真正黑客帝国已经来临了,中国教父级网络安全专家郭盛华透露:IPv6即将普及,随即IPv6相关安全性会相继爆发,并容易受到黑客入侵。由于masscan和zmap等便捷的IPv6扫描工具,网络扫描越来越受欢迎。这个堪称是黑客界教父级的扫描工具,现在用普通PC扫描整个IPv4地址空间不到一个小时。
在检测IPv6的时候,我们先说说这种大规模IPv4网络扫描是网络/安全操作的重要问题,因为对这种恶意活动的了解可能有助于预测大规模攻击。
检测IPv4网络范围扫描的一种众所周知的技术是监视暗网(也称为网络望远镜),这是一个没有合法主机的路由广告网络。这意味着很容易看到奇怪的行为,例如随机网络扫描,DoS的反射和配置未命中 - / 16暗网(65,536 IP)在6.6秒内从每秒10,000个数据包(pps)的随机扫描中检测到一个数据包。
遗憾的是,由于存在巨大的地址空间,因此无法使用IPv6暗网检测随机IPv6网络范围的扫描,在整个生命周期内,a / 48 IPv6暗网无法检测到1M pps的随机扫描程序。随着IPv6在Internet上越来越明显,重要的是能够找到一种同样实用的方法来检测这些扫描,就像我们为IPv4正确缓解恶意活动一样。
引入DNS反向散射
最近开发用于协助解决此问题的IPv6扫描程序使用目标列表和生成算法而不是随机地址。我们的研究小组一直致力于使用称为DNS反向散射的不同方法来检测此类扫描。
DNS反向散射的关键思想是,大型网络事件会自动触发目标附近的反向DNS查询(下图),在此过程中检查扫描程序的IP地址(发起者)的主机名。单个反向查询几乎没有关于扫描器的信息,但是如果由缓存解析器(查询器)生成的许多反向DNS查询(DNS反向散射)出现在权威DNS服务器上,我们可以集中地识别这种网络范围的事件。
在检测网络范围的活动时,DNS反向散射有几个好处。它是:
1、易于部署,因为它在DNS权威服务器上是可观察的。
2、由缓存解析器(而非目标)自动触发,因此它是隐私友好的。
3、对恶意来源具有强大的功能,即那些难以逃避的恶意来源。
它是如何表现的?
在实际网络中部署DNS反向散射时需要考虑的一个实际问题是如何识别众所周知的大规模良性活动中的恶意活动。
在IPv4 DNS反向散射中,我们收集大量良性和恶意IP作为标记数据,并应用有监督的机器学习技术来对潜在的恶意IP进行分类。但是,由于缺乏缓存解析器触发IPv6中的反向散射查询,我们目前定义了基于启发式的规则,将这些规则分为四类事件:内容提供商,众所周知的服务,路由器和潜在的滥用内容,其中包括扫描和垃圾邮件。
为了证明这种方法的有效性,知名网络安全专家郭盛华分析了在B根DNS服务器上测量的六个月的反向DNS查询。理论上,根DNS服务器能够通过DNS缓存机制捕获所有网络范围的事件,包括可观察的DNS反向散射的数量。
我们的数据集包括29M IPv6事件发起者,435K独特缓存解析器和31M独特事件发起者,缓存解析器对。在将基于启发式的规则应用于数据集之后,我们平均每周检测到6千多个事件发起者。
正如预期的那样,大多数发起人都是良性的:74.5%的发起人与内容提供商有关,其中16.1%是知名服务,7.5%是路由器接口(由traceroute触发)。但是,我们还确认其中0.24%(16个IP)是黑名单数据库中列出的网络扫描或在骨干流量数据集中验证的,其中1.7%(112个IP)是潜在的恶意活动。
有趣的是,我们的DNS反向散射技术在没有任何先验知识的情况下通过学术研究项目检测到大规模网络扫描,以及未识别的扫描。因此,我们能够在野外观察网络范围内的IPv6扫描。根据我们的分析,我们认为DNS反向散射有可能成为网络运营商和网络安全专业人员在IPv6中检测网络范围扫描的有用工具。(欢迎分享)