一. 前言
近年来,随着全球局势的紧张,各种冲突愈演愈烈,情报、监视与侦察(ISR)的作用愈发明显,成为了决定胜负的关键因素之一。侦察是获取情报的重要手段,反侦察能力是保障安全和成功的关键,有效的反侦察可以保护侦察人员和设备的安全性,维护情报的机密性,提高战场的隐蔽性。如图1是一种躲避警犬式追踪的方法,侦察者可以采用反复迂回的方式进行逃跑,目的是误导敌军,使其沿着错误的路线追踪,实现反跟踪。
图1. 采用迂回来躲避警犬式跟踪
在网络侦察也是获取情报的重要侦察手段之一,所以确保反溯源同样是至关重要的。2021年12月,DARPA发布了SMOKE
(Signature Management using Operational Knowledge and Environments),其中一个核心目标是提升网络红队的反溯源能力。就像SMOKE这个名称一样,该项目目标是在网络攻击中利用制造迷雾来掩盖真实的网络攻击。反溯源有助于确保网络侦察活动的成功和持续性。接下来本文将介绍几种网络侦察反溯源的方法,仅供参考。
二、网络反溯源常用方法
匿名网络起源于1981 Mix网. 目前应用最广泛的匿名网络——洋葱路由(Tor)就是基于Mix网思想。“洋葱路由”的最初目的并不是保护隐私,它的目的是让情报人员的网上活动不被敌对国监控。
如图2所示,Tor 的基本思路是:利用多个节点转送封包,并且透过密码学保证每个节点仅有局部通信,没有全局通信,例如:每个节点皆无法同时得知请求端与响应端的 IP,也无法解析线路的完整组成。Tor 节点(Onion Router)构成的线路(Circuit)是洋葱路由,每线路有3节点,请求端与节点建立线路,交换线路密钥。请求端使用3组线路密钥对封包进行3层加密,确保每节点只能解开属于自己的密文,以此来实现网络的匿名性。
图2. Tor的原理示意图
截止目前Tor项目大约有7500个节点可供使用。图3是Tor的一些出口节点。
图3. Tor部分出口节点
匿名网络的优势在于提供相对高匿名性、去中心化,通过多层加密保护用户隐私,然而缺点就是网络延时大、节点可能威胁情报拉黑。类似Tor的匿名网络还有I2P、Yandex、Whonix等。使用匿名做网络侦察时需要权衡这些因素,并根据具体情境做出选择。
利用网络地址代理池也可以实现反溯源的效果。其主要原理如图4所示,代理的方式主要有机场节点、自建/付费的代理池、ADSL VPS等。
图4. 网络地址代理池示意图
机场节点即虚拟专用网络(VPN)或代理服务。这些节点分布在全球各地,用户可以通过连接到它们来实现网络匿名、加密通信或访问特定地区的互联网内容。
自建和付费代理池实现是一样的,前者是寻找免费的代理池,比如Github 开源项目Proxy Pool就提供了十几个免费的代理池,如图5.地址可用性低。付费的代理供应商就比较多了,一般是按照流量计费,地址可用性高。
图5. ProxyPool项目梳理免费的代理网站
ADSL(Asymmetric Digital Subscriber Line) VPS技术连接到互联网的虚拟专用服务器(VPS)。每次断网进行重新拨号,就会获得重新随机获得一个IP,通过此方式实现代理。
匿名扫描工具实现的方式大多数也是以代理的思路实现的,比如Scanless这款开源的匿名端口扫描工具,因为使用了第三方扫描平台,所以进行端口扫描时可实现匿名扫描。如图3所示,这些第三方服务网站提供多种网络工具,包括IP地址查询、端口扫描、WHOIS查询等、反向DNS查询等,用于网络管理和安全评估。比如IPfingerprints和Viewdns提供详细的IP和域名信息,Ping.eu用于测试目标主机的连通性,Spiderip、 standingtech、 yougetsignal提供端口扫描等多种网络侦察方法。
图6. Scanless的第三方探测源
Scanless是基于命令行的利用第三方在线服务执行端口扫描工具,类似Shodan也提供提交任务,进行扫描探测的功能。该方法主要优势简单的、无需本地配置的用户界面,具有匿名性和易用性。然而,它依赖外部服务的可用性,功能有限,在简单扫描需求下适用,但对于敏感目标或功能要求较高的情况,可能需要使用更强大的本地扫描工具。
Serverless 是一种云原生开发模型,允许开发人员构建和运行应用程序而无需管理服务器。云函数(Cloud Functions)是云服务商提供的无服务器执行环境,可以执行函数和脚本,比如请求网站获取响应码。可通过 API 网关触发器进行触发,接收客户端的网络请求,利用云服务商的地址池作为出口的特性,将请求随机转发出去,这样一来就达到了代理的效果,实现隐藏客户端的网络地址效果。如图7所示。
图7. Serverless云函数交互流程
云函数应用在网络安全领域中可实现隐藏自身真实身份的目的,网络侦察使用该方法可以避免其被溯源,增加防守方溯源反制难度。
三、总结
网络战的核心是网络的攻防对抗,而网络战场动态多变,情报是在对抗中取得优势的关键因素,网络侦察是获取情报的重要手段,做好可持续的监视、侦察才更有可能获得到更高级的情报,所以网络反溯源、隐匿也是需要我们重视的能力。本文针对网络侦察梳理了几种反溯源的方法,经过验证都可以在不同程度上实现匿名侦察的目的。方法肯定不只是文中提到的这几种,比如僵尸网络也可以实现,考虑偏恶意攻击,这里就不详细描述了。
参考文献
参考文献
[1]. 未来城市战中的情报、监视与侦察(ISR) https://www.sohu.com/a/752665861_358040
[2]. 马传旺, 张宇, 方滨兴, 张宏莉. 匿名网络综述[J]. 软件学报, 2023, 34(1): 404-420.
[3]. Scanless https://github.com/vesche/scanless
[4]. Porxy pool https://github.com/jhao104/proxy_pool
[5]. 匿名通信与暗网研究深度技术https://kknews.cc/tech/j9aqxzl.html
[6]. 基于Serverless的反溯源技术应用研究https://m.fx361.com/news/2023/1230/22895548.html
[7]. 透视“烟雾”:管窥美军网络反溯源项目 https://www.secrss.com/articles/49756
内容编辑:创新研究院 桑鸿庆
责任编辑:创新研究院 陈佛忠
本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。
关于我们
绿盟科技研究通讯由绿盟科技创新研究院负责运营,绿盟科技创新研究院是绿盟科技的前沿技术研究部门,包括星云实验室、天枢实验室和孵化中心。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。
绿盟科技创新研究院作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一,与清华大学进行博士后联合培养,科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。
我们持续探索信息安全领域的前沿学术方向,从实践出发,结合公司资源和先进技术,实现概念级的原型系统,进而交付产品线孵化产品并创造巨大的经济价值。
长按上方二维码,即可关注我
原文始发于微信公众号(绿盟科技研究通讯):网络侦察的反溯源技术研究