近幾年DoS（拒絕服務(wù)）攻擊開始被廣泛使用，給各個大小網(wǎng)站帶來了不小的壓力，加之法律的不健全，在追究相關(guān)責任人的法律責任時非常困難。所以安全設(shè)備廠商開始加大對IP反向追蹤技術(shù)的研發(fā)投入，爭取在追究責任人時能提供更多的證據(jù)。

下面我們就來了解一下現(xiàn)有的IP反向追蹤技術(shù)。

DoS攻擊

當今網(wǎng)絡(luò)攻擊的最常用手段就是DoS攻擊，DoS攻擊一般都使用IP欺騙方式實施攻擊，使網(wǎng)絡(luò)服務(wù)器充斥大量要求回復的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導致網(wǎng)絡(luò)或系統(tǒng)不勝負荷以至于癱瘓而停止為合法用戶提供正常的網(wǎng)絡(luò)服務(wù)。

大部分DDoS（動態(tài)拒絕服務(wù)）攻擊都是間接地通過其他主機系統(tǒng)攻擊它們的目標。攻擊者首先要入侵“肉雞”的主機，獲得管理特權(quán)后在主機上創(chuàng)建新賬號。再對目標主機發(fā)送大量數(shù)據(jù)包，導致目標主機進入癱瘓狀態(tài)。之后攻擊者就可以通過管理員帳號清理“肉雞”的被入侵和攻擊信息，最終完成攻擊目的。

在DDoS 攻擊中，為了提高攻擊的成功率，攻擊者會同時控制成百上千臺“肉雞”，每臺“肉雞”根據(jù)攻擊命令向目標主機發(fā)送大量的DoS數(shù)據(jù)包，使目標主機癱瘓。

所以必須采取相應(yīng)的措施來阻止或者減輕DoS/DDoS攻擊，并對攻擊做出反應(yīng)。阻止或者減輕攻擊效果的方法稱為預防性措施，包括優(yōu)化軟件參數(shù)、輸入過濾和速率限制。

而要對攻擊做出反應(yīng)，則必須采用各種IP 反向追蹤技術(shù)，不僅能識別攻擊主機的真正IP地址，而且還可以獲得攻擊源的主機名稱或管理員帳號。

IP追蹤方法

IP追蹤方法分為主動追蹤和反應(yīng)追蹤（也稱被動追蹤）。主動追蹤技術(shù)為了追蹤IP源地址，需要在傳輸數(shù)據(jù)包時添加一些額外信息信息，并利用這些信息識別攻擊源。

主動追蹤法在數(shù)據(jù)包通過網(wǎng)絡(luò)時記錄追蹤信息，受害主機可以使用其產(chǎn)生的追蹤數(shù)據(jù)重建攻擊路徑，并最終識別攻擊者。主動追蹤包括數(shù)據(jù)包記錄、消息傳遞和數(shù)據(jù)包標記。

而反應(yīng)追蹤卻是在檢測到攻擊之后，才開始利用各種手段從攻擊目標反向追蹤到攻擊的發(fā)起點。但是反應(yīng)追蹤必須在攻擊還在實施時完成追蹤，否則，一旦攻擊停止，反應(yīng)追蹤技術(shù)就會無效，反應(yīng)追蹤的措施有輸入調(diào)試和可控涌塞。

通常，大部分反應(yīng)追蹤很大程度上需要與ISP合作，這樣會造成大量的管理負擔以及法律和政策問題，因此有效的IP追蹤方法應(yīng)該盡量不需要和ISP合作為好。

IP追蹤技術(shù)的關(guān)鍵需求包括：

與現(xiàn)有網(wǎng)絡(luò)協(xié)議的兼容；

與現(xiàn)有的路由器和網(wǎng)絡(luò)結(jié)構(gòu)兼容；

網(wǎng)絡(luò)業(yè)務(wù)開銷可以忽略；

支持新增的設(shè)備和主機；

對付DDoS攻擊的有效性；

在時間和資源方面的最小開銷；

不需要與ISP合作；

追蹤的成功概率不取決于攻擊的持續(xù)時間。

IP66在線查IP地址位置：https://www.ip66.net/?utm-source=LJ&utm-keyword=?1146

方法一、鏈路測試

鏈路測試法是通過測試路由器之間的網(wǎng)絡(luò)鏈路來確定攻擊源頭。從最接近受害主機的路由器開始，測試它的上行鏈路以確定攜帶攻擊數(shù)據(jù)包的路由器。

如果檢測到了有地址欺騙的數(shù)據(jù)包（通過比較數(shù)據(jù)包的源IP地址和它的路由表信息），那么它就會登錄到上一級路由器，并繼續(xù)監(jiān)視數(shù)據(jù)包。如果仍然檢測到有地址欺騙的擴散攻擊，就會登錄到再上一級路由器上再次監(jiān)視地址欺騙的數(shù)據(jù)包。重復執(zhí)行這一過程，直到到達實際的攻擊源。鏈路測試是反應(yīng)追蹤方法，要求攻擊在完成追蹤之前都一直存在。

輸入調(diào)試和受控淹沒是鏈路測試中的兩種實現(xiàn)方法。大多數(shù)路由器能夠確定特定數(shù)據(jù)包的輸入網(wǎng)絡(luò)鏈路。如果路由器操作人員知道攻擊特征，那就有可能在路由器上確定輸入網(wǎng)絡(luò)鏈路。然后，ISP必須對連接到網(wǎng)絡(luò)鏈路的上游路由器執(zhí)行相同的處理過程，依次類推直到找到攻擊源、或者直到蹤跡離開了當前ISP的界線。

在后一種情況中，管理員必須聯(lián)系上游ISP繼續(xù)追蹤過程。這個技術(shù)的最大缺點是ISP之間的通信和協(xié)作上的巨大管理開銷，它在受害主機和ISP方面都需要時間和人力。這些問題在DDoS攻擊中變得更加復雜，因為攻擊可以來自屬于許多不同ISP的計算機。

受控淹沒技術(shù)是從受害網(wǎng)絡(luò)向上游網(wǎng)絡(luò)段產(chǎn)生一個突發(fā)網(wǎng)絡(luò)流量，并且觀察這個故意產(chǎn)生的流量涌塞是如何影響攻擊強度的。受害主機使用周圍已知的Internet拓撲結(jié)構(gòu)圖，選擇最接近自己的那個路由器的上游鏈路中的主機，對這個路由器的每個輸入網(wǎng)絡(luò)鏈路分別進行強行淹沒。

由于這些數(shù)據(jù)包同攻擊者發(fā)起的數(shù)據(jù)包同時共享了路由器，因此增加了路由器丟包的可能性。受控淹沒的最大問題是技術(shù)本身是一類DoS攻擊，可能會對上一級路由器和網(wǎng)絡(luò)上的合法業(yè)務(wù)產(chǎn)生較大的影響。

方法二、數(shù)據(jù)包記錄

確定網(wǎng)絡(luò)攻擊真正起源的最有效方法是，在核心路由器上記錄數(shù)據(jù)包，然后使用數(shù)據(jù)讀取技術(shù)提取有關(guān)攻擊源的信息。盡管這個解決方法看上去很簡單，并且可以對攻擊做出準確分析（在攻擊停止之后仍可進行），但是它的最大缺點是保存記錄需要大量的處理能力和存儲空間，而且保存和共享這些信息還存在法律及保密問題。

后來出現(xiàn)了一個稱為SPIE(Source Path Isolation Engine)的數(shù)據(jù)包記錄和IP追蹤方法。它不是存儲整個數(shù)據(jù)包，而是只保存有效存儲結(jié)構(gòu)中相應(yīng)固定的Hash摘要。數(shù)據(jù)收集網(wǎng)絡(luò)和分布式網(wǎng)絡(luò)的分析可以使用這個方法提取重要的數(shù)據(jù)包信息，并且產(chǎn)生合理的攻擊圖，從而識別攻擊源頭。

當前基于數(shù)據(jù)包記錄的追蹤方法使用滑動時間窗來存儲記錄的數(shù)據(jù)，從而避免了當攻擊正在進行時或者發(fā)生后不久，捕獲攻擊需要過多的存儲和分析需求。

方法三、消息傳遞

2000年7月，Internet工程任務(wù)組(IETF)成立了一個工作組，專門開發(fā)基于iTrace的ICMP追蹤消息。這個方法利用加載跟蹤機制的路由器，以很低的概率發(fā)送一種特殊定義的ICMP數(shù)據(jù)包。

這個數(shù)據(jù)包包含局部路徑信息：發(fā)送它的路由器的IP地址、前一跳和后一跳路由器的IP地址以及它的身份驗證信息?？梢酝ㄟ^查找相應(yīng)的ICMP追蹤消息，并檢查它的源IP地址，來識別經(jīng)過的路由器。

但是, 由于為每個分組創(chuàng)建一個ICMP追蹤消息增加了網(wǎng)絡(luò)業(yè)務(wù)，所以每個路由器以1/20,000的概率為經(jīng)過它傳輸?shù)姆纸M創(chuàng)建ICMP追蹤消息。如果攻擊者發(fā)送了許多分組，那么目標網(wǎng)絡(luò)就可以收集足夠的ICMP追蹤消息來識別它的攻擊路徑。

該算法的缺陷在于產(chǎn)生ICMP追蹤消息數(shù)據(jù)包的概率不能太高，否則帶寬耗用太高，所以該算法在攻擊數(shù)據(jù)包數(shù)量很多時才比較有效。iTrace機制的缺點在DDoS攻擊中變得更加明顯。受害主機可能會從最近的路由器獲得許多ICMP追蹤消息，其中很少一部分是由接近“肉雞”路由器產(chǎn)生的。

為了克服這個缺點，研究人員對iTrace提出了一種改進方法，稱為Intension驅(qū)動的ICMP追蹤。這個技術(shù)分開了判決模塊和iTrace產(chǎn)生模塊之間的消息傳遞功能。接收網(wǎng)絡(luò)為路由表提供了特定的信息以指出它需要ICMP追蹤消息。在路由表中提供的特定信息的基礎(chǔ)上，判決模塊將選擇接著使用哪類數(shù)據(jù)包來產(chǎn)生iTrace消息。然后，iTrace產(chǎn)生模塊處理這個選中數(shù)據(jù)包，并且發(fā)送一個新的iTrace消息。

Intention驅(qū)動的追蹤還允許無論接收網(wǎng)絡(luò)是否想接收iTrace 數(shù)據(jù)包，都可以發(fā)信號，這就增加了對接收網(wǎng)絡(luò)有用消息的比例。如果特定網(wǎng)絡(luò)懷疑或者檢測到它正遭到攻擊，那么這種方法也很有用：它可以向上一級路由器請求iTrace數(shù)據(jù)包，以識別攻擊業(yè)務(wù)的源頭。

免費領(lǐng)取1000次/日查詢次數(shù)：
https://www.ipdatacloud.com/?utm-source=LJ&utm-keyword=?1086

方法四、數(shù)據(jù)包標記

數(shù)據(jù)包標記方法是在被追蹤的IP數(shù)據(jù)包中插入追蹤數(shù)據(jù)，從而在到目標主機的網(wǎng)絡(luò)上的各個路由器上標記數(shù)據(jù)包。數(shù)據(jù)包標記的最簡單的實現(xiàn)是使用記錄路由選項，在IP頭的選項字段中存儲路由器地址。

但是，這個方法增加了每個路由器中的數(shù)據(jù)包長度，直接導致一個數(shù)據(jù)包被分成更多段。而且，攻擊者可以試圖用假數(shù)據(jù)來填充這個保留字段，從而逃避追蹤。

有人2001年提出了利用隨機抽樣和壓縮的數(shù)據(jù)包標記算法。這個算法依賴隨機數(shù)據(jù)包標記(PPM)的追蹤機制，使用概率為1/25的隨機抽樣，從而避免了路由器數(shù)據(jù)包標記的過多開銷。此外，每個數(shù)據(jù)包只存儲它的路由信息的一部分，而不是整條路徑的信息。只要攻擊數(shù)據(jù)包足夠多，就可以保證受害主機重構(gòu)攻擊路徑上的每一個路由器。

壓縮邊緣分段抽樣技術(shù)(CEFS)已經(jīng)成為最著名的IP追蹤機制之一。要執(zhí)行一次成功的追蹤，受害者必須搜集足夠多的數(shù)據(jù)包來重建攻擊路徑的每個邊緣和完整的攻擊拓撲圖。但是這在DDoS攻擊中非常困難，因為正確地將分段和編碼的路徑邊緣組織在一起很困難。

邊緣識別PPM的方法通過存儲每個IP地址的Hash值，進一步減少存儲需求。這種方法假設(shè)受害主機擁有所有上級路由器的完整網(wǎng)絡(luò)圖。在重新組裝邊緣分段之后，該方法將產(chǎn)生的IP地址Hash值與從網(wǎng)絡(luò)圖得到的路由器IP地址的Hash值相比較，以便于重建攻擊路徑。這個方法比以前的方法對于DDoS攻擊更加有效。