Во времена dial-up под интернет-шумом был тот самый ламповый звук модема, подключающегося к серверу провайдера по телефонной линии. Достаточно было поднять трубку, чтобы услышать, как устройства общаются друг с другом. Шумящие модемы по большей части остались в прошлом, но сегодня интернет-эфир занимает другой вид шума. Его вызывают «блуждающие» в сети пакеты.

/ unsplash.com / Michael Dziedzic
/ unsplash.com / Michael Dziedzic

Откуда берется этот шум

Его источник — софт, сканирующий подключенные к сети устройства. Специализированные утилиты ищут открытые порты, собирают информацию об IP-адресах. Примером может быть поисковая система Shodan. Он позволяет обнаружить в интернете самые разные устройства: от датчиков температуры и смартфонов до систем контроля безопасности банков и крупных корпораций.

Еще в 2003 году объемы подобного трафика в отдельных сетях составляли всего 20 бит/с. К 2010 году фоновый шум для блока IPv4/8 вырос до 50 Мбит/с. Можно предположить, что на сегодняшний день цифра кратно увеличилась.

Пользователи интернет-сканеров преследуют разные цели. Так, глобальную сеть постоянно изучают сотрудники исследовательских институтов и рабочие группы ИБ-специалистов. Их задача — оценить количество незащищённых систем в интернете. Например, тот же Shodan использовали для поиска баз данных MongoDB с ошибками в конфигурации.

Разумеется, с подобным софтом работают и злоумышленники. Они сканируют порты компьютеров и IoT-гаджетов, перебирают пароли в поисках слабо защищенных устройств, анализируют запущенные службы и ищут уязвимости. Среднее время устранения недостатков в коде сегодня составляет 60 дней. При этом многие проблемы остаются нерешенными. Так, 26% компаний в мире до сих пор не исправили уязвимости, которые использует программа-вымогатель WannaCry — а её обнаружили ещё в 2017 году.

В то же время сам шум, который генерирует сканирующий софт при рассылке пакетов на миллионы устройств, тоже вызывает вопросы с точки зрения ИБ.

В чем может быть проблема

Активность программ-сканеров формирует тысячи подключений, которые могут маскировать деятельность злоумышленников. «Зашумленный» трафик становится головной болью для системных администраторов. Системы мониторинга выдают большое количество предупреждений, требующих время на анализ.

В результате сотрудники, отвечающие за безопасность, сталкиваются с феноменом alert fatigue. Более 80% из них признают, что с трудом справляются с объемом оповещений. Уже сейчас инженеры в компаниях самых разных размеров игнорируют до 30% уведомлений мониторинговых систем.

/ unsplash.com / @chairulfajar_
/ unsplash.com / @chairulfajar_

В таком контексте возрастает риск проглядеть какую-либо киберугрозу. Проблема становится еще более актуальной на фоне растущего числа кибератак. Эксперты по ИБ прогнозируют настоящий «кибершторм» в 2023 году. За прошлый год число DDoS-атак увеличилось сразу на 79%, и аналитики фиксируют скачки активности разного рода зловредов и программ-вымогателей.

Что можно сделать

Сегодня больший объём «шумного» трафика приходится на протокол IPv4. В теории решить проблему может помочь миграция на IPv6. Расширение адресного пространства усложнит работу злоумышленников, которым станет в разы труднее его сканировать.

Другой способ справиться с растущим объемом «мусорных» подключений и перегрузкой сисадминов — специальные утилиты, которые автоматически убирают лишние уведомления и позволяют специалистам по безопасности сосредоточиться на реальных угрозах. Примером может быть открытая система CrowdSec. Она выявляет и блокирует вредоносные IP-адреса на основе поведенческих шаблонов. Среди других программ также выделяют Snort и Suricata — они собирают данные об угрозах, входящем и исходящем трафике для дальнейшего анализа.

Альтернативой этим приложениям могут стать ханипоты, которые выступают в роли своеобразной приманки для хакеров и помогают разделить вредоносный и полезный трафик.


Свежие материалы из нашего корпоративного блога:

Комментарии (6)


  1. asked2return
    00.00.0000 00:00

    у меня от ipv6 болит голова - это мерцание пакетов как слезоточивый газ


    1. asked2return
      00.00.0000 00:00
      -3

      еще успею пошутить

      челу 40 лет

      из семьи непопадающихся вороваек-несунов в 20 украл&сел - вышел и устроился работать где чтото украли да оказалось что украст мог только он по-этому опять сел (я когда на тот момент слушал не знал как работает удо) ... вышел и жил попивая да тп - строил брату дом пригласив друзей помочь поэтому выпили&закусили да пока он лежал в отрубе они подразобрали разделительную стену в oбщем с соседом гараже утащив там немало оборудования да в конфликте с соседями жена брата неокуратно заступилась отчего жена соседа психанула заявлением ну а жернова сделали рецедивиста (а еще вышло что пока он был на удо он пропустил амнистию дня-победы) * ... Вышел Решив Завязать попал в президентскую программу где его держали месяца два в каком-то супер-санатории обучающим жить без алко не o6щатся с алко да не смотреть даже по тв - потом он жил да общался с такими же выпускниками заведения да они вместе работали исключая опасности но вдруг про него nолгода ничего не слышно да родители сознались что опять сидит ... вернулся осозновая experience да ошибки жил попивас пытаясь работать внезапно удивив что нашлась женщина в городе с квартирой да устроила его работа чутb ли не электриком на аэс и родители довольны ейyou да вроде как дети там уже - но тут рассказывают что он оказался в тюрме откуда ушел изменит жизнь да 5 месяцев после учебки о нём ничего не известно и только про это все узнали как он вернулся да начали гадать почему раньше 6 месяцa даже пошутив что там устали от его воровства да прогнали ... через пару дней начали обсуждать да как такое возможно что медали за взятие солeūдара угледара да тп дара - ктото пошутил:

      украл


      1. asked2return
        00.00.0000 00:00
        -3

        yспел за пару секунд до 00:oo (уголовки)
        ** брат у него тоже чудло: pаботал энергетиком и на 6азе сфотал дорогие&редкие предохранителu-леп да в avito-продам чтобы через три дня его попросили самоуволиться тк сломал многом мзг своей тупостью


        1. asked2return
          00.00.0000 00:00
          -2

          к чему эти "«блуждающие» в сети пакеты" - пересказав true-story вы можете выразить свою точку зрения не наехав лично на абонента да не попав под статью ... используйте CrowdSec


          1. IkaR49
            00.00.0000 00:00

            А можно чуть больше знаков препинания и поменьше орфографических ошибок и опечаток? Читать просто невозможно. Я так и не понял смысла этой истории и при чём она тут.


            1. Squoworode
              00.00.0000 00:00
              +1

              Это интернет-шум отразился от верхних слоёв атмосферы и случайно сложился в слова.