浅谈网络攻击源追踪技术的分类及展望论文浅谈网络攻击源追踪技术的分类及展望论文1IP源追踪技术IP源追踪技术大致上可以分为两类，即反应式追踪、主动式追踪。其中反应式追踪则是对攻击进行检测，之后才开始对攻击源过程进行追踪的一种追踪技术。主动式追踪则是同时实时监测数据包转发，当法神攻击时，可以根据实时监测的结果，重新构建攻击路径。只能在攻击流保持活动时，反应式追踪才能对攻击流进行追踪，如果攻击流结束，就无法对IP源进行确定，所以反应式追踪这类追踪技术，通常适用于实时阻断时使用，对于事后却无法起到分析作用，主要有控制洪流、输入调试两种典型的方法。其中输入调试，则是利用路由器，该路由器并且具有带输入调试功能，当发生攻击之后逐跳，对攻击特征包的路径、路由入口进行确定，通过反复使用，从而对攻击包发送的真实IP进行确定。在IP源追踪时，输入调试方法是最容易想到的一种方法，但是采用该方法，要求应用于追踪路径上的路由器，全部必须具有输入调试能力，并且需要手工来进行干预，与互联网服务提供商，即ISP具有依赖性，与ISP服务商高度合作，追踪速度就会显得比较慢。另外一种典型的方法，即控制洪流，当发生攻击时，首先采用已有的因特网拓扑图，对距离受害者最近路由的链路进行选择洪流攻击。对自攻击者的包的变化进行观察，通过观察之后确定攻击数据包到底是来自哪条链路，采用同样的方法对其他每一条链路进行洪流控制。控制洪流这种典型的方法，经过研究是非常有效的。自身就是属于一种DOS攻击，需要与因特网拓扑图、上游主机进行高度合作。主动式追踪，是一种既可用于事后分析，又可以对攻击的实时阻断。其中包标记法修改IP协议，当数据包通过路由时，以一定概率的路由器把路由信息标记在数据包的IP包头的identification字段当中，当收到足够多的包之后，受害者就可以根据包头的信息，重新构建攻击路径。这种方法不会产生额外的流量，也不会被安全策略堵塞，被防火墙阻止，只使用IP包本身的信息。而且需要与来自ISP服务商进行高度合作，这种方法无法适用于分段的IP包、IP通讯加密等等。并且通过相关研究表明，由于包标记方法，在多个包中存储路由信息数据，利用近似生日组的概念，使得攻击组散播错误的信息。目前而言，包标记法有不同分类，最基本的也是最常用的即是指PPM方法。PPM方法的最大优点在于，容易实现，但是该方法有着较高的虚警率，需要很大的计算量，对DDOS的供给是没有任何作用的。并且有较差的鲁棒性。通过改进的标记方案，改进和认证PPM方法，促进了精确度、鲁棒性的提高，而且计算量也有所降低。将IP源追踪技术问题，通过代数方法转化为多项式重构问题，对假冒的IP数据包的真实源点，通过利用代数编码理论得以恢复。与PPM方法的最大的区别在于不是采用HASH函数作为效验器，而且利用Hornet规则迭代地算数编码边信息作为效验器。路由记录法，对一种特殊的路由器进行利用，摘要近期所转发的IP包保存包，根据所受到的攻击数据包的摘要以及路由器中保存的摘要，受害者可以重新进行构建攻击路径，路由记录方法的典型是源路径隔离引擎，即SPIE。这种方法最大的优点在于就是能够准确的反向跟踪单个数据包，漏警率为零。并且互操作性也非常的好。这种方法最大的缺点在于，需要与ISP服务商进行合作，对高速路由器存储具有非常高的要求，并且还会对路由器的CPU产生消耗作用，对路由器的流量转发性能有着严重的影响。ICMP消息方法，引入了一种新的iTrace消息，这一消息当中，主要包含了消息发送的路由器IP地址，还有诱发该消息的数据包的相关信息，路由器如果加载了跟踪机制，对假冒的IP源的数据包能够帮助进行识别。但是这种方法会产生大量额外负载，对网络性能有着很大的影响，并且容易被网络安全策略堵塞，远端路由器的ICMP非常有限。目的驱动的iTrace方法，需要引入一个“目的位”在数据包转发表、路由表当中，对某个特殊的目标是否需要iTrace跟踪信息进行决定，这种方法能够对iTrace信息进行精简，能够促进系统性能的提升，几乎不需要改变路由选择结构，其最大的缺点在于，由于路由表被频繁的更新，会使得路由选择机制产生不稳定性，甚者还会改变BGP协议。2跨越挑板的追踪技术能够找到IP源数据包发送的真实地址的IP源追踪技术，但是却不一定能够找到攻击者，而且还是对攻击事件负责的攻击者。因为在实施攻击的过程当中，大多数的攻击者，会利用“跳板”，所以IP源追踪技术对这类攻击来说，只是开始的第一步而已。如果要想找到真正的攻击源，就必须要采用跨越跳板的追踪技术。按照追踪的不同信息源，跨越跳板的追踪技术可以分为基于网络技术、基于主机的技术;如果是按照追踪的方法不同而言，则可以分为主动式方法、反应式方法两种。其中主动式方法经进行监控，对所有通信量进行比较。则反应式方法则是对攻