跟大家想的不一样的是:运营商那里是没有通信记录的。因为流量实在太大了,是真的记录不起。一定要记录的话大概相当于要求邮局把所有过往明信片都复印一遍然后存档。
其次,对于过往的数据包,运营商并不知道其内容,也不想知道。人家就是一个送个快递的公司,网购什么的东西人家真的无所谓。
最后,运营商并没有权力看跳板内的东西,就像快递公司不能随便抄家一样。
假设主机H被跳板X攻击了,要追查的话,运营商的最好成绩也就是能知道在发生攻击的时间前后,有ABCDEFG等IP跟X有过通信。ABCDEFG中有没有跳板,哪个是跳板,光靠运营商自己的力量是无从知晓的。
运营商不会去抓包,不是说不能,而是实在成本太高了。能抓100G口的设备大概长这个样,2U服务器X5:
这样的一套设备的容量大概是50TB。就算流量50Gbps,50TB大概能撑2个小时……把EMC最牛B的存储设备装上,大概2PB吧,记得。能抓一周也就烧高香了。
更坑爹的是这种抓包装置的接入方式。有两种,一种叫in-line,一种叫by-pass
in-line顾名思义,就是串在光纤上抓过往的数据。如果这么接先不说万一这玩意抽风整个运营商的网络跟着抽风,光是凭空多出一步光-电-光的转换就够让延迟爆表了。(低延迟是运营商核心竞争力之一)
by-pass则是在交换机上设置一个专门的SPAN口,所有数据均转发到这个口上,把抓包装置接在这个口上自然可以,这没有增加延迟的问题,也不怕抓包设备抽风。但总不能指望一个100G的SPAN口监视2个100G的口吧?流量大一点就会丢包(2个100G口的流量合计>100G的时候),想不丢包只能给每个100G口配个100G的SPAN口。真这么干运营商成本立刻翻倍(这种骨干网的成本估算一般都是按平均一个口多少钱这么算的)
而且这折腾了这么久才能抓1个口,所有口都抓谁也烧不起。
所以觉得运营商多闲,才会没事蹲坑抓包?
倒不是说运用商完全不抓包,而是成本太高,只有明确的范围,时间和目的才会去抓。比如知道黑客以及他10个跳板的IP,然后今晚8~10点进行攻击,才能去抓。
IPS,IDS,DPI什么也同理,因为成本和延迟问题运营商也不回去装。而且这些也只能对已知的包有点作用。经过伪装的包这玩意也都不认识。就连是国家级IPS也是一样。
那运营商就完全没有收集过往数据包信息的动机和欲望吗?或者说运营商查一件过去发生过的攻击真的什么都查不到吗?
那倒也不是。只不过包的内容对于运营商来说真没啥卵用,倒是如果能有办法统计包头,原地址目标地址还有协议什么的,对运营商的traffic engineering确实很有帮助,所以有可能的话运营商也还是很想要这个数据的。
netflow这种技术就是为了满足这种要求而生的。具体实现方式就是由交换机把过往数据包的信息(原地址目标地址端口协议什么的)发往后台服务器。
但如果对每个包都统计,对于运营商这种流量大户来说也是很不现实的一件事。所以运营商的netflow一般都会做取样统计,取样率大概几百~几千分之一(4000,8000相对常见),也就是过往的包中几千个抽1个,统计信息。
所以如果运营商有netflow,还是能查到一些东西的。
不是去运营商那里查就能查出源头的(如果有跳板在其他运营商范围内就更麻烦了),运营商能做的事情真的很有限。
对于运营商能做的要么是对已知的攻击流量进行蹲点,比如有人操作管理大型的僵尸网络。而对于过去攻击的溯源,最多也就能告诉攻击前后,跟跳板通信的IP有哪些,还得压上4000分之一的运气。
至于分辨这些IP中哪个是黑客哪个是下一跳哪个是正常用户,那真的是臣妾做不到啊。
当然,也不是说用了多重跳板就抓不到了,如果真要查的话,人家也完全联系跳板的真正主人要求配合,甚至可以直接攻破跳板(比如境外跳板)然后查日志或者守株待兔。或者干脆通过走访的方式筛选出下一跳。
閱讀更多 西部遊星 的文章
