網(wǎng)絡(luò)攻防技術(shù)課件第13章追蹤溯源第1節(jié)_第1頁
網(wǎng)絡(luò)攻防技術(shù)課件第13章追蹤溯源第1節(jié)_第2頁
網(wǎng)絡(luò)攻防技術(shù)課件第13章追蹤溯源第1節(jié)_第3頁
網(wǎng)絡(luò)攻防技術(shù)課件第13章追蹤溯源第1節(jié)_第4頁
網(wǎng)絡(luò)攻防技術(shù)課件第13章追蹤溯源第1節(jié)_第5頁
已閱讀5頁,還剩16頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、第十三章 追蹤溯源第十三章 追蹤溯源2022/10/2網(wǎng)絡(luò)攻防技術(shù)2本章主要內(nèi)容13.1 追蹤溯源概述13.2 追蹤溯源面臨的挑戰(zhàn)13.3 追蹤溯源典型技術(shù)13.4 追蹤溯源技術(shù)發(fā)展趨勢2022/9/28網(wǎng)絡(luò)攻防技術(shù)2本章主要內(nèi)容13.1 追蹤13.1 追蹤溯源概述 網(wǎng)絡(luò)攻擊者大都使用偽造IP地址或通過多個跳板發(fā)起攻擊,使防御方很難確定真正攻擊源的身份和位置,難以實施針對性防御策略?!爸褐?,百戰(zhàn)不殆”,在網(wǎng)絡(luò)攻防對抗中,只有擁有信息優(yōu)勢,才能更加有效地實施網(wǎng)絡(luò)對抗策略,進而取得勝利。網(wǎng)絡(luò)攻擊追蹤溯源的目標是探知攻擊者身份、攻擊點位置及攻擊路徑等信息,據(jù)此可針對性制定防護或反制措施,進而占領(lǐng)

2、網(wǎng)絡(luò)對抗制高點。2022/10/2網(wǎng)絡(luò)攻防技術(shù)313.1 追蹤溯源概述 網(wǎng)絡(luò)攻擊者大都使用偽造IP地址或通一、網(wǎng)絡(luò)攻擊追蹤溯源基本概念典型網(wǎng)絡(luò)攻擊場景中所涉及的角色通常包括攻擊者、受害者、跳板、僵尸機及反射器等。2022/10/2網(wǎng)絡(luò)攻防技術(shù)4一、網(wǎng)絡(luò)攻擊追蹤溯源基本概念典型網(wǎng)絡(luò)攻擊場景中所涉及的角色通一、網(wǎng)絡(luò)攻擊追蹤溯源基本概念一般來說,網(wǎng)絡(luò)攻擊追蹤溯源是指確定攻擊者的賬號信息、身份信息、IP地址和MAC地址等虛擬地址信息與地理位置信息、攻擊的中間環(huán)節(jié)信息以及還原攻擊路徑等的過程。2022/10/2網(wǎng)絡(luò)攻防技術(shù)5一、網(wǎng)絡(luò)攻擊追蹤溯源基本概念一般來說,網(wǎng)絡(luò)攻擊追蹤溯源是指確二、網(wǎng)絡(luò)攻擊追蹤溯源

3、目標層次按追蹤溯源深度,網(wǎng)絡(luò)攻擊追蹤溯源可分為攻擊主機追蹤溯源、控制主機追蹤溯源、攻擊者追蹤溯源和攻擊組織追蹤溯源。2022/10/2網(wǎng)絡(luò)攻防技術(shù)6二、網(wǎng)絡(luò)攻擊追蹤溯源目標層次按追蹤溯源深度,網(wǎng)絡(luò)攻擊追蹤溯源二、網(wǎng)絡(luò)攻擊追蹤溯源目標層次1. 攻擊主機追蹤溯源攻擊主機追蹤溯源是對攻擊主機進行定位,通常被稱為IP追蹤(IP Traceback),主要有:利用路由器調(diào)試接口的輸入調(diào)試(Input Debugging)追蹤技術(shù);ICMP追蹤技術(shù);可對單個數(shù)據(jù)包進行追蹤的源路徑隔離引擎(Source Path Isolation Engine,SPIE)追蹤技術(shù)等。2022/10/2網(wǎng)絡(luò)攻防技術(shù)7二、網(wǎng)

4、絡(luò)攻擊追蹤溯源目標層次1. 攻擊主機追蹤溯源2022/二、網(wǎng)絡(luò)攻擊追蹤溯源目標層次1. 攻擊主機追蹤溯源在評估攻擊主機追蹤溯源技術(shù)時,需要關(guān)注的典型問題有:是否需要對路由器等相關(guān)網(wǎng)絡(luò)設(shè)備進行改造?能否對單個數(shù)據(jù)包進行追蹤?前期是否需要對數(shù)據(jù)包的特征信息進行了解?隨著日志類、包標記等技術(shù)的不斷進步,攻擊主機追蹤溯源技術(shù)取得了不錯的研究成果,極大提高了追蹤溯源技術(shù)的應(yīng)用效率。2022/10/2網(wǎng)絡(luò)攻防技術(shù)8二、網(wǎng)絡(luò)攻擊追蹤溯源目標層次1. 攻擊主機追蹤溯源2022/二、網(wǎng)絡(luò)攻擊追蹤溯源目標層次2. 控制主機追蹤溯源控制主機追蹤溯源的目標主要是確定攻擊的控制主機。要進行控制主機追蹤溯源,需要沿著攻擊

5、事件的因果鏈,逐級展開逆向追蹤,確定最初的攻擊源主機。當然,網(wǎng)絡(luò)中的設(shè)備既可能幫助追蹤者,同時也可能會被攻擊者所控制,網(wǎng)絡(luò)攻擊追蹤溯源其實就是攻擊者和追蹤者的一場博弈。2022/10/2網(wǎng)絡(luò)攻防技術(shù)9二、網(wǎng)絡(luò)攻擊追蹤溯源目標層次2. 控制主機追蹤溯源2022/二、網(wǎng)絡(luò)攻擊追蹤溯源目標層次2. 控制主機追蹤溯源在反向追蹤上一級主機時需要關(guān)注:實施監(jiān)測主機的內(nèi)部監(jiān)測行為;對主機內(nèi)系統(tǒng)日志進行信息分析;對當前主機系統(tǒng)中的所有狀態(tài)信息進行捕獲;分析進出主機的數(shù)據(jù)流,對攻擊數(shù)據(jù)流展開識別;還應(yīng)對多源網(wǎng)絡(luò)攻擊事件進行特定干預(yù),分析其在網(wǎng)絡(luò)中的行為變化,確定攻擊事件中的因果關(guān)系,便于后續(xù)追蹤溯源。2022/

6、10/2網(wǎng)絡(luò)攻防技術(shù)10二、網(wǎng)絡(luò)攻擊追蹤溯源目標層次2. 控制主機追蹤溯源2022/二、網(wǎng)絡(luò)攻擊追蹤溯源目標層次3. 攻擊者追蹤溯源攻擊者追蹤溯源主要是對網(wǎng)絡(luò)攻擊者進行追蹤定位,追蹤者需要找出攻擊者和網(wǎng)絡(luò)主機行為間的因果關(guān)系,通過對網(wǎng)絡(luò)空間中的信息數(shù)據(jù)進行分析,將其和物理世界中的事件內(nèi)容關(guān)聯(lián)到一起,并由此確定應(yīng)對攻擊事件負責(zé)的自然人。2022/10/2網(wǎng)絡(luò)攻防技術(shù)11二、網(wǎng)絡(luò)攻擊追蹤溯源目標層次3. 攻擊者追蹤溯源2022/9二、網(wǎng)絡(luò)攻擊追蹤溯源目標層次3. 攻擊者追蹤溯源攻擊者追蹤溯源大體可分為四步:首先,對網(wǎng)絡(luò)空間上的事件信息進行確認;隨后,對物理世界中的事件信息進行確認;然后,對它們之間

7、的關(guān)系進行分析;最后,進行因果關(guān)系上的確定。2022/10/2網(wǎng)絡(luò)攻防技術(shù)12二、網(wǎng)絡(luò)攻擊追蹤溯源目標層次3. 攻擊者追蹤溯源2022/9二、網(wǎng)絡(luò)攻擊追蹤溯源目標層次3. 攻擊者追蹤溯源2022/10/2網(wǎng)絡(luò)攻防技術(shù)13二、網(wǎng)絡(luò)攻擊追蹤溯源目標層次3. 攻擊者追蹤溯源2022/9二、網(wǎng)絡(luò)攻擊追蹤溯源目標層次3. 攻擊者追蹤溯源已有的攻擊者追蹤溯源方法和工具只能對攻擊者在某時間、某方面進行表征,還需要將這些零星的信息進行匯聚和綜合,對攻擊者行為進行準確而完整的描述,以便確定攻擊者的身份信息。同時,在攻擊者追蹤溯源過程中,還需要對信息數(shù)據(jù)的準確度和可靠性進行篩選和確定,這樣才能提高工作效率,保證結(jié)

8、果的準確性。2022/10/2網(wǎng)絡(luò)攻防技術(shù)14二、網(wǎng)絡(luò)攻擊追蹤溯源目標層次3. 攻擊者追蹤溯源2022/9二、網(wǎng)絡(luò)攻擊追蹤溯源目標層次4. 攻擊組織追蹤溯源攻擊組織追蹤溯源是一種高級溯源形式,以攻擊主機、控制主機和攻擊者追蹤溯源為基礎(chǔ),結(jié)合具體的情報內(nèi)容,對整個網(wǎng)絡(luò)攻擊事件的幕后組織機構(gòu)進行全面的分析評估。在確認攻擊者的基礎(chǔ)上,借助潛在的機構(gòu)信息、外交形式和政策戰(zhàn)略,還有攻擊者的身份信息、工作情況和社會地位等信息,對攻擊者的組織機構(gòu)關(guān)系進行確認。2022/10/2網(wǎng)絡(luò)攻防技術(shù)15二、網(wǎng)絡(luò)攻擊追蹤溯源目標層次4. 攻擊組織追蹤溯源2022/二、網(wǎng)絡(luò)攻擊追蹤溯源目標層次4. 攻擊組織追蹤溯源202

9、2/10/2網(wǎng)絡(luò)攻防技術(shù)16二、網(wǎng)絡(luò)攻擊追蹤溯源目標層次4. 攻擊組織追蹤溯源2022/二、網(wǎng)絡(luò)攻擊追蹤溯源目標層次4. 攻擊組織追蹤溯源攻擊者追蹤溯源的目標是將網(wǎng)絡(luò)設(shè)備的控制行為與具體的自然人相關(guān)聯(lián),技術(shù)上面臨極大挑戰(zhàn),而對攻擊組織的追蹤溯源則更多依賴物理自然世界的偵察查、情報等信息。受篇幅所限,本章后續(xù)內(nèi)容主要介紹攻擊主機追蹤溯源與控制主機追蹤溯源相關(guān)的技術(shù)和方法。2022/10/2網(wǎng)絡(luò)攻防技術(shù)17二、網(wǎng)絡(luò)攻擊追蹤溯源目標層次4. 攻擊組織追蹤溯源2022/三、網(wǎng)絡(luò)攻擊追蹤溯源典型場景網(wǎng)絡(luò)攻擊追蹤溯源的應(yīng)用場景與攻擊事件和網(wǎng)絡(luò)應(yīng)用環(huán)境相關(guān),據(jù)追蹤溯源應(yīng)用的網(wǎng)絡(luò)環(huán)境不同,可分為域內(nèi)追蹤溯源和

10、跨域追蹤溯源。 一般而言,域內(nèi)追蹤溯源為協(xié)作網(wǎng)域追蹤溯源,跨域追蹤溯源為非協(xié)作網(wǎng)域追蹤溯源。下面分別對域內(nèi)追蹤溯源與跨域追蹤溯源進行介紹。2022/10/2網(wǎng)絡(luò)攻防技術(shù)18三、網(wǎng)絡(luò)攻擊追蹤溯源典型場景網(wǎng)絡(luò)攻擊追蹤溯源的應(yīng)用場景與攻擊三、網(wǎng)絡(luò)攻擊追蹤溯源典型場景1. 域內(nèi)追蹤溯源域內(nèi)追蹤溯源指單個網(wǎng)域內(nèi)對攻擊者的追蹤溯源,攻擊者和受害者屬于同一個網(wǎng)絡(luò)路由、管理策略等網(wǎng)絡(luò)服務(wù)操作完全相同的自治域(Autonomous System,AS)。2022/10/2網(wǎng)絡(luò)攻防技術(shù)19三、網(wǎng)絡(luò)攻擊追蹤溯源典型場景1. 域內(nèi)追蹤溯源2022/9/三、網(wǎng)絡(luò)攻擊追蹤溯源典型場景2. 跨域追蹤溯源跨域追蹤溯源指跨越多個網(wǎng)域進行的攻擊源追蹤,攻擊者和受害者屬于不同的網(wǎng)域,其網(wǎng)絡(luò)邏輯域和物理區(qū)域也不相同??缬蜃粉櫵菰词菍嶋H中最常遇到的場景,攻擊者為了隱藏自身,常常是通過多個網(wǎng)域發(fā)動攻擊,以逃避追蹤。在跨

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論