网络攻防技术课件第13章追踪溯源.pptx

1、第十三章 追踪溯源2022-10-9网络攻防技术2本章主要内容13.1 追踪溯源概述13.2 追踪溯源面临的挑战13.3 追踪溯源典型技术13.4 追踪溯源技术发展趋势13.1 追踪溯源概述 网络攻击者大都使用伪造IP地址或通过多个跳板发起攻击，使防御方很难确定真正攻击源的身份和位置，难以实施针对性防御策略。“知己知彼，百战不殆”，在网络攻防对抗中，只有拥有信息优势，才能更加有效地实施网络对抗策略，进而取得胜利。网络攻击追踪溯源的目标是探知攻击者身份、攻击点位置及攻击路径等信息，据此可针对性制定防护或反制措施，进而占领网络对抗制高点。2022-10-9网络攻防技术3一、网络攻击追踪溯源基本概念

2、 典型网络攻击场景中所涉及的角色通常包括攻击者、受害者、跳板、僵尸机及反射器等。2022-10-9网络攻防技术4一、网络攻击追踪溯源基本概念 一般来说，网络攻击追踪溯源是指确定攻击者的账号信息、身份信息、IP地址和MAC地址等虚拟地址信息与地理位置信息、攻击的中间环节信息以及还原攻击路径等的过程。2022-10-9网络攻防技术5二、网络攻击追踪溯源目标层次 按追踪溯源深度，网络攻击追踪溯源可分为攻击主机追踪溯源、控制主机追踪溯源、攻击者追踪溯源和攻击组织追踪溯源。2022-10-9网络攻防技术6二、网络攻击追踪溯源目标层次 1.攻击主机追踪溯源 攻击主机追踪溯源是对攻击主机进行定位，通常被称为

3、IP追踪（IP Traceback），主要有：利用路由器调试接口的输入调试（Input Debugging）追踪技术；ICMP追踪技术；可对单个数据包进行追踪的源路径隔离引擎（Source Path Isolation Engine，SPIE）追踪技术等。2022-10-9网络攻防技术7二、网络攻击追踪溯源目标层次 1.攻击主机追踪溯源 在评估攻击主机追踪溯源技术时，需要关注的典型问题有：是否需要对路由器等相关网络设备进行改造？能否对单个数据包进行追踪？前期是否需要对数据包的特征信息进行了解？随着日志类、包标记等技术的不断进步，攻击主机追踪溯源技术取得了不错的研究成果，极大提高了追踪溯源技术的

4、应用效率。2022-10-9网络攻防技术8二、网络攻击追踪溯源目标层次 2.控制主机追踪溯源 控制主机追踪溯源的目标主要是确定攻击的控制主机。要进行控制主机追踪溯源，需要沿着攻击事件的因果链，逐级展开逆向追踪，确定最初的攻击源主机。当然，网络中的设备既可能帮助追踪者，同时也可能会被攻击者所控制，网络攻击追踪溯源其实就是攻击者和追踪者的一场博弈。2022-10-9网络攻防技术9二、网络攻击追踪溯源目标层次 2.控制主机追踪溯源 在反向追踪上一级主机时需要关注：实施监测主机的内部监测行为；对主机内系统日志进行信息分析；对当前主机系统中的所有状态信息进行捕获；分析进出主机的数据流，对攻击数据流展开识

5、别；还应对多源网络攻击事件进行特定干预，分析其在网络中的行为变化，确定攻击事件中的因果关系，便于后续追踪溯源。2022-10-9网络攻防技术10二、网络攻击追踪溯源目标层次 3.攻击者追踪溯源 攻击者追踪溯源主要是对网络攻击者进行追踪定位，追踪者需要找出攻击者和网络主机行为间的因果关系，通过对网络空间中的信息数据进行分析，将其和物理世界中的事件内容关联到一起，并由此确定应对攻击事件负责的自然人。2022-10-9网络攻防技术11二、网络攻击追踪溯源目标层次 3.攻击者追踪溯源 攻击者追踪溯源大体可分为四步：首先，对网络空间上的事件信息进行确认；随后，对物理世界中的事件信息进行确认；然后，对它们

6、之间的关系进行分析；最后，进行因果关系上的确定。2022-10-9网络攻防技术12二、网络攻击追踪溯源目标层次 3.攻击者追踪溯源2022-10-9网络攻防技术13二、网络攻击追踪溯源目标层次 3.攻击者追踪溯源 已有的攻击者追踪溯源方法和工具只能对攻击者在某时间、某方面进行表征，还需要将这些零星的信息进行汇聚和综合，对攻击者行为进行准确而完整的描述，以便确定攻击者的身份信息。同时，在攻击者追踪溯源过程中，还需要对信息数据的准确度和可靠性进行筛选和确定，这样才能提高工作效率，保证结果的准确性。2022-10-9网络攻防技术14二、网络攻击追踪溯源目标层次 4.攻击组织追踪溯源 攻击组织追踪溯源

7、是一种高级溯源形式，以攻击主机、控制主机和攻击者追踪溯源为基础，结合具体的情报内容，对整个网络攻击事件的幕后组织机构进行全面的分析评估。在确认攻击者的基础上，借助潜在的机构信息、外交形式和政策战略，还有攻击者的身份信息、工作情况和社会地位等信息，对攻击者的组织机构关系进行确认。2022-10-9网络攻防技术15二、网络攻击追踪溯源目标层次 4.攻击组织追踪溯源2022-10-9网络攻防技术16二、网络攻击追踪溯源目标层次 4.攻击组织追踪溯源 攻击者追踪溯源的目标是将网络设备的控制行为与具体的自然人相关联，技术上面临极大挑战，而对攻击组织的追踪溯源则更多依赖物理自然世界的侦察查、情报等信息。受

8、篇幅所限，本章后续内容主要介绍攻击主机追踪溯源与控制主机追踪溯源相关的技术和方法。2022-10-9网络攻防技术17三、网络攻击追踪溯源典型场景 网络攻击追踪溯源的应用场景与攻击事件和网络应用环境相关，据追踪溯源应用的网络环境不同，可分为域内追踪溯源和跨域追踪溯源。一般而言，域内追踪溯源为协作网域追踪溯源，跨域追踪溯源为非协作网域追踪溯源。下面分别对域内追踪溯源与跨域追踪溯源进行介绍。2022-10-9网络攻防技术18三、网络攻击追踪溯源典型场景 1.域内追踪溯源 域内追踪溯源指单个网域内对攻击者的追踪溯源，攻击者和受害者属于同一个网络路由、管理策略等网络服务操作完全相同的自治域（Autono

9、mous System，AS）。2022-10-9网络攻防技术19三、网络攻击追踪溯源典型场景 2.跨域追踪溯源 跨域追踪溯源指跨越多个网域进行的攻击源追踪，攻击者和受害者属于不同的网域，其网络逻辑域和物理区域也不相同。跨域追踪溯源是实际中最常遇到的场景，攻击者为了隐藏自身，常常是通过多个网域发动攻击，以逃避追踪。在跨域追踪溯源过程中，需要多个不同网域进行协同，交互追踪请求信息，以完成真正攻击源的追踪定位。2022-10-9网络攻防技术20三、网络攻击追踪溯源典型场景 2.跨域追踪溯源2022-10-9网络攻防技术212022-10-9网络攻防技术22本章主要内容13.1 追踪溯源概述13.2

10、 追踪溯源面临的挑战13.3 追踪溯源典型技术13.4 追踪溯源技术发展趋势13.2 追踪溯源面临的挑战 攻击者为隐藏身份，在攻击实施前通常会渗透控制数台计算机作为跳板，再通过这些受控制的跳板攻击最终的目标主机。2022-10-9网络攻防技术2313.2 追踪溯源面临的挑战 广义而言，反射器和僵尸机也属于跳板，只是反射器被攻击者控制的程度低，攻击者只能访问反射器，利用网络协议的漏洞进行攻击数据流的放大、地址伪造等，而僵尸机被攻击者控制的程度最高，攻击者具有管理员权限，能够在僵尸机上做想做的任何操作。2022-10-9网络攻防技术2413.2 追踪溯源面临的挑战 此外，为隐藏身份，攻击者还经常借

11、助匿名通信系统的天然匿名性（如发送者匿名）来开展攻击。本节主要对跳板和匿名通信系统对追踪溯源的挑战进行分析。2022-10-9网络攻防技术25一、跳板对追踪溯源的挑战 典型的跳板攻击方式如图所示，攻击者首先登录跳板1，通过跳板1登录跳板2，依次登录，进而建立跳板链，然后利用跳板链的末端对受害者发起攻击。2022-10-9网络攻防技术26一、跳板对追踪溯源的挑战 为更好躲避检测和追踪溯源，攻击者往往还采用以下手段：(1)在中间跳板上安装和使用后门（如netcat）以躲避登录陆日志的检查；(2)在跳板链中的不同部分使用不同类型（即TCP和UDP）的网络连接来增加数据流关联的难度；(3)不同跳板间使

12、用加密（采用不同的密钥）连接来抵御基于包内容的检测；(4)在跳板处引入时间扰乱来抵御基于包时间的加密数据流关联；(5)在跳板处主动对其交互数据流添加包重组和垃圾包等干扰。2022-10-9网络攻防技术27二、匿名通信系统对追踪溯源的挑战 匿名通信系统通过一定的技术手段将网络数据流中通信双方的身份信息加以隐藏，使第三方无法获取或推测通信双方的通信关系或其中任何一方的身份信息。2022-10-9网络攻防技术28二、匿名通信系统对追踪溯源的挑战 根据匿名通信系统对通信延迟的要求，通常把匿名通信系统分为延迟不敏感（High-Latency）和延迟敏感（Low-Latency）的匿名通信系统。前者又称基

13、于消息（Message Based）的匿名通信系统，通常为每个消息都选择一条路径，这些路径可相同也可不同，如匿名电子邮件系统Chaum Mix和Mixminion等。2022-10-9网络攻防技术29二、匿名通信系统对追踪溯源的挑战 根据匿名通信系统对通信延迟的要求，通常把匿名通信系统分为延迟不敏感（High-Latency）和延迟敏感（Low-Latency）的匿名通信系统。后者又称基于流（Flow Based）的匿名通信系统，通常在发送者和接收者之间建立匿名通信通道（即匿名路径），然后把数据放入数据传输的基本单元信元（Cell）中沿着建立好的匿名通道传输，主要用于对延迟有特定要求的服务（如

14、Web浏览和网络聊天等），典型系统如洋葱路由（Onion Routing）、Tor、Tarzan、MorphMix和Crowds等。2022-10-9网络攻防技术30二、匿名通信系统对追踪溯源的挑战 由于追踪溯源主要关注于即时通信、网页浏览和网络电话等延迟敏感业务，因此本节主要针对延迟敏感的匿名通信系统进行介绍。具体而言，除基本手段加密之外，为隐藏真实的发送者和接收者身份以及通信方之间的通联关系，匿名通信系统通常将来自多个通信方的多条网络数据流进行混杂处理，且对每条数据流也进行某种程度的变换。如果变换后的数据流没有任何用于关联数据流发送者或接收者之间通联关系的可识别特征，则达到匿名目的。202

15、2-10-9网络攻防技术31二、匿名通信系统对追踪溯源的挑战 已有匿名通信系统所采用的流变换手段可大致分为流内变换（Intra-Flow Transformation）和流间变换（Inter-Flow Transformation）两种。流内变换是指变换只在当前数据流范围内发生，不涉及其他数据流，而流间变换则涉及到多条数据流之间的变换。流内变换的主要形式有时间扰乱、包乱序、包添加、包移除和包重组（包合并和包分割）等。流间变换的常用手段主要有流混杂、流分割和流合并等。2022-10-9网络攻防技术32二、匿名通信系统对追踪溯源的挑战2022-10-9网络攻防技术33 流内变换的主要形式有时间扰乱

16、、包乱序、包添加、包移除和包重组（包合并和包分割）等。二、匿名通信系统对追踪溯源的挑战2022-10-9网络攻防技术34 流内变换的主要形式有时间扰乱、包乱序、包添加、包移除和包重组（包合并和包分割）等。二、匿名通信系统对追踪溯源的挑战2022-10-9网络攻防技术35 流内变换的主要形式有时间扰乱、包乱序、包添加、包移除和包重组（包合并和包分割）等。二、匿名通信系统对追踪溯源的挑战2022-10-9网络攻防技术36 流间变换的常用手段主要有流混杂、流分割和流合并等。三、追踪溯源面临的其他挑战 由于当前广泛使用的TCP/IP协议簇在其设计之初未考虑用户行为的追踪审计，且未考虑防范不可信用户，对

17、IP数据包的源地址没有验证机制以及Internet基础设施的无状态性，攻击者能够对数据源地址字段直接进行修改或假冒，以隐藏其自身信息，使得追踪数据包的真实发起者非常困难。2022-10-9网络攻防技术37三、追踪溯源面临的其他挑战 另外，个人隐私保护和法律法规不健全，阻碍网络攻击追踪溯源。随着个人信息保护意识的增强，人们对个人隐私的保护越来越重视。网络攻击追踪溯源技术一方面可以追踪定位攻击源，另一方面也能对网络中正常的业务信息进行追踪定位。因此，人们对网络攻击追踪溯源技术的应用心存疑虑，担心个人的隐私信息被追踪而暴露。2022-10-9网络攻防技术38三、追踪溯源面临的其他挑战 此外，一些新技

18、术在为用户带来好处的同时，也给追踪溯源带来了较大障碍。虚拟专用网络（VPN）采用的IP隧道技术，使得无法获取数据报文的信息；互联网服务供应商（Internet Service Provider，ISP）采用的地址池和网络地址转换（Network Address Translation，NAT）技术，使得网络IP地址不再固定对应特定的用户；移动通信网络技术的出现更是给追踪溯源提出了实时性要求。2022-10-9网络攻防技术39三、追踪溯源面临的其他挑战 再者，网络攻击复杂化、工具化也极大增加了追踪溯源难度。一些攻击者控制数以万计的僵尸机，在更广泛的网络域发动攻击，其组织结构复杂，追踪难度巨大；一

19、些攻击者悄悄潜入系统，完成其既定行动后，悄悄地离开，看不到任何痕迹，追踪无从查起。2022-10-9网络攻防技术40三、追踪溯源面临的其他挑战 还有一些攻击者，在一个相当长的周期内实施攻击，由于时间上跨度大，相关数据流关联性差等特点，很难对其进行追踪定位。另外，网络扫描、漏洞利用等网络攻击软件工具化趋势明显，使网络攻击门槛降低，网络攻击自动化、傻瓜化，网络威胁事件急剧增加，增加了网络攻击追踪溯源的难度和复杂度。2022-10-9网络攻防技术412022-10-9网络攻防技术42本章主要内容13.1 追踪溯源概述13.2 追踪溯源面临的挑战13.3 追踪溯源典型技术13.4 追踪溯源技术发展趋势

20、13.3 追踪溯源典型技术 追踪溯源技术大体可分为定位伪造地址的IP追踪技术、跳板攻击溯源技术和针对匿名通信系统的追踪溯源技术三类。2022-10-9网络攻防技术43一、定位伪造地址的IP追踪技术 从发送一个报文就可导致系统崩溃的简单攻击到复杂的DDoS攻击，很多攻击并不需要与接收方进行交互。而IP协议自身无法验证源地址段中的IP地址是否发送者的真实IP地址，因此对于这些不需要交互的网络攻击而言，攻击者常常采用采用伪造的IP地址对目标发起攻击，给攻击源追踪制造了极大难度。2022-10-9网络攻防技术44一、定位伪造地址的IP追踪技术 IP追踪技术可追踪采用伪造地址的数据包的真实发送者，分为反

21、应式追踪和主动式追踪两大类。2022-10-9网络攻防技术45一、定位伪造地址的IP追踪技术 1.反应式追踪 反应式追踪只能在攻击正在实施时进行追踪，典型的方法有输入调试法和受控洪泛（Controlled Flooding）法。（1）输入调试法 输入调试法利用带输入调试功能的路由器来确定发送攻击包的真实IP地址。一般网络中的路由器具备输入调试功能，可在输出端口过滤掉包含某个特征的报文，根据路由器的这一特点，在攻击发生时，可对攻击源追踪。2022-10-9网络攻防技术46一、定位伪造地址的IP追踪技术 1.反应式追踪（1）输入调试法 该方法要求追踪路径上所有路由器必须具有输入调试能力，需要繁琐的

22、手工干预，且依赖于ISP的高度合作，追踪速度相对较慢；另外输入调试法只有在攻击进行时才能追踪，不能追踪间歇性发起的攻击。2022-10-9网络攻防技术47一、定位伪造地址的IP追踪技术（1）输入调试法2022-10-9网络攻防技术48一、定位伪造地址的IP追踪技术 1.反应式追踪（2）受控洪泛法 在攻击发生时，首先利用已有的Internet拓扑图选择距离受害者最近的路由的每一条上游链路，并分别进行泛洪泛攻击，通过观察来自攻击者的包的变化来确定攻击数据包经过哪条链路，然后采用同样方法对上游链路继续泛洪泛，以此逐步定位攻击源。但该方法本身就是一种DoS攻击，且需要与上游主机的高度合作及Intern

23、et详细拓扑图。2022-10-9网络攻防技术49一、定位伪造地址的IP追踪技术（2）受控洪泛法2022-10-9网络攻防技术50一、定位伪造地址的IP追踪技术 2.主动式追踪 主动式追踪既可用于对攻击的实时阻断，又可用于对攻击的事后分析，典型方法有包标记（Packet Marking）法、路由日志（Route Logging）法和ICMP追踪法。2022-10-9网络攻防技术51一、定位伪造地址的IP追踪技术 2.主动式追踪（1）包标记法 虽然攻击者发出的攻击包的源IP地址可能是假的，但是数据包经过路由器转发的路径是不能造假的，基于此，包标记法的基本思想是：路由器以一定概率采样它所转发的数据

24、包，并将自己的路由器信息标记到采样到的数据包中，路由器信息随着数据包到达受害者端，当攻击发生时，受害者将分析并处理收集到的标记数据包中的路由器信息，从而重构出攻击路径。2022-10-9网络攻防技术52一、定位伪造地址的IP追踪技术 2.主动式追踪（2）路由日志法 路由日志法利用网络中的边界路由器记录它所有经过的数据包的特征，并保存在日志库中，当受害者检测到攻击发生时，受害者根据收集到的攻击数据包的特征，逐级与路由器日志库中的数据流的特征相比较，确定出攻击路径。路由日志法进行追踪溯源时，需要海量的存储空间来存储日志文件，存储开销非常大，另外直接记录报文对用户隐私是一种威胁。2022-10-9网

25、络攻防技术53一、定位伪造地址的IP追踪技术 2.主动式追踪（3）ICMP追踪法 路由器对它所转发的报文以很低的概率采样，并生成一个与采样的报文相关的ICMP iTrace消息，此消息中包含报文的特征信息、此路由器的IP地址信息及其上下游路由器IP地址信息，消息的目的IP地址为该报文的目的IP地址，也就是说路由器将消息发送给报文的接收方。2022-10-9网络攻防技术54一、定位伪造地址的IP追踪技术（3）ICMP追踪法2022-10-9网络攻防技术55二、跳板攻击溯源技术 网络攻击者为隐藏身份和防止源追踪的另一个常用手段是使用跳板：通过使用事先控制的一系列中间节点对目标实施攻击，致使追踪者跟

26、踪到的是最后一个跳板，而难以追溯到攻击者本身。2022-10-9网络攻防技术56二、跳板攻击溯源技术 为更有效地躲避追踪，攻击者还往往在跳板处主动对其产生的交互流量进行加密、包重组（Repacketization）和添加时间扰乱（Timing Perturbation）与垃圾包（Chaff Packet）等干扰。2022-10-9网络攻防技术57二、跳板攻击溯源技术 为追溯和定位跳板链后的真正攻击源，按照溯源时所用信息源的不同，跳板攻击溯源技术可分为基于主机的溯源方法和基于网络的溯源方法。2022-10-9网络攻防技术58二、跳板攻击溯源技术 1.基于主机的溯源方法 基于主机的溯源方法主要有分

27、布式入侵检测系统（Distributed Intrusion Detection System，DIDS）、呼叫识别系统（Caller Identification System，CIS）、Caller ID和会话令牌协议（Session Token Protocol，STOP）。其中DIDS、CIS和STOP采用的是被动式溯源技术，而Caller ID则是由美国军方开发的一种基于主机的主动式溯源技术。2022-10-9网络攻防技术59二、跳板攻击溯源技术 1.基于主机的溯源方法(1)DIDS DIDS提供一种基于主机的追踪机制，试图依据网络入侵检测系统（IDS）来记录追踪网络账户的所有用户，

28、DIDS域中的每一个监控主机都搜集审计记录，并将记录交于DIDS中央控制器分析。虽然DIDS能够通过用户在DIDS域中的正常登录陆来记录追踪该用户的网络行为，但是由于DIDS对网络行为采用中央监控机制，因此难以应用于像Internet这样的大规模网络中。2022-10-9网络攻防技术60二、跳板攻击溯源技术 1.基于主机的溯源方法(2)CIS CIS使用分布模型来代替DIDS的中心控制机制，登陆录链上的每一台主机都保存着相关记录。当用户由第n-1台主机登陆录第n台主机时，第n台主机会请求第n-1台主机关于该用户的登陆录链的相关记录，在理想情况下会依此追溯到最初的主机。然后第n台主机会查询第1至

29、n-1台主机上有关此登陆录链的相关信息。只有所有查询到的信息能够匹配，才允许其登陆录第n台主机。然而，如果CIS要想通过登陆录链上主机所记录的信息来维持登陆录链的完整性，就会给正常的登陆录过程带来大量负载。2022-10-9网络攻防技术61二、跳板攻击溯源技术 1.基于主机的溯源方法(3)会话令牌协议（STOP）STOP是可递归追踪跳板链的分布式系统。其本质是鉴定协议（Identification Protocol，IDENT）的增强版，增添了取证和溯源功能。STOP服务器应下游主机请求，通过带外连接保存用户级和应用级数据，这些数据用于取证调查之用。请求可递归传递给上游主机，以此实现追踪跳板链

30、的功能。2022-10-9网络攻防技术62二、跳板攻击溯源技术 1.基于主机的溯源方法(4)Caller ID机制 Caller ID机制是美国军方开发的一种基于主机的主动追踪机制。如果某个攻击者通过一系列的跳板侵入了一台主机，那么，Caller ID将利用相同的攻击策略沿攻击路径相反方向回溯攻击，直至定位攻击源。相对于DIDS和CIS，Caller ID会带来较少的负载，但要用这种手工方法来追踪现代高速网络上的短时入侵是很困难的，且如果攻击者在侵入跳板主机后修复了他所利用的安全漏洞，那么Caller ID机制就无法奏效。2022-10-9网络攻防技术63二、跳板攻击溯源技术 2.基于网络的溯

31、源方法 基于网络的溯源方法一般依据网络连接的属性进行溯源，主要有基于偏差（Deviation）的方法、基于网络的反应式方法和流关联技术等。基于偏差的方法使用两个TCP连接序列号的最小平均差别来确定两个连接是否关联，偏差既考虑了时间特征又考虑了TCP序列号，与TCP负载无关，但无法直接用于加密或压缩的连接；2022-10-9网络攻防技术64二、跳板攻击溯源技术 2.基于网络的溯源方法 基于网络的反应式方法对数据包处理时是主动干预的，从而动态地控制哪些连接何时何地怎样被关联，因此需要比被动方法更少的资源，典型代表是入侵识别和隔离协议（Intruder Detection and Isolation

32、 Protocol，IDIP）。IDIP是一种应用层协议，IDIP边界控制器通过交换入侵检测信息即攻击描述进行相互合作，共同定位和阻止入侵者，但它要求每个边界控制器具有与被攻击主机上的入侵检测系统相同的入侵检测能力。2022-10-9网络攻防技术65二、跳板攻击溯源技术 2.基于网络的溯源方法 流关联技术通过检测两条数据流是否存在关联性来进行流量分析，在跳板攻击源定位、僵尸主控机（Botmaster）溯源、匿名滥用用户关联和匿名网络电话追踪等网络安全和隐私方面有着广泛的应用，是目前学术界的研究热点。本质上，无论多跳攻击还是匿名通信，都通过若干中间节点（如跳板或中继节点）对信息进行多次转发以掩盖

33、发送者的真实身份与准确位置。2022-10-9网络攻防技术66二、跳板攻击溯源技术 2.基于网络的溯源方法 流关联技术计算进出中间节点的数据流之间的相似性，从中找出相关联的数据流，通过这些相关联的数据流向前追溯直至定位到信息源。流关联技术主要有被动流关联技术和主动流水印（Flow Watermarking）技术。2022-10-9网络攻防技术67二、跳板攻击溯源技术（1）被动流关联技术 被动流关联技术通过观察网络或系统的进入和流出的数据流，利用流关联匹配技术，确定输入输出数据流的关联关系，以此确认网络数据流的传输路径。2022-10-9网络攻防技术68二、跳板攻击溯源技术（1）被动流关联技术

34、被动流关联技术可分为基于数据流包头、内容及时间的流关联技术。基于包头的流关联技术 基于包头的流关联技术中，对流入和流出网络或主机的消息头将进行相关检查，以确定哪些输入的数据流匹配输出数据流，从而确定数据流的来源。如使用时间戳和数据包头内容可针对telnet或rlogin应用的数据流进行匹配，对攻击者使用手动方式输入控制指令的方式非常有效，但该方法无法针对加密数据流进行匹配。2022-10-9网络攻防技术69二、跳板攻击溯源技术（1）被动流关联技术 基于流内容的流关联技术 在基于流内容的流关联技术中，对输入和输出数据流的内容进行相关检查，看它们是否匹配。请注意，如果数据流是加密的“内部”网络/主

35、机，因为数据内容被加密成不同的数值，该方法将无效。如数据指纹技术，将数据流分成离散的时间片段，对片段内的数据包创建相应的摘要，通过计算摘要信息匹配数据流间的相似性，从而确定一个数据流是否与另一个相关。2022-10-9网络攻防技术70二、跳板攻击溯源技术（1）被动流关联技术 基于流时间的流关联技术 基于流时间的流关联技术是确定数据流间在时间上是否存在某种因果联系，如果存在，那么数据流就是相匹配的，否则是不相关的。该类技术可很好检测出跳板，但对僵尸机的检测效率却非常的低下，因为僵尸机在接收到控制指令后，可以隔很长时间才执行或响应，而使基于时间的相关无效。2022-10-9网络攻防技术71二、跳板

36、攻击溯源技术（1）被动流关联技术 基于流时间的流关联技术 被动流关联技术的一个优点是，不需要获知网络或主机的内部状态信息便可进行追踪溯源；但为满足一定的准确率，该类技术需要原始数据流信息、观测时间长、误报率高、数据流存储与通信需求大、数据流关联量大，且难以应对网络传输引入的或攻击者主动添加的时间扰乱、包丢失、包添加、包重组等各类干扰。2022-10-9网络攻防技术72二、跳板攻击溯源技术（2）主动流水印技术 主动流水印技术（又称流标记技术）通过改变或调制载荷、时间间隔、包间隔时延（IPD）、间隔重心和流速率等流量特征向发送者数据流中嵌入水印信息，在接收者附近检测该水印信息，以达到关联发送者和接

37、收者关系的目的。2022-10-9网络攻防技术73二、跳板攻击溯源技术（2）主动流水印技术 与被动流关联技术相比，主动流水印技术具有准确率高、误报率低、观测时间短和所需观测数据包数量少等优点，除了可广泛应用于跳板攻击溯源，还可用于匿名滥用用户关联、匿名网络电话追踪和僵尸主控机发现等。学术界已提出多种类型的网络流水印技术，分别具有各自的优势和特点。按照流水印载体的不同，可分为基于包载荷、基于流速率和基于包时间的流水印技术三种。2022-10-9网络攻防技术74二、跳板攻击溯源技术（2）主动流水印技术 基于包载荷的流水印技术 基于包载荷的流水印技术通过调制数据流中数据包的应用载荷以嵌入水印信息，进

38、而达到关联数据流的目的。2022-10-9网络攻防技术75二、跳板攻击溯源技术（2）主动流水印技术 基于包载荷的流水印技术 基于包长的流水印（Length-Based Watermarking，LBW）技术，通过在应用层向僵尸网络（Botnet）命令和控制（Command and Control，C&C）消息中添加填充字符使其长度产生差异，进而嵌入水印，可对基于IRC（Internet Relay Chat）的Botmaster进行有效追踪。但LBW技术在对目标僵尸网络进行追踪时，需要成为此僵尸网络中的一个僵尸节点，该假设在某些情况下无法满足，且包长度的变化极易被攻击者检测，因此隐蔽性差。20

39、22-10-9网络攻防技术76二、跳板攻击溯源技术（2）主动流水印技术 基于流速率的流水印技术 基于流速率的流水印技术通过调制数据流的速率以嵌入水印信息，进而达到关联数据流的目的。基于直序扩频的流水印（Direct Sequence Spread Spectrum，DSSS）技术通过调制发送者的流量速率来追踪匿名通信者，在Mix匿名通信系统各种批处理策略所造成的数据流干扰下，可达到非常高的检测率和极低的误报率，且不需要对待嵌入水印的目标数据流具备控制权。该类流水印技术在关联数据流时需要设置流量干扰器，不易部署和实施，且会向网络中注入大量无用数据流，影响网络的可用性。2022-10-9网络攻防技

40、术77二、跳板攻击溯源技术（2）主动流水印技术 基于包时间的流水印技术 对于经过跳板链或匿名Mix节点之后的数据流，它们的包头、包长度及包载荷都可能被改变，给追踪者带来了极大挑战，包时间因此成为流水印技术的重要参照。基于包时间的流水印技术通过调制数据流的时间特征以嵌入水印信息，进而达到关联数据流的目的。与基于包载荷和基于流速率的流水印技术相比，基于包时间的流水印技术适用性较好，实现和部署相对容易，逐步成为流水印技术的研究热点。目前，学术界提出了多种基于包时间的流水印技术，按照调制对象的不同，可分为基于包间隔时延、基于时间间隔和基于间隔重心的流水印技术三类。2022-10-9网络攻防技术78二、

41、跳板攻击溯源技术（2）主动流水印技术 基于包时间的流水印技术 1)基于包间隔时延的流水印技术 包间隔时延（IPD）是指一条数据流中数据包先后到达的时间间隔，通过调制该流量特征可有效嵌入水印信息进行数据流关联。2022-10-9网络攻防技术79二、跳板攻击溯源技术（2）主动流水印技术 基于包时间的流水印技术 1)基于包间隔时延的流水印技术 基于包时间的被动流相关方法很容易受到攻击者在跳板处引入的时间扰乱的影响。针对该问题，学术界提出基于水印的主动流相关技术，即基于IPD的流水印技术，通过调整目标数据流中所选定不同数据包之间的包间隔时延的值来嵌入水印位，对于随机时间扰乱具有鲁棒性。2022-10-

42、9网络攻防技术80二、跳板攻击溯源技术（2）主动流水印技术 基于包时间的流水印技术 1)基于包间隔时延的流水印技术 但该技术使用固定参数值，导致如下问题：(1)由于IPD分布的不同，无法保证每个水印位都能被正确嵌入；(2)当包数量较少，不足以嵌入所有预定水印位时，无法进行正确源追踪；(3)由于使用固定的包最大时延值和嵌入单个水印位所需包数量，难以有效抵御时间扰乱。2022-10-9网络攻防技术81二、跳板攻击溯源技术（2）主动流水印技术 基于包时间的流水印技术 1)基于包间隔时延的流水印技术 针对上述问题，学术界又提出自适应流水印技术，根据待追踪流量的包时间和包大小特征自适应地选择流水印的参数

43、值，能容忍任何形式的时间扰乱。对于平均高达8000毫秒的时间扰乱，该技术的检测率可达100%，且其误报率几乎0%。2022-10-9网络攻防技术82二、跳板攻击溯源技术（2）主动流水印技术 基于包时间的流水印技术 1)基于包间隔时延的流水印技术 已有流水印技术会在数据流中引入大的时延，使得攻击者容易检测甚至移除其中的水印，同时还会降低合法流量的速率。学术界提出RAINBOW流水印技术，所用时延比先前流水印技术小得多。相对于被动数据流关联技术，该技术错误率大大降低，仅需观察几百个数据包即可对数据流进行有效关联，且对丢包和包重组具有鲁棒性。2022-10-9网络攻防技术83二、跳板攻击溯源技术（2

44、）主动流水印技术 基于包时间的流水印技术 2)基于时间间隔的流水印技术 防止追踪，攻击者甚至会在跳板处故意进行包合并和包分割等包重组操作，已有流水印技术在面对包重组时效果大大减弱。针对该问题，学术界提出基于时间间隔的流水印（Interval-Based Watermarking，IBW）技术，将数据流切成固定长度的时间间隔，调整包时间来控制特定时间间隔中的包数量来嵌入水印，能够在包重组存在的情况下追踪恶意数据流。但该技术不能抵御向数据流中添加垃圾包、流合并和流分割等手段。2022-10-9网络攻防技术84二、跳板攻击溯源技术（2）主动流水印技术 基于包时间的流水印技术 3)基于间隔重心的流水印

45、技术 间隔重心代表了间隔的平衡点，因此通过对其进行调制可有效关联数据流。2022-10-9网络攻防技术85二、跳板攻击溯源技术（2）主动流水印技术 基于包时间的流水印技术 3)基于间隔重心的流水印技术 流变换并不必然提供所盼望或相信的那种匿名性，并提出基于间隔重心的流水印（Interval Centroid Based Watermarking，ICBW）技术。通过将水印注入到数据流的包间隔时间域中，可使任何足够长的数据流具有独特的可识别性，即使它：(1)使用大量的掩饰流进行伪装；(2)与大量其它数据流混合或合并；(3)被分割成大量子数据流；(4)有大量数据包被丢弃；(5)在时间上被自然时延或

46、攻击者故意添加的时延所扰乱。但该技术需要包数量较多，且难以抵御多流攻击。2022-10-9网络攻防技术86二、跳板攻击溯源技术（2）主动流水印技术 基于包时间的流水印技术 3)基于间隔重心的流水印技术 为提高流水印的可扩展能力，学术界提出SWIRL流水印技术，对于包丢失和网络抖动（Network Jitter）具有鲁棒性，且引入的包时延较小，对于用户和特定攻击者是不可见的。其主要特点是根据数据流的自身特征选择水印模式，因此，每条数据流都嵌入一个截然不同的水印模式。并将该流水印技术用于Tor匿名网络，防止攻击者制造路由环路（Routing Loop），进而使Tor匿名网络可抵御拥塞攻击（Cong

47、estion Attack）。2022-10-9网络攻防技术87三、针对匿名通信系统的追踪溯源技术 匿名通信系统（如Onion Routing、Tor、Tarzan、MorphMix和Crowds等）通过一定的技术手段将网络数据流中通信双方的身份信息加以隐藏，使第三方无法获取或推测通信双方的通信关系或其中任何一方的身份信息。2022-10-9网络攻防技术88三、针对匿名通信系统的追踪溯源技术 因学术界一般将降低匿名通信系统匿名度的手段称之为攻击，为保持一致，本节沿用此类说法。针对匿名通信系统的攻击手段很多，主要可分为协议脆弱性攻击和流量分析攻击两种。由于针对攻击的讨论较多，本节仅对一些主要攻击

48、方式进行概要分析。2022-10-9网络攻防技术89三、针对匿名通信系统的追踪溯源技术 1.协议脆弱性攻击 协议脆弱性攻击利用匿名通信系统自身的内在脆弱性对其进行攻击，以降低其匿名度。如低资源路由攻击技术利用Tor匿名网络路径选择算法的缺陷开展攻击；2022-10-9网络攻防技术90三、针对匿名通信系统的追踪溯源技术 1.协议脆弱性攻击 因Tor匿名网络采用高级加密标准（Advanced Encryption Standard，AES）计数器模式（Counter Mode）对信元进行加密，重放攻击在入口路由器处复制发送信元，中间和出口路由器在处理复制信元时将导致计数器中断，以此发现发送者和接收

49、者之间的通信关系；2022-10-9网络攻防技术91三、针对匿名通信系统的追踪溯源技术 1.协议脆弱性攻击 女巫攻击（Sybil Attack）通过向匿名网络中植入自己的节点或者控制部分网络节点，然后用这些节点提供的信息推断匿名隐藏关系；2022-10-9网络攻防技术92三、针对匿名通信系统的追踪溯源技术 1.协议脆弱性攻击 当追踪者知道自己控制的节点在发送者的路径上时，该节点的前驱节点比其它任何节点更像是发送者，追踪者对每个可能的前驱节点进行统计就可能发现发送者，前驱攻击（Predecessor Attack），又称合谋攻击（Collusion Attack）就是基于此提出的；2022-10

50、-9网络攻防技术93三、针对匿名通信系统的追踪溯源技术 1.协议脆弱性攻击 在攻击者控制匿名路径上的第一个和最后一个节点时，报文标记攻击（Message Tagging Attack）通过对发送消息进行标记，在最后一个节点处进行识别辨认就可确认发送者与接收者之间的关系。2022-10-9网络攻防技术94三、针对匿名通信系统的追踪溯源技术 2.流量分析攻击 流量分析攻击通过分析和关联不同数据流之间的流量特征来降低匿名通信系统的匿名度，主要包括时间攻击（Timing Attack）、包计数攻击和流相关攻击（Flow Correlation Attack）等。2022-10-9网络攻防技术95三、针