法

近年来，网络安全事件层出不穷，各种网络攻击给国家、社会和个人带来了严重的危害，如分布式拒绝服务攻击（DDoS)、基于僵尸网络（Botnet）的高级可持续攻击（APT)、利用远程控制木马的信息窃取等。在这些攻击方法中，攻击者会向目标主机，也就是受害主机，发送特定的攻击数据包。

从受害主机的角度来看，能够观察到这些攻击数据包，如果能追踪这些攻击数据包的来源,定位攻击者的真正位置,受害主机不但可以采用应对措施,如在合适的位置过滤攻击数据包，而且可以对攻击者采取法律手段。因此在网络取证领域,网络攻击溯源一直是一个重要的追踪方式。

一、什么是网络攻击溯源

在网络空间中,网络攻击源追踪是指当检测到网络攻击事件发生后，能够追踪定位真正的攻击者的主机，以帮助司法人员对攻击者采取法律手段。近二十年，研究人员对网络攻击源追踪技术进行了大量研究。

更具象化的来说网络攻击源追踪是指，在网络空间中，安全人员在检测到攻击行为发生的情况下，如何追踪定位攻击者的主机？虽然从司法取证的角度,更希望能识别出攻击者本人，以便于对嫌疑人采取法律手段,但这需要将网络空间中的“主机”与现实物理空间中的“人”进行关联。所以网络空间中，如何识别出攻击者直接使用的主机才是最重要的。

二、五种常见掩盖真实IP的网络攻击追踪问题

由于攻击者可以采用不同的形式来隐藏自身真实的IP地址，如虚假IP地址或跳板的方式，那么可以将攻击源追踪问题分为下面5个问题:虚假IP溯源、僵尸网络溯源、匿名网络溯源、跳板溯源、局域网溯源，由此对这五种问题进行追踪溯源。

①虚假IP溯源:取证人员检测到的攻击数据包中，其源IP地址是伪造的。例如，典型的SYNFlood攻击。

在这种网络攻击中，攻击者将攻击数据包中的源IP地址替换为伪造的IP地址,受害主机收到数据包后,将响应数据包发送给伪造的IP地址主机，这些主机可能存在也可能不存在。这样在受害主机端,无法得到攻击主机的IP地址。

除此之外,还有一种特殊的“反射攻击”,如Smurf攻击、DNS放大攻击等在这种攻击中,攻击者将攻击数据包中的源IP地址替换为受害者的IP地址，将攻击数据包发送给反射主机，反射主机收到数据包后，响应数据包将发送给受害主机。从受害主机端观察，只能判断这些数据包来自反射主机，无法知道真正攻击者的IP地址。

②僵尸网络溯源:攻击者利用僵尸网络发动攻击，取证人员检测到攻击数据包中，其源IP地址来自于Botnet中的bot主机，在这种情况下如何追踪定位攻击者的主机?

在这种攻击中，攻击者利用CC型或P2P型Botnet，先发送控制指令,bot主机接收到控制指令后,向设定的攻击目标发动攻击。在受害主机端,可以看到攻击数据包来自bot主机，而无法识别出真正的Botmaster。

③匿名网络溯源:攻击者利用匿名网络,如‘Tor,发动攻击,取证人员检测到攻击数据包中,其源IP地址来自于匿名网络，在这种情况下如何追踪定位攻击者的主机?Tor网络就是匿名网络典型的攻击场。

在这种攻击中,攻击者的攻击数据包通过匿名网络进行转发，在受害主机端，只能观察到攻击数据包来自于出口路由器，而不能发现真正的攻击者。

④跳板溯源:攻击者利用多个“跳板主机”，即通过控制多个主机转发攻击数据包，取证人员检测到攻击数据包，其源IP地址是最后一跳“跳板主机”的IP地址，前一段时间西北工业大学被NAS攻击中，就运用了54台跳板来隐藏真正的IP地址。

在这种攻击中,攻击者事先控制多个跳板主机,利用跳板转发攻击数据包。在受害主机端,只能看到攻击数据包来自于最后一跳的主机,而不能识别出真正的攻击者。很显然,跳板路径越长,越难追踪攻击者。

⑤局域网络溯源:攻击者位于私有网络内，其攻击数据包中的源IP地址经过了网关的VAT(NetworkAddressTransform)地址转换。

在这种攻击中,由于攻击者的IP地址是私有IP地址,在受害主机端只能看到NAT网关的IP地址。在大型私有网络内，特别是无线局域网中，寻找定位攻击者并不是一件简单的事情。

在实际的网络攻击事件中,可能并不严格遵守上述各种攻击场景,但大致可以归为上述某个或某几个问题。

三、虚假IP地址攻击溯源

当攻击数据包中的源IP地址是伪造的时，如何找到发送攻击数据包的真实IP地址？这一问题也被称为IP追踪(IPTraceback)。对该问题,需要按照不同背景、情况，不同分类方法来实施溯源方法。

①背景：取证人员可以控制骨干网络上的全部或大部分路由器，并且可以修改路由软件。

取证人员可以在事先给骨干网络的路由器增加新的功能,在不影响正常路由的情况下修改标准的IP协议，以帮助发现真实的IP地址。

基于这一条件的方法主要有概率包标记算法、确定包标记算法、IC