何云華 牛童 劉天一 肖珂 蘆翔

摘 要：針對網(wǎng)絡(luò)掃描工具在進(jìn)行掃描時面臨的溯源問題，提出了一種匿名網(wǎng)絡(luò)掃描系統(tǒng)。首先將匿名系統(tǒng)與網(wǎng)絡(luò)掃描工具結(jié)合以實現(xiàn)匿名掃描; 然后在現(xiàn)有匿名系統(tǒng)的基礎(chǔ)上實現(xiàn)了該系統(tǒng)的本地私有化; 接著通過流量分析發(fā)現(xiàn)，Nmap的多進(jìn)程掃描因為代理鏈的原因會變成單進(jìn)程掃描而導(dǎo)致其掃描掃描性能較低; 最后提出了一種基于多Namp進(jìn)程并發(fā)的性能優(yōu)化方案，將總體掃描任務(wù)分割為多個掃描任務(wù)，并分配給多個單獨(dú)的Nmap進(jìn)程并行運(yùn)行。實驗結(jié)果表明，該性能優(yōu)化方案的掃描時延接近正常掃描情況下的時延，達(dá)到了提高匿名掃描系統(tǒng)性能的目的。因此，該優(yōu)化后的網(wǎng)絡(luò)匿名掃描系統(tǒng)在阻礙溯源的同時提升了掃描效率。

關(guān)鍵詞：匿名服務(wù)發(fā)現(xiàn);網(wǎng)絡(luò)掃描;性能優(yōu)化;洋蔥路由

中圖分類號：TP302

文獻(xiàn)標(biāo)志碼：A

Abstract： An anonymous network scanning system was proposed for traceability problem faced by network scanning tools during scanning. Firstly， the anonymous system was combined with the network scanning tool to implement anonymous scanning. Then， the local privatization of the system was implemented based on existing anonymous system. Thirdly， through traffic analysis， it was found that Nmaps multiprocess scanning would become a singleprocess scan due to proxy chain， resulting in lower scan scan performance. Finally， a performance optimization scheme based on multiNamp process concurrency was proposed， which divided the overall scan task into multiple scan tasks and assigned them to multiple separate Nmap processes in parallel. The experimental results show that the scanning delay of the performance optimization scheme is close to that of the normal scanning system， and achieves the purpose of improving the performance of the anonymous scanning system. Therefore， the optimized network anonymous scanning system hinders the traceability and improves the scanning efficiency.

英文關(guān)鍵詞Key words： anonymous service discovery; network scanning; network proxy; The onion routing （Tor）

0 引言

隨著互聯(lián)網(wǎng)技術(shù)與信息安全技術(shù)的發(fā)展，網(wǎng)絡(luò)空間安全的態(tài)勢感知問題逐漸受到重視，網(wǎng)絡(luò)掃描工具作為其基本工具被使用得也越來越頻繁。根據(jù)Gartner公司發(fā)布的最新預(yù)測，全球信息安全產(chǎn)品及服務(wù)支出在2017年年內(nèi)達(dá)到864億美元，較2016年全年增長7%，預(yù)計2018年全年支出將進(jìn)一步增長至930億美元[1]。

隨著人們對自身信息安全意識的提升，網(wǎng)絡(luò)掃描開始面臨著被溯源的危險[2-3]。溯源技術(shù)即通過抓取數(shù)據(jù)包中的源地址來確定數(shù)據(jù)包的來源，以此來確定掃描來源。掃描者一旦被發(fā)現(xiàn)就面臨著追究責(zé)任等各種問題，所以，如何防止掃描者被溯源，防止掃描者的個人信息的泄露顯得至關(guān)重要。

匿名系統(tǒng)[4-6]通過隱藏或者模糊通信數(shù)據(jù)包中的源地址和目的地址，從而達(dá)到隱藏通信雙方的目的。目前，研究人員已經(jīng)開始嘗試將匿名系統(tǒng)和網(wǎng)絡(luò)服務(wù)發(fā)現(xiàn)工具相結(jié)合的方式來實現(xiàn)匿名掃描[7]，但僅給出簡單的方案描述，沒有進(jìn)行詳細(xì)的設(shè)計和具體實現(xiàn);另外，該方案在實現(xiàn)匿名的同時增加了掃描性能的開銷，掃描性能是網(wǎng)絡(luò)掃描最重要的評價指標(biāo)。

本文在本地搭建私有洋蔥路由（The onion router， Tor）網(wǎng)絡(luò)進(jìn)行研究，分析其數(shù)據(jù)包，量化Tor對掃描器的性能影響。通過多次詳細(xì)的實驗測量了其在掃描時延以及網(wǎng)絡(luò)開銷兩方面的性能，并通過流量分析給出了一種有效的性能優(yōu)化方案。本文主要貢獻(xiàn)如下：

1）實現(xiàn)了匿名系統(tǒng)的本地私有化，使對匿名系統(tǒng)進(jìn)行流量分析變得可以實現(xiàn)。

2）對匿名系統(tǒng)進(jìn)行流量分析，找出了其性能損失點(diǎn)并給出了針對性的解決方案。

1 相關(guān)工作

網(wǎng)絡(luò)服務(wù)發(fā)現(xiàn)工具即端口掃描工具是用于檢查設(shè)備上的開放端口的工具。其掃描原理是根據(jù)目的主機(jī)對數(shù)據(jù)探測包的回應(yīng)來確定目的主機(jī)的相關(guān)信息，它們可以在本地或者服務(wù)器上運(yùn)行，與許多工具一樣，端口掃描工具也分為開源版本和企業(yè)級工具。開源的工具主要包括Nmap、Zmap、Queso以及Masscan，企業(yè)級的工具主要包括Nessus（Tenable，2016）和惠普網(wǎng)絡(luò)端口掃描器。目前，楊明欣等[8]在Nmap的基礎(chǔ)上進(jìn)行了掃描性能的優(yōu)化，提出了一種分布式掃描技術(shù); Miller[9]將Nmap與Queso相結(jié)合，提出了提升Nmap安全性的方案; 王平輝等[10]依據(jù)網(wǎng)絡(luò)流量的統(tǒng)計特征提出了一種慢速端口掃描行為檢測方法，用于檢測特征的異常; Akkiraju等[11]提出了一種允許自動使用Nmap、OpenVAS等工具的網(wǎng)絡(luò)安全架構(gòu)，在該架構(gòu)下滲透測試工具自動化應(yīng)用到本地網(wǎng)絡(luò); Heo等[7]通過對大量網(wǎng)絡(luò)日志數(shù)據(jù)進(jìn)行分析，研究了網(wǎng)絡(luò)掃描的行為趨勢。

匿名系統(tǒng)是指通過一定的措施隱藏通信雙方的個人信息的通信系統(tǒng)，這類系統(tǒng)通過編寫新的路由轉(zhuǎn)發(fā)協(xié)議，隱藏或者模糊通信數(shù)據(jù)包中的源地址和目的地址，從而達(dá)到隱藏通信雙方的目的?，F(xiàn)階段匿名通信的研究主要分為三類：基于Mix算法的匿名通信系統(tǒng)、基于泛洪算法的匿名通信系統(tǒng)和基于Tor算法的匿名通信系統(tǒng)。在1981年，針對電子郵件的不可追蹤問題提出了Mix解決辦法，通過對傳送數(shù)據(jù)重新排序、Mix的轉(zhuǎn)接作用等手段隔斷通信雙方的聯(lián)系，從而使得第三方可以得到的數(shù)據(jù)只有信源數(shù)據(jù)的身份以及Mix身份。Hayes等[12]提出了一種基于用戶組的匿名通信協(xié)議以抵御消息交叉攻擊。1998年又出現(xiàn)了以疊加發(fā)送的用餐密碼（Dining Cryptographer， DC）鏈為基礎(chǔ)的網(wǎng)絡(luò)匿名方案。Basu等[13]提出了一種基于概率的消息轉(zhuǎn)發(fā)方案以實現(xiàn)消息的隱私和發(fā)送者的匿名。1996年，洋蔥路由Tor網(wǎng)絡(luò)匿名方案被提出，美國政府于2001年7月24日給Tor授予了專利。楊元原等[14]基于Tor匿名系統(tǒng)的基礎(chǔ)上提出了一套混合的匿名通信系統(tǒng)。Tan等[15]針對Tor隱藏服務(wù)中實際的日食（Eclipse）攻擊場景進(jìn)行了分析，通過概率分析量化攻擊成本，并給出了相應(yīng)對策。周彥偉等[16]針對目錄服務(wù)器做了針對性的安全加固，升級了匿名通信系統(tǒng)。Shahbar等[6]針對Tor系統(tǒng)進(jìn)行了安全性分析，進(jìn)一步改進(jìn)了系統(tǒng)。Sommer等[4]提升Tor用戶參與度以增強(qiáng)用戶隱私。

目前，匿名掃描系統(tǒng)還在起步階段，僅Rohrmann等[17]提出Nmap與Tor相結(jié)合起來，并簡單測試了時延，但沒有給出相對全面的性能損失比對。該系統(tǒng)采用現(xiàn)有公網(wǎng)上的Tor網(wǎng)絡(luò)，但公網(wǎng)上的Tor網(wǎng)絡(luò)會對公網(wǎng)上的流量產(chǎn)生影響，也很難更進(jìn)一步地研究Tor以及Nmap的流量是如何傳輸?shù)摹?/p>

本文不僅給出了匿名掃描系統(tǒng)的詳細(xì)實現(xiàn)方案和流量測試方案，而且給出了性能優(yōu)化方法。

4 結(jié)語

本文設(shè)計并實現(xiàn)匿名掃描系統(tǒng)。該系統(tǒng)有機(jī)結(jié)合了掃描系統(tǒng)、網(wǎng)絡(luò)代理系統(tǒng)以及網(wǎng)絡(luò)匿名系統(tǒng)，保證了掃描方對目的主機(jī)進(jìn)行匿名掃描，能抵抗溯源攻擊。該系統(tǒng)針對近期出現(xiàn)的弱口令DDoS攻擊也進(jìn)行了應(yīng)對，可以有效地防止弱口令攻擊的發(fā)生。最后，在保障安全的基礎(chǔ)上，通過分析通信過程的數(shù)據(jù)包，本文提出了針對該系統(tǒng)的性能提升方案，實現(xiàn)了匿名掃描系統(tǒng)的性能優(yōu)化。另外，本文方案能夠結(jié)合當(dāng)前流行弱密鑰猜測算法來實現(xiàn)對弱密鑰攻擊的掃描，這將在后續(xù)研究工作中進(jìn)行。

參考文獻(xiàn) （References）

[1] E安全. Gartner：2018年全球信息安全支出達(dá)到930億美元[EB/OL].[2018-06-18].http：//www.sohu.com/a/165519395_257305.（E security. Gartner： Global information security expenditure reached 93 billion US dollars in 2018 [EB/OL].[2018-06-18].http：//www.sohu.com/a/165519395_257305.）

[2] NURMI J， KANNISTO J， VAJARANTA M. Observing hidden service directory spying with a private hidden service honeynet[C]// Proceedings of the 2016 11th Asia Joint Conference on Information Security. Piscataway， NJ： IEEE， 2016： 55-59.

[3] ERDIN E， ZACHOR C， GUNES M H. How to find hidden users： a survey of attacks on anonymity networks[J]. IEEE Communications Surveys & Tutorials， 2015， 17（4）： 2296-2316.

[4] SOMMER D， DHAR A， MALISA L， et al. CoverUp： Privacy through “forced” participation in anonymous communication[C]// Proceedings of the 2017 ACM on Asia Conference on Computer and Communications Security， New York： ACM， 2017： 3.

[5] YANG M， LUO J， LING Z， et al. Deanonymizing and countermeasures in anonymous communication networks[J]. IEEE Communications Magazine， 2015， 53（4）： 60-66.

[6] SHAHBAR K， ZINCIRHEYWOOD A N. An analysis of tor pluggable transports under adversarial conditions[C]// Proceedings of the 2017 IEEE Symposium Series on Computational Intelligence. Piscataway， NJ： IEEE， 2018： 1-7.

[7] HEO H， SHIN S. Who is knocking on the Telnet port： a largescale empirical study of network scanning[C]// Proceedings of the 2018 on Asia Conference on Computer and Communications Security. New York： ACM， 2018： 625-636.

[8] 楊明欣， 蔣玉國， 郭文東. Nmap和分布式掃描技術(shù)研究[J]. 電訊技術(shù)， 2005（10）： 253-256.（YANG M X， JIANG Y G， GUO W D.Research on Nmap and distributed scanning technology[J]. Telecommunication Engineering， 2005（10）： 253-256.）

[9] MILLER T. Intrusion detection level analysis of Nmap and Queso[EB/OL].[2018-06-10].http：//www.stillhq.com/pdfdb/000182/data.pdf.

[10] 王平輝，鄭慶華，華國林. 基于流量統(tǒng)計特征的端口掃描檢測算法[J].通信學(xué)報， 2007， 28（12）：14-18.（WANG P H，ZHENG Q H，HUA G L. Port scan detection algorithm based on traffic statistics[J].Journal on Communication， 2007， 28（12）： 14-18.）

[11] AKKIRAJU A， GABAY D， YESILYURT H B， et al. Cybergrenade： automated exploitation of local network machines via single board computers[C]// Proceedings of the 2017 IEEE 14th International Conference on Mobile Ad Hoc and Sensor Systems. Piscataway， NJ： IEEE， 2017：580-584.

[12] HAYES J， TRONCOSO C， DANEZIS G. TASP： Towards anonymity sets that persist[C]// Proceedings of the 2016 ACM on Workshop on Privacy in the Electronic Society. New York： ACM，2016：177-180.

[13] BASU A， CORENA J C， VAIDYA J， et al. Practical private oneway anonymous message routing[C]// Proceedings of the 10th ACM Symposium on Information， Computer and Communications Security. New York： ACM， 2015： 665-665.

[14] 楊元原， 馬文平， 白曉峰. 一種混合的Tor匿名通信系統(tǒng)[J]. 計算機(jī)應(yīng)用研究， 2007， 24（10）：141-144.（YANG Y Y，MA W P，BAI X F. A hybrid Tor anonymous communication system[J]. Application Research of Computer， 2007， 24（10）：141-144.）

[15] TAN Q， GAO Y， SHI J， et al. Towards a comprehensive insight into the eclipse attacks of Tor hidden services[J/OL]. IEEE Internet of Things Journal[2018-06-20]. https：//ieeexplore.ieee.org/document/8382237.

[16] 周彥偉， 楊啟良， 楊波. 一種安全性增強(qiáng)的Tor匿名通信系統(tǒng)[J]. 計算機(jī)研究與發(fā)展， 2014， 51（7）：1538-1546.（ZHOU Y W，YANG Q L，YANG B. A security enhanced Tor anonymous communication system[J]. Journal of Computer Research and Development， 2014， 51（7）：1538-1546.）

[17] ROHRMANN R R， ERCOLANI V J， PATTON M W. Large scale port scanning through tor using parallel Nmap scans to scan large portions of the IPv4 range[C]// Proceedings of the 2017 IEEE International Conference on Intelligence and Security Informatics. Piscataway， NJ： IEEE， 2017：185-187.