作者:杨冀龙
公众号:神龙叫
原文链接:https://mp.weixin.qq.com/s/HLvydDDhTfxK-xWsGEuCpA

通过对战争发动前后,俄乌互联网空间测绘数据分析,可以从一个侧面一窥俄乌实体战争态势情况,也能更详细窥视网空对抗情况。

图片

一、战争前期俄罗斯网空防御居于劣势

通过网空测绘显示,俄罗斯网络空间最近一年互联网IP的开放端口暴露数量为:8609万,乌克兰为516万,其中俄罗斯防火墙数量6.6万,乌克兰0.9万。乌方一个防火墙平均覆盖560个资产,俄方一个要覆盖1291个资产,防御密度来看,乌克兰占优势。

类型 俄罗斯 乌克兰 比例
最近一年的互联网资产数量 8609万 516万 17: 1
防火墙设备 6.6万 0.9万 7 : 1
加密设备 1149万 198万 6 : 1

二、从网空测绘可以反馈物理战争进展

我们通过网空IP掉线率,可以了解实体战争态势。

通过对乌克兰互联网空间的240万IP地址,每小时做存活性测绘,得出各个区域的掉线率,用颜色标记。2月25日下午4点左右,掉线情况如下:

图片

用地图标识如下(颜色越深,掉线率越高):

图片

和网络报道的俄罗斯军队进攻路线和进度高度重合:

可见通过网空测绘,可以掌握部分实体战争进度。

其中乌克兰中部、西部也出现了掉线情况,根据对关键基础设施暴露在互联网的IP地址测绘,根据新闻媒体报道,其网络持续受到DDos攻击,有新闻报道称是俄罗斯所为,但没有给出明确证据。

三、战争期间乌克兰互联网受到持续强度打击

3.1 乌克兰互联网持续掉线情况

通过对乌克兰240万互联网IP存活测绘显示:

  1. 2月15日起在地面冲突前一周左右,乌受到规模化DDoS攻击,和新闻报道一致。
  2. 2月乌克兰发布新闻,23-24日乌通过自主防卫手段,开始主动断网,加固保护关基和信息设施。
  3. 2月24日开战后前期主动断网系统重新上线,但在随后几天里这些资产持续掉线,持续受到DDos攻击压制,乌克兰临时断网加固没有效果。

时间历程如下图(横轴是时间,纵轴是存活IP数量):

图片

3.2 乌克兰关键基础设施受到持续打击压制

我们对乌克兰关基设施的互联网IP抽样进行存活观察如下:乌克兰在线存活的关键基础设施数量从2月24日起急剧下降,掉线比率超过50%。攻击方使用规模化DDoS等攻击手段瘫痪关基,直接打击乌关基设施。

图片

分类 2月24日 3月7日
关基IP掉线比例 58% 66%
非关基IP掉线比例 8% 16%

从互联网掉线的关基分类和比例如下:

图片

关基的掉线也引起了媒体报道:

图片

参考信息:https://baijiahao.baidu.com/s?id=1725633189034620481&wfr=spider&for=pc

图片

3.3 DDos和网页篡改并列

除了持续受到DDos攻击导致乌克兰大量关基无法提供服务,被压制掉线以外,1月1日到3月1日,我们还监测到121次乌克兰政府网站、新闻媒体网站被篡改事件。和新闻报道基本一致:

图片

篡改内容包括:发布虚假战况、发布虚假政府公告、发布政治宣言、发布恐吓信息等。

参考信息:https://new.qq.com/omn/20220115/20220115A02K9R00.html

3.4 对关基的网络攻击摧毁设施设备

从网上媒体报道来看,除了DDos以外,乌克兰卫星、政务信息系统等关基设施,也受到了数据擦除、系统擦除、硬件损坏等攻击。

图片

图片

四、战前3天乌境内僵尸节点快速增加

如果要进行DDos攻击,除了全球部署僵尸外,更重要的是要在目标国境内部署。我们对黑客常用的其中一款僵尸布控程序在乌克兰境内部署情况测绘显示,在开战前两天,开始了大规模布控,数量快速上升2.5倍,似乎预示了战争即将开始。该僵尸布控数量如下:

图片

通过对39款僵尸程序在乌布控测绘,战前两天平均上升倍率为2.3倍。

五、国际黑客对俄攻击加剧但没有效果

主要成员来自美国的匿名者组织于2月25日向俄罗斯“宣战”,并号召全球黑客对俄罗斯发起网络攻击,随后就导致了俄罗斯的多个关基受到多种手段来自暗网、全球跳板的攻击。

共有50个国际黑客组织宣布参加了此次网络冲突中,其中39个黑客组织支持乌克兰,并持续对俄罗斯发起网络攻击,15个黑客组织表示支持俄罗斯。俄罗斯在全球黑客圈的影响力较弱。

5.1 暗网测绘显示对俄网络攻击大幅度增加

我们通过暗网测绘测绘,2月25日我们观察到暗网攻击中对不同国家的攻击数量占比出现了变化,大量攻击指向了俄罗斯:

国家 日常占比 25日占比
俄罗斯 7% 30%
乌克兰 0.1% 0.1%
美国 30% 20%
中国 2% 1%

5.2 跳板对俄网络攻击大幅增加

我们长期对全球黑客使用的跳板IP进行跟踪。2月20日到3月27日对黑客使用的跳板抽样,统计到俄罗斯的攻击数据,我们发现在开战头几天,这些跳板大量被用于攻击俄罗斯,攻击量比平常增加了30倍:

图片

5.3 俄罗斯网络在攻击中没有波动

我们对俄罗斯关基单位IP进行抽样持续性测绘显示,在如此激烈的黑客攻击下,俄罗斯关基互联网资产基本没有波动,不受攻击影响:

图片

六、通过测绘看俄乌网空对抗特点和对我们的启示

乌克兰网络被攻击有以下特点:

  1. 规模化、高强度DDos:持续进行了高强度的DDos攻击,乌克兰关键基础设施始终被压制。

  2. 网站受到持续篡改攻击:政府、新闻网站被持续入侵,篡改,发布虚假公告,影响民心。

给我们的启示为严防DDos和防篡改

  1. 关基单位加强抗DDos防御。尤其是金融、能源、运营商、政府,可以想象如果各健康码同时受到DDos攻击,导致无法提供服务,将会带来多大的社会影响?

  2. 政府、媒体需要加强防篡改能力。官方媒体必须保障没有虚假信息发布,尤其关键时刻,代表政府声音,事关重大!

  3. 充分利用云防御平台能力。全球提供抗DDos、防篡改、防黑客入侵的主要云防御平台有: a) Akamai.com(阿卡迈):用于美国的关基互联网侧业务
    b) CloudFlare.com(云之光):用于美国和盟国的互联网安全,4月后,不断有乌克兰互联网系统,接入其防御服务
    c) Yunaq.com(创宇盾):保卫了大量中国的关基和互联网企业安全

七、数据源:“钟馗之眼”网空测绘平台

以上数据均来自知道创宇的“钟馗之眼”(ZoomEye.org)网空测绘平台。网络空间测绘是指对网络空间资产进行持续探测跟踪,以了解其属性和用途,掌握其状态和变化。该平台目前已发展成为全球最大规模的网络空间测绘平台之一。

钟馗之眼测绘项目包括:存活测绘、关基测绘、GPS测绘、风险测绘、APT测绘、攻击行为测绘、僵尸测绘、CC测绘、IP测绘、域名测绘、恶意软件测绘……

钟馗之眼用途:能了解网络攻防对抗进展、能掌握网络薄弱环节提前修复、能掌握网络中黑产和黑客使用的IP域名跳板等资源威胁情报……可以提前基于测绘数据,在威胁到来前进行更有效的布防。


注意:由于网络空间的隐蔽性,没有任何实际证据证明以上提到的网络攻击来自某个具体国家。


Paper 本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/1901/