赵慧博（武警吉林省队直属支队网管中心，吉林长春，130062）



浅谈网络攻击源追踪技术的分类及展望

赵慧博
（武警吉林省队直属支队网管中心，吉林长春，130062）

摘要：本文主要将网络攻击源追踪多种不同技术进行了归纳，并分析了各种不同网络攻击源追踪技术的优点和缺点，对网络攻击源追踪的未来研究方向进行了探讨，对网络攻击源追踪技术相关问题提供解决办法。

关键词：网络攻击源追踪技术；系统分类；计算机网络安全；IP源追踪

1 IP源追踪技术

IP源追踪技术大致上可以分为两类，即反应式追踪、主动式追踪。其中反应式追踪则是对攻击进行检测，之后才开始对攻击源过程进行追踪的一种追踪技术。主动式追踪则是同时实时监测数据包转发，当法神攻击时，可以根据实时监测的结果，重新构建攻击路径。

只能在攻击流保持活动时，反应式追踪才能对攻击流进行追踪，如果攻击流结束，就无法对IP源进行确定，所以反应式追踪这类追踪技术，通常适用于实时阻断时使用，对于事后却无法起到分析作用，主要有控制洪流、输入调试两种典型的方法。其中输入调试，则是利用路由器，该路由器并且具有带输入调试功能，当发生攻击之后逐跳，对攻击特征包的路径、路由入口进行确定，通过反复使用，从而对攻击包发送的真实IP进行确定。在IP源追踪时，输入调试方法是最容易想到的一种方法，但是采用该方法，要求应用于追踪路径上的路由器，全部必须具有输入调试能力，并且需要手工来进行干预，与互联网服务提供商，即ISP具有依赖性，与ISP服务商高度合作，追踪速度就会显得比较慢。另外一种典型的方法，即控制洪流，当发生攻击时，首先采用已有的因特网拓扑图，对距离受害者最近路由的链路进行选择洪流攻击。对自攻击者的包的变化进行观察，通过观察之后确定攻击数据包到底是来自哪条链路，采用同样的方法对其他每一条链路进行洪流控制。控制洪流这种典型的方法，经过研究是非常有效的。自身就是属于一种DOS攻击，需要与因特网拓扑图、上游主机进行高度合作。

主动式追踪，是一种既可用于事后分析，又可以对攻击的实时阻断。其中包标记法修改IP协议，当数据包通过路由时，以一定概率的路由器把路由信息标记在数据包的IP包头的identification字段当中，当收到足够多的包之后，受害者就可以根据包头的信息，重新构建攻击路径。这种方法不会产生额外的流量，也不会被安全策略堵塞，被防火墙阻止，只使用IP包本身的信息。而且需要与来自ISP服务商进行高度合作，这种方法无法适用于分段的IP包、IP通讯加密等等。并且通过相关研究表明，由于包标记方法，在多个包中存储路由信息数据，利用近似生日组的概念，使得攻击组散播错误的信息。目前而言，包标记法有不同分类，最基本的也是最常用的即是指PPM方法。PPM方法的最大优点在于，容易实现，但是该方法有着较高的虚警率，需要很大的计算量，对DDOS的供给是没有任何作用的。并且有较差的鲁棒性。通过改进的标记方案，改进和认证PPM方法，促进了精确度、鲁棒性的提高，而且计算量也有所降低。将IP源追踪技术问题，通过代数方法转化为多项式重构问题，对假冒的IP数据包的真实源点，通过利用代数编码理论得以恢复。与PPM方法的最大的区别在于不是采用HASH函数作为效验器，而且利用Hornet规则迭代地算数编码边信息作为效验器。

路由记录法，对一种特殊的路由器进行利用，摘要近期所转发的IP包保存包，根据所受到的攻击数据包的摘要以及路由器中保存的摘要，受害者可以重新进行构建攻击路径，路由记录方法的典型是源路径隔离引擎，即SPIE。这种方法最大的优点在于就是能够准确的反向跟踪单个数据包，漏警率为零。并且互操作性也非常的好。这种方法最大的缺点在于，需要与ISP服务商进行合作，对高速路由器存储具有非常高的要求，并且还会对路由器的CPU产生消耗作用，对路由器的流量转发性能有着严重的影响。

ICMP消息方法，引入了一种新的iTrace消息，这一消息当中，主要包含了消息发送的路由器IP地址，还有诱发该消息的数据包的相关信息，路由器如果加载了跟踪机制，对假冒的IP源的数据包能够帮助进行识别。但是这种方法会产生大量额外负载，对网络性能有着很大的影响，并且容易被网络安全策略堵塞，远端路由器的ICMP非常有限。目的驱动的iTrace方法，需要引入一个“目的位”在数据包转发表、路由表当中，对某个特殊的目标是否需要iTrace跟踪信息进行决定，这种方法能够对iTrace信息进行精简，能够促进系统性能的提升，几乎不需要改变路由选择结构，其最大的缺点在于，由于路由表被频繁的更新，会使得路由选择机制产生不稳定性，甚者还会改变BGP协议。

2 跨越挑板的追踪技术

能够找到IP源数据包发送的真实地址的IP源追踪技术，但是却不一定能够找到攻击者，而且还是对攻击事件负责的攻击者。因为在实施攻击的过程当中，大多数的攻击者，会利用“跳板”，所以IP源追踪技术对这类攻击来说，只是开始的第一步而已。如果要想找到真正的攻击源，就必须要采用跨越跳板的追踪技术。按照追踪的不同信息源，跨越跳板的追踪技术可以分为基于网络技术、基于主机的技术；如果是按照追踪的方法不同而言，则可以分为主动式方法、反应式方法两种。其中主动式方法经进行监控，对所有通信量进行比较。则反应式方法则是对攻击后，通过定制的进程动态的控制进行怀疑，通信量何地何时与哪些信息相关联，以及如何关联。

较为早期的一些入侵检测系统， 比如CIS、DOS等，都具有攻击源追踪功能。基于主机的追踪方法，对连接链上的每一台主机都有依赖性，如果每个主机都被控制了，并且关联信息的提供发生了错误，则会误导整个追踪系统，因此，配置在因特网中的基于主机的追踪系统是有一定难度的。

基于网络的追踪，则是根据网络连接属性，被监控主机不要求全部参与。利用少量信息总结连接的指纹技术，是最早的关联技术，对时钟同步匹配对应时间间隔的连接指纹有依赖性，而且无法改变重传的情况，这些都会对实时追踪的有效性产生严重的影响。基于时间的方案，不是基于连接的内容而是基于交互通信中的时间特点，能够应用于加密的连接。与基于偏差的方法比较类似。采用两个TCP连接序列号的最小平均差，对两个连接是否关联进行确定，偏差考虑了TCP序列号、时间特征。基于时间的方案、偏差的方法，对时钟同步没有要求，都适用于检测交互式“跳板”。

主动式方法需要对所有的通信数据进行预先保存，基于网络的反应式方法，对包处理能够定制，对连接以及如何关联进行动态控制，因此所需要的资源比被动方更少。主要有隔离协议、入侵识别、休眠水印追踪、隔离协议是一种应用层协议，通过交换入侵检测信息，边界控制器与攻击描述相结合，共同组织入侵者，并进行定位，休眠水印追踪，利用水印技术跨越跳板，当入侵被检测时，不会引起额外的开销，在入侵后的每个链接中，注入水印，唤醒入侵路径中间路由合作。

3 展望

第一，评估指标体系的建立，比较当前优势和缺点，对现有算法进行完善。第二，网络攻击源追踪的理论模型的建立，第三，综合考虑数据加密、IPV6、移动性等问题，当前网络源追踪方法，对这类问题没有进行综合考虑，对这些问题进行改进，提出可靠、简单的追踪方法，并进一步对其研究。解决网络攻击源追踪问题，需要结合管理上的特点来进行，当还没有研究出切实可用、高效简单的追踪算法时，结合安全管理，通过实名认证，绑定MAC、IP地址，消除匿名性的源地址，是一项值得研究的课题。

4 总结

综上。本文分析了多种网络攻击源追踪技术，并对其进行了系统了分类，比较了其中的优点和缺点，对研究方向进行了探讨，希望未来能够进一步研究，促进网络攻击源追踪技术的良好发展。

参考文献

［1］闫巧，吴建平，江勇.网络攻击源追踪技术的分类和展望［J］.清华大学学报（自然科学版），2015，04：497-500.

［2］孙志磊.网络攻击源追踪技术研究［D］.浙江工业大学，2012.

［3］张莉莉.MANET中基于稳定拓扑的DDoS攻击源追踪研究［D］.复旦大学，2012.

［4］张倩倩.反射型分布式拒绝服务攻击中攻击源追踪的研究［D］.济南大学，2012.

Discussion on the classification and Prospect of network attack source tracing technology

Zhao Huibo
（Jilin Armed Police Detachment directly under the provincial network management center，Changchun Jilin，130062）

Abstract：This paper mainly network attack source tracing a variety of technologies are summarized，and analysis the various network attack source tracing technology and their advantages and disadvantages，the network attack source trace back research directions in the future were also discussed， the tracing network attack source technology related questions provide a solution of.

Keywords：network attack source tracing technology； system classification； computer network security；IP source tracking