Сетевой телескоп - Network telescope

А сетевой телескоп (также известный как пакетный телескоп,[1] даркнет, Датчик движения в Интернете или черная дыра)[2][3][4] является Интернет система, позволяющая наблюдать за различными масштабными событиями, происходящими в сети Интернет. Основная идея - наблюдать за трафиком, нацеленным на темное (неиспользуемое) адресное пространство сети. Поскольку весь трафик на эти адреса является подозрительным, можно получить информацию о возможных сетевых атаках (случайные сканирующие черви и DDoS обратное рассеяние ), а также другие неправильные конфигурации, наблюдая за ним.

Разрешение Интернет-телескопа зависит от количества IP-адреса он контролирует. Например, большой интернет-телескоп, отслеживающий трафик на 16 777 216 адресов ( /8 Интернет-телескоп в IPv4 ), имеет более высокую вероятность наблюдения относительно небольшого события, чем меньший телескоп, отслеживающий 65 536 адресов ( /16 Интернет-телескоп).

Название происходит от аналогии с оптические телескопы, где больший физический размер позволяет больше фотоны быть замеченным.[5]

Экземпляры больших сетевых телескопов
СетьПокрытиеIP-адресаИмяСрок жизниЗахватывает
1/8100%[3]~ 16 млнAPNIC2010-02-23 (1 неделя)4.1 терабайт[3]
44/899%[4]~ 16 млнСетевой телескоп UCSD[примечание 1]2001-02-01‒2017-12-313.25 петабайт[6]
2018-01-01‒2019-06-04
74%~ 12 млн2019-06-05—
35/867%[4]~ 11 млнСеть заслуг[заметка 2]2005-10-05—18.2 терабайт[8]
50/8100%[3]~ 16 млнARIN2010-03-12 (1 неделя)1.1 терабайт[3]
107/8100%[3]~ 16 млнARIN2010-03-25 (1 неделя)1.2 терабайт[3]
1300 сетейАкамай[9] / Массачусетский технологический институт[10]2009/2019—
/16100%65 тыс.HEAnet[11]2019-03 (1 неделя)96 гигабайт[11]
/15100%~ 130 тыс.SURFnet[12]
  1. ^ Размещено на Суперкомпьютерный центр Сан-Диего, управляется Центр прикладного анализа интернет-данных за Калифорнийский университет в Сан-Диего, используя любительское радио AMPRNet IP-адреса.
  2. ^ Сеть заслуг Телескоп, состоящий из ~ 5,5 млн (2014 г.),[7] или ~ 11 миллионов неиспользуемых IP-адресов.

Вариантом сетевого телескопа является разреженная темная сеть, или серая сеть, состоящая из области айпи адрес пространство, которое редко заполнено адресами «даркнета», перемежающимися с активными (или «освещенными») IP-адресами.[2] Сюда входит greynet, собранный из 210 000 неиспользуемых IP-адресов, расположенных в основном в Японии.[13]

Смотрите также

Рекомендации

  1. ^ Чесвик, Билл (Август 2013). "Билл Чесвик о межсетевых экранах" (PDF). Безопасность. ; логин: Журнал USENIX (Опрос). 38 (4). Беседовал Рик Фэрроу. п. 21. примерно в это время (конец 1980-х) Марк Хортон получил адрес класса А за AT&T от сильных мира сего, просто спросив. ... наш Cray компьютер, казалось, требовал сеть класса А ... взял 12.0.0.0/8 и объявил об этом в сети, отправив пакеты на несуществующий адрес Ethernet и запустив tcpdump по трафику, который составил от 12 до 25 МБ / день. Стив проанализировал этот трафик и написал прекрасную статью. По сути, мы наблюдали предсмертные крики атакованных хостов, которые использовали аутентификацию на основе IP-адресов. ... Это первый пакетный телескоп, который я могу вспомнить, и я думаю, что мог бы даже придумать термин "пакетный телескоп", но моя память об этом нечеткая.
  2. ^ а б Harrop, W .; Армитаж, Г. (2005). «Определение и оценка серых сетей (разреженных темных сетей)». 30-летие конференции IEEE по локальным компьютерным сетям (LCN'05) l. Войдите или купите для доступа: ieeexplore.ieee.org. С. 344–350. Дои:10.1109 / LCN.2005.46. HDL:1959.3/2449. ISBN  0-7695-2421-4. S2CID  18789864.
  3. ^ а б c d е ж грамм Вустров, Эрик; Карир, Маниш; Бейли, Майкл; Джаханян, Фарнам; Хьюстон, Джефф (09.06.2010). Возвращение к фоновому излучению Интернета (PDF). Конференция по Интернет-измерениям. Системы, которые контролируют неиспользуемые адресные пространства, имеют множество названий, включая даркнет, сетевые телескопы, мониторы черных дыр, сетевые приемники и сетевые датчики движения. ... 1/8 ... 50/8 ... 107/8 ... 35/8
  4. ^ а б c Бенсон, Карин; Дайнотти, Альберто; Клаффи, К.; Сноерен, Алекс К.; Каллицис, Майкл (10.09.2015). Использование фонового излучения Интернета для анализа оппортунистической сети (PDF). Токио, Япония. Дои:10.1145/2815675.2815702. ISBN  978-1-4503-3848-6. S2CID  6184617. Даркнет или сетевой телескоп - это набор маршрутизируемых, но неиспользуемых IP-адресов, ... Калифорнийский университет в Сан-Диего и Сеть заслуг работают в больших темных сетях, которые мы называем UCSD-NT и MERIT-NT соответственно. UCSD-NT наблюдает за трафиком, направленным на более чем 99% IP-адресов в непрерывном /8 блок. MERIT-NT покрывает около 67% различных /8 блок.
  5. ^ Мур, Дэвид; Шеннон, Коллин; Voelker, Джеффри М .; Дикарь, Стефан (Апрель 2004 г.). «Сетевые телескопы: технический отчет» (PDF). Технические отчеты. сетевые телескопы были названы по аналогии с астрономические телескопы, ... на основе сравнения пакеты прибытие в часть адресное пространство к фотоны прибытие в проем световой телескоп. ... больший отверстие увеличивает разрешение объектов за счет более детального позиционирования; с сетевыми телескопами, имеющими больший адресное пространство увеличивает разрешение событий, предоставляя более подробную информацию о времени. ... для наблюдения за одним или несколькими пакетами из Код красный -подобный хост на /8 с Вероятность 99,999% требуется 4,9 минуты. ... Даже если атака длилась 5 минут, вероятность того, что /16 телескоп увидел бы как минимум 1 пакет. ... благодарить Брайан Кантор, Джим Мэдден и Пэт Уилсон из UCSD для технической поддержки проект Network Telescope. ... Поддержка этой работы осуществляется NSF Грант на доверенные вычисления CCR-0311690, Cisco Systems Программа университетских исследований, DARPA FTN Договор №66001-01-1-8933, г. NSF Грант ANI-0221172, Национальный институт стандартов Грант 60NANB1D0118 и щедрый подарок от AT&T. Цитировать журнал требует | журнал = (Помогите)
  6. ^ Клаффи, К.; Фоменков, Марина; Калифорнийский университет в Сан-Диего; Центр прикладного анализа интернет-данных (CAIDA) (22.06.2018). Rose, Fraces A .; Матыяс, Джон Д. (ред.). Окончательный технический отчет. Поддержка исследований и разработок технологий безопасности посредством сбора данных по сети и безопасности (Отчет). Управление информации научно-исследовательской лаборатории ВВС. С. III, 2, 3, 7. Сен 2012 – Декабрь 2017 ... Номер гранта: FA8750-12-2-0326 ... занимается сбор данных на уровне пакетов от Сетевой телескоп UCSD (который контролирует /8 IPv4 darknet) ... количество файлов и общий объем собранных данных ... (с [2012-10-01] до [2017-12-31]), а также совокупный размер ... Телескоп: количество файлов: 129552; Размер: 2,85 PB; Размер на диске (сжатый), [at 2017-12-31]: 1,30 PB; Несжатый размер, [at 2017-12-31]: 3,25 PB Cite имеет пустой неизвестный параметр: |1= (Помогите)
  7. ^ Дурумерик, Закир; Бейли, Майкл; Халдерман, Дж. Алекс; университет Мичигана (2014-08-08). «Интернет-взгляд на сканирование в Интернете» (PDF). даркнет работает в Сеть заслуг на период с [2013-01-01] по [2014-05-01]. ... 5,5 миллиона адресов, ... 1,4 миллиарда пакетов или 55 ГБ трафика в день. Цитировать журнал требует | журнал = (Помогите)
  8. ^ Сеть заслуг. "Продольный даркнет 35/8". Данные адресного пространства Blackhole, поток. ВОЗДЕЙСТВИЕ на Cybertrust. в случае TCP SYN флуд-атака с поддельным исходным IP-адресом, жертва ответит TCP SYN-ACK на поддельный IP-адрес; если поддельный IP-адрес оказался в пределах 35/8 адресное пространство, наша темная сеть будет захватывать ответы SYN-ACK ... Начало сбора: [2005-10-05]; ... Сбор данных продолжается ... Размер: 18,2 ТБ Размер растет по мере сбора данных
  9. ^ Белсон, Дэвид, изд. (2009-07-09). "Конфикер" (PDF). Безопасность. Состояние Интернета. Vol. 2 шт. 1. Akamai Technologies. п. 8. подтверждается аналогичным падением, наблюдаемым CAIDA с Сетевой телескоп UCSD, который выполняет функцию, аналогичную набору Акамай серверы, собирающие данные о трафике атак.
  10. ^ Рихтер, Филипп; Бергер, Артур (июль 2019 г.). Сканирование сканеров: обнаружение Интернета с помощью крупнораспределенного сетевого телескопа. ACM Internet Measurement Conference. Амстердам, Нидерланды.
  11. ^ а б О'Хара, Джозеф (апрель 2019 г.). «Облачный сетевой телескоп для сбора радиационного фона в Интернете» (PDF). Тринити-колледж Дублина: 16. Спасибо Эоину Кенни из HEAnet ... Традиционный сетевой телескоп / 16 предоставил HEAnet, Национальная сеть образования и исследований Ирландии. ... /16 адресное пространство не использовалось в течение нескольких лет до этого исследования ... в 256 раз меньше, чем CAIDA /8 ... скорость записанных данных была 1,25Мбит / с ... 95.6ГБ Цитировать журнал требует | журнал = (Помогите)
  12. ^ Метонгнон, Лайонел; Садре, Рамин (20.08.2018). За пределами Telnet: преобладание протоколов IoT в измерениях телескопов и приманок (слайды презентации). ACM SIGCOMM-WTMC. п. 4. Дои:10.1145/3229598.3229604. S2CID  51926045. установка с /15 сетевой телескоп
  13. ^ Ле Малеко, Эрван; Иноуэ, Дайсуке (20 марта 2014 г.). Опасность, Жан Люк; Деббаби, Мурад; Марион, Жан-Ив; Гарсия-Альфаро, Хоакин; Хейвуд, Нур Цинцир (ред.). Ботнет Carna в объективе сетевого телескопа. Основы и практика безопасности: 6-й международный симпозиум. Ла-Рошель, Франция. п. 427. ISBN  9783319053028. «сетевой телескоп, который мы используем в настоящее время, насчитывает около 210 тысяч неиспользуемых адресов IPv4, распределенных по сетям ряда партнерских организаций (расположенных в Японии и за ее пределами). Эти неиспользуемые адреса образуют темные сети размером от нескольких адресов до целых /16 подсети ... понятие "серой сети" ... состоящее из смеси используемых и неиспользуемых IP-адресов

дальнейшее чтение

внешняя ссылка