chanong ①背景:取证人员可以控制骨干网上的全部或大部分路由器,并可以修改路由软件。
取证人员可以提前在骨干网的路由器上添加新功能,并在不影响正常路由的情况下修改标准IP协议,帮助发现真实的IP地址。
基于此条件的方法主要有概率性报文标记算法、确定性报文标记算法、ICMP标记算法等,也有一些组合方法,如采用报文标记和报文记录的混合方法等; 集成ICMP和PPM算法,路由器以一定的概率对IP数据包进行标记,同时将IP地址填充到ICMP数据包中等。
②背景:取证人员可以控制骨干网上的路由器,但不能修改路由软件。
根据这种情况,取证调查人员可以提前观察并记录流经骨干网路由器的IP数据包,但无法更改标准路由协议。
主要思想是记录流经路由器的所有数据包。 当攻击发生时,受害主机会查询其上游路由器。 路由器比较记录的数据包并可以构建数据包所经过的路径。 这种方法的优点是可以追溯单个数据包,缺点是需要考虑路由器的有限存储空间。
因此,针对这种情况,Alex C.、Craig等人在“-IP”中设计了一套跟踪系统SPIE。 它没有让路由器记录整个数据包,而是使用bloom来记录数据包的摘要,这大大减少了所需的存储。 空间。 然后可以通过查询每个路由器上的数据包摘要来重建攻击路径。
还可以基于一些路由器的数据包记录,对于多个攻击源的问题,该方法只需要跟踪属于多个攻击源的数据包即可识别多个攻击源。
在“based (SBL) for IP-on”中,提出了基于的包记录方法,即只记录TCP数据流中的连接建立请求SYN包和连接终止FIN包,而记录TCP数据流中的数据包。流程的中间部分被忽略。 ,从而显着减少所需的存储空间。
在《IP:IP from path》中,对于跨自治域的跟踪问题,可以采用路由器的IP包记录方法,结合链路层的MAC地址来识别虚假IP地址,原型系统有已实施。
由于在这种情况下无法改变现有的路由结构,因此另一个想法是在现有的路由结构上构建覆盖网络( ),并通过新设计的覆盖网络实现数据包跟踪。
③背景:取证人员无法控制骨干网上的路由器,但可以在网络上部署监控器。
在这种情况下,取证人员只能在网络上适当的位置部署监视器来收集数据包。 这里的网络不是指骨干网络,而是指终端网络。
在流量数据包较大的情况下,由于网络拥塞等各种原因,路由器会有一定概率生成目标不可达的ICMP报文。 由于攻击数据包的源IP地址是虚假的并且一般是随机生成的,因此这些ICMP消息将被发送到这些虚假的IP地址,其中包含路由器的IP地址以及原始数据包的源和目标IP地址。
因此,部署在网络上的监控器将会收到这些ICMP报文,并根据发送这些ICMP报文的路由器来构建这些报文的攻击路径。 Stone和He在《an IP for DoS》中提出,利用该项目收集的数据(可以覆盖1/256个IPv4地址),结合骨干网的拓扑结构,可以发现攻击源头一定程度上。
但溯源方法要求攻击报文流量较大,且是在攻击进行时实施。 一旦攻击结束,该方法就无法找到真实的IP地址。
④背景:取证人员既不能控制骨干路由器,也不能部署监控器,但知道骨干网络拓扑。
当取证人员只知道骨干网的拓扑结构,无权控制骨干网中的路由器,也不具备在全网部署监控器的条件时,我们可以采用以下方法进行溯源。
Hal Burch 和 Bill 在“to their”中提出了一种链路测试方法。 在大流量数据包的情况下,从被攻击目标开始,由近到远,依次对被攻击目标的上游路由器进行UDP洪泛。 如果某条链路上存在攻击流量,由于存在洪泛流量,会导致攻击流量丢包。 根据这种现象可以判断某条链路是否存在攻击流量,从而构建攻击路径。
但该方法只能检测单一攻击流量。 如果同时存在多个攻击流量,将很难区分不同的攻击流量。 这种方法还需要大量的攻击包流量,一旦攻击结束,该方法就失效了。 另外,这种方式本身就是DoS攻击,会影响正常的数据流量。
还可以采用基于蚁群的算法,即受害主机发出一些蚁群,这些蚁群根据链路中的负载程度来选择路径。 链路负载越大,越有可能是攻击流量,因此蚁群选择路径。 路径的概率越大。 当所有蚁群到达被监控网络边缘时,可以根据蚁群所走的路径构建最可能的攻击路径。
因此,要解决假IP溯源的普遍问题,可以根据不同情况采用不同的检测方法进行溯源。 然而,当今网络攻击环境和攻击手段复杂且技术不断升级。 我们还需要升级我们的检测手段,提高网络攻击溯源()的技术水平,从而更好地保护我们的网络安全。
微信扫一扫打赏
支付宝扫一扫打赏
