QUICK REVIEW

[논문 리뷰] LZR: Identifying Unexpected Internet Services

Liz Izhikevich, Renata Teixeira|arXiv (Cornell University)|2023. 01. 12.

Network Security and Intrusion Detection참고 문헌 40인용 수 14

한 줄 요약

인터넷 서비스가 비표준 포트에 널리 배포되고 표준 L7 핸드셰이크에 응답하지 않는 경우가 많으며, 이를 효율적으로 식별하고 예기치 않은 서비스를 지문화하는 LZR를 도입하여 빠르고 광범위한 커버리지를 달성한다.

ABSTRACT

Internet-wide scanning is a commonly used research technique that has helped uncover real-world attacks, find cryptographic weaknesses, and understand both operator and miscreant behavior. Studies that employ scanning have largely assumed that services are hosted on their IANA-assigned ports, overlooking the study of services on unusual ports. In this work, we investigate where Internet services are deployed in practice and evaluate the security posture of services on unexpected ports. We show protocol deployment is more diffuse than previously believed and that protocols run on many additional ports beyond their primary IANA-assigned port. For example, only 3% of HTTP and 6% of TLS services run on ports 80 and 443, respectively. Services on non-standard ports are more likely to be insecure, which results in studies dramatically underestimating the security posture of Internet hosts. Building on our observations, we introduce LZR ("Laser"), a system that identifies 99% of identifiable unexpected services in five handshakes and dramatically reduces the time needed to perform application-layer scans on ports with few responsive expected services (e.g., 5500% speedup on 27017/MongoDB). We conclude with recommendations for future studies.

연구 동기 및 목표

IANA 할당 이외의 예기치 않은 포트에서 인터넷 서비스가 어떻게 배포되어 있는지 평가한다.
비표준 포트에서 호스팅되는 서비스의 보안 태세를 평가한다.
인터넷 전역 스캔에서 예기치 않은 서비스를 식별하고 지문화하는 빠르고 확장 가능한 방법을 개발한다.
향후 측정 연구 및 오픈 소스 도구에 대한 권고사항을 제시한다.

제안 방법

37개의 인기 포트 및 추가 포트에 걸쳐 L4 TCP 응답성과 애플리케이션 계층(L7) 핸드셰이크를 비교하기 위해 대규모 인터넷 전역 스캔을 수행한다.
핸드쉐이크 동작으로 서버 상태(데이터 수신 및 데이터 확인 포함)를 추론하는 TCP 상태 추론 방법을 개발한다.
스캔 결과에 영향을 주는 미들박스와 방화벽 보호 기능(제로 윈도우, 연결 회피, 동적 차단 등)을 특징짓는다.
LZR(Laser)를 도입하여 소통하지 않는 호스트를 필터링하고 높은 효율로 예기치 않은 서비스를 식별한다(단일 패킷으로 88% 지문화; 다섯 번의 핸드쉐이크로 99%).
할당되지 않은 포트와 할당된 포트의 예기치 않은 서비스의 분포와 보안을 분석하며 IoT 기기의 개입을 포함한다.

Figure 1 : L4 vs. L7 Responsiveness —A significant fraction of hosts that respond with a syn-ack packet never complete the expected application-layer handshake. The difference varies dramatically across ports by both percent difference (14–96%) and raw count (21,050–200,902).

실험 결과

연구 질문

RQ1프로토콜 배치가 IANA 할당 포트에 비해 비표준 포트 전반에서 얼마나 확산되어 있는가?
RQ2예기치 않은 포트에서 실행되는 서비스의 보안 태세는 기대 포트의 서비스와 어떻게 다른가?
RQ3빠르고 확장 가능한 시스템이 예기치 않은 인터넷 서비스를 높은 정확도와 낮은 오버헤드로 식별하고 지문화할 수 있는가?
RQ4TCP 활성 상태와 L7 핸드셰이크 성공에 영향을 주는 미들박스/방화벽 보호 기능은 무엇이며, 이것이 스캔에 어떤 영향을 미치는가?

주요 결과

HTTP 서비스의 3.0%, TLS 서비스의 6.4%가 각각 포트 80 및 443에서 실행되어, 프로토콜 배포가 매우 확산되어 있음을 보여준다.
37개의 인기 포트에서 서비스의 최대 96%가 예상 L7 핸드셰크를 완료하지 않는다.
인기 포트의 서비스 평균 16%, 비인기 포트의 40%가 syn-ack 이후 데이터를 확인하지 못한다. 이는 미들박스나 보호 기능 때문.
LZR은 식별 가능한 서비스의 88%를 단일 패킷으로, 식별 가능한 예기치 않은 서비스의 99%를 다섯 번의 핸드셰이크로 지문화할 수 있다.
포트 27017/MongoDB에서 LZR은 스캔 시간을 55배 줄이면서 MongoDB 서비스의 99.6%를 식별하고 예기치 않은 프로토콜을 가진 추가 23K 호스트를 발견한다.
비표준 포트의 예기치 않은 서비스는 보안 태세가 약한 경향이 있으며 자주 IoT 관련인 경우가 많다(예: 비표준 포트의 TLS는 종종 IoT 기기와 연관됨).

Figure 2 : Client Perspective of Server TCP State —We investigate L7 service liveness based on a modified version of the TCP state machine in RFC 793 [ 54 ] . We introduce two new states: “accepts data” and “acknowledges data” because an established connection cannot necessarily exchange data.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.