追踪与反追踪技术样本.doc

追踪与反追踪技术

内容提纲：随着网络技术迅速发展及广泛运用，网络空间侦察与反侦察斗争，将在将来战场上占据越来越重要地位。

网络侦察重要手段：一是运用计算机硬件通过信息流时所产生电磁进行探测，二是运用对方计算机网络安全漏洞，三是截获敌方有线或无线信道中信息。而网络反侦察，则是通过各种技术与手段，防止敌方获取己方系统信息、电磁信号等情报，或削弱敌方计算机网络侦察技术效果而采用综合性防御行动。从网络技术发展和运用来看，网络反侦察普通可采用如下几种手段：一是信息阻塞法。当发现对方实行网络侦察时，可故意向对方信息系统倾泻大量伪信息、废信息，通过制造“信息洪流”，阻塞、挤占对方信息传播信道，使其无法及时有效地获取、传播、解决所需要信息。二是信息诱骗法。即故意将某些在对方看来很重要假情报，通过精心设立，并在外部装一定防火墙之后暴露给对方，诱骗对方侦察，而对真正情报系统则通过换名、设立更高防火墙、采用特殊线路、小范畴联网等方式加以隐蔽，以此达到以假乱真目。三是干扰压制法。当发现对方侦察设备正在侦察己方计算机信号，而己方却无法采用有效办法防止电磁泄露时，可运用一定功率干扰释放假信号，扰乱对方微波探测，或直接干扰对方探测设备正常工作，必要时还可以对对方探测设备进行压制，使对方无法精确侦察计算机网络数据和参数。

网络反侦察，重要是要在技术上筑起屏障。普通说来，可以通过计算机屏蔽技术、防信息泄露技术、电磁有关干扰技术等，提高设备抗入侵、抗干扰能力。也可以采用信息认证、访问控制技术，鉴别验证使用者身份、限制其使用范畴，防止非法顾客入侵。还可以采用网络分段技术，建立安全网络拓朴构造，通过互相分离，保证整体性安全。除此之外，通过加强密码管理和技术检测，也不失为保证网络系统安全之一法。

对于网络反侦察而言，能不能实现预期目的，最核心还是要有防范意识。相比较而言，思想上疏忽比技术上落后更为可怕。只有建立牢固思想防线，才干筑起真正网络安全屏障。

?

关?键?词：网络安全，反追踪，追踪

?

一、本地追踪办法

追踪网络袭击就是找到事件发生源头。它有两个方面意义:一是指发现IP地址、MAC地址或是认证主机名;二是指拟定袭击者身份。网络袭击者在实行袭击之时或之后，必然会留下某些蛛丝马迹，如登录纪录，文献权限变化等虚拟证据，如何对的解决虚拟证据是追踪网络袭击最大挑战。

在追踪网络袭击中另一需要考虑问题是:IP地址是一种虚拟地址而不是一种物理地址，IP地址很容易被伪造，大某些网络袭击者采用IP地址欺骗技术。这样追踪到袭击源是不对的。使得以IP地址为基本去发现袭击者变得更加困难。因而，必要采用某些办法，识破袭击者欺骗，找到袭击源真正IP地址。

（一）、netstat命令实时查看袭击者

使用netstat命令可以获得所有联接被测主机网络顾客IP地址。Windows系列、Unix系列、Linux等惯用网络操作系统都可以使用“netstat”命令。如图在windows系统下执行netstat/ano/ptcp只显示tcp监听和已连接信息。

使用“netstat”命令缺陷是只能显示当前连接，如果使用“netstat”命令时袭击者没有联接，则无法发现袭击者踪迹。为此，可以使用Scheduler建立一种日程安排，安排系统每隔一定期间使用一次“netstat”命令，并使用netstattextfile格式把每次检查时得到数据写入一种文本文献中，以便需要追踪网络袭击时使用。

（二）、日记数据--最详细袭击记录

系统日记数据提供了详细顾客登录信息。在追踪网络袭击时，这些数据是最直接、有效证据。但是有些系统日记数据不完善，网络袭击者也常会把自己活动从系统日记中删除。因而，需要采用补救办法，以保证日记数据完整性。

1、Unix和Linux日记

Unix和Linux日记文献较详细记录了顾客各种活动，如登录ID顾客名、顾客IP地址、端标语、登录和退出时间、每个ID近来一次登录时间、登录终端、执行命令，顾客ID账号信息等。通过这些信息可以提供ttyname(终端号)和源地址，是追踪网络袭击最重要数据。

大某些网络袭击者会把自己活动记录从日记中删去，并且UOP和基于XWindows活动往往不被记录，给追踪者带来困难。为理解决这个问题，可以在系统中运营wrapper工具，这个工具记录顾客服务祈求和所有活动，且不易被网络袭击者发现，可以有效防止网络袭击者消除其活动纪录。

2、WindowsNT和Windows日记

WindowsNT和Windows有系统日记、安全日记和应用程序日记等三个日记，而与安全有关数据包括在安全日记中。安全日记记录了登录顾客有关信息。安全日记中数据是由配备所决定。因而，应当依照安全需要合理进行配备，以便获得保证系统安全所必须数