安裝防病毒軟件來保護(hù)自己免受黑客攻擊的時(shí)代早已一去不復(fù)返了。實(shí)際上,我們已經(jīng)很少聽到有關(guān)病毒的消息了。然而,如今,有許多不同的、更多基于互聯(lián)網(wǎng)的威脅。不幸的是,你不需要成為一家價(jià)值百萬美元的公司才能成為攻擊的目標(biāo)。如今,黑客使用自動(dòng)掃描儀在互聯(lián)網(wǎng)上搜索易受攻擊的機(jī)器。一種這樣的現(xiàn)代威脅是流量分析攻擊。在這篇文章中,您將了解什么是流量分析以及一些保護(hù)自己免受流量分析的對策。
什么是流量分析攻擊?
您可能從名稱中猜到流量分析攻擊與,嗯……分析網(wǎng)絡(luò)流量有關(guān)。你是對的!但這實(shí)際上意味著什么?在流量分析攻擊中,黑客試圖訪問與您相同的網(wǎng)絡(luò)以監(jiān)聽(并捕獲)您的所有網(wǎng)絡(luò)流量。從那里,黑客可以分析該流量以了解有關(guān)您或您的公司的信息。因此,與其他更流行的攻擊不同,黑客不會主動(dòng)嘗試侵入您的系統(tǒng)或破解您的密碼。因此,我們將這種攻擊歸類為被動(dòng)攻擊。
流量分析可以揭示什么?
分析一個(gè)人的網(wǎng)絡(luò)流量可以告訴黑客很多。如果你認(rèn)為你是安全的,因?yàn)槟慵用芰四愕牧髁浚悄憔湾e(cuò)了。流量分析攻擊也適用于加密數(shù)據(jù)。而且我們不是在談?wù)摻饷茉摿髁俊_@怎么可能?好吧,在大多數(shù)情況下加密流量只能保護(hù)流量的內(nèi)容。但是攻擊者仍然可以從中獲取一些信息。這都是關(guān)于元數(shù)據(jù)的。
元數(shù)據(jù)
想象一個(gè)簡單的場景,兩個(gè)人通過一些消息傳遞軟件交談。攻擊者無法讀取實(shí)際消息,因?yàn)榱髁恳鸭用堋5峭ㄟ^分析(加密的)流量,他們可以了解,例如,何時(shí)發(fā)送了多少消息以及發(fā)送了多少消息。即使是這個(gè)簡單的信息也能說明很多。
模式
例如,通過在捕獲的流量中搜索模式,攻擊者可以找出您通常何時(shí)醒來和睡覺。將設(shè)備名稱和位置添加到其中,現(xiàn)在攻擊者知道您何時(shí)離開家以及您通常何時(shí)回來。即使缺乏流量也能說明問題。如果它打破了這種模式,這可能意味著你去度假了(這意味著現(xiàn)在是闖入你家的好時(shí)機(jī))。這只是分析兩個(gè)人之間流量的一個(gè)簡單示例。想象一下,攻擊者可以通過分析來自您公司辦公室或數(shù)據(jù)中心的流量了解多少信息。
高級分析
在某些情況下,攻擊者可以使用流量分析作為其他攻擊的基礎(chǔ)。以 SSH 為例。每次按下鍵盤上的鍵時(shí),SSH 都會發(fā)送一個(gè)單獨(dú)的 IP 數(shù)據(jù)包。通過分析這些數(shù)據(jù)包,攻擊者可以區(qū)分按鍵之間的時(shí)間。然后,他們可以使用這些信息,例如,猜測用戶的密碼長度。實(shí)際上,這可以幫助攻擊者縮小暴力攻擊的范圍。使用更先進(jìn)的技術(shù),攻擊者甚至可以使用統(tǒng)計(jì)方法猜測您正在按下的實(shí)際按鍵。
被動(dòng)偵察
流量分析還可以幫助攻擊者了解網(wǎng)絡(luò)結(jié)構(gòu)并選擇下一個(gè)目標(biāo)。例如,如果進(jìn)出一個(gè)特定節(jié)點(diǎn)的流量要多得多,那么它可能是嘗試更主動(dòng)攻擊的好目標(biāo)。另一方面,沒有很多連接的服務(wù)器可能是一個(gè)容易的目標(biāo)。它有可能是一個(gè)不太重要的服務(wù)器,甚至是一個(gè)測試服務(wù)器,因此它可能不太安全。現(xiàn)在想象一下,我們將這種方法應(yīng)用于軍事交通。通過分析該流量,黑客可能會嘗試找到指揮中心的位置。
SIP/VoIP
SIP / VoIP流量是另一回事。即使實(shí)際的語音通話是加密的,連接初始化也可能不會。這意味著攻擊者可以看到被呼叫的電話號碼。即使電話號碼也被加密,在某些情況下,攻擊者仍然能夠使用流量分析來獲取一些有用的信息。例如,如果攻擊者嘗試對其中一名員工進(jìn)行網(wǎng)絡(luò)釣魚攻擊,他們可以同時(shí)監(jiān)控 SIP/VoIP 流量。這將幫助他們檢查該員工是否正在呼叫安全部門(可以通過流量流向的 IP 地址來區(qū)分)。
如何保護(hù)自己
有好消息也有壞消息。壞消息是保護(hù)自己免受流量分析攻擊并不容易。其他被動(dòng)攻擊也是如此。由于攻擊者除了監(jiān)聽之外沒有做任何事情,因此很難檢測到它們。好消息是這種類型的攻擊非常耗時(shí):它需要數(shù)小時(shí)的分析,并且攻擊者需要首先以某種方式訪問??您的網(wǎng)絡(luò)。不過,您可以采取一些對策來保護(hù)自己免受流量分析攻擊。
加密流量
我們之前提到,流量分析攻擊即使對加密流量也有效。沒錯(cuò),但加密肯定會使流量分析更加困難。您可能還認(rèn)為很明顯應(yīng)該加密您的流量,但許多公司跳過加密一些內(nèi)部流量。這種想法認(rèn)為流量是內(nèi)部設(shè)計(jì)的,因此任何未經(jīng)授權(quán)的人都不應(yīng)訪問它。因此,雖然(理論上)您不需要加密流量需要一些額外的努力,但它有助于使攻擊者的工作更加困難。
NAT
網(wǎng)絡(luò)地址轉(zhuǎn)換是一種非常有效的防止流量分析攻擊的方法。由于所有流量都將通過 NAT 設(shè)備進(jìn)行路由,并且 IP 地址將被封裝并隱藏在 NAT IP 后面,因此攻擊者會丟失很多重要信息。例如,他們將無法輕易看到誰與誰聯(lián)系,這是這次攻擊的主要目標(biāo)之一。
“填充”交通
如果您正在尋找一切可能的方法來防止任何可能的攻擊,這里有一些東西可以幫助您進(jìn)行流量分析攻擊。填充流量意味著將假數(shù)據(jù)包插入流量流中。它使攻擊者感到困惑,并且在某些情況下,使流量看起來沒有意義。真實(shí)流量與虛假流量混為一談。當(dāng)然,這讓我們回到了流量加密技巧。此對策僅適用于加密流量。沒有它,攻擊者將能夠簡單地查看哪些數(shù)據(jù)包是假的并將它們過濾掉。
流量隊(duì)列
另一個(gè)更高級的對策是控制數(shù)據(jù)包的時(shí)間。在這種方法中,您首先將流量放入隊(duì)列中,并且僅在特定時(shí)間釋放它。從攻擊者的角度來看,這樣的流量看起來是人為的。因此,他們將無法執(zhí)行大多數(shù)標(biāo)準(zhǔn)的基于時(shí)間的分析。
概括
流量分析攻擊,作為被動(dòng)攻擊,并不是最容易預(yù)防的。此外,因?yàn)樗雌饋硐窆粽摺皩?shí)際上什么也沒做”,所以您可能會有一個(gè)錯(cuò)誤的印象,認(rèn)為它沒有什么值得阻止的——尤其是如果您的所有流量都被加密了。希望這篇文章能說服你。您已經(jīng)知道可以采取哪些措施來保護(hù)自己免受流量分析攻擊。但是,如果您想了解更多有關(guān)使用已有工具保護(hù)數(shù)據(jù)的信息,可以觀看此網(wǎng)絡(luò)研討會。
