基于网络欺骗与浏览器指纹的WEB攻击溯源
一、背景概述
针对网站的Web攻击是互联网安全面临的主要威胁,为隐藏身份、逃避追踪,在对目标网站发起攻击时,黑客往往会采用多种手段隐藏自己的身份,如:使用(动态)代理、虚拟专用网络等。攻击者的这些手段很好的隐藏了自身信息,增加了安全人员追踪溯源的难度。
虽然针对Web攻击的防御技术、溯源技术也在不断发展之中,如:IDS、WAF、基于日志/流量溯源等,但这些技术往往处于被动防御的状态、或溯源信息不足,难以应对复杂多变的攻击手段。
- 问题一:攻击流量被隐藏在大量的合法流量中,不易被发现和识别。尽管IDS、WAF功能强大,但依然存在漏报或误报的可能,而且也存在因其自身漏洞或规则不完善而被绕过的可能。
- 问题二:即使识别攻击后,可基于IP黑名单机制阻断攻击源,但如果攻击者切换了出口IP,如何在新的攻击发起之前有效识别攻击行为,也是目前IDS、WAF等安全产品所不具备的功能。
- 问题三:假如攻击者在攻击过程中使用了(动态)代理、虚拟专用网络等手段,则传统的基于Web日志、基于网络流量的追踪技术,并不能有效的定位攻击者的身份或位置。
二、本文目的
图1 研究目标
为弥补传统安全防御技术的不足,为网络犯罪溯源取证提供依据,基于主动防御的思想,本文提出了一种基于网络欺骗和浏览器指纹的溯源技术方案,旨在有效识别网络攻击行为、定位攻击者身份或位置,并可通过不同网站之间的协作或信息共享机制感知潜在的试探性攻击行为。
三、相关技术
1. 浏览器指纹技术
图2 浏览器指纹技术概述
在浏览器与网站服务器交互时,浏览器会向网站暴露许多的不同消息,比如浏览器型号、浏览器版本、操作系统等信息。如同人的指纹可以用来识别不同的人一样,当浏览器暴露信息的熵足够高时,网站就可利用这些信息来识别、追踪和定位用户。
图3 浏览器指纹技术能力
将该技术应用于攻击溯源,即使黑客使用了(动态)代理、虚拟专用网络等,采集指纹信息的“溯源脚本”也可反向到达客户端的浏览器,进而被触发执行,以获取与黑客关联性更强的信息。其中,可采集的信息不仅包括客户端的系统字体、系统语言、浏览器插件、时区偏移量、Canvas、内外网IP等设备信息,也可采集攻击者的键盘记录、访问过的网站,甚至特定网站账号(存在JSONP漏洞)等行为信息。(“溯源脚本”基于JavaScript代码实现)
2. 网络欺骗技术
图4 网络欺骗技术概述
网络欺骗是一种针对网络攻击的防御手段(或策略),目的是让攻击者相信目标系统存在有价值的、可利用的安全弱点(伪造或不重要的),从而将攻击者引向这些错误的资源,以达到检测攻击、阻碍攻击、记录攻击行为的目的。其中,蜜罐是我们常见的一种网络欺骗技术,除了蜜罐技术,还存在蜜饵、蜜网、虚拟网络拓扑等多种欺骗技术实现方式。
图5 网络欺骗技术手段
通常情况下,攻击者在试图攻击网站之前,都会有一些固有手法,用于收集目标网站的信息,如:子域名爆破,高危端口扫描、敏感目录扫描、Web漏洞扫描等。针对不同的攻击手段,可采用不同的欺骗手段来迷惑攻击者,如:针对子域名爆破行为,可部署虚假的网站并绑定子域名;针对目录扫描行为,可部署虚假的后台登录页面等。
四、应用场景
1. 应用场景-专用欺骗环境
图6 专用欺骗环境架构
部署专用的网络欺骗环境,如:注册子域名并故意绑定虚假的Web业务系统;在Web服务器上部署虚假的网站登录、注册页面(用于抓取攻击者的手机号、邮箱等信息);部署存在漏洞的Weblogic并对互联网开放等。同时,所有的“欺骗性信息或服务”均不对外发布,只有采取一定的技术手段才能访问,而正常用户通常不会进行该操作。
2. 应用场景-常规网站防护
图7 网站后台防护架构
在真实的业务系统的管理员登录页面部署“溯源脚本”,不仅可采集攻击者的指纹信息,而且当某攻击者使用同一设备对多个业务系统的管理员登录页面实施攻击时,也可通过浏览器指纹将攻击事件进行关联。(备注:管理员设备的指纹信息已加白)
图8 网站整体防护架构
此外,也可在网站首页部署“溯源脚本”,采集所有用户的指纹信息,并与指纹库中(仅存储归属于攻击行为的客户端指纹)的信息做比较,以感知潜在的试探性攻击行为。该应用场景的优点在于,在攻击者对网站进行分析、查找漏洞的过程中,即可将其从大量正常流量中识别出来。
3. 应用场景-注入WebShell
图9 溯源Webshell
当发现网站被攻击者入侵且留下WebShell后门时,除做好网络和机器隔离外,可暂时不清除木马文件,而是向其中插入“溯源脚本“,等待攻击者再次访问,从而获取与攻击者关联性较强的指纹信息,为溯源取证提供依据。
五、优点与不足
1. 该方案的优点:
(1) 不存在误报
构建的欺骗环境不对互联网发布,正常用户是不可见的,只有采用一定手段才可能发现。凡是访问这些虚假资源的行为,均被认为是潜在的攻击行为,故不存在误报情况。
因此,相对于IDS、WAF等常规安全防护产品,基于网络欺骗技术,可将攻击流量从大量的合法流量中识别出来,不存在误报情况的发生。
(2) 改善漏报率
即使黑客在攻击过程中,使用了大量的代理服务器,不断的变化着出口IP地址。基于浏览器指纹技术,可及时发现采用同一设备发起的试探性攻击行为,进而阻断该攻击。(备注:实际使用时需考虑浏览器指纹的碰撞率问题)
因此,相对基于IP黑名单的防御机制,基于设备指纹的黑名单机制,可更快的感知、追踪和阻止攻击(即使攻击者使用了大量代理服务器),从而降低漏报情况的发生。
(3) 增强溯源能力
相对仅依靠服务端获取信息的溯源能力,基于浏览器指纹技术,可以采集与攻击者关联性更强的客户端信息,甚至其社交平台的账号(需要一定的前提条件),从而增强溯源取证的能力。
2. 该方案的不足:
(1) 指纹碰撞、指纹关联问题
首先,采集的不同客户端之间的指纹信息,存在指纹碰撞的情况,即:不同设备的指纹被认为是同一设备。同时,也存在同一设备因切换网络环境、更新浏览器、或切换浏览器导致指纹信息不一致的情况。
因此,如何采集区别性更好的客户端特征属性以降低碰撞率、如果实现跨浏览器、跨设备的指纹追踪,是实际应用中需要考虑的问题。
鸿蒙官方战略合作共建——HarmonyOS技术社区
推荐系统
微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载
语言:中文版系统大小:5.13GB系统类型:Win11微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Win11 64位 Office办公版(免费)优化 1、保留 Edge浏览器。 2、隐藏“操作中心”托盘图标。 3、保留常用组件(微软商店,计算器,图片查看器等)。 5、关闭天气资讯。
Win11 21H2 官方正式版下载_Win11 21H2最新系统免激活下载
语言:中文版系统大小:4.75GB系统类型:Win11Ghost Win11 21H2是微软在系统方面技术积累雄厚深耕多年,Ghost Win11 21H2系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Ghost Win11 21H2是微软最新发布的KB5019961补丁升级而来的最新版的21H2系统,以Windows 11 21H2 22000 1219 专业版为基础进行优化,保持原汁原味,系统流畅稳定,保留常用组件
windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载
语言:中文版系统大小:5.31GB系统类型:Win11windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载,微软win11发布快大半年了,其中做了很多次补丁和修复一些BUG,比之前的版本有一些功能上的调整,目前已经升级到最新版本的镜像系统,并且优化了自动激活,永久使用。windows11中文版镜像国内镜像下载地址微软windows11正式版镜像 介绍:1、对函数算法进行了一定程度的简化和优化
微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载
语言:中文版系统大小:5.31GB系统类型:Win11微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载,微软2022年正式推出了win11系统,很多人迫不及待的要体验,本站提供了最新版的微软Windows11正式版系统下载,微软windows11正式版镜像 是一款功能超级强大的装机系统,是微软方面全新推出的装机系统,这款系统可以通过pe直接的完成安装,对此系统感兴趣,想要使用的用户们就快来下载
微软windows11系统下载 微软原版 Ghost win11 X64 正式版ISO镜像文件
语言:中文版系统大小:0MB系统类型:Win11微软Ghost win11 正式版镜像文件是一款由微软方面推出的优秀全新装机系统,这款系统的新功能非常多,用户们能够在这里体验到最富有人性化的设计等,且全新的柔软界面,看起来非常的舒服~微软Ghost win11 正式版镜像文件介绍:1、与各种硬件设备兼容。 更好地完成用户安装并有效地使用。2、稳定使用蓝屏,系统不再兼容,更能享受无缝的系统服务。3、为
雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载
语言:中文版系统大小:4.75GB系统类型:雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业的雨林木风品牌,其系统口碑得到许多人认可,积累了广大的用户群体,雨林木风是一款稳定流畅的系统,一直以来都以用户为中心,是由雨林木风团队推出的Windows11国内镜像版,基于国内用户的习惯,做了系统性能的优化,采用了新的系统
雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO
语言:中文版系统大小:5.91GB系统类型:Win7雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO在系统方面技术积累雄厚深耕多年,加固了系统安全策略,雨林木风win7旗舰版系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。win7 32位旗舰装机版 v2019 05能够帮助用户们进行系统的一键安装、快速装机等,系统中的内容全面,能够为广大用户
番茄花园Ghost Win7 x64 SP1稳定装机版2022年7月(64位) 高速下载
语言:中文版系统大小:3.91GB系统类型:Win7欢迎使用 番茄花园 Ghost Win7 x64 SP1 2022.07 极速装机版 专业装机版具有更安全、更稳定、更人性化等特点。集成最常用的装机软件,集成最全面的硬件驱动,精心挑选的系统维护工具,加上独有人性化的设计。是电脑城、个人、公司快速装机之首选!拥有此系统
相关文章
- 如何定时关机
- Experian公司的API泄露了大量美国人的信用评分数据
- 专栏
- 物联网安全:基于差分隐私的数据发布
- 五分钟实现外网访问你的本地Web项目
- 疫情当下,更要守好个人信息安全防线
- 电脑不能上网是怎么回事 判断网络连通情况方法【详解】
- 全国公安机关全力全面筑牢高考安全防护网
- 一些网站https证书出现问题的情况分析
- 专栏
- Win7网络图标不见了怎么办?Win7系统找回网络图标的方法
- 路由器停产,360的其他硬件产品是否安好?
- 菜鸟必看的电脑音箱常见故障与解决办法
- 影响范围超过SolarWinds!微软漏洞影响三万家美国机构
- 安防摄像头公司Verkada遭黑客攻击
- 前微软工程师窃取千万美元:自己买车买房,同事做替罪羊
- Win10无法启动承载网络怎么办?win10无法启动承载网络问题的解决方法
- 路由器能链无线网络可上不了网的解决方法
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 3电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 4雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
常用系统
- 1番茄花园WindowsXP Sp3专业版V2023.06免费下载
- 2Win7 32位旗舰版 v2022下载
- 3新萝卜家园Ghost Win8.1 X64位 纯净版2019年12月(自动激活) ISO镜像高费下载
- 4萝卜家园Ghost win11 64位 多驱动版 v2023.09最新下载
- 5深度技术 GHOST WIN7 SP1 X86 专业优化版 V2017.09(32位) 下载
- 6萝卜家园 GHOST WIN7 SP1 X64 完美装机旗舰版 V2015.11 (64位) 下载
- 7Windows10原版官方下载地址_Windows10系统ios镜像免费下载
- 8笔记本&台式机专用系统 GHOSTXPSP3 2021年10月 喜迎国庆 海驱版 ISO镜像高速下载
- 9雨林木风 GHOST WIN10 X86 装机旗舰版 V2019.03 (32位) 下载
- 10电脑公司 装机专用系统Windows10 x64 企业版2021年11月(64位) ISO镜像高速下载