Síťový dalekohled - Network telescope

A síťový dalekohled (také známý jako paketový dalekohled,[1] darknet, Internetový snímač pohybu nebo Černá díra)[2][3][4] je Internet systém, který umožňuje pozorovat různé velké události probíhající na internetu. Základní myšlenkou je pozorovat provoz zaměřený na tmavý (nevyužitý) adresní prostor sítě. Jelikož veškerý provoz na těchto adresách je podezřelý, lze získat informace o možných síťových útokech (náhodné skenovací červy a DDoS zpětný rozptyl ), jakož i jiné nesprávné konfigurace tím, že je budete sledovat.

Rozlišení internetového dalekohledu závisí na počtu IP adresy monitoruje. Například velký internetový dalekohled, který monitoruje provoz na 16 777 216 adres ( /8 Internetový dalekohled v IPv4 ), má vyšší pravděpodobnost pozorování relativně malé události než menší dalekohled, který sleduje 65 536 adres (a /16 Internetový dalekohled).

Pojmenování pochází z analogie k optické dalekohledy, kde větší fyzická velikost umožňuje více fotony je třeba dodržovat.[5]

Instance dalekohledu velké sítě
SíťDosahIP adresynázevŽivotnostZachytává
1/8100%[3]~ 16 milAPNIC2010-02-23 (1 týden)4.1 terabajt[3]
44/899%[4]~ 16 milSíťový dalekohled UCSD[poznámka 1]2001-02-01‒2017-12-313.25 petabajt[6]
2018-01-01‒2019-06-04
74%~ 12 mil2019-06-05—
35/867%[4]~ 11 milMerit Network[poznámka 2]2005-10-05—18.2 terabajt[8]
50/8100%[3]~ 16 milARIN12. 3. 2010 (1 týden)1.1 terabajt[3]
107/8100%[3]~ 16 milARIN2010-03-25 (1 týden)1.2 terabajt[3]
1300 sítíAkamai[9] / MIT[10]2009/2019—
/16100%65 tisHEAnet[11]2019-03 (1 týden)96 gigabajt[11]
/15100%~ 130 tisSURFnet[12]
  1. ^ Hostováno v San Diego Superpočítačové centrum provozuje Centrum pro aplikovanou internetovou analýzu dat pro University of California, San Diego pomocí amatérského rádia AMPRNet IP adresy.
  2. ^ Merit Network Dalekohled, který se skládá z ~ 5,5 milionu (2014),[7] nebo ~ 11 milionů nevyužitých IP adres.

Varianta síťového dalekohledu je řídký darknet, nebo greynet, sestávat z oblasti IP adresa prostor, který je řídce naplněn „darknet“ adresami rozptýlenými aktivními (nebo „osvětlenými“) IP adresami.[2] Mezi ně patří greynet sestavený z 210 000 nepoužívaných IP adres, které se nacházejí hlavně v Japonsku.[13]

Viz také

Reference

  1. ^ Cheswick, Bille (Srpen 2013). „Bill Cheswick na branách firewall“ (PDF). Bezpečnostní. ; přihlášení: The USENIX Magazine (Rozhovor). 38 (4). Rozhovor s Rikem Farrowem. p. 21. o této době (pozdní 1980) Mark Horton získal a adresa třídy A. pro AT&T od budoucích pravomocí pouhým dotazem. ... naše Cray počítač podle všeho vyžadoval síť třídy A. ... vzal 12.0.0.0/8 a oznámil to síti, přenesl pakety na neexistující ethernetovou adresu a běží tcpdump v provozu, který činil přibližně 12 až 25 MB / den. Steve analyzoval tento provoz a napsal pěkný papír. V zásadě jsme sledovali smrtící výkřiky napadených hostitelů, kteří používali ověřování na základě IP adres. ... Toto je první paketový dalekohled, na který si pamatuji, a myslím, že jsem dokonce vytvořil termín „paketový dalekohled“, ale moje paměť je na tom nejasná.
  2. ^ A b Harrop, W .; Armitage, G. (2005). Msgstr "Definování a hodnocení greynetů (řídké tmavé sítě)". Konference IEEE o místních počítačových sítích 30. výročí (LCN'05) l. Přihlaste se nebo si zakupte přístup na: ieeexplore.ieee.org. str. 344–350. doi:10.1109 / LCN.2005.46. hdl:1959.3/2449. ISBN  0-7695-2421-4. S2CID  18789864.
  3. ^ A b C d E F G Wustrow, Eric; Karir, Manish; Bailey, Michael; Jahanian, Farnam; Houston, Geoff (06.06.2010). Znovu navštíveno internetové pozadí (PDF). Konference o internetovém měření. Systémy, které monitorují nevyužité adresní prostory, mají různé názvy, včetně darknetů, síťových dalekohledů, monitorů blackhole, síťových jímek a síťových pohybových senzorů. ... 1/8 ... 50/8 ... 107/8 ... 35/8
  4. ^ A b C Benson, Karyn; Dainotti, Alberto; Claffy, K.C.; Snoeren, Alex C.; Kallitsis, Michael (10.09.2015). Využití radiace na pozadí pro oportunní analýzu sítě (PDF). Tokyo, Japonsko. doi:10.1145/2815675.2815702. ISBN  978-1-4503-3848-6. S2CID  6184617. Darknet nebo síťový dalekohled je sbírka směrovaných, ale nepoužívaných IP adres, ... UC San Diego a Merit Network provozovat velké darknety, které nazýváme UCSD-NT a MERIT-NT. UCSD-NT nepřetržitě sleduje provoz určený na více než 99% IP adres /8 blok. MERIT-NT pokrývá asi 67% jiného produktu /8 blok.
  5. ^ Moore, David; Shannon, Colleen; Voelker, Geoffrey M .; Savage, Stefane (Duben 2004). „Network Telescopes: Technical Report“ (PDF). Technické zprávy. síťové dalekohledy byly pojmenovány jako analogie k astronomické dalekohledy, ... řízeno porovnáním balíčky přijíždějící v části adresní prostor na fotony přicházející do clony a světelný dalekohled. ... větší clona zvyšuje rozlišení objektů poskytováním více pozičních detailů; se síťovými dalekohledy, které mají větší adresní prostor zvyšuje rozlišení událostí poskytnutím více podrobností o čase. ... pozorovat jeden nebo více paketů z a Červený kód -jako hostitel na a /8 s 99,999% pravděpodobnost vyžaduje 4,9 minuty. ... I když útok trval 5 minut, existuje pouze 89,9% šance, že a /16 dalekohled by viděl alespoň 1 paket. ... děkuji Brian Kantor Jim Madden a Pat Wilson z UCSD pro technickou podporu projekt Network Telescope. ... Podporu pro tuto práci poskytuje NSF Grant pro důvěryhodné počítače CCR-0311690, Systémy Cisco Univerzitní výzkumný program, DARPA FTN Smlouva N66001-01-1-8933, NSF Grant ANI-0221172, Národní institut pro standardy Udělte 60NANB1D0118 a velkorysý dárek od AT&T. Citovat deník vyžaduje | deník = (Pomoc)
  6. ^ Claffy, K.; Fomenkov, Marina; Kalifornská univerzita v San Diegu; Centrum pro aplikovanou internetovou analýzu dat (CAIDA) (2018-06-22). Rose, Fraces A .; Matyjas, John D. (eds.). Závěrečná technická zpráva. Podpora výzkumu a vývoje bezpečnostních technologií prostřednictvím sběru dat o síti a zabezpečení (Zpráva). Ředitelství pro informace o výzkumné laboratoři vzdušných sil. str. iii, 2, 3, 7. Září 2012 – Prosinec 2017 ... Číslo grantu: FA8750-12-2-0326 ... zapojeno sběr dat na úrovni paketů z Síťový dalekohled UCSD (který sleduje a /8 IPv4 darknet) ... počet souborů a celkový objem shromážděných dat ... (od [01.01.2012] do [2017-12-31]) a také kumulativní velikost ... Dalekohled: počet souborů: 129552; Velikost: 2,85 PB; Velikost na disku (komprimovaná), [k 31. 12. 2017]: 1,30 PB; Nekomprimovaná velikost, [k 31. 12. 2017]: 3,25 PB Citovat má prázdný neznámý parametr: |1= (Pomoc)
  7. ^ Durumeric, Zakir; Bailey, Michael; Halderman, J. Alex; Michiganská univerzita (2014-08-08). „Internetový pohled na skenování na celém internetu“ (PDF). darknet operoval v Merit Network pro období od [01.01.2013] do [01.05.2014]. ... 5,5 milionu adres, ... 1,4 miliardy paketů nebo 55 GB provozu denně. Citovat deník vyžaduje | deník = (Pomoc)
  8. ^ Merit Network. „Podélný Darknet 35/8". Blackhole Address Space Data, flowtuple. IMPACT Cybertrust. v případě a TCP SYN povodňový útok se zfalšovanou zdrojovou IP adresou, oběť odpoví TCP SYN-ACK na zfalšovanou IP; pokud by byla falešná IP adresa uvnitř 35/8 adresový prostor, naše darknet zachytí odpovědi SYN-ACK ... Zahájení kolekce: [10.10.2005]; ... Probíhá sběr dat ... Velikost: 18,2 TB Velikost se zvyšuje s přibývajícími daty
  9. ^ Belson, David, ed. (2009-07-09). „Conficker“ (PDF). Bezpečnostní. Stav internetu. Sv. 2 č. 1. Akamai Technologies. p. 8. potvrzeno podobnými poklesy pozorovanými KAIDA je Síťový dalekohled UCSD, který slouží podobné funkci jako soubor Akamai servery, které shromažďují údaje o provozu útoků.
  10. ^ Richter, Philipp; Berger, Arthur (červenec 2019). Skenování skenerů: Snímání internetu z masivně distribuovaného síťového dalekohledu. Konference ACM o internetovém měření. Amsterdam, Nizozemsko.
  11. ^ A b O'Hara, Joseph (duben 2019). „Síťový dalekohled založený na cloudu pro sběr záření na pozadí na internetu“ (PDF). Trinity College v Dublinu: 16. Děkuji Eoin Kenny z HEAnet ... poskytl tradiční síťový dalekohled / 16 HEAnet, Irská národní síť pro vzdělávání a výzkum. ... /16 adresní prostor byl před tímto výzkumem několik let nevyužitý ... 256krát menší než KAIDA /8 ... zaznamenaná rychlost dat byla 1,25Mb / s ... 95.6GB Citovat deník vyžaduje | deník = (Pomoc)
  12. ^ Metongnon, Lionel; Sadre, Ramin (2018-08-20). Beyond Telnet: Prevalence of IoT Protocols in Telescope and Honeypot Measurements (prezentační snímky). ACM SIGCOMM-WTMC. p. 4. doi:10.1145/3229598.3229604. S2CID  51926045. nastavení pomocí /15 síťový dalekohled
  13. ^ Le Malécot, Erwan; Inoue, Daisuke (20. března 2014). Danger, Jean Luc; Debbabi, Mourad; Marion, Jean-Yves; Garcia-Alfaro, Joaquin; Heywood, Nur Zincir (eds.). Carna Botnet objektivem síťového dalekohledu. Základy a praxe bezpečnosti: 6. mezinárodní sympozium. La Rochelle, Francie. p. 427. ISBN  9783319053028. „Síťový dalekohled, který provozujeme, v současné době představuje přibližně 210 tisíc nevyužitých adres IPv4 rozložených v sítích řady partnerských organizací (se sídlem v Japonsku a na palubě). Tyto nevyužité adresy tvoří tmavé sítě o velikosti od několika adres po celé /16 podsítě ... pojem „greynet“ ... složený ze směsi použitých a nepoužívaných IP adres

Další čtení

externí odkazy