跟大家想的不一樣的是:運營商那裡是沒有通信記錄的。因為流量實在太大了,是真的記錄不起。一定要記錄的話大概相當於要求郵局把所有過往明信片都複印一遍然後存檔。
其次,對於過往的數據包,運營商並不知道其內容,也不想知道。人家就是一個送個快遞的公司,網購什麼的東西人家真的無所謂。
最後,運營商並沒有權力看跳板內的東西,就像快遞公司不能隨便抄家一樣。
假設主機H被跳板X攻擊了,要追查的話,運營商的最好成績也就是能知道在發生攻擊的時間前後,有ABCDEFG等IP跟X有過通信。ABCDEFG中有沒有跳板,哪個是跳板,光靠運營商自己的力量是無從知曉的。
運營商不會去抓包,不是說不能,而是實在成本太高了。能抓100G口的設備大概長這個樣,2U服務器X5:
這樣的一套設備的容量大概是50TB。就算流量50Gbps,50TB大概能撐2個小時……把EMC最牛B的存儲設備裝上,大概2PB吧,記得。能抓一週也就燒高香了。
更坑爹的是這種抓包裝置的接入方式。有兩種,一種叫in-line,一種叫by-pass
in-line顧名思義,就是串在光纖上抓過往的數據。如果這麼接先不說萬一這玩意抽風整個運營商的網絡跟著抽風,光是憑空多出一步光-電-光的轉換就夠讓延遲爆表了。(低延遲是運營商核心競爭力之一)
by-pass則是在交換機上設置一個專門的SPAN口,所有數據均轉發到這個口上,把抓包裝置接在這個口上自然可以,這沒有增加延遲的問題,也不怕抓包設備抽風。但總不能指望一個100G的SPAN口監視2個100G的口吧?流量大一點就會丟包(2個100G口的流量合計>100G的時候),想不丟包只能給每個100G口配個100G的SPAN口。真這麼幹運營商成本立刻翻倍(這種骨幹網的成本估算一般都是按平均一個口多少錢這麼算的)
而且這折騰了這麼久才能抓1個口,所有口都抓誰也燒不起。
所以覺得運營商多閒,才會沒事蹲坑抓包?
倒不是說運用商完全不抓包,而是成本太高,只有明確的範圍,時間和目的才會去抓。比如知道黑客以及他10個跳板的IP,然後今晚8~10點進行攻擊,才能去抓。
IPS,IDS,DPI什麼也同理,因為成本和延遲問題運營商也不回去裝。而且這些也只能對已知的包有點作用。經過偽裝的包這玩意也都不認識。就連是國家級IPS也是一樣。
那運營商就完全沒有收集過往數據包信息的動機和慾望嗎?或者說運營商查一件過去發生過的攻擊真的什麼都查不到嗎?
那倒也不是。只不過包的內容對於運營商來說真沒啥卵用,倒是如果能有辦法統計包頭,原地址目標地址還有協議什麼的,對運營商的traffic engineering確實很有幫助,所以有可能的話運營商也還是很想要這個數據的。
netflow這種技術就是為了滿足這種要求而生的。具體實現方式就是由交換機把過往數據包的信息(原地址目標地址端口協議什麼的)發往後臺服務器。
但如果對每個包都統計,對於運營商這種流量大戶來說也是很不現實的一件事。所以運營商的netflow一般都會做取樣統計,取樣率大概幾百~幾千分之一(4000,8000相對常見),也就是過往的包中幾千個抽1個,統計信息。
所以如果運營商有netflow,還是能查到一些東西的。
不是去運營商那裡查就能查出源頭的(如果有跳板在其他運營商範圍內就更麻煩了),運營商能做的事情真的很有限。
對於運營商能做的要麼是對已知的攻擊流量進行蹲點,比如有人操作管理大型的殭屍網絡。而對於過去攻擊的溯源,最多也就能告訴攻擊前後,跟跳板通信的IP有哪些,還得壓上4000分之一的運氣。
至於分辨這些IP中哪個是黑客哪個是下一跳哪個是正常用戶,那真的是臣妾做不到啊。
當然,也不是說用了多重跳板就抓不到了,如果真要查的話,人家也完全聯繫跳板的真正主人要求配合,甚至可以直接攻破跳板(比如境外跳板)然後查日誌或者守株待兔。或者乾脆通過走訪的方式篩選出下一跳。
閱讀更多 西部遊星 的文章
