前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >网络侦察的反溯源技术研究

网络侦察的反溯源技术研究

作者头像
绿盟科技研究通讯
发布2024-03-04 15:26:17
5640
发布2024-03-04 15:26:17
举报
文章被收录于专栏:绿盟科技研究通讯

一. 前言

近年来,随着全球局势的紧张,各种冲突愈演愈烈,情报、监视与侦察(ISR)的作用愈发明显,成为了决定胜负的关键因素之一。侦察是获取情报的重要手段,反侦察能力是保障安全和成功的关键,有效的反侦察可以保护侦察人员和设备的安全性,维护情报的机密性,提高战场的隐蔽性。如图1是一种躲避警犬式追踪的方法,侦察者可以采用反复迂回的方式进行逃跑,目的是误导敌军,使其沿着错误的路线追踪,实现反跟踪。

图1. 采用迂回来躲避警犬式跟踪

在网络侦察也是获取情报的重要侦察手段之一,所以确保反溯源同样是至关重要的。2021年12月,DARPA发布了SMOKE

(Signature Management using Operational Knowledge and Environments),其中一个核心目标是提升网络红队的反溯源能力。就像SMOKE这个名称一样,该项目目标是在网络攻击中利用制造迷雾来掩盖真实的网络攻击。反溯源有助于确保网络侦察活动的成功和持续性。接下来本文将介绍几种网络侦察反溯源的方法,仅供参考。

二、网络反溯源常用方法

2.1

Tor匿名网络

匿名网络起源于1981 Mix网. 目前应用最广泛的匿名网络——洋葱路由(Tor)就是基于Mix网思想。“洋葱路由”的最初目的并不是保护隐私,它的目的是让情报人员的网上活动不被敌对国监控。

如图2所示,Tor 的基本思路是:利用多个节点转送封包,并且透过密码学保证每个节点仅有局部通信,没有全局通信,例如:每个节点皆无法同时得知请求端与响应端的 IP,也无法解析线路的完整组成。Tor 节点(Onion Router)构成的线路(Circuit)是洋葱路由,每线路有3节点,请求端与节点建立线路,交换线路密钥。请求端使用3组线路密钥对封包进行3层加密,确保每节点只能解开属于自己的密文,以此来实现网络的匿名性。

图2. Tor的原理示意图

截止目前Tor项目大约有7500个节点可供使用。图3是Tor的一些出口节点。

图3. Tor部分出口节点

匿名网络的优势在于提供相对高匿名性、去中心化,通过多层加密保护用户隐私,然而缺点就是网络延时大、节点可能威胁情报拉黑。类似Tor的匿名网络还有I2P、Yandex、Whonix等。使用匿名做网络侦察时需要权衡这些因素,并根据具体情境做出选择。

2.2

网络地址代理池

利用网络地址代理池也可以实现反溯源的效果。其主要原理如图4所示,代理的方式主要有机场节点、自建/付费的代理池、ADSL VPS等。

图4. 网络地址代理池示意图

机场节点即虚拟专用网络(VPN)或代理服务。这些节点分布在全球各地,用户可以通过连接到它们来实现网络匿名、加密通信或访问特定地区的互联网内容。

自建和付费代理池实现是一样的,前者是寻找免费的代理池,比如Github 开源项目Proxy Pool就提供了十几个免费的代理池,如图5.地址可用性低。付费的代理供应商就比较多了,一般是按照流量计费,地址可用性高。

图5. ProxyPool项目梳理免费的代理网站

ADSL(Asymmetric Digital Subscriber Line) VPS技术连接到互联网的虚拟专用服务器(VPS)。每次断网进行重新拨号,就会获得重新随机获得一个IP,通过此方式实现代理。

2.3

匿名扫描工具

匿名扫描工具实现的方式大多数也是以代理的思路实现的,比如Scanless这款开源的匿名端口扫描工具,因为使用了第三方扫描平台,所以进行端口扫描时可实现匿名扫描。如图3所示,这些第三方服务网站提供多种网络工具,包括IP地址查询、端口扫描、WHOIS查询等、反向DNS查询等,用于网络管理和安全评估。比如IPfingerprints和Viewdns提供详细的IP和域名信息,Ping.eu用于测试目标主机的连通性,Spiderip、 standingtech、 yougetsignal提供端口扫描等多种网络侦察方法。

图6. Scanless的第三方探测源

Scanless是基于命令行的利用第三方在线服务执行端口扫描工具,类似Shodan也提供提交任务,进行扫描探测的功能。该方法主要优势简单的、无需本地配置的用户界面,具有匿名性和易用性。然而,它依赖外部服务的可用性,功能有限,在简单扫描需求下适用,但对于敏感目标或功能要求较高的情况,可能需要使用更强大的本地扫描工具。

2.4

Serverless云函数

Serverless 是一种云原生开发模型,允许开发人员构建和运行应用程序而无需管理服务器。云函数(Cloud Functions)是云服务商提供的无服务器执行环境,可以执行函数和脚本,比如请求网站获取响应码。可通过 API 网关触发器进行触发,接收客户端的网络请求,利用云服务商的地址池作为出口的特性,将请求随机转发出去,这样一来就达到了代理的效果,实现隐藏客户端的网络地址效果。如图7所示。

图7. Serverless云函数交互流程

云函数应用在网络安全领域中可实现隐藏自身真实身份的目的,网络侦察使用该方法可以避免其被溯源,增加防守方溯源反制难度。

三、总结

网络战的核心是网络的攻防对抗,而网络战场动态多变,情报是在对抗中取得优势的关键因素,网络侦察是获取情报的重要手段,做好可持续的监视、侦察才更有可能获得到更高级的情报,所以网络反溯源、隐匿也是需要我们重视的能力。本文针对网络侦察梳理了几种反溯源的方法,经过验证都可以在不同程度上实现匿名侦察的目的。方法肯定不只是文中提到的这几种,比如僵尸网络也可以实现,考虑偏恶意攻击,这里就不详细描述了。

参考文献

参考文献

[1]. 未来城市战中的情报、监视与侦察(ISR) https://www.sohu.com/a/752665861_358040

[2]. 马传旺, 张宇, 方滨兴, 张宏莉. 匿名网络综述[J]. 软件学报, 2023, 34(1): 404-420.

[3]. Scanless https://github.com/vesche/scanless

[4]. Porxy pool https://github.com/jhao104/proxy_pool

[5]. 匿名通信与暗网研究深度技术https://kknews.cc/tech/j9aqxzl.html

[6]. 基于Serverless的反溯源技术应用研究https://m.fx361.com/news/2023/1230/22895548.html

[7]. 透视“烟雾”:管窥美军网络反溯源项目 https://www.secrss.com/articles/49756

内容编辑:创新研究院 桑鸿庆 责任编辑:创新研究院 陈佛忠

本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2024-03-01,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 绿盟科技研究通讯 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
云函数
云函数(Serverless Cloud Function,SCF)是腾讯云为企业和开发者们提供的无服务器执行环境,帮助您在无需购买和管理服务器的情况下运行代码。您只需使用平台支持的语言编写核心代码并设置代码运行的条件,即可在腾讯云基础设施上弹性、安全地运行代码。云函数是实时文件处理和数据处理等场景下理想的计算平台。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档