Сеть телескоп (также известный как пакеты телескоп , [1] даркну , движение Интернет датчик или черная дыра ) [2] [3] [4] представляет собой интернет - система , которая позволяет наблюдать различные крупномасштабные события , происходящие на Интернет. Основная идея состоит в том, чтобы наблюдать за трафиком, нацеленным на темное (неиспользуемое) адресное пространство сети. Поскольку весь трафик на эти адреса является подозрительным, можно получить информацию о возможных сетевых атаках (случайные сканирующие черви и обратное рассеяние DDoS ), а также о других неправильных конфигурациях, наблюдая за ним.
Разрешение Интернет-телескопа зависит от количества отслеживаемых IP-адресов . Например, большой интернет-телескоп, отслеживающий трафик на 16 777 216 адресов ( интернет-телескоп / 8 в IPv4 ), имеет более высокую вероятность наблюдения относительно небольшого события, чем меньший телескоп, отслеживающий 65 536 адресов ( интернет-телескоп / 16 ).
Название происходит от аналогии с оптическими телескопами , где больший физический размер позволяет наблюдать больше фотонов . [5]
Сеть | Покрытие | IP-адреса | Имя | Продолжительность жизни | Захватывает |
---|---|---|---|---|---|
1 / 8 | 100% [3] | ~ 16 млн | APNIC | 2010-02-23 (1 неделя) | 4,1 терабайт [3] |
44 / 8 | 99% [4] | ~ 16 млн | Сетевой телескоп UCSD [примечание 1] | 2001-02-01‒2017-12-31 | 3,25 петабайта [6] |
2018-01-01‒2019-06-04 | |||||
74% | ~ 12 млн | 2019-06-05— | |||
35 / 8 | 67% [4] | ~ 11 млн | Merit Network [примечание 2] | 2005-10-05— | 18,2 терабайта [8] |
50 / 8 | 100% [3] | ~ 16 млн | ARIN | 2010-03-12 (1 неделя) | 1,1 терабайт [3] |
107 / 8 | 100% [3] | ~ 16 млн | ARIN | 2010-03-25 (1 неделя) | 1,2 терабайта [3] |
1300 сетей | Акамай [9] / Массачусетский технологический институт [10] | 2009 / 2019— | |||
/ 16 | 100% | 65 тыс. | HEAnet [11] | 2019-03 (1 неделя) | 96 гигабайт [11] |
/ 15 | 100% | ~ 130 тыс. | SURFnet [12] |
- ^ Хостинг в Сан - Диего суперкомпьютерного центра , эксплуатируемые Центра прикладных интернет - анализа данных для Университета Калифорнии, Сан - Диего , используя Радиолюбительский AMPRNet IPадреса.
- ^ Merit Network Telescope, состоящий из ~ 5,5 миллионов (2014 г.), [7] или ~ 11 миллионов неиспользуемых IP-адресов.
Вариантом сетевого телескопа является разреженный даркнет, или серый, состоящий из области пространства IP-адресов, которая редко заполнена «даркнет-адресами», перемежающимися с активными (или «подсвеченными») IP-адресами. [2] Сюда входит greynet, собранный из 210 000 неиспользуемых IP-адресов, расположенных в основном в Японии. [13]
См. Также [ править ]
- Honeypot (вычисления)
- Фоновый шум Интернета
Ссылки [ править ]
- ^ Чесвик, Билл (август 2013). «Билл Чесвик о межсетевых экранах» (PDF) . Безопасность. ; логин: Журнал USENIX (Интервью). 38 (4). Беседовал Рик Фэрроу. п. 21.
Примерно в это же время (конец 1980-х) Марк Хортон получил от властей адрес класса A для AT&T , просто спросив. ... нашему компьютеру Cray, казалось, требуется сеть класса A ... взял 12.0.0.0 / 8 и объявил об этом в сети, отправив пакеты на несуществующий адрес Ethernet и запустив tcpdumpпо трафику, который составил от 12 до 25 МБ / день. Стив проанализировал этот трафик и написал прекрасную статью. По сути, мы наблюдали предсмертные крики атакованных хостов, которые использовали аутентификацию на основе IP-адресов. ... Это первый пакетный телескоп, который я могу вспомнить, и я думаю, что, возможно, даже придумал термин "пакетный телескоп", но моя память об этом нечеткая.
- ^ a b Harrop, W .; Армитаж, Г. (2005). «Определение и оценка серых сетей (разреженных темных сетей)». 30-летие конференции IEEE по локальным компьютерным сетям (LCN'05) l . Войдите или купите для доступа: ieeexplore.ieee.org. С. 344–350. DOI : 10,1109 / LCN.2005.46 . ЛВП : 1959,3 / 2449 . ISBN 0-7695-2421-4. S2CID 18789864 .
- ^ a b c d e f g Вустров, Эрик; Карир, Маниш; Бейли, Майкл; Джаханян, Фарнам; Хьюстон, Джефф (09.06.2010). Возвращение к фоновой радиации в Интернете (PDF) . Конференция по Интернет-измерениям.
Системы, которые контролируют неиспользуемые адресные пространства, имеют множество имен, включая даркнет, сетевые телескопы, мониторы черных дыр, сетевые приемники и сетевые датчики движения. ... 1/8 ... 50/8 ... 107/8 ... 35/8
- ^ a b c Бенсон, Карин; Дайнотти, Альберто; Клаффи, KC ; Сноерен, Алекс К .; Каллицис, Майкл (10.09.2015). Использование фонового излучения Интернета для анализа оппортунистической сети (PDF) . Токио, Япония. DOI : 10.1145 / 2815675.2815702 . ISBN 978-1-4503-3848-6. S2CID 6184617 .
Темная сеть или сетевой телескоп - это набор маршрутизируемых, но неиспользуемых IP-адресов ... Калифорнийский университет в Сан-Диего и Merit Network используют большие темные сети, которые мы называем UCSD-NT и MERIT-NT соответственно. UCSD-NT наблюдает за трафиком, предназначенным для более чем 99% IP-адресов в непрерывном блоке / 8 . MERIT-NT покрывает около 67% другого блока / 8 .
- ^ Мур, Дэвид; Шеннон, Коллин; Voelker, Джеффри М .; Дикарь, Стефан (апрель 2004 г.). «Сетевые телескопы: технический отчет» (PDF) . Технические отчеты.
сетевые телескопы были названы по аналогии с
астрономическими телескопами
, ... движимыми сравнением
пакетов,
поступающих в часть
адресного пространства,
с
фотонами,
поступающими в апертуру
светового телескопа
. ... большая
диафрагма
увеличивает разрешение объектов за счет большей детализации положения; с сетевыми телескопами, имеющими большее
адресное пространство
увеличивает разрешение событий, предоставляя более подробную информацию о времени. ... для наблюдения одного или нескольких пакетов от хоста, подобного Code-Red, на / 8 с вероятностью 99,999% требуется 4,9 минуты. ... Даже если атака длилась 5 минут, вероятность того, что телескоп / 16 увидит хотя бы 1 пакет , составляет всего 89,9% . ... благодарим Брайана Кантора , Джима Мэддена и Пэта Уилсона из UCSD за техническую поддержку проекта Network Telescope . ... Поддержка этой работы предоставляется NSF Trusted Computing Grant CCR -0311690, Исследовательская программа Cisco Systems University Research Program, DARPA Контракт FTN N66001-01-1-8933, грант NSF ANI -0221172, грант Национального института стандартов 60NANB1D0118 и щедрый подарок от AT&T .
Цитировать журнал требует|journal=
( помощь ) - ^ Клаффи, К .; Фоменков, Марина; Калифорнийский университет в Сан-Диего ; Центр прикладного анализа интернет-данных (CAIDA) (2018-06-22). Rose, Fraces A .; Матыяс, Джон Д. (ред.). Окончательный технический отчет. Поддержка исследований и разработок технологий безопасности посредством сбора данных о сети и безопасности (отчет). Управление информации научно-исследовательской лаборатории ВВС США . стр. iii, 2, 3, 7.
Сентябрь
2012 г. -
декабрь
2017 г. ... Номер гранта: FA8750-12-2-0326 ... занимается
сбором данных на уровне пакетов
с
сетевого телескопа UCSD
(который отслеживает
/
8
IPv4
darknet) ... количество файлов и общий объем собранных данных ... (с [2012-10-01] до [2017-12-31]), а также совокупный размер ... Телескоп : количество файлов: 129552; Размер: 2,85 ПБ ; Размер на диске (сжатый), [at 2017-12-31]: 1,30 ПБ ; Несжатый размер, [at 2017-12-31]: 3,25 ПБ
- ^ Дурумерик, Закир; Бейли, Майкл; Халдерман, Дж. Алекс; Мичиганский университет (8 августа 2014 г.). «Интернет-взгляд на сканирование в Интернете» (PDF) .
darknet работал в
сети Merit
в период с [2013-01-01] по [2014-05-01].
... 5,5 миллиона адресов, ... 1,4 миллиарда пакетов или 55 ГБ трафика в день.
Цитировать журнал требует|journal=
( помощь ) - ^ Сеть заслуг . "Продольный Darknet 35 / 8 " . Данные адресного пространства Blackhole, поток. ВОЗДЕЙСТВИЕ на Cybertrust.
в случае
атаки
TCP SYN
flood с поддельным исходным IP-адресом жертва ответит TCP SYN-ACK на поддельный IP-адрес; если поддельный IP оказался в
пределах
35
/
8
адресного пространства, наш даркнут будет фиксировать ответы SYN-ACK ... Коллекция Начало: [2005-10-05]; ... Сбор данных продолжается ... Размер: 18,2 ТБ Размер растет по мере сбора большего количества данных
- ^ Белсон, Дэвид, изд. (2009-07-09). «Конфикер» (PDF) . Безопасность. Состояние Интернета . Vol. 2 шт. 1. Akamai Technologies . п. 8.
подтверждается аналогичными капель в наблюдали
Caida
«s
UCSD Network телескопом
, который служит функцию ,
аналогичную набору
Akamai
серверов ,
что данные собирают атаки трафика.
- ^ Рихтер, Филипп; Бергер, Артур (июль 2019 г.). Сканирование сканеров: обнаружение Интернета с помощью крупнораспределенного сетевого телескопа . ACM Internet Measurement Conference. Амстердам, Нидерланды.
- ^ а б О'Хара, Джозеф (апрель 2019 г.). «Облачный сетевой телескоп для сбора радиационного фона в Интернете» (PDF) . Тринити-колледж в Дублине : 16.
Спасибо
Эоину
Кенни из
HEAnet
... Традиционный сетевой телескоп / 16 был предоставлен
HEAnet
, Национальной образовательной и исследовательской сетью Ирландии. ...
/
16
адресное пространство не использовалось в течение нескольких лет до этого исследования ... в 256 раз меньше, чем
CAIDA
/
8
... скорость записанных данных составляла 1,25
Мбит / с
... 95,6
ГБ
Цитировать журнал требует
|journal=
( помощь ) - ^ Метонгнон, Лайонел; Садре, Рамин (20.08.2018). За пределами Telnet: преобладание протоколов Интернета вещей в измерениях телескопов и приманок (слайды презентации) . ACM SIGCOMM-WTMC. п. 4. DOI : 10,1145 / 3229598,3229604 . S2CID 51926045 .
установка с
сетевым телескопом
/
15
- ^ Le Malecot, Эрвана; Иноуэ, Дайсуке (20 марта 2014 г.). Опасность, Жан Люк; Деббаби, Мурад; Марион, Жан-Ив; Гарсия-Альфаро, Хоакин; Хейвуд, Нур Цинцир (ред.). Ботнет Carna в объективе сетевого телескопа . Основы и практика безопасности: 6-й международный симпозиум. Ла-Рошель, Франция. п. 427. ISBN. 9783319053028.
«Сетевой телескоп, который мы используем в настоящее время, насчитывает около 210 тысяч неиспользуемых адресов IPv4, распределенных по сетям ряда партнерских организаций (расположенных в Японии и за ее пределами). Эти неиспользуемые адреса образуют темные сети размером от нескольких адресов до целых / 16 подсетей. ... понятие "серой сети" ... состоящее из смеси используемых и неиспользуемых IP-адресов
Дальнейшее чтение [ править ]
- Белловин, Стивен М. (1992-08-15). Есть драконы (PDF) . Третий симпозиум по безопасности Usenix UNIX. Архивировано из оригинального (PDF) 07 декабря 2004 года . Проверено 31 июля 2019 .
- Белловин, Стивен М. (1993-08-23). «Пакеты, найденные в Интернете» (PDF) . Обзор компьютерных коммуникаций . 23 (3): 26–31. DOI : 10.1145 / 174194.174199 . S2CID 35537646 . Архивировано из оригинального (PDF) 07 декабря 2004 года . Проверено 31 июля 2019 .
Внешние ссылки [ править ]
- Сетевой телескоп CAIDA в Калифорнийском университете в Сан-Диего
- Проект даркнета в Team Cymru Darknet