網絡匿名掃描系統(tǒng)設計及優(yōu)化

何云華 牛童 劉天一 肖珂 蘆翔

摘 要：針對網絡掃描工具在進行掃描時面臨的溯源問題，提出了一種匿名網絡掃描系統(tǒng)。首先將匿名系統(tǒng)與網絡掃描工具結合以實現匿名掃描; 然后在現有匿名系統(tǒng)的基礎上實現了該系統(tǒng)的本地私有化; 接著通過流量分析發(fā)現，Nmap的多進程掃描因為代理鏈的原因會變成單進程掃描而導致其掃描掃描性能較低; 最后提出了一種基于多Namp進程并發(fā)的性能優(yōu)化方案，將總體掃描任務分割為多個掃描任務，并分配給多個單獨的Nmap進程并行運行。實驗結果表明，該性能優(yōu)化方案的掃描時延接近正常掃描情況下的時延，達到了提高匿名掃描系統(tǒng)性能的目的。因此，該優(yōu)化后的網絡匿名掃描系統(tǒng)在阻礙溯源的同時提升了掃描效率。

關鍵詞：匿名服務發(fā)現;網絡掃描;性能優(yōu)化;洋蔥路由

中圖分類號：TP302

文獻標志碼：A

Abstract： An anonymous network scanning system was proposed for traceability problem faced by network scanning tools during scanning. Firstly， the anonymous system was combined with the network scanning tool to implement anonymous scanning. Then， the local privatization of the system was implemented based on existing anonymous system. Thirdly， through traffic analysis， it was found that Nmaps multiprocess scanning would become a singleprocess scan due to proxy chain， resulting in lower scan scan performance. Finally， a performance optimization scheme based on multiNamp process concurrency was proposed， which divided the overall scan task into multiple scan tasks and assigned them to multiple separate Nmap processes in parallel. The experimental results show that the scanning delay of the performance optimization scheme is close to that of the normal scanning system， and achieves the purpose of improving the performance of the anonymous scanning system. Therefore， the optimized network anonymous scanning system hinders the traceability and improves the scanning efficiency.

英文關鍵詞Key words： anonymous service discovery; network scanning; network proxy; The onion routing （Tor）

0 引言

隨著互聯網技術與信息安全技術的發(fā)展，網絡空間安全的態(tài)勢感知問題逐漸受到重視，網絡掃描工具作為其基本工具被使用得也越來越頻繁。根據Gartner公司發(fā)布的最新預測，全球信息安全產品及服務支出在2017年年內達到864億美元，較2016年全年增長7%，預計2018年全年支出將進一步增長至930億美元[1]。

隨著人們對自身信息安全意識的提升，網絡掃描開始面臨著被溯源的危險[2-3]。溯源技術即通過抓取數據包中的源地址來確定數據包的來源，以此來確定掃描來源。掃描者一旦被發(fā)現就面臨著追究責任等各種問題，所以，如何防止掃描者被溯源，防止掃描者的個人信息的泄露顯得至關重要。

匿名系統(tǒng)[4-6]通過隱藏或者模糊通信數據包中的源地址和目的地址，從而達到隱藏通信雙方的目的。目前，研究人員已經開始嘗試將匿名系統(tǒng)和網絡服務發(fā)現工具相結合的方式來實現匿名掃描[7]，但僅給出簡單的方案描述，沒有進行詳細的設計和具體實現;另外，該方案在實現匿名的同時增加了掃描性能的開銷，掃描性能是網絡掃描最重要的評價指標。

本文在本地搭建私有洋蔥路由（The onion router， Tor）網絡進行研究，分析其數據包，量化Tor對掃描器的性能影響。通過多次詳細的實驗測量了其在掃描時延以及網絡開銷兩方面的性能，并通過流量分析給出了一種有效的性能優(yōu)化方案。本文主要貢獻如下：

1）實現了匿名系統(tǒng)的本地私有化，使對匿名系統(tǒng)進行流量分析變得可以實現。

2）對匿名系統(tǒng)進行流量分析，找出了其性能損失點并給出了針對性的解決方案。

1 相關工作

網絡服務發(fā)現工具即端口掃描工具是用于檢查設備上的開放端口的工具。其掃描原理是根據目的主機對數據探測包的回應來確定目的主機的相關信息，它們可以在本地或者服務器上運行，與許多工具一樣，端口掃描工具也分為開源版本和企業(yè)級工具。開源的工具主要包括Nmap、Zmap、Queso以及Masscan，企業(yè)級的工具主要包括Nessus（Tenable，2016）和惠普網絡端口掃描器。目前，楊明欣等[8]在Nmap的基礎上進行了掃描性能的優(yōu)化，提出了一種分布式掃描技術; Miller[9]將Nmap與Queso相結合，提出了提升Nmap安全性的方案; 王平輝等[10]依據網絡流量的統(tǒng)計特征提出了一種慢速端口掃描行為檢測方法，用于檢測特征的異常; Akkiraju等[11]提出了一種允許自動使用Nmap、OpenVAS等工具的網絡安全架構，在該架構下滲透測試工具自動化應用到本地網絡; Heo等[7]通過對大量網絡日志數據進行分析，研究了網絡掃描的行為趨勢。

匿名系統(tǒng)是指通過一定的措施隱藏通信雙方的個人信息的通信系統(tǒng)，這類系統(tǒng)通過編寫新的路由轉發(fā)協議，隱藏或者模糊通信數據包中的源地址和目的地址，從而達到隱藏通信雙方的目的?，F階段匿名通信的研究主要分為三類：基于Mix算法的匿名通信系統(tǒng)、基于泛洪算法的匿名通信系統(tǒng)和基于Tor算法的匿名通信系統(tǒng)。在1981年，針對電子郵件的不可追蹤問題提出了Mix解決辦法，通過對傳送數據重新排序、Mix的轉接作用等手段隔斷通信雙方的聯系，從而使得第三方可以得到的數據只有信源數據的身份以及Mix身份。Hayes等[12]提出了一種基于用戶組的匿名通信協議以抵御消息交叉攻擊。1998年又出現了以疊加發(fā)送的用餐密碼（Dining Cryptographer， DC）鏈為基礎的網絡匿名方案。Basu等[13]提出了一種基于概率的消息轉發(fā)方案以實現消息的隱私和發(fā)送者的匿名。1996年，洋蔥路由Tor網絡匿名方案被提出，美國政府于2001年7月24日給Tor授予了專利。楊元原等[14]基于Tor匿名系統(tǒng)的基礎上提出了一套混合的匿名通信系統(tǒng)。Tan等[15]針對Tor隱藏服務中實際的日食（Eclipse）攻擊場景進行了分析，通過概率分析量化攻擊成本，并給出了相應對策。周彥偉等[16]針對目錄服務器做了針對性的安全加固，升級了匿名通信系統(tǒng)。Shahbar等[6]針對Tor系統(tǒng)進行了安全性分析，進一步改進了系統(tǒng)。Sommer等[4]提升Tor用戶參與度以增強用戶隱私。

目前，匿名掃描系統(tǒng)還在起步階段，僅Rohrmann等[17]提出Nmap與Tor相結合起來，并簡單測試了時延，但沒有給出相對全面的性能損失比對。該系統(tǒng)采用現有公網上的Tor網絡，但公網上的Tor網絡會對公網上的流量產生影響，也很難更進一步地研究Tor以及Nmap的流量是如何傳輸的。

本文不僅給出了匿名掃描系統(tǒng)的詳細實現方案和流量測試方案，而且給出了性能優(yōu)化方法。

4 結語

本文設計并實現匿名掃描系統(tǒng)。該系統(tǒng)有機結合了掃描系統(tǒng)、網絡代理系統(tǒng)以及網絡匿名系統(tǒng)，保證了掃描方對目的主機進行匿名掃描，能抵抗溯源攻擊。該系統(tǒng)針對近期出現的弱口令DDoS攻擊也進行了應對，可以有效地防止弱口令攻擊的發(fā)生。最后，在保障安全的基礎上，通過分析通信過程的數據包，本文提出了針對該系統(tǒng)的性能提升方案，實現了匿名掃描系統(tǒng)的性能優(yōu)化。另外，本文方案能夠結合當前流行弱密鑰猜測算法來實現對弱密鑰攻擊的掃描，這將在后續(xù)研究工作中進行。

參考文獻 （References）

[1] E安全. Gartner：2018年全球信息安全支出達到930億美元[EB/OL].[2018-06-18].http：//www.sohu.com/a/165519395_257305.（E security. Gartner： Global information security expenditure reached 93 billion US dollars in 2018 [EB/OL].[2018-06-18].http：//www.sohu.com/a/165519395_257305.）

[2] NURMI J， KANNISTO J， VAJARANTA M. Observing hidden service directory spying with a private hidden service honeynet[C]// Proceedings of the 2016 11th Asia Joint Conference on Information Security. Piscataway， NJ： IEEE， 2016： 55-59.

[3] ERDIN E， ZACHOR C， GUNES M H. How to find hidden users： a survey of attacks on anonymity networks[J]. IEEE Communications Surveys & Tutorials， 2015， 17（4）： 2296-2316.

[4] SOMMER D， DHAR A， MALISA L， et al. CoverUp： Privacy through “forced” participation in anonymous communication[C]// Proceedings of the 2017 ACM on Asia Conference on Computer and Communications Security， New York： ACM， 2017： 3.

[5] YANG M， LUO J， LING Z， et al. Deanonymizing and countermeasures in anonymous communication networks[J]. IEEE Communications Magazine， 2015， 53（4）： 60-66.

[6] SHAHBAR K， ZINCIRHEYWOOD A N. An analysis of tor pluggable transports under adversarial conditions[C]// Proceedings of the 2017 IEEE Symposium Series on Computational Intelligence. Piscataway， NJ： IEEE， 2018： 1-7.

[7] HEO H， SHIN S. Who is knocking on the Telnet port： a largescale empirical study of network scanning[C]// Proceedings of the 2018 on Asia Conference on Computer and Communications Security. New York： ACM， 2018： 625-636.

[8] 楊明欣， 蔣玉國， 郭文東. Nmap和分布式掃描技術研究[J]. 電訊技術， 2005（10）： 253-256.（YANG M X， JIANG Y G， GUO W D.Research on Nmap and distributed scanning technology[J]. Telecommunication Engineering， 2005（10）： 253-256.）

[9] MILLER T. Intrusion detection level analysis of Nmap and Queso[EB/OL].[2018-06-10].http：//www.stillhq.com/pdfdb/000182/data.pdf.

[10] 王平輝，鄭慶華，華國林. 基于流量統(tǒng)計特征的端口掃描檢測算法[J].通信學報， 2007， 28（12）：14-18.（WANG P H，ZHENG Q H，HUA G L. Port scan detection algorithm based on traffic statistics[J].Journal on Communication， 2007， 28（12）： 14-18.）

[11] AKKIRAJU A， GABAY D， YESILYURT H B， et al. Cybergrenade： automated exploitation of local network machines via single board computers[C]// Proceedings of the 2017 IEEE 14th International Conference on Mobile Ad Hoc and Sensor Systems. Piscataway， NJ： IEEE， 2017：580-584.

[12] HAYES J， TRONCOSO C， DANEZIS G. TASP： Towards anonymity sets that persist[C]// Proceedings of the 2016 ACM on Workshop on Privacy in the Electronic Society. New York： ACM，2016：177-180.

[13] BASU A， CORENA J C， VAIDYA J， et al. Practical private oneway anonymous message routing[C]// Proceedings of the 10th ACM Symposium on Information， Computer and Communications Security. New York： ACM， 2015： 665-665.

[14] 楊元原， 馬文平， 白曉峰. 一種混合的Tor匿名通信系統(tǒng)[J]. 計算機應用研究， 2007， 24（10）：141-144.（YANG Y Y，MA W P，BAI X F. A hybrid Tor anonymous communication system[J]. Application Research of Computer， 2007， 24（10）：141-144.）

[15] TAN Q， GAO Y， SHI J， et al. Towards a comprehensive insight into the eclipse attacks of Tor hidden services[J/OL]. IEEE Internet of Things Journal[2018-06-20]. https：//ieeexplore.ieee.org/document/8382237.

[16] 周彥偉， 楊啟良， 楊波. 一種安全性增強的Tor匿名通信系統(tǒng)[J]. 計算機研究與發(fā)展， 2014， 51（7）：1538-1546.（ZHOU Y W，YANG Q L，YANG B. A security enhanced Tor anonymous communication system[J]. Journal of Computer Research and Development， 2014， 51（7）：1538-1546.）

[17] ROHRMANN R R， ERCOLANI V J， PATTON M W. Large scale port scanning through tor using parallel Nmap scans to scan large portions of the IPv4 range[C]// Proceedings of the 2017 IEEE International Conference on Intelligence and Security Informatics. Piscataway， NJ： IEEE， 2017：185-187.