FreeBuf|基于网络欺骗与浏览器指纹的WEB攻击溯源( 二 ) 一背景概述针对网站的Web攻击是互联网

四应用场景1应用场景-专用欺骗环境

文章图片
图6专用欺骗环境架构
部署专用的网络欺骗环境，如：注册子域名并故意绑定虚假的Web业务系统；在Web服务器上部署虚假的网站登录、注册页面（用于抓取攻击者的手机号、邮箱等信息）；部署存在漏洞的Weblogic并对互联网开放等。同时，所有的“欺骗性信息或服务”均不对外发布，只有采取一定的技术手段才能访问，而正常用户通常不会进行该操作。
2应用场景-常规网站防护

文章图片
图7网站后台防护架构
在真实的业务系统的管理员登录页面部署“溯源脚本” ，不仅可采集攻击者的指纹信息，而且当某攻击者使用同一设备对多个业务系统的管理员登录页面实施攻击时，也可通过浏览器指纹将攻击事件进行关联。（备注：管理员设备的指纹信息已加白）

文章图片
图8网站整体防护架构
此外，也可在网站首页部署“溯源脚本” ，采集所有用户的指纹信息，并与指纹库中(仅存储归属于攻击行为的客户端指纹)的信息做比较，以感知潜在的试探性攻击行为。该应用场景的优点在于，在攻击者对网站进行分析、查找漏洞的过程中，即可将其从大量正常流量中识别出来。
3应用场景-注入WebShell

文章图片
图9溯源Webshell当发现网站被攻击者入侵且留下WebShell后门时，除做好网络和机器隔离外，可暂时不清除木马文件，而是向其中插入“溯源脚本“ ，等待攻击者再次访问，从而获取与攻击者关联性较强的指纹信息，为溯源取证提供依据。
五优点与不足该方案的优点：1.不存在误报构建的欺骗环境不对互联网发布，正常用户是不可见的，只有采用一定手段才可能发现。凡是访问这些虚假资源的行为，均被认为是潜在的攻击行为，故不存在误报情况。
因此，相对于IDS、WAF等常规安全防护产品，基于网络欺骗技术，可将攻击流量从大量的合法流量中识别出来，不存在误报情况的发生。
2.改善漏报率即使黑客在攻击过程中，使用了大量的代理服务器，不断的变化着出口IP地址。基于浏览器指纹技术，可及时发现采用同一设备发起的试探性攻击行为，进而阻断该攻击。（备注：实际使用时需考虑浏览器指纹的碰撞率问题）
因此，相对基于IP黑名单的防御机制，基于设备指纹的黑名单机制，可更快的感知、追踪和阻止攻击（即使攻击者使用了大量代理服务器），从而降低漏报情况的发生。
3增强溯源能力相对仅依靠服务端获取信息的溯源能力，基于浏览器指纹技术，可以采集与攻击者关联性更强的客户端信息，甚至其社交平台的账号（需要一定的前提条件），从而增强溯源取证的能力。
该方案的不足：1指纹碰撞、指纹关联问题首先，采集的不同客户端之间的指纹信息，存在指纹碰撞的情况，即:不同设备的指纹被认为是同一设备。同时，也存在同一设备因切换网络环境、更新浏览器、或切换浏览器导致指纹信息不一致的情况。
因此，如何采集区别性更好的客户端特征属性以降低碰撞率、如果实现跨浏览器、跨设备的指纹追踪，是实际应用中需要考虑的问题。（相关内容可参考文末链接）
六参考内容1网络欺骗，教你如何把来犯的黑客玩弄于股掌之间
2企业安全建设指南：金融行业安全架构与技术实践
3浅谈Web客户端追踪
42.5代指纹追踪技术—跨浏览器指纹识别