网络与通信技术信息与电脑China Computer&Communication2017年第6期网络攻击源追踪技术的分类和展望陈仁太(成都师范学院信息中心,四川 成都 611130)摘 要:随着现代科技的进步,计算机网络早已成为了现代社会必不可少的基础设施。在我国,网络事业正处在蓬勃发展阶段,随之而来的是频发的网络攻击事件。为了保证网络安全,网络攻击源追踪(IP追踪或回溯)技术应运而生,其是一种主动防御网络入侵、保障网络服务安全的关键技术,即在面对突发的网络攻击事件时,可快速回溯、定位攻击源,从而动态保障网络安全。笔者首先介绍IP追踪技术的分类,然后对IP追踪技术进行展望。关键词:IP追踪技术;包标记;链路检测;入口过滤中图分类号:TP393.08 文献标识码:A 文章编号:1003-9767(2017)06-174-02Classification and Prospect of Traceback Technology for Network AttackChen RentaiAbstract: Along with the progress of modern science and technology, computer network has already become the essential (Information Center, Chendu Normal University, Chengdu Sichuan 611130 China)infrastructure of modern society. In China, the Internet business is in a stage of vigorous development, followed by frequent network attacks. In order to ensure network security, network attack tracing (IP tracking or backtracking) technology came into being, which is a key technology of active network intrusion, network security services security defense, namely, in the face of unexpected network classification of IP tracking technology, and then prospects the IP tracking technology.Key words: IP traceback technology; packet marking; link detection; ingress filteringattacks, can quickly backtracking and locate the source of the attack, thus guarantee network security. The author first introduces the 1 引言据《中国互联网发展状况统计报告》显示,截至2015年12月,我国网民规模达到6.88亿,互联网的普及率达50.3%,手机网民规模达到6.2亿,占比增至90.1%,且网民WIFI使用率达到91.8%。在这一发展形势下,需解决网络安全问题,其中较为常见的网络安全隐患包括病毒攻击、黑客入侵、未授权用户访问及内部人员滥用权限等。为了应对网络攻击问题,主动防御技术应运而生,其包括攻击取证技术、陷阱技术等,核心是及时测得可疑攻击,以实现对网络攻击的控制与反击。IP追踪技术是一种攻击取证技术,即运用计算机上的软硬件设备,识别与取证网络攻击行为,以准确定位入侵者。下面,笔者结合相关知识,探讨IP追踪技术的分类并进行展望。2 IP追踪技术的分类IP追踪技术的分类如图1所示。图1 IP追踪技术的分类由图1可知,IP追踪技术主要分为主动式、被动式追踪。其中,主动式追踪是在转发数据包中,按实时监控数据追踪基金项目:四川省教育信息化应用与发展研究中心“高校智慧教学示范区云平台建设与实践研究”(项目编号JYXX16-017)。作者简介:陈仁太(1976-),男,四川中江人,本科,讲师。研究方向:教育信息化、计算机网络、数据挖掘技术、云计算。— 174 —2017年第6期信息与电脑China Computer&Communication网络与通信技术攻击源,具体包括ICMP消息、日志记录及数据包标记等;被动式(或反应式)追踪是在攻击测到后重构攻击的路径,其要求在攻击结束前完成追踪,具体包括层叠网络追踪、被动IP追踪、入口过滤和链路测试等,其中以入口过滤与链路测试最为常用。2.1 主动式追踪2.1.1 包标记目前,包标记是汇总研究最为广泛的IP追踪技术,其基本思路是:数据包从路由器经过时,标记信息由路由器按一定概率插入数据包中,并在追踪攻击源路径时进行提取。在网络安全维护中,包标记的应用非常频繁,一般使用下列两种标记法:一是概率包标记(PPM),即路由器按概率P选择经过的数据包,再在其中插入带有相关路由信息的数据,且被标记的数据包从每一个路由器经过时,都按一定概率进行标记,直至在入侵目标系统时被抓,此时根据标记数据计算路径,便可确定攻击路径;二是确定包标记(DPM),即在ISP网络环境下,由入口位置的路由器选择进入网络的数据包,并在其中插入包含相关路由信息的数据。对于包标记,其增加了网络流量、数据包大小。2.1.2 路由日志路由日志的基本思想是:在路由器上,借助其日志功能记录下上一级路由发送的数据包信息,并在追踪攻击源时从中提取数据包,以恢复相应的路由器,从而实现成功追踪攻击源。对于日志记录,其兼容既有网络协议,且支持事后分析,但要求路由器具备记录功能,并由数据库来实现日志信息的存储和更新,因此,有待进一步完善日志记录。2.1.3 ICMP追踪ICMP追踪(或称iTrace)是先用ICMP消息记录下路径信息及相应源IP地址,再设置路由器,使其按一定概率发送ICMP消息给受害者。其中,ICMP消息涉及与受害者毗邻的上、下游路由信息,因此通过信息提取,便可在受害者接收到足量的iTrace包后重构攻击路径,从而成功追踪攻击源。通常而言,每20 000个数据包从一个路由器经过时,便会有一个ICMP包发出,因此,发送ICMP包不会对攻击路径的回溯产生影响,从而起到减轻路由负担、减少网络流量的作用。2.2 被动式追踪2.2.1 链路测试链路测试(或称逐跳回溯)是从最接近受害者的路由器到其上一级路由器,通过测试彼此间的链路,以查明转发攻击包的用户,并沿攻击包的传输路径确定最接近攻击者的边界路由器。在实际应用中,链路测试法以输入调试法(ID)、受控淹没法(CF)最为常用。其中,ID法是网络管理人员通过在路由器上将疑是由攻击者发出的恶意数据包过滤,以确定其上一级路由器;CF法是根据路由器丢包的概率,分析受害者接收攻击报文的数量变化,从而判断测试链路是否在攻击路径上。通过比较,ID法的网络开销小,但分析与管理流程繁琐且效率低;CF法的工作原理简单、人工费用不高,但要求了解受害者接入网络精确的拓扑图,因此实用性不高。2.2.2 入口过滤入口过滤是以设置边界路由器的方式,过滤从非法源地址发出的攻击数据包,因此,要求路由器具备检查经过的数据包源IP地及分辨其合法性的能力。鉴于此,入口过滤的应用范围非常有限,根本无法适应当今网络高速发展的需要。3 IP追踪技术的展望前文几种IP追踪技术的比较如表1所示。表1 几种IP追踪技术的比较追踪方法包标记日志记录ICMP消息链路测试入口过滤追踪速度较快较慢一般较慢较慢追踪能力中中中弱弱路由开销低很高低高高网络开销低中中低低人工管理开销低低低高高综合表1,IP追踪技术需继续解决下列问题:一是追踪速度有待加快,因为追踪速度是追踪系统的重要衡量指标,其会对后续防御工作产生影响;二是路由器负载有待降低,因为路由器负载是算法优劣的重要衡量指标,其会对路由器转发数据产生影响;三是追踪能力有待提高,因其是应对网络攻击的决定性因素,注意既要保证追踪能力,又要设法降低重构攻击路径时的漏报率与误报率。4 结 语在本文,笔者探讨了IP追踪技术的分类,并展望了这一技术在未来的发展中需要解决的问题,如追踪速度、能力及路由器负载的问题。研究表明,IP追踪技术尚处在发展阶段,仍受到当今技术水平的制约,但网络安全形势日渐恶化,因此,深入研究IP追踪技术迫在眉睫,且在未来的应用中,必须坚持与时俱进的原则,以充分发挥技术的实用价值。参考文献[1]冯波,郭帆,谭素雯.基于IPv6的概率包标记路径溯源方案[J].计算机工程与应用,2016(6):102-106.[2]赵慧博.浅谈网络攻击源追踪技术的分类及展望[J].电子测试,2016(12):71-72.[3]蒋锵,荆一楠,肖晓春,等.无线自组织网络中DDoS攻击源追踪技术研究综述[J].计算机应用与软件,2013(9):191-193,218.[4]郝尧,陈周国,蒲石,等.多源网络攻击追踪溯源技术研究[J].通信技术,2013(12):77-81.[5]陈周国,蒲石,郝尧,等.网络攻击追踪溯源层次分析[J].计算机系统应用,2014(1):1-7.— 175 —
