网络攻击追踪溯源中攻击者如何掩盖真实IP( 三 ) _真实IP

因此部署在网络上的监控器会收到这些ICMP报文，根据发送这些ICMP报文的路由器,可以构造出这些数据包的攻击路径。Robert Stone和Centertrack在《an IP overlay network for tracking DoS floods》提出了，利用NetworkTelescope 项目(能够覆盖1/256的IPv4地址)收集的数据，结合骨干网的拓扑结构,可以在一定程度上发现攻击源。
但是溯源追踪的方法要求攻击数据包的流量比较大，并且在攻击正在进行的时候实施，一旦攻击结束，这种方法就无法找到真实的IP地址。
4.背景：取证人员既不能控制骨干路由器, 也不能部署监控器, 但知道骨干网络拓扑结构。
在取证人员只知道骨干网络的拓扑结构, 没有权限控制骨干网中的路由器, 也没有条件部署遍及全网的监控器的情况下，我们可以采取以下几种追踪溯源的方法。

文章插图

Hal Burch和Bill Cheswick在《Tracing anonymous packets to their Approximate source》提出了一种链路测试的方法。在大流量数据包的情况下，从被攻击目标出发,由近及远，依次对被攻击目标的上游路由器进行UDP泛洪。若某条链路上存在攻击流量,由于泛洪流量的存在，将导致攻击流量丢包。根据这一现象，即可以判断出某条链路上是否存在攻击流量,从而构造出攻击路径。
不过该方法只能对单个攻击流量进行检测,若同时存在多个攻击流量，则很难区分不同的攻击流量。这种方法同样要求攻击数据包流量较大,并且一旦攻击结束,方法也就失效了。另外，这种方法本身就是一种 DoS攻击，会影响正常的数据流量。
也可以采取一种基于蚁群的算法, 即受害主机发出一些蚁群, 这些蚁群根据链路中负载的程度来选择路径, 链路负载越大说明越可能是攻击流量, 因此蚁群选择该路径的概率越大。当所有蚁群达到所监控网络边缘时, 根据蚁群所走过的路径, 则可以构造出最有可能的攻击路径。
5.背景：取证人员既不能控制骨干路由器、不能部署监控器, 也不知道拓扑结构。
如果取证人员不掌握任何资源, 在这一条件下似乎不可能追踪到真实的IP地址。但可以采取某种方法, 获得骨干网络的拓扑结构, 从而将问题转化为拓扑结构的情况, 。如Dawn Xiaodong Song,和Adrian Perrig在《 Advanced and authenticated marking schemes for IP traceback》就是利用了traceroute 获取网络拓扑结构。