下载文档原格式
网络安全事件溯源技术追踪攻击行为的工具和技巧随着网络的飞速发展,网络安全问题也日益突出。
网络攻击事件时有发生,给个人和组织带来了巨大的损失。
因此,网络安全专家们不断寻找有效的方法来追踪攻击行为,以便及时采取措施保护网络安全。
本文将介绍一些网络安全事件溯源技术,包括常用的工具和技巧。
一、网络安全事件溯源技术的意义和目标网络安全事件溯源技术旨在通过收集和分析攻击痕迹,追踪攻击行为的源头,便于快速响应和采取相应的防御措施。
其主要目标包括以下几点:1.确定攻击来源:通过溯源技术可以追踪到攻击的源头IP地址和攻击者的实际物理位置,有助于确定攻击来自哪个国家、组织或个人。
2.获得攻击手段:通过分析攻击痕迹和方式,可以获取攻击者的技术手段和方式,进一步加强网络安全防御。
3.确保法律追诉能力:通过溯源技术可以为网络安全事件提供证据,有助于将攻击者绳之以法,维护网络环境的秩序和安全。
二、网络安全事件溯源的基本原理网络安全事件溯源技术的基本原理是通过收集和分析网络流量等数据信息,从而确定攻击源的位置和身份。
下面介绍几种常用的溯源技术和工具:1.包过滤:这是一种最基本的溯源技术,通过对网络流量进行监控和分析,筛选出与攻击相关的数据包,并追踪其路径,以确定攻击源。
2.IP追踪:通过对攻击者的IP地址进行追踪,可以找到他们所在的物理位置。
常用的IP追踪工具有“tracert”和“traceroute”。
3.DNS日志分析:域名系统(DNS)日志包含了访问者的域名解析请求信息,通过分析这些日志可以了解到攻击者对特定IP地址进行的查询,从而追踪到攻击源。
4.入侵检测系统(IDS):IDS能够实时监控网络流量,通过识别和报警异常行为,帮助追踪攻击源。
5.火墙日志分析:通过分析防火墙日志,识别和分析异常连接和攻击行为,追踪攻击源IP地址。
6.虚拟专用网络(VPN):通过建立加密通道,隐藏真实的IP地址和数据,为用户提供匿名性,增加追踪攻击者的难度。
网络追踪技术是当今社会中一项热门的话题,尤其是对于那些遭受网络侵犯的人来说。
在这个数字化时代,人们变得越来越依赖互联网,但同时也面临着越来越多的网络安全威胁。
因此,了解如何通过网络追踪查找网络侵入者对于保护个人隐私和信息安全至关重要。
本文将讨论如何利用网络追踪技术来揭示网络入侵者的身份,确保网络安全。
首先,要想追踪网络侵入者,我们需要了解网络追踪的基础知识。
网络追踪是通过追踪和记录来自其他计算机的网络流量,并分析这些数据以获取有关其来源和目的地的信息。
具体而言,它可以通过查看IP地址、追踪数据包的路径以及分析网络服务器的访问日志等方法来进行。
其次,我们可以利用一些工具和技术来实现网络追踪。
其中最常用的工具是网络流量分析器。
通过使用网络流量分析器,我们可以捕获和分析网络数据包,从而确定数据包的源IP地址和目标IP地址。
此外,网络防火墙也是一种重要的工具,它能够监控和记录进出网络的流量,并阻止非法入侵。
此外,还有一些额外的技术,如内存分析、日志分析和恶意软件分析等,也可用于追踪网络入侵者。
进一步地,为了追踪网络入侵者,我们还需要了解一些网络追踪的技巧。
首先,我们可以通过分析IP地址来查找网络入侵者的位置。
根据IP地址,我们可以确定大致的地理位置,并通过与法律部门合作来进一步调查。
其次,我们可以利用网络服务器的访问日志来追踪入侵者的行动轨迹。
通过分析日志文件中的访问记录,我们可以看到网络入侵者的访问时间、访问路径和活动。
此外,我们还可以使用一些特殊的追踪技巧,如域名解析、网络嗅探和Wi-Fi定位等,来获取更详细的追踪信息。
当然,在追踪网络侵入者时,我们也需要注意一些道德和法律问题。
首先,我们必须遵守隐私保护的原则。
在追踪过程中,我们应尽量避免侵犯他人的隐私权,并在合法的范围内进行操作。
其次,我们需要遵守当地的法律法规,确保我们的追踪行为是合法的。
在一些国家或地区,进行网络追踪可能需要获得相关授权或合法许可。
网络安全防护的网络攻击溯源与追踪随着互联网的快速发展,网络安全问题日益突出。
网络攻击威胁不断增加,给个人、企业以及国家带来了巨大的损失。
因此,网络安全防护显得尤为重要。
而网络攻击溯源与追踪作为网络安全防护的一项关键技术,具有重要的意义。
本文将围绕网络安全防护的网络攻击溯源与追踪展开讨论。
一、网络攻击溯源与追踪的概念网络攻击溯源与追踪是指通过技术手段追查和定位网络攻击行为,确定攻击来源以及攻击者身份的过程。
它通过收集、分析和解释网络攻击过程中的各种数据,包括网络流量、日志、报告等,以便识别攻击者的位置、相关信息等。
网络攻击溯源与追踪是一项技术复杂、要求高的工作。
它需要依赖多个关键技术,如网络流量分析技术、日志分析技术、多维度数据分析技术等。
通过这些技术手段的综合运用,才能实现对网络攻击源的溯源与追踪。
二、网络攻击溯源与追踪的意义网络攻击溯源与追踪在网络安全防护中具有重要的意义。
首先,它可以帮助抵御网络攻击。
通过追溯和追踪攻击者,可以发现攻击的来源,及时采取相应的措施进行应对和防范,从而降低网络攻击的风险和损失。
其次,网络攻击溯源与追踪可以提供对攻击者的直接证据。
通过搜集和分析攻击过程的相关数据,可以确定攻击者的IP地址、攻击路径、攻击方式等,为追究其法律责任提供重要的证据支持。
再次,网络攻击溯源与追踪可以为网络安全防护的持续改进提供依据。
通过对网络攻击源的追踪与分析,可以洞察攻击者的技术手段、攻击路径等,从而加强对其攻击的防范,提升网络安全水平。
三、实施网络攻击溯源与追踪的关键技术要实施网络攻击溯源与追踪,需要借助各种关键技术的支持。
以下列举几种主要的技术。
1. 网络流量分析技术:通过对网络数据包进行深入分析,可以确定攻击者的IP地址、攻击时间等信息。
2. 日志分析技术:通过对网络设备、服务器等产生的日志进行分析,可以了解攻击的详细过程,包括攻击方式、攻击路径等。
3. 多维度数据分析技术:通过将来自不同来源的数据进行整合和分析,可以揭示出攻击者的行为特征、攻击模式等重要信息。
网络攻击溯源技术: 如何追踪黑客?引言在当今数字时代,网络攻击变得越来越普遍和严重。
黑客们利用各种手段侵入系统和网络,窃取敏感信息、破坏数据,给个人和组织造成巨大的损失。
为了有效打击网络犯罪活动,追踪黑客成为了重要的任务。
本文将介绍网络攻击溯源技术,探讨如何追踪黑客的方法和工具。
1. IP地址追踪IP地址是互联网中设备的唯一标识符,追踪黑客的首要方法是获取和分析黑客使用的IP地址。
通过网络日志、入侵检测系统和防火墙等安全设备,管理员可以获得黑客攻击的源IP地址。
然后,可以通过查询公共IP地址数据库,如ARIN、APNIC等,获取IP地址的基本信息,如分配地理位置、所属组织等。
同时,还可以利用WHOIS工具来获得更详细的信息,如IP地址的拥有者和联系方式。
通过分析这些信息,我们可以初步追踪黑客的大致位置和身份。
2. 日志分析网络设备和服务器通常会记录大量的日志信息,包括网络流量、系统事件和用户活动等。
分析这些日志可以帮助我们了解黑客的攻击行为和攻击路径。
例如,通过检查入侵检测系统的日志,我们可以发现黑客的攻击模式和使用的工具。
通过分析网络流量日志,我们可以了解黑客的通信方式和使用的协议。
此外,还可以通过分析系统事件日志和访问日志,发现黑客的异常行为和痕迹,提供线索进行溯源。
3. 恶意软件分析黑客通常使用恶意软件来实施攻击,例如病毒、木马或僵尸网络。
对这些恶意软件进行分析可以揭示黑客的意图和攻击方式。
通过反汇编或动态调试恶意软件,可以获取有关黑客的信息,如使用的命令和控制服务器IP地址。
同时,还可以分析恶意软件的特征和行为,与已知恶意软件库进行对比,找到相应的匹配。
这些分析结果将有助于确定黑客的技术水平和可能的攻击手段。
4. 邮件头和域名分析电子邮件是黑客常用的传播恶意软件和进行钓鱼攻击的方式之一。
通过分析邮件头和域名,我们可以了解黑客的发件人地址和使用的服务器。
邮件头中包含了关于邮件传输的详细信息,如发件人IP地址、邮件路由等。
网络安全和攻击溯源如何追踪和定位黑客攻击来源网络安全是当今信息社会中非常重要的一个领域,而黑客攻击作为网络安全的主要威胁之一,给人们的生活和工作带来了很大的风险和困扰。
在保护网络安全的过程中,追踪和定位黑客攻击的来源就成为了关键一环。
本文将阐述网络安全和攻击溯源的基本原理,并介绍追踪和定位黑客攻击来源的常用方法和技术。
一、网络安全和攻击溯源的基本原理网络安全是指通过采取各种技术手段和措施,保护计算机网络的安全性、完整性和可靠性,防止未经授权的访问、被篡改、被破坏和被窃取。
而攻击溯源则是指通过技术手段追踪黑客攻击的来源,找出攻击者的真实身份和所在位置。
在网络安全中,首要的一步是建立一个健全的安全体系,包括防火墙、入侵检测系统、入侵防御系统等,以阻止黑客的入侵和攻击。
同时,安全策略的制定和安全意识的培养也非常重要。
攻击溯源主要是通过分析网络数据包的信息来获取攻击者的来源信息。
当黑客对目标网络发起攻击时,不可避免地会在网络中留下痕迹。
溯源的过程,可以通过分析黑客攻击所使用的IP地址、域名、数据包等信息,并通过技术手段追踪到其真实身份和所在位置。
二、追踪和定位黑客攻击来源的常用方法和技术1. IP地址追踪IP地址是互联网中设备的唯一标识,攻击者在进行黑客攻击时往往需要通过互联网与目标建立连接。
因此,通过分析黑客攻击所使用的IP地址,可以初步确定攻击的来源。
IP地址追踪可以通过一些专门的工具和技术来实现。
例如,通过网络流量数据的监测和分析,可以发现异常的IP地址,并对其进行追踪。
此外,还可以利用一些IP地理定位的服务,根据IP地址的物理位置信息来定位攻击来源。
2. 域名追踪黑客攻击中常常利用一些恶意的域名来进行攻击,通过分析这些恶意域名的信息,可以揭示攻击的来源。
域名追踪可以通过查询恶意域名的注册信息和解析记录来实现。
通过查看域名注册者的相关信息,如姓名、邮箱、电话号码等,可以初步确定攻击者的身份和所在地。
网络安全中链路追踪与攻击溯源技术一、网络安全概述随着信息技术的快速发展,网络安全问题日益凸显。
网络攻击、数据泄露、隐私侵犯等事件频发,给个人、企业乃至带来了极大的威胁。
网络安全是指通过采取各种技术手段和管理措施,保护网络空间的安全,确保网络数据的完整性、可用性和保密性。
网络安全的核心目标是防止未经授权的访问、使用、披露、破坏、修改或破坏网络资源,从而保障网络的正常运行和数据的安全。
1.1 网络安全的重要性网络安全的重要性不仅体现在保护个人隐私和企业数据上,更关乎和社会稳定。
网络攻击可能导致关键基础设施的瘫痪,影响社会秩序和经济发展。
因此,加强网络安全防护,提升网络防御能力,是维护社会稳定和经济发展的重要保障。
1.2 网络安全的挑战网络安全面临的挑战主要包括技术挑战和管理挑战。
技术挑战主要是指随着网络技术的发展,新的攻击手段不断出现,传统的安全防护手段难以应对。
管理挑战则是指网络安全管理的复杂性,需要跨部门、跨领域的合作,才能有效应对网络安全威胁。
二、链路追踪技术链路追踪技术是网络安全中的一项重要技术,主要用于追踪网络攻击的来源,分析攻击路径,从而为攻击溯源提供依据。
链路追踪技术的核心在于能够准确识别和记录网络数据包在传输过程中的路径信息。
2.1 链路追踪技术的原理链路追踪技术主要通过分析网络数据包的传输路径,记录数据包在网络中的传输过程。
通过分析数据包的源地址、目的地址、传输时间等信息,可以推断出攻击的来源和路径。
链路追踪技术通常需要在网络的关键节点部署相应的监控设备,实时监控网络流量,记录数据包的传输信息。
2.2 链路追踪技术的应用场景链路追踪技术在网络安全中的应用场景非常广泛,主要包括以下几个方面:- 攻击溯源:通过链路追踪技术,可以追踪网络攻击的来源,分析攻击路径,为攻击溯源提供依据。
- 安全审计:链路追踪技术可以用于网络安全审计,记录网络流量,分析网络行为,发现潜在的安全威胁。
- 网络优化:链路追踪技术还可以用于网络优化,分析网络流量,优化网络结构,提高网络性能。
网络攻击溯源与追踪的技术与方法概述随着互联网的迅速发展,网络攻击成为了一个常见的威胁。
为了保护网络安全,溯源和追踪网络攻击成为了重要的技术和方法之一。
本文将介绍网络攻击溯源和追踪的技术与方法,包括IP地址追踪、日志分析、蜜罐技术以及数字取证等。
I. IP地址追踪IP地址追踪是网络攻击溯源的基础。
每台连接到互联网的设备都有一个唯一的IP地址,通过追踪该IP地址可以确定攻击者的位置。
通常,网络管理员可以利用网络流量监测工具来实时追踪IP地址。
另外,一些专门的溯源工具也能提供更为细致的追踪和地理定位信息。
II. 日志分析日志分析是网络攻击溯源的另一种常见方法。
网络设备、服务器和应用程序可以生成大量的日志,这些日志记录了网络活动和事件信息。
通过分析这些日志,可以找到异常行为并追踪攻击者。
例如,异常登录日志、访问日志和安全事件日志都可以提供有关攻击的线索。
III. 蜜罐技术蜜罐技术是一种主动防御手段,它模拟了一个真实的系统或网络环境,吸引攻击者进攻。
通过设置蜜罐来吸引攻击者,网络管理员可以更好地了解攻击者的行为,并追踪他们的攻击路径。
蜜罐还可以收集攻击者使用的工具和技术,进一步帮助分析和追溯攻击。
IV. 数字取证数字取证是指通过收集、分析和保护数字证据来追踪和识别网络攻击者。
数字取证可以帮助确定攻击者的身份、攻击的手段和目的。
在信息安全领域中,常用的数字取证工具有EnCase、Forensic Toolkit (FTK)等。
通过对计算机文件系统和网络数据流的分析,可以获取与攻击相关的信息。
V. 数据包分析数据包分析是网络攻击溯源和追踪的重要技术手段。
网络上的交换数据包携带着攻击者和受害者之间的通信信息,通过分析这些数据包可以追踪攻击的来源和路径。
一些网络安全分析工具如Wireshark、Tcpdump等,能够帮助捕获网络数据包,并提供详细的协议分析和流量统计。
VI. 协同合作网络攻击溯源与追踪需要多方协作,包括企业、政府和安全机构。
网络IP的定位和追踪技术随着互联网的快速发展,我们的生活离不开网络。
而在网络世界中,每个设备都有一个与之对应的IP地址,通过IP地址我们可以进行定位和追踪。
本文将介绍网络IP的定位和追踪技术,以及其在各个领域中的应用。
一、IP地址的概念和分类1. IP地址的定义和作用IP地址(Internet Protocol Address)是网络设备在网络中的唯一标识符,类似于我们现实生活中的住址。
通过IP地址,网络设备可以相互通信和交换数据。
2. IP地址的分类IP地址根据版本的不同分为IPv4和IPv6两种:- IPv4地址是32位的二进制数,由四个8位的数值组成,每个数值用点分隔,例如192.168.0.1。
- IPv6地址是128位的二进制数,由八组16位的十六进制数值组成,每组之间用冒号分隔,例如2001:0db8:85a3:0000:0000:8a2e:0370:7334。
二、IP地址的定位技术1. IP地址定位的原理IP地址定位通过对IP地址进行解析和分析,确定其所在的地理位置。
定位过程主要涉及到IP地址库、地理位置数据库和算法模型。
2. IP地址定位的方法目前常用的IP地址定位方法包括基于数据库的IP地址定位方法和基于网络拓扑结构的IP地址定位方法:- 基于数据库的IP地址定位方法:通过将IP地址与地理位置进行关联,构建IP地址库和地理位置数据库,利用数据库查询方法进行定位。
- 基于网络拓扑结构的IP地址定位方法:通过对网络路由跟踪和测量,推断IP地址所在的地理位置。
三、IP地址的追踪技术1. IP地址追踪的原理IP地址追踪主要通过追踪IP地址的路径进行,确定数据包从发送端到接收端的经过的网络节点。
追踪过程主要涉及到TTL字段分析、路由跟踪和网络拓扑分析等。
2. IP地址追踪的方法常用的IP地址追踪方法包括Traceroute和Ping等:- Traceroute:通过发送一系列的数据包,观察其返回路径,从而确定数据包的传输路线。
网络攻击工具的不断进化,已经成为当今互联网环境中的一个重要挑战。
为了保护网络安全,网络追踪识别成为一种十分关键的技术手段。
本文深入探讨网络追踪识别网络攻击工具的方法和工具。
一、网络追踪识别的重要性现如今,网络攻击的形式和手段层出不穷,各种自动化机器人威胁、恶意软件和黑客渗透攻击时有发生。
这些攻击往往是匿名进行的,给网络安全带来了巨大挑战。
网络追踪识别技术的应用可以帮助我们了解攻击者的攻击路径、目的和攻击手段,为网络安全的防御提供有效依据。
二、网络追踪识别的方法1.数据包分析网络追踪识别最基本的方法就是通过对网络数据包的分析来识别网络攻击工具。
数据包分析可以包括:源IP地址追踪、目标IP地址追踪和端口追踪等。
同时,还可以结合数据包流量和传输协议特征等进行综合判断,以确定是否存在网络攻击。
2.行为分析行为分析是网络追踪识别中一种常用的方法,通过对网络流量的监控和分析,观察网络中异常行为和异常访问模式,并进一步确定是否存在网络攻击。
例如,当某个IP地址短时间内频繁访问某个目标服务器时,就可以怀疑该IP地址可能是一个网络攻击工具的来源。
3.数据关联分析数据关联分析是一种更加综合的网络追踪识别方法。
它通过对不同网络节点之间的数据关联进行分析,发现攻击者的攻击路径和攻击手段。
这种方法可以通过构建网络拓扑结构、流量分析和行为分析等来实现。
通过数据关联分析,可以追溯网络攻击的源头,有效防止类似攻击再次发生。
三、网络追踪识别的工具1.数据包嗅探工具数据包嗅探工具是网络追踪识别的重要辅助工具,如Wireshark、Tcpdump等。
这些工具可以捕获网络数据包、进行数据包分析,并提供丰富的数据展示和分析功能。
使用这些工具可以方便地捕捉和分析网络数据包,从而发现潜在的网络攻击工具。
2.防火墙技术防火墙技术是保护网络安全的重要手段之一。
现代防火墙除了能够实现对网络流量的过滤和监控之外,还具备一定的网络追踪识别能力。
通过防火墙日志的分析,可以发现网络中的异常访问行为和攻击迹象,从而追踪识别网络攻击工具。
网络安全事件的追踪和溯源技术解析随着互联网的迅速发展和普及,网络安全问题日益突出。
各种网络安全事件也层出不穷,给个人、组织和国家带来了严重的威胁和损失。
为了应对这些网络安全事件,追踪和溯源技术成为了至关重要的手段。
本文将对网络安全事件的追踪和溯源技术进行解析,探讨其原理和应用。
一、网络安全事件的追踪技术网络安全事件的追踪技术主要是通过跟踪网络数据包的流向和路径,以确定攻击源和攻击目标。
常用的网络安全事件追踪技术包括IP地址追踪、域名追踪和MAC地址追踪。
1. IP地址追踪IP地址是互联网中设备的唯一标识,通过追踪IP地址可以准确地确定攻击者的位置和身份。
IP地址追踪的原理是通过网络设备之间的路由信息,逐跳追踪数据包的传输路径,从而确定攻击源的位置。
这需要借助网络设备的路由表和路由协议来实现。
2. 域名追踪域名是网站在互联网上的可读性标识,每个域名对应一个IP地址。
域名追踪技术通过解析域名和查找DNS记录,可以追踪到特定域名的IP地址。
这在溯源恶意网站和网络钓鱼等安全事件中非常有用。
3. MAC地址追踪MAC地址是网络设备的唯一物理地址,通过追踪MAC地址可以确定具体攻击设备的身份。
MAC地址追踪的原理是在网络交换机的转发表中查找与MAC地址对应的端口号,从而确定攻击设备所在的网络位置。
二、网络安全事件的溯源技术网络安全事件的溯源技术主要是通过收集和分析网络数据包以及相关日志信息,从攻击目标出发逆向推导出攻击源的身份和位置。
常用的网络安全事件溯源技术包括包头溯源和日志分析溯源。
1. 包头溯源包头溯源技术是通过分析网络数据包头部的信息,包括源IP地址、目标IP地址、源端口号、目标端口号等,来确定攻击源的位置。
这需要借助网络设备的日志记录和网络流量监控系统来实现。
2. 日志分析溯源日志分析溯源技术是通过分析网络设备、服务器和应用系统的日志信息,追踪到攻击者的行为轨迹和关键操作,从而确定攻击源的身份。
这需要借助安全信息与事件管理系统(SIEM)和日志分析工具来实现。
技7lt论1云7a劬加坶局,z们,互联网的共享性和开放性使网上信息安全存在先天不足,再加上系统软件中的安全漏洞以及网络系统欠缺严格的管理,使得系统、网站很容易受到踟络攻击。
黑客使用没有可识别特征的数据分组实施网络攻击,基本上没有留下任何犯罪证据。
到目前为止,还没有卓有成效的针对网络犯罪的反击和追踪手段,而且对网络攻击的悯查也几乎总是通过人工处理或者阅读记录、日志等手段来完成的。
为了便于读者了解网络攻击和追踪技术,本文首先分析了网络攻击的基本原理和网络攻击类型。
并在此基础上,重点探讨了自动追踪攻击者的源TP地址的主动追踪和反应追踪技术。
最后阐述了这些追踪方法的局限性。
一.网络攻击的原理和类型一旦追踪系统确定了攻击主机,调查人员就可以实施传统的犯罪调查或者证据搜集方法找到攻击者。
耍分析追踪问题,必须理解攻击者是如何进行网络攻击,以及他们是如何隐藏他们的身份的。
Internet上攻击及自动追踪技术的身份通常是由两部分组成的:IP地址和用户账号。
1.IP地址TP地址用于将TP分组发送到发送者所指定的目的主机。
每个分组包含两个IP地址:一个是分组的源地址;另一个是分组的目的地址。
直到分组到达目的主机时,它才会使用关于源主机的信息。
因此,攻击者可以伪造分组的源地址,将它设置为另一个计算机的地址或者一个根本不存在的计算机地址,但是该分组仍然能到达它的目的主机。
因此,在Internet上的单向通信中隐藏身份的一种简单方法就是伪造或者欺骗源地址,只需将任何一个假地址放在源地址域中就可以了,如图1所示。
欺骗双向通信中的源地址要复杂一些。
但是,即使攻击者看不到受害主机发送给伪造的源地址的分组,攻击者也能实施可预测的简单双向通信。
这是因为一些操作系统在网络通信中使用了很容易猜测的序列号,所以攻击者能猜出受害主机的响应分组中的TCP序列号。
攻击者还可以利用无辜主机(充当反射主机)攻击目标。
如图2所示,攻击毛机向反射主机发送一个耍求响应的分组。
如果攻击者将冉晓曼攻击目标的源IP地址作为该分组的源地址,耶么反射主机就会将它的响应分组发送给攻击目标,这样反射主机所发送的响麻分组就构成了攻击源。
对于受害主机来说,攻击就像是来自反射主机的。
而对反射主机来说,初始分组却像是来自受害主机的。
图2反射主机隐藏身份2.用户账号Inte丌1et身份的第一个组成部分是用户账号,通常包括用户名(用户ID)和某些身份验证资料(通常为密码)。
系统使用身份验证资料确认提供用户TD的人是否是拥有这个账号的人。
一旦攻击者了解了无辜用户的用户ID和密码,他就能伪装成那个人实施犯罪。
通过获得管理特权,攻击者还能在任何一台计算机上创建新账号。
攻击者就利用窃取来的账号清洗攻击分组:被窃取帐号的主机(以下称清洗主机)接收和处理攻击主机的分组,然后再将分组发送给受害主机,如图3所示。
图3利用清洗主机伪装身份 万方数据该过程将分组的源地址改为清洗主机的源地址,并且清洗过的分组的内容可以和攻击者的原始分组的内容不同。
因此,攻击者可以利用清洗主机伪装他们的身份。
攻击者主要采用两种方式进行清洗伪装:僵尸(Zombies)和踏脚石(S硷ppingStones)。
1)僵尸方式在攻击者继续攻击之前,转换和延迟攻击者的通信。
攻击者可以在僵尸主机上安装一个Tr州an程序——程序会在攻击者发出攻击之后的数分钟、数天或数周延迟之后攻击受害主机。
或者,攻击者会触发(通过远程命令或者是定时的触发程序)僵尸主机上的内置攻击脚本程序——程序会向受害主机发送多个分组。
2)踏脚石方式攻击者利用一个巾间主机作为踏脚石。
一旦登录到踏脚石主机,攻击者就能发起一次攻击,升且任何一次追踪都不会通往攻击者,而是指向踏脚石上的无辜或者虚假用户。
攻击者通常利用多个踏脚石主机实施典型的喾透攻击:使用Telnet或其他通用程序登录到主机A,然后利用主机A登录到主机n,等等。
最终传送给受害主机的分组是经过多个踏脚石主机接收、重新打包和重新发送的。
=、自动追踪技术lP追踪的目的是识别产生攻击分组的主机的真正rP地址。
通常,可以通过检测IP分组的源IP地址域来实现。
但是,由于发送者可以很容易地伪造这个地址信息来隐藏他的身份,所以必须采用各种TP追踪技术:不仅能识别攻击主机的真正IP地址,而且还可以获得有关产生攻击的机构的信息,例如它的名称和网络管理员的E—mail地址等。
现有的IP追踪方法可以分为主动追踪和反应追踪两大娄。
1.主动追踪为了追踪JP源地址,主动追踪需要在传输分组时准备一些信息,并利用这些信息识别攻击源。
有两种主动追踪方法:分组标记和消息传递。
1)分组标记。
如图4所示:图4分组标记在分组标记中,分组中存储了其通过网络时所经过的每个路由器的信息。
接收到经过标记的分组的主机可以使用这个路由器信息反向追踪攻击源的网络路径。
但是,路由器必须能够标记分组,而且不会干扰正常的分组处理。
路由器可以在分组的Il’报头标识域中写它的标汉符。
每个标记的分组在标识域中只包含攻击路径上的一两个路巾器的信息。
但是,在扩散类型攻击中,目标网络接收了许多攻击分组,并且能够收集足够的信息识别攻击路径。
标识域用于重组分段的分组。
但是,由于分段很少是在Intenlet上创建的,所以修改标识域不会影响正常的分组处理。
2)消息传递.在消息传递方法中,路由器创建并向分组的目的地发送泫分组在传输过程中所通过的前向节点的信息。
图5ICMP追踪消息如图5所示,说明了Intemet_L=硪加D矗渺‘而,柳技7It论I云程任务组(TFTF)所提出的方法:In怡mec控铂忖艮文协议(IcMP)追踪消息。
路由器创建一个ICMP追踪消息(包含通过该路由器的IP分组),并将该消息发送给分组的目的地。
可以通过查找相应的JCMP追踪消息,以及检查它的源IP地址,来识别经过的路由器。
但是,由于为每个分组都创建一个ICMP追踪消息会增加网络业务,所以每个路由器以l/20,000的概率为要经过它传输的分组创建IcMP追踪消息。
如果攻击者发送了许多分组(例如,住扩散类型的攻击中),那么目标网络可以收集足够的ICMP追踪消息来i只别它的攻击路径。
2.反应追踪在检测到攻击之后,反应追踪才开始追踪。
这种方法大多是从攻击目标反向追踪到攻击的发起点。
关键问题是要开发有效的反向追踪算法和分组匹配技术。
1)逐段追踪逐段追踪从距目标主机最近的路由器开始,逐段反向追踪到攻击主机。
如图6所示。
图6逐段追踪在逐段追踪中,追踪程序登录上距离受攻击的主机最近的路由器,并监控输入分组。
如果汝程序检测到电子欺骗的分组(通过比较分组的源IP地址和它的路由表信息),那么它就会登录到上一级路由器,并继续监控分组。
如果仍然检测到电子欺骗的扩散攻击,该程序就会在再上一级路由器上再次检测电子欺骗的分组。
重复执行这一过程,直 万方数据技7lt论坛7j胡,2D矗增y而,聊z到到达实际的攻击源。
2)1Psec身份验证另一种反应追踪技术是以现有的IP安全西议为基础。
当入侵检测系统(IDS)检测到攻击时,Intem乩密钥交换(1KE)协议就在目标主机和管理域中的一些路由器之间建立IPsec安全连接(SA)。
SA端点上的路由器在通过的分组上添加一个IP9ec报头,以及一个包含路由器的口地址的隧道IP报头。
如果攻击仍在继续,并且SA鉴别出有后续攻击分组,那么这个攻击必定是来自相应路由器之外的一个网络。
接收机检查隧道lP报头的源IP地址,从而找出攻击分组所通过的路由器。
重复这个过程,直到接收机最终到达攻击源。
由于这个技术使用了现有的皿M和IKE协议,所以没有必要为管理域中的追踪实现一个新协议。
但是,要实现管理域之外的追踪,就必须有一个特殊的合作协议。
3)确定因果关系如果在数据流中没有标记,内容或者时间等信息,那么自动找到僵尸主机上游的攻击主机是很难的。
产生攻击的上行数据流通信与僵尸主机所发送的下行数据流无论是在内容上还是在时间上都是不一致的。
调查人员知道的只是僵尸主机所接收到的通信在某个时候引起了观测到的输出分组数据流。
确定因果关系将需要访问僵尸主机上的日志,从而发现输出流的直接原因(例如Tr。
jan程序)和触发程序。
调查人员使用这个信息选择一个时间窗,在这个时间窗中查寻真正的因果事件源。
例如,调查人员可以检查在时间窗内建立的远程连接。
很明显,时间窗越长,可能的源集合就越大。
4)数据流匹配数据流匹配就是比较踏脚石清洗主机的输入和输出的分组数据流,从而追踪攻击路径。
这些技术主要根据两个特征进行匹配:分组内容和分组间定时。
必须实时进行数据流匹配,或者数据流匹配系统必须存储要进行匹配的数据流信息。
(1)内容匹配这种机制将分组数据流按时间间隔分为若干段,并且创建该段的摘要(例如用HAsH算法刨建)。
通过计算两个分组数据流摘要的相似度,来比较这两个流是否匹配。
如果两个分组数据流有类似的个性特征,那么几乎可以肯定它们是相同的分组数据流,而不是两个毫无关联的随机数据流。
尽管这个机制可以很好地应用于未加密的数据流,但是中间加密使得这种方法无法进行流匹配。
(2)分组间定时匹配一些研究结果表明:尽管随机的网络延迟、网络拥塞增加了比较的干扰,但是在网络中的不同的两点所观测到的同一个分组数据流的定时特征比不相关的流的定时特征耍更相似。
结论计算机网络安全问题越来越受到人们的重视,了解了网络攻击的基本原理和类型,有助于读者理解自动追踪系统。
自动追踪技术能帮助人们缩小要追踪的攻击源的范围,帮助网络用户发现、阻止和起诉Internet上的攻击者,但是这还需要一段时间。
即使使用这种系统,也将需要人类非自动的干预。
特别是,人们必须解决追踪的管理屏障,并且提供自动处理无法获取的信息,例如工作记录、电话记录等。
这就要求系统管理员保持日志、记录以及追踪系统工作所需要的其他信息;要求行业内部、服务提供商、网络管理员、网络用户和法律执行部门的有效协作。
(解放军信息工程大学信息工程学院)o 万方数据网络攻击及自动追踪技术刊名:计算机安全英文刊名:NETWORK AND COMPUTER SECURITY年,卷(期):2003(2)本文链接:/Periodical_dzzwyjc200302011.aspx。
