跳板攻击原理及如何追踪定位攻击者主机(下)

news2024/11/15 19:28:33

跳板攻击溯源中,我们需要先确定本地网络中是否存在攻击者的跳板。具体可参考(跳板攻击原理及如何追踪定位攻击者主机(上))

那么在本地网络中发现跳板后,又要如何追踪定位攻击者主机?

这种情况下需要和其上游的网络管理域进行协作,按照相同的方法进行检测,直至发现真正的网络攻击源,检测方法如下:

 由于这一过程需要人工参与,在《Cooperative intrusion traceback and response architecture (CITRA)》一文中给出了一个自动协作的框架机制。该方法综合各个网络域中的网络设备,如防火墙、路由器等,通过多个网络域的协作来追踪攻击源。

《Inter-packet delay-based correlation for tracing encrypted connections through stepping stone》一文指出,可以对攻击路径上的各个跳板采用计算机取证的方法,通过各个跳板的日志记录来进行追踪。但这种方法受限较大,因为攻击者可能已经完全控制了跳板主机,那么这些跳板主机上的日志记录也可能已被攻击者所修改。

上述方法需要各个网络域的协作,但如果上游攻击路径上有一个或多个网络管理域无法进行合作则很难定位真正的攻击者

根据检测人员所掌握的资源,可以分为两种情况:

1. 检测人员可以在网络上部署传感器

根据攻击者的数据包是否加密, 可以分为两种情况

(1) 数据包未加密

文献《Sleepy watermark tracing: an active network-based intrusion response framework》给出了一个主动的方法,即在回传给攻击者的数据包中注入水印特征,在攻击路径上部署传感器,从而追踪到攻击者。

(2) 数据包加密

文献《Robust correlation of encrypted attack traffic through stepping stones by flow watermarking》对这种情况进行了研究,所提方法实际上是《 Robust correlation of encrypted attack traffic through stepping stones by manipulation of interpacket delays》这种情况下的自然延伸。通过改变回送给攻击者的数据包的时序特征,也就是以数据包之间的间隔时间为载体来填加水印信息,从而追踪数据包的流向。

还有研究员采用对数据包的来回时间进行测量。该方法基于这样一个假设,正常的数据包发送和回复时间相差应该在一个有限的时间内, 而回传数据包经过跳板进行中继,这个时间必然远高于正常的时间差。这个时间越长说明检测点离攻击者主机的距离越远。

2. 检测人员无法在网络上部署传感器

在这种情况下,攻击源定位问题仍然是一个开放的问题。目前暂未发现有研究员在这一约束条件下进行研究。

但部分研究员也有一个朴素的想法类似于针对僵尸网络溯源的方法

如果检测人员在攻击者未察觉的情况下能控制跳板主机在跳板主机回传给攻击者的消息中插入可执行代码当攻击者接收到消息后 可执行代码在攻击者主机上运行把攻击者主机的信息发送给检测人员。不过这一思路需要根据攻击者所使用的软件工具挖掘其漏洞难度较大且不具有通用性。

综上所述,对于在本地网络中发现跳板后,如何追踪定位攻击者主机?主要是以下几种解决方案:

 跳板攻击的隐匿性性,给互联网安全带来了很大的隐患。未来,网络安全的难度和整个网络架构的设计都将面临更大的挑战。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/129481.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【苹果相册推】增加家庭对方下载 zookeeper-3.4.12.tar.gz #编削配置装备摆设 vim conf/zoo.cfg

推荐内容IMESSGAE相关 作者推荐内容iMessage苹果推软件 *** 点击即可查看作者要求内容信息作者推荐内容1.家庭推内容 *** 点击即可查看作者要求内容信息作者推荐内容2.相册推 *** 点击即可查看作者要求内容信息作者推荐内容3.日历推 *** 点击即可查看作者要求内容信息作者推荐…

串口助手(简洁版)上位机软件零基础教程( C# + visual studio2019)

最近在开发一个项目,需要串口通信,所以学习怎么自己做一个串口通信助手 1.工程的建立 打开vs软件 -》 左上角 “文件”选项 -》 新建 -》 项目 ,弹出对话框如下: 点击visual c# 选项卡 -》 1. 选择 Windows 桌面 -》 2.选择Windo…

互联网全面回暖?2023年主线任务:搞钱

2022年尾声将近,不知道大家最近有没有感受到一股「春风」,防疫政策不断放开,上下班地铁渐渐恢复了往日的繁忙和拥挤,经济正在加速复苏...... 作为职场人,大家最关心的问题就是,2023年就业形势是否会回暖&a…

CAN工具 - ValueCAN - 基础介绍

CAN/CANFD通讯广泛存在于整个车载网络中,几乎每一块软硬件的开发都需要用到CAN工具,除了我们所熟知的CANoe之外,今天我们来介绍一下另外一个CAN工具ValueCAN,这个工具个人认为应该在PCAN之上CANoe之下(好用程度&#x…

Two Coupled Rejection Metrics Can Tell Adversarial Examples Apart

实现鲁棒性的一种补充方式是引入拒绝选项,允许模型不返回对不确定输入的预测,其中confidence是常用的确定性代理。 与此例程一起,我们发现置信度和校正置信度(R-Con)可以形成两个耦合的拒绝度量,这可以证明…

SQL Server2008数据库升级至SQL Server2012

文章目录引言升级步骤安装SQL Server 2008 R2 sp2清除处于非活动状态的SQL Server实例一些体会引言 今天接到了一个需求,服务器上的数据库需要从SQL Server2008升级到2012。根据之前的经验,感觉是一个非常有意思的过程(事实上也是。这个过程…

离散数学—数理逻辑

数理逻辑部分数理逻辑命题逻辑逻辑连接词命题符号化命题公式命题公式的等价矛盾式与重言式※重言关系蕴含式的证明※重言关系等价式的证明析取范式与合取范式主析取范式主合取范式对于两种范式,我的一些看法命题逻辑推理直接推理间接推理谓词逻辑谓词演算的等价式和…

解决Ubuntu/Fedora/Arch有些位置无法切换输入法输入中文

在使用Linux的时候,往往会遇到有些位置无法输入中文的情况,这是怎么造成的呢? 类似下图这种位置,我想搜一下文件,但是发现无法切换输入法,不能输入中文,现在我们来解决一下。 首先安装gedit&…

86.分隔链表

给你一个链表的头节点 head 和一个特定值 x ,请你对链表进行分隔,使得所有 小于 x 的节点都出现在 大于或等于 x 的节点之前。 你应当 保留 两个分区中每个节点的初始相对位置。 示例 1: 输入:head [1,4,3,2,5,2], x 3 输出&am…

数据结构(链表2)

链表图中的“^”符号表示所储存内容为空。 单循环链表 末结点的next不再指向空,而是指向头结点。 空单向循环链表,只有头结点。 优点:从表中任何一个结点出发,都可以顺next指针访问到所有结点。 不带头结点的单循环链表 为了循…

文件操作(五)—— 文件重定向(dup2)

1、什么是文件重定向? 简单来说,文件重定向可以理解为文件描述符重新选定自己的指向。 2号文件描述符和3号文件描述符原本的指向如下。2号文件描述符之所以指向了stderr,是因为数组下标为2的元素填充的是stderr结构体的地址 发生文件重定向…

Spring Cloud 配置中心多环境 bootstrap.yml

常见的配置类型: 服务配置:数据库配置、缓存配置、消息队列配置 开关配置:功能开发、业务开关、服务开关 业务配置:模块A、模块B bootstrap.yml 定义系统级别参数配置; 应用于: Spring Cloud Config 配置中心配置&…

SpringBoot2-5

先解决一个问题【报错1】java: 无效的目标发行版: 17 修改位置:maven的配置需要改为选取本地maven所在目录(这些都是java指定了1.8比较低但是又都用的版本导致) 再解决一个问题【报错2】 java: 无法访问org.springframework.boot.SpringApplication 错误的类文件…

【模型部署】人脸检测模型DBFace C++ ONNXRuntime推理部署(2)

系列文章目录 【模型部署】人脸检测模型DBFace C ONNXRuntime推理部署(0) 【模型部署】人脸检测模型DBFace C ONNXRuntime推理部署(1) 【模型部署】人脸检测模型DBFace C ONNXRuntime推理部署(2) 文章目录…

Git小本

一、Git 概述 Git 是 Linus Torvalds 为了帮助管理 Linux内核开发的一个开源的版本控制软件。 Linux之父(Linus Torvalds)的代表作:Linux、Git。 1. 为什么要用Git? Git是一个分布式版本控制工具,主要用于管理开发过程中的源代码文件&#xf…

CRC(Cyclic Redundancy Check) 循环冗余校核

最近准备开始更新一个算法系列,这个系列嘛就是别管有没有用先学为敬系列(或者现学现卖系列)。那么这个系列的第一篇就用我这两天看的CRC算法当作开篇吧。 1)什么是CRC呢? 如百度所诉,好像是一个十分有用的…

pandas学习笔记(1)

学习网址:kaggle 注:本文仅为个人总结,不作为任何学习资料 一、在pandas里有两种Core objects:DataFrame和Series DataFrame的使用方法: DataFrame有两个方向,纵向为index,横向为column 定义一个DataFrame的…

vue3 antd项目实战——Form表单提交和校验【v-model双向绑定input输入框、form表单数据】

vue3 ant design vue项目实战——Form表单【v-model双向绑定数据实现form表单数据的提交】上期文章回顾【UI界面渲染】场景复现(源代码附在文章最后)实现需求1.表单数据及其类型的定义2.表单及各部分数据的双向绑定3.表单提交功能4.校验输入内容不为空5.…

计算机组成原理实训报告(附电路图)

实训一:运算器组成实验 目的要求: 掌握FA全加器的工作原理掌握行波进位的补码加法/减法器的工作原理了解ALU运算器的工作原理 掌握FA全加器的工作原理: 实验步骤:创建一个叫做FA的电路,然后开始绘制。 放一个或门&a…

记一次内网渗透过程学习|天磊卫士

一、靶场说明 此靶场共有3台主机 Win7为双网卡,桥接为模拟外网ip(192.168.1.220),nat(192.168.52.142)模拟内网域环境,处于DMZ区域的web服务器 Win2013为内网域控成员(nat&#xff…