跳板攻击原理及如何追踪定位攻击者主机(下)
跳板攻击溯源中,我们需要先确定本地网络中是否存在攻击者的跳板。具体可参考(跳板攻击原理及如何追踪定位攻击者主机(上))
那么在本地网络中发现跳板后,又要如何追踪定位攻击者主机?
这种情况下需要和其上游的网络管理域进行协作,按照相同的方法进行检测,直至发现真正的网络攻击源,检测方法如下:
由于这一过程需要人工参与,在《Cooperative intrusion traceback and response architecture (CITRA)》一文中给出了一个自动协作的框架机制。该方法综合各个网络域中的网络设备,如防火墙、路由器等,通过多个网络域的协作来追踪攻击源。
《Inter-packet delay-based correlation for tracing encrypted connections through stepping stone》一文指出,可以对攻击路径上的各个跳板采用计算机取证的方法,通过各个跳板的日志记录来进行追踪。但这种方法受限较大,因为攻击者可能已经完全控制了跳板主机,那么这些跳板主机上的日志记录也可能已被攻击者所修改。
上述方法需要各个网络域的协作,但如果上游攻击路径上有一个或多个网络管理域无法进行合作,则很难定位真正的攻击者。
根据检测人员所掌握的资源,可以分为两种情况:
1. 检测人员可以在网络上部署传感器
根据攻击者的数据包是否加密, 可以分为两种情况
(1) 数据包未加密
文献《Sleepy watermark tracing: an active network-based intrusion response framework》给出了一个主动的方法,即在回传给攻击者的数据包中注入水印特征,在攻击路径上部署传感器,从而追踪到攻击者。
(2) 数据包加密
文献《Robust correlation of encrypted attack traffic through stepping stones by flow watermarking》对这种情况进行了研究,所提方法实际上是《 Robust correlation of encrypted attack traffic through stepping stones by manipulation of interpacket delays》这种情况下的自然延伸。通过改变回送给攻击者的数据包的时序特征,也就是以数据包之间的间隔时间为载体来填加水印信息,从而追踪数据包的流向。
还有研究员采用对数据包的来回时间进行测量。该方法基于这样一个假设,正常的数据包发送和回复时间相差应该在一个有限的时间内, 而回传数据包经过跳板进行中继,这个时间必然远高于正常的时间差。这个时间越长,说明检测点离攻击者主机的距离越远。
2. 检测人员无法在网络上部署传感器
在这种情况下,攻击源定位问题仍然是一个开放的问题。目前暂未发现有研究员在这一约束条件下进行研究。
但部分研究员也有一个朴素的想法,类似于针对僵尸网络溯源的方法。
如果检测人员在攻击者未察觉的情况下能控制跳板主机在跳板主机回传给攻击者的消息中插入可执行代码,当攻击者接收到消息后, 可执行代码在攻击者主机上运行,把攻击者主机的信息发送给检测人员。不过这一思路需要根据攻击者所使用的软件工具,挖掘其漏洞,难度较大,且不具有通用性。
综上所述,对于在本地网络中发现跳板后,如何追踪定位攻击者主机?主要是以下几种解决方案:
跳板攻击的隐匿性性,给互联网安全带来了很大的隐患。未来,网络安全的难度和整个网络架构的设计都将面临更大的挑战。
跳板攻击原理及如何追踪定位攻击者主机(下)相关推荐
- 跳板攻击中如何追踪定位攻击者主机(上)
前段时间西北工业大学遭受NAS攻击事件中,TAO在针对西北工业大学的网络攻击行动中先后使用了54台跳板机和代理服务器,主要分布在日本.韩国.瑞典.波兰.乌克兰等17个国家,其中70%位于中国周边国家, ...
- 带你了解DDoS攻击的原理,让你轻松学会DDoS攻击原理及防护措施
DDoS攻击原理是什么? 随着网络时代的到来,网络安全变得越来越重要.在互联网的安全领域,DDoS(Distributed DenialofService)攻击技术因为它的隐蔽性,高效性一直是网络攻击 ...
- DDoS攻击原理及防御
转自:微点阅读 https://www.weidianyuedu.com 随着网络时代的到来,网络安全变得越来越重要.在互联网的安全领域,DDoS(Distributed DenialofServi ...
- CC攻击原理及防范方法和如何防范CC攻击
一. CC攻击的原理: CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃.CC主要是用来消耗服务器资源的,每个人都有这样的体验:当一个网页访问的人数 ...
- DDOS的攻击原理和防护指南
我们现在来分析DDOS的攻击原理. 首先,DDOS是英文Distributed Denial of Service的缩写,意思是分布式拒绝服务.拒绝服务又是什么意思呢?就是采取一些垃圾数据包来阻塞网站 ...
- syn flood攻击原理及防范
sync攻击原理 DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务.最常见的DoS攻击有计算机网络带宽攻击和 ...
- 常见攻击原理与技术分析
黑客攻击原理与技术 黑客的概念 "黑客"一词是英语Hacker的音译,是指拥有高深的计算机及网络知识,能够躲过系统安全控制,进入或破坏计算机系统或网络的非法用户. 攻击发展历程 黑 ...
- 详解 XSS 攻击原理
更多优质博文请关注:听到微笑的博客 跨站脚本攻击(Cross Site Scripting)本来的缩写为CSS,为了与层叠样式表(Cascading Style Sheets,CSS)的缩写进行区分, ...
- 缓冲区溢出攻击原理、方法及防范(一)
由于C/C++语言本身没有数组越界检查机制,当向缓冲区里写入的数据超过了为其分配的大小时,就会发生缓冲区溢出. 攻击者可以利用缓冲区溢出来窜改进程运行时栈,从而改变程序的正常流向.在分析缓冲区溢出攻击 ...
最新文章
- python 非_Python函数的非固定参数
- HDU(1847)Good Luck in CET-4 Everybody!
- JVM 在遇到OOM(OutOfMemoryError)时生成Dump文件的三种方式
- php扩展 zval_copy_ctor,zend api扩展的php对象的autoload工具
- mysql分页查询语法
- C++ static静态成员函数详解
- 蓝桥杯-长草-代码(BFS)
- 火了!堪称神级的 Spring Boot 手册
- UI美化APICLOUD千月影视APP源码
- 详解java静态数组
- 【论文阅读】基于光流的快速人体姿态估计
- dub解析json为构
- 外语_ください_五十音图
- H5页面设置背景图,微信可浏览背景图
- Echarts中迁徙图,设置点和航线的不同颜色
- python 不转义:含有转义字符\的字符串
- Matlab中repmat函数使用方法
- 智慧社区运维可视化管理平台主要有哪些功能?
- AJAX基础电子教程
- 团体程序设计天梯赛-练习集 L1-034 点赞