网络溯源技术指的是通过记录数据包在网络中的传输信息,进而重构出数据包的传输路径,最后根据路径结合网络拓扑找到数据包真实源头的一种技术。该技术是解决网络安全问题的一种有力技术,因其能够追溯到攻击源头,从而能给攻击者以最有效的打击。现有的网络溯源技术,主要是针对纯IPv4或者纯IPv6网络的。但是如今全球IPv4地址已经分配完毕,IPv6设备和网络的部署又需要花费相当长的时间,这使得IPv4和IPv6共存的过渡网络也会持续相当长的时间。过渡网络技术使得数据报头在网络边界发生了变化:翻译技术是对报文头进行了替换,而隧道技术是对报文进行了封装。这些变化使得IPv4或IPv6网络下的溯源方案无法直接应用在过渡网络中。目前有文献提出了基于翻译技术的溯源方案,并没有文献详述基于隧道技术的溯源方案。但是隧道技术是过渡网络中必不可少的一种技术,使用隧道技术的过渡网络的安全问题必须给予足够的重视。本文旨在提出一种面向使用隧道技术的过渡网络环境的溯源系统。系统首先通过报文捕获模块将数据报文捕获到系统中,然后根据数据报头的上层协议号来识别是否存在隧道封装,接下来根据报文封装的固定格式去提取外层IP信息和可能存在的内层IP信息,再加上TCP/UDP的端口信息,就组合成了本文提出的IPv4/IPv6摘要结构体。系统使用Bloom Filter这种高效存储数据结构,来保存报文的摘要信息,在恰当的时候将保存的信息写入本地文件,以供后续溯源查询。当系统收到溯源请求时,溯源节点查询攻击报文是否流经本节点,并将查询结果告知相邻的溯源节点,这样按照逐跳查询的思路最终找到攻击者的网络位置,并将完整的路径信息返回给受害者。最后本文搭建了使用ISATAP隧道技术的网络拓扑,在这个拓扑中,其中一台主机是服务器,其他主机是客户端,客户端直接向主机发起通信,或者通过隧道向服务器发起通信,其中主机发送的数据包是可以伪造源IP和源端口的。在服务器端假定某一个报文是攻击报文,隧道溯源系统从受害者一端开始溯源,逐跳查询并记录路径信息,最终找到攻击源头。实验证明本方案切实可行。