【赛迪网讯】◆ 解密追踪技术
◆ ARP欺骗源头追踪实例
◆ SynFlood源头追踪实例
在网络安全事件应急响应模块 (Incident Response) 中,对攻击来源进行追踪总是其中一个非常重要的环节。大的网络机构往往都有专业的应急响应处理小组(CERT),当发生网络攻击的时候,由他们负责对攻击事件的跟踪、分析以及查找攻击来源等工作。
在现实的网络世界中,攻击事件的源头往往不在被攻击对象所管理的网络主机范围内,这时,被攻击者进行紧急响应及追踪就需要协调多方网络资源。这种追踪难度较大,跨越的网络多,对管理员技术水平要求也相对较高。
但除了这种较大规模的网络应急响应处理所应用到的手段以外,对管理员来讲,掌握一些相对基本的攻击追踪技术,对于紧急事件下快速恢复设备正常运行以及协助进行一些安全事件诊断还是有着极其重要的意义的……
解密追踪技术
北京 张晓兵
当人们进入信息社会之后,一切都变得快了。网络发展异常迅速,上网人数逐年增加,网络带宽不断扩容,前两年还炙手可热的电话拨号,如今早已被DSL、LAN等宽带接入代替,网上应用也蓬勃开展,网上商务、即时通讯已经悄然溶入了人们的生活。但是,一个环境总是同时孕育着好坏两种事物,网络安全问题日益突显,病毒破坏与黑客攻击成为当今网络的两大安全问题,网络犯罪也大有泛滥的趋势。
要想扼制住病毒破坏与黑客攻击的势头,制止网络犯罪,除了要有防范于未然的网络安全手段,更重要的是要了解一些“亡羊补牢”的追踪技术。因为网络上病毒破坏与黑客攻击虽然总是有很强的目的性,但是通常都是突发性的,我们只能在事件出现以后再追根溯源,找出最初的破坏者。
溯源
这里的追踪技术即网络追踪技术,指的是根据一个黑客或病毒事件,利用各种手段找到最初的病毒源或黑客攻击源的一种技术。简单地说,就是一种逆向求解的过程:原来是根据除数与被除数做除法得出商,而如今是知道了商和被除数,就可以通过乘法反算出最初的除数。当然,实际情况要复杂得多。
最初的追踪技术是在黑客产生之后。黑客起源于50年代麻省理工学院的实验室中,他们精力充沛,热衷于解决难题,是一些技术的狂热者。后来,这种黑客文化开始在全球普及,掀起了60、70年代的黑客热潮,产生了现行的计算机开放式体系结构。但随着个人计算机的发展,整个网络开始变得商业化、私有化,一些黑客为了突破这种局面,将注意力转移到涉及各种机密的信息数据上。这时,大家对黑客产生了反感,开始对一些破坏性的黑客行为采取行动,并制定相关法律来进行控制,于是便出现了追踪技术。
我们知道,在浩瀚的网络中,任意两台计算机要想进行信息的沟通与数据的交换,其间必定会经过一条漫长的道路,这条道路被称之为路由,同时还要经过若干个服务器的请求和处理。在这种情况下,在网络中的任意两台计算机之间进行一次交互都会或多或少地留下些线索,追踪技术正是利用这些残留的线索进行反向追查的。
探秘
要想实现有效的追踪,有以下几种策略。
手工追踪技术—一种被动的追踪手段
这种追踪手段主要是利用现有的网络线索和现有的网络工具对黑客行为进行反查,主要目的是追踪到源攻击者的真实IP地址,从而确定网络攻击源,可以称之为被动追踪技术。
我们知道,每台上网计算机都会有一个IP地址,它在某种情况下是惟一的,不但是计算机在网络中的惟一标识,也包含了计算机的位置信息,根据该信息,最终可以找到源攻击者。那么,我们怎样才能追踪到源攻击者的IP地址呢?
其实,计算机的操作系统尤其是服务器操作系统为了使计算机的拥有者能够及时、准确地了解到计算机的运行情况,一般情况下都提供了详细的日志统计功能,能将计算机上发生的一切事件,比如网络访问事件、重大故障等,一一进行记录。有些人可能认为,通过拨号上网的用户由于IP地址是动态分配的,因此进行攻击时可能更安全些,这种观点从某种意义上理解是对的。但是要明白一点,即使动态分配的IP地址,也会由分配该IP地址的网络运营商的服务器进行记录,它会将每一个申请动态IP地址的电话号码记录下来,追踪者通过该记录就可以进一步确定源攻击者。
利用追踪监控软件—一种主动的追踪技术
由于被动追踪的精准度要依赖于现有系统的日志记录的详细程度,如果一些病毒或者黑客先攻陷一些有系统漏洞的计算机,就能完全拥有该计算机的控制权。当他们利用该计算机作为跳板攻击其他计算机时,就可以轻松删除掉这类计算机中的日志记录,从而使攻击路径的线索中断,无法追踪。在这种情况下,就需要采用主动追踪的技术,即利用一些已经安装好的追踪监控软件,详细记录病毒或黑客的攻击行为。
这类软件往往是在一个可控的、相对封闭的计算机网络区域内安装网络监测模块,并充分利用网络入侵检测和数据指纹技术,不但可以识别出黑客的攻击行为,还能追踪到黑客源头。由于是在一个可控的网络实施全网监视,无论黑客进行何种改头换面的伪装或以别的系统做为代理,都可以及时识别并追踪到,使黑客无处藏身。这种技术就像是在关键路口布下的捕鼠夹,一旦有老鼠经过,就能立刻将之捕获。
这种技术的准确性很高,但是条件是需要追踪的网络是可控制的,对于无法安装这类软件的网络,很难实现主动监测和控制。
追踪ID—一种社会的追踪手段
以上两种追踪可以被看作是追踪IP的技术,无论是主动还是被动的,结果都是追查到源攻击者的IP地址,然后再对该IP地址进行处理。实际上,在很多情况下,IP地址是无法追踪的,这时就要采用一种新的手段,即ID追踪技术。
ID是一个笼统的说法,它是用户上网时的一种身份,比如用邮箱发信时的邮箱、用QQ进行聊天时的QQ号码、在论坛上发贴子时的注册用户名,也就是说,IP地址只能表明上网的计算机的身份,而ID则是表明上网的那个人的身份。因此,有时候追踪ID是一种更有效的方式,因为它更多地利用了社会工程学原理,即人们的心理与人文的线索。
病毒作者也好,黑客也好,他们设计的攻击技术再完美,反追踪技术做得再到位,也往往经不住虚荣心的驱使,会轻易将自己的ID信息留在互联网上。而事实是,一个病毒作者编写了一个非常精巧的病毒,或者一个黑客完成了一次高难度的攻击,他们往往会禁不住内心的喜悦,将这一消息在网络上四处散播。比如前一段时间在网上偷取英文四级考试题库的那个黑客,在网络上散布考题时就将自己的QQ号码留在了网络上,当时采用传统的追踪手段只能确定作案的是一所大学的学生。其实这时只要同QQ运营商取得联系,将该QQ号的注册信息及他的所有QQ好友信息拿到,然后一一进行分析,最后就极有可能找到本人。像2003年“冲击波变种”病毒制造者帕森的落网就是由于他 在网上兴奋地将自己制造病毒的事迹公布于网上才被美国联邦调查局发现的。
当然,这类方法仍然可能有追踪不到的情况,但是,如果能将该方法同以上提及的技术结合起来,追踪到攻击者的可能性就会大大提高。
困境
从原理上讲,就像任何一种加密方法都能被破解一样,任何一种病毒或黑客的攻击行为都能够被追踪到,但事实上,大部分黑客与病毒的追踪,最后都是以不了了之而告终,这是由于追踪技术在现实中会面临以下的困境:
信息记录制度不健全
对于一些大型服务器,国家一般都会规定网络访问数据要保留比较长的一段时间,比如10天以上,但是在实际的操作中,各运营商出与自身利益的考虑,都会将这一数据保留时间缩得很短,当保留期限到来时,新产生的记录就会将旧有的数据冲掉,从而抹杀掉原有的网络证据,使整个追踪过程中断。
追踪的成本
如果不计成本,我们可以穷所有的人力与时间,分析网络上残留的数据以及与其相关联的数据,最终追踪到目标。像网络上新出现的搜客一族就是这样的理念,他们会研究各种搜索技术,研究关键词之间的关联关系,通过网上残留的ID与IP“碎片”,最终找出自己想要的内容。然而,我们总会考虑追踪成本,从而将一些低级别的网络攻击淡去。
追踪的时效性
追踪的线索并不是长期有效的,就像现实中的犯罪一样,犯罪证据会随着时间的流逝而越来越少,网络犯罪更是如此。由于上面谈及的记录制度不健全的问题会使追踪的时效性大大缩短,另一方面,即便是记录制度健全,数据的保存还是会有一个最终的期限,当期限到来时,数据就会自动被覆盖,使人们日后追踪到此处时,已经没有后续的数据来继续追踪了。
后记
最后谈到的追踪的困境是目前网络犯罪大部分都无法追踪到的直接原因,但是对于银行系统的网上犯罪来说,追踪到的可能性是非常大的。
因为银行系统首先不是一个完全开放的系统,往往只有银行内部的员工才能实施网上犯罪,目标人群一旦锁定就很容易追查。另一方面,银行系统的记录功能非常强大,任何一次网络操作都会有严密的记录,这种做法也使得实施犯罪的人无法抹掉证据。
而现实的互联网,由于建立之初就不是一个以安全为目的的网络体系结构,它的开放性与信息互通性是被首先考虑的,这也是追踪技术无法完全追查到网络犯罪者的最大的问题,因此,追踪技术只能是一种辅助手段。对于网络执法者,要不断地研究新的追踪技术,而对于我们个人来说,则应该采取一些加密传输手段、防毒反黑措施来预防网络犯罪的发生。
1
2
3
4
5
下一页>>
