FreeBuf|基于网络欺骗与浏览器指纹的WEB攻击溯源

一背景概述
针对网站的Web攻击是互联网安全面临的主要威胁 , 为隐藏身份、逃避追踪 , 在对目标网站发起攻击时 , 黑客往往会采用多种手段隐藏自己的身份 , 如:使用(动态)代理、VPN等 。 攻击者的这些手段很好的隐藏了自身信息 , 增加了安全人员追踪溯源的难度 。
虽然针对Web攻击的防御技术、溯源技术也在不断发展之中 , 如:IDS、WAF、基于日志/流量溯源等 , 但这些技术往往处于被动防御的状态、或溯源信息不足 , 难以应对复杂多变的攻击手段 。
问题一:攻击流量被隐藏在大量的合法流量中 , 不易被发现和识别 。 尽管IDS、WAF功能强大 , 但依然存在漏报或误报的可能 , 而且也存在因其自身漏洞或规则不完善而被绕过的可能 。
问题二:即使识别攻击后 , 可基于IP黑名单机制阻断攻击源 , 但如果攻击者切换了出口IP , 如何在新的攻击发起之前有效识别攻击行为 , 也是目前IDS、WAF等安全产品所不具备的功能 。
问题三:假如攻击者在攻击过程中使用了(动态)代理、VPN等手段 , 则传统的基于Web日志、基于网络流量的追踪技术 , 并不能有效的定位攻击者的身份或位置 。
二本文目的【FreeBuf|基于网络欺骗与浏览器指纹的WEB攻击溯源】
FreeBuf|基于网络欺骗与浏览器指纹的WEB攻击溯源
文章图片
图1研究目标
为弥补传统安全防御技术的不足 , 为网络犯罪溯源取证提供依据 , 基于主动防御的思想 , 本文提出了一种基于网络欺骗和浏览器指纹的溯源技术方案 , 旨在有效识别网络攻击行为、定位攻击者身份或位置 , 并可通过不同网站之间的协作或信息共享机制感知潜在的试探性攻击行为 。
三相关技术1浏览器指纹技术
FreeBuf|基于网络欺骗与浏览器指纹的WEB攻击溯源
文章图片
图2浏览器指纹技术概述
在浏览器与网站服务器交互时 , 浏览器会向网站暴露许多的不同消息 , 比如浏览器型号、浏览器版本、操作系统等信息 。 如同人的指纹可以用来识别不同的人一样 , 当浏览器暴露信息的熵足够高时 , 网站就可利用这些信息来识别、追踪和定位用户 。
FreeBuf|基于网络欺骗与浏览器指纹的WEB攻击溯源
文章图片
FreeBuf|基于网络欺骗与浏览器指纹的WEB攻击溯源
文章图片
图3浏览器指纹技术能力
将该技术应用于攻击溯源 , 即使黑客使用了(动态)代理、VPN等 , 采集指纹信息的“溯源脚本”也可反向到达客户端的浏览器 , 进而被触发执行 , 以获取与黑客关联性更强的信息 。 其中 , 可采集的信息不仅包括客户端的系统字体、系统语言、浏览器插件、时区偏移量、Canvas、内外网IP等设备信息 , 也可采集攻击者的键盘记录、访问过的网站 , 甚至特定网站账号(存在JSONP漏洞)等行为信息 。 (“溯源脚本”基于JavaScript代码实现)
2网络欺骗技术
FreeBuf|基于网络欺骗与浏览器指纹的WEB攻击溯源
文章图片
图4网络欺骗技术概述
网络欺骗是一种针对网络攻击的防御手段(或策略) , 目的是让攻击者相信目标系统存在有价值的、可利用的安全弱点(伪造或不重要的) , 从而将攻击者引向这些错误的资源 , 以达到检测攻击、阻碍攻击、记录攻击行为的目的 。 其中 , 蜜罐是我们常见的一种网络欺骗技术 , 除了蜜罐技术 , 还存在蜜饵、蜜网、虚拟网络拓扑等多种欺骗技术实现方式 。
FreeBuf|基于网络欺骗与浏览器指纹的WEB攻击溯源
文章图片
图5网络欺骗技术手段
通常情况下 , 攻击者在试图攻击网站之前 , 都会有一些固有手法 , 用于收集目标网站的信息 , 如:子域名爆破 , 高危端口扫描、敏感目录扫描、Web漏洞扫描等 。 针对不同的攻击手段 , 可采用不同的欺骗手段来迷惑攻击者 , 如:针对子域名爆破行为 , 可部署虚假的网站并绑定子域名;针对目录扫描行为 , 可部署虚假的后台登录页面等 。