Brief
- Meeting: S&P 2019
- Authors: Xianghang Mi, Xuan Feng, Xiaojing Liao, Baojun Liu, XiaoFeng Wang, Feng Qian, Zhou Li, Sumayah Alrwais, Limin Sun, Ying Liu
Background
分布式反射拒绝服务攻击体现了一种利用新型的家用IP代理的攻击方式。
Residential IP Proxy as a Service (RPaaS) 指代了控制了大量家用终端(自愿加入)的提供代理网络的服务。一些公司提供这样的服务。这种服务可以用于 DoS,爬虫,恶意破坏 SEO 等非法攻击。
Conclusions
- 这种网络分布在 238 个国家,52905 个独立IP。其中 95% 是家庭设备。
- 发现大量设备并非自愿加入网络。即使是部分设备也是妥协的结果
- 正在运行在代理网络之上的有 67 个程序,其中 50 个可能是恶意的程序。
- 只有 9.36% 的终端检测到了这种恶意流量,更有部分安全检测主机是 RPaaS 的一员。
- 代理商可能使用其他代理商的网络(多级零售),有些代理商没有背景审查并接受比特币。
- 鉴别了后台网关。这些网关部分被检测到而已并被屏蔽。
Method and Dataset
这些网络通过 http/https 等方式发起请求。
- 一个实验用的客户端发起某一个域名的请求。这些域名中包括了时间戳,uuid等信息。
- 一个dns服务器,用于由网络中的host查询dns时候,记录发送方的ip等信息,并返回接收器的ip
- 一个接收器,用于接收最终的请求。
为了对流量进行伪装。作者使用了多个位于不同地域的服务器。并对流量使用 aes128 加密。
作者构建和训练了一个分类器用于对IP进行判断是否是家庭IP。使用 whois 、GEOIP 等信息加以判断。
本人保留对侵权者及其全家发动因果律武器的权利
版权提醒
如无特殊申明,本站所有文章均是本人原创。转载请务必附上原文链接:https://www.elliot98.top/post/lab/ps2019-1/。
如有其它需要,请邮件联系!版权所有,违者必究!