局域网中的攻击溯源是什么?
由于目前NAT技术的大量使用,若攻击者主机位于NAT后面,使用私网IP地址,对于攻击源的追踪只能到攻击者的NAT网关,而无法穿透NAT网关。因此, 假设已知攻击者来自于某个 NAT网关保护的私有网络, 如何定位攻击者主机在私网中的位置?
这一问题在有线网络比较容易解决,因为NAT网关只进行IP地址和端口的转换,对数据包的内容和大部分头部信息并不进行修改,即使数据包的内容经过了加密。因此只要对公网的数据流和私网的数据流进行监控,根据IP头部中的信息,如序列号,就可以把公网数据流和私网数据流关联起来,从而知道攻击者的私网IP地址和MAC地址。
《Source attribution for network address translated forensic captures》研究了经NAT地址转换的数据包来源识别问题,指出NAT服务器一般不会更改原IP数据包头中的序列号。对于Windows系统, 数据流中的包头的序列号通过每次加1的方式进行增长,这可以用于判断来自同一台主机的数据包。而对于Linux系统,由于采用序列号随机化的方式,前述特征无法用于Linux主机,但可以通过Http协议报头中的时戳、cookie等来判断。
《A layer-2 extension to hash-based IP traceback, IEICE Transactions Information and Systems》基于其它研究员的数据包记录的方法,提出了一种2层网络的攻击源追踪方法,即在已知离攻击者主机最近的路由器的情况下,在内网中确定攻击者的主机。
该方法通过在路由器上记录数据包的MAC地址、来自交换机的哪个端口、来自路由器的哪个端口,通过建立这些信息的摘要表,从而能快速识别出攻击者主机所在的子网。
而《IP traceback in a switched ethernet network》中的研究员认为上一个的方法在实际2层交换网络中部署困难。基于《Single packet IP traceback in AS-level partial deployment scenario 》中的方法结合交换机中的审计记录,提出一种新的攻击溯源方法, 实现即使只有一个攻击数据包,也可以进行追踪。
在无线局域网中,这一问题就比较困难了,因为无线路由器不仅要进行IP地址的转换, 而且会对IP数据包,包括IP头部进行加密,如WPA算法,这样就无法通过内、外网数据流的观察来进行关联。
《Identifying mobiles hiding behind wireless routers》对这一问题进行了研究,利用数据包的大小在数据流中填加水印,从而对内、外网数据流进行关联。
具体来说,该方法是针对数据流从外网流入内网的攻击者主机的情况,在外网中能够控制相关的数据流, 选择一个作为水印的特征码,然后随机选择数据流中的多个数据包,用大小为700字节的数据包代表码元 0,1000字节的数据包代表码元1若选择的数据包超过所代表码元的数据包大小,则把该数据包按码元大小进行分组。
若小于,则重新选择下一个数据包。之所以选择这两个数据包字节大小,是因为经过对802.11数据帧进行统计,具有500—1000字节大小的数据帧很少, 可以避免误报。
这样在内网中检测数据流中所嵌入的特征码, 则可以将内、外网数据关联起来。
但这一方法不能用于从内网流出到外网的情况,例如在内网中的攻击者向外发动攻击的时候在外网发现攻击数据流,需要定位内网的主机位置,目前还未发现有相关文献对这个问题进行研究。
《Identifying mobiles hiding behind wireless routers, 》中能够获得内网中攻击者主机的IP地址和MAC地址,但在大型公共场合的无线网络中,如机场、车站、宾馆, 如何定位攻击者主机的物理位置仍然是一个问题。
《3DLoc: three dimensional wireless localization toolkit》对此问题进行了研究, 假设已知攻击者主机的MAC地址, 设计了一套系统来定位目标的物理位置。该系统利用定向天线捕获无线数据帧, 识别出源MAC地址为目标MAC地址的数据帧,利用数据信号强度定位信号的来源方向,通过多个地点的测量,即可以定位出目标的物理位置。
该系统能够对三维空间进行定位,即使攻击者主机位于高楼中,测量地点在楼外,也可以定位出攻击者主机所在的楼层房间。
元旦度假力荐咱就是说避开人潮的敦煌,超美的如果说生命是一场旅行,那么我想去敦煌走走。去那一望无际的戈壁,感受千年艺术瑰宝莫高文化,感受西出阳关无故人的悲壮与苍凉感受大自然的鬼斧神工敦,大也。煌,盛也。敦煌有悠久的历史,灿烂
中国四大古城(二)丽江古城原文2020年2月首发于微信公众号老飞摄影中国四大古城是指四川阆中古城云南丽江古城山西平遥古城和安徽徽州古城。有800多年历史的丽江古城,坐落在丽江坝子中部,面积约3。8平方公里,
深度体验飞凡R7入门即高配!中大型轿跑SUV,还支持换电模式现在的造车新势力还是非常多的,推出的新能源汽车也是五花八门,说起飞凡汽车,这次我们受邀将会在三个维度对其进行深度的试驾,分别是在从生命探索地形勘测以及城市道路试驾等环节,深度体验飞
腾讯为什么加大反腐力度近日,马化腾内部讲话,透露出杀气腾腾,表示内部腐败越来越厉害,要从拍蝇转向打虎,腾讯业务要提质增效,降低成本。腾讯作为一家大型互联网企业,业务繁多,项目庞杂,灰色地带宽广,避免不了
好丽友突然公告天猫旗舰店停运,下架所有产品炣燃科技12月26日讯(米娜)韩国零食品牌好丽友在其天猫旗舰店页面上发布了暂停运营的通告,其中显示,好丽友天猫旗舰店已在23日下架了所有商品,并表示之前的订单将继续发货,但是时效无
mRNA转染好帮手助您跨过转染这道坎mRNA分子首先发现于1961年,而1976年科学家首次在植物病毒中鉴定出了一类单链共价闭合的环状RNA分子。随着研究的深入,人们对mRNA的认识也在不断更新。那么对于mRNA的发
哈弗H6新能源起售15。98万,百公里加速7。8秒,提供远程启动功能长城哈弗H6一直是国民SUV的代表,但随着时代发展,新能源车型越来越被关注,而长城哈弗H6新能源就应运而生。定位上是一款插电式混动车型,厂商指导售价在15。9817。38万之间,一
Qt之键盘事件监听实时响应大小写Capslock按键一效果展示按照惯例先上图,看看是不是同学们想想中的效果。二实现思路以下分几个小结来分析博主当时实现大小写监听的一个思路,虽然前两种方式不能达到最后的需求,但是大家也可以看看,或许他
智慧化工园区管理系统化工重大危险源监测预警原文出自智慧化工园区管理系统化工重大危险源监测预警鲲云科技对于化工园区管理者来说,频繁发生危化品重大风险事故,是严峻的挑战。传统化工园区长期依赖人力,数据不互通风险难掌控安全监管效
芯片半导体科创50在2023年的投资机会从本周开始我们会陆续分析多个行业在2023年的投资机会,其中包括新能源车,光伏,消费,医疗,金融,沪深300,创业板等等,欢迎保持关注。今天先分享的是半导体和科创50,把这俩个放在
Java企业级开发全系列2基础概念一Java跨平台实现原理上一节提到Java有一个特别重要的特性就是跨平台,也叫做可移植性或与平台无关性,这个特点也是很多开发人员选择使用Java的原因之一。所谓跨平台,指的是Jav