[科普中国]-地址级溯源

地址级溯源通常是指寻找网络事件发起者的相关信息，通常用于网络攻击、非法内容传播时对发起者的查找，将溯源追踪信息关联到管理实体的注册信息，从而定位到具体人或单位。

定义地址级溯源通常是指寻找网络事件发起者的相关信息，通常用于网络攻击、非法内容传播时对发起者的查找，将溯源追踪信息关联到管理实体的注册信息，从而定位到具体人或单位。主要分为基于网络安全应对的溯源和基于监管运营需求的溯源两大类，前者可以通过引入IP溯源技术（包括入方向过滤、数据分组标记、iTrace、日志记录及链路测试等）以及部署DDoS攻击溯源系统、信息内容安全系统等安全类平台予以应对；后者则需要通过改造业务控制层设备及AAA、网管等系统或引入log日志系统等对用户实现精确溯源。

方案目前常见的方案1有：

方案一：Syslog日志方案

该方案日志系统可分为日志采集处理模块和查询模块（可合一或者分别独立设置），通过Syslog协议（端口号514）承载NAT444/AFTR网关设备吐出的标准log日志信息（可由用户每次接入或下线的session触发），在Syslog服务器上保存公私有地址、端口号等信息的映射关系表，AAA中保存IPv4公有地址、IPv6地址等信息记录表，若查询IPv6地址，可直接查询AAA获得；若查询IPv4公有地址，则AAA首先发起向Syslog服务器的请求，查询IPv4源地址、源端口与IPv6源地址的对应关系，再在AAA本地查找与IPv6源地址对应的用户ID，完成溯源。其中BRAS及AAA应支持IPv6相关RADIUS属性的拓展，NAT444/AFTR网关设备应支持标准Syslog日志的生成。

方案二：RADIUS动态上报方案

该方案主要通过BRAS与AAA系统的RADIUS协议交互在AAA形成统一的地址映射表（记录在线用户信息，包括账号、私有IPv4地址、公有IPv4地址+端口块、IPv6地址等），其中BRAS需通过改造支持RADIUS属性拓展（增加相关IPv6属性）来完成用户地址映射信息的上报，AAA需改造支持Radius属性拓展及映射表增加新属性字段，同时升级与业务平台的查询接口，以便实现在线查询及离线查询。

方案三：静态映射关系算法方案

该方案主要是针对NAT444/AFTR网关（BRAS/CR插板、独立设备）、AAA及网管进行算法定制化开发，通过网管下发算法至相应网关、AAA服务器等，由各网元基于各自预先配置的算法参数（包括私有IPv4地址范围、公有IPv4地址范围、端口块大小、端口范围、网关设备ID等）进行本地计算生成相应的IP地址、端口号等的映射关系。

本词条内容贡献者为:

吴晨涛 - 副研究员 - 上海交通大学