網路攻擊追蹤溯源

本書總計10章，以通俗的語言全面介紹了網路攻擊追蹤溯源所涉及的相關問題，以網際網路為套用場景，對攻擊追蹤溯源及其防範技術進行了闡述。第1章綜述了網路及網路攻擊基礎，包括網路基礎設施，網路攻擊以及有關案例。第2章至第7章詳細介紹了網路攻擊追蹤溯源相關內容，包括其概念、內涵、發展現狀、技術原理、工具軟體以及相應系統和案例分析。第8章至第10章介紹了追蹤溯源防範技術，主要包括匿名通信技術及其套用。

具有大學以上文化程度並從事網路安全相關工作的專業技術人員以及高等院校相關專業的師生。

第1章網路與網路攻擊基礎1

1.1網路概述1

1.1.1全球網際網路發展概況3

1.1.2網際網路架構分析6

1.1.3網際網路基礎設施10

1.1.4網路協定25

1.2網路攻擊概述30

1.2.1網路攻擊分析30

1.2.2網路攻擊模型39

1.2.3網路戰爭及典型案例41

參考文獻57

第2章網路追蹤溯源概述59

2.1網路安全發展概述60

2.1.1網路安全技術發展60

2.1.2網路安全的五種基本屬性62

2.1.3美國網路安全發展63

2.1.4網路安全之主動防禦67

2.2網路攻擊追蹤溯源含義及作用72

2.3網路追蹤溯源層次劃分75

2.4網路追蹤溯源面臨的挑戰79

2.4.1主要技術挑戰79

2.4.2其他挑戰82

2.5網路追蹤溯源83

2.5.1網路追蹤溯源場景示例83

2.5.2網路追蹤溯源技術要求85

2.5.3網路追蹤溯源所需信息89

2.5.4網路追蹤溯源架構及過程描述95

2.6美國Mandiant公司APT1報告分析97

2.6.1報告中的攻擊行為概述97

2.6.2APT1報告中談及的追蹤技術98

參考文獻101

第3章追蹤溯源攻擊主機102

3.1攻擊場景及問題描述102

3.2攻擊主機追蹤技術評估準則103

3.3攻擊主機追蹤溯源技術分類103

3.4攻擊主機追蹤溯源技術分析106

3.4.1基於日誌存儲查詢的追蹤技術106

3.4.2路由器輸入調試追蹤溯源技術110

3.4.3修改網路傳輸數據的追蹤技術113

3.4.4單獨傳送溯源信息的追蹤技術121

3.4.5數據流匹配追蹤技術122

3.4.6基於網路過濾的追蹤技術123

3.4.7多手段融合追蹤溯源技術126

3.5網路追蹤溯源新技術127

參考文獻129

第4章追蹤溯源攻擊控制主機132

4.1攻擊場景及問題描述132

4.2攻擊控制主機分類133

4.2.1網路反射器分析134

4.2.2跳板分析135

4.2.3非標準化軟體控制135

4.2.4殭屍控制及殭屍網路136

4.2.5物理控制137

4.2.6各種層次控制的相似性137

4.3攻擊控制主機追蹤溯源技術137

4.3.1攻擊控制主機追蹤溯源使用的數據138

4.3.2攻擊控制主機追蹤溯源使用的技術方法140

4.4不同控制層次中控制主機追蹤溯源技術的套用147

4.4.1反射回溯147

4.4.2跳板回溯148

4.4.3非標準化軟體回溯156

4.4.4殭屍溯源159

4.4.5物理回溯163

4.5現有技術的總結及討論163

4.5.1總結表163

4.5.2討論164

參考文獻165

第5章追蹤溯源攻擊者及其組織168

5.1問題描述168

5.2技術基礎168

5.3攻擊者溯源171

5.3.1文檔分析技術171

5.3.2Email分析技術173

5.3.3鍵盤使用分析技術177

5.3.4攻擊代碼分析技術183

參考文獻188

第6章非協作追蹤溯源技術190

6.1問題描述190

6.2非協作信息獲取技術191

6.2.1網路拓撲發現191

6.2.2蜜罐蜜網技術200

6.2.3惡意代碼分析204

6.3匿名網路的追蹤溯源問題208

6.3.1主流匿名軟體介紹208

6.3.2匿名網路追蹤困難210

6.3.3匿名網路追蹤思路211

6.3.4典型案例——美國國家安全局對Tor網路的追蹤213

參考文獻214

第7章網路追蹤溯源工具及系統217

7.1追蹤溯源發展概述218

7.2追蹤溯源典型系統220

7.2.1基於入侵檢測的追蹤溯源系統220

7.2.2基於蜜罐的追蹤溯源系統223

7.2.3基於Hash日誌的追蹤溯源系統226

7.3美國相關係統介紹229

7.3.1美空軍的網路攻擊追蹤系統229

7.3.2STARDECK系統230

7.3.3MANAnet Shield系統231

7.4日本IP-Traceback系統234

7.5國內相關係統及溯源工具236

7.5.1Tracknet網路追蹤236

7.5.2科來分散式網路回溯分析系統238

7.5.3藍盾信息安全公司HT-900黑客追蹤系統240

7.5.4基於GBF結構的溯源實驗系統241

7.5.5基於日誌的IP追蹤溯源系統248

7.6一次網際網路Web攻擊追蹤過程252

參考文獻259

第8章追蹤溯源防範技術概述260

8.1代理伺服器匿名技術概述261

8.2MIX匿名保護技術概述265

8.3TOR重路由匿名技術概述268

8.4P2P匿名技術概述271

8.4.1經典的Tarzan271

8.4.2P2P匿名網路新貴——I2P272

參考文獻275

第9章追蹤溯源防範技術原理277

9.1流量隱藏技術277

9.2流量偽裝技術279

9.3流量匿名技術280

9.3.1匿名通信目標280

9.3.2匿名通信基本框架281

9.3.3匿名通信量化方法283

參考文獻287

第10章Tor溯源防範技術288

10.1Tor網路狀況288

10.2Tor匿名保護技術290

10.2.1基本定義292

10.2.2Tor網路構建協定296

10.2.3Tor通信加密機制299

10.2.4Tor集中節點管理機制304

10.2.5Tor網路的安全性評估305

參考文獻308