网络攻击追踪溯源中攻击者如何掩盖真实IP( 二 ) _真实IP

4.跳板溯源:攻击者利用多个“跳板主机”，即通过控制多个主机转发攻击数据包，取证人员检测到攻击数据包，其源IP地址是最后一跳“跳板主机”的IP地址，前一段时间西北工业大学被NAS攻击中，就运用了54台跳板来隐藏真正的IP地址。

文章插图

在这种攻击中,攻击者事先控制多个跳板主机,利用跳板转发攻击数据包。在受害主机端,只能看到攻击数据包来自于最后一跳的主机,而不能识别出真正的攻击者。很显然,跳板路径越长,越难追踪攻击者。
5.局域网络溯源:攻击者位于私有网络内，其攻击数据包中的源IP地址经过了网关的VAT(Network Address Transform)地址转换。
在这种攻击中,由于攻击者的IP地址是私有IP地址,在受害主机端只能看到NAT网关的IP地址。在大型私有网络内，特别是无线局域网中，寻找定位攻击者并不是一件简单的事情。
在实际的网络攻击事件中, 可能并不严格遵守上述各种攻击场景, 但大致可以归为上述某个或某几个问题。
三、虚假IP地址攻击溯源
当攻击数据包中的源IP地址是伪造的时，如何找到发送攻击数据包的真实IP地址?这一问题也被称为IP追踪(IPTraceback) 。对该问题, 需要按照不同背景、情况，不同分类方法来实施溯源方法。
1.背景：取证人员可以控制骨干网络上的全部或大部分路由器，并且可以修改路由软件。
取证人员可以在事先给骨干网络的路由器增加新的功能,在不影响正常路由的情况下修改标准的IP协议，以帮助发现真实的IP地址。
基于这一条件的方法主要有概率包标记算法、确定包标记算法、ICMP标记算法等。同时还有一些组合方法，例如采用数据包标记和数据包记录的混合方法；综合了 ICMP 和 PPM 算法, 路由器对于 IP 数据包以一定概率进行标记, 并且同时把IP地址填入ICMP包中等等。

文章插图

2.背景：取证人员可以控制骨干网络上的路由器,但不能修改路由软件。
根据此种情况，取证人员可以事先观察记录流经骨干网络路由器的IP数据包，但不能改变标准的路由协议。
主要思路是,在路由器上记录所有流经的数据包，当攻击发生时，受害主机向其上游路由器进行查询,路由器比对所记录的数据包，可以构造出该数据包所经过的路径。该方法优点是可以回溯单个数据包，但缺点是需要考虑路由器存储空间受限的问题。
所以针对此种情况，Alex C.Snoeren、Craig Partridge等人在《Single-packet IP traceback》设计了一个追踪系统SPIE,不是让路由器记录整个数据包，而是利用bloom filter记录数据包的摘要，大大减少了所需的存储空间。然后通过查询每个路由器上的数据包摘要，可以重构出攻击路径。
还可以根据部分路由器进行数据包记录的情况, 并且对于多个攻击源问题, 该方法只需要追踪属于多个攻击源的数据包就可以识别出多个攻击源。
在《Session based logging (SBL) for IP-traceback on network forensics》中提出一种基于Session的数据包记录方法, 即只记录TCP数据流中的连接建立请求SYN数据包和连接终止 FIN 数据包, 忽略掉流中间的数据包, 从而大大减少所需的存储空间。
在《Passive IP traceback: disclosing the locations of IP spoofers from path backscatter》中针对跨自治域的追踪问题,可以利用路由器的IP包记录方法, 结合链路层的mac地址来识别虚假IP地址, 实现了一个原型系统。
由于在这种情况下不能改变现有路由结构, 另外一个思路是在现有路由结构上建立一个覆盖网络(Overlay Network), 通过新设计的覆盖网络来实现数据包跟踪。
3.背景：取证人员不能控制骨干网络上的路由器，但可以在网络上部署监控器。
这种情况下，取证人员只能在网络合适的位置部署监控器收集数据包，这里的网络不是指骨干网络,而是指终端网络。
在大流量数据包情况下，由于网络阻塞等各种原因，路由器会有一定几率产生目标不可达的ICMP报文，由于攻击数据包的源IP地址是虚假的，一般是随机产生的,这些ICMP报文会被发往这些虚假的IP地址,其中包含路由器的IP地址以及原数据包的源和目的IP地址。