張宇寧

摘要：隨著計算機網(wǎng)絡(luò)信息安全問題的日益突出，構(gòu)筑反溯源網(wǎng)絡(luò)具有重要意義。將NDIS中間層驅(qū)動技術(shù)、P2P隱蔽攻擊網(wǎng)絡(luò)及基于數(shù)據(jù)特征的混淆算法3種技術(shù)相融合，構(gòu)筑反溯源網(wǎng)絡(luò)，可有效降低被外界追蹤溯源的可能性，確保網(wǎng)絡(luò)及信息的安全性和可靠性。

關(guān)鍵詞：反溯源；NDIS；P2P網(wǎng)絡(luò)；混淆算法

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1674-1161（2014）01-0050-02

計算機的誕生及網(wǎng)絡(luò)技術(shù)的發(fā)展改變了人們傳統(tǒng)的生活方式。人們在網(wǎng)絡(luò)中嘗試著各種應(yīng)用所帶來的便利，但卻忽略了網(wǎng)絡(luò)信息安全。隨著各種溯源技術(shù)的發(fā)展和廣泛應(yīng)用，躲在屏幕后面的黑客正熟練地運用各種手段及工具，對各種有價值的人和信息進行肆無忌憚的溯源跟蹤，人們在互聯(lián)網(wǎng)中的行為變得透明，網(wǎng)絡(luò)和信息安全已經(jīng)受到了嚴峻考驗。為此，構(gòu)筑反溯源網(wǎng)絡(luò)以確保網(wǎng)絡(luò)及信息安全顯得尤為重要。

1 國內(nèi)外反溯源研究現(xiàn)狀

1.1 匿名通信系統(tǒng)技術(shù)

匿名通信系統(tǒng)技術(shù)是一種隱藏通信發(fā)送者及接受者IP地址、物理位置等實體信息和雙方通信關(guān)系的通信系統(tǒng)，它令竊聽者無法直接獲知或推知通信雙方的通信關(guān)系或通信的某一方信息，從而更好地保護網(wǎng)絡(luò)用戶的通信隱私。當(dāng)前關(guān)于匿名通信系統(tǒng)技術(shù)的研究主要在于提高匿名性能，許多原型系統(tǒng)借助于多個代理的重路由技術(shù)、填充包技術(shù)和加密技術(shù)來達到匿名發(fā)送或匿名接收的目的。而當(dāng)匿名系統(tǒng)真正要被應(yīng)用于現(xiàn)實網(wǎng)絡(luò)中時，系統(tǒng)管理方式和管理代價會直接影響到系統(tǒng)的可擴展性。目前的許多匿名原型系統(tǒng)采用集中式管理機制，不能承受大量用戶的存在，無法應(yīng)用于大規(guī)模的網(wǎng)絡(luò)環(huán)境中。

1.2 跳板機網(wǎng)絡(luò)

所謂跳板機就是一臺普通的聯(lián)網(wǎng)服務(wù)器，入侵者在對目標進行入侵的過程中，首先要在自己的PC上遠程登錄該跳板機，然后通過遠程桌面操作該跳板機對目標進行入侵或攻擊，從而實現(xiàn)了自身的隱藏。跳板網(wǎng)絡(luò)中的節(jié)點均為被控主機，在路徑選擇和配置上比VPN和協(xié)議代理更加靈活，但由于被控節(jié)點性能參差不齊，個別節(jié)點的穩(wěn)定性較差，一旦路徑中某個轉(zhuǎn)發(fā)節(jié)點失效，整條路徑將無法繼續(xù)正常工作，從而導(dǎo)致目標數(shù)據(jù)傳輸?shù)氖?。此外，現(xiàn)在很多防火墻或IDS都有追溯的功能，理論上，對于在三跳以內(nèi)的跳板網(wǎng)絡(luò)，可以通過代理跳板主機找到源主機。

1.3 VPN代理技術(shù)

VPN代理是在VPN（虛擬專用網(wǎng)絡(luò)）的基礎(chǔ)上衍生出來的提高網(wǎng)絡(luò)訪問速度和安全性的技術(shù)，現(xiàn)在其已成為一種反溯源的重要手段。利用VPN的特殊加密通信協(xié)議在因特網(wǎng)位于不同地方的兩個結(jié)點間臨時建立一條穿過混亂公用網(wǎng)絡(luò)的安全穩(wěn)定的專用隧道。比起真實地建立一條物理鏈路，VPN在經(jīng)濟性上表現(xiàn)得非常好，但是所有的安全與穩(wěn)定都取決于VPN代理服務(wù)商，所以VPN的安全與穩(wěn)定系數(shù)并不高。目前也有將VPN代理技術(shù)及跳板機網(wǎng)絡(luò)相組合來構(gòu)筑反溯源網(wǎng)絡(luò)，但是由于兩種技術(shù)均有各自的缺陷，效果并不理想。

2 反溯源網(wǎng)絡(luò)的總體設(shè)計方案

用若干臺PC作為代理節(jié)點構(gòu)成一個P2P的隱蔽網(wǎng)絡(luò)（如圖1所示），確保每個代理節(jié)點在此網(wǎng)絡(luò)中地位相等，完全自治；攻擊源點與代理節(jié)點之間、代理節(jié)點相互之間均采用基于NDIS中間層驅(qū)動協(xié)議進行數(shù)據(jù)傳輸，有效實現(xiàn)數(shù)據(jù)的隱蔽轉(zhuǎn)發(fā)；每一次攻擊所選擇的路由為隨機路由，增加被溯源追蹤的難度；數(shù)據(jù)在傳輸過程中采用混淆算法進行加密，增加溯源人員通過數(shù)據(jù)流量分析進行溯源的難度。

3 反溯源網(wǎng)絡(luò)涉及的主要技術(shù)

3.1 NDIS中間層驅(qū)動技術(shù)

NDIS是微軟和其他廠商聯(lián)合制定的，在Windows平臺下開發(fā)網(wǎng)卡驅(qū)動程序和網(wǎng)絡(luò)協(xié)議驅(qū)動程序必須遵守的設(shè)計框架。NDIS提供了3個層次的接口：網(wǎng)絡(luò)接口卡驅(qū)動程序、中間層驅(qū)動程序和協(xié)議驅(qū)動程序。中間層驅(qū)動程序在協(xié)議驅(qū)動程序和微端口驅(qū)動程序之間扮演一個“中間人”的角色。選用NDIS中間層驅(qū)動來實現(xiàn)自組網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)發(fā)，可以有效地實現(xiàn)數(shù)據(jù)的隱蔽轉(zhuǎn)發(fā)，這是因為利用NDIS中間驅(qū)動程序可以在網(wǎng)卡驅(qū)動程序和傳輸驅(qū)動程序之間插入一個中間層，用來截獲網(wǎng)絡(luò)封包，并方便地對數(shù)據(jù)包進行重新封包、加密、網(wǎng)絡(luò)地址轉(zhuǎn)換等操作。同時，在利用NDIS中間層驅(qū)動進行截包和發(fā)送數(shù)據(jù)時，由于代理處于系統(tǒng)底層，網(wǎng)卡接收的數(shù)據(jù)在向操作系統(tǒng)上層傳遞之前已經(jīng)被攔截，高于NDIS中間層的防火墻等應(yīng)用軟件無法接觸到目標數(shù)據(jù)。因此，節(jié)點中的代理在傳輸數(shù)據(jù)時能夠有效躲避上述軟件的檢測。

3.2 P2P隱蔽網(wǎng)絡(luò)的構(gòu)架

P2P網(wǎng)絡(luò)即Peer-to-peer，是一種分布式網(wǎng)絡(luò)，也稱對等網(wǎng)絡(luò)。它打破了傳統(tǒng)的C/S模式，在網(wǎng)絡(luò)中的每個節(jié)點地位都是相等的，完全自治，每個節(jié)點既是服務(wù)器、也是客戶端。P2P網(wǎng)絡(luò)具有耐攻擊、高容錯等優(yōu)點。本文選用P2P網(wǎng)絡(luò)作為自組網(wǎng)絡(luò)的架構(gòu)，是由于P2P網(wǎng)絡(luò)采用了分布式的架構(gòu)，不依賴于少數(shù)集中控制節(jié)點，所以部分節(jié)點或網(wǎng)絡(luò)遭到破壞對其他部分的影響很小，一般在部分節(jié)點失效時能夠自動調(diào)整整體拓撲，保持其他節(jié)點的連通性，具有比C/S網(wǎng)絡(luò)更好的健壯性和抗毀性。另外，P2P網(wǎng)絡(luò)中，信息的傳輸分散在各個節(jié)點之間進行，無需經(jīng)過某個集中環(huán)節(jié)，從而大大提高了匿名通信的靈活性和可靠性，使得傳輸?shù)臄?shù)據(jù)被竊聽及泄露的可能性大大縮小。

3.3 針對數(shù)據(jù)特征的混淆算法

分析消息數(shù)據(jù)的時間特征、流量特征和數(shù)據(jù)特征是溯源追蹤的主要手段，是對平臺威脅較大的一種攻擊方式。針對該方式，可采用相應(yīng)的混淆算法用于偽裝時間特征、流量特征和數(shù)據(jù)特征，增加溯源分析的難度。

4 預(yù)期效果

選用NDIS中間層驅(qū)動來實現(xiàn)自組網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)發(fā)，方便了對數(shù)據(jù)包進行重新封包、加密、網(wǎng)絡(luò)地址轉(zhuǎn)換等操作，并有效躲避了防火墻等應(yīng)用軟件的檢測；P2P網(wǎng)絡(luò)的運用，大大提高了匿名通信的靈活性和可靠性，使得傳輸?shù)臄?shù)據(jù)被竊聽及泄露的可能性大大縮?。会槍r間特征、流量特征和數(shù)據(jù)特征所采用的混淆算法，增加了溯源分析的難度。上述3種技術(shù)相融合，構(gòu)筑有效抵御外界追蹤溯源的自組網(wǎng)絡(luò)，可確保網(wǎng)絡(luò)及信息的安全性和可靠性。

摘要：隨著計算機網(wǎng)絡(luò)信息安全問題的日益突出，構(gòu)筑反溯源網(wǎng)絡(luò)具有重要意義。將NDIS中間層驅(qū)動技術(shù)、P2P隱蔽攻擊網(wǎng)絡(luò)及基于數(shù)據(jù)特征的混淆算法3種技術(shù)相融合，構(gòu)筑反溯源網(wǎng)絡(luò)，可有效降低被外界追蹤溯源的可能性，確保網(wǎng)絡(luò)及信息的安全性和可靠性。

關(guān)鍵詞：反溯源；NDIS；P2P網(wǎng)絡(luò)；混淆算法

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1674-1161（2014）01-0050-02

計算機的誕生及網(wǎng)絡(luò)技術(shù)的發(fā)展改變了人們傳統(tǒng)的生活方式。人們在網(wǎng)絡(luò)中嘗試著各種應(yīng)用所帶來的便利，但卻忽略了網(wǎng)絡(luò)信息安全。隨著各種溯源技術(shù)的發(fā)展和廣泛應(yīng)用，躲在屏幕后面的黑客正熟練地運用各種手段及工具，對各種有價值的人和信息進行肆無忌憚的溯源跟蹤，人們在互聯(lián)網(wǎng)中的行為變得透明，網(wǎng)絡(luò)和信息安全已經(jīng)受到了嚴峻考驗。為此，構(gòu)筑反溯源網(wǎng)絡(luò)以確保網(wǎng)絡(luò)及信息安全顯得尤為重要。

1 國內(nèi)外反溯源研究現(xiàn)狀

1.1 匿名通信系統(tǒng)技術(shù)

匿名通信系統(tǒng)技術(shù)是一種隱藏通信發(fā)送者及接受者IP地址、物理位置等實體信息和雙方通信關(guān)系的通信系統(tǒng)，它令竊聽者無法直接獲知或推知通信雙方的通信關(guān)系或通信的某一方信息，從而更好地保護網(wǎng)絡(luò)用戶的通信隱私。當(dāng)前關(guān)于匿名通信系統(tǒng)技術(shù)的研究主要在于提高匿名性能，許多原型系統(tǒng)借助于多個代理的重路由技術(shù)、填充包技術(shù)和加密技術(shù)來達到匿名發(fā)送或匿名接收的目的。而當(dāng)匿名系統(tǒng)真正要被應(yīng)用于現(xiàn)實網(wǎng)絡(luò)中時，系統(tǒng)管理方式和管理代價會直接影響到系統(tǒng)的可擴展性。目前的許多匿名原型系統(tǒng)采用集中式管理機制，不能承受大量用戶的存在，無法應(yīng)用于大規(guī)模的網(wǎng)絡(luò)環(huán)境中。

1.2 跳板機網(wǎng)絡(luò)

所謂跳板機就是一臺普通的聯(lián)網(wǎng)服務(wù)器，入侵者在對目標進行入侵的過程中，首先要在自己的PC上遠程登錄該跳板機，然后通過遠程桌面操作該跳板機對目標進行入侵或攻擊，從而實現(xiàn)了自身的隱藏。跳板網(wǎng)絡(luò)中的節(jié)點均為被控主機，在路徑選擇和配置上比VPN和協(xié)議代理更加靈活，但由于被控節(jié)點性能參差不齊，個別節(jié)點的穩(wěn)定性較差，一旦路徑中某個轉(zhuǎn)發(fā)節(jié)點失效，整條路徑將無法繼續(xù)正常工作，從而導(dǎo)致目標數(shù)據(jù)傳輸?shù)氖　４送?，現(xiàn)在很多防火墻或IDS都有追溯的功能，理論上，對于在三跳以內(nèi)的跳板網(wǎng)絡(luò)，可以通過代理跳板主機找到源主機。

1.3 VPN代理技術(shù)

VPN代理是在VPN（虛擬專用網(wǎng)絡(luò)）的基礎(chǔ)上衍生出來的提高網(wǎng)絡(luò)訪問速度和安全性的技術(shù)，現(xiàn)在其已成為一種反溯源的重要手段。利用VPN的特殊加密通信協(xié)議在因特網(wǎng)位于不同地方的兩個結(jié)點間臨時建立一條穿過混亂公用網(wǎng)絡(luò)的安全穩(wěn)定的專用隧道。比起真實地建立一條物理鏈路，VPN在經(jīng)濟性上表現(xiàn)得非常好，但是所有的安全與穩(wěn)定都取決于VPN代理服務(wù)商，所以VPN的安全與穩(wěn)定系數(shù)并不高。目前也有將VPN代理技術(shù)及跳板機網(wǎng)絡(luò)相組合來構(gòu)筑反溯源網(wǎng)絡(luò)，但是由于兩種技術(shù)均有各自的缺陷，效果并不理想。

2 反溯源網(wǎng)絡(luò)的總體設(shè)計方案

用若干臺PC作為代理節(jié)點構(gòu)成一個P2P的隱蔽網(wǎng)絡(luò)（如圖1所示），確保每個代理節(jié)點在此網(wǎng)絡(luò)中地位相等，完全自治；攻擊源點與代理節(jié)點之間、代理節(jié)點相互之間均采用基于NDIS中間層驅(qū)動協(xié)議進行數(shù)據(jù)傳輸，有效實現(xiàn)數(shù)據(jù)的隱蔽轉(zhuǎn)發(fā)；每一次攻擊所選擇的路由為隨機路由，增加被溯源追蹤的難度；數(shù)據(jù)在傳輸過程中采用混淆算法進行加密，增加溯源人員通過數(shù)據(jù)流量分析進行溯源的難度。

3 反溯源網(wǎng)絡(luò)涉及的主要技術(shù)

3.1 NDIS中間層驅(qū)動技術(shù)

NDIS是微軟和其他廠商聯(lián)合制定的，在Windows平臺下開發(fā)網(wǎng)卡驅(qū)動程序和網(wǎng)絡(luò)協(xié)議驅(qū)動程序必須遵守的設(shè)計框架。NDIS提供了3個層次的接口：網(wǎng)絡(luò)接口卡驅(qū)動程序、中間層驅(qū)動程序和協(xié)議驅(qū)動程序。中間層驅(qū)動程序在協(xié)議驅(qū)動程序和微端口驅(qū)動程序之間扮演一個“中間人”的角色。選用NDIS中間層驅(qū)動來實現(xiàn)自組網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)發(fā)，可以有效地實現(xiàn)數(shù)據(jù)的隱蔽轉(zhuǎn)發(fā)，這是因為利用NDIS中間驅(qū)動程序可以在網(wǎng)卡驅(qū)動程序和傳輸驅(qū)動程序之間插入一個中間層，用來截獲網(wǎng)絡(luò)封包，并方便地對數(shù)據(jù)包進行重新封包、加密、網(wǎng)絡(luò)地址轉(zhuǎn)換等操作。同時，在利用NDIS中間層驅(qū)動進行截包和發(fā)送數(shù)據(jù)時，由于代理處于系統(tǒng)底層，網(wǎng)卡接收的數(shù)據(jù)在向操作系統(tǒng)上層傳遞之前已經(jīng)被攔截，高于NDIS中間層的防火墻等應(yīng)用軟件無法接觸到目標數(shù)據(jù)。因此，節(jié)點中的代理在傳輸數(shù)據(jù)時能夠有效躲避上述軟件的檢測。

3.2 P2P隱蔽網(wǎng)絡(luò)的構(gòu)架

P2P網(wǎng)絡(luò)即Peer-to-peer，是一種分布式網(wǎng)絡(luò)，也稱對等網(wǎng)絡(luò)。它打破了傳統(tǒng)的C/S模式，在網(wǎng)絡(luò)中的每個節(jié)點地位都是相等的，完全自治，每個節(jié)點既是服務(wù)器、也是客戶端。P2P網(wǎng)絡(luò)具有耐攻擊、高容錯等優(yōu)點。本文選用P2P網(wǎng)絡(luò)作為自組網(wǎng)絡(luò)的架構(gòu)，是由于P2P網(wǎng)絡(luò)采用了分布式的架構(gòu)，不依賴于少數(shù)集中控制節(jié)點，所以部分節(jié)點或網(wǎng)絡(luò)遭到破壞對其他部分的影響很小，一般在部分節(jié)點失效時能夠自動調(diào)整整體拓撲，保持其他節(jié)點的連通性，具有比C/S網(wǎng)絡(luò)更好的健壯性和抗毀性。另外，P2P網(wǎng)絡(luò)中，信息的傳輸分散在各個節(jié)點之間進行，無需經(jīng)過某個集中環(huán)節(jié)，從而大大提高了匿名通信的靈活性和可靠性，使得傳輸?shù)臄?shù)據(jù)被竊聽及泄露的可能性大大縮小。

3.3 針對數(shù)據(jù)特征的混淆算法

分析消息數(shù)據(jù)的時間特征、流量特征和數(shù)據(jù)特征是溯源追蹤的主要手段，是對平臺威脅較大的一種攻擊方式。針對該方式，可采用相應(yīng)的混淆算法用于偽裝時間特征、流量特征和數(shù)據(jù)特征，增加溯源分析的難度。

4 預(yù)期效果

選用NDIS中間層驅(qū)動來實現(xiàn)自組網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)發(fā)，方便了對數(shù)據(jù)包進行重新封包、加密、網(wǎng)絡(luò)地址轉(zhuǎn)換等操作，并有效躲避了防火墻等應(yīng)用軟件的檢測；P2P網(wǎng)絡(luò)的運用，大大提高了匿名通信的靈活性和可靠性，使得傳輸?shù)臄?shù)據(jù)被竊聽及泄露的可能性大大縮?。会槍r間特征、流量特征和數(shù)據(jù)特征所采用的混淆算法，增加了溯源分析的難度。上述3種技術(shù)相融合，構(gòu)筑有效抵御外界追蹤溯源的自組網(wǎng)絡(luò)，可確保網(wǎng)絡(luò)及信息的安全性和可靠性。

摘要：隨著計算機網(wǎng)絡(luò)信息安全問題的日益突出，構(gòu)筑反溯源網(wǎng)絡(luò)具有重要意義。將NDIS中間層驅(qū)動技術(shù)、P2P隱蔽攻擊網(wǎng)絡(luò)及基于數(shù)據(jù)特征的混淆算法3種技術(shù)相融合，構(gòu)筑反溯源網(wǎng)絡(luò)，可有效降低被外界追蹤溯源的可能性，確保網(wǎng)絡(luò)及信息的安全性和可靠性。

關(guān)鍵詞：反溯源；NDIS；P2P網(wǎng)絡(luò)；混淆算法

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1674-1161（2014）01-0050-02

計算機的誕生及網(wǎng)絡(luò)技術(shù)的發(fā)展改變了人們傳統(tǒng)的生活方式。人們在網(wǎng)絡(luò)中嘗試著各種應(yīng)用所帶來的便利，但卻忽略了網(wǎng)絡(luò)信息安全。隨著各種溯源技術(shù)的發(fā)展和廣泛應(yīng)用，躲在屏幕后面的黑客正熟練地運用各種手段及工具，對各種有價值的人和信息進行肆無忌憚的溯源跟蹤，人們在互聯(lián)網(wǎng)中的行為變得透明，網(wǎng)絡(luò)和信息安全已經(jīng)受到了嚴峻考驗。為此，構(gòu)筑反溯源網(wǎng)絡(luò)以確保網(wǎng)絡(luò)及信息安全顯得尤為重要。

1 國內(nèi)外反溯源研究現(xiàn)狀

1.1 匿名通信系統(tǒng)技術(shù)

匿名通信系統(tǒng)技術(shù)是一種隱藏通信發(fā)送者及接受者IP地址、物理位置等實體信息和雙方通信關(guān)系的通信系統(tǒng)，它令竊聽者無法直接獲知或推知通信雙方的通信關(guān)系或通信的某一方信息，從而更好地保護網(wǎng)絡(luò)用戶的通信隱私。當(dāng)前關(guān)于匿名通信系統(tǒng)技術(shù)的研究主要在于提高匿名性能，許多原型系統(tǒng)借助于多個代理的重路由技術(shù)、填充包技術(shù)和加密技術(shù)來達到匿名發(fā)送或匿名接收的目的。而當(dāng)匿名系統(tǒng)真正要被應(yīng)用于現(xiàn)實網(wǎng)絡(luò)中時，系統(tǒng)管理方式和管理代價會直接影響到系統(tǒng)的可擴展性。目前的許多匿名原型系統(tǒng)采用集中式管理機制，不能承受大量用戶的存在，無法應(yīng)用于大規(guī)模的網(wǎng)絡(luò)環(huán)境中。

1.2 跳板機網(wǎng)絡(luò)

所謂跳板機就是一臺普通的聯(lián)網(wǎng)服務(wù)器，入侵者在對目標進行入侵的過程中，首先要在自己的PC上遠程登錄該跳板機，然后通過遠程桌面操作該跳板機對目標進行入侵或攻擊，從而實現(xiàn)了自身的隱藏。跳板網(wǎng)絡(luò)中的節(jié)點均為被控主機，在路徑選擇和配置上比VPN和協(xié)議代理更加靈活，但由于被控節(jié)點性能參差不齊，個別節(jié)點的穩(wěn)定性較差，一旦路徑中某個轉(zhuǎn)發(fā)節(jié)點失效，整條路徑將無法繼續(xù)正常工作，從而導(dǎo)致目標數(shù)據(jù)傳輸?shù)氖　４送?，現(xiàn)在很多防火墻或IDS都有追溯的功能，理論上，對于在三跳以內(nèi)的跳板網(wǎng)絡(luò)，可以通過代理跳板主機找到源主機。

1.3 VPN代理技術(shù)

VPN代理是在VPN（虛擬專用網(wǎng)絡(luò)）的基礎(chǔ)上衍生出來的提高網(wǎng)絡(luò)訪問速度和安全性的技術(shù)，現(xiàn)在其已成為一種反溯源的重要手段。利用VPN的特殊加密通信協(xié)議在因特網(wǎng)位于不同地方的兩個結(jié)點間臨時建立一條穿過混亂公用網(wǎng)絡(luò)的安全穩(wěn)定的專用隧道。比起真實地建立一條物理鏈路，VPN在經(jīng)濟性上表現(xiàn)得非常好，但是所有的安全與穩(wěn)定都取決于VPN代理服務(wù)商，所以VPN的安全與穩(wěn)定系數(shù)并不高。目前也有將VPN代理技術(shù)及跳板機網(wǎng)絡(luò)相組合來構(gòu)筑反溯源網(wǎng)絡(luò)，但是由于兩種技術(shù)均有各自的缺陷，效果并不理想。

2 反溯源網(wǎng)絡(luò)的總體設(shè)計方案

用若干臺PC作為代理節(jié)點構(gòu)成一個P2P的隱蔽網(wǎng)絡(luò)（如圖1所示），確保每個代理節(jié)點在此網(wǎng)絡(luò)中地位相等，完全自治；攻擊源點與代理節(jié)點之間、代理節(jié)點相互之間均采用基于NDIS中間層驅(qū)動協(xié)議進行數(shù)據(jù)傳輸，有效實現(xiàn)數(shù)據(jù)的隱蔽轉(zhuǎn)發(fā)；每一次攻擊所選擇的路由為隨機路由，增加被溯源追蹤的難度；數(shù)據(jù)在傳輸過程中采用混淆算法進行加密，增加溯源人員通過數(shù)據(jù)流量分析進行溯源的難度。

3 反溯源網(wǎng)絡(luò)涉及的主要技術(shù)

3.1 NDIS中間層驅(qū)動技術(shù)

NDIS是微軟和其他廠商聯(lián)合制定的，在Windows平臺下開發(fā)網(wǎng)卡驅(qū)動程序和網(wǎng)絡(luò)協(xié)議驅(qū)動程序必須遵守的設(shè)計框架。NDIS提供了3個層次的接口：網(wǎng)絡(luò)接口卡驅(qū)動程序、中間層驅(qū)動程序和協(xié)議驅(qū)動程序。中間層驅(qū)動程序在協(xié)議驅(qū)動程序和微端口驅(qū)動程序之間扮演一個“中間人”的角色。選用NDIS中間層驅(qū)動來實現(xiàn)自組網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)發(fā)，可以有效地實現(xiàn)數(shù)據(jù)的隱蔽轉(zhuǎn)發(fā)，這是因為利用NDIS中間驅(qū)動程序可以在網(wǎng)卡驅(qū)動程序和傳輸驅(qū)動程序之間插入一個中間層，用來截獲網(wǎng)絡(luò)封包，并方便地對數(shù)據(jù)包進行重新封包、加密、網(wǎng)絡(luò)地址轉(zhuǎn)換等操作。同時，在利用NDIS中間層驅(qū)動進行截包和發(fā)送數(shù)據(jù)時，由于代理處于系統(tǒng)底層，網(wǎng)卡接收的數(shù)據(jù)在向操作系統(tǒng)上層傳遞之前已經(jīng)被攔截，高于NDIS中間層的防火墻等應(yīng)用軟件無法接觸到目標數(shù)據(jù)。因此，節(jié)點中的代理在傳輸數(shù)據(jù)時能夠有效躲避上述軟件的檢測。

3.2 P2P隱蔽網(wǎng)絡(luò)的構(gòu)架

P2P網(wǎng)絡(luò)即Peer-to-peer，是一種分布式網(wǎng)絡(luò)，也稱對等網(wǎng)絡(luò)。它打破了傳統(tǒng)的C/S模式，在網(wǎng)絡(luò)中的每個節(jié)點地位都是相等的，完全自治，每個節(jié)點既是服務(wù)器、也是客戶端。P2P網(wǎng)絡(luò)具有耐攻擊、高容錯等優(yōu)點。本文選用P2P網(wǎng)絡(luò)作為自組網(wǎng)絡(luò)的架構(gòu)，是由于P2P網(wǎng)絡(luò)采用了分布式的架構(gòu)，不依賴于少數(shù)集中控制節(jié)點，所以部分節(jié)點或網(wǎng)絡(luò)遭到破壞對其他部分的影響很小，一般在部分節(jié)點失效時能夠自動調(diào)整整體拓撲，保持其他節(jié)點的連通性，具有比C/S網(wǎng)絡(luò)更好的健壯性和抗毀性。另外，P2P網(wǎng)絡(luò)中，信息的傳輸分散在各個節(jié)點之間進行，無需經(jīng)過某個集中環(huán)節(jié)，從而大大提高了匿名通信的靈活性和可靠性，使得傳輸?shù)臄?shù)據(jù)被竊聽及泄露的可能性大大縮小。

3.3 針對數(shù)據(jù)特征的混淆算法

分析消息數(shù)據(jù)的時間特征、流量特征和數(shù)據(jù)特征是溯源追蹤的主要手段，是對平臺威脅較大的一種攻擊方式。針對該方式，可采用相應(yīng)的混淆算法用于偽裝時間特征、流量特征和數(shù)據(jù)特征，增加溯源分析的難度。

4 預(yù)期效果

選用NDIS中間層驅(qū)動來實現(xiàn)自組網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)發(fā)，方便了對數(shù)據(jù)包進行重新封包、加密、網(wǎng)絡(luò)地址轉(zhuǎn)換等操作，并有效躲避了防火墻等應(yīng)用軟件的檢測；P2P網(wǎng)絡(luò)的運用，大大提高了匿名通信的靈活性和可靠性，使得傳輸?shù)臄?shù)據(jù)被竊聽及泄露的可能性大大縮??；針對時間特征、流量特征和數(shù)據(jù)特征所采用的混淆算法，增加了溯源分析的難度。上述3種技術(shù)相融合，構(gòu)筑有效抵御外界追蹤溯源的自組網(wǎng)絡(luò)，可確保網(wǎng)絡(luò)及信息的安全性和可靠性。