华舆讯 据中非新闻社报道(2021-01-28) 超过400万个IP地址被非法使用,这被称为非洲最大的互联网盗窃案。这起盗窃案早在2016年就引起了人们的警觉,现在已经完全暴露了其规模,揭露了腐败、掩盖事实真相和蓬勃发展的黑市交易。IP盗用大多是攻击者在发动攻击时,出于隐藏自己身份的目的,今天就由小编带着大家一起了解下网络隐身的相关知识,各位看官,且听小编娓娓道来。
网络隐身是什么?
攻击者在发动攻击时,势必伴随着各种网络行为,包括发起请求、接受响应等,通过网络抓包等技术手段,可以很容易发现攻击者的IP,从而定位攻击终端以及攻击者的身份,但是随着技术的发展,攻击者们可不会让自己轻易暴露在太阳光下,他们会采用相应的防护措施,保障自己在发动攻击后可以隐藏身份,藏匿行踪,从而逃脱被定为和惩罚的可能。所以,网络隐身简单来说,就是攻击者利用技术手段,隐藏自己的真实客户端IP地址,使得被攻击目标无法通过反向追踪溯源等手段,发现自己,有时髦点的话将,就是网络隐身使得攻击者具备反侦察能力。
网络隐身手段有哪些?
网络攻击钥匙
网络隐身对于现在的攻击者来说做起来非常简单,很多攻击工具自身就可以实现网络隐身,常用的隐身方法包括:IP假冒、mac地址盗用、代理隐藏、冒用真实用户和僵尸主机。
- IP假冒:IP假冒也叫IP盗用,攻击者能够进行IP假冒,是由于TCP/IP协议在设计之初,并没有考虑安全性问题,因此协议自身不会对源IP地址的真实性进行检查。因此,攻击者在发起攻击时通过篡改源IP地址,实现IP的假冒,进而可以成功绕过访问控制系统的黑名单机制,将攻击请求传输到目标系统。
IP假冒
- MAC地址盗用:MAC地址盗用与IP假冒有着异曲同工之妙,网络中的网络接入系统时常会对接入终端的MAC地址做限制,以实现安全准入,攻击者如果发现存在类似的限制,则可以通过修改自身终端的MAC地址信息,轻易的绕过此限制,进而冒充合法的主机接入到目标网络,实施进一步攻击。
MAC地址表
- 代理隐藏:相信大多数人都或多或少听过“爬虫”这个词,亦或是对爬虫有着深刻的理解、认知甚至使用,爬虫在爬取信息时,往往会因为网站自身的安全保护机制被在一段时间内限制访问。攻击者在发动攻击之前的信息收集阶段,也会进行类似的工作进行大量多维度信息的收集,一方面为了在收集时不被限制访问,另一方面为了因此自己的身份,攻击者常常会使用免费的代理进行,这样及时请求地址被发现也只是代理IP,不会暴露自己的真实IP地址,如果攻击者采用的代理地址为多个且分散度很高,那么更加难以追踪定位。
爬虫代理
- 冒用真实用户:这种攻击的思路简单直接,就是通过监听、社会工程学等手段,破解合法的用户口令和密码,并利用相关信息,以合法的用户身份进入网络,实施后续攻击行为。
盗取用户名和密码
- 僵尸主机:攻击者通过病毒、蠕虫、木马的相互配合,俘获互联网上存在漏洞的主机,进而达到对其控制的目的,这样的主机通常成为僵尸主机。攻击者通过僵尸主机进行攻击,并在僵尸主机上消除任何与自己有关的痕迹,这样即便被攻击者发现僵尸主机,也只能看到僵尸主机的IP地址,无法发现真实的攻击者地址。
僵尸主机
如何应对网络隐身?
根据网络隐身手段的不同,应对的方法也有差异:
网络隐身防御
- 应对IP假冒:包括交换机控制技术(交换机端口绑定和合理的VLAN划分)、路由器隔离技术(静态ARP表技术和路由器动态隔离技术)、透明网关过滤技术等。
- 应对MAC地址盗用:较常用的是通过上网行为管理类软件,当发现MAC地址克隆情况及时告警。
- 应对代理隐藏:此类攻击应对的较好方法是在访问控制策略中增加黑名单、白名单机制,对于陌生IP访问频繁的进行限流限速甚至加黑,针对高可信的合法IP则加白。
- 应对冒用真实用户:加强用户账号及密码管理,禁止使用弱密码,并定期强制对用户账号及密码进行重置;利用零信任、堡垒机等安全产品和技术,加强对用户合法终端的访问限制。
- 应对僵尸主机:此类攻击应对的较好方法是在访问控制策略中增加黑名单、白名单机制,对于陌生IP访问频繁的进行限流限速甚至加黑,针对高可信的合法IP则加白;通过与威胁情报相结合,及时发现和阻断僵尸主机的访问。