第一个阶段:ip+设备
资产可查,可以探测互联网暴露面存在的硬件属性、业务属性。
在网络空间测绘技术发展的第一阶段,TCP/IP模型没有严格按照ISO的七层结构去执行,但是也可以分为物理层、网络层、传输层、应用层。其中物理层在实现模型中对应的是硬件层,网络层和传输在实现模型中对应的是操作系统,应用层在实现模型中对应的是应用程序、应用框架、中间件和数据库。
我们在第一阶段需要做的事情就是通过IP地址探测它的端口号,看它开了哪些端口,以及这些端口有哪些指纹信息。那么通过指纹信息我们就可以判断它的硬件类型、厂家、品牌、型号等,还可以判断它的操作系统、服务、应用及版本。通过这种方式,我们知道了一个IP地址的硬件属性、业务属性。
现在网上有很多已经公开的漏洞库,我们通过扫描一个IP地址的指纹信息再去匹配一些已知的漏洞,这样我们就知道IP地址有什么风险,那么我们就可以对整个网络空间进行探测,这么做的目的是提前对风险做出预警。
第二个阶段:ip+设备+位置
资产可定位,可以梳理资产的地理属性、网络属性、通联属性。
地理属性:
地理属性就是它是属于哪个州、哪个国家、它的区县和街区以及经纬度等位置信息。有一些IP地址比如说企业办公网络是可以定位到具体的写字楼上的,这种情况下我们就可以知道 IP的使用者是谁。注意,这个使用者和whois中查到的信息是不一样的,以小米为例,它在whois中查到的信息是北京电信,实际上北京电信是这个IP的所有者,当时它是被小米租赁了,所以实际的使用者是小米公司,但是whois只能查到IP的拥有者是北京电信。
网络属性和通联属性:
当我们知道这个IP属于什么企业,也就知道了它属于哪种企业类型,是金融公司、安全公司还是我们国家关键基础设施,像水利、银行、交通、电厂等,如果我们知道它是属于国家的哪些关键基础设施,也就可以知道它的应用场景,比如它是一个静态IP还是动态IP,知道它是22种细粒度场景划分中的哪一种。
控制层面拓扑指的是BGP的路由信息,数据层面拓扑指的是traceroute探测的拓扑信息,每个路由器下面的关联机构指的是一个路由器下面它会服务多个政府单位、多个科技公司、金融公司,那么我们就会把网络空间逻辑层上面属于同一个路由器下面的多个实体进行标注,这种路由器我们称作高地路由器。比如在打仗的时候,如果谁占了一个高地,那么在攻击和防御的时候就会更有优势。在网络空间当中也有这种地形的概念,这种地形的概念就是哪个路由器属于关键地形,也就是我们在有限的安全投入下需要重点防护的面。
此外还有IP风险,也就是这个IP属于真人还是非真人,IP价值是高、中、低。还有IP WIFI,SSID、BSSID等这属于私有信息。同样的话,我们对P2P网络进行了几年的监控,我们知道一个IP上面访问了哪些P2P资源,从而知道这个IP地址喜欢哪一种内容,于是我们就可以对IP进行画像。
第三个阶段: ip+设备+位置+变化
资产操作可识别,当资产状态发生变化,可以识别出具体的变化情况。
网络空间测绘技术发展的第三阶段,可以识别网络的变化情况。除了在道路施工电缆被挖段的特殊情况下,我们在平时工作中感受不到这种波动,但是实际上网络是一直在变化的,在变化的过程中,我们需要一个实时感知能力,需要知道访问我们网站的所有web服务器从全球的任意一个角落访问网站的cdn服务器时,有没有存在路由被劫持的情况,比方说在我们的监测点观看到,我们网站的网页都是属于正常访问、正常打开的,但是并不能保证43亿全量ip在使用中时都能打开我们的网站,这时候就需要用到我们的监控能力,通过监控可以看到我们的网络是否被劫持、是否断网,可以检测到全球整个互联网的任何一个波动。
