网络空间测绘溯源技术剖析
字数 1400 2025-08-29 08:30:36

网络空间测绘溯源技术剖析

一、网络空间测绘概述

网络空间测绘是指用技术方法探测全球互联网空间上的节点分布情况和网络关系索引,构建全球互联网图谱的方法。它类似于地理信息测绘,但应用于网络空间,用于全面描述和展示网络空间资产、要素及相互关系。

应用场景

  • 企业内遗忘/孤立资产的识别与管理
  • 企业外部暴露资产的快速排查统计
  • 红蓝对抗中对捕获IP的批量检查
  • 批量收集受0day/1day漏洞影响的设备
  • 新型网络犯罪涉案站点的快速收集与分析
  • 统计互联网上受漏洞影响的脆弱资产

二、3W基本问题

网络空间测绘要解决的基本问题是"3W":

  • What:是什么(资产类型、服务、框架等)
  • Where:在哪里(地理位置、网络位置)
  • Who:谁的(资产归属)

在红队攻防中,首先需要确定目标归属,然后考虑资产位置和属性。

三、网络空间测绘三大概念

1. 行为测绘

通过识别群体特有的行为特征来测绘网络空间资产。这些特征通常表现为设备端口协议中的banner特征。

常见行为特征:

  • SSL证书信息(Serial Number、Subject字段)
  • 前端代码特征
  • 服务连接交互信息
  • favicon图标hash
  • SSH主机密钥

应用案例:

  • 通过SSL证书Subject字段证明资产归属
  • 提取Apache CAS前端代码特征进行指纹匹配
  • 通过SSH主机密钥绕过CDN找到真实IP

2. 动态测绘

通过数据订阅(指纹语句或IP订阅)周期性扫描资产面,动态掌握新增资产情况。

应用场景:

  • 企业安全管理中新上线业务系统的发现
  • 反诈工作中对犯罪团伙资产的持续追踪
  • 红队信息收集中的资产面扩展

3. 交叉测绘

关注不同网络协议和空间之间的交叉点,如:

  • IPv4与IPv6的配置差异
  • 域名与IP地址的映射关系
  • 明网与暗网的关联

典型风险:
企业可能对IPv4部署完善防护,但IPv6配置存在漏洞,成为攻击入口。

四、网络测绘指纹概念

指纹是用于精准识别和关联网络资产的特征集合,需要具备:

  • 精准性
  • 特异性
  • 不可更改性

指纹构建方法

  1. 从认知出发:分析人员根据经验判断哪些特征有价值
  2. 特征提取:找出符合"精准、特异、不可更改"要求的特征
  3. 组合验证:将多个特征组合构建指纹,提高准确性

指纹类型示例

  • 服务banner特征(如"goke login:")
  • 协议和端口组合
  • 时间戳特征
  • 地理位置信息

指纹优化原则
通过增加匹配条件(如时间、地域等)可提高指纹精准度。

五、实用技术方法

1. SSL证书关联技术

  • 提取证书Serial Number进行HEX编码后搜索
  • 关注Subject字段中的域名线索
  • 用于证明资产归属或绕过CDN

2. 前端代码特征提取

示例:Apache CAS指纹

'<body id="cas">'+'<section class="row">' +'<meta charset="UTF-8"/>'

通过多条件"且"运算提高匹配精度。

3. 动态资产监控

  • 利用ZoomEye等平台的数据更新功能
  • 设置邮件通知扫描结果
  • 与自动化工具(如Kunyu)集成实现快速同步

4. 跨协议测绘

  • 同时扫描目标的IPv4和IPv6地址
  • 比较两者的安全配置差异
  • 关注协议转换处的安全风险

六、总结

网络空间测绘溯源技术的核心在于:

  1. 理解3W问题框架,明确测绘目标
  2. 掌握行为、动态、交叉三种测绘方法
  3. 构建精准有效的指纹识别体系
  4. 结合多维度数据进行交叉验证

实际应用中,需要根据具体场景灵活组合这些技术方法,并通过持续的数据更新和验证来提高测绘结果的准确性和实用性。

网络空间测绘溯源技术剖析 一、网络空间测绘概述 网络空间测绘是指用技术方法探测全球互联网空间上的节点分布情况和网络关系索引,构建全球互联网图谱的方法。它类似于地理信息测绘,但应用于网络空间,用于全面描述和展示网络空间资产、要素及相互关系。 应用场景 企业内遗忘/孤立资产的识别与管理 企业外部暴露资产的快速排查统计 红蓝对抗中对捕获IP的批量检查 批量收集受0day/1day漏洞影响的设备 新型网络犯罪涉案站点的快速收集与分析 统计互联网上受漏洞影响的脆弱资产 二、3W基本问题 网络空间测绘要解决的基本问题是"3W": What :是什么(资产类型、服务、框架等) Where :在哪里(地理位置、网络位置) Who :谁的(资产归属) 在红队攻防中,首先需要确定目标归属,然后考虑资产位置和属性。 三、网络空间测绘三大概念 1. 行为测绘 通过识别群体特有的行为特征来测绘网络空间资产。这些特征通常表现为设备端口协议中的banner特征。 常见行为特征: SSL证书信息(Serial Number、Subject字段) 前端代码特征 服务连接交互信息 favicon图标hash SSH主机密钥 应用案例: 通过SSL证书Subject字段证明资产归属 提取Apache CAS前端代码特征进行指纹匹配 通过SSH主机密钥绕过CDN找到真实IP 2. 动态测绘 通过数据订阅(指纹语句或IP订阅)周期性扫描资产面,动态掌握新增资产情况。 应用场景: 企业安全管理中新上线业务系统的发现 反诈工作中对犯罪团伙资产的持续追踪 红队信息收集中的资产面扩展 3. 交叉测绘 关注不同网络协议和空间之间的交叉点,如: IPv4与IPv6的配置差异 域名与IP地址的映射关系 明网与暗网的关联 典型风险: 企业可能对IPv4部署完善防护,但IPv6配置存在漏洞,成为攻击入口。 四、网络测绘指纹概念 指纹是用于精准识别和关联网络资产的特征集合,需要具备: 精准性 特异性 不可更改性 指纹构建方法 从认知出发 :分析人员根据经验判断哪些特征有价值 特征提取 :找出符合"精准、特异、不可更改"要求的特征 组合验证 :将多个特征组合构建指纹,提高准确性 指纹类型示例 服务banner特征(如"goke login:") 协议和端口组合 时间戳特征 地理位置信息 指纹优化原则 : 通过增加匹配条件(如时间、地域等)可提高指纹精准度。 五、实用技术方法 1. SSL证书关联技术 提取证书Serial Number进行HEX编码后搜索 关注Subject字段中的域名线索 用于证明资产归属或绕过CDN 2. 前端代码特征提取 示例:Apache CAS指纹 通过多条件"且"运算提高匹配精度。 3. 动态资产监控 利用ZoomEye等平台的数据更新功能 设置邮件通知扫描结果 与自动化工具(如Kunyu)集成实现快速同步 4. 跨协议测绘 同时扫描目标的IPv4和IPv6地址 比较两者的安全配置差异 关注协议转换处的安全风险 六、总结 网络空间测绘溯源技术的核心在于: 理解3W问题框架,明确测绘目标 掌握行为、动态、交叉三种测绘方法 构建精准有效的指纹识别体系 结合多维度数据进行交叉验证 实际应用中,需要根据具体场景灵活组合这些技术方法,并通过持续的数据更新和验证来提高测绘结果的准确性和实用性。