probe response attacks 探測反饋攻擊

1、“Mapping Internet Sensors With Probe Response Attacks”閱讀報告 論文作者John Bethencourt等，來自麥迪遜威斯康辛州大學計算機系。這篇論文被評為2005年第14屆USENIX安全會議的Best Paper。Internet存在一些監(jiān)測網(wǎng)絡(luò)攻擊的主機，它們將非法連接提交到中央服務(wù)器，服務(wù)器可以統(tǒng)計出一段時間內(nèi)被攻擊最多的端口（port）、目標主機、源主機等信息，監(jiān)測機構(gòu)會發(fā)布這樣的報告供有需要的人用作安全分析。這篇文章提出了probe response attacks，探測反饋攻擊，利用特殊設(shè)計的掃描探測引發(fā)特定的報告，從而探測出

2、精確的sensor節(jié)點。以port reports為例，探測的核心思想是：某特定port被攻擊，sensor會提交攻擊報告而其他系統(tǒng)沒反應(yīng)。攻擊不同IP特定端口，根據(jù)公開的報告判斷是否為sensor。假設(shè)沒有噪音，即沒有其他原因干擾檢測，基本算法是：1. 將需要探測的有效地址空間和設(shè)定用來探測的端口空間劃分為n份，和，i=1,2，n。向中地址的包含在中端口發(fā)送探測包；一定時間（假定兩小時）后查看報告，去掉沒有sensor的空間（中端口沒有被報告的），把有sensor的空間和空間中sensor的數(shù)量一起傳到下一步。2. 端口空間劃分為n份，i=1,2，n。；余下的k個地址空間域，j=1,2，k，

3、每個劃分為n/k+1個子空間，m=1,2，n/k+1。中每個端口對應(yīng)一個子空間，發(fā)送探測包，剩下的一個子空間不探測。一定時間后查看報告，可以得到n/k個子空間的sensor數(shù)量，同時剩下的一個子空間sensor數(shù)量可由前面得到的中sensor數(shù)量計算出來。去掉沒有sensor的子空間，把剩下的空間和空間中的sensor數(shù)量一起傳到下一步。循環(huán)執(zhí)行2直到所有空間要么全是sensor要么沒有任何sensor。 在實際環(huán)境中會存在第三方的攻擊生成的記錄，稱為背景噪聲。實際條件下可能存在某個port被攻擊而此攻擊不是由我們的探測發(fā)起的，需要去除這樣的噪音。作者連續(xù)10天統(tǒng)計了不同大小端口空間中的報告數(shù)

4、（背景噪聲），發(fā)現(xiàn)相對于端口數(shù)量，報告數(shù)量很少。簡單去除噪聲的方法是，若某端口空間對應(yīng)的背景報告數(shù)小于k，則每次對同一個端口的探測包發(fā)送k次，之后對報告數(shù)量用除法即可求得真實的sensor數(shù)量。某些條件下算法可以改進以提高效率，提出的方法有：1. 若不需要精確的sensor分布，可以用比例參數(shù)加快探測。如探測sensor分布地址的一個父集或子集，可以設(shè)定當某個子空間中sensor所占比例大于或小于某個值時不再繼續(xù)探測。2. 多源地址技術(shù)：利用port reports表中對source的統(tǒng)計，每一個空間用偽造的不同數(shù)量IP探測，由source數(shù)量即可知存在sensor和沒有sensor的空間。如

5、第一個空間用一個IP，第二個用兩個，第i個用個；若對3個空間探測source為5，即可知第一和第三個空間有sensor，第二個沒有。 多源地址技術(shù)相應(yīng)地有特殊的處理措施。多源地址技術(shù)去噪音：第i個空間用m個IP，背景噪聲小于m，先用除法求得真實source數(shù)量再計算sensor數(shù)量。 多源地址技術(shù)防止出口過濾：首先應(yīng)該避免偽造的多個IP在同一子網(wǎng)內(nèi)?？煽康淖龇ㄊ窍劝褌卧彀l(fā)到外部網(wǎng)絡(luò)一臺可用的主機，確保離開子網(wǎng)時不會被過濾。 多源地址技術(shù)適用范圍是需要劃分的空間數(shù)量少，探測者擁有高帶寬的情況。作者以監(jiān)測系統(tǒng)SANS Internet Storm Center為目標進行攻擊模擬。使用不同帶寬探測

6、者（不同數(shù)量的分布式主機）發(fā)現(xiàn)ISC sensor，統(tǒng)計探測包數(shù)、時間和進度的關(guān)系。有效的地址空間大小21億。 代號T1、T3、OC6探測者帶寬分別為1.544Mbps、38.4Mbps、384Mbps 上圖為精確探測時時間和發(fā)包數(shù)的曲線，時間軸右端表示探測完成。 上圖為精確探測時時間和進度的曲線。通過實測數(shù)據(jù)，可以看到帶寬減少探測所需時間單增，但隨著帶寬增大影響程度越來越小。分析原因探測第一階段和第二階段頭幾次循環(huán)目標IP地址數(shù)量巨大，需要較大帶寬才能增大每次探測數(shù)量減少探測時間；而探測過一段時間后隨著一定數(shù)量的地址空間探測完畢（沒有sensor或探測出全部sensor），目標IP減少，探測

7、速度對帶寬的依賴自然減小。帶寬較低的探測者選用較少探測端口，噪音相對??；帶寬高的探測者使用多源IP探測技術(shù)，這兩個原因是探測包數(shù)量不同的原因。 上圖為不精確探測的完成情況與精確探測完成情況的比較。superset探測取概率0.94，即若發(fā)現(xiàn)一個地址空間中94%以上的IP都對應(yīng)sensor，此時終止探測，假定此空間中主機都是sensor，有誤報。Subset探測取概率0.001，即若發(fā)現(xiàn)一個地址空間中sensor數(shù)量少于0.1%，此時終止探測，假定此空間沒有sensor，有漏報。認為在帶寬較低時減短探測時間效果比較明顯。 作者還對普遍分布的sensor進行探測模擬：模擬采用和ISC探測時相同的地

8、址空間和sensor數(shù)量，sensor聚集分布情況依照帕累托分布，sensor聚集之間的空隙服從指數(shù)分布，依照ISC情況設(shè)置參數(shù)，探測完成時間接近實測。對不同“平均sensor聚集大小”情況進行測試，還有sensor隨機分配情況的測試，得出平均聚集的IP數(shù)越大，探測所需時間越短的結(jié)論。 對攻擊模擬的結(jié)果總結(jié)：攻擊者特別是擁有較大帶寬的攻擊者可以在較短時間內(nèi)（作者對ISC測試實例花費2+天到33+天）探測出sensor的精確分布。攻擊者探測出sensor分布后，由分布列表發(fā)起攻擊時可以回避sensor，蠕蟲傳播也可以避開sensor，由此使整個分布式監(jiān)控系統(tǒng)失去應(yīng)有效果。更嚴重的情況是這份列表被

9、傳播開來會產(chǎn)生長期影響，因為監(jiān)控網(wǎng)絡(luò)IP空間的改變要花費很長時間。 作者最后討論了反探測措施。當前以混淆“隱藏通道”（報告附加的源地址、時間等表項）為主，但這些方法只能帶來少許麻煩，不能限制探測。文中提出的方法有：1.信息限制：只把報告提供給可信方。用排行榜代替完整的報告。通過付費或虛擬付費，或者需要人工交互的方式限制報告的獲取。抽樣，每次只發(fā)布報告的一部分（不會影響安全分析）。2.其他技術(shù)：掃描預(yù)防，IPv6巨大的地址空間可以解決sensor探測問題，當然sensor本身也不能正常工作了。延遲報告，攻擊者只能要么增加探測周期要么增加探測成本。Sensor采用抽樣方式提交服務(wù)器。Cyber CDC（Cyber Center for Disease Control）項目的Staniford等人曾研究過監(jiān)測系統(tǒng)的性能和保密性，但以性能研究為主。論文針對分布式探測系統(tǒng)自身的保密性進行討論。保密性是探測系統(tǒng)正常工作的前提，文中提出了探測sensor節(jié)點的可行措施，從反面提出了警告，十分有力。最能體現(xiàn)作者創(chuàng)意的部分就是探測反饋攻擊的思想和算法設(shè)計，利用巧妙設(shè)計和分