虚假IP地址攻击如何溯源?

这篇具有很好参考价值的文章主要介绍了虚假IP地址攻击如何溯源?。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

当攻击数据包中的源IP地址是伪造的时,如何找到发送攻击数据包的真实IP地址?这一问题也被称为IP追踪(IPTraceback)。对该问题, 需要按照不同背景、情况,不同分类方法来实施溯源方法。

①背景:取证人员可以控制骨干网络上的全部或大部分路由器,并且可以修改路由软件

取证人员可以在事先给骨干网络的路由器增加新的功能,在不影响正常路由的情况下修改标准的IP协议,以帮助发现真实的IP地址。

基于这一条件的方法主要有概率包标记算法、确定包标记算法、ICMP标记算法等。同时还有一些组合方法,例如采用数据包标记和数据包记录的混合方法;综合了 ICMP 和 PPM 算法, 路由器对于 IP 数据包以一定概率进行标记, 并且同时把IP地址填入ICMP包中等等。

②背景:取证人员可以控制骨干网络上的路由器,但不能修改路由软件。

根据此种情况,取证人员可以事先观察记录流经骨干网络路由器的IP数据包,但不能改变标准的路由协议。

主要思路是,在路由器上记录所有流经的数据包,当攻击发生时,受害主机向其上游路由器进行查询,路由器比对所记录的数据包,可以构造出该数据包所经过的路径。该方法优点是可以回溯单个数据包,但缺点是需要考虑路由器存储空间受限的问题。

所以针对此种情况,Alex C.Snoeren、Craig Partridge等人在《Single-packet IP traceback》设计了一个追踪系统SPIE,不是让路由器记录整个数据包,而是利用bloom filter记录数据包的摘要,大大减少了所需的存储空间。然后通过查询每个路由器上的数据包摘要,可以重构出攻击路径。

还可以根据部分路由器进行数据包记录的情况, 并且对于多个攻击源问题, 该方法只需要追踪属于多个攻击源的数据包就可以识别出多个攻击源。

在《Session based logging (SBL) for IP-traceback on network forensics》中提出一种基于Session的数据包记录方法, 即只记录TCP数据流中的连接建立请求SYN数据包和连接终止 FIN 数据包, 忽略掉流中间的数据包, 从而大大减少所需的存储空间。

在《Passive IP traceback: disclosing the locations of IP spoofers from path backscatter》中针对跨自治域的追踪问题,可以利用路由器的IP包记录方法, 结合链路层的MAC地址来识别虚假IP地址, 实现了一个原型系统。

由于在这种情况下不能改变现有路由结构, 另外一个思路是在现有路由结构上建立一个覆盖网络(Overlay Network), 通过新设计的覆盖网络来实现数据包跟踪。

虚假IP地址攻击如何溯源?

③背景:取证人员不能控制骨干网络上的路由器,但可以在网络上部署监控器。

这种情况下,取证人员只能在网络合适的位置部署监控器收集数据包,这里的网络不是指骨干网络,而是指终端网络。

在大流量数据包情况下,由于网络阻塞等各种原因,路由器会有一定几率产生目标不可达的ICMP报文,由于攻击数据包的源IP地址是虚假的,一般是随机产生的,这些ICMP报文会被发往这些虚假的IP地址,其中包含路由器的IP地址以及原数据包的源和目的IP地址。

因此部署在网络上的监控器会收到这些ICMP报文,根据发送这些ICMP报文的路由器,可以构造出这些数据包的攻击路径。Robert Stone和Centertrack在《an IP overlay network for tracking DoS floods》提出了,利用NetworkTelescope 项目(能够覆盖1/256的IPv4地址)收集的数据,结合骨干网的拓扑结构,可以在一定程度上发现攻击源。

但是溯源追踪的方法要求攻击数据包的流量比较大,并且在攻击正在进行的时候实施,一旦攻击结束,这种方法就无法找到真实的IP地址。

④背景:取证人员既不能控制骨干路由器, 也不能部署监控器, 但知道骨干网络拓扑结构。

在取证人员只知道骨干网络的拓扑结构, 没有权限控制骨干网中的路由器, 也没有条件部署遍及全网的监控器的情况下,我们可以采取以下几种追踪溯源的方法。

Hal Burch和Bill Cheswick在《Tracing anonymous packets to their approximate source》提出了一种链路测试的方法。在大流量数据包的情况下,从被攻击目标出发,由近及远,依次对被攻击目标的上游路由器进行UDP泛洪。若某条链路上存在攻击流量,由于泛洪流量的存在,将导致攻击流量丢包。根据这一现象,即可以判断出某条链路上是否存在攻击流量,从而构造出攻击路径。

不过该方法只能对单个攻击流量进行检测,若同时存在多个攻击流量,则很难区分不同的攻击流量。这种方法同样要求攻击数据包流量较大,并且一旦攻击结束,方法也就失效了。另外,这种方法本身就是一种 DoS攻击,会影响正常的数据流量。

也可以采取一种基于蚁群的算法, 即受害主机发出一些蚁群, 这些蚁群根据链路中负载的程度来选择路径, 链路负载越 大说明越可能是攻击流量, 因此蚁群选择该路径的概率越大。当所有蚁群达到所监控网络边缘时, 根据 蚁群所走过的路径, 则可以构造出最有可能的攻击路径。

所以对于一般虚假IP溯源问题的解决,可以根据情况的不同采用不同的检测方法进行追溯。不过现如今网络攻击环境、攻击手法复杂且技术不断升级,我们也需要升级我们的检测方法,提高网络攻击溯的技术水平,这样才能更好地保护我们的网络安全。文章来源地址https://www.toymoban.com/news/detail-401584.html

到了这里,关于虚假IP地址攻击如何溯源?的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 数据链路层中的IP地址与MAC地址

    数据链路层负责在物理层提供的比特流上建立逻辑连接,实现点对点或点对多点的数据传输。数据链路层中有两种重要的地址:IP地址和MAC地址。 IP地址是网络层提供的逻辑地址,它标识了网络中的主机或路由器。IP地址可以根据网络拓扑变化而改变,它是网络层实现路由选择

    2024年02月16日
    浏览(41)
  • 如何解决使用若依前后端分离打包部署到服务器上后主包无法找到从包中的文件的问题?如何在 Java 代码中访问 jar 包中的资源文件?

    在使用若依前后端分离打包部署到服务器上后,可能会出现主包无法找到从包中的文件的问题,这个问题通常是由于资源文件没有正确地打包到 jar 包中导致的。本文将介绍如何解决这个问题,包括如何在 Java 代码中访问 jar 包中的资源文件、如何将资源文件复制到系统临时目

    2024年02月22日
    浏览(59)
  • Nginx禁止/屏蔽攻击服务器的IP地址

    nginx安装在IP为x.x.x.x的服务器上 第一步,nginx安装。 第二步,nginx配置。 第三步,nginx启动和访问站点。 第四步,nginx服务关闭和重启。 第五步,新建nginx启动脚本可以不进入nginx根目录即可进行相应的操作,设置服务器重启时nginx会自动启动。 第一步,在/etc/nginx文件夹中新

    2024年02月06日
    浏览(53)
  • 解决恶意IP地址攻击:保卫网络安全的有效方法

    随着互联网的发展,网络安全威胁变得日益复杂,其中包括恶意IP地址攻击。这些攻击通常是网络犯罪分子的手段之一,用于入侵系统、窃取数据或进行其他恶意活动。本文将探讨如何解决恶意IP地址攻击,以保护网络安全。 恶意IP地址攻击是指来自恶意或已知的恶意来源的

    2024年02月08日
    浏览(52)
  • 思科路由器IP源地址的攻击的解决方案

      一、在UDP flooding中,攻击者则是通过连接目标系统的changen端口到伪造源地址指向的主机的echo端口,导致changen端口产生大量的随机字符到echo端口,而echo端口又将接收到的字符返回,最后导致两个系统都因耗尽资源而崩溃。 二、为了防御UDP flooding,我们必须防止路由器的诊

    2024年02月05日
    浏览(90)
  • 面对新型攻击手段——挖矿、量化交易、虚假支付等——怎么应对?

    作者:禅与计算机程序设计艺术 2017年10月份,美国最大的比特币矿场Cryptopia遭遇了一次重大漏洞,导致用户账户中的比特币被盗取。这一事件引起了全球各个加密货币社区广泛关注。众多的币种价格暴跌,资金流入到“黑心机构”的数量也在激增。投资者担忧着自己的财产安

    2024年02月07日
    浏览(46)
  • 思科IOS防止遭受IP地址欺骗攻击的三种办法

    IP欺骗技术就是伪造某台主机的IP 地址的技术。通过IP地址的伪装使得某台主机能够伪装另外的一台主机,而这台主机往往具有某种特权或者被另外的主机所信任。在一次典型的地址欺骗尝试中,攻击者只是简单地伪装源数据包使其看起来是内自于内部网络。下面谈一下怎样利

    2024年02月07日
    浏览(46)
  • 如何实现无公网ip固定TCP端口地址远程连接Oracle数据库

    Oracle,是甲骨文公司的一款关系数据库管理系统,它在数据库领域一直处于领先地位。可以说Oracle数据库系统是世界上流行的关系数据库管理系统,系统可移植性好、使用方便、功能强,适用于各类大、中、小微机环境。它是一种高效率的、可靠性好的、适应高吞吐量的数据

    2024年01月18日
    浏览(54)
  • 溯源(二)之 windows-还原攻击路径

    溯源(一)之溯源的概念与意义 web入侵的流程图如下所示: 日志分析 1.什么是日志? 日志是记录一个服务或应用程序在运行过程中所发生的事件和活动,通过对日志文件的分析,可以让我们对服务器的行为一目了然,可以分析攻击IP,哪个IP用什么样的方式访问过哪个目录,

    2024年02月10日
    浏览(38)
  • IP定位如何阻止网络攻击

    随着互联网的普及,网络安全问题越来越受到人们的关注。其中,网络攻击成为了最为严重的问题之一。为了保障网络安全,IP定位技术应运而生。本文将介绍IP定位如何阻止网络攻击。 一、IP定位技术简介 IP定位技术是一种通过IP地址确定地理位置的技术。在网络安全领域,

    2024年01月24日
    浏览(40)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包