网络攻防技术课件第13章追踪溯源第1节

1、第十三章 追踪溯源第十三章 追踪溯源2022/10/2网络攻防技术2本章主要内容13.1 追踪溯源概述13.2 追踪溯源面临的挑战13.3 追踪溯源典型技术13.4 追踪溯源技术发展趋势2022/9/28网络攻防技术2本章主要内容13.1 追踪13.1 追踪溯源概述 网络攻击者大都使用伪造IP地址或通过多个跳板发起攻击，使防御方很难确定真正攻击源的身份和位置，难以实施针对性防御策略。“知己知彼，百战不殆”，在网络攻防对抗中，只有拥有信息优势，才能更加有效地实施网络对抗策略，进而取得胜利。网络攻击追踪溯源的目标是探知攻击者身份、攻击点位置及攻击路径等信息，据此可针对性制定防护或反制措施，进而占领

2、网络对抗制高点。2022/10/2网络攻防技术313.1 追踪溯源概述 网络攻击者大都使用伪造IP地址或通一、网络攻击追踪溯源基本概念典型网络攻击场景中所涉及的角色通常包括攻击者、受害者、跳板、僵尸机及反射器等。2022/10/2网络攻防技术4一、网络攻击追踪溯源基本概念典型网络攻击场景中所涉及的角色通一、网络攻击追踪溯源基本概念一般来说，网络攻击追踪溯源是指确定攻击者的账号信息、身份信息、IP地址和MAC地址等虚拟地址信息与地理位置信息、攻击的中间环节信息以及还原攻击路径等的过程。2022/10/2网络攻防技术5一、网络攻击追踪溯源基本概念一般来说，网络攻击追踪溯源是指确二、网络攻击追踪溯源

3、目标层次按追踪溯源深度，网络攻击追踪溯源可分为攻击主机追踪溯源、控制主机追踪溯源、攻击者追踪溯源和攻击组织追踪溯源。2022/10/2网络攻防技术6二、网络攻击追踪溯源目标层次按追踪溯源深度，网络攻击追踪溯源二、网络攻击追踪溯源目标层次1. 攻击主机追踪溯源攻击主机追踪溯源是对攻击主机进行定位，通常被称为IP追踪（IP Traceback），主要有：利用路由器调试接口的输入调试（Input Debugging）追踪技术；ICMP追踪技术；可对单个数据包进行追踪的源路径隔离引擎（Source Path Isolation Engine，SPIE）追踪技术等。2022/10/2网络攻防技术7二、网

4、络攻击追踪溯源目标层次1. 攻击主机追踪溯源2022/二、网络攻击追踪溯源目标层次1. 攻击主机追踪溯源在评估攻击主机追踪溯源技术时，需要关注的典型问题有：是否需要对路由器等相关网络设备进行改造？能否对单个数据包进行追踪？前期是否需要对数据包的特征信息进行了解？随着日志类、包标记等技术的不断进步，攻击主机追踪溯源技术取得了不错的研究成果，极大提高了追踪溯源技术的应用效率。2022/10/2网络攻防技术8二、网络攻击追踪溯源目标层次1. 攻击主机追踪溯源2022/二、网络攻击追踪溯源目标层次2. 控制主机追踪溯源控制主机追踪溯源的目标主要是确定攻击的控制主机。要进行控制主机追踪溯源，需要沿着攻击

5、事件的因果链，逐级展开逆向追踪，确定最初的攻击源主机。当然，网络中的设备既可能帮助追踪者，同时也可能会被攻击者所控制，网络攻击追踪溯源其实就是攻击者和追踪者的一场博弈。2022/10/2网络攻防技术9二、网络攻击追踪溯源目标层次2. 控制主机追踪溯源2022/二、网络攻击追踪溯源目标层次2. 控制主机追踪溯源在反向追踪上一级主机时需要关注：实施监测主机的内部监测行为；对主机内系统日志进行信息分析；对当前主机系统中的所有状态信息进行捕获；分析进出主机的数据流，对攻击数据流展开识别；还应对多源网络攻击事件进行特定干预，分析其在网络中的行为变化，确定攻击事件中的因果关系，便于后续追踪溯源。2022/

6、10/2网络攻防技术10二、网络攻击追踪溯源目标层次2. 控制主机追踪溯源2022/二、网络攻击追踪溯源目标层次3. 攻击者追踪溯源攻击者追踪溯源主要是对网络攻击者进行追踪定位，追踪者需要找出攻击者和网络主机行为间的因果关系，通过对网络空间中的信息数据进行分析，将其和物理世界中的事件内容关联到一起，并由此确定应对攻击事件负责的自然人。2022/10/2网络攻防技术11二、网络攻击追踪溯源目标层次3. 攻击者追踪溯源2022/9二、网络攻击追踪溯源目标层次3. 攻击者追踪溯源攻击者追踪溯源大体可分为四步：首先，对网络空间上的事件信息进行确认；随后，对物理世界中的事件信息进行确认；然后，对它们之间

7、的关系进行分析；最后，进行因果关系上的确定。2022/10/2网络攻防技术12二、网络攻击追踪溯源目标层次3. 攻击者追踪溯源2022/9二、网络攻击追踪溯源目标层次3. 攻击者追踪溯源2022/10/2网络攻防技术13二、网络攻击追踪溯源目标层次3. 攻击者追踪溯源2022/9二、网络攻击追踪溯源目标层次3. 攻击者追踪溯源已有的攻击者追踪溯源方法和工具只能对攻击者在某时间、某方面进行表征，还需要将这些零星的信息进行汇聚和综合，对攻击者行为进行准确而完整的描述，以便确定攻击者的身份信息。同时，在攻击者追踪溯源过程中，还需要对信息数据的准确度和可靠性进行筛选和确定，这样才能提高工作效率，保证结

8、果的准确性。2022/10/2网络攻防技术14二、网络攻击追踪溯源目标层次3. 攻击者追踪溯源2022/9二、网络攻击追踪溯源目标层次4. 攻击组织追踪溯源攻击组织追踪溯源是一种高级溯源形式，以攻击主机、控制主机和攻击者追踪溯源为基础，结合具体的情报内容，对整个网络攻击事件的幕后组织机构进行全面的分析评估。在确认攻击者的基础上，借助潜在的机构信息、外交形式和政策战略，还有攻击者的身份信息、工作情况和社会地位等信息，对攻击者的组织机构关系进行确认。2022/10/2网络攻防技术15二、网络攻击追踪溯源目标层次4. 攻击组织追踪溯源2022/二、网络攻击追踪溯源目标层次4. 攻击组织追踪溯源202

9、2/10/2网络攻防技术16二、网络攻击追踪溯源目标层次4. 攻击组织追踪溯源2022/二、网络攻击追踪溯源目标层次4. 攻击组织追踪溯源攻击者追踪溯源的目标是将网络设备的控制行为与具体的自然人相关联，技术上面临极大挑战，而对攻击组织的追踪溯源则更多依赖物理自然世界的侦察查、情报等信息。受篇幅所限，本章后续内容主要介绍攻击主机追踪溯源与控制主机追踪溯源相关的技术和方法。2022/10/2网络攻防技术17二、网络攻击追踪溯源目标层次4. 攻击组织追踪溯源2022/三、网络攻击追踪溯源典型场景网络攻击追踪溯源的应用场景与攻击事件和网络应用环境相关，据追踪溯源应用的网络环境不同，可分为域内追踪溯源和

10、跨域追踪溯源。 一般而言，域内追踪溯源为协作网域追踪溯源，跨域追踪溯源为非协作网域追踪溯源。下面分别对域内追踪溯源与跨域追踪溯源进行介绍。2022/10/2网络攻防技术18三、网络攻击追踪溯源典型场景网络攻击追踪溯源的应用场景与攻击三、网络攻击追踪溯源典型场景1. 域内追踪溯源域内追踪溯源指单个网域内对攻击者的追踪溯源，攻击者和受害者属于同一个网络路由、管理策略等网络服务操作完全相同的自治域（Autonomous System，AS）。2022/10/2网络攻防技术19三、网络攻击追踪溯源典型场景1. 域内追踪溯源2022/9/三、网络攻击追踪溯源典型场景2. 跨域追踪溯源跨域追踪溯源指跨越多个网域进行的攻击源追踪，攻击者和受害者属于不同的网域，其网络逻辑域和物理区域也不相同。跨域追踪溯源是实际中最常遇到的场景，攻击者为了隐藏自身，常常是通过多个网域发动攻击，以逃避追踪。在跨