» 第九章  计算机网络技术安全实践应用



               不高，但要求了解受害者接入网络精确的拓扑图，因此实用性不高。
                   （2）入口过滤
                   入口过滤是以设置边界路由器的方式，过滤从非法源地址发出的攻击数据包，因
               此要求路由器具备检查经过的数据包源IP地及分辨其合法性的能力。鉴于此，入口过
               滤的应用范围非常有限，根本无法适应当今网络高速发展的需要。

                   （二）跨越挑板的追踪技术
                   能够找到IP源数据包发送的真实地址的IP源追踪技术但是却不一定能够找到攻击
               者，而且还是对攻击事件负责的攻击者因为在实施攻击的过程当中，大多数的攻击

               者，会利用“跳板”，所以IP源追踪技术对这类攻击来说，只是开始的第一步而已，
               如果要想找到真正的攻击源，就必须采用跨越跳板的追踪技术。按照追踪的不同信息
               源，跨越跳板的追踪技术可以分为基于网络技术、基于主机的技术；如果是按照追踪
               的方法不同而言，则可以分为主动式方法、反应式方法两种：其中主动式方法经进行

               监控，对所有通信量进行比较，则反应式方法则是对攻击后，通过定制的进程动态的
               控制进行怀疑，通信量何地何时与哪些信息相关联以及如何关联。
                   较为早期的一些入侵检测系统，如CIS、DOS等，都具有攻击源追踪功能，基于

               主机的追踪方法，对连接链上的每一台主机都有依赖性，如果每个主机都被控制了，
               并且关联信息的提供发生了错误，则会误导整个追踪系统，因此配置在因特网中的基
               于主机的追踪系统是有一定难度的。
                   基于网络的追踪，则是根据网络连接属性，被监控主机不要求全部参与，利用少
               量信息总结连接的指纹技术，是最早的关联技术，对时钟同步匹配对应时间间隔的连

               接指纹有依赖性，而且无法改变重传的情况，这些都会对实时追踪的有效性产生严重
               的影响基于时间的方案，不是基于连接的内容而是基于交互通信中的时间特点，能够
               应用于加密的连接与基于偏差的方法比较类似，采用两个TCP连接序列号的最小平均

               差，对两个连接是否关联进行确定，偏差考虑了TCP序列号、时间特征、基于时间的
               方案、偏差的方法，对时钟同步没有要求，都适用于检测交互式“跳板”。
                   主动式方法需要对所有的通信数据进行预先保存，基于网络的反应式方法，对包
               处理能够定制，对连接以及如何关联进行动态控制，因此所需要的资源比被动方更少

               主要有隔离协议、入侵识别、休眠水印追踪、隔离协议是一种应用层协议，通过交换
               入侵检测信息，边界控制器与攻击描述相结合，共同组织入侵者，并进行定位，休眠
               水印追踪，利用水印技术跨越跳板，当入侵被检测时，不会引起额外的开销，在入侵
               后的每个链接中，注入水印，唤醒入侵路径中间路由合作。

                   （三）追踪技术的展望
                   IP追踪技术尚处在发展阶段，仍受到当今技术水平的制约，但网络安全形势日渐


                                                                                         • 287 •