郑宗兴¹  杨云江²

（1 贵州大学 计算机科学与信息学院，贵州 贵阳 550025；2 贵州大学 信息化管理中心，贵州  贵阳550025）

 

    摘  要  针对互联网中普遍发生的“跳板”攻击行为，准确而高效的IP定位技术对于这些攻击行为的防范有着至关重要的意义。对于利用“跳板”进行网络攻击的发起者很难被准确定位的问题，本文探讨了一种基于路由器日志记录的追踪方法，可以较好的实现对于隐藏在NAT设备后的数据包发送主机的准确定位。

    关键词   NAT设备；跳板攻击；终端定位；路由日志

 

    随着计算机网络的逐渐普及，各种网络犯罪活动日益猖獗，这给用户带来了巨大的经济损失，迫切地需要采取法律手段对网络犯罪进行打击和严惩。自从互联网诞生以来，网络安全这个问题就一直困扰着网络使用者、网络管理员和各大安全厂商。在这些网络犯罪和破坏活动中，其中网络攻击占有一个很大的比例。

    一般情况下，这些网络攻击在发生时或攻击之后，攻击者总是刻意隐藏自己的IP地址，通常是在NAT设备（如路由器、代理服务器等）之后或伪造一个非真实的IP地址进行攻击。换句话说也就是利用NAT设备作为“跳板”对目标计算机进行攻击。因此被攻击者很难获得攻击发起者的准确IP地址，所以面对这些网络攻击的防范也就变得相当被动，对于攻击发起者实施有效的法律制裁更是难上加难。在这样的情况下，如何追踪报文内容，对NAT网关数据进行分析，进而找到网络攻击者的位置（即网络攻击者真正的IP地址），已经成为了网络安全研究领域的重要研究方向之一。

    目前应用中针对网路攻击发起者的定位技术主要分为两个大的类别：一类是在攻击发起过程中直接定位攻击发起主机的方式；另一类是在攻击过后通过重新构造恢复攻击路径的方式定位攻击发起者。其中一些相关的技术特点如表1所示：

追踪定位技术	算法开销	路由器开销	管理开销	网络开销
采样结点标记法	较小	较小	小	小
采样边标记	较大	较小	小	小
入口包标记	小	小	小	小
ITrace机制	较小	较大	小	大
基于IPSEC追踪	较大	较大	大	大
覆盖网络中心追踪	较大	较大	大	较大

    通过路由日志记录的方式实现终端定位目的的追踪技术属于恢复构造攻击发起路径的定位方式。由于路由器具有日志功能，可以记录下相关的数据信息。在日志文件记录下这些信息之后，通过使用数据库技术对这些日志记录中的信息进行存储、分析和整理。最终通过提取攻击信息，整理恢复出攻击的发起路径。该方法的最大特点是它没有实时性的要求，能够在攻击结束后进行追踪。但它对网络资源有一定的需求，路由器必须有足够的处理能力，并且保存相关日志信息。另外，数据库的完整性和安全性也是必须考虑的问题。

    一般路由器在工作过程中会记录下数据包的发送、报文的修改和端口的分配等相关信息保存到日志文件中。但是目前使用中的大多数路由器都不具备自身的存储能力，所以这些信息只会短时间的存储在路由器的缓存中，很快就会被新的路由信息所替代。所以要分析利用这些信息，首先遇到的第一个问题就是如何正确的保存这些数据信息。

    针对这种情况，需要利用到路由器的Syslog机制。路由器虽然不能通过自己实现日志信息的存储，但是一些重要日志信息却可以通过Syslog机制，将这些日志信息保存在互联网络中的Unix主机之上。Syslog机制可通过在路由器上设定日志保存主机的IP地址，并在相应的Unix主机上作一些必要的设置来实现。设置方式如下：

device#config  t                         //进入接口配置模式

device（config）#logging on                //开启路由器的日志记录功能

device（config）#logging host 210.40.40.101   //将日志记录到Syslog服务器

device（config）# logging trap 5             //设置log级别

    通过以上的设置，路由器就可以把相关的日志信息发送到网络中的IP地址为210.40.40.101的主机上，并且生成一个*.log的文件对信息进行保存。其中log级别设置得越高，其保存的信息就越详细。在路由器运行过程中路由器会自动向日志主机发送日志信息。日志包括链路建立失败信息、包过滤日志信息等等。通过登录到日志主机，系统管理员可以查看这些日志文件，对日志进行分析。一旦发现局域网中有攻击行为发生，在网络攻击行为发起之后，就可以根据保存的相关路由日志信息构造恢复攻击链路，实现对攻击源的最终定位。

    本文使用的Syslog协议是在加里佛尼亚大学伯克立软件分布研究中心（BSD）的TCP/IP 实施中开发的。它的主要功能是利用服务器系统记录设备的日志。在路由器、交换机、服务器等各种网络设备中，Syslog可以记录系统中发生的任何事件。系统的管理者可以通过查看这些日志数据，随时掌握系统状况。它能够接收远程系统的日志记录，即通过远程服务器接收并保存相关的路由信息，并且在攻击发起的过程中对这些信息中的数据进行检索分析。这些日志信息一般是按时间顺序排序，并以文件形式存盘。

    由于我们使用的路由系统信息的存储，主要目的是定位攻击发起者的真实IP地址。所以在日志信息的分析过程中，就有必要将*.log文件之中的有用信息过滤出之后保存在数据库中，以方便以后工作中的数据检索。其存储数据库表结构如表2所示。不符合设定条件的日志数据被抛弃，以节省服务器的存储开销。

字段名	字段类型	备注
P_ID	字符型	数据包编号，主关键字
Date	日期时间型	数据包通过路由器的时间
P_Source_b	字符型	数据包通过路由设备之前的源IP地址
P_Destin	字符型	数据包通过路由设备之前的目标IP地址
P_Source_a	字符型	数据包通过路由设备之后的源IP地址
TCP Checksum	字符型	数据包校验和

                       

    网吧等一些小型局域网，往往被一些攻击者所利用作为其攻击目标主机的“跳板”。攻击者只需在网吧的主机上安装一个控制端软件，然后就可以将网吧之类的小型局域网中的NAT设备作为攻击行为的隐藏手段，实现以网吧的路由器作为“跳板”对目标主机发起网路攻击。路由日志信息的记录方法可以很好的解决这个问题，可以实现对网吧或者小型局域网中的终端主机监控，并且可以保留相关数据作为攻击证据。其实验环境拓扑图如图1所示。

    其实验过程如下：首先我们将内部局域网中某一主机作为异常的数据包发送主机。通过路由器R-1不断的对外网中的另一台IP地址为210.40.36.86的主机PC-A发送数据包。在PC-A接收到数据包之后，由于数据包发送主机是隐藏在NAT设备（路由器R-1）之后，接收者PC-A对于数据包发送者的定位只能追踪到局域网路由器R-1之上。需要准确的定位发起于内外的攻击行为，这时我们就可以利用Syslog服务器的功能，通过路由日志数据库的查询找到这个数据包的相关日志信息，通过查询找到的信息如表3所示。

    通过表3发现这个可疑的TCP数据包在日志数据中的编号为38700000055867，其通过R-1之前的源IP地址为192.168.1.5，并且有一个头部效验码为0x73FF。在经过NAT设备（R-1）之后，其源IP地址字段由192.168.1.5更改为210.40.40.100，继续向目标终端PC-A（IP地址为210.40.36.86）传送。通过日志信息的恢复构造出数据包由PC-B到R-1，再经过R-1转换后继续传输到PC-A的这一传输过程。使用这样的方法找出隐藏在R-1之后的数据包发送主机终端PC-B，实现了对于内网攻击终端准确定位的实验目的。通过这个实验验证了日志信息记录的定位技术在局域网监控中应用的可行性。