李佳倩 吳承榮 周 荃

(復(fù)旦大學(xué)計(jì)算機(jī)科學(xué)技術(shù)學(xué)院網(wǎng)絡(luò)與信息安全研究所 上海 200433)

0 引 言

盡管信息安全保障技術(shù)發(fā)展迅猛，信息系統(tǒng)的安全防護(hù)能力不斷提升，但依然無法阻止各類新型的網(wǎng)絡(luò)攻擊。近年來各類網(wǎng)絡(luò)入侵和信息竊取事件依然經(jīng)常發(fā)生，信息系統(tǒng)的安全仍然是一個嚴(yán)重的問題。網(wǎng)絡(luò)攻擊和入侵事件無法根絕的重要原因之一是攻擊者和防御者之間存在攻防代價(jià)不對稱的現(xiàn)象。首先，攻擊從“點(diǎn)”，防御從“面”。在當(dāng)前IT系統(tǒng)技術(shù)基礎(chǔ)上，無論開發(fā)人員多么努力，漏洞總是不可避免的，這就給了攻擊者成功實(shí)施攻擊的可能。攻擊者只要針對系統(tǒng)某個薄弱點(diǎn)實(shí)施攻擊即可得手，而防御者必須對整個攻擊表面進(jìn)行均衡的防護(hù)，代價(jià)遠(yuǎn)高于攻擊者。其次，攻擊方處“動”，而防御方處“靜”。目前的主流信息系統(tǒng)大都呈現(xiàn)出確定性、靜態(tài)性和同質(zhì)性的特點(diǎn)，使得攻擊者有足夠時間去分析目標(biāo)系統(tǒng)，發(fā)現(xiàn)和探測存在的漏洞，并不斷變換攻擊手段，直至達(dá)到目標(biāo)。此外，攻擊者在“暗”，防御者在“明”。攻擊者可以不斷獲取、收集系統(tǒng)中有利于攻擊的信息，而不易被發(fā)現(xiàn)；防御者則難以洞悉攻擊者的行為、目的以及當(dāng)前的狀態(tài)，尤其在面對APT攻擊時。綜上所述，在現(xiàn)有的網(wǎng)絡(luò)攻防形勢中，攻擊者在成本、時間、信息方面均占據(jù)優(yōu)勢地位。

移動目標(biāo)防御(Moving Target Defense，MTD)是為了“改變網(wǎng)絡(luò)攻防游戲規(guī)則”而提出的。MTD是指試圖通過增加系統(tǒng)的動態(tài)性、隨機(jī)性和異構(gòu)性來增加網(wǎng)絡(luò)攻擊的復(fù)雜性，從而保護(hù)信息系統(tǒng)的一系列技術(shù)[1]。MTD并不是指一個具體的方法和技術(shù)，而是一種主動防御的理念。它可以指任何一種引入移動性、多樣性、不確定性等特性的技術(shù)。從作用于IT系統(tǒng)的不同層次的角度，MTD機(jī)制一般可以分為網(wǎng)絡(luò)層MTD、系統(tǒng)層MTD和應(yīng)用層MTD。

IP地址跳變技術(shù)是一種典型的網(wǎng)絡(luò)層MTD，通過隨機(jī)變遷主機(jī)的IP地址，使得攻擊者無法持續(xù)瞄準(zhǔn)靜態(tài)攻擊目標(biāo)進(jìn)行掃描和入侵。IP地址是攻擊者實(shí)施遠(yuǎn)程網(wǎng)絡(luò)攻擊的必要因素之一，如果無法獲取攻擊目標(biāo)的IP地址，則無法實(shí)施端口掃描、漏洞掃描和利用漏洞進(jìn)行攻擊。然而即使采用了IP地址跳變技術(shù)，攻擊者依然能夠采用掃描技術(shù)獲取跳變以后的IP地址信息，只是成功獲取IP地址的概率理論上有所降低。當(dāng)前IPv4依然是主流，地址資源并不豐富，而掃描效率則隨著網(wǎng)絡(luò)帶寬以及計(jì)算能力的增長而得到不斷提升，在當(dāng)前普遍的網(wǎng)絡(luò)資源供給場景下，IP地址跳變機(jī)制是否能夠帶來預(yù)期的防御能力提升；如何優(yōu)化IP地址跳變的相關(guān)參數(shù)，使得其對系統(tǒng)的帶來的影響盡可能小，而對抗掃描能力的提升盡可能大，這是值得深入研究的問題。本文提出了針對IP地址跳變機(jī)制的抗掃描能力評估方法，揭示了抗掃描能力與若干IP地址跳變相關(guān)參數(shù)以及網(wǎng)絡(luò)資源條件之間的關(guān)系，為IP地址跳變機(jī)制的優(yōu)化提供了參考。

1 IP地址跳變機(jī)制綜述

1.1 經(jīng)典的IP地址跳變機(jī)制

IP地址跳變又稱為網(wǎng)絡(luò)地址洗牌(Network Address Shuffling)和IP地址空間隨機(jī)化(IP Address Space Randomization)，這是一種通過改變IP地址以增加IP地址掃描和DOS攻擊難度的機(jī)制。近年來有幾種經(jīng)典的IP地址跳變方法被提出。

動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換(Dynamic Network Address Translation， DyNAT)[2]使用DyNAT Shim(安裝在客戶端機(jī)器上的軟件)和DyNAT Gateway(獨(dú)立的裝置或設(shè)備)的配合，基于預(yù)共享密鑰來變換和恢復(fù)網(wǎng)絡(luò)數(shù)據(jù)包中的服務(wù)端IP地址和端口。因此，在不可信網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包中的服務(wù)端IP地址和端口被混淆了，但這些數(shù)據(jù)包仍然可以通過路由器被傳遞到服務(wù)器所在的子網(wǎng)(IP地址的變化范圍在服務(wù)端子網(wǎng)范圍內(nèi))。服務(wù)器所處子網(wǎng)的內(nèi)部通信則不受地址跳變機(jī)制的保護(hù)。

網(wǎng)絡(luò)地址空間隨機(jī)化(Network Address Space Randomization，NASR)[3]使用經(jīng)過改進(jìn)的DHCP服務(wù)器來重新分配主機(jī)的IP地址，并使用DNS根據(jù)的主機(jī)名定位到當(dāng)前的IP地址。它是一種主機(jī)型IP地址跳變機(jī)制，可以保護(hù)子網(wǎng)中的每一個主機(jī)。但這種跳變機(jī)制在進(jìn)行IP地址跳變時TCP連接會被中斷。為了盡量減少干擾，研究人員也提出了一些解決方案，例如采用活動監(jiān)視模塊跟蹤每個主機(jī)的開放連接，對于服務(wù)可能被中斷的主機(jī)，不進(jìn)行地址跳變。因此，對于那些比較“繁忙”的主機(jī)，IP地址是不會跳變的，這就會削弱地址跳變的作用。

可變網(wǎng)絡(luò)(MUTE)[4]采用隨機(jī)地址跳變機(jī)制，定期將一個隨機(jī)虛擬IP地址分配給主機(jī)，但主機(jī)的實(shí)際地址并不改變。隨機(jī)虛擬IP地址基于共享的隨機(jī)密鑰，采用密碼函數(shù)在網(wǎng)絡(luò)上同步生成，并采用DNS獲取當(dāng)前分配的地址。該機(jī)制同時還采用隨機(jī)指紋機(jī)制(Random Finger Printing mechanism)，截獲主機(jī)響應(yīng)并透明地進(jìn)行修改，從而使攻擊者獲得的操作系統(tǒng)和應(yīng)用程序標(biāo)識信息是經(jīng)過隨機(jī)偽裝的。然而它依然使用DNS，因此更改后的虛擬IP地址仍然可以通過DNS定位，此外，它沒有提供針對客戶端攻擊的保護(hù)機(jī)制[1]。

移動目標(biāo)IPv6防御(Moving Target IPv6 Defense，MT6D)[5]充分利用了IPv6帶來的廣闊地址空間優(yōu)勢。它使用IPv6上UDP隧道將原始數(shù)據(jù)包(帶有原始IP地址)封裝在IPv6數(shù)據(jù)包中，并在新的數(shù)據(jù)包中使用經(jīng)過變化的IP地址。其采用主機(jī)的EUI-64 IID、時間戳和預(yù)共享密鑰的散列形成動態(tài)IID；使用IPv6 NDP通知路由器以驗(yàn)證所要跳變的新地址不會發(fā)生沖突。它可以作為嵌入式軟件，也可以作為獨(dú)立設(shè)備來實(shí)現(xiàn)。但是，這種機(jī)制必須采用密碼機(jī)制對數(shù)據(jù)包進(jìn)行加密，否則攻擊者可以提取封裝在UDP隧道中的原始數(shù)據(jù)包，從而確定發(fā)送方和接收方，因此也增加了系統(tǒng)開銷，對現(xiàn)有的網(wǎng)絡(luò)入侵檢測和網(wǎng)絡(luò)審計(jì)等安全機(jī)制的效能也有所削弱。

基于OpenFlow的隨機(jī)主機(jī)變異(OpenFlow Random Host Mutation，OF-RHM)[6]使主機(jī)的真實(shí)IP地址(RIP)保持不變，使用OpenFlow控制器為每個主機(jī)分配一個隨機(jī)的短時虛擬IP(VIP)。交換機(jī)或子網(wǎng)網(wǎng)關(guān)執(zhí)行從RIP到VIP的轉(zhuǎn)換。由一個中央管理器負(fù)責(zé)協(xié)調(diào)跨網(wǎng)絡(luò)的“變異”。因此，IP地址跳變對終端主機(jī)是完全透明的。它實(shí)際上是一個網(wǎng)絡(luò)到網(wǎng)絡(luò)的解決方案，但是如果所有的交換機(jī)都支持OpenFlow，它可以產(chǎn)生主機(jī)到主機(jī)的IP地址跳變效果。然而這種機(jī)制的IP地址跳變是由控制器實(shí)現(xiàn)的，因此當(dāng)流建立以后，RIP到VIP的映射是固定的。長連接的IP地址將永遠(yuǎn)不會發(fā)生改變，而在長時間靜止的IP地址上建立起的連接容易被攻擊者劫持。

自屏蔽動態(tài)網(wǎng)絡(luò)體系結(jié)構(gòu)(Self-shielding Dynamic Network Architecture，SDNA)[7]是一種集成的體系結(jié)構(gòu)，它通過多種技術(shù)的結(jié)合來提供動態(tài)的網(wǎng)絡(luò)特性；利用hypervisor作為中介，采用一個SDNA實(shí)體虛擬機(jī)(SDNA entity VM)獨(dú)立地處理(改寫)客戶虛擬機(jī)(Guest VM)之間的通信數(shù)據(jù)包，并直接與其他的相關(guān)的SDNA實(shí)體(SDNA Entities)進(jìn)行協(xié)調(diào)；使用間接和臨時地址(Token IP)來隱藏每個節(jié)點(diǎn)和服務(wù)的真實(shí)地址；采用數(shù)據(jù)包的散列值形成SDNA位(SDNA bit)，嵌入到真實(shí)IP中，以提供完整性保護(hù)。一旦它發(fā)現(xiàn)帶有無效SDNA位的數(shù)據(jù)包，將會把這些數(shù)據(jù)包重定向到蜜罐。在這個機(jī)制中，雖然對于客戶虛擬機(jī)，真正的IP地址被隱藏，但如果攻擊者破壞了中間層，就可以看到真實(shí)的IP。真實(shí)IP的主機(jī)ID部分是靜態(tài)的，可以用來確定主機(jī)和重新組裝嗅探到的數(shù)據(jù)包。

此外，還有其他類型的IP地址跳變技術(shù)，例如APOD[8]和RHM[9]等。縱觀這些IP地址跳變技術(shù)，雖然實(shí)現(xiàn)的方法各不相同，但還是存在一些共性：

(1) 在某個環(huán)節(jié)改變IP地址。各類IP地址跳變機(jī)制在數(shù)據(jù)包生成、傳輸、接收的不同階段改變客戶端或服務(wù)端的IP地址。有些IP地址跳變機(jī)制保持客戶端和服務(wù)端收到的數(shù)據(jù)包中的IP地址的靜態(tài)性，而在傳輸中途改變IP地址。改變IP地址的努力主要是為了使假想攻擊方(網(wǎng)絡(luò)嗅探者、遠(yuǎn)程攻擊掃描、惡意客戶虛擬機(jī)等不同對象)無法使用一個固定IP瞄準(zhǔn)攻擊目標(biāo)。

(2) 具備配套的同步機(jī)制。各類IP地址跳變機(jī)制均需要保證正常的網(wǎng)絡(luò)通信，因此需要同步機(jī)制使得網(wǎng)絡(luò)上的正常合法通信方能夠及時獲得跳變方的動態(tài)IP地址。有些機(jī)制采用DNS機(jī)制，有些則充分利用SDN技術(shù)、Hypervisor層部件等；有些需要主機(jī)層面相關(guān)部件的參與同步，有些只需要網(wǎng)關(guān)、網(wǎng)絡(luò)設(shè)備等部件參與同步，對上層應(yīng)用軟件透明。

1.2 主機(jī)型和網(wǎng)關(guān)型IP地址跳變機(jī)制

根據(jù)執(zhí)行IP地址跳變機(jī)制的實(shí)體的不同，我們可以將IP地址跳變機(jī)制大致分為兩種類型：主機(jī)型和網(wǎng)關(guān)型。主機(jī)型IP地址跳變機(jī)制主動更改主機(jī)上的IP地址配置；網(wǎng)關(guān)型IP地址跳變機(jī)制使用處于網(wǎng)絡(luò)傳輸途徑中的相關(guān)設(shè)備或裝置(硬件或軟件形式)來更改主機(jī)傳輸?shù)臄?shù)據(jù)包中的IP地址(或端口)字段。兩類跳變機(jī)制均能實(shí)現(xiàn)針對攻擊者視角的IP地址跳變，但產(chǎn)生的效果有很大不同。

通常網(wǎng)關(guān)型的IP地址跳變機(jī)制具有更多的優(yōu)勢。這一類的機(jī)制可以保持主機(jī)的網(wǎng)絡(luò)配置不變，IP地址跳變對主機(jī)透明。通常當(dāng)IP地址跳變發(fā)生時，TCP連接不會被中斷。但是這些方法只為網(wǎng)絡(luò)飛地(Enclave)之間的通信提供保護(hù)，網(wǎng)絡(luò)飛地內(nèi)部的通信不受保護(hù)。隨著虛擬化技術(shù)的應(yīng)用，可以將Hypervisor或支持SDN的設(shè)備用作網(wǎng)關(guān)，實(shí)現(xiàn)網(wǎng)關(guān)型IP地址跳變機(jī)制，但在對主機(jī)透明的同時具有主機(jī)粒度的IP地址跳變效果。然而，正是由于網(wǎng)關(guān)型IP地址跳變機(jī)制的透明特性，使得某些依賴真實(shí)IP地址的應(yīng)用程序可能無法正常工作(例如，諸如FTP等協(xié)議在應(yīng)用層有效載荷中存在IP信息，某些情況下還會導(dǎo)致某些中間處理環(huán)節(jié)，如狀態(tài)檢測防火墻、應(yīng)用網(wǎng)關(guān)等，出現(xiàn)錯誤操作)。

基于主機(jī)的IP地址跳變機(jī)制實(shí)際改變了主機(jī)的網(wǎng)絡(luò)配置。IP地址跳變對主機(jī)而言是不透明的。當(dāng)IP地址跳轉(zhuǎn)時，TCP連接將被中斷。然而主機(jī)型IP地址跳變機(jī)制也有一些優(yōu)點(diǎn)。主機(jī)型IP地址跳變機(jī)制可以達(dá)到主機(jī)粒度，網(wǎng)絡(luò)飛地中的所有主機(jī)都可以受到保護(hù)。IP地址跳變所需的運(yùn)算任務(wù)被分擔(dān)到所有主機(jī)，在數(shù)據(jù)包傳輸路徑中不會有瓶頸(不依賴于某個mid-box的性能)。在網(wǎng)絡(luò)傳輸路徑上不需要額外的mid-box設(shè)備(或充當(dāng)網(wǎng)關(guān)的軟件)，所有的IP地址跳變環(huán)節(jié)都可以由對等主機(jī)完成。它適用于互聯(lián)網(wǎng)上的一個單獨(dú)主機(jī)連接到飛地中某個主機(jī)的場景。IP地址跳變可以被應(yīng)用軟件所感知，因此應(yīng)用軟件可以根據(jù)IP的跳變進(jìn)行一些操作上的調(diào)整(例如，糾正一些由IP變化引起的問題)。

可充分利用多地址通信機(jī)制，實(shí)現(xiàn)“漸變型”的IP地址跳變，實(shí)現(xiàn)更平滑的網(wǎng)絡(luò)通信。例如利用MPTCP、SCTP(Stream Control Transmission Protocol)等，可使用多個IP地址在通信雙方之間建立多個子流，某幾條子流的中斷不會使整個流中斷。Reese Moore等在MT6D基礎(chǔ)上，提出了新的改進(jìn)機(jī)制，將MT6D中封裝原始數(shù)據(jù)包所采用的UDP換成SCTP，將顯著提高性能[10]。Argonne國家實(shí)驗(yàn)室的COAR也提出了一種稱為“流分裂移動目標(biāo)防御”(Stream Splitting Moving Target Defense,SS-MTD)機(jī)制，也采用將并行多條TCP連接與MTD相結(jié)合的思路。

1.3 端口跳變

與IP地址跳變機(jī)制相配套的還有端口跳變機(jī)制。這里的“端口”包括TCP端口和UDP端口。只要通信雙方對于服務(wù)端軟件的監(jiān)聽端口建立同步機(jī)制，就可以以一定的時間間隔改變服務(wù)端軟件所綁定的端口。這樣可進(jìn)一步拓寬服務(wù)入口的變化空間。一個服務(wù)入口可以標(biāo)識為“IP-端口”組成的二元組。IP地址跳變機(jī)制需要對全子網(wǎng)范圍的IP資源統(tǒng)一控制，因?yàn)镮P地址是全子網(wǎng)共享資源，但“端口”是主機(jī)本地資源，端口跳變只需要在主機(jī)范圍進(jìn)行控制即可。對于服務(wù)器而言，IP地址和端口進(jìn)行組合跳變，其本質(zhì)是使得服務(wù)入口發(fā)生轉(zhuǎn)移。

1.4 IP地址跳變機(jī)制的有效性量化評估

針對IP地址跳變機(jī)制有效性的量化評估方法，在MTD領(lǐng)域已開展了若干研究。

文獻(xiàn)[11]總結(jié)了網(wǎng)絡(luò)地址空間數(shù)、探測地址數(shù)、活躍地址數(shù)、攻擊者預(yù)期探測數(shù)以及IP地址跳變頻率這五個因素對掃描成功概率的影響，采用urn模型針對靜態(tài)系統(tǒng)和完美跳變(Perfect Hopping,指系統(tǒng)在每次連接后均進(jìn)行IP地址跳變)這兩種極端情況進(jìn)行隨機(jī)掃描成功概率的量化分析，并采用實(shí)驗(yàn)方式測試跳變率處于這兩種極端情況之間的系統(tǒng)抗掃描能力。假設(shè)僅有一臺活躍主機(jī)，隨著網(wǎng)絡(luò)地址空間數(shù)以及允許攻擊者探測地址數(shù)的增加，對于靜態(tài)系統(tǒng)，掃描成功的概率最終趨于1；對于完美跳變系統(tǒng)，掃描成功的概率趨向于e-1=0.63；當(dāng)跳變率處于兩種情況之間，文獻(xiàn)[11]通過實(shí)驗(yàn)證明了掃描成功率處于1和0.63之間，跳變率越高，掃描成功率越低。若增加活躍主機(jī)數(shù)，對于靜態(tài)系統(tǒng)或支持IP跳變的系統(tǒng)，掃描成功的概率均趨向于1，只有當(dāng)活躍主機(jī)數(shù)占總地址數(shù)的比例小于1%時，IP地址跳變對于系統(tǒng)的抗掃描能力才能產(chǎn)生有利影響。因此得出結(jié)論，只有當(dāng)掃描空間內(nèi)活躍主機(jī)數(shù)很小(小于掃描空間的1%)時，IP地址跳變才能有效提升系統(tǒng)的抗掃描能力，否則優(yōu)勢很小。

文獻(xiàn)[12]為抵御DoS攻擊，提出了一種基于時間戳的服務(wù)跳變體系。主機(jī)根據(jù)跳變算法以及從中央控制器發(fā)出的時間戳來決定當(dāng)前提供的服務(wù)。作者定義靜態(tài)系統(tǒng)中一次攻擊成功的時間(T)=探測時間(Ts)+攻擊時間(Ta)，假設(shè)系統(tǒng)只提供一個服務(wù)，可供跳變的IP地址數(shù)為n，可供使用的端口數(shù)為m，因此在支持跳變的系統(tǒng)中，攻擊者成功攻破一個服務(wù)所需時間T′為：

(1)

即由于跳變的隨機(jī)性，攻擊者在跳變系統(tǒng)中成功掃描到一個服務(wù)需要額外花費(fèi)(n×m-1)/2個攻擊時間。作者分別針對集中式跳變系統(tǒng)和分布式跳變系統(tǒng)討論并實(shí)驗(yàn)驗(yàn)證了跳變間隔對抗DoS攻擊的影響，得出結(jié)論：1) 支持端口與地址同時跳變的系統(tǒng)抗DoS攻擊性能優(yōu)于僅支持端口跳變以及不支持跳變的系統(tǒng)；2) 分布式跳變系統(tǒng)良好的可擴(kuò)展性帶來了更高的可用性；3) 跳變越復(fù)雜、跳變間隔越短系統(tǒng)的抗攻擊能力越強(qiáng)，但是過短的跳變間隔也會帶來很多其他的問題。

文獻(xiàn)[9]為解決地址跳變造成的TCP連接中斷問題，提出了RHM(Random Host Mutation)技術(shù)，地址跳變對終端主機(jī)透明，為每臺主機(jī)隨機(jī)分配一個短暫的虛擬IP地址，并引入兩個轉(zhuǎn)換頻率：LFM(Low Frequency mutation)和HFM(High Frequency mutation)，以低頻率隨機(jī)選擇虛擬IP地址范圍，以高頻率在該范圍內(nèi)隨機(jī)選擇虛擬IP地址，從而增加了IP地址變換的不可預(yù)測性。由于虛擬IP地址處于雙重不可預(yù)測的變化中，攻擊者獲得的服務(wù)入口空間經(jīng)過LFM后便會失效，因此若想掃描成功，攻擊者需要掃描的服務(wù)入口總空間為整個虛擬IP地址范圍，從而減小了掃描成功的可能性。

文獻(xiàn)[13]假設(shè)有一臺至少包含一個漏洞的主機(jī)，將每次攻擊劃分為偵查階段和攻擊階段，討論了一次攻擊所需時長與IP地址跳變間隔對攻擊成功率的影響。假設(shè)在(ti,tj)時間內(nèi)主機(jī)的IP地址不變，Km表示開始掃描的時間，Kn表示掃描到漏洞開始攻擊的時間，若(Km,Kn)?(ti,tj)，即掃描到漏洞并進(jìn)行攻擊的過程中沒有發(fā)生地址跳變，則攻擊成功。因此，可以通過減少(ti,tj)(即增加IP地址跳變頻率)或增加(Km,Kn)(即增加掃描到漏洞的時間)來降低攻擊成功的概率。作者將IP跳變頻率定義為每小時跳變次數(shù)，并分別測試掃描到漏洞所需時間及IP地址跳變頻率對攻擊成功率的影響，得出結(jié)論：1) 當(dāng)?shù)刂诽冾l率高于某個特定值時，IP地址跳變頻率的增加對攻擊成功的概率沒有顯著影響，將該特定值定義為最佳跳變頻率；2) 當(dāng)掃描時長增長到某值后，時長的增長將不再對攻擊成功的概率產(chǎn)生顯著影響，因此定義該值為最佳掃描時長。同時，作者給出了這兩個最佳因素的公式：最佳跳變頻率=1/掃描時長，最佳掃描時長=1/IP地址跳變頻率。

盡管已有不少研究試圖對IP跳變機(jī)制的有效性進(jìn)行量化評估，但是現(xiàn)有的評估模型尚未針對具有多個活躍服務(wù)入口、每次跳變一定比例的服務(wù)入口，攻擊方采用全面遍歷服務(wù)空間的順序掃描以及隨機(jī)掃描策略，攻擊進(jìn)程跨越多個跳變周期的常見攻防場景進(jìn)行深入分析和評估，因此沒有全面揭示IP地址跳變系統(tǒng)中各類因素對掃描成功概率造成的影響。這也是本文研究的主要內(nèi)容。

2 IP地址跳變機(jī)制的抗掃描能力評估

如何評估IP地址跳變機(jī)制所帶來的抗掃描能力的提升？服務(wù)入口的不可預(yù)測性與跳變參數(shù)以及所處網(wǎng)絡(luò)的情況(如全子網(wǎng)可用的IP地址資源、子網(wǎng)活躍主機(jī)數(shù))之間是否有關(guān)系？這需要建立一個模型進(jìn)行理論評估。我們提出了一個方法來量化評估IP地址跳變機(jī)制帶來的抗掃描能力，并試圖揭示服務(wù)入口的不可預(yù)測性與一些跳變參數(shù)和網(wǎng)絡(luò)條件之間的關(guān)系。

探測特定主機(jī)是否存活/開機(jī)，可以采用基于ICMP協(xié)議的ping方法進(jìn)行掃描。然而在實(shí)際網(wǎng)絡(luò)中，很多環(huán)節(jié)ping掃描被禁止。防火墻可以簡單地設(shè)置禁止ICMP echo數(shù)據(jù)包從而阻止ping掃描。在ping掃描被禁止的情況下，可以直接采用端口掃描方法，即用TCP Connect方式嘗試連接目標(biāo)IP和端口組合，即可探測在特定主機(jī)的特定端口上某個服務(wù)是否開放；進(jìn)一步地，在建立連接的情況下，采用簡單的交互，根據(jù)返回信息即可獲得服務(wù)相關(guān)的信息，進(jìn)而判斷該服務(wù)是否是欲攻擊的目標(biāo)。如果某個服務(wù)具有高威脅漏洞，向該服務(wù)建立連接后，只需一至幾個回合的交互即可在目標(biāo)系統(tǒng)中建立反射型Shell，直接獲得機(jī)密信息或者植入一個后門。一旦某個主機(jī)被植入一個具備反向連接機(jī)制的后門，即使此后該主機(jī)IP地址跳變了，也不能阻止該主機(jī)被攻擊者控制。也就是說，如果某個服務(wù)具有高威脅漏洞，只要掃描到該服務(wù)，瞬間就可完成攻擊，整個攻擊的所經(jīng)歷的時間與成功掃描的所需時間幾乎相等，成功掃描幾乎等于成功攻擊。

IP地址跳變(配套端口跳變)機(jī)制本質(zhì)上就是通過隨機(jī)地、不可預(yù)測地遷移服務(wù)入口，來增加掃描服務(wù)入口的難度。對于具有高威脅漏洞的服務(wù)，在一定時間內(nèi)降低被成功掃描的概率，也就等于降低被成功攻擊的概率。以下我們統(tǒng)一使用服務(wù)入口遷移的概念來涵蓋IP地址跳變和端口跳變的組合機(jī)制，而采用TCP Connect的端口掃描作為掃描方式。

為了評估IP地址跳變機(jī)制的抗掃描能力，我們使用如下表示：

?NSP：服務(wù)入口的總空間。通常，它等于可以在子網(wǎng)中使用的IP數(shù)量乘以服務(wù)可以使用的TCP端口數(shù)(假定每個主機(jī)上可使用TCP端口數(shù)相等)。

?NSE：活躍服務(wù)入口數(shù)量。如果子網(wǎng)中總共有Ns個服務(wù)，并且每個服務(wù)將同時占用No個服務(wù)入口(為實(shí)現(xiàn)健壯性，支持多地址冗余的漸變型跳變，假定每個服務(wù)有No個冗余的服務(wù)入口，這No個服務(wù)入口上均有守護(hù)進(jìn)程進(jìn)行監(jiān)聽)，則NSE=Ns×No。NSE/NSP則是服務(wù)入口空間中活躍服務(wù)入口的比例，可看作服務(wù)密度。

?S：攻擊者掃描一個服務(wù)入口所需的時間。

?T：IP跳變間隔時間。

?PWt：在t時間內(nèi)成功掃描到活躍服務(wù)入口的可能性，t/S(為計(jì)算方便，假設(shè)t為S的整數(shù)倍)。

?PAt：恰好在t時刻成功掃描到一個活躍服務(wù)入口的可能性，t/S(假設(shè)t為S的整數(shù)倍)，指正好在第t/S次掃描嘗試時，第一次獲得了一個活躍的服務(wù)入口。

此外，我們假設(shè)：

? 在跳轉(zhuǎn)時，k%的活躍服務(wù)入口將遷移，新的服務(wù)入口將在服務(wù)入口空間中的空閑入口中隨機(jī)選取，主要為了在后面的推導(dǎo)中涵蓋基于多地址的漸變型IP地址跳變的機(jī)制。之所以選擇空閑入口作為新的服務(wù)入口，主要是因?yàn)橹氨皇褂玫姆?wù)入口相關(guān)資源釋放還需要一定時間，在緊接的下一個周期中不再被分配用于新的服務(wù)入口。

? 假定T=m×S，表示攻擊者可以在跳變間隔的時間內(nèi)掃描m個服務(wù)入口。

可見，當(dāng)No=1，k%=100%，則代表傳統(tǒng)的單服務(wù)入口(通常是用單IP上的1個端口作為服務(wù)端口)方式的跳變。因此這種評估方法可通用于經(jīng)典IP地址跳變(及端口跳變)以及漸變式IP地址跳變。

2.1 順序掃描

攻擊者對整個服務(wù)入口空間進(jìn)行掃描可以采用不同的掃描策略，順序掃描是最簡單、最常見的一種，指攻擊者對整個服務(wù)入口空間的所有服務(wù)入口進(jìn)行順序、不重復(fù)的掃描，已經(jīng)掃描過的入口將不會再被掃描到。順序掃描可以在最短時間內(nèi)對整個服務(wù)入口空間實(shí)現(xiàn)遍歷，這是當(dāng)前普遍采取的掃描方式。我們根據(jù)攻擊者掃描目標(biāo)的不同又具體地劃分為針對任意目標(biāo)的掃描和針對特定目標(biāo)的掃描，并分別進(jìn)行評估。

2.1.1針對任意目標(biāo)掃描的抵御能力評估

針對任意目標(biāo)掃描，即不限定服務(wù)，只要求掃描到該服務(wù)入口空間上的任一活躍服務(wù)入口，即算掃描成功。對于以獲取肉雞控制權(quán)為目的，或者為了取得網(wǎng)絡(luò)飛地中任何一臺主機(jī)控制權(quán)作為落腳點(diǎn)的攻擊，這種假設(shè)符合此類場景。對于任意時間t，在t時間內(nèi)，攻擊者最多可以掃描?t/S」個服務(wù)入口。關(guān)于掃描開始的時間，有以下兩種情況：

(1) 掃描開始于某次地址跳變完成的時刻(假定攻擊者已獲得IP地址跳變的規(guī)律，使得掃描開始時間與跳變同步，以在下一次跳變前可掃描更多入口)；

(2) 掃描開始于跳變間隔期間內(nèi)的某一時刻(假定攻擊者未獲得IP跳變的規(guī)律，只能隨機(jī)選擇開始掃描的時間)。

針對第(1)種情況，即掃描開始時間與跳變發(fā)生時間一致，可以得出以下推導(dǎo)：

如果t≤T，表示掃描持續(xù)的時間在一個跳變間隔期內(nèi)，即評估攻擊者在第一個跳變間隔內(nèi)就可以掃描成功的概率。則：

(2)

(3)

對于式(2)，在t時刻，攻擊者共掃描過?t/S」個服務(wù)入口，因此t時刻掃描成功的概率為前?t/S」-1個入口均不是活躍服務(wù)入口(掃描未成功)，且第?t/S」個入口是活躍服務(wù)入口的可能性。式(2)前?t/S」-1個連乘項(xiàng)即連續(xù)?t/S」-1次掃描均未成功的概率，每個連乘項(xiàng)的分子為當(dāng)前未掃描空間內(nèi)非活躍服務(wù)入口數(shù)，分母均為當(dāng)前未掃描空間總?cè)肟跀?shù)。第?t/S」項(xiàng)為第?t/S」次掃描成功的概率，分子為活躍服務(wù)入口數(shù)，分母為當(dāng)前未掃描空間總?cè)肟跀?shù)。

對于式(3),由于單個入口掃描時間為S，且掃描開始時間與跳變發(fā)生時間一致，因此t時間內(nèi)掃描成功的概率為S、2×S、…、?t/S」×S時刻掃描成功的概率之和，從而得到式(3)。

如果T

NSC1=NSP

(4)

NLS1=NSE

(5)

(6)

NLSn由兩部分組成：

? 在上個跳變間隔期間內(nèi)，NLSn-1個活躍服務(wù)入口處于未掃描空間中，其中的，NLSn-1×(1-k%)個服務(wù)入口將在下一個跳變間隔內(nèi)保持不變，由于攻擊者在上一個跳變間隔期內(nèi)沒有掃描到任何服務(wù)入口，所以它們都還將保留在未掃描的空間中；

? 在上個跳變間隔期間內(nèi)，整個掃描空間中有NSP-NSE個非活躍入口(空閑服務(wù)入口)，在第n個跳變間隔期間內(nèi)，未掃描空間中共有NSCn-1-NLSn-1-?T/S」個非活躍入口，要在NSP-NSE個非活躍入口中隨機(jī)選擇NSE×k%個跳變?yōu)榛钴S入口，其中將有(NSCn-1-NLSn-1-?T/S」)/(NSP-NSE)×NSE×k%個跳變后的服務(wù)入口位于未掃描空間。

因此：

NSE×k%

(7)

可得到通式：

(8)

式(7)中，第一項(xiàng)表示還保留在未掃描的空間中，保持不變的NLSn-1×(1-k%)個服務(wù)入口；第二項(xiàng)表示進(jìn)行跳變的服務(wù)入口，恰好跳變到當(dāng)前未掃描空間的服務(wù)入口數(shù)量。式(8)為式(7)從遞歸表達(dá)轉(zhuǎn)換成通式表達(dá)的形式。

因此，當(dāng)攻擊者在第n個跳變間隔期內(nèi)繼續(xù)掃描時，假設(shè)正好在t時刻掃描到一個活躍服務(wù)入口的概率為：

(9)

那么，在t時間內(nèi)掃描到一個活躍服務(wù)入口的概率：

PWt=∑PAi×S=

(10)

式(10)與式(3)同理，t時間內(nèi)掃描成功的概率為S、2×S、…、?t/S」×S時刻掃描成功的概率之和。

根據(jù)式(8)，NSP(服務(wù)入口的總空間)、NSE(活躍服務(wù)入口數(shù)量)、k%(每次跳變進(jìn)行遷移的服務(wù)入口比例)可確定NLSn，進(jìn)而決定PAt和PWt，最重要的變量是k%。如果k%=0，則系統(tǒng)是靜態(tài)系統(tǒng)，活躍服務(wù)入口不跳變，NLSn總是NSE，在NSP-NSE次失敗的掃描嘗試后，PWt將達(dá)到1。如果k%=1，PWt將得到最小值，因?yàn)樗蠳SE個服務(wù)入口都會遷移，使NLSn得到最小值。在第n個間隔內(nèi)，未掃描服務(wù)空間的非活躍服務(wù)入口數(shù)等于第n-1個跳變間隔期間內(nèi)未掃描空間中的非活躍入口數(shù)(NSCn-1-NLSn-1)減去該跳變間隔掃描的入口數(shù)(?T/S」)，每次跳變將從NSP-NSE個非活躍入口中隨機(jī)選擇NSE個入口作為新的活躍服務(wù)入口。因此，當(dāng)k%=1時：

(11)

可得到通式：

(12)

針對第(2)種情況，即掃描開始于跳變間隔的某個時刻，需要另外考慮在一個跳變間隔內(nèi)掃描開始的概率，從而得出以下推導(dǎo)：

假設(shè)在第一個跳變間隔的T-t′時刻開始掃描，則在第一個跳變間隔內(nèi)掃描了t′時間，可以掃描?t′/S」個服務(wù)入口。

如果t′≤T，在第一個跳變間隔期間內(nèi)掃描成功，則t=t′，沒有經(jīng)歷過服務(wù)入口跳變，那么t時間內(nèi)可以掃描?t/S」個服務(wù)入口，那么與第(1)種情況一致：

(13)

(14)

如果在第一個跳變間隔期間內(nèi)沒有掃描成功，則需要經(jīng)歷服務(wù)入口的跳變，假設(shè)在第n個跳變間隔掃描成功，同樣地，我們用NSCn表示此時還沒有被掃描(將被掃描)的服務(wù)入口空間，用NLSn表示此時位于在未掃描空間中的活躍服務(wù)入口數(shù)量，則NSCn等于服務(wù)入口總空間(NSP)減去第1個跳變間隔內(nèi)掃描的入口數(shù)(?t′/S」)減去中間n-2個跳變間隔掃描的入口數(shù)((n-2)× ?T/S」)。顯然：

NSC1=NSP

(15)

NLS1=NSE

(16)

(17)

NLSn與式(7)相同，由兩部分組成：

NLSn=NLSn-1×(1-k%)+

(18)

可得到通式:

(19)

式(19)與式(12)的不同之處在于需要對第一個間隔內(nèi)的掃描時長t′在(0,T)范圍內(nèi)積分。

在t時刻掃描到一個活躍服務(wù)入口的概率PAt由兩部分組成，其一是在第一個跳變間隔內(nèi)沒有掃描成功且第n個跳變間隔掃描成功的可能性，同時需要對第一個跳變間隔掃描時間t′積分，其二是中間n-2個跳變間隔均未掃描成功的概率：

(20)

那么，在t時間內(nèi)掃描到一個活躍服務(wù)入口的概率PWt，同樣需要對第一個跳變間隔內(nèi)的掃描時間t′積分：

PWt=∑∑PA(i-1)×T+l×S+∑PA(n-1)×T+j×S=

(21)

如果k%=1，仍有：

(22)

可得到通式：

n≥2

(23)

當(dāng)k%=1時所有的服務(wù)入口全跳變，在經(jīng)典的針對單地址主機(jī)IP跳變機(jī)制中是顯然滿足的。為了保持通信的順暢，漸變式IP地址跳變機(jī)制每次跳變都保留至少一個IP地址不跳變，因此不能達(dá)到k%=1。但是當(dāng)IP跳變與端口跳變結(jié)合時，則可以在一定程度上起到所有的服務(wù)入口均遷移的效果。因此，我們可以采用的機(jī)制是：即使對于那些為了提供通信平滑性保持不變的IP地址，其上面的服務(wù)端口也應(yīng)該發(fā)生跳變(僅針對監(jiān)聽的服務(wù)端口，已建立連接的端口不變，所以這個IP地址上的已有連接不會中斷)，以獲得針對掃描而言更大的不可預(yù)測性。

但漸變式IP地址跳變的另一個問題是：NSE(活躍服務(wù)入口數(shù)量)比經(jīng)典的IP地址跳變機(jī)制增大了。因?yàn)橐粋€主機(jī)將有多個IP地址，而一個服務(wù)也可能在多個IP-端口(組合)上監(jiān)聽。如果一個服務(wù)在No個TCP端口上監(jiān)聽，服務(wù)入口數(shù)增加了No倍。服務(wù)入口增多則增大了攻擊表面，因此掃描獲得服務(wù)入口的概率也相應(yīng)增大。因此我們建議根據(jù)NSE擴(kuò)展的規(guī)模等比例擴(kuò)展NSP(服務(wù)入口空間)，以抵消NSE(由于服務(wù)程序冗余監(jiān)聽TCP端口引起的)增加所帶來的影響。例如，如果我們在一個主機(jī)上增加一個網(wǎng)絡(luò)接口(所有服務(wù)也在這個增加的網(wǎng)絡(luò)接口的IP地址上綁定監(jiān)聽端口)，我們也會在網(wǎng)絡(luò)中使用一個額外的相同規(guī)模的子網(wǎng)，這樣NSP也會以相同比例增加。

以下討論跳變間隔T的變化對一定時間t內(nèi)掃描成功的概率PWt以及t時刻掃描成功的概率PAt的影響：

? 根據(jù)式(3)或式(14)，若t

? 根據(jù)式(10)和式(21)，評估在第一個跳變間隔內(nèi)不能掃描成功，在后續(xù)跳變間隔內(nèi)才掃描成功的概率。則當(dāng)T減小時，相同掃描時間t下，m=T/s減小，n=?t/T」+1增大，tn=t%T的變化無法確定(但其最大值將減小)。因此單個跳變間隔內(nèi)可以掃描的服務(wù)入口數(shù)減小，相同t內(nèi)經(jīng)歷的跳變數(shù)增加。T減少使得PWt中的累加項(xiàng)(PAt′，t′104)，T的減小對PWt的影響很小，起到重要影響作用的是服務(wù)密度(NSE/NSP)。T的變化所能造成的影響，只能在T值本身處于低位時才顯現(xiàn)。

? 隨著掃描的進(jìn)行，t越大，掃描經(jīng)歷的時間越久，未掃描空間越小，活躍入口中未掃描空間入口占比越小，掃描成功的概率PAt越小，但PWt總是不斷累積而增大。一次遍歷掃描，t的取值極限為NSP×S，因此PWNSP×S是一次遍歷掃描過程的掃描成功概率最大值。

2.1.2針對特定目標(biāo)掃描能力評估

針對特定目標(biāo)，即針對特定服務(wù)的掃描，需要掃描到主機(jī)上開放指定服務(wù)的端口，即掃描到活躍入口后需要判斷該入口是否提供指定服務(wù)，若未提供指定服務(wù)，則放棄該入口，繼續(xù)掃描。由于子網(wǎng)中共有Ns個服務(wù)，每個服務(wù)將同時占用No個服務(wù)入口，每次跳變每個服務(wù)占用的入口數(shù)不變，每個跳變間隔期間內(nèi)，指定服務(wù)的活躍入口占總活躍服務(wù)入口的比重均為1/Ns，因此，只有掃描到指定服務(wù)的No=NSE/Ns個入口中的任一個才能認(rèn)定掃描成功。

假設(shè)在t時刻掃描到特定目標(biāo)的概率是PAt，在t時間內(nèi)掃描到特定目標(biāo)的概率是PWt，與2.1.1節(jié)的分析相同，t的分布也包含兩種情況，分別為：

(1) 掃描開始與地址跳變同時發(fā)生；

(2) 掃描開始于跳變間隔期間內(nèi)的某一時刻。

針對第(1)種情況，可以得出以下推導(dǎo)：

若t≤T，那么在第一個跳變間隔內(nèi)掃描成功，t時間內(nèi)共可掃描?t/S」個端口，只有掃描到?NSE/Ns」個指定服務(wù)端口中的一個才算成功，因此t時刻掃描成功的概率為前?t/S」-1個被掃描端口均未提供指定服務(wù)，且第?t/S」個被掃端口提供指定服務(wù)的可能性。公式如下：

(24)

NSC1=NSP

(25)

(26)

(27)

(28)

可得到通式：

(29)

因此：

(30)

(31)

針對第(2)種情況：

如果t′≤T，那么在第一個跳變間隔內(nèi)即可掃描成功，與第(1)種情況一致：

(32)

(33)

假設(shè)在第n個跳變間隔掃描成功，且第一個間隔內(nèi)掃描t′時間，與式(17)同理：

NSC1=NSP

(34)

(35)

(36)

NLSn同樣由兩部分組成：

NLSn=NLSn-1×(1-k%)+

(37)

可得到通式：

n≥2

(38)

則恰好在t時刻掃描到一個活躍服務(wù)入口的概率是：

(39)

那么，在t時間內(nèi)掃描到一個活躍服務(wù)入口的概率為：

(40)

對于針對特定目標(biāo)的掃描，要求掃描到活躍入口，同時該入口屬于指定的服務(wù)，相較于針對任意目標(biāo)的掃描，這無疑增大了掃描成功的難度。針對特定目標(biāo)掃描，可以看作是系統(tǒng)服務(wù)密度為降低為針對任意目標(biāo)掃描時系統(tǒng)服務(wù)密度的1/Ns。如果在每個跳變間隔內(nèi)，每個服務(wù)均有入口開放，且僅開放一個入口，即No=1，那么，NSE縮小為Ns。根據(jù)2.1.1節(jié)中的分析，當(dāng)服務(wù)密度很小時，當(dāng)T/S超過一定的數(shù)量級，T的變化不會對掃描成功率造成顯著的影響，即T即使顯著增加，也不能顯著提升掃描成功的概率。經(jīng)實(shí)驗(yàn)證明，在平均掃描速度不超過10 ms/端口的情況下，只有當(dāng)跳變間隔足夠大(3 000～4 000 s)，甚至近似為不跳變時，采用順序的毫秒級掃描才能夠掃描到所指定的服務(wù)開放的端口。

2.2 隨機(jī)掃描

IP地址跳變機(jī)制能夠在一定程度上抵御順序掃描攻擊，其中的一個因素是跳變時一部分活躍服務(wù)入口遷移到已經(jīng)掃描過的服務(wù)空間，這部分服務(wù)入口在下一個跳變周期中不會被掃描到。隨著掃描的進(jìn)展，將會有越來越多的活躍服務(wù)入口分布到已掃描過的空間，未掃描空間的活躍服務(wù)入口數(shù)量將會逐漸減少，存在掃描者遍歷整個服務(wù)入口空間時(t=NSP×S)都沒有成功掃到一個活躍服務(wù)入口的情況。但順序掃描是對傳統(tǒng)的、沒有實(shí)施IP地址跳變機(jī)制的系統(tǒng)的常見掃描方式。如果攻擊者知道目標(biāo)系統(tǒng)采用IP地址跳變機(jī)制，將順序掃描策略改為隨機(jī)掃描策略，那么理論上已經(jīng)被掃描過的空間依然可能會被重復(fù)掃描，遷移到已掃描空間的服務(wù)入口仍然會被掃描到。在實(shí)施IP跳變機(jī)制的系統(tǒng)中，隨機(jī)掃描是否比順序掃描有更大的成功概率？下面將分析其掃描成功概率。

攻擊者進(jìn)行隨機(jī)掃描時，每次掃描將在服務(wù)入口總空間中隨機(jī)選擇一個入口進(jìn)行掃描。因此，任一時刻的未掃描空間都是服務(wù)入口總空間，任一時刻所掃描的入口都是在入口總空間中隨機(jī)選擇的，即任一時刻掃描成功的概率均為活躍服務(wù)入口在入口總空間的占比，因此在某時刻t恰好掃描到一個活躍入口的概率為：

(41)

由于t時間內(nèi)共可掃描?t/S」個端口，因此t時間內(nèi)掃描成功的概率為第i個被掃描的端口被掃描成功且在該端口之前均未掃描成功的概率和，則在時間t內(nèi)掃描到一個活躍服務(wù)入口的概率為：

(42)

經(jīng)歷的掃描時間t越長，能夠掃描的入口數(shù)?t/S」越多，成功掃描到活躍服務(wù)入口的概率越大。由于每次掃描的入口是隨機(jī)選擇的，入口選擇的隨機(jī)性導(dǎo)致可能存在一些入口被頻繁地掃描，一些入口很少甚至從未被掃描過，因此在有限時間內(nèi)，還是存在無法掃描到活躍入口的情況。

同時，由于隨機(jī)掃描是重復(fù)掃描，每次掃描時的未掃描空間都是服務(wù)入口總空間，因此隨機(jī)掃描的每次掃描都相當(dāng)于是t=0時的順序掃描，由2.1的分析可知，順序掃描的PWt隨掃描時間t的增大而增大，因此一定時間t內(nèi)隨機(jī)掃描成功的概率小于順序掃描(由于隨機(jī)掃描的偶然性，存在隨機(jī)掃描比順序掃描更快獲得活躍服務(wù)入口的情況，我們僅討論大量數(shù)據(jù)的統(tǒng)計(jì)規(guī)律)。由于在隨機(jī)掃描的情況下，攻擊者對掃描入口的選擇是隨機(jī)的，可以認(rèn)為IP地址跳變對于抗隨機(jī)掃描沒有增益效果。但是IP地址跳變機(jī)制在服務(wù)密度較低的系統(tǒng)中對順序掃描成功率產(chǎn)生的影響，使得攻擊者無法采用順序掃描獲得更高的收益，在極端情況下(如T足夠小)，掃描成功率可能退化成接近隨機(jī)掃描，這可看作是IP地址跳變機(jī)制產(chǎn)生的安全增益。

3 實(shí)驗(yàn)驗(yàn)證

3.1 針對任意目標(biāo)順序掃描

3.1.1實(shí)驗(yàn)方法

為使實(shí)現(xiàn)接近現(xiàn)實(shí)情況，我們采用接近一個C類IP地址的空間作為可用IP資源，采用分鐘級跳變間隔(考慮到大部分情況下分鐘級跳變間隔已經(jīng)給同步機(jī)制和系統(tǒng)平滑性帶來較大的影響)，毫秒級掃描效率(符合當(dāng)前普遍的局域網(wǎng)上掃描能力)：

(1) 為虛擬機(jī)分配10.0.0.3-10.0.0.253共251個IP地址，探測出1 025～65 534中未被系統(tǒng)占用的端口號，共64 502個，將這些IP地址與端口進(jìn)行組合，形成251×64 502個服務(wù)入口，隨機(jī)選擇出NSE(個位數(shù)級)個活躍入口，綁定這NSE個服務(wù)入口：(IP地址，端口號)，打開套接字進(jìn)行監(jiān)聽，并記錄該入口被打開，等待T時間后進(jìn)行第一次跳變。

(2) 在NSE個活躍入口中隨機(jī)選擇NSE×k%個入口，關(guān)閉這些活躍入口，記錄本輪被關(guān)閉，在未打開且非本輪關(guān)閉的入口中隨機(jī)選擇NSE×k%個入口，綁定并打開監(jiān)聽，等待T時間后進(jìn)行下一次跳變。

(3) 主機(jī)使用nmap對251×64 502個服務(wù)入口進(jìn)行順序掃描，使用nmap的優(yōu)勢是單個入口所需平均掃描時間短，平均4～5 ms可掃描一個服務(wù)入口。在實(shí)際測試中，受網(wǎng)絡(luò)性能的影響較大，單個入口掃描所需時間差距較大，范圍大致為0.7～16 ms。若主機(jī)同樣使用套接字，順序與服務(wù)入口嘗試建立連接，可通過控制嘗試建立連接的時長來控制單個入口的掃描時間，使其不至于相差過大。

3.1.2實(shí)驗(yàn)結(jié)果

在NSP=251×64 502，NSE=5，k=60，S=4 ms的情況下，我們針對不同的跳變間隔T(55～95 s)可以得出掃描成功的概率p隨掃描時間t的變化如圖1、圖2所示，并得出結(jié)論：

? 對于抗任意目標(biāo)掃描，在T/S為104數(shù)量級的情況下，掃描能否成功與服務(wù)入口的跳變間隔基本無關(guān)，以毫秒級的掃描速度，幾乎總能夠在一輪順序掃描結(jié)束前掃描到活躍的服務(wù)入口。

? 以相同的活躍入口密度和單個入口掃描時間，在相同時間內(nèi)，若能夠在一個跳變間隔內(nèi)完成一輪掃描(遍歷整個服務(wù)空間)，則一定能夠掃描成功，否則跳變間隔對掃描成功概率的影響沒有顯著規(guī)律。

? 掃描開始時間與掃描成功率沒有顯著的關(guān)系。

? 經(jīng)歷的時間t越大，掃描成功的概率PWt越大。

圖1 掃描開始與地址跳變同時發(fā)生掃描時間與 成功概率的聯(lián)系

圖2 掃描開始于跳變間隔任意時刻掃描時間與 成功概率的聯(lián)系

另外，我們控制不同的活躍入口密度，分別測試不同跳變間隔下掃描成功所需要的時間，可以得出結(jié)論：

? 相同活躍入口密度下，跳變間隔的變化對掃描成功所需時間沒有太大影響；

? 相同跳變間隔、單個入口掃描時間下，活躍服務(wù)入口密度越小，掃描成功所需時間越長。

結(jié)果如圖3所示。

圖3 掃描成功所需時間與活躍入口密度的聯(lián)系

3.2 針對特定目標(biāo)順序掃描

3.2.1實(shí)驗(yàn)方法

虛擬機(jī)端與3.1所述相同，主機(jī)使用nmap對251×64 502個服務(wù)入口進(jìn)行順序掃描，掃描到開放端口后判斷是否是所需服務(wù)，若是，則掃描成功，否則繼續(xù)掃描。

3.2.2實(shí)驗(yàn)結(jié)果

以服務(wù)入口總空間為251×64 502=16 190 002， 活躍服務(wù)入口數(shù)為5，每次跳變3個活躍入口，平均單個端口掃描時長為4 ms為例，一輪順序掃描時間為16 190 002×4 ms=64 760.008 s，逐步增大跳變間隔T，實(shí)驗(yàn)證明，當(dāng)T<4 000 s時，針對特定目標(biāo)的單輪順序掃描成功概率小于50%，當(dāng)T≥4 000 s時，掃描成功的概率大于50%。

表1 各跳變參數(shù)與掃描成功的概率

3.3 針對任意目標(biāo)隨機(jī)掃描

3.3.1實(shí)驗(yàn)方法

虛擬機(jī)端與3.1節(jié)所述相同，主機(jī)在服務(wù)入口總空間中隨機(jī)選擇一個入口，建立套接字，嘗試與該入口建立TCP連接，并設(shè)置超時時長為10 ms。若連接成功，則表示掃描到一個活躍入口，否則繼續(xù)隨機(jī)選擇入口嘗試連接。

3.3.2實(shí)驗(yàn)結(jié)果

以跳變間隔T為65 s，服務(wù)入口總空間為250×6 000=1 500 000，活躍服務(wù)入口數(shù)為5，每次跳變3個活躍入口，平均單個端口掃描時長為10 ms為例，針對任意目標(biāo)隨機(jī)掃描的成功概率隨掃描時間t的變化如圖4所示，并顯示與相同條件下順序掃描成功概率的對比。

圖4 隨機(jī)掃描與順序掃描成功概率對比

由實(shí)驗(yàn)可以得出結(jié)論：

? 掃描時間越長，隨機(jī)掃描與順序掃描成功的概率越大，成功概率的差值越小。

? 相同活躍服務(wù)入口密度、單個入口掃描時長、跳變間隔以及掃描時間下，隨機(jī)掃描成功概率明顯低于順序掃描。

4 結(jié) 語

移動目標(biāo)防御為信息安全防御提供了新的思路?；谝苿幽繕?biāo)理念在網(wǎng)絡(luò)層采用IP地址跳變是一種有效增加攻擊者掃描服務(wù)入口難度的防御機(jī)制。但是不同的跳變參數(shù)和網(wǎng)絡(luò)資源條件也會對抗掃描能力產(chǎn)生影響。通過針對IP地址跳變機(jī)制抗掃描能力的分析與評估，可以得出結(jié)論：

(1) 對于抗任意目標(biāo)的順序掃描。

? 在當(dāng)前普遍的網(wǎng)絡(luò)資源供給情況下(C類IPv4地址作為一個子網(wǎng)空間，承載5個服務(wù))，以及普遍可接受的跳變間隔(分鐘級跳變)，掃描能否成功。與服務(wù)入口的跳變間隔沒有明顯的關(guān)系。如不指定特定服務(wù)，以毫秒級的掃描速度，100秒級的跳變間隔，基本都能夠在一輪順序掃描結(jié)束前掃描到活躍的服務(wù)入口；在相同的活躍服務(wù)入口密度下，跳變間隔的變化對掃描成功所需時間及一定時間內(nèi)掃描成功的概率影響不大。

? 在分鐘級跳變間隔，毫秒級掃描效率的條件下，掃描成功的所需時間與活躍服務(wù)入口的密度有較大關(guān)聯(lián)，相同跳變間隔下，活躍服務(wù)入口密度越小，掃描成功所需時間越長。

? 掃描經(jīng)歷的時間越長，該時刻掃描成功的概率越小，該時間內(nèi)掃描成功的概率越大。

(2) 對于抗特定目標(biāo)的順序掃描。

針對特性目標(biāo)的掃描，由于服務(wù)密度降低，使得掃描難度顯著增加。在服務(wù)密度本身較小的情況下，若進(jìn)一步減小服務(wù)密度，將顯著抵消跳變周期增加所帶來的掃描概率提升。

(3) 關(guān)于隨機(jī)掃描與順序掃描。

? 隨機(jī)掃描的成功概率與跳變間隔T無關(guān)，且隨著掃描時間t的推移，存在永遠(yuǎn)無法掃描成功的情況，IP地址跳變機(jī)制對于抗隨機(jī)掃描沒有影響。

? 若能夠在一個跳變間隔內(nèi)完成一輪順序掃描，則一定能夠掃描成功，即若不進(jìn)行IP地址跳變，順序掃描一定能夠成功；若不能在一個跳變間隔內(nèi)完成一輪順序掃描，則掃描成功的概率與掃描持續(xù)時間t、活躍服務(wù)入口密度以及單個入口掃描時間有關(guān)。

? 在相同活躍服務(wù)入口密度、單個入口掃描時長、跳變間隔以及掃描時間下，隨機(jī)掃描成功概率低于順序掃描。

? IP地址跳變機(jī)制對于抗隨機(jī)掃描沒有影響，但能夠從一定程度上降低順序掃描成功的概率。

基于以上的結(jié)論，我們認(rèn)為在當(dāng)前IPv4的地址資源供給條件下，IP地址跳變帶來的安全增益有限，IPv6的巨大地址資源可能給IP地址跳變的效應(yīng)帶來普遍提升。在IP資源有限的情況下，只有通過顯著降低服務(wù)密度才能獲得較好的抗掃描能力；當(dāng)需要承載的服務(wù)較多時，跳變并不能有效抵御針對任意目標(biāo)的掃描。IP地址跳變機(jī)制需要與其他MTD或擬態(tài)防御機(jī)制的組合才能發(fā)揮效應(yīng)。

當(dāng)前我們對于IP地址跳變機(jī)制有了初步的量化評估方法研究，今后將進(jìn)一步研究當(dāng)攻擊者獲知IP地址跳變策略，采用更有針對性的掃描策略時，系統(tǒng)可能達(dá)到的抗掃描能力。