反溯源網絡構筑研究

張宇寧

摘要：隨著計算機網絡信息安全問題的日益突出，構筑反溯源網絡具有重要意義。將NDIS中間層驅動技術、P2P隱蔽攻擊網絡及基于數據特征的混淆算法3種技術相融合，構筑反溯源網絡，可有效降低被外界追蹤溯源的可能性，確保網絡及信息的安全性和可靠性。

關鍵詞：反溯源；NDIS；P2P網絡；混淆算法

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1674-1161（2014）01-0050-02

計算機的誕生及網絡技術的發展改變了人們傳統的生活方式。人們在網絡中嘗試著各種應用所帶來的便利，但卻忽略了網絡信息安全。隨著各種溯源技術的發展和廣泛應用，躲在屏幕后面的黑客正熟練地運用各種手段及工具，對各種有價值的人和信息進行肆無忌憚的溯源跟蹤，人們在互聯網中的行為變得透明，網絡和信息安全已經受到了嚴峻考驗。為此，構筑反溯源網絡以確保網絡及信息安全顯得尤為重要。

1 國內外反溯源研究現狀

1.1 匿名通信系統技術

匿名通信系統技術是一種隱藏通信發送者及接受者IP地址、物理位置等實體信息和雙方通信關系的通信系統，它令竊聽者無法直接獲知或推知通信雙方的通信關系或通信的某一方信息，從而更好地保護網絡用戶的通信隱私。當前關于匿名通信系統技術的研究主要在于提高匿名性能，許多原型系統借助于多個代理的重路由技術、填充包技術和加密技術來達到匿名發送或匿名接收的目的。而當匿名系統真正要被應用于現實網絡中時，系統管理方式和管理代價會直接影響到系統的可擴展性。目前的許多匿名原型系統采用集中式管理機制，不能承受大量用戶的存在，無法應用于大規模的網絡環境中。

1.2 跳板機網絡

所謂跳板機就是一臺普通的聯網服務器，入侵者在對目標進行入侵的過程中，首先要在自己的PC上遠程登錄該跳板機，然后通過遠程桌面操作該跳板機對目標進行入侵或攻擊，從而實現了自身的隱藏。跳板網絡中的節點均為被控主機，在路徑選擇和配置上比VPN和協議代理更加靈活，但由于被控節點性能參差不齊，個別節點的穩定性較差，一旦路徑中某個轉發節點失效，整條路徑將無法繼續正常工作，從而導致目標數據傳輸的失敗。此外，現在很多防火墻或IDS都有追溯的功能，理論上，對于在三跳以內的跳板網絡，可以通過代理跳板主機找到源主機。

1.3 VPN代理技術

VPN代理是在VPN（虛擬專用網絡）的基礎上衍生出來的提高網絡訪問速度和安全性的技術，現在其已成為一種反溯源的重要手段。利用VPN的特殊加密通信協議在因特網位于不同地方的兩個結點間臨時建立一條穿過混亂公用網絡的安全穩定的專用隧道。比起真實地建立一條物理鏈路，VPN在經濟性上表現得非常好，但是所有的安全與穩定都取決于VPN代理服務商，所以VPN的安全與穩定系數并不高。目前也有將VPN代理技術及跳板機網絡相組合來構筑反溯源網絡，但是由于兩種技術均有各自的缺陷，效果并不理想。

2 反溯源網絡的總體設計方案

用若干臺PC作為代理節點構成一個P2P的隱蔽網絡（如圖1所示），確保每個代理節點在此網絡中地位相等，完全自治；攻擊源點與代理節點之間、代理節點相互之間均采用基于NDIS中間層驅動協議進行數據傳輸，有效實現數據的隱蔽轉發；每一次攻擊所選擇的路由為隨機路由，增加被溯源追蹤的難度；數據在傳輸過程中采用混淆算法進行加密，增加溯源人員通過數據流量分析進行溯源的難度。

3 反溯源網絡涉及的主要技術

3.1 NDIS中間層驅動技術

NDIS是微軟和其他廠商聯合制定的，在Windows平臺下開發網卡驅動程序和網絡協議驅動程序必須遵守的設計框架。NDIS提供了3個層次的接口：網絡接口卡驅動程序、中間層驅動程序和協議驅動程序。中間層驅動程序在協議驅動程序和微端口驅動程序之間扮演一個“中間人”的角色。選用NDIS中間層驅動來實現自組網絡的數據轉發，可以有效地實現數據的隱蔽轉發，這是因為利用NDIS中間驅動程序可以在網卡驅動程序和傳輸驅動程序之間插入一個中間層，用來截獲網絡封包，并方便地對數據包進行重新封包、加密、網絡地址轉換等操作。同時，在利用NDIS中間層驅動進行截包和發送數據時，由于代理處于系統底層，網卡接收的數據在向操作系統上層傳遞之前已經被攔截，高于NDIS中間層的防火墻等應用軟件無法接觸到目標數據。因此，節點中的代理在傳輸數據時能夠有效躲避上述軟件的檢測。

3.2 P2P隱蔽網絡的構架

P2P網絡即Peer-to-peer，是一種分布式網絡，也稱對等網絡。它打破了傳統的C/S模式，在網絡中的每個節點地位都是相等的，完全自治，每個節點既是服務器、也是客戶端。P2P網絡具有耐攻擊、高容錯等優點。本文選用P2P網絡作為自組網絡的架構，是由于P2P網絡采用了分布式的架構，不依賴于少數集中控制節點，所以部分節點或網絡遭到破壞對其他部分的影響很小，一般在部分節點失效時能夠自動調整整體拓撲，保持其他節點的連通性，具有比C/S網絡更好的健壯性和抗毀性。另外，P2P網絡中，信息的傳輸分散在各個節點之間進行，無需經過某個集中環節，從而大大提高了匿名通信的靈活性和可靠性，使得傳輸的數據被竊聽及泄露的可能性大大縮小。

3.3 針對數據特征的混淆算法

分析消息數據的時間特征、流量特征和數據特征是溯源追蹤的主要手段，是對平臺威脅較大的一種攻擊方式。針對該方式，可采用相應的混淆算法用于偽裝時間特征、流量特征和數據特征，增加溯源分析的難度。

4 預期效果

選用NDIS中間層驅動來實現自組網絡的數據轉發，方便了對數據包進行重新封包、加密、網絡地址轉換等操作，并有效躲避了防火墻等應用軟件的檢測；P2P網絡的運用，大大提高了匿名通信的靈活性和可靠性，使得傳輸的數據被竊聽及泄露的可能性大大縮小；針對時間特征、流量特征和數據特征所采用的混淆算法，增加了溯源分析的難度。上述3種技術相融合，構筑有效抵御外界追蹤溯源的自組網絡，可確保網絡及信息的安全性和可靠性。

摘要：隨著計算機網絡信息安全問題的日益突出，構筑反溯源網絡具有重要意義。將NDIS中間層驅動技術、P2P隱蔽攻擊網絡及基于數據特征的混淆算法3種技術相融合，構筑反溯源網絡，可有效降低被外界追蹤溯源的可能性，確保網絡及信息的安全性和可靠性。

關鍵詞：反溯源；NDIS；P2P網絡；混淆算法

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1674-1161（2014）01-0050-02

計算機的誕生及網絡技術的發展改變了人們傳統的生活方式。人們在網絡中嘗試著各種應用所帶來的便利，但卻忽略了網絡信息安全。隨著各種溯源技術的發展和廣泛應用，躲在屏幕后面的黑客正熟練地運用各種手段及工具，對各種有價值的人和信息進行肆無忌憚的溯源跟蹤，人們在互聯網中的行為變得透明，網絡和信息安全已經受到了嚴峻考驗。為此，構筑反溯源網絡以確保網絡及信息安全顯得尤為重要。

1 國內外反溯源研究現狀

1.1 匿名通信系統技術

匿名通信系統技術是一種隱藏通信發送者及接受者IP地址、物理位置等實體信息和雙方通信關系的通信系統，它令竊聽者無法直接獲知或推知通信雙方的通信關系或通信的某一方信息，從而更好地保護網絡用戶的通信隱私。當前關于匿名通信系統技術的研究主要在于提高匿名性能，許多原型系統借助于多個代理的重路由技術、填充包技術和加密技術來達到匿名發送或匿名接收的目的。而當匿名系統真正要被應用于現實網絡中時，系統管理方式和管理代價會直接影響到系統的可擴展性。目前的許多匿名原型系統采用集中式管理機制，不能承受大量用戶的存在，無法應用于大規模的網絡環境中。

1.2 跳板機網絡

所謂跳板機就是一臺普通的聯網服務器，入侵者在對目標進行入侵的過程中，首先要在自己的PC上遠程登錄該跳板機，然后通過遠程桌面操作該跳板機對目標進行入侵或攻擊，從而實現了自身的隱藏。跳板網絡中的節點均為被控主機，在路徑選擇和配置上比VPN和協議代理更加靈活，但由于被控節點性能參差不齊，個別節點的穩定性較差，一旦路徑中某個轉發節點失效，整條路徑將無法繼續正常工作，從而導致目標數據傳輸的失敗。此外，現在很多防火墻或IDS都有追溯的功能，理論上，對于在三跳以內的跳板網絡，可以通過代理跳板主機找到源主機。

1.3 VPN代理技術

VPN代理是在VPN（虛擬專用網絡）的基礎上衍生出來的提高網絡訪問速度和安全性的技術，現在其已成為一種反溯源的重要手段。利用VPN的特殊加密通信協議在因特網位于不同地方的兩個結點間臨時建立一條穿過混亂公用網絡的安全穩定的專用隧道。比起真實地建立一條物理鏈路，VPN在經濟性上表現得非常好，但是所有的安全與穩定都取決于VPN代理服務商，所以VPN的安全與穩定系數并不高。目前也有將VPN代理技術及跳板機網絡相組合來構筑反溯源網絡，但是由于兩種技術均有各自的缺陷，效果并不理想。

2 反溯源網絡的總體設計方案

用若干臺PC作為代理節點構成一個P2P的隱蔽網絡（如圖1所示），確保每個代理節點在此網絡中地位相等，完全自治；攻擊源點與代理節點之間、代理節點相互之間均采用基于NDIS中間層驅動協議進行數據傳輸，有效實現數據的隱蔽轉發；每一次攻擊所選擇的路由為隨機路由，增加被溯源追蹤的難度；數據在傳輸過程中采用混淆算法進行加密，增加溯源人員通過數據流量分析進行溯源的難度。

3 反溯源網絡涉及的主要技術

3.1 NDIS中間層驅動技術

NDIS是微軟和其他廠商聯合制定的，在Windows平臺下開發網卡驅動程序和網絡協議驅動程序必須遵守的設計框架。NDIS提供了3個層次的接口：網絡接口卡驅動程序、中間層驅動程序和協議驅動程序。中間層驅動程序在協議驅動程序和微端口驅動程序之間扮演一個“中間人”的角色。選用NDIS中間層驅動來實現自組網絡的數據轉發，可以有效地實現數據的隱蔽轉發，這是因為利用NDIS中間驅動程序可以在網卡驅動程序和傳輸驅動程序之間插入一個中間層，用來截獲網絡封包，并方便地對數據包進行重新封包、加密、網絡地址轉換等操作。同時，在利用NDIS中間層驅動進行截包和發送數據時，由于代理處于系統底層，網卡接收的數據在向操作系統上層傳遞之前已經被攔截，高于NDIS中間層的防火墻等應用軟件無法接觸到目標數據。因此，節點中的代理在傳輸數據時能夠有效躲避上述軟件的檢測。

3.2 P2P隱蔽網絡的構架

P2P網絡即Peer-to-peer，是一種分布式網絡，也稱對等網絡。它打破了傳統的C/S模式，在網絡中的每個節點地位都是相等的，完全自治，每個節點既是服務器、也是客戶端。P2P網絡具有耐攻擊、高容錯等優點。本文選用P2P網絡作為自組網絡的架構，是由于P2P網絡采用了分布式的架構，不依賴于少數集中控制節點，所以部分節點或網絡遭到破壞對其他部分的影響很小，一般在部分節點失效時能夠自動調整整體拓撲，保持其他節點的連通性，具有比C/S網絡更好的健壯性和抗毀性。另外，P2P網絡中，信息的傳輸分散在各個節點之間進行，無需經過某個集中環節，從而大大提高了匿名通信的靈活性和可靠性，使得傳輸的數據被竊聽及泄露的可能性大大縮小。

3.3 針對數據特征的混淆算法

分析消息數據的時間特征、流量特征和數據特征是溯源追蹤的主要手段，是對平臺威脅較大的一種攻擊方式。針對該方式，可采用相應的混淆算法用于偽裝時間特征、流量特征和數據特征，增加溯源分析的難度。

4 預期效果

選用NDIS中間層驅動來實現自組網絡的數據轉發，方便了對數據包進行重新封包、加密、網絡地址轉換等操作，并有效躲避了防火墻等應用軟件的檢測；P2P網絡的運用，大大提高了匿名通信的靈活性和可靠性，使得傳輸的數據被竊聽及泄露的可能性大大縮??；針對時間特征、流量特征和數據特征所采用的混淆算法，增加了溯源分析的難度。上述3種技術相融合，構筑有效抵御外界追蹤溯源的自組網絡，可確保網絡及信息的安全性和可靠性。

摘要：隨著計算機網絡信息安全問題的日益突出，構筑反溯源網絡具有重要意義。將NDIS中間層驅動技術、P2P隱蔽攻擊網絡及基于數據特征的混淆算法3種技術相融合，構筑反溯源網絡，可有效降低被外界追蹤溯源的可能性，確保網絡及信息的安全性和可靠性。

關鍵詞：反溯源；NDIS；P2P網絡；混淆算法

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1674-1161（2014）01-0050-02

計算機的誕生及網絡技術的發展改變了人們傳統的生活方式。人們在網絡中嘗試著各種應用所帶來的便利，但卻忽略了網絡信息安全。隨著各種溯源技術的發展和廣泛應用，躲在屏幕后面的黑客正熟練地運用各種手段及工具，對各種有價值的人和信息進行肆無忌憚的溯源跟蹤，人們在互聯網中的行為變得透明，網絡和信息安全已經受到了嚴峻考驗。為此，構筑反溯源網絡以確保網絡及信息安全顯得尤為重要。

1 國內外反溯源研究現狀

1.1 匿名通信系統技術

匿名通信系統技術是一種隱藏通信發送者及接受者IP地址、物理位置等實體信息和雙方通信關系的通信系統，它令竊聽者無法直接獲知或推知通信雙方的通信關系或通信的某一方信息，從而更好地保護網絡用戶的通信隱私。當前關于匿名通信系統技術的研究主要在于提高匿名性能，許多原型系統借助于多個代理的重路由技術、填充包技術和加密技術來達到匿名發送或匿名接收的目的。而當匿名系統真正要被應用于現實網絡中時，系統管理方式和管理代價會直接影響到系統的可擴展性。目前的許多匿名原型系統采用集中式管理機制，不能承受大量用戶的存在，無法應用于大規模的網絡環境中。

1.2 跳板機網絡

所謂跳板機就是一臺普通的聯網服務器，入侵者在對目標進行入侵的過程中，首先要在自己的PC上遠程登錄該跳板機，然后通過遠程桌面操作該跳板機對目標進行入侵或攻擊，從而實現了自身的隱藏。跳板網絡中的節點均為被控主機，在路徑選擇和配置上比VPN和協議代理更加靈活，但由于被控節點性能參差不齊，個別節點的穩定性較差，一旦路徑中某個轉發節點失效，整條路徑將無法繼續正常工作，從而導致目標數據傳輸的失敗。此外，現在很多防火墻或IDS都有追溯的功能，理論上，對于在三跳以內的跳板網絡，可以通過代理跳板主機找到源主機。

1.3 VPN代理技術

VPN代理是在VPN（虛擬專用網絡）的基礎上衍生出來的提高網絡訪問速度和安全性的技術，現在其已成為一種反溯源的重要手段。利用VPN的特殊加密通信協議在因特網位于不同地方的兩個結點間臨時建立一條穿過混亂公用網絡的安全穩定的專用隧道。比起真實地建立一條物理鏈路，VPN在經濟性上表現得非常好，但是所有的安全與穩定都取決于VPN代理服務商，所以VPN的安全與穩定系數并不高。目前也有將VPN代理技術及跳板機網絡相組合來構筑反溯源網絡，但是由于兩種技術均有各自的缺陷，效果并不理想。

2 反溯源網絡的總體設計方案

用若干臺PC作為代理節點構成一個P2P的隱蔽網絡（如圖1所示），確保每個代理節點在此網絡中地位相等，完全自治；攻擊源點與代理節點之間、代理節點相互之間均采用基于NDIS中間層驅動協議進行數據傳輸，有效實現數據的隱蔽轉發；每一次攻擊所選擇的路由為隨機路由，增加被溯源追蹤的難度；數據在傳輸過程中采用混淆算法進行加密，增加溯源人員通過數據流量分析進行溯源的難度。

3 反溯源網絡涉及的主要技術

3.1 NDIS中間層驅動技術

NDIS是微軟和其他廠商聯合制定的，在Windows平臺下開發網卡驅動程序和網絡協議驅動程序必須遵守的設計框架。NDIS提供了3個層次的接口：網絡接口卡驅動程序、中間層驅動程序和協議驅動程序。中間層驅動程序在協議驅動程序和微端口驅動程序之間扮演一個“中間人”的角色。選用NDIS中間層驅動來實現自組網絡的數據轉發，可以有效地實現數據的隱蔽轉發，這是因為利用NDIS中間驅動程序可以在網卡驅動程序和傳輸驅動程序之間插入一個中間層，用來截獲網絡封包，并方便地對數據包進行重新封包、加密、網絡地址轉換等操作。同時，在利用NDIS中間層驅動進行截包和發送數據時，由于代理處于系統底層，網卡接收的數據在向操作系統上層傳遞之前已經被攔截，高于NDIS中間層的防火墻等應用軟件無法接觸到目標數據。因此，節點中的代理在傳輸數據時能夠有效躲避上述軟件的檢測。

3.2 P2P隱蔽網絡的構架

P2P網絡即Peer-to-peer，是一種分布式網絡，也稱對等網絡。它打破了傳統的C/S模式，在網絡中的每個節點地位都是相等的，完全自治，每個節點既是服務器、也是客戶端。P2P網絡具有耐攻擊、高容錯等優點。本文選用P2P網絡作為自組網絡的架構，是由于P2P網絡采用了分布式的架構，不依賴于少數集中控制節點，所以部分節點或網絡遭到破壞對其他部分的影響很小，一般在部分節點失效時能夠自動調整整體拓撲，保持其他節點的連通性，具有比C/S網絡更好的健壯性和抗毀性。另外，P2P網絡中，信息的傳輸分散在各個節點之間進行，無需經過某個集中環節，從而大大提高了匿名通信的靈活性和可靠性，使得傳輸的數據被竊聽及泄露的可能性大大縮小。

3.3 針對數據特征的混淆算法

分析消息數據的時間特征、流量特征和數據特征是溯源追蹤的主要手段，是對平臺威脅較大的一種攻擊方式。針對該方式，可采用相應的混淆算法用于偽裝時間特征、流量特征和數據特征，增加溯源分析的難度。

4 預期效果

選用NDIS中間層驅動來實現自組網絡的數據轉發，方便了對數據包進行重新封包、加密、網絡地址轉換等操作，并有效躲避了防火墻等應用軟件的檢測；P2P網絡的運用，大大提高了匿名通信的靈活性和可靠性，使得傳輸的數據被竊聽及泄露的可能性大大縮小；針對時間特征、流量特征和數據特征所采用的混淆算法，增加了溯源分析的難度。上述3種技術相融合，構筑有效抵御外界追蹤溯源的自組網絡，可確保網絡及信息的安全性和可靠性。