FreeBuf基于网络欺骗与浏览器指纹的WEB攻击溯源( 二 )
通常情况下 , 攻击者在试图攻击网站之前 , 都会有一些固有手法 , 用于收集目标网站的信息 , 如:子域名爆破 , 高危端口扫描、敏感目录扫描、Web漏洞扫描等 。 针对不同的攻击手段 , 可采用不同的欺骗手段来迷惑攻击者 , 如:针对子域名爆破行为 , 可部署虚假的网站并绑定子域名;针对目录扫描行为 , 可部署虚假的后台登录页面等 。
四 应用场景1 应用场景-专用欺骗环境
本文插图
图6 专用欺骗环境架构
部署专用的网络欺骗环境 , 如:注册子域名并故意绑定虚假的Web业务系统;在Web服务器上部署虚假的网站登录、注册页面(用于抓取攻击者的手机号、邮箱等信息);部署存在漏洞的Weblogic并对互联网开放等 。 同时 , 所有的“欺骗性信息或服务”均不对外发布 , 只有采取一定的技术手段才能访问 , 而正常用户通常不会进行该操作 。
2 应用场景-常规网站防护
本文插图
图7 网站后台防护架构
在真实的业务系统的管理员登录页面部署“溯源脚本” , 不仅可采集攻击者的指纹信息 , 而且当某攻击者使用同一设备对多个业务系统的管理员登录页面实施攻击时 , 也可通过浏览器指纹将攻击事件进行关联 。 (备注:管理员设备的指纹信息已加白)
本文插图
图8 网站整体防护架构
此外 , 也可在网站首页部署“溯源脚本” , 采集所有用户的指纹信息 , 并与指纹库中(仅存储归属于攻击行为的客户端指纹)的信息做比较 , 以感知潜在的试探性攻击行为 。 该应用场景的优点在于 , 在攻击者对网站进行分析、查找漏洞的过程中 , 即可将其从大量正常流量中识别出来 。
3 应用场景-注入WebShell
本文插图
图9 溯源Webshell当发现网站被攻击者入侵且留下WebShell后门时 , 除做好网络和机器隔离外 , 可暂时不清除木马文件 , 而是向其中插入“溯源脚本“ ,等待攻击者再次访问 , 从而获取与攻击者关联性较强的指纹信息 , 为溯源取证提供依据 。
五 优点与不足该方案的优点:1. 不存在误报构建的欺骗环境不对互联网发布 , 正常用户是不可见的 , 只有采用一定手段才可能发现 。 凡是访问这些虚假资源的行为 , 均被认为是潜在的攻击行为 , 故不存在误报情况 。
因此 , 相对于IDS、WAF等常规安全防护产品 , 基于网络欺骗技术 , 可将攻击流量从大量的合法流量中识别出来 , 不存在误报情况的发生 。
2. 改善漏报率即使黑客在攻击过程中 , 使用了大量的代理服务器 , 不断的变化着出口IP地址 。 基于浏览器指纹技术 , 可及时发现采用同一设备发起的试探性攻击行为 , 进而阻断该攻击 。 (备注:实际使用时需考虑浏览器指纹的碰撞率问题)
因此 , 相对基于IP黑名单的防御机制 , 基于设备指纹的黑名单机制 , 可更快的感知、追踪和阻止攻击(即使攻击者使用了大量代理服务器) , 从而降低漏报情况的发生 。
3 增强溯源能力相对仅依靠服务端获取信息的溯源能力 , 基于浏览器指纹技术 , 可以采集与攻击者关联性更强的客户端信息 , 甚至其社交平台的账号(需要一定的前提条件) , 从而增强溯源取证的能力 。
该方案的不足:1 指纹碰撞、指纹关联问题首先 , 采集的不同客户端之间的指纹信息 , 存在指纹碰撞的情况 , 即: 不同设备的指纹被认为是同一设备 。 同时 , 也存在同一设备因切换网络环境、更新浏览器、或切换浏览器导致指纹信息不一致的情况 。
推荐阅读
- 中国网络文学大会|中国网络文学联合出海计划启动
- 中国|报告显示:中国网络文学市场规模超200亿元
- 中国网络文学联合出海计划启动
- 网络游戏|魔兽世界怀旧服提升伤害的三大核心要素,装备只能排末尾!
- 人民日报客户端|美政客污蔑中国并鼓吹“清洁网络” 赵立坚:美撒谎外交欺骗外交的又一例子
- 环球时报-环球网|美政客又鼓吹“清洁网络”计划 赵立坚:美方早就满身污迹,没资格对其他国家指手画脚
- 阿文带你看足球|高颜值身材傲人,路人王一役走红网络,她是“篮球界江疏影”
- 阿文带你看足球|她是“篮球界江疏影”,高颜值身材傲人,路人王一役走红网络
- 彩色科技|星链凭1.2万颗卫星组网超越华为,成为6G网络最佳解决方案?
- 指数债券|美债收益率曲线的陡平之辨:基于供需视角的分析