当我发现这一行时,我正在查看我的 ufw 日志记录:
169.229.3.91 - - [19/Feb/2016:13:21:52 +0100] "\xCEA\x81\xCF\x02\x03\xFCAm\xB8\xBF]1\xBE~0^\xCD\xA9\x05(\x8D`\xD9\x9D\x9D\x9C\x15m" 400 166 "-" "-"
这是一次黑客尝试吗?
来自 researchscan1.eecs.berkeley.edu (169.229.3.91) 的奇怪日志记录 - 这是一次黑客攻击吗?
信息安全
日志分析
2021-08-30 11:16:54
2个回答
Berkeley.edu 的研究人员正在对我们进行扫描
这是一次黑客尝试吗?
这是来自加州大学伯克利分校的研究型扫描机。这台机器会定期对整个 Internet 进行扫描,因此您可能已被扫描为正在进行的研究项目的一部分。
该项目的主要联系人是 Bill Marczak(在icsi dot berkeley dot edu 工作),该项目的顾问是 Vern Paxson。
如果您已经或目前正在接受扫描并希望退出,请发送电子邮件至icsi dot berkeley dot edu 向 wrm 发送您希望以 CIDR 格式排除的 IP 范围。
如果您已经或正在接收 DNS 请求、ICMP 回显或 TCP SYN 并希望退出,请发送电子邮件至gatech dot edu 向 bjones99 发送您希望以 CIDR 格式排除的 IP 范围。
关于您的问题,假设扫描机没有受到损害,那么我认为这不是黑客攻击。这可能只是检查您是否被黑客入侵。
在许多国家,进行试图破解随机机器的扫描是非法的。如此大规模的违法行为,一所著名的知名大学将无法逃脱惩罚。
如果您愿意,您可以选择退出扫描,或者只是在防火墙中阻止他们的扫描仪。我在最后列出了其他扫描仪地址。
扫描的合法用途
他们肯定有可能试图评估您的机器是否被特定的恶意软件感染。这与黑客攻击不同。有正当的研究理由可以了解机器是否被某种类型的地方性恶意软件感染。
当您在新闻中看到一篇文章指出全球有多少计算机被某些类型的恶意软件感染时,您认为这些数字是从哪里得到的?像这样的扫描仪是获取该数据的众多不同方式之一。
还有其他扫描仪
以下是他们使用的其他地址的列表
169.229.3.90 - researchscan0.eecs.berkeley.edu
169.229.3.91 - researchscan1.eecs.berkeley.edu
169.229.3.92 - researchscan2.eecs.berkeley.edu
169.229.3.93 - researchscan3.eecs.berkeley.edu
169.229.3.94 - researchscan4.eecs.berkeley.edu
更新伯克利的回应
我联系了负责人,这是他们的回应:
我们正在对 Internet 上的特定现象进行测量研究。为了准确评估行为,我们通过向端口 80 上的每个 IP 发送一个包含 64 个随机字节数据的单个良性数据包来执行 IPv4 空间的每日扫描。[...]不,我们没有试图获得未经授权的访问。[...]它只是随机生成的符合特定标准的数据。
Vern Paxson 2015 年的论文题为“时间透镜及其在脉冲拒绝服务攻击中的应用”。
摘要——我们介绍了时间透镜:一种将相对低带宽的泛洪集中到一个短的高带宽脉冲中的技术。通过利用现有的 DNS 基础设施,我们通过实验探索透镜效应及其产生的脉冲特性。我们还根据经验展示了攻击者如何单独使用透镜来实现比上传带宽大一个数量级的峰值带宽。虽然在脉冲 DoS 攻击中本身就很强大,但攻击者还可以将透镜与放大相结合,以潜在地产生峰值带宽比他们自己大几个数量级的脉冲
不管你喜欢什么,他的研究显然属于攻击性的部分。如果有人打扰了,请随时通过ethics@berkeley.edu 或(通过https://compliance.berkeley.edu/contact)联系伯克利的合规、责任、风险和道德(CARE)委员会
Antony McKnight,合规官
tmcknight@berkeley.edu
道德、风险和合规服务办公室
校长办公室
请注意,此答案是故意制作的社区 wiki,因为它包含无法放入评论的辅助信息。Mark Buffalo 是第一个发现扫描性质的人,恕我直言,他的回答应该得到支持和接受。
更新:他的资助者很有趣
https://dx.doi.org/10.1145/2766330.2766335:NSF(CNS-1111672)| 国土安全部/ARL (W911NF-05-C-0013)
https://dx.doi.org/10.1145/2815675.2815690:NSF(1223717、1518918、1540066、1518882)
https://dx.doi.org/10.1145/2742647.2742675:NSF(1213157、1111672、1237265)
https://dx.doi.org/10.1145/2785989.2786002:国土安全部(N66001-12-C-0128),NSF(CNS-1111672,CNS-1237265,CNS-1213157)
从表面上看,这项研究是由 DHS 资助的,所以在等待伯克利合规与道德团队参与时不要屏住呼吸。
他目前获得的资助似乎是“II-New:实现大规模安全分析”
该项目将通过基础设施赠款提供计算设备,从而提高分析经验性社会和经济现象的能力,这些现象以网络空间为媒介,例如大规模在线社交网络、恶意网络内容和地下网络犯罪市场。Facebook 和 Twitter 等流行的在线网站实际上连接了数十亿人;然而,在网络犯罪的推动下,对此类网站的全新威胁已经出现。在缺乏有效防御的情况下,今天的在线社交生态系统受到影响。在当今庞大的网络基础设施中对这些威胁和缓解策略进行实证研究需要高度可扩展且功能强大的网络基础设施。更好地了解这些复杂的网络生态系统,通过这项设备赠款成为可能,
如果你问我,这个摘要闻起来完全是废话。使用精心制作的数据包扫描整个互联网!= 使网络空间更安全。
其它你可能感兴趣的问题