由于攻击者可以采用不同的形式来隐藏自身真实的IP地址,如虚假IP地址或跳板的方式,那么可以将攻击源追踪问题分为下面5个问题:虚假IP溯源、僵尸网络溯源、匿名网络溯源、跳板溯源、局域网溯源。
虚假IP溯源:
取证人员检测到的攻击数据包中,其源IP地址是伪造的。例如,典型的SYN Flood攻击。
在这种网络攻击中,攻击者将攻击数据包中的源IP地址替换为伪造的IP地址,受害主机收到数据包后,将响应数据包发送给伪造的IP地址主机,这些主机可能存在也可能不存在。这样在受害主机端,无法得到攻击主机的IP地址。
除此之外, 还有一种特殊的“反射攻击”, 如Smurf 攻击、DNS放大攻击等在这种攻击中,攻击者将攻击数据包中的源IP地址替换为受害者的IP地址,将攻击数据包发送给反射主机,反射主机收到数据包后,响应数据包将发送给受害主机。从受害主机端观察,只能判断这些数据包来自反射主机,无法知道真正攻击者的IP地址。
僵尸网络溯源:
攻击者利用僵尸网络发动攻击,取证人员检测到攻击数据包中,其源IP地址来自于Botnet中的bot主机,在这种情况下如何追踪定位攻击者的主机?
在这种攻击中,攻击者利用C&C型或P2P型Botnet,先发送控制指令, bot主机接收到控制指令后,向设定的攻击目标发动攻击。在受害主机端,可以看到攻击数据包来自 bot主机,而无法识别出真正的Botmaster。
匿名网络溯源:
攻击者利用匿名网络,如“Tor”,发动攻击,取证人员检测到攻击数据包中,其源IP地址来自于匿名网络,在这种情况下如何追踪定位攻击者的主机?Tor 网络就是匿名网络典型的攻击场。
在这种攻击中,攻击者的攻击数据包通过匿名网络进行转发,在受害主机端,只能观察到攻击数据包来自于出口路由器,而不能发现真正的攻击者。
跳板溯源:
攻击者利用多个“跳板主机”,即通过控制多个主机转发攻击数据包,取证人员检测到攻击数据包,其源IP地址是最后一跳“跳板主机”的IP地址,前一段时间西北工业大学被NAS攻击中,就运用了54台跳板来隐藏真正的IP地址【https://www.ipdatacloud.com/?utm-source=LJ&utm-keyword=?1086】。
在这种攻击中,攻击者事先控制多个跳板主机,利用跳板转发攻击数据包。在受害主机端,只能看到攻击数据包来自于最后一跳的主机,而不能识别出真正的攻击者。很显然,跳板路径越长,越难追踪攻击者。
局域网络溯源:
攻击者位于私有网络内,其攻击数据包中的源IP地址经过了网关的VAT(Network Address Transform)地址转换。
在这种攻击中,由于攻击者的IP地址是私有IP地址,在受害主机端只能看到NAT网关的IP地址。在大型私有网络内,特别是无线局域网中,寻找定位攻击者并不是一件简单的事情。
在实际的网络攻击事件中, 可能并不严格遵守上述各种攻击场景, 但大致可以归为上述某个或某几个问题。
领取专属 10元无门槛券
私享最新 技术干货