基于web注入的Tor网络溯源系统、溯源方法
【技术领域】
[0001]
本发明涉及网络溯源追踪技术领域,特别是涉及基于web注入的Tor网络溯源系统、溯源方法。
【背景技术】
[0002]
网络溯源指确定网络攻击者身份或位置,目前在网络溯源方面已经取得大量研究成果。Input Debugging技术是实际应用中广泛使用的可控网域追踪技术,利用网络路由器的调试接口一级一级(hop-by-hop)的沿攻击数据流路径查询其来源,但该技术需要大量人力,效率低下。Burch等人在文南犬《Tracing AnonymousPackets to Their ApproximateSource》提出可控泛洪(Controlled Flooding)技术,使用一种可控的DOS技术,对网络节点数据进行阻塞,观测攻击数据流量,确认其路径,但该技术需要在获取网络拓扑结构的基础上实施。Rowe等人在文南犬《Intrus1n Detect1n and Isolat1n Protocol: AutomatedResponse to Attacks》中提出了IDIP技术,通过交换入侵检测信息,共同定位和阻止入侵者。Wang等人在文南犬《Sleepy Watermark Tracing: An Active Network-based Intrus1nResponse Framework))中提出了休眠水印追踪技术,利用数字水印技术对网络中的数据流进行标记,实现攻击数据流的识别追踪。Bellovin等人在文献《ICMP Traceback Messages))提出了基于ICMP的追踪溯源技术,使用路由器独发送包含某网络流路径信息的ICMP数据包,通过收集ICMP数据包重构攻击流路径实现追踪。Savage等人的文献《Practicalnetwork support for IP traceback》提出了一种概率包标记的方法,其基本原理是:路由器对IP数据包进行标记,被攻击方可以通过分析一定数量的这种数据包中的标记信息,完成攻击路径的有效重构。Song等人的文献《Advanced and authenticated markingschemes for IP traceback》采用分段标记策略针对基本包标记方法的缺陷进行了较大改进,同时考虑了追踪方法本身的安全性,分别提出了高级包标记方法和带认证的标记方法,但这两个方法又引人了追踪方法对ISP网络拓扑的依赖性,造成了追踪方法的实用性不高。Snoeren等人的文献《Hash based IP traceback》提出了一种使用审计技术的源路径隔离引擎(SPIE),可以对单个分组进行源追踪,流量审计通过计算和存储每个分组的32位哈希摘要来进行,而不需要存储分组本身,从而一方面降低了存储需求,另一方面也可以避免SPIE被用于窃听网络流量的内容;然而,这种方法由于需要对每个数据包都进行追踪,难免造成存储的累积负担较大,而且在大数据流量的情况下,由于散列值的碰撞会造成严重误警。Dean等人的文献《An algebraic approach to IP traceback》提出了一种基于线性代数和编码理论的代数标记追踪方法,其缺点在于无法有效地处理多攻击路径的问题。
[0003]Tor网络是互联网上广泛应用的一种匿名网络。由于匿名网络对通信双方信息及通信链路,采取多种匿名化处理技术和加密技术进行处理,防止信息泄露和追踪定位。匿名网络中传输的数据具有较强的匿名性,长度一致,且无任何相关性等原因,无法直接通过上述溯源技术对Tor网络进行溯源。
[0004]因此,需要提供一种适用于Tor网络的溯源技术方案。
【发明内容】
[0005]为实现上述目的,本发明提供了一种基于web注入的Tor网络溯源系统,包括Tori!道、原始Web服务器、Web溯源服务器,所述Tori!道由入口节点、中间节点、出口节点组成,其特征在于,出口节点设置有透明代理模块,所述透明代理模块用于访问向Tor网络用户端想访问的原始Web服务器进行Http页面请求,并在接收到返回的Html页面文件数据包后进行脚本注入,且将修改后的Html页面文件回传给出口节点;所述脚本包括一个隐形的、指向Web溯源服务器的iframe结构及一个标识cookie ο
[0006]基于web注入的Tor网络溯源方法,包括如下步骤:
步骤一:溯源者在其所控制的Tor网络节点上设置透明代理模块,并设置好Web溯源服务器;
步骤二: Tor网络用户端连接到Tor服务器;
步骤三:Tor网络用户端选择溯源者所控制的Tor网络节点作为Tor通道的出口节点; 步骤四:出口节点在接收到来自Tor用户的Http请求;
步骤五:出口节点将Http请求转发到透明代理模块;
步骤六:透明代理模块向Tor网络用户想访问的原始Web服务器进行Http页面请求;步骤七:透明代理模块接收到返回的Html页面文件数据包,进行脚本注入,所述脚本包括一个隐形的、指向Web溯源服务器的iframe结构及一个标识cookie;
步骤八:透明代理模块将修改后的Html页面文件数据包回传给出口节点;
步骤九:Html页面文件数据包原路传送到Tor网络用户端;
步骤十:Tor网络用户端的浏览器解析执行Html页面脚本,Tor网络用户端链接到在Web溯源服务器,在Tor网络用户端与Web溯源服务器之间建立起一个直接通道;
步骤十一:溯源者根据Tor网络用户端对Web溯源服务器链接请求获取其实际IP地址。
[0007]进一步的,在步骤十中,Tor网络用户端链接并下载在Web溯源服务器的ShockwaveFlash Movie,同时该Shockwave Flash Movie将发送标识cookie,用来记录Tor网络用户端。
[0008]进一步的,在步骤五中,出口节点采用防火墙策略将OR port流量转发到Http透明代理。
【附图说明】
[0009]图1为脚本注入过程示意图。
【具体实施方式】
[0010]本发明的技术构思为:Tor网络只代理浏览器正常上网所产生的流量,而不代理浏览器插件所产生的流量。因此,可在Torii道出口节点处将具有溯源功能的插件脚本插入到Html页面中。在浏览器解析执行Html插件脚本代码时,插件脚本从本地直接连接溯源者预先设置的Web溯源服务器,从而获知Tor网络用户端信息,达到溯源目的。
[0011]本发明所述系统包括Tor通道、原始Web服务器、Web溯源服务器。Tor通道由入口节点、中间节点、出口节点组成,出口节点设置有透明代理模块。下面分别进行介绍。
[0012]1.Tor 通道
Tor是第二代洋葱头路由匿名通信系统,有两种实体,分别是Tor用户(Tor user)和Tor节点(Tor node)0Tor节点提供中继服务,是Tor网络的主体。Tor用户在系统中运行本地代理On1n Proxy (OP)程序,该程序选择中继节点,通过中继节点建立通道,接收应用TCP数据流;并将该数据流通过已建立通道传输。
[0013]2.原始Web服务器
Web服务器为Tor用户预想的、出口节点使用Http协议访问的对象,存储有相关网络资源。
[0014]3.透明代理模块
所述透明代理模块用于访问向Tor网络用