网络侦察的反溯源技术研究.docxVIP

网络侦察的反溯源技术研究

一.前言

近年来，随着全球局势的紧张，各种冲突愈演愈烈，情报、监视与侦察（ISR）的作用愈发明显，成为了决定胜负的关键因素之一。侦察是获取情报的重要手段，反侦察能力是保障安全和成功的关键，有效的反侦察可以保护侦察人员和设备的安全性，维护情报的机密性，提高战场的隐蔽性。如图1是一种躲避警犬式追踪的方法，侦察者可以采用反复迂回的方式进行逃跑，目的是误导敌军，使其沿着错误的路线追踪，实现反跟踪。

图1.采用迂回来躲避警犬式跟踪

在网络侦察也是获取情报的重要侦察手段之一，所以确保反溯源同样是至关重要的。2021年12月，DARPA发布了SMOKE

（SignatureManagementusingOperationalKnowledgeandEnvironments），其中一个核心目标是提升网络红队的反溯源能力。就像SMOKE这个名称一样，该项目目标是在网络攻击中利用制造迷雾来掩盖真实的网络攻击。反溯源有助于确保网络侦察活动的成功和持续性。接下来本文将介绍几种网络侦察反溯源的方法，仅供参考。

二、网络反溯源常用方法

2.1

Tor匿名网络

匿名网络起源于1981Mix网.目前应用最广泛的匿名网络——洋葱路由(Tor)就是基于Mix网思想。“洋葱路由”的最初目的并不是保护隐私，它的目的是让情报人员的网上活动不被敌对国监控。

如图2所示，Tor的基本思路是：利用多个节点转送封包，并且透过密码学保证每个节点仅有局部通信，没有全局通信，例如：每个节点皆无法同时得知请求端与响应端的IP，也无法解析线路的完整组成。Tor节点（OnionRouter）构成的线路（Circuit）是洋葱路由，每线路有3节点，请求端与节点建立线路，交换线路密钥。请求端使用3组线路密钥对封包进行3层加密，确保每节点只能解开属于自己的密文，以此来实现网络的匿名性。

图2.Tor的原理示意图

截止目前Tor项目大约有7500个节点可供使用。图3是Tor的一些出口节点。

图3.Tor部分出口节点

匿名网络的优势在于提供相对高匿名性、去中心化，通过多层加密保护用户隐私，然而缺点就是网络延时大、节点可能威胁情报拉黑。类似Tor的匿名网络还有I2P、Yandex、Whonix等。使用匿名做网络侦察时需要权衡这些因素，并根据具体情境做出选择。

2.2

网络地址代理池

利用网络地址代理池也可以实现反溯源的效果。其主要原理如图4所示，代理的方式主要有机场节点、自建/付费的代理池、ADSLVPS等。

图4.网络地址代理池示意图

机场节点即虚拟专用网络（VPN）或代理服务。这些节点分布在全球各地，用户可以通过连接到它们来实现网络匿名、加密通信或访问特定地区的互联网内容。

自建和付费代理池实现是一样的，前者是寻找免费的代理池，比如Github开源项目ProxyPool就提供了十几个免费的代理池，如图5.地址可用性低。付费的代理供应商就比较多了，一般是按照流量计费，地址可用性高。

图5.ProxyPool项目梳理免费的代理网站

ADSL（AsymmetricDigitalSubscriberLine）VPS技术连接到互联网的虚拟专用服务器（VPS）。每次断网进行重新拨号，就会获得重新随机获得一个IP，通过此方式实现代理。

2.3

匿名扫描工具

匿名扫描工具实现的方式大多数也是以代理的思路实现的，比如Scanless这款开源的匿名端口扫描工具，因为使用了第三方扫描平台，所以进行端口扫描时可实现匿名扫描。如图3所示，这些第三方服务网站提供多种网络工具，包括IP地址查询、端口扫描、WHOIS查询等、反向DNS查询等，用于网络管理和安全评估。比如IPfingerprints和Viewdns提供详细的IP和域名信息，Ping.eu用于测试目标主机的连通性，Spiderip、standingtech、yougetsignal提供端口扫描等多种网络侦察方法。

图6.Scanless的第三方探测源

Scanless是基于命令行的利用第三方在线服务执行端口扫描工具，类似Shodan也提供提交任务，进行扫描探测的功能。该方法主要优势简单的、无需本地配置的用户界面，具有匿名性和易用性。然而，它依赖外部服务的可用性，功能有限，在简单扫描需求下适用，但对于敏感目标或功能要求较高的情况，可能需要使用更强大的本地扫描工具。

2.4

Serverless云函数

Serverless是一种云原生开发模型，允许开发人员构建和运行应用程序而无需管理服务器。云函数（CloudFunctions）是云服务商提供的无服务器执行环境，可以执行函数和脚本，比如请求网站获取响应码。可通过API网关触发器进行触发，接收客户端的网络请求，利用云服务商的地址池作为出口的特性，将请求随机转发出去，这