Сетевой телескоп

Сетевой телескоп (также известный как пакетный телескоп , ^[1] даркнет , интернет-датчик движения или черная дыра ) ^{[2] [3] [4]} — это интернет -система, которая позволяет наблюдать за различными крупномасштабными событиями, происходящими в Интернете. Основная идея заключается в наблюдении за трафиком, нацеленным на темное (неиспользуемое) адресное пространство сети. Поскольку весь трафик на эти адреса является подозрительным, можно получить информацию о возможных сетевых атаках (случайных сканирующих червях и DDoS backscatter ), а также о других неправильных конфигурациях, наблюдая за ним.

Разрешение интернет-телескопа зависит от количества отслеживаемых им IP-адресов . Например, большой интернет-телескоп, отслеживающий трафик на 16 777 216 адресов ( интернет-телескоп / 8 в IPv4 ), имеет более высокую вероятность наблюдения относительно небольшого события, чем меньший телескоп, отслеживающий 65 536 адресов ( интернет-телескоп / 16 ).

Название происходит от аналогии с оптическими телескопами , где больший физический размер позволяет наблюдать больше фотонов . ^[5]

Вариантом сетевого телескопа является разреженный даркнет, или грейнет, состоящий из области пространства IP-адресов , которая скудно заполнена адресами «даркнета», перемежающимися активными (или «светящимися») IP-адресами. ^[2] К ним относится грейнет, собранный из 210 000 неиспользуемых IP-адресов, в основном расположенных в Японии. ^[6]

Крупные сетевые телескопы

1. Размещено в Суперкомпьютерном центре Сан-Диего , управляемом Центром прикладного анализа интернет-данных Калифорнийского университета в Сан-Диего , с использованием IP-адресов любительской радиосвязи AMPRNet .
2. Merit Network Telescope, состоящий из ~5,5 миллионов (2014) ^[8] или ~11 миллионов неиспользуемых IP-адресов.

Смотрите также

• Honeypot (вычисления)
• Фоновый шум в Интернете

Ссылки

1. Чесвик, Билл (август 2013 г.). "Билл Чесвик о брандмауэрах" (PDF) . Безопасность. ;вход: Журнал USENIX (интервью). Том 38, № 4. Интервью провел Рик Фэрроу. стр. 21. примерно в это время (конец 1980-х) Марк Хортон получил адрес класса A для AT&T от сильных мира сего, просто попросив. ... наш компьютер Cray , казалось, требовал сети класса A ... взял 12.0.0.0 / 8 и объявил об этом в Сети, передавая пакеты на несуществующий адрес Ethernet и запуская tcpdump для трафика, который составлял около 12–25 МБ/день. Стив проанализировал этот трафик и написал прекрасную статью. По сути, мы наблюдали предсмертные крики атакованных хостов, которые использовали аутентификацию на основе IP-адреса. ... Это первый пакетный телескоп, который я помню, и, кажется, я даже придумал термин «пакетный телескоп», но мои воспоминания об этом смутны.
2. Harrop, W.; Armitage, G. (2005). "Определение и оценка Greynets (Sparse Darknets)". IEEE Conference on Local Computer Networks 30th Anniversary (LCN'05)l. Войдите или купите, чтобы получить доступ: IEEE . стр. 344–350. doi :10.1109/LCN.2005.46. hdl :1959.3/2449. ISBN 0-7695-2421-4. S2CID  18789864.
3. Вустров, Эрик; Карир, Маниш; Бейли, Майкл; Джаханян, Фарнам; Хьюстон, Джефф (2010-06-09). Internet Background Radiation Revisited (PDF) . Конференция по измерению в Интернете. Системы, которые отслеживают неиспользуемые адресные пространства, имеют множество названий, включая darknets, network telescopes, blackhole monitors, network sinks и network motion sensors. ... 1/8 ... 50/8 ... 107/8 ... 35/8
4. Бенсон, Карин; Дайнотти, Альберто; Клаффи, К.С.; Сноэрен , Алекс К .; Каллитсис, Майкл (2015-09-10). Использование фонового излучения Интернета для оппортунистического сетевого анализа (PDF) . Конференция по измерению Интернета '15. Токио, Япония. doi :10.1145/2815675.2815702. ISBN 978-1-4503-3848-6. S2CID  6184617. Даркнет или сетевой телескоп — это набор маршрутизируемых, но неиспользуемых IP-адресов, ... UC San Diego и Merit Network управляют большими даркнетами, которые мы называем UCSD-NT и MERIT-NT соответственно. UCSD-NT наблюдает за трафиком, предназначенным для более чем 99% IP-адресов в непрерывном блоке / 8. MERIT-NT охватывает около 67% другого блока / 8 .
5. Мур, Дэвид; Шеннон, Колин; Фёлькер, Джеффри М.; Сэвидж, Стефан (апрель 2004 г.). "Сетевые телескопы: технический отчет" (PDF) . Технические отчеты. сетевые телескопы были названы по аналогии с астрономическими телескопами , ... обусловленные сравнением пакетов , прибывающих в часть адресного пространства , с фотонами , прибывающими в апертуру светового телескопа . ... большая апертура увеличивает разрешение объектов, предоставляя больше позиционных деталей; в сетевых телескопах наличие большего адресного пространства увеличивает разрешение событий, предоставляя больше временных деталей. ... для наблюдения одного или нескольких пакетов с хоста, подобного Code-Red, на / 8 с вероятностью 99,999% требуется 4,9 минуты. ... Даже если атака длилась 5 минут, существует только 89,9% вероятность того, что телескоп / 16 увидит хотя бы 1 пакет. ... поблагодарить Брайана Кантора , Джима Мэддена и Пэта Уилсона из Калифорнийского университета в Сан-Диего за техническую поддержку проекта Network Telescope . ... Поддержка этой работы предоставлена ​​грантом NSF Trusted Computing Grant CCR -0311690, исследовательской программой Cisco Systems University Research Program, контрактом DARPA FTN N66001-01-1-8933, грантом NSF ANI -0221172, грантом Национального института стандартов 60NANB1D0118 и щедрым пожертвованием от AT&T .
6. Le Malécot, Erwan; Inoue, Daisuke (20 марта 2014 г.). Danger, Jean Luc; Debbabi, Mourad; Marion, Jean-Yves; Garcia-Alfaro, Joaquin; Heywood, Nur Zincir (ред.). The Carna Botnet Through the Lens of a Network Telescope. Основы и практика безопасности: 6-й международный симпозиум. Ла-Рошель, Франция. стр. 427. ISBN 9783319053028.«сетевой телескоп, который мы в настоящее время эксплуатируем, насчитывает около 210 тысяч неиспользуемых адресов IPv4, распределенных по сетям ряда партнерских организаций (расположенных в Японии и за рубежом). Эти неиспользуемые адреса образуют даркнеты размером от нескольких адресов до целых / 16 подсетей ... понятие «серой сети» ... состоящей из смеси используемых и неиспользуемых IP-адресов
7. Клаффи, К .; Фоменков, Марина; Калифорнийский университет в Сан-Диего ; Центр прикладного анализа интернет-данных (CAIDA) (22.06.2018). Роуз, Фрейс А.; Матияс, Джон Д. (ред.). Окончательный технический отчет. Поддержка исследований и разработок технологий безопасности посредством сбора сетевых и безопасных данных (отчет). Информационное управление исследовательской лаборатории ВВС . стр. iii, 2, 3, 7. Сентябрь 2012 г. — декабрь 2017 г. ... Номер гранта: FA8750-12-2-0326 ... занимались сбором данных на уровне пакетов с сетевого телескопа UCSD (который отслеживает a / 8 IPv4 darknet) ... количество файлов и общий объем собранных данных ... (с [01.10.2012] по [31.12.2017]), а также совокупный размер ... Телескоп : количество файлов: 129552; Размер: 2,85 ПБ ; Размер на диске (сжатый), [на 2017-12-31]: 1,30 ПБ ; Размер без сжатия, [на 2017-12-31]: 3,25 ПБ
8. Дурумерик, Закир; Бейли, Майкл; Халдерман, Дж. Алекс; Мичиганский университет (08.08.2014). Взгляд на сканирование в масштабах всего Интернета (PDF) . Симпозиум по безопасности USENIX. darknet работал в Merit Network в период с [01.01.2013] по [01.05.2014]. ... 5,5 миллионов адресов, ... 1,4 миллиарда пакетов или 55 ГБ трафика в день.
9. Merit Network . "Longitudinal Darknet 35/8". Данные адресного пространства Blackhole, flowtuple. IMPACT Cybertrust. в случае атаки TCP SYN flood с поддельным исходным IP-адресом жертва ответит TCP SYN-ACK на поддельный IP-адрес; если поддельный IP-адрес оказался в адресном пространстве 35/8 , наш darknet перехватит ответы SYN-ACK ... Начало сбора: [2005-10-05]; ... Сбор данных продолжается ... Размер: 18,2 ТБ Размер растет по мере сбора новых данных
10. Белсон, Дэвид, ред. (2009-07-09). "Conficker" (PDF) . Безопасность. Состояние Интернета . Том 2, № 1. Технологии Akamai . стр. 8. подтверждается аналогичными падениями, наблюдаемыми сетевым телескопом CAIDA UCSD , который выполняет функцию, аналогичную набору серверов Akamai , собирающих данные об атаках.
11. Рихтер, Филипп; Бергер, Артур (июль 2019 г.). Сканирование сканеров: зондирование Интернета с помощью телескопа с распределенной сетью. Конференция ACM по измерениям Интернета. Амстердам, Нидерланды.
12. O'Hara, Joseph (апрель 2019 г.). "Облачный сетевой телескоп для сбора фонового излучения в Интернете" (PDF) . Тринити-колледж в Дублине . стр. 16. Благодарим Эоина Кенни из HEAnet ... Традиционный сетевой телескоп /16 был предоставлен HEAnet , Национальной образовательной и исследовательской сетью Ирландии. ... адресное пространство / 16 не использовалось в течение ряда лет до этого исследования ... в 256 раз меньше, чем CAIDA / 8 ... зарегистрированная скорость передачи данных составила 1,25 Мбит/ с ... 95,6 ГБ
13. Metongnon, Lionel; Sadre, Ramin (2018-08-20). Beyond Telnet: Prevalence of IoT Protocols in Telescope and Honeypot Measurements . ACM SIGCOMM-WTMC. стр. 4. doi : 10.1145/3229598.3229604 . S2CID  51926045. настройка с сетевым телескопом / 15
14. Абен, Эмиль (17.01.2020). «Дебогонизация 2a10::/12».

Дальнейшее чтение

• Белловин, Стивен М. (1992-08-15). Там будут драконы (PDF) . Третий симпозиум по безопасности Usenix UNIX. Архивировано из оригинала (PDF) 2004-12-07 . Получено 2019-07-31 .
• Белловин, Стивен М. (1993-08-23). ​​"Пакеты, найденные в Интернете" (PDF) . Computer Communications Review . 23 (3): 26–31. doi :10.1145/174194.174199. S2CID  35537646. Архивировано из оригинала (PDF) 2004-12-07 . Получено 2019-07-31 .

Внешние ссылки

• Телескоп сети CAIDA в Калифорнийском университете в Сан-Диего
• Проект Darknet в Team Cymru Darknet