1、“Mapping Internet Sensors With Probe Response Attacks”閱讀報告 論文作者John Bethencourt等，來自麥迪遜威斯康辛州大學計算機系。這篇論文被評為2005年第14屆USENIX安全會議的Best Paper。Internet存在一些監測網絡攻擊的主機，它們將非法連接提交到中央服務器，服務器可以統計出一段時間內被攻擊最多的端口（port）、目標主機、源主機等信息，監測機構會發布這樣的報告供有需要的人用作安全分析。這篇文章提出了probe response attacks，探測反饋攻擊，利用特殊設計的掃描探測引發特定的報告，從而探測出

2、精確的sensor節點。以port reports為例，探測的核心思想是：某特定port被攻擊，sensor會提交攻擊報告而其他系統沒反應。攻擊不同IP特定端口，根據公開的報告判斷是否為sensor。假設沒有噪音，即沒有其他原因干擾檢測，基本算法是：1. 將需要探測的有效地址空間和設定用來探測的端口空間劃分為n份，和，i=1,2，n。向中地址的包含在中端口發送探測包；一定時間（假定兩小時）后查看報告，去掉沒有sensor的空間（中端口沒有被報告的），把有sensor的空間和空間中sensor的數量一起傳到下一步。2. 端口空間劃分為n份，i=1,2，n。；余下的k個地址空間域，j=1,2，k，

3、每個劃分為n/k+1個子空間，m=1,2，n/k+1。中每個端口對應一個子空間，發送探測包，剩下的一個子空間不探測。一定時間后查看報告，可以得到n/k個子空間的sensor數量，同時剩下的一個子空間sensor數量可由前面得到的中sensor數量計算出來。去掉沒有sensor的子空間，把剩下的空間和空間中的sensor數量一起傳到下一步。循環執行2直到所有空間要么全是sensor要么沒有任何sensor。 在實際環境中會存在第三方的攻擊生成的記錄，稱為背景噪聲。實際條件下可能存在某個port被攻擊而此攻擊不是由我們的探測發起的，需要去除這樣的噪音。作者連續10天統計了不同大小端口空間中的報告數

4、（背景噪聲），發現相對于端口數量，報告數量很少。簡單去除噪聲的方法是，若某端口空間對應的背景報告數小于k，則每次對同一個端口的探測包發送k次，之后對報告數量用除法即可求得真實的sensor數量。某些條件下算法可以改進以提高效率，提出的方法有：1. 若不需要精確的sensor分布，可以用比例參數加快探測。如探測sensor分布地址的一個父集或子集，可以設定當某個子空間中sensor所占比例大于或小于某個值時不再繼續探測。2. 多源地址技術：利用port reports表中對source的統計，每一個空間用偽造的不同數量IP探測，由source數量即可知存在sensor和沒有sensor的空間。如

5、第一個空間用一個IP，第二個用兩個，第i個用個；若對3個空間探測source為5，即可知第一和第三個空間有sensor，第二個沒有。 多源地址技術相應地有特殊的處理措施。多源地址技術去噪音：第i個空間用m個IP，背景噪聲小于m，先用除法求得真實source數量再計算sensor數量。 多源地址技術防止出口過濾：首先應該避免偽造的多個IP在同一子網內。可靠的做法是先把偽造包發到外部網絡一臺可用的主機，確保離開子網時不會被過濾。 多源地址技術適用范圍是需要劃分的空間數量少，探測者擁有高帶寬的情況。作者以監測系統SANS Internet Storm Center為目標進行攻擊模擬。使用不同帶寬探測

6、者（不同數量的分布式主機）發現ISC sensor，統計探測包數、時間和進度的關系。有效的地址空間大小21億。 代號T1、T3、OC6探測者帶寬分別為1.544Mbps、38.4Mbps、384Mbps 上圖為精確探測時時間和發包數的曲線，時間軸右端表示探測完成。 上圖為精確探測時時間和進度的曲線。通過實測數據，可以看到帶寬減少探測所需時間單增，但隨著帶寬增大影響程度越來越小。分析原因探測第一階段和第二階段頭幾次循環目標IP地址數量巨大，需要較大帶寬才能增大每次探測數量減少探測時間；而探測過一段時間后隨著一定數量的地址空間探測完畢（沒有sensor或探測出全部sensor），目標IP減少，探測

7、速度對帶寬的依賴自然減小。帶寬較低的探測者選用較少探測端口，噪音相對小；帶寬高的探測者使用多源IP探測技術，這兩個原因是探測包數量不同的原因。 上圖為不精確探測的完成情況與精確探測完成情況的比較。superset探測取概率0.94，即若發現一個地址空間中94%以上的IP都對應sensor，此時終止探測，假定此空間中主機都是sensor，有誤報。Subset探測取概率0.001，即若發現一個地址空間中sensor數量少于0.1%，此時終止探測，假定此空間沒有sensor，有漏報。認為在帶寬較低時減短探測時間效果比較明顯。 作者還對普遍分布的sensor進行探測模擬：模擬采用和ISC探測時相同的地

8、址空間和sensor數量，sensor聚集分布情況依照帕累托分布，sensor聚集之間的空隙服從指數分布，依照ISC情況設置參數，探測完成時間接近實測。對不同“平均sensor聚集大小”情況進行測試，還有sensor隨機分配情況的測試，得出平均聚集的IP數越大，探測所需時間越短的結論。 對攻擊模擬的結果總結：攻擊者特別是擁有較大帶寬的攻擊者可以在較短時間內（作者對ISC測試實例花費2+天到33+天）探測出sensor的精確分布。攻擊者探測出sensor分布后，由分布列表發起攻擊時可以回避sensor，蠕蟲傳播也可以避開sensor，由此使整個分布式監控系統失去應有效果。更嚴重的情況是這份列表被

9、傳播開來會產生長期影響，因為監控網絡IP空間的改變要花費很長時間。 作者最后討論了反探測措施。當前以混淆“隱藏通道”（報告附加的源地址、時間等表項）為主，但這些方法只能帶來少許麻煩，不能限制探測。文中提出的方法有：1.信息限制：只把報告提供給可信方。用排行榜代替完整的報告。通過付費或虛擬付費，或者需要人工交互的方式限制報告的獲取。抽樣，每次只發布報告的一部分（不會影響安全分析）。2.其他技術：掃描預防，IPv6巨大的地址空間可以解決sensor探測問題，當然sensor本身也不能正常工作了。延遲報告，攻擊者只能要么增加探測周期要么增加探測成本。Sensor采用抽樣方式提交服務器。Cyber CDC（Cyber Center for Disease Control）項目的Staniford等人曾研究過監測系統的性能和保密性，但以性能研究為主。論文針對分布式探測系統自身的保密性進行討論。保密性是探測系統正常工作的前提，文中提出了探測sensor節點的可行措施，從反面提出了警告，十分有力。最能體現作者創意的部分就是探測反饋攻擊的思想和算法設計，利用巧妙設計和分