跳板攻击原理及如何追踪定位攻击者主机(下)

专注IP定位
• 阅读 504

跳板攻击溯源中,我们需要先确定本地网络中是否存在攻击者的跳板。具体可参考(跳板攻击原理及如何追踪定位攻击者主机(上)

那么在本地网络中发现跳板后,又要如何追踪定位攻击者主机?

这种情况下需要和其上游的网络管理域进行协作,按照相同的方法进行检测,直至发现真正的网络攻击源,检测方法如下: 跳板攻击原理及如何追踪定位攻击者主机(下)

由于这一过程需要人工参与,在《Cooperative intrusion traceback and response architecture (CITRA)》一文中给出了一个自动协作的框架机制。该方法综合各个网络域中的网络设备,如防火墙、路由器等,通过多个网络域的协作来追踪攻击源。 《Inter-packet delay-based correlation for tracing encrypted connections through stepping stone》一文指出,可以对攻击路径上的各个跳板采用计算机取证的方法,通过各个跳板的日志记录来进行追踪。但这种方法受限较大,因为攻击者可能已经完全控制了跳板主机,那么这些跳板主机上的日志记录也可能已被攻击者所修改。 上述方法需要各个网络域的协作,但如果上游攻击路径上有一个或多个网络管理域无法进行合作,则很难定位真正的攻击者。 根据检测人员所掌握的资源,可以分为两种情况:

1.检测人员可以在网络上部署传感器

根据攻击者的数据包是否加密, 可以分为两种情况 (1) 数据包未加密 文献《Sleepy watermark tracing: an active network-based intrusion response framework》给出了一个主动的方法,即在回传给攻击者的数据包中注入水印特征,在攻击路径上部署传感器,从而追踪到攻击者。

(2) 数据包加密 文献《Robust correlation of encrypted attack traffic through stepping stones by flow watermarking》对这种情况进行了研究,所提方法实际上是《 Robust correlation of encrypted attack traffic through stepping stones by manipulation of interpacket delays》这种情况下的自然延伸。通过改变回送给攻击者的数据包的时序特征,也就是以数据包之间的间隔时间为载体来填加水印信息,从而追踪数据包的流向。

还有研究员采用对数据包的来回时间进行测量。该方法基于这样一个假设,正常的数据包发送和回复时间相差应该在一个有限的时间内, 而回传数据包经过跳板进行中继,这个时间必然远高于正常的时间差。这个时间越长,说明检测点离攻击者主机的距离越远。

2. 检测人员无法在网络上部署传感器

在这种情况下,攻击源定位问题仍然是一个开放的问题。目前暂未发现有研究员在这一约束条件下进行研究。 但部分研究员也有一个朴素的想法,类似于针对僵尸网络溯源的方法。

如果检测人员在攻击者未察觉的情况下能控制跳板主机在跳板主机回传给攻击者的消息中插入可执行代码,当攻击者接收到消息后, 可执行代码在攻击者主机上运行,把攻击者主机的信息发送给检测人员。不过这一思路需要根据攻击者所使用的软件工具,挖掘其漏洞,难度较大,且不具有通用性。 综上所述,对于在本地网络中发现跳板后,如何追踪定位攻击者主机?主要是以下几种解决方案:

跳板攻击原理及如何追踪定位攻击者主机(下)

跳板攻击的隐匿性性,给互联网安全带来了很大的隐患。未来,网络安全的难度和整个网络架构的设计都将面临更大的挑战。

点赞
收藏
评论区
推荐文章
专注IP定位 专注IP定位
1年前
关于局域网中的攻击溯源问题
由于目前NAT技术的大量使用,若攻击者主机位于NAT后面,使用私网IP地址,对于攻击源的追踪只能到攻击者的NAT网关,而无法穿透NAT网关。因此,假设已知攻击者来自于某个NAT网关保护的私有网络,如何定位攻击者主机在私网中的位置?这一问题在有线网络比较容易
专注IP定位 专注IP定位
1年前
跳板攻击中如何追踪定位攻击者主机(上)
那么究竟什么是跳板攻击,跳板攻击究竟是如何做到信息进行匿名化的?
前端代码安全与混淆
本文从攻击者角度和防御者角度详细解析前端代码安全与混淆的相关知识,总结了大部分攻击者共同点以及如何应对普通开发者外挂程序和Pyhton爬虫
Stella981 Stella981
3年前
Linux 入侵痕迹清理技巧
!(https://oscimg.oschina.net/oscnet/561e3302e59145cc97e26f2a9f5fe805.gif"15254461546.gif")横向移动在内网渗透中,当攻击者获取到内网某台机器的控制权后,会以被攻陷的主机为跳板,通过收集域内凭证等各种方法,访问
Wesley13 Wesley13
3年前
IP被攻击了怎么办
1、断开所有网络连接。服务器之所以被攻击是因为连接在网络上,因此在确认系统遭受攻击后,第一步一定要断开网络连接,即断开攻击。2、根据日志查找攻击者。根据系统日志进行分析,查看所有可疑的信息进行排查,寻找出攻击者。3、根据日志分析系统。根据系统日志进行分析,查看攻击者是通过什么方式入侵到服务器的,通过
Stella981 Stella981
3年前
Linux应急响应(一):SSH暴力破解
0x00前言SSH是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议,主要用于给远程登录会话数据进行加密,保证数据传输的安全。SSH口令长度太短或者复杂度不够,如仅包含数字,或仅包含字母等,容易被攻击者破解,一旦被攻击者获取,可用来直接登录系统,控制服务器所有权限。0x01应急场景某天,网站
Stella981 Stella981
3年前
IceFire Security Visibility :看得见的安全防护
在计算机病毒大行其道的今天,勒索病毒很容易伪装成合法和普通的邮件发送到公司员工的邮箱中,一旦员工将该邮件打开,勒索病毒便可轻易的突破企业的第一道安全防线,如防火墙、IPS、防病毒网关等。一旦企业IT管理员电脑被植入了木马文件,攻击者便可利用木马文件的后门进入IT管理员的电脑,全网扫描企业的重要资产,并以该电脑为跳板,轻松访问企业的核心业务和数据。 !
芝士年糕 芝士年糕
2年前
什么是堡垒机
一:运维审计型堡垒机基本概念介绍跳板机→堡垒机,被称为跳板机的原因就是,运维人员通过它和更多的设备联系→堡垒机还会审核运维的权限再返回请求,但是这样还是存在误操作等问题,有安全隐患,跳板机被攻入,会导致整个网络资源完全暴露。同时跳板机对一些资源f
芝士年糕 芝士年糕
2年前
堡垒机的详细介绍
一:运维审计型堡垒机基本概念介绍跳板机→堡垒机,被称为跳板机的原因就是,运维人员通过它和更多的设备联系→堡垒机还会审核运维的权限再返回请求,但是这样还是存在误操作等问题,有安全隐患,跳板机被攻入,会导致整个网络资源完全暴露。同时跳板机对一些资源ftp等不好操控。堡垒机可以理解为是运维审计系统的统称:即在一个特定的网络环境下,为了保障网络和数据不受来自外部和
专注IP定位 专注IP定位
2年前
网络攻击中常见掩盖真实IP的攻击方式及虚假IP地址追踪溯源方法
前言:在网络取证领域,网络攻击溯源一直是一个重要的追踪方式。近年来,网络安全事件层出不穷,各种网络攻击给国家、社会和个人带来了严重的危害,如分布式拒绝服务攻击(DDoS)、基于僵尸网络(Botnet)的高级可持续攻击(APT)、利用远程控制木马的信息窃取等。在这些攻击方法中,攻击者会向目标主机,也就是受害主机,发送特定的攻击数据包。从受害主机的角度来看,能够