Resident Evil: Understanding Residential IP Proxy as a Dark Service

2019-07-08 77 Words S& p2019 Network secruity

Brief

  • Meeting: S&P 2019
  • Authors: Xianghang Mi, Xuan Feng, Xiaojing Liao, Baojun Liu, XiaoFeng Wang, Feng Qian, Zhou Li, Sumayah Alrwais, Limin Sun, Ying Liu

Background

分布式反射拒绝服务攻击体现了一种利用新型的家用IP代理的攻击方式。

Residential IP Proxy as a Service (RPaaS) 指代了控制了大量家用终端(自愿加入)的提供代理网络的服务。一些公司提供这样的服务。这种服务可以用于 DoS,爬虫,恶意破坏 SEO 等非法攻击。

Conclusions

  1. 这种网络分布在 238 个国家,52905 个独立IP。其中 95% 是家庭设备。
  2. 发现大量设备并非自愿加入网络。即使是部分设备也是妥协的结果
  3. 正在运行在代理网络之上的有 67 个程序,其中 50 个可能是恶意的程序。
  4. 只有 9.36% 的终端检测到了这种恶意流量,更有部分安全检测主机是 RPaaS 的一员。
  5. 代理商可能使用其他代理商的网络(多级零售),有些代理商没有背景审查并接受比特币。
  6. 鉴别了后台网关。这些网关部分被检测到而已并被屏蔽。

Method and Dataset

这些网络通过 http/https 等方式发起请求。 * 一个实验用的客户端发起某一个域名的请求。这些域名中包括了时间戳,uuid等信息。 * 一个dns服务器,用于由网络中的host查询dns时候,记录发送方的ip等信息,并返回接收器的ip * 一个接收器,用于接收最终的请求。

为了对流量进行伪装。作者使用了多个位于不同地域的服务器。并对流量使用 aes128 加密。

作者构建和训练了一个分类器用于对IP进行判断是否是家庭IP。使用 whois 、GEOIP 等信息加以判断。

Related Topics


No related topics