因为目前 NAT 技术的大量应用, 若攻击者主机位于 NAT 前面, 应用私网 IP 地址, 对于攻打源的追踪只能到攻击者的 NAT 网关, 而无奈穿透 NAT 网关。因而, 假如已知攻击者来自于某个 NAT 网关爱护的公有网络, 如何定位攻击者主机在私网中的地位?
编辑
这一问题在有线网络比拟容易解决, 因为 NAT 网关只进行 IP 地址和端口的转换, 对数据包的内容和大部分头部信息并不进行批改, 即便数据包的内容通过了加密。因而只有对公网的数据流和私网的数据流进行监控, 依据 IP 头部中的信息, 如序列号, 就能够把公网数据流和私网数据流关联起来, 从而晓得攻击者的私网 IP 地址和 MAC 地址。
《Source attribution for network address translated forensic captures》钻研了经 NAT 地址转换的数据包起源辨认问题, 指出 NAT 服务器个别不会更改原 IP 数据包头中的序列号。对于 Windows 零碎, 数据流中的包头的序列号通过每次加 1 的形式进行增长, 这能够用于判断来自同一台主机的数据包。而对于 Linux 零碎, 因为采纳序列号随机化的形式, 前述特色无奈用于 Linux 主机, 但能够通过 Http 协定报头中的时戳、cookie 等来判断。
《A layer-2 extension to hash-based IP traceback, IEICE Transactions Information and Systems》基于其它研究员的数据包记录的办法, 提出了一种 2 层网络的攻打源追踪办法, 即在已知离攻击者主机最近的路由器的状况下, 在内网中确定攻击者的主机。
该办法通过在路由器上记录数据包的 MAC 地址、来自交换机的哪个端口、来自路由器的哪个端口, 通过建设这些信息的摘要表, 从而能疾速辨认出攻击者主机所在的子网。
而《IP traceback in a switched ethernet network》中的研究员认为上一个的办法在理论 2 层替换网络中部署艰难。基于《Single packet IP traceback in AS-level partial deployment scenario》中的办法联合交换机中的审计记录, 提出一种新的攻打溯源办法, 实现即便只有一个攻打数据包, 也能够进行追踪。
在无线局域网中, 这一问题就比拟艰难了, 因为无线路由器不仅要进行 IP 地址的转换, 而且会对 IP 数据包, 包含 IP 头部进行加密, 如 WPA 算法, 这样就无奈通过内、外网数据流的察看来进行关联。
《Identifying mobiles hiding behind wireless routers》对这一问题进行了钻研, 利用数据包的大小在数据流中填加水印, 从而对内、外网数据流进行关联。
具体来说, 该办法是针对数据流从外网流入内网的攻击者主机的状况, 在外网中可能管制相干的数据流, 抉择一个作为水印的特色码, 而后随机抉择数据流中的多个数据包, 用大小为 700 字节的数据包代表码元 0,1000 字节的数据包代表码元 1 若抉择的数据包超过所代表码元的数据包大小, 则把该数据包按码元大小进行分组。
若小于, 则从新抉择下一个数据包。之所以抉择这两个数据包字节大小, 是因为通过对 802.11 数据帧进行统计, 具备 500—1000 字节大小的数据帧很少, 能够防止误报。
这样在内网中检测数据流中所嵌入的特色码, 则能够将内、外网数据关联起来。
但这一办法不能用于从内网流出到外网的状况, 例如在内网中的攻击者向外动员攻打的时候在外网发现攻打数据流, 须要定位内网的主机地位,目前还未发现有相干文献对这个问题进行钻研。
《Identifying mobiles hiding behind wireless routers,》中可能取得内网中攻击者主机的 IP 地址和 MAC 地址, 但在大型公共场合的无线网络中, 如机场、车站、宾馆, 如何定位攻击者主机的物理地位依然是一个问题。
《3DLoc: three dimensional wireless localization toolkit》对此问题进行了钻研, 假如已知攻击者主机的 MAC 地址, 设计了一套零碎来定位指标的物理地位。该零碎利用定向天线捕捉无线数据帧, 辨认出源 MAC 地址为指标 MAC 地址的数据帧, 利用数据信号强度定位信号的起源方向, 通过多个地点的测量, 即能够定位出指标的物理地位。
该零碎可能对三维空间进行定位, 即便攻击者主机位于高楼中, 测量地点在楼外, 也能够定位出攻击者主机所在的楼层房间。