全文共2128字,阅读大约需4分钟。
一、前言
近年来,随着全球局势的紧张,各种冲突愈演愈烈,情报、监视与侦察(ISR)的作用越发明显,成为决定胜负的关键因素之一。侦察是获取情报的重要手段,反侦察能力是保障安全和成功的关键,有效的反侦察可以保护侦察人员和设备的安全性,维护情报的机密性和隐蔽性。如图1是一种躲避警犬式追踪的方法,侦察者可以采用反复迂回的方式进行逃跑,目的是误导敌军,使其沿着错误的路线追踪,实现反跟踪。
图1 采用迂回来躲避警犬式跟踪
在网络侦察也是获取情报的重要侦察手段之一,所以确保反溯源同样是至关重要的。2021年12月,DARPA发布了SMOKE(Signature Management using Operational Knowledge and Environments),其中一个核心目标是提升网络红队的反溯源能力。就像SMOKE这个名称一样,该项目目标是在网络攻击中利用制造迷雾来掩盖真实的网络攻击。反溯源有助于确保网络侦察活动的成功和持续性。接下来本文将介绍几种网络侦察反溯源的方法,仅供参考。
二、网络反溯源常用方法
2.1
Tor匿名网络
匿名网络起源于1981 Mix网。目前应用最广泛的匿名网络——洋葱路由(Tor)就是基于Mix网思想。“洋葱路由”的最初目的并不是保护隐私,它的目的是让情报人员的网上活动不被敌对国监控。
如图2所示,Tor 的基本思路是:利用多个节点转送封包,并且透过密码学保证每个节点仅有局部通信,没有全局通信,例如:每个节点皆无法同时得知请求端与响应端的 IP,也无法解析线路的完整组成。Tor 节点(Onion Router)构成的线路(Circuit)是洋葱路由,每条线路有3节点,请求端与节点建立线路,交换线路密钥。请求端使用3组线路密钥对封包进行3层加密,确保每节点只能解开属于自己的密文,以此来实现网络的匿名性。
图2 Tor的原理示意图
截至目前Tor项目大约有7500个节点可供使用。图3是Tor的一些出口节点。
图3 Tor部分出口节点
匿名网络的优势在于提供相对高匿名性、去中心化,通过多层加密保护用户隐私,然而缺点就是网络延时大、节点可能威胁情报拉黑。类似Tor的匿名网络还有I2P、Yandex、Whonix等。使用匿名做网络侦察时需要权衡这些因素,并根据具体情境做出选择。
2.2
网络地址代理池
利用网络地址代理池也可以实现反溯源的效果。其主要原理如图4所示,代理的方式主要有机场节点、自建/付费的代理池、ADSL VPS等。
图4 网络地址代理池示意图
机场节点即虚拟专用网络(VPN)或代理服务。这些节点分布在全球各地,用户可以通过连接到它们来实现网络匿名、加密通信或访问特定地区的互联网内容。
自建和付费代理池实现是一样的,前者是寻找免费的代理池,比如Github 开源项目Proxy Pool就提供了十几个免费的代理池,如图5.地址可用性低。付费的代理供应商就比较多了,一般是按照流量计费,地址可用性高。
图5 ProxyPool项目梳理免费的代理网站
ADSL(Asymmetric Digital Subscriber Line) VPS技术连接到互联网的虚拟专用服务器(VPS)。每次断网进行重新拨号,就会获得重新随机获得一个IP,通过此方式实现代理。
2.3
匿名扫描工具
匿名扫描工具实现的方式大多数也是以代理的思路实现的,比如Scanless这款开源的匿名端口扫描工具,因为使用了第三方扫描平台,所以进行端口扫描时可实现匿名扫描。如图3所示,这些第三方服务网站提供多种网络工具,包括IP地址查询、端口扫描、WHOIS查询等、反向DNS查询等,用于网络管理和安全评估。比如IPfingerprints和Viewdns提供详细的IP和域名信息,Ping.eu用于测试目标主机的连通性,Spiderip、 standingtech、 yougetsignal提供端口扫描等多种网络侦察方法。
图6 Scanless的第三方探测源
Scanless是基于命令行的利用第三方在线服务执行端口扫描工具,类似Shodan也提供提交任务,进行扫描探测的功能。该方法主要优势简单的、无须本地配置的用户界面,具有匿名性和易用性。然而,它依赖外部服务的可用性,功能有限,在简单扫描需求下适用,但对于敏感目标或功能要求较高的情况,可能需要使用更强大的本地扫描工具。
2.4
Serverless云函数
Serverless 是一种云原生开发模型,允许开发人员构建和运行应用程序而无需管理服务器。云函数(Cloud Functions)是云服务商提供的无服务器执行环境,可以执行函数和脚本,比如请求网站获取响应码。可通过 API 网关触发器进行触发,接收客户端的网络请求,利用云服务商的地址池作为出口的特性,将请求随机转发出去,这样一来就达到了代理的效果,实现隐藏客户端的网络地址效果。如图7所示。
图7 Serverless云函数交互流程
云函数应用在网络安全领域中可实现隐藏自身真实身份的目的,网络侦察使用该方法可以避免其被溯源,增加防守方溯源反制难度。
三、总结
网络对抗动态多变,情报是在对抗中取得优势的关键因素,网络侦察是获取情报的重要手段,做好可持续的监视、侦察才更有可能获得到更高级的情报,所以网络反溯源、隐匿也是需要我们重视的能力。本文针对网络侦察梳理了几种反溯源的方法,经过验证都可以在不同程度上实现匿名侦察的目的。方法不只文中所提,如僵尸网络也可以实现,但考虑偏恶意攻击,在次不作详细描述。
参考文献
[1] 未来城市战中的情报、监视与侦察(ISR) https://www.sohu.com/a/752665861_358040
[2] 马传旺, 张宇, 方滨兴, 张宏莉. 匿名网络综述[J]. 软件学报, 2023, 34(1): 404-420.
[3] Scanless https://github.com/vesche/scanless
[4] Porxy pool https://github.com/jhao104/proxy_pool
[5] 匿名通信与暗网研究深度技术https://kknews.cc/tech/j9aqxzl.html
[6] 基于Serverless的反溯源技术应用研究https://m.fx361.com/news/2023/1230/22895548.html
[7] 透视“烟雾”:管窥美军网络反溯源项目 https://www.secrss.com/articles/49756
原文始发于微信公众号(绿盟科技):网络侦察的反溯源技术研究
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论