Internet协议(IP)归因是尝试识别设备ID或负责 网络攻击 (e.g. 勒索软件 or other 恶意软件类型)基于网络数据包的来源。
将IP地址分配给系统一段时间,使它们能够与网络上的其他设备交换数据。
当今有两种主要的IP版本,IPv4的地址空间约为40亿个地址,而IPv6的地址空间约为340亿,即3,400亿亿美元。虽然40亿个地址听起来很多,但IPv4已经以多种方式耗尽。
这导致目前向大多数主要网络和设备所依赖的IPv6地址的迁移缓慢。
知识产权归属有效吗?
It'经常说每个设备都有唯一的IP地址分配,并且该地址可以可靠地用作标识符。这不是真的。
这个神话的延续继续削弱公众'对Internet的工作方式的理解,包括其基础协议以及如何使其安全。
许多人认为IP地址类似于指纹。但是,有一些关键的差异需要理解。
如果人类可以随时更改其指纹,甚至可以复制另一个人'指纹,查找和分析指纹几乎没有价值。指纹对于识别恶意活动非常有用,因为它们是唯一且不可更改的。
如果不是't, we wouldn'不能依靠他们进行法医调查。
然而,这正是发生在 网络安全 数字取证 通过IP归因的实践来确定网络犯罪的地理位置,设备或个人响应。
简而言之:
- 有一些通用技术会实时掩盖谁绑定到IP地址。
- 瞬态签名比IP地址少得多。
- 即使您可以识别设备及其操作系统,也可能无法确定谁在使用它。
- 移动设备和公共网络(例如访客wifi网络)允许未经审查的Internet访问,即使它们可以防止未经授权的用户访问更安全的内部网络。
- IP地址空间很大,可以取消使用或重新使用。
- IP地址可以共享。
将源IP更准确地描述为将响应发送到何处的预期指令。没有什么可以阻止网络数据包的真实发件人用任意或故意误导性的IP地址标记数据包。
如果使用随机源IP发送,则发送方将无法期望收到来自目标的答复(因为目标服务器将尝试将答复发送至随机地址而不是真实来源)。
但是,这种设计确实允许多种形式的路由,这些路由完成了通信,而无需通知主机真实的来源。's IP address.
IP地址是否具有欺骗性?
IP地址容易被伪造或"spoofed"。这个概念不是什么新鲜事物或秘密,一个快速的Google将显示数千个页面。您可以在下面阅读更多有关它的信息 维基百科 .
实际上,GitHub上有可用的开源脚本展示 这个概念。如该项目所示,发起端口扫描的IP地址“也可以被伪造”。
IP归因对于与安全无关的趋势分析很有用。但这仅是因为大多数Internet通信都不想混淆其原始IP地址。
当归因的目的是识别单个设备,尤其是对于威胁情报,而不是对大量不同流量的常规分析时,情况将发生变化。大多数在互联网上做正常事情的人没有理由伪造其IP地址,如果这样做的话,确实会对他们造成问题。具有讽刺意味的是,大多数有动机这样做的人恰恰是IP归因工作试图抓住的错误行为。
云服务和共享IP地址如何影响IP归属?
云托管服务和其他共享IP平台的采用日益广泛,使IP归属问题更加复杂。
许多廉价的云计算服务没有为客户端提供唯一的IP地址。对于可能与互联网服务提供商(ISP)共享地址空间的中小型企业,情况也是如此。
主机可以并且将为多个客户端使用一个IP地址。路由魔术,子网,CIDR(无类域间路由)和网络地址转换使这成为可能。
如果将动作仅归因于源IP地址上的实体,则可以根据其他人在同一物理主机上的恶意邻居实例的行为将云托管实例集中起来并进行分类。
云服务使轮换IP变得容易,从而进一步增加了归因错误的可能性。
恶意冒充的价值在增加吗?
不依赖IP归因的最重要原因是与"Hack Back" legislation.
这个想法再次出现在新闻中 汤姆·格雷夫斯代表提出的新建议 “这将使公司能够走出自己的网络来识别攻击者并可能破坏其活动。”
如果通过法律允许实体向被察觉的在线攻击者回击,则IP地址可能在识别谁被钉为反向目标方面发挥作用。 事件响应.
安全专业人员需要对公众进行有关IP地址操作简便性的教育。如果允许恶意实体回击,这会给恶意个人提供诱骗更大的实体攻击无辜,被模仿的受害者的机会,那将是不好的。
结论
正如 网络钓鱼 and other 对于 ms of 社会工程学 模仿已成为常识,IP地址操纵需要成为公共语言的一部分,而不仅仅是在 信息安全 circles.
IP归因存在许多问题,从多租户云环境的复杂性到IP欺骗的难易程度。
基本事实是一个小包'的发件人IP在发件人下面'而不是像指纹一样可以信赖的东西。
对于影响较小的用途,IP归因可能足够好,但事实并非如此't 对于 security.
想象一个未来,在这种情况下,IP归因将成为安全决策的核心,并了解由于基本可变性而造成的危险。
我们不'想要激励坏演员 利用 IP欺骗以与DDoS攻击相同的方式进行。
在最佳情况下,IP归因数据将变得毫无用处。但是更麻烦的情况是可行的,因为无私的IP被列入黑名单,并且毫无信誉的企业由于其不当的IP声誉而受到严重破坏。
UpGuard如何改善您的安全状况
那里's no question that 网络安全更重要 比以往任何时候都。那's why companies like 洲际交流, 泰勒·弗莱 , 纽约证券交易所,IAG,First State Super,Akamai,Morningstar和NASA使用UpGuard保护其数据, 防止数据泄露.
We'是数据泄露方面的专家,实际上我们 数据泄露研究 已在 纽约时报, 彭博社 , 华盛顿邮报, 福布斯 and Techcrunch。
UpGuard BreachSight can help combat 抢注 , 避免 数据泄露 and 数据泄漏 ,避免监管罚款并保护您的客户'通过网络安全等级和持续暴露检测获得信任。
UpGuard供应商风险 通过自动执行供应商调查表并持续监控您的组织,可以最大程度地减少组织用于管理第三方关系的时间 供应商 ' 安全态势 随着时间的流逝,同时将它们与行业进行比较。
每个供应商均根据50多个标准(例如是否存在 SSL协议 协议 and 域名系统 ,以及 域名劫持, 中间人攻击 and 电子邮件欺骗 for 网络钓鱼 .
每天,我们的平台都会通过 网络安全等级 满分为950。如果他们的分数下降,我们甚至可以提醒您。
