doi: 10.17586/2226-1494-2020-20-5-747-754


УДК 004.7

ИССЛЕДОВАНИЕ ИСКАЖЕНИЙ ИСХОДНОГО ЦИФРОВОГО ОТПЕЧАТКА РЕАЛИЗАЦИЙ КЛИЕНТСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ В ПРОЦЕССЕ ЕГО ПЕРЕДАЧИ

Ишкуватов С.М., Комаров И.И.


Читать статью полностью 
Язык статьи - русский

Ссылка для цитирования:
Ишкуватов С.М., Комаров И.И. Анализ аутентичности трафика на основании данных цифровых отпечатков реализаций сетевых протоколов // Научно-технический вестник информационных технологий, механики и оптики. 2020. Т. 20. № 5. С. 747–754. doi: 10.17586/2226-1494-2020-20-5-747-754


Аннотация
Предмет исследования. Рассмотрена задача определения аутентичности трафика на основании данных цифровых отпечатков реализаций сетевых протоколов. Показаны способы описания цифровых отпечатков сетевых протоколов и характерные изменения исходных цифровых отпечатков в процессе передачи по различным каналам связи. Исследована возможность выявления использования средств анонимизации, обнаружения атак типа Man-in-the-Middle, вредоносных программ на основе анализа используемых цифровых отпечатков реализаций протоколов. Предложены способы совершенствования формата записи цифровых отпечатков для исключения коллизий отпечатков. Метод. Признаки каждой реализации существующего или потенциально возможного протокола передачи информации могут быть описаны цифровым отпечатком этой реализации и идентифицированы принимающей стороной. Оборудование связи на пути передачи информации может быть вынуждено менять некоторые из исходных параметров в силу своих внутренних ограничений или ограничений передающей среды. Принимающая сторона на основе предварительно подготовленных списков цифровых отпечатков идентифицирует текущую реализацию протокола передающей стороны с учетом допустимых характерных изменений узлами на пути следования передаваемых данных. Сравнивая исходный цифровой отпечаток с отпечатком, полученным сервером по определенным наборам параметров, принимающая сторона делает предположения о способах передачи данных, использовании клиентом средств анонимизации или стороннем вмешательстве в процесс передачи. На основе полученной в результате сопоставления цифровых отпечатков информации принимающая сторона принимает решение о возможности ведения сеансов связи с текущим отправителем. На протяжении всех сеансов связи с текущим отправителем получатель контролирует неизменность исходного цифрового отпечатка протокола активными и пассивными методами. Основные результаты. В ходе исследования продемонстрирована возможность определения способов сетевого подключения, средств анонимизации, подключения от потенциально опасной реализации на примере mitmproxy. Практическая значимость. Автоматизированный анализ цифровых отпечатков клиентских реализаций сетевых протоколов позволяет выявлять входящие соединения вредоносных приложений, сетевых роботов, факты использования клиентом средств анонимизации. Определение вредоносных реализаций по их цифровым отпечаткам является возможным не только на принимающей стороне, но и на всем участке сети по пути следования пакетов, что делает возможным блокировку таких соединений на границе сетей.

Ключевые слова: цифровой отпечаток, fingerprint, Man-in-the-Middle-атака, mitmproxy, анонимизация, сеть TOR

Благодарности. Работа подготовлена при финансовой поддержке Министерства науки и высшего образования Российской Федерации по соглашению № 075-15-2019-1707 от 22.11.2019 (идентификатор RFMEFI60519X0189, внутренний номер 05.605.21.0189).

Список литературы
1. Man-in-the-middle attack [Электронный ресурс]. URL: https://en.wikipedia.org/wiki/Man-in-the-middle_attack (дата обращения: 19.07.2020).
2. Shu G., Lee D. Network protocol system fingerprinting - A formal approach // Proc. INFOCOM 2006: 25th IEEE International Conference on Computer Communications. 2006. P. 4146810. doi: 10.1109/INFOCOM.2006.157
3. Carnut M., Gondim J. ARP spoofing detection on switched Ethernet networks: A feasibility study // Proc. of the 5th Simposio Seguranca em Informatica. 2003.
4. Liu H., Zhang Y., Wang H., Yang W., Li J., Gu D. TagDroid: hybrid SSL certificate verification in android // Lecture Notes in Computer Science (including subseries Lecture Notes in Artificial Intelligence and Lecture Notes in Bioinformatics). 2015. V. 8958. P. 120–131. doi: 10.1007/978-3-319-21966-0_9
5. Smith S. The Internet of Risky Things: Trusting the Devices That Surround Us. O'Reilly Media, Inc., 2017. 240 p.
6. Куликова О.М., Суворова С.Д. Таргетированная реклама как инструмент построения коммуникаций с целевой аудиторией // Экономика и бизнес: теория и практика. 2020. № 3-2(61). P. 98–102 [Электронный ресурс]. URL: https://cyberleninka.ru/article/n/targetirovannaya-reklama-kak-instrument-postroeniya-kommunikatsiy-s-tselevoy-auditoriey (дата обращения: 10.09.2020). doi: 10.24411/2411-0450-2020-10218
7. Zalewski M. p0f v3 [Электронный ресурс]. URL: http://lcamtuf.coredump.cx/p0f3/ (дата обращения: 19.07.2020).
8. Transmission Control Protocol (TCP) Parameters [Электронный ресурс]. URL: https://www.iana.org/assignments/tcp-parameters/tcp-parameters.xhtml (дата обращения: 19.07.2020).
9. Satori [Электронный ресурс]. URL: https://github.com/xnih/satori/blob/master/fingerprints/tcp.xml (дата обращения: 19.07.2020).
10. Intercept the planet! [Электронный ресурс]. URL: http://intercepter-ng.blogspot.com/ (дата обращения: 19.07.2020).
11. Laurent D. Ethernet vendor codes, and well-known MAC addresses. The first single application for the entire DevOps lifecycle — GitLab. URL: https://gitlab.com/wireshark/wireshark/raw/master/manuf (дата обращения: 19.07.2020).
12. Husák M., Čermák M., Jirsík T., Čeleda P. HTTPS traffic analysis and client identification using passive SSL/TLS fingerprinting // EURASIP Journal on Information Security. 2016. V. 2016. N 1. P. 6. doi: 10.1186/s13635-016-0030-7
13. JA3 - A method for profiling SSL/TLS Clients [Электронный ресурс]. URL: https://github.com/salesforce/ja3 (дата обращения: 19.07.2020).
14. Chrome Platform Status. GREASE for TLS. Last updated on 2017-06-14 [Электронный ресурс]. URL: https://www.chromestatus.com/feature/6475903378915328 (дата обращения: 19.07.2020).
15. mitmproxy - an interactive HTTPS proxy [Электронный ресурс]. URL: https://mitmproxy.org/ (дата обращения: 19.07.2020).
16. Воробьева А.А. Отбор информативных признаков для идентификации Интернет-пользователей по коротким электронным сообщениям // Научно-технический вестник информационных технологий, механики и оптики. 2017. Т. 17. № 1. C. 117–128. doi: 10.17586/2226-1494-2017-17-1-117-128


Creative Commons License

This work is licensed under a Creative Commons Attribution-NonCommercial 4.0 International License
Информация 2001-2021 ©
Научно-технический вестник информационных технологий, механики и оптики.
Все права защищены.

Яндекс.Метрика