共计 1443 个字符,预计需要花费 4 分钟才能阅读完成。
IP 地址跳板攻打溯源中,咱们须要先确定本地网络中是否存在攻击者的跳板。具体可参考(跳板攻打原理及如何追踪定位攻击者主机(上))
那么在本地网络中发现跳板后,又要如何追踪定位攻击者主机?这种状况下须要和其上游的网络管理域进行合作,依照雷同的办法进行检测,直至发现真正的网络攻击源,检测办法如下:
因为这一过程须要人工参加,在《Cooperative intrusion traceback and response architecture (CITRA)》一文中给出了一个主动合作的框架机制。该办法综合各个网络域中的网络设备,如防火墙、路由器等,通过多个网络域的合作来追踪攻打源。《Inter-packet delay-based correlation for tracing encrypted connections through stepping stone》一文指出,能够对攻打门路上的各个跳板采纳计算机取证的办法,通过各个跳板的日志记录来进行追踪。但这种办法受限较大,因为攻击者可能曾经齐全管制了跳板主机,那么这些跳板主机上的日志记录也可能已被攻击者所批改。
上述办法须要各个网络域的合作,但如果上游攻打门路上有一个或多个网络管理域无奈进行单干,则很难定位真正的攻击者。依据检测人员所把握的资源,能够分为两种状况:
1. 检测人员能够在网络上部署传感器
依据攻击者的数据包是否加密,能够分为两种状况
(1) 数据包未加密文献《Sleepy watermark tracing: an active network-based intrusion response framework》给出了一个被动的办法,即在回传给攻击者的数据包中注入水印特色,在攻打门路上部署传感器,从而追踪到攻击者。
(2) 数据包加密文献《Robust correlation of encrypted attack traffic through stepping stones by flow watermarking》对这种状况进行了钻研,所提办法实际上是《Robust correlation of encrypted attack traffic through stepping stones by manipulation of interpacket delays》这种状况下的天然延长。
通过扭转回送给攻击者的数据包的时序特色,也就是以数据包之间的间隔时间为载体来填加水印信息,从而追踪数据包的流向。还有研究员采纳对数据包的来回工夫进行测量。该办法基于这样一个假如,失常的数据包发送和回复工夫相差应该在一个无限的工夫内,而回传数据包通过跳板进行中继,这个工夫必然远高于失常的时间差。这个工夫越长,阐明检测点离攻击者主机的间隔越远。
2. 检测人员无奈在网络上部署传感器
在这种状况下,攻打源定位问题依然是一个凋谢的问题。目前暂未发现有研究员在这一约束条件下进行钻研。但局部研究员也有一个奢侈的想法,相似于针对僵尸网络溯源的办法。
如果检测人员在攻击者未觉察的状况下能管制跳板主机在跳板主机回传给攻击者的音讯中插入可执行代码,当攻击者接管到音讯后,可执行代码在攻击者主机上运行,把攻击者主机的信息发送给检测人员。
不过这一思路须要依据攻击者所应用的软件工具,开掘其破绽,难度较大,且不具备通用性。综上所述,对于在本地网络中发现跳板后,如何追踪定位攻击者主机?次要是以下几种解决方案:
跳板攻打的隐匿性性,给互联网安全带来了很大的隐患。将来,网络安全的难度和整个网络架构的设计都将面临更大的挑战。