网络攻击追踪溯源中攻击者如何掩盖真实IP _真实IP

前言：在网络取证领域,网络攻击溯源一直是一个重要的追踪方式。
近年来，网络安全事件层出不穷，各种网络攻击给国家、社会和个人带来了严重的危害，如分布式拒绝服务攻击（DDoS)、基于僵尸网络（Bo.NET）的高级可持续攻击（APT)、利用远程控制木马的信息窃取等。在这些攻击方法中，攻击者会向目标主机，也就是受害主机，发送特定的攻击数据包。
从受害主机的角度来看，能够观察到这些攻击数据包，如果能追踪这些攻击数据包的来源,定位攻击者的真正位置,受害主机不但可以采用应对措施,如在合适的位置过滤攻击数据包，而且可以对攻击者采取法律手段。因此在网络取证领域,网络攻击溯源一直是一个重要的追踪方式。
【网络攻击追踪溯源中攻击者如何掩盖真实IP】

文章插图

一、什么是网络攻击溯源
在网络空间中,网络攻击源追踪是指当检测到网络攻击事件发生后，能够追踪定位真正的攻击者的主机，以帮助司法人员对攻击者采取法律手段。近二十年，研究人员对网络攻击源追踪技术进行了大量研究。
更具象化地来说网络攻击源追踪是指，在网络空间中，安全人员在检测到攻击行为发生的情况下，如何追踪定位攻击者的主机?虽然从司法取证的角度,更希望能识别出攻击者本人，以便于对嫌疑人采取法律手段,但这需要将网络空间中的“主机”与现实物理空间中的“人”进行关联。所以网络空间中，如何识别出攻击者直接使用的主机才是最重要的。

文章插图

二、五种常见掩盖真实IP的网络攻击追踪问题
由于攻击者可以采用不同的形式来隐藏自身真实的IP地址，如虚假IP地址或跳板的方式,那么可以将攻击源追踪问题分为下面5个问题:虚假IP溯源、僵尸网络溯源、匿名网络溯源、跳板溯源、局域网溯源，由此对这五种问题进行追踪溯源。
1.虚假IP溯源:取证人员检测到的攻击数据包中，其源IP地址是伪造的。例如，典型的SYN Flood攻击。

文章插图

在这种网络攻击中，攻击者将攻击数据包中的源IP地址替换为伪造的IP地址,受害主机收到数据包后,将响应数据包发送给伪造的IP地址主机，这些主机可能存在也可能不存在。这样在受害主机端,无法得到攻击主机的IP地址。
除此之外, 还有一种特殊的“反射攻击”, 如Smurf 攻击、DNS放大攻击等在这种攻击中,攻击者将攻击数据包中的源IP地址替换为受害者的IP地址，将攻击数据包发送给反射主机，反射主机收到数据包后，响应数据包将发送给受害主机。从受害主机端观察，只能判断这些数据包来自反射主机，无法知道真正攻击者的IP地址。
2.僵尸网络溯源:攻击者利用僵尸网络发动攻击，取证人员检测到攻击数据包中，其源IP地址来自于Botnet中的bot主机，在这种情况下如何追踪定位攻击者的主机?

文章插图

在这种攻击中，攻击者利用C&C型或P2P型Botnet，先发送控制指令, bot主机接收到控制指令后,向设定的攻击目标发动攻击。在受害主机端,可以看到攻击数据包来自 bot主机，而无法识别出真正的Botmaster 。
3.匿名网络溯源:攻击者利用匿名网络,如“Tor”,发动攻击,取证人员检测到攻击数据包中,其源IP地址来自于匿名网络，在这种情况下如何追踪定位攻击者的主机?Tor 网络就是匿名网络典型的攻击场。