Un telescopio de red (también conocido como telescopio de paquetes , [1] red oscura , sensor de movimiento de Internet o agujero negro ) [2] [3] [4] es un sistema de Internet que permite observar diferentes eventos a gran escala que tienen lugar en el Internet. La idea básica es observar el tráfico dirigido al espacio de direcciones oscuro (no utilizado) de la red. Dado que todo el tráfico a estas direcciones es sospechoso, se puede obtener información sobre posibles ataques a la red (gusanos de escaneo aleatorio y retrodispersión DDoS ), así como otras configuraciones erróneas al observarlo.
La resolución del telescopio de Internet depende de la cantidad de direcciones IP que monitorea. Por ejemplo, un telescopio de Internet grande que monitorea el tráfico a 16.777.216 direcciones (el telescopio de Internet / 8 en IPv4 ), tiene una mayor probabilidad de observar un evento relativamente pequeño que un telescopio más pequeño que monitorea 65.536 direcciones (un telescopio de Internet / 16 ).
El nombre proviene de una analogía con los telescopios ópticos , donde un tamaño físico más grande permite observar más fotones . [5]
La red | Cobertura | IPs | Nombre | Esperanza de vida | Capturas |
---|---|---|---|---|---|
1 / 8 | 100% [3] | ~ 16 millones | APNIC | 2010-02-23 (1 semana) | 4,1 terabytes [3] |
44 / 8 | 99% [4] | ~ 16 millones | Telescopio de red UCSD [nota 1] | 2001-02-01‒2017-12-31 | 3,25 petabytes [6] |
2018-01-01‒2019-06-04 | |||||
74% | ~ 12M | 2019-06-05— | |||
35 / 8 | 67% [4] | ~ 11M | Merit Network [nota 2] | 2005-10-05— | 18,2 terabytes [8] |
50 / 8 | 100% [3] | ~ 16 millones | ARIN | 2010-03-12 (1 semana) | 1,1 terabyte [3] |
107 / 8 | 100% [3] | ~ 16 millones | ARIN | 2010-03-25 (1 semana) | 1,2 terabyte [3] |
1.300 redes | Akamai [9] / MIT [10] | 2009/2019— | |||
/ 16 | 100% | 65k | HEAnet [11] | 2019-03 (1 semana) | 96 gigabytes [11] |
/ 15 | 100% | ~ 130k | SURFnet [12] |
- ^ Alojado en San Diego Supercomputer Center , operado por Center for Applied Internet Data Analysis de la Universidad de California, San Diego , utilizandodirecciones IP de AMPRNet de radioaficionados .
- ^ Merit Network Telescope, que consta de ~ 5,5 millones (2014), [7] u ~ 11 millones, direcciones IP no utilizadas.
Una variante de un telescopio de red es una darknet dispersa, o greynet, que consiste en una región del espacio de direcciones IP que está escasamente poblada con direcciones "darknet" intercaladas con direcciones IP activas (o "iluminadas"). [2] Estos incluyen un greynet ensamblado a partir de 210.000 direcciones IP no utilizadas ubicadas principalmente en Japón. [13]
Ver también
- Honeypot (informática)
- Ruido de fondo de Internet
Referencias
- ^ Cheswick, Bill (agosto de 2013). "Bill Cheswick sobre cortafuegos" (PDF) . Seguridad. ; inicio de sesión: The USENIX Magazine (Entrevista). 38 (4). Entrevistado por Rik Farrow. pag. 21. Aproximadamente
en esta época (finales de la década de 1980) Mark Horton obtuvo una dirección de clase A para AT&T de los poderes fácticos simplemente preguntando. ... nuestra computadora Cray parecía requerir una red de clase A ... tomó 12.0.0.0 / 8 y lo anunció a la red, alimentando los paquetes a una dirección Ethernet inexistente y ejecutando tcpdump en el tráfico, que llegó a aproximadamente 12 a 25 MB / día. Steve analizó ese tráfico y escribió un buen artículo. Básicamente, estábamos viendo los gritos de muerte de los hosts atacados que usaban autenticación basada en direcciones IP. ... Este es el primer telescopio de paquetes que puedo recordar, y creo que incluso podría haber acuñado el término "telescopio de paquetes", pero mi memoria es confusa en eso.
- ^ a b Harrop, W .; Armitage, G. (2005). "Definición y evaluación de redes grises (redes oscuras dispersas)". 30º aniversario de la Conferencia IEEE sobre redes informáticas locales (LCN'05) l . Inicie sesión o compre para acceder a: ieeexplore.ieee.org. págs. 344–350. doi : 10.1109 / LCN.2005.46 . hdl : 1959.3 / 2449 . ISBN 0-7695-2421-4. S2CID 18789864 .
- ^ a b c d e f g Wustrow, Eric; Karir, Manish; Bailey, Michael; Jahanian, Farnam; Houston, Geoff (9 de junio de 2010). Revisión de la radiación de fondo en Internet (PDF) . Conferencia de medición de Internet.
Los sistemas que monitorean los espacios de direcciones no utilizados tienen una variedad de nombres, que incluyen redes oscuras, telescopios de red, monitores de agujero negro, sumideros de red y sensores de movimiento de red. ... 1/8 ... 50/8 ... 107/8 ... 35/8
- ^ a b c Benson, Karyn; Dainotti, Alberto; Claffy, KC ; Snoeren, Alex C .; Kallitsis, Michael (10 de septiembre de 2015). Aprovechamiento de la radiación de fondo de Internet para análisis de redes oportunistas (PDF) . Tokio, Japón. doi : 10.1145 / 2815675.2815702 . ISBN 978-1-4503-3848-6. S2CID 6184617 .
Una red oscura o telescopio de red es una colección de direcciones IP enrutadas pero no utilizadas, ... UC San Diego y Merit Network operan grandes redes oscuras, que llamamos UCSD-NT y MERIT-NT respectivamente. UCSD-NT observa el tráfico destinado a más del 99% de las direcciones IP en un bloque / 8 contiguo . MERIT-NT cubre aproximadamente el 67% de un bloque / 8 diferente .
Parámetro desconocido|conference=
ignorado ( ayuda ) - ^ Moore, David; Shannon, Colleen; Voelker, Geoffrey M .; Savage, Stefan (abril de 2004). "Telescopios de red: Informe técnico" (PDF) . Informes técnicos.
Los telescopios de red fueron nombrados como una analogía a los telescopios astronómicos , ... impulsados por la comparación de los paquetes que llegan a una porción del espacio de direcciones con los fotones que llegan a la apertura de un telescopio de luz . ... una apertura más grande aumenta la resolución de los objetos al proporcionar más detalles posicionales; Con los telescopios de red, tener un espacio de direcciones más grande aumenta la resolución de eventos al proporcionar más detalles de tiempo. ... para observar uno o más paquetes de un host similar a Code-Red en un / 8 con una probabilidad del 99,999% requiere 4,9 minutos. ... Incluso si el ataque duró 5 minutos, solo hay un 89,9% de probabilidad de que un telescopio / 16 vea al menos 1 paquete. ... gracias a Brian Kantor , Jim Madden y Pat Wilson de UCSD por el apoyo técnico del proyecto Network Telescope . ... El apoyo para este trabajo es proporcionado por NSF Trusted Computing Grant CCR -0311690, Cisco Systems University Research Program, DARPA FTN Contract N66001-01-1-8933, NSF Grant ANI -0221172, National Institute of Standards Grant 60NANB1D0118, y un generoso obsequio de AT&T .
Cite journal requiere|journal=
( ayuda ) - ^ Claffy, K .; Fomenkov, Marina; Universidad de California San Diego ; Centro de análisis de datos de Internet aplicado (CAIDA) (2018-06-22). Rosa, Fraces A .; Matyjas, John D. (eds.). Informe técnico final. Apoyo a la investigación y el desarrollo de tecnologías de seguridad a través de la recopilación de datos de seguridad y redes (informe). Dirección de Información del Laboratorio de Investigación de la Fuerza Aérea . pp. iii, 2, 3, 7.
Septiembre de 2012 - Diciembre de 2017 ... Número de concesión: FA8750-12-2-0326 ... participa en la recopilación de datos a nivel de paquete del UCSD Network Telescope (que monitorea a / 8 IPv4 darknet) ... número de archivos y volumen total de datos recopilados ... (desde [2012-10-01] hasta [2017-12-31]), así como el tamaño acumulado ... Telescopio : número de archivos: 129552; Tamaño: 2,85 PB ; Tamaño en disco (comprimido), [al 31/12/2017]: 1,30 PB ; Tamaño sin comprimir, [al 31/12/2017]: 3,25 PB
- ^ Durumeric, Zakir; Bailey, Michael; Halderman, J. Alex; Universidad de Michigan (08/08/2014). "Una vista de Internet del escaneado en Internet" (PDF) .
darknet operó en Merit Network durante el período comprendido entre [2013-01-01] y [2014-05-01]. ... 5,5 millones de direcciones, ... 1,4 mil millones de paquetes o 55 GB de tráfico por día.
Parámetro desconocido|conference=
ignorado ( ayuda );Cite journal requiere|journal=
( ayuda ) - ^ Merit Network . "Longitudinal Darknet 35 / 8 " . Datos del espacio de direcciones de Blackhole, flowtuple. IMPACTO Cybertrust.
en el caso de un ataque de inundación TCP SYN con una IP de origen falsificada, la víctima responderá con un TCP SYN-ACK a la IP falsificada; si el IP simuladas pasó a estar dentro del 35 / 8 espacio de direcciones, nuestra red oscura capturará las respuestas SYN-ACK ... Colección de inicio: [2005-10-05]; ... La recopilación de datos está en curso ... Tamaño: 18,2 TB El tamaño aumenta a medida que se recopilan más datos
- ^ Belson, David, ed. (2009-07-09). "Conficker" (PDF) . Seguridad. El estado de Internet . Vol. 2 no. 1. Tecnologías de Akamai . pag. 8.
corroborado por gotas similares en observado por CAIDA 's UCSD Telescopio de red , que cumple una función similar al conjunto de Akamai servidores que los datos de tráfico de ataque a cobro revertido.
- ^ Richter, Philipp; Berger, Arthur (julio de 2019). Escaneado de los escáneres: detección de Internet desde un telescopio de red masivamente distribuido . Conferencia de medición de Internet de ACM. Amsterdam, Holanda.
- ^ a b O'Hara, Joseph (abril de 2019). "Telescopio de red basado en la nube para la recolección de radiación de fondo de Internet" (PDF) . Trinity College Dublin : 16.
Gracias a Eoin Kenny de HEAnet ... HEAnet , la Red Nacional de Educación e Investigación de Irlanda, proporcionó un telescopio de red tradicional / 16 . ... / 16 espacio de direcciones no se había utilizado durante varios años antes de esta investigación ... 256 veces más pequeño que el CAIDA / 8 ... la velocidad de datos registrada fue de 1,25 Mbps ... 95,6 GB
Cite journal requiere|journal=
( ayuda ) - ^ Metongnon, Lionel; Sadre, Ramin (20 de agosto de 2018). Más allá de Telnet: prevalencia de protocolos de IoT en mediciones de telescopios y honeypot (PDF) . ACM SIGCOMM-WTMC. pag. 4. doi : 10.1145 / 3229598.3229604 . S2CID 51926045 . Archivado desde el original (diapositivas de presentación) el 30 de julio de 2019.
una configuración con telescopio de red / 15
- ^ Le Malécot, Erwan; Inoue, Daisuke (20 de marzo de 2014). Peligro, Jean Luc; Debbabi, Mourad; Marion, Jean-Yves; García-Alfaro, Joaquín; Heywood, Nur Zincir (eds.). La botnet Carna a través de la lente de un telescopio de red . Fundamentos y Práctica de la Seguridad: VI Simposio Internacional. La Rochelle, Francia. pag. 427. ISBN 9783319053028.
"telescopio de red que nos movemos en la actualidad asciende a aproximadamente 210 mil sin usar direcciones IPv4 distribuidas en las redes de un número de organizaciones asociadas (que se encuentra en Japón ya bordo). Esas direcciones no utilizadas forman darknets que varían en tamaño desde unos pocos direcciones a todo / 16 subredes ... la noción de una "red gris" ... compuesta por una combinación de direcciones IP usadas y no utilizadas
Otras lecturas
- Bellovin, Steven M. (15 de agosto de 1992). Hay dragones (PDF) . Tercer Simposio de Seguridad de Usenix UNIX. Archivado desde el original (PDF) el 7 de diciembre de 2004 . Consultado el 31 de julio de 2019 .
- Bellovin, Steven M. (23 de agosto de 1993). "Paquetes encontrados en Internet" (PDF) . Revisión de comunicaciones informáticas . 23 (3): 26–31. doi : 10.1145 / 174194.174199 . S2CID 35537646 . Archivado desde el original (PDF) el 7 de diciembre de 2004 . Consultado el 31 de julio de 2019 .
enlaces externos
- Telescopio de la red CAIDA en la Universidad de California, San Diego
- Proyecto Darknet en Team Cymru Darknet