其他
从网空测绘看俄乌战争态势及对我们的启示
The following article is from 神龙叫 Author 杨冀龙
作者:杨冀龙
公众号:神龙叫
原文链接:https://mp.weixin.qq.com/s/HLvydDDhTfxK-xWsGEuCpA
通过对战争发动前后,俄乌互联网空间测绘数据分析,可以从一个侧面一窥俄乌实体战争态势情况,也能更详细窥视网空对抗情况。
战争前期俄罗斯网空防御居于劣势
通过网空测绘显示,俄罗斯网络空间最近一年互联网IP的开放端口暴露数量为:8609万,乌克兰为516万,其中俄罗斯防火墙数量6.6万,乌克兰0.9万。乌方一个防火墙平均覆盖560个资产,俄方一个要覆盖1291个资产,防御密度来看,乌克兰占优势。
| 类型 | 俄罗斯 | 乌克兰 | 比例 |
|---|---|---|---|
| 最近一年的互联网资产数量 | 8609万 | 516万 | 17: 1 |
| 防火墙设备 | 6.6万 | 0.9万 | 7 : 1 |
| 加密设备 | 1149万 | 198万 | 6 : 1 |
从网空测绘可以反馈物理战争进展
战争期间乌克兰互联网受到持续强度打击
乌克兰互联网持续掉线情况
通过对乌克兰240万互联网IP存活测绘显示:
1. 2月15日起在地面冲突前一周左右,乌受到规模化DDoS攻击,和新闻报道一致。
2. 2月乌克兰发布新闻,23-24日乌通过自主防卫手段,开始主动断网,加固保护关基和信息设施。
3. 2月24日开战后前期主动断网系统重新上线,但在随后几天里这些资产持续掉线,持续受到DDos攻击压制,乌克兰临时断网加固没有效果。
>>>>
乌克兰关键基础设施受到持续打击压制
我们对乌克兰关基设施的互联网IP抽样进行存活观察如下:乌克兰在线存活的关键基础设施数量从2月24日起急剧下降,掉线比率超过50%。攻击方使用规模化DDoS等攻击手段瘫痪关基,直接打击乌关基设施。
| 分类 | 2月24日 | 3月7日 |
|---|---|---|
| 关基IP掉线比例 | 58% | 66% |
| 非关基IP掉线比例 | 8% | 16% |
从互联网掉线的关基分类和比例如下:
关基的掉线也引起了媒体报道:
参考信息:https://baijiahao.baidu.com/s?id=1725633189034620481&wfr=spider&for=pc
>>>>
DDos和网页篡改并列
除了持续受到DDos攻击导致乌克兰大量关基无法提供服务,被压制掉线以外,1月1日到3月1日,我们还监测到121次乌克兰政府网站、新闻媒体网站被篡改事件。和新闻报道基本一致:
对关基的网络攻击摧毁设施设备
从网上媒体报道来看,除了DDos以外,乌克兰卫星、政务信息系统等关基设施,也受到了数据擦除、系统擦除、硬件损坏等攻击。
战前3天乌境内僵尸节点快速增加
如果要进行DDos攻击,除了全球部署僵尸外,更重要的是要在目标国境内部署。我们对黑客常用的其中一款僵尸布控程序在乌克兰境内部署情况测绘显示,在开战前两天,开始了大规模布控,数量快速上升2.5倍,似乎预示了战争即将开始。该僵尸布控数量如下:
国际黑客对俄攻击加剧但没有效果
暗网测绘显示对俄网络攻击大幅度增加
| 国家 | 日常占比 | 25日占比 |
|---|---|---|
| 俄罗斯 | 7% | 30% |
| 乌克兰 | 0.1% | 0.1% |
| 美国 | 30% | 20% |
| 中国 | 2% | 1% |
跳板对俄网络攻击大幅增加
我们长期对全球黑客使用的跳板IP进行跟踪。2月20日到3月27日对黑客使用的跳板抽样,统计到俄罗斯的攻击数据,我们发现在开战头几天,这些跳板大量被用于攻击俄罗斯,攻击量比平常增加了30倍:
俄罗斯网络在攻击中没有波动
我们对俄罗斯关基单位IP进行抽样持续性测绘显示,在如此激烈的黑客攻击下,俄罗斯关基互联网资产基本没有波动,不受攻击影响:
通过测绘看俄乌网空对抗特点和对我们的启示
乌克兰网络被攻击有以下特点:
规模化、高强度DDos:持续进行了高强度的DDos攻击,乌克兰关键基础设施始终被压制。 网站受到持续篡改攻击:政府、新闻网站被持续入侵,篡改,发布虚假公告,影响民心。
Akamai.com(阿卡迈):用于美国的关基互联网侧业务 CloudFlare.com(云之光):用于美国和盟国的互联网安全,4月后,不断有乌克兰互联网系统,接入其防御服务 Yunaq.com(创宇盾):保卫了大量中国的关基和互联网企业安全
数据源:“钟馗之眼”网空测绘平台
END