Dude, where’s that IP? Circumventing measurement-based IP geolocation(2010年)

下载地址:https://www.usenix.org/legacy/event/sec10/tech/full_papers/Gill.pdf 

 被引次数:102

Gill P, Ganjali Y, Wong B. Dude, Where's That {IP}? Circumventing Measurement-based {IP} Geolocation[C]//19th USENIX Security Symposium (USENIX Security 10). 2010.

Abstract

IP地理定位的许多应用程序都可以从对抗性的客户机非常健壮的地理定位中获益。这些应用程序包括将对在线内容的访问限制在特定地理区域的应用程序和云计算,其中一些组织必须确保其虚拟机停留在适当的地理区域。本文研究了当前的IP地理定位技术对一个试图颠覆这些技术以返回伪造结果的对手的适用性。我们提出并评估了对基于延迟的IP地理定位技术和更先进的拓扑感知技术的攻击。针对基于延迟的技术,我们发现对手在攻击的准确性和可检测性之间有一个明显的权衡。相比之下,我们观察到,更复杂的拓扑感知技术实际上在对手面前表现更糟,因为它们通过使用拓扑和延迟信息给对手更多的输入来进行操作。

1 Introduction

许多应用程序受益于使用IP地理位置来确定主机在互联网上的主机的地理位置。例如,在线广告商和搜索引擎会根据客户所在的位置来调整他们的内容。目前,像Quova [22]和MaxMand[16]这样的地理定位数据库是需要地理定位服务的应用程序中最流行的方法。地理位置也被用于许多对安全很敏感的应用程序中。在线内容提供商,如Hulu [13],BBC iPlayer [22],RealMedia [22]和Pandora[20],将他们的内容分发限制在特定的地理区域。在允许客户端查看内容之前,他们会从其IP地址确定客户端的位置,并且只有在客户端在允许的管辖范围内时才允许访问。此外,互联网赌博网站必须根据客户的位置限制对其申请的访问,或风险的法律影响[29]。因此,这些企业依赖于地理定位来限制访问他们的在线服务。

[22] Quova – IP geolocation experts, 2010. http://www.quova. com.

[16] Maxmind - geolocation and online fraud prevention, 2010. http://www.maxmind.com.

[13] Hulu - watch your favorites. anytime. for free., 2010. http: //www.hulu.com/.

[20] Pandora Internet radio, 2010. http://www.pandora.com.

[29] TRANCREDI, P., AND MCCLUNG, K. Use case: Restrict access to online bettors, August 2009. http://www.quova. com/Uses/UseCaseDetail/09-08-31/Restrict_ Access_to_Online_Bettors.aspx.

展望未来,基础设施即服务器云的增长,如亚马逊的EC2服务[1],也可能推动使用云计算的组织使用地理定位。云计算的用户在云提供商的基础设施上部署虚拟机,而不必维护其虚拟机正在运行的硬件。然而,管理隐私、信息发现、合规和审计等问题的法律差异要求一些云用户将虚拟机的位置限制在特定的司法管辖区或国家的[6]。这些位置限制可以被指定为云用户和提供商之间的服务级别协议(SLA)的一部分。云用户可以使用IP地理定位来独立验证其云sla中的位置限制是否得到满足。

[1] Amazon EC2, 2010. http://aws.amazon.com/ec2/.

[6] CBC. USA Patriot Act comes under fire in B.C. report, October 2004. http://www.cbc.ca/canada/story/2004/10/ 29/patriotact_bc041029.html.

在这些情况下,地理定位的目标有一个误导地理定位系统关于其真实位置的动机。客户端通常使用代理来误导内容提供商,以便他们可以查看在其地理区域内未经授权的内容。然而,作为回应,一些内容提供商[13]已经识别并阻止了来自已知代理的访问;但这并不能阻止所有客户端绕过地理控制。类似地,云提供商可能会试图打破其sla中的位置限制,将客户的虚拟机转移到更便宜的位置。对云用户强制执行位置要求的政府可能会要求地理位置检查健壮,无论云提供商可能做什么来误导他们。即使云提供商本身不是恶意的,其员工也可能试图将虚拟机迁移到他们可能受到其他恶意虚拟机[24]攻击的位置。因此,虽然云用户可能信任云服务提供商,但他们仍然可能需要cd。对其虚拟机的位置进行独立验证,以满足审计要求或避免法律责任。

[24] RISTENPART, T., TROMER, E., SHACHAM, H., AND SAVAGE, S. Hey, you, get off my cloud! exploring information leakage in third-party compute clouds. In Proceedings of the 16th ACM Conference on Computer and Communications Security (CCS 2009) (November 2009).

IP地理定位是近十年来一个活跃的研究领域。然而,目前所有的地理定位技术都假设了一个良性的目标,而不是故意误导用户,而且对恶意目标的地理定位工作也很有限。城堡有限公司等人将基于约束的地理定位(CBG)[12]应用于快速通量隐藏服务器的地理定位问题,这些服务器使用僵尸网络[5]中的一层代理来隐藏它们的位置。Muir和奥肖特[18]描述了被动地理定位技术(如whois服务)的局限性,并提出了一种使用Tor匿名化网络[28]来查找机器的IP地址的技术。这些之前的工作集中于代理背后的主机的去匿名化,而我们在本文中的贡献是回答关于当前的地理定位算法是否适合于安全敏感的应用程序的基本问题:

[12] GUEYE, B., ZIVIANI, A., CROVELLA, M., AND FDIDA, S. Constraint-based geolocation of Internet hosts. IEEE/ACM Transactions on Networking 14, 6 (December 2006).

[5] CASTELLUCCIA, C., KAAFAR, M., MANILS, P., AND PERITO, D. Geolocalization of proxied services and its application to fast-flux hidden servers. In Proceedings of the ACM SIGCOMM Internet Measurement Conference (November 2009).

[18] MUIR, J., AND VAN OORSCHOT, P. Internet geolocation: Evasion and counterevasion. ACM Computing Surveys 42, 1 (December 2009).

[28] THE TOR PROJECT. Tor: Overview, 2010. http://www. torproject.org/overview.html.en.

•当前的地理定位算法是否足够精确地在某个国家或司法管辖区内定位IP?

我们通过调查之前发表的关于地理定位算法的研究来回答这个问题。我们发现,目前的算法的精度为35-194公里,使它们适合于一个国家内的地理定位。

•对手如何攻击地理定位系统?

我们提出了两种基于测量的地理定位算法——依赖于网络延迟测量和使用网络拓扑信息的算法。为了评估这些攻击的实用性,我们将对手分为两类——一类是可以操纵网络延迟的简单对手,另一类是可以控制一组可路由的IP地址的复杂对手。

•这种攻击的效果如何?他们能被发现吗?

我们通过分析地理定位算法的模型来评估我们的攻击。我们还使用来自PlanetLab [21]的度量进行了经验评估,并对基于延迟和拓扑感知的地理定位算法的实现执行攻击。我们观察到简单的对手的准确性是有限的,必须权衡准确性来检测他们的攻击。另一方面,复杂的对手具有更高的准确性,而且仍然难以被发现。

[21] Planetlab, 2010. http://www.planet-lab.org.

本文的其余部分的结构如下。第2节总结了有关地理定位技术的相关背景和前期工作。我们用于评估当前地理位置建议的安全模型和假设将在第3节中进行描述。我们分别在第4节和第5节中开发和分析了基于延迟和拓扑感知的地理定位方法的攻击。第6节介绍了在遇到利用代理的目标时评估地理位置的相关工作。我们在第7节中提出结论。

2 Geolocation Background

第2节总结了有关地理定位技术的相关背景和前期工作。

IP地理定位旨在解决确定给定IP地址的地理位置的问题。解决方案可以用不同粒度表示;对于大多数应用程序,结果应该足够精确,以确定IP所在的城市,返回城市名称或返回目标所在的经度和纬度。地理定位的两种主要方法分别是使用主动网络度量来确定主机或IP到位置映射的数据库的位置。

基于度量的地理定位算法[9,12,14,19,30,31]利用一组具有已知位置的地理上分布的地标主机来定位目标IP。这些地标测量各种网络属性,如延迟,以及它们自身和目标之间的交通所采取的路径。这些结果被用作地理定位算法的输入,该算法使用它们来确定目标的位置,使用的方法包括:约束目标可能位于的区域(地理定位)[12,30],迭代力定向算法[31],机器学习[9]和约束优化[14]。

[9] ERIKSSON, B., BARFORD, P., SOMMERS, J., AND NOWAK, R. A learning-based approach for IP geolocation. In Proceedings of the Passive and Active Measurement Workshop (April 2010).

[12] GUEYE, B., ZIVIANI, A., CROVELLA, M., AND FDIDA, S. Constraint-based geolocation of Internet hosts. IEEE/ACM Transactions on Networking 14, 6 (December 2006).

[14] KATZ-BASSET, E., JOHN, J., KRISHNAMURTHY, A., WETHERALL, D., ANDERSON, T., AND CHAWATHE, Y. Towards IP geolocation using delay and topology mesurements. In Proceedings of the ACM SIGCOMM Internet Measurement Conference (October 2006).

[19] PADMANABHAN, V., AND SUBRAMANIAN, L. An investigation of geographic mapping techniques for Internet hosts. In Proceedings of ACM SIGCOMM (August 2001).

[30] WONG, B., STOYANOV, I., AND SIRER, E. G. Octant: A comprehensive framework for the geolocalization of Internet hosts. In Proceedings of the 4th Symposium on Networked Systems Design and Implementation (NSDI) (Cambridge, MA, April 2007).

[31] YOUNG, I., MARK, B., AND RICHARDS, D. Statistical geolocation of Internet hosts. In Proceedings of the 18th International Conference on Computer Communications and Networks (August 2009).

地理定位算法主要依赖于ping [7]和跟踪[7]的测量。Ping测量互联网上两台机器之间的往返时间(RTT)延迟,而跟踪器发现并测量沿着路径到给定目的地的路由器的RTT。我们根据基于测量的地理定位算法用于确定目标位置的测量类型进行分类。我们将使用端到端RTT的算法称为基于延迟的[9,12,31],并将那些同时使用RTT和拓扑信息的算法称为拓扑感知算法[14,30]。

[7] CROVELLA, M., AND KRISHNAMURTHY, B. Internet Measurement: Infrastructure, Traffic and Applications. John Wiley & sons, 2006.

[9] ERIKSSON, B., BARFORD, P., SOMMERS, J., AND NOWAK, R. A learning-based approach for IP geolocation. In Proceedings of the Passive and Active Measurement Workshop (April 2010).

[12] GUEYE, B., ZIVIANI, A., CROVELLA, M., AND FDIDA, S. Constraint-based geolocation of Internet hosts. IEEE/ACM Transactions on Networking 14, 6 (December 2006).

[31] YOUNG, I., MARK, B., AND RICHARDS, D. Statistical geolocation of Internet hosts. In Proceedings of the 18th International Conference on Computer Communications and Networks (August 2009).

[14] KATZ-BASSET, E., JOHN, J., KRISHNAMURTHY, A., WETHERALL, D., ANDERSON, T., AND CHAWATHE, Y. Towards IP geolocation using delay and topology mesurements. In Proceedings of the ACM SIGCOMM Internet Measurement Conference (October 2006).

[30] WONG, B., STOYANOV, I., AND SIRER, E. G. Octant: A comprehensive framework for the geolocalization of Internet hosts. In Proceedings of the 4th Symposium on Networked Systems Design and Implementation (NSDI) (Cambridge, MA, April 2007).

基于度量的地理定位的另一种选择是使用IP数据库到位置映射的地理定位。这些数据库可以是专有的,也可以是公共的。公共数据库包括由区域互联网注册处(如ARIN [3],RIPE [23])管理的数据库。IP到地理位置映射的专有数据库由Quova [22]和Maxmand[16]等公司提供。虽然构建这些数据库的确切方法不是公开的,但它们有时是基于whois服务、DNS LOC记录和自主系统(AS)编号[2]的组合。注册中心和数据库往往是粗粒度的,通常返回注册IP地址的组织的总部位置。当组织将其IP地址分发到一个广泛的地理区域内,如大型ISPs或内容提供商时,这就成为了一个问题。误导性的数据库地理定位也可以通过使用代理直接实现。

[3] American Registry for Internet numbers (ARIN), 2010. http: //www.arin.net.

[23] Reseaux IP Europeens (RIPE), 2010. http://www.ripe. net.

[22] Quova – IP geolocation experts, 2010. http://www.quova. com.

[16] Maxmind - geolocation and online fraud prevention, 2010. http://www.maxmind.com.

[2] ANDERSON, M., BANSAL, A., DOCTOR, B., HADJIYIANNIC, G., HERRINGSHAW, C., KARPLUS, E., AND MUNIZ, D. Method and apparatus for estimating a geographic location of a networked entity, June 2004. US Patent number: 6684250.

DNS LOC [8]是一个开放的标准,它允许DNS管理员使用位置信息来增强DNS服务器,有效地创建一个公开的IP位置信息数据库。然而,它并没有得到广泛的使用。此外,由于DNS LOC数据库的内容没有经过身份验证,并且是由IP地址的所有者自己设置的,因此它不适合用于对安全敏感的应用程序。

[8] DAVIS, C., VIXIE, P., GOODWIN

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/806615.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

day55 最长递增子序列 最长连续递增子序列 最长重复子数组

题目1 300 最长递增子序列 题目链接 300 最长递增子序列 题意 找到整数数组nums的最长严格递增子序列的长度(子序列并不改变原始的顺序,但是可以删除元素) 动态规划 动规五部曲 1)dp数组及下标i的含义 dp[i] 表示以nums[i…

dnspy逆向和de4dot脱壳

拿到一个软件,使用dnspy查看,发现反汇编后关键部分的函数名和代码有很多乱码: 这样的函数非常多,要想进一步调试和逆向,就只能在dnspy中看反汇编代码了,而无法看到c#代码,当时的整个逆向过程只剩…

遥感图像处理:从畸变消除到专题信息提取

​ ​ ​在遥感技术的应用中,图像处理是不可或缺的关键步骤。从消除各种辐射畸变和几何畸变,到利用增强技术突出景物的光谱和空间特征,再到进一步理解、分析和判别处理后的图像,这一过程为我们呈现了一幅幅更为真实、清晰的…

免费ssl证书能一直续签吗?如何获取SSL免费证书?

免费SSL证书是否可以一直续签。我们需要了解SSL证书的基本工作原理。当你访问一个使用HTTPS协议的网站时,该网站实际上在使用一个SSL证书。这个证书相当于一个数字身份证明,它验证了网站的真实性和安全性。而这个证明是由受信任的第三方机构——通常是证…

被控平台的远程控制软件:功能、应用与安全性考量

随着信息技术的迅猛发展,远程控制软件在多个领域中的应用日益广泛。这类软件允许用户通过网络远程访问和控制另一台计算机或设备,为工作、学习和生活带来了极大的便利。然而,这种技术同样伴随着安全风险,特别是在被控平台方面。 K…

Harmony鸿蒙南向驱动开发-MIPI DSI

功能简介 DSI(Display Serial Interface)是由移动行业处理器接口联盟(Mobile Industry Processor Interface (MIPI) Alliance)制定的规范,旨在降低移动设备中显示控制器的成本。它以串行的方式发送像素数据或指令给外…

AI论文速读 | TF-LLM:基于大语言模型可解释性的交通预测

论文标题: Explainable Traffic Flow Prediction with Large Language Models 作者:Xusen Guo, Qiming Zhang, Mingxing Peng, Meixin Zhu(朱美新)*, Hao (Frank)Yang(杨昊) 机构:香港科技大学(广州),约翰…

Fast-Planner(五)详解TopologyPRM

本文上接Fast-Planner第一篇文章的内容,本文主要详解这一系列的第二篇Robust Real-time UAV Replanning Using Guided Gradient-based Optimization and Topological Paths中的TopologyPRM即其代码。如有问题,欢迎各位大佬评论指出,带着我一起…

未设置超时时间导致线程池资源耗尽,排查过程

错误分析: Scheduled进行定时任务的时候,spring会创建一个线程,然后用这个线程来执行任务,如果这个任务阻塞了,那么这个任务就会停滞,出现不执行的情况。而使用原生的方法进行http请求时,如果不…

应该如何进行POC测试?—【DBA从入门到实践】第三期

在数据库选型过程中,为确保能够灵活应对数据规模的不断扩大和处理需求的日益复杂化,企业和技术人员会借助POC测试来评估不同数据库系统的性能。在测试过程中,性能、并发处理能力、存储成本以及高可用性等核心要素通常会成为大家关注的焦点&am…

分析染色体级别的基因组装配揭示了六倍体栽培菊花的起源和进化-文献精读-7

Analyses of a chromosome-scale genome assembly reveal the origin and evolution of cultivated chrysanthemum 分析染色体级别的基因组装配揭示了栽培菊花的起源和进化 六倍体植物基因组的文献,各位同仁还有什么有特色的基因组评论区留言~ 摘要 菊花&#xf…

如何将PHP的Webman框架打包成二进制文件运行

看了看webman的官方文档,发现居然还能打包为二进制,这样太厉害了吧! 先执行这个 composer require webman/console ^1.2.24 安装这个console的包,然后 执行 php webman build:bin 8.1 结果谁想到它报错提示: 好…

Lesson1--数据结构前言

1. 什么是数据结构? 2. 什么是算法? 3. 数据结构和算法的重要性 4. 如何学好数据结构和算法 5. 数据结构和算法书籍及资料推荐 1. 什么是数据结构? 数据结构(Data Structure) 是计算机存储、组织数据的方式,指相互之间存在一…

机器学习和深度学习-- 李宏毅(笔记与个人理解)Day8

Day 8 classification :Probabilistic Generative Model 今天上了一整天的课, 本来实在是更新不动了,但是看到《剑来》更新了,想一想这本书里面一直强调的成功的feature – 心性,嗯心性坚毅就好!主人公陈平…

Unity 遮罩

编辑器版本 2017.2.3f1 学习Unity的三张遮罩方式 1. Mask 遮罩方式 首先,在界面上创建2个Image,一个命名Img_Mask,大小设置 400* 400, 一个命名Img_Show,大小设置500*500。 然后,给 Img_Mask添加Mask,选择Img_Mask,点击Add Com…

docker 创建容器过程

结合下图,本文讨论docker 创建容器过程: START└── [用户通过Docker Client发出指令]└── (1) docker run 或 docker create 命令├── (2) Docker Client与Docker Daemon建立通信连接└── (3) Docker Daemon接收到创建容器请求├── (4) 检查…

Python --- Python + Vs code的安装与使用(windows平台)

Python Vs code的安装与使用 今天是我第一次开始尝试用Python,然后我想借此机会记录一下整个安装过程和上手过程。之前一直都是用的matlab,这个东西不仅大而且收费,但不可否认的是。matlab的很多东西都做的比较好,但我一直用的都…

【Linux的进程篇章 - 进程终止和进程等待的理解】

Linux学习笔记---008 Linux之fork函数、进程终止和等待的理解1、fork函数1.1、什么是fork?1.2、fork的功能介绍1.3、fork函数返回值的理解1.4、fork函数的总结 2、进程的终止2.1、终止是在做什么?2.2、进程终止的3种情况 3、进程的终止3.1、进程终止的三种情况3.2、…

1.8.4 卷积神经网络近年来在结构设计上的主要发展和变迁——Inception-v2 和Inception-v3

1.8.4 卷积神经网络近年来在结构设计上的主要发展和变迁——Inception-v2 和Inception-v3 前情回顾: 1.8.1 卷积神经网络近年来在结构设计上的主要发展和变迁——AlexNet 1.8.2 卷积神经网络近年来在结构设计上的主要发展和变迁——VGGNet 1.8.3 卷积神经网络近年来…

阿里Canal使用

Canal 是阿里巴巴开源的一款基于 MySQL 数据库增量日志解析,提供实时的数据订阅和消费服务的工具。它可以用来读取 MySQL 的 binlog 日志并转换成 JSON 格式的事件消息,然后将这些消息发布到下游的消息中间件,比如 RabbitMQ,以实现…