安裝防病毒軟件來保護自己免受黑客攻擊的時代早已一去不復返了。實際上,我們已經很少聽到有關病毒的消息了。然而,如今,有許多不同的、更多基于互聯網的威脅。不幸的是,你不需要成為一家價值百萬美元的公司才能成為攻擊的目標。如今,黑客使用自動掃描儀在互聯網上搜索易受攻擊的機器。一種這樣的現代威脅是流量分析攻擊。在這篇文章中,您將了解什么是流量分析以及一些保護自己免受流量分析的對策。
什么是流量分析攻擊?
您可能從名稱中猜到流量分析攻擊與,嗯……分析網絡流量有關。你是對的!但這實際上意味著什么?在流量分析攻擊中,黑客試圖訪問與您相同的網絡以監聽(并捕獲)您的所有網絡流量。從那里,黑客可以分析該流量以了解有關您或您的公司的信息。因此,與其他更流行的攻擊不同,黑客不會主動嘗試侵入您的系統或破解您的密碼。因此,我們將這種攻擊歸類為被動攻擊。
流量分析可以揭示什么?
分析一個人的網絡流量可以告訴黑客很多。如果你認為你是安全的,因為你加密了你的流量,那你就錯了。流量分析攻擊也適用于加密數據。而且我們不是在談論解密該流量。這怎么可能?好吧,在大多數情況下加密流量只能保護流量的內容。但是攻擊者仍然可以從中獲取一些信息。這都是關于元數據的。
元數據
想象一個簡單的場景,兩個人通過一些消息傳遞軟件交談。攻擊者無法讀取實際消息,因為流量已加密。但是通過分析(加密的)流量,他們可以了解,例如,何時發送了多少消息以及發送了多少消息。即使是這個簡單的信息也能說明很多。
模式
例如,通過在捕獲的流量中搜索模式,攻擊者可以找出您通常何時醒來和睡覺。將設備名稱和位置添加到其中,現在攻擊者知道您何時離開家以及您通常何時回來。即使缺乏流量也能說明問題。如果它打破了這種模式,這可能意味著你去度假了(這意味著現在是闖入你家的好時機)。這只是分析兩個人之間流量的一個簡單示例。想象一下,攻擊者可以通過分析來自您公司辦公室或數據中心的流量了解多少信息。
高級分析
在某些情況下,攻擊者可以使用流量分析作為其他攻擊的基礎。以 SSH 為例。每次按下鍵盤上的鍵時,SSH 都會發送一個單獨的 IP 數據包。通過分析這些數據包,攻擊者可以區分按鍵之間的時間。然后,他們可以使用這些信息,例如,猜測用戶的密碼長度。實際上,這可以幫助攻擊者縮小暴力攻擊的范圍。使用更先進的技術,攻擊者甚至可以使用統計方法猜測您正在按下的實際按鍵。
被動偵察
流量分析還可以幫助攻擊者了解網絡結構并選擇下一個目標。例如,如果進出一個特定節點的流量要多得多,那么它可能是嘗試更主動攻擊的好目標。另一方面,沒有很多連接的服務器可能是一個容易的目標。它有可能是一個不太重要的服務器,甚至是一個測試服務器,因此它可能不太安全。現在想象一下,我們將這種方法應用于軍事交通。通過分析該流量,黑客可能會嘗試找到指揮中心的位置。
SIP/VoIP
SIP / VoIP流量是另一回事。即使實際的語音通話是加密的,連接初始化也可能不會。這意味著攻擊者可以看到被呼叫的電話號碼。即使電話號碼也被加密,在某些情況下,攻擊者仍然能夠使用流量分析來獲取一些有用的信息。例如,如果攻擊者嘗試對其中一名員工進行網絡釣魚攻擊,他們可以同時監控 SIP/VoIP 流量。這將幫助他們檢查該員工是否正在呼叫安全部門(可以通過流量流向的 IP 地址來區分)。
如何保護自己
有好消息也有壞消息。壞消息是保護自己免受流量分析攻擊并不容易。其他被動攻擊也是如此。由于攻擊者除了監聽之外沒有做任何事情,因此很難檢測到它們。好消息是這種類型的攻擊非常耗時:它需要數小時的分析,并且攻擊者需要首先以某種方式訪問??您的網絡。不過,您可以采取一些對策來保護自己免受流量分析攻擊。
加密流量
我們之前提到,流量分析攻擊即使對加密流量也有效。沒錯,但加密肯定會使流量分析更加困難。您可能還認為很明顯應該加密您的流量,但許多公司跳過加密一些內部流量。這種想法認為流量是內部設計的,因此任何未經授權的人都不應訪問它。因此,雖然(理論上)您不需要加密流量需要一些額外的努力,但它有助于使攻擊者的工作更加困難。
NAT
網絡地址轉換是一種非常有效的防止流量分析攻擊的方法。由于所有流量都將通過 NAT 設備進行路由,并且 IP 地址將被封裝并隱藏在 NAT IP 后面,因此攻擊者會丟失很多重要信息。例如,他們將無法輕易看到誰與誰聯系,這是這次攻擊的主要目標之一。
“填充”交通
如果您正在尋找一切可能的方法來防止任何可能的攻擊,這里有一些東西可以幫助您進行流量分析攻擊。填充流量意味著將假數據包插入流量流中。它使攻擊者感到困惑,并且在某些情況下,使流量看起來沒有意義。真實流量與虛假流量混為一談。當然,這讓我們回到了流量加密技巧。此對策僅適用于加密流量。沒有它,攻擊者將能夠簡單地查看哪些數據包是假的并將它們過濾掉。
流量隊列
另一個更高級的對策是控制數據包的時間。在這種方法中,您首先將流量放入隊列中,并且僅在特定時間釋放它。從攻擊者的角度來看,這樣的流量看起來是人為的。因此,他們將無法執行大多數標準的基于時間的分析。
概括
流量分析攻擊,作為被動攻擊,并不是最容易預防的。此外,因為它看起來像攻擊者“實際上什么也沒做”,所以您可能會有一個錯誤的印象,認為它沒有什么值得阻止的——尤其是如果您的所有流量都被加密了。希望這篇文章能說服你。您已經知道可以采取哪些措施來保護自己免受流量分析攻擊。但是,如果您想了解更多有關使用已有工具保護數據的信息,可以觀看此網絡研討會。
