第1章 网络与网络攻击基础 1
1.1 网络概述 1
1.1.1 全球互联网发展概况 3
1.1.2 互联网架构分析 6
1.1.3 互联网基础设施 10
1.1.4 网络协议 25
1.2 网络攻击概述 30
1.2.1 网络攻击分析 30
1.2.2 网络攻击模型 39
1.2.3 网络战争及典型案例 41
参考文献 57
第2章 网络追踪溯源概述 59
2.1 网络安全发展概述 60
2.1.1 网络安全技术发展 60
2.1.2 网络安全的五种基本属性 62
2.1.3 美国网络安全发展 63
2.1.4 网络安全之主动防御 67
2.2 网络攻击追踪溯源含义及作用 72
2.3 网络追踪溯源层次划分 75
2.4 网络追踪溯源面临的挑战 79
2.4.1 主要技术挑战 79
2.4.2 其他挑战 82
2.5 网络追踪溯源 83
2.5.1 网络追踪溯源场景示例 83
2.5.2 网络追踪溯源技术要求 85
2.5.3 网络追踪溯源所需信息 89
2.5.4 网络追踪溯源架构及过程描述 95
2.6 美国Mandiant公司APT1报告分析 97
2.6.1 报告中的攻击行为概述 97
2.6.2 APT1报告中谈及的追踪技术 98
参考文献 101
第3章 追踪溯源攻击主机 102
3.1 攻击场景及问题描述 102
3.2 攻击主机追踪技术评估准则 103
3.3 攻击主机追踪溯源技术分类 103
3.4 攻击主机追踪溯源技术分析 106
3.4.1 基于日志存储查询的追踪技术 106
3.4.2 路由器输入调试追踪溯源技术 110
3.4.3 修改网络传输数据的追踪技术 113
3.4.4 单独发送溯源信息的追踪技术 121
3.4.5 数据流匹配追踪技术 122
3.4.6 基于网络过滤的追踪技术 123
3.4.7 多手段融合追踪溯源技术 126
3.5 网络追踪溯源新技术 127
参考文献 129
第4章 追踪溯源攻击控制主机 132
4.1 攻击场景及问题描述 132
4.2 攻击控制主机分类 133
4.2.1 网络反射器分析 134
4.2.2 跳板分析 135
4.2.3 非标准化软件控制 135
4.2.4 僵尸控制及僵尸网络 136
4.2.5 物理控制 137
4.2.6 各种层次控制的相似性 137
4.3 攻击控制主机追踪溯源技术 137
4.3.1 攻击控制主机追踪溯源使用的数据 138
4.3.2 攻击控制主机追踪溯源使用的技术方法 140
4.4 不同控制层次中控制主机追踪溯源技术的应用 147
4.4.1 反射回溯 147
4.4.2 跳板回溯 148
4.4.3 非标准化软件回溯 156
4.4.4 僵尸溯源 159
4.4.5 物理回溯 163
4.5 现有技术的总结及讨论 163
4.5.1 总结表 163
4.5.2 讨论 164
参考文献 165
第5章 追踪溯源攻击者及其组织 168
5.1 问题描述 168
5.2 技术基础 168
5.3 攻击者溯源 171
5.3.1 文档分析技术 171
5.3.2 Email分析技术 173
5.3.3 键盘使用分析技术 177
5.3.4 攻击代码分析技术 183
参考文献 188
第6章 非协作追踪溯源技术 190
6.1 问题描述 190
6.2 非协作信息获取技术 191
6.2.1 网络拓扑发现 191
6.2.2 蜜罐蜜网技术 200
6.2.3 恶意代码分析 204
6.3 匿名网络的追踪溯源问题 208
6.3.1 主流匿名软件介绍 208
6.3.2 匿名网络追踪困难 210
6.3.3 匿名网络追踪思路 211
6.3.4 典型案例——美国国家安全局对Tor网络的追踪 213
参考文献 214
第7章 网络追踪溯源工具及系统 217
7.1 追踪溯源发展概述 218
7.2 追踪溯源典型系统 220
7.2.1 基于入侵检测的追踪溯源系统 220
7.2.2 基于蜜罐的追踪溯源系统 223
7.2.3 基于Hash日志的追踪溯源系统 226
7.3 美国相关系统介绍 229
7.3.1 美空军的网络攻击追踪系统 229
7.3.2 STARDECK系统 230
7.3.3 MANAnet Shield系统 231
7.4 日本IP-Traceback系统 234
7.5 国内相关系统及溯源工具 236
7.5.1 Tracknet网络追踪 236
7.5.2 科来分布式网络回溯分析系统 238
7.5.3 蓝盾信息安全公司HT-900黑客追踪系统 240
7.5.4 基于GBF结构的溯源实验系统 241
7.5.5 基于日志的IP追踪溯源系统 248
7.6 一次互联网Web攻击追踪过程 252
参考文献 259
第8章 追踪溯源防范技术概述 260
8.1 代理服务器匿名技术概述 261
8.2 MIX匿名保护技术概述 265
8.3 TOR重路由匿名技术概述 268
8.4 P2P匿名技术概述 271
8.4.1 经典的Tarzan 271
8.4.2 P2P匿名网络新贵——I2P 272
参考文献 275
第9章 追踪溯源防范技术原理 277
9.1 流量隐藏技术 277
9.2 流量伪装技术 279
9.3 流量匿名技术 280
9.3.1 匿名通信目标 280
9.3.2 匿名通信基本框架 281
9.3.3 匿名通信量化方法 283
参考文献 287
第10章 Tor溯源防范技术 288
10.1 Tor网络状况 288
10.2 Tor匿名保护技术 290
10.2.1 基本定义 292
10.2.2 Tor网络构建协议 296
10.2.3 Tor通信加密机制 299
10.2.4 Tor集中节点管理机制 304
10.2.5 Tor网络的安全性评估 305
参考文献 308