前言:在网络取证畛域, 网络攻击溯源始终是一个重要的追踪形式。
近年来,网络安全事件层出不穷,各种网络攻击给国家、社会和集体带来了重大的危害,如分布式拒绝服务攻打(DDoS)、基于僵尸网络(Botnet)的高级可继续攻打(APT)、利用近程管制木马的信息窃取等。在这些攻打办法中,攻击者会向指标主机,也就是受益主机,发送特定的攻打数据包。
从受益主机的角度来看,可能察看到这些攻打数据包,如果能追踪这些攻打数据包的起源, 定位攻击者的真正地位, 受益主机岂但能够采纳应答措施, 如在适合的地位过滤攻打数据包,而且能够对攻击者采取法律手段。因而在网络取证畛域, 网络攻击溯源始终是一个重要的追踪形式。
一、什么是网络攻击溯源
在网络空间中, 网络攻击源追踪是指当检测到网络攻击事件产生后,可能追踪定位真正的攻击者的主机,以帮忙司法人员对攻击者采取法律手段。近二十年,钻研人员对网络攻击源追踪技术进行了大量钻研。
更具象化的来说 网络攻击源追踪 是指,在网络空间中,平安人员在检测到攻击行为产生的状况下,如何追踪定位攻击者的主机? 尽管从司法取证的角度, 更心愿能辨认出攻击者自己,以便于对嫌疑人采取法律手段, 但这须要将网络空间中的“主机”与事实物理空间中的“人”进行关联。所以网络空间中,如何辨认出攻击者间接应用的主机才是最重要的。
二、五种常见覆盖实在 IP 的网络攻击追踪问题
因为攻击者能够采纳不同的模式来暗藏本身实在的 IP 地址,如虚伪 IP 地址或跳板的形式, 那么能够将攻打源追踪问题分为上面 5 个问题: 虚伪 IP 溯源、僵尸网络溯源、匿名网络溯源、跳板溯源、局域网溯源,由此对这五种问题进行追踪溯源。
1. 虚伪 IP 溯源: 取证人员检测到的攻打数据包中,其源 IP 地址是伪造的。例如,典型的 SYN Flood 攻打。
在这种网络攻击中,攻击者将攻打数据包中的源 IP 地址替换为伪造的 IP 地址, 受益主机收到数据包后, 将响应数据包发送给伪造的 IP 地址主机,这些主机可能存在也可能不存在。这样在受益主机端, 无奈失去攻打主机的 IP 地址。
除此之外, 还有一种非凡的“反射攻打”, 如 Smurf 攻打、DNS 放大攻打等在这种攻打中, 攻击者将攻打数据包中的源 IP 地址替换为受害者的 IP 地址,将攻打数据包发送给反射主机,反射主机收到数据包后,响应数据包将发送给受益主机。从受益主机端察看,只能判断这些数据包来自反射主机,无奈晓得真正攻击者的 IP 地址。
2. 僵尸网络溯源: 攻击者利用僵尸网络动员攻打,取证人员检测到攻打数据包中,其源 IP 地址来自于 Botnet 中的 bot 主机,在这种状况下如何追踪定位攻击者的主机?
在这种攻打中,攻击者利用 C &C 型或 P2P 型 Botnet,先发送控制指令, bot 主机接管到控制指令后, 向设定的攻打指标动员攻打。在受益主机端, 能够看到攻打数据包来自 bot 主机,而无奈辨认出真正的 Botmaster。
3. 匿名网络溯源: 攻击者利用匿名网络, 如“Tor”, 动员攻打, 取证人员检测到攻打数据包中, 其源 IP 地址来自于匿名网络,在这种状况下如何追踪定位攻击者的主机?Tor 网络就是匿名网络典型的攻打场。
在这种攻打中, 攻击者的攻打数据包通过匿名网络进行转发,在受益主机端,只能察看到攻打数据包来自于进口路由器,而不能发现真正的攻击者。
4. 跳板溯源: 攻击者利用多个“跳板主机”,即通过管制多个主机转发攻打数据包,取证人员检测到攻打数据包,其源 IP 地址是最初一跳“跳板主机”的 IP 地址,前一段时间西北工业大学被 NAS 攻打中,就使用了 54 台跳板来暗藏真正的 IP 地址。
在这种攻打中, 攻击者当时管制多个跳板主机, 利用跳板转发攻打数据包。在受益主机端, 只能看到攻打数据包来自于最初一跳的主机, 而不能辨认出真正的攻击者。很显然, 跳板门路越长, 越难追踪攻击者。
5. 局域网络溯源 : 攻击者位于公有网络内,其攻打数据包中的源 IP 地址通过了网关的 VAT(Network Address Transform) 地址转换。
在这种攻打中, 因为攻击者的 IP 地址是公有 IP 地址, 在受益主机端只能看到 NAT 网关的 IP 地址。在大型公有网络内,特地是无线局域网中,寻找定位攻击者并不是一件简略的事件。
在理论的网络攻击事件中, 可能并不严格遵守上述各种攻打场景, 但大抵能够归为上述某个或某几个问题。
三、虚伪 IP 地址攻打溯源
当攻打数据包中的源 IP 地址是伪造的时,如何找到发送攻打数据包的实在 IP 地址? 这一问题也被称为 IP 追踪(IPTraceback)。对该问题, 须要依照不同背景、状况,不同分类办法来施行溯源办法。
1. 背景:取证人员能够管制骨干网络上的全副或大部分路由器,并且能够批改路由软件。取证人员能够在当时给骨干网络的路由器减少新的性能, 在不影响失常路由的状况下批改规范的 IP 协定,以帮忙发现实在的 IP 地址。
基于这一条件的办法次要有概率包标记算法、确定包标记算法、ICMP 标记算法等。同时还有一些组合办法,例如采纳数据包标记和数据包记录的混合办法;综合了 ICMP 和 PPM 算法, 路由器对于 IP 数据包以肯定概率进行标记, 并且同时把 IP 地址填入 ICMP 包中等等。
2. 背景:取证人员能够管制骨干网络上的路由器, 但不能批改路由软件。依据此种状况,取证人员能够当时察看记录流经骨干网络路由器的 IP 数据包,但不能扭转规范的路由协定。
次要思路是, 在路由器上记录所有流经的数据包,当攻打产生时,受益主机向其上游路由器进行查问, 路由器比对所记录的数据包,能够结构出该数据包所通过的门路。该办法长处是能够回溯单个数据包,但毛病是须要思考路由器存储空间受限的问题。
所以针对此种状况,Alex C.Snoeren、Craig Partridge 等人在《Single-packet IP traceback》设计了一个追踪零碎 SPIE, 不是让路由器记录整个数据包,而是利用 bloom filter 记录数据包的摘要,大大减少了所需的存储空间。而后通过查问每个路由器上的数据包摘要,能够重构出攻打门路。
还能够依据局部路由器进行数据包记录的状况, 并且对于多个攻打源问题, 该办法只须要追踪属于多个攻打源的数据包就能够辨认出多个攻打源。
在《Session based logging (SBL) for IP-traceback on network forensics》中提出一种基于 Session 的数据包记录办法, 即只记录 TCP 数据流中的连贯建设申请 SYN 数据包和连贯终止 FIN 数据包, 疏忽掉流两头的数据包, 从而大大减少所需的存储空间。在《Passive IP traceback: disclosing the locations of IP spoofers from path backscatter》中针对跨自治域的追踪问题, 能够利用路由器的 IP 包记录办法, 联合链路层的 MAC 地址来辨认虚伪 IP 地址, 实现了一个原型零碎。
因为在这种状况下不能扭转现有路由构造, 另外一个思路是在现有路由构造上建设一个笼罩网络(Overlay Network), 通过新设计的笼罩网络来实现数据包跟踪。
3. 背景:取证人员不能管制骨干网络上的路由器,但能够在网络上部署监控器。
这种状况下,取证人员只能在网络适合的地位部署监控器收集数据包,这里的网络不是指骨干网络, 而是指终端网络。
在大流量数据包状况下,因为网络阻塞等各种起因,路由器会有肯定几率产生指标不可达的 ICMP 报文,因为攻打数据包的源 IP 地址是虚伪的,个别是随机产生的, 这些 ICMP 报文会被发往这些虚伪的 IP 地址, 其中蕴含路由器的 IP 地址以及原数据包的源和目标 IP 地址。
因而部署在网络上的监控器会收到这些 ICMP 报文,依据发送这些 ICMP 报文的路由器, 能够结构出这些数据包的攻打门路。Robert Stone 和 Centertrack 在《an IP overlay network for tracking DoS floods》提出了,利用 NetworkTelescope 我的项目 (可能笼罩 1 /256 的 IPv4 地址) 收集的数据,联合骨干网的拓扑构造, 能够在肯定水平上发现攻打源。
然而溯源追踪的办法要求攻打数据包的流量比拟大,并且在攻打正在进行的时候施行,一旦攻打完结,这种办法就无奈找到实在的 IP 地址。
4. 背景:取证人员既不能管制骨干路由器, 也不能部署监控器, 但晓得骨干网络拓扑构造。
在取证人员只晓得骨干网络的拓扑构造, 没有权限管制骨干网中的路由器, 也没有条件部署遍布全网的监控器的状况下,咱们能够采取以下几种追踪溯源的办法。
Hal Burch 和 Bill Cheswick 在《Tracing anonymous packets to their approximate source》提出了一种链路测试的办法。在大流量数据包的状况下,从被攻打指标登程, 由近及远,顺次对被攻打指标的上游路由器进行 UDP 泛洪。若某条链路上存在攻打流量, 因为泛洪流量的存在,将导致攻打流量丢包。依据这一景象,即能够判断出某条链路上是否存在攻打流量, 从而结构出攻打门路。
不过该办法只能对单个攻打流量进行检测, 若同时存在多个攻打流量,则很难辨别不同的攻打流量。这种办法同样要求攻打数据包流量较大, 并且一旦攻打完结, 办法也就生效了。另外,这种办法自身就是一种 DoS 攻打,会影响失常的数据流量。
也能够采取一种基于蚁群的算法, 即受益主机收回一些蚁群, 这些蚁群依据链路中负载的水平来抉择门路, 链路负载越 大阐明越可能是攻打流量, 因而蚁群抉择该门路的概率越大。当所有蚁群达到所监控网络边缘时, 依据 蚁群所走过的门路, 则能够结构出最有可能的攻打门路。
5. 背景:取证人员既不能管制骨干路由器、不能部署监控器, 也不晓得拓扑构造。如果取证人员不把握任何资源, 在这一条件下仿佛不可能追踪到实在的 IP 地址。但能够采取某种办法, 取得骨干网络的拓扑构造, 从而将问题转化为拓扑构造的状况,。如 Dawn Xiaodong Song, 和 Adrian Perrig 在《Advanced and authenticated marking schemes for IP traceback》就是利用了 traceroute 获取网络拓扑构造。
所以对于个别虚伪 IP 溯源问题的解决,能够依据状况的不同采纳不同的检测办法进行追溯。不过现如今网络攻击环境、攻打手法简单且技术一直降级,咱们也须要降级咱们的检测办法,进步网络攻击溯源的技术水平,这样能力更好地爱护咱们的网络安全。