什么是流量分析攻击？流量分析可以揭示什么？

安装防病毒软件来保护自己免受黑客攻击的时代早已一去不复返了。实际上，我们已经很少听到有关病毒的消息了。然而，如今，有许多不同的、更多基于互联网的威胁。不幸的是，你不需要成为一家价值百万美元的公司才能成为攻击的目标。如今，黑客使用自动扫描仪在互联网上搜索易受攻击的机器。一种这样的现代威胁是流量分析攻击。在这篇文章中，您将了解什么是流量分析以及一些保护自己免受流量分析的对策。

什么是流量分析攻击？

您可能从名称中猜到流量分析攻击与，嗯……分析网络流量有关。你是对的！但这实际上意味着什么？在流量分析攻击中，黑客试图访问与您相同的网络以监听（并捕获）您的所有网络流量。从那里，黑客可以分析该流量以了解有关您或您的公司的信息。因此，与其他更流行的攻击不同，黑客不会主动尝试侵入您的系统或破解您的密码。因此，我们将这种攻击归类为被动攻击。

流量分析可以揭示什么？

分析一个人的网络流量可以告诉黑客很多。如果你认为你是安全的，因为你加密了你的流量，那你就错了。流量分析攻击也适用于加密数据。而且我们不是在谈论解密该流量。这怎么可能？好吧，在大多数情况下加密流量只能保护流量的内容。但是攻击者仍然可以从中获取一些信息。这都是关于元数据的。

元数据

想象一个简单的场景，两个人通过一些消息传递软件交谈。攻击者无法读取实际消息，因为流量已加密。但是通过分析（加密的）流量，他们可以了解，例如，何时发送了多少消息以及发送了多少消息。即使是这个简单的信息也能说明很多。

模式

例如，通过在捕获的流量中搜索模式，攻击者可以找出您通常何时醒来和睡觉。将设备名称和位置添加到其中，现在攻击者知道您何时离开家以及您通常何时回来。即使缺乏流量也能说明问题。如果它打破了这种模式，这可能意味着你去度假了（这意味着现在是闯入你家的好时机）。这只是分析两个人之间流量的一个简单示例。想象一下，攻击者可以通过分析来自您公司办公室或数据中心的流量了解多少信息。

高级分析

在某些情况下，攻击者可以使用流量分析作为其他攻击的基础。以 SSH 为例。每次按下键盘上的键时，SSH 都会发送一个单独的 IP 数据包。通过分析这些数据包，攻击者可以区分按键之间的时间。然后，他们可以使用这些信息，例如，猜测用户的密码长度。实际上，这可以帮助攻击者缩小暴力攻击的范围。使用更先进的技术，攻击者甚至可以使用统计方法猜测您正在按下的实际按键。

被动侦察

流量分析还可以帮助攻击者了解网络结构并选择下一个目标。例如，如果进出一个特定节点的流量要多得多，那么它可能是尝试更主动攻击的好目标。另一方面，没有很多连接的服务器可能是一个容易的目标。它有可能是一个不太重要的服务器，甚至是一个测试服务器，因此它可能不太安全。现在想象一下，我们将这种方法应用于军事交通。通过分析该流量，黑客可能会尝试找到指挥中心的位置。

SIP/VoIP

SIP / VoIP流量是另一回事。即使实际的语音通话是加密的，连接初始化也可能不会。这意味着攻击者可以看到被呼叫的电话号码。即使电话号码也被加密，在某些情况下，攻击者仍然能够使用流量分析来获取一些有用的信息。例如，如果攻击者尝试对其中一名员工进行网络钓鱼攻击，他们可以同时监控 SIP/VoIP 流量。这将帮助他们检查该员工是否正在呼叫安全部门（可以通过流量流向的 IP 地址来区分）。

如何保护自己

有好消息也有坏消息。坏消息是保护自己免受流量分析攻击并不容易。其他被动攻击也是如此。由于攻击者除了监听之外没有做任何事情，因此很难检测到它们。好消息是这种类型的攻击非常耗时：它需要数小时的分析，并且攻击者需要首先以某种方式访问​​您的网络。不过，您可以采取一些对策来保护自己免受流量分析攻击。

加密流量

我们之前提到，流量分析攻击即使对加密流量也有效。没错，但加密肯定会使流量分析更加困难。您可能还认为很明显应该加密您的流量，但许多公司跳过加密一些内部流量。这种想法认为流量是内部设计的，因此任何未经授权的人都不应访问它。因此，虽然（理论上）您不需要加密流量需要一些额外的努力，但它有助于使攻击者的工作更加困难。

NAT

网络地址转换是一种非常有效的防止流量分析攻击的方法。由于所有流量都将通过 NAT 设备进行路由，并且 IP 地址将被封装并隐藏在 NAT IP 后面，因此攻击者会丢失很多重要信息。例如，他们将无法轻易看到谁与谁联系，这是这次攻击的主要目标之一。

“填充”交通

如果您正在寻找一切可能的方法来防止任何可能的攻击，这里有一些东西可以帮助您进行流量分析攻击。填充流量意味着将假数据包插入流量流中。它使攻击者感到困惑，并且在某些情况下，使流量看起来没有意义。真实流量与虚假流量混为一谈。当然，这让我们回到了流量加密技巧。此对策仅适用于加密流量。没有它，攻击者将能够简单地查看哪些数据包是假的并将它们过滤掉。

流量队列

另一个更高级的对策是控制数据包的时间。在这种方法中，您首先将流量放入队列中，并且仅在特定时间释放它。从攻击者的角度来看，这样的流量看起来是人为的。因此，他们将无法执行大多数标准的基于时间的分析。

概括

流量分析攻击，作为被动攻击，并不是最容易预防的。此外，因为它看起来像攻击者“实际上什么也没做”，所以您可能会有一个错误的印象，认为它没有什么值得阻止的——尤其是如果您的所有流量都被加密了。希望这篇文章能说服你。您已经知道可以采取哪些措施来保护自己免受流量分析攻击。但是，如果您想了解更多有关使用已有工具保护数据的信息，可以观看此网络研讨会。