Атака с использованием анализа трафика — это один из методов удалённой сетевой атаки, целью которой является прослушивание каналов связи, анализ передаваемых данных и связанной с ними служебной информации (метаданных) для изучения архитектуры построения системы, получения конфиденциальной пользовательской информации.^[1]

Компьютерные системы безопасности сосредоточены на защите содержимого сообщений, обеспечивая конфиденциальность, целостность и доступность. Однако связанные с передаваемыми данными, метаданные включают в себя время и длину сообщения, подробную информацию о связывающихся потоках, идентификационные данные сторон и их местоположение. Анализ этой информации и знание типов компьютерных сетей могут быть использованы для получения конфиденциальной информации из перехваченных сообщений злоумышленником.^[2]

Рассмотрим пример атаки в сетях с пакетной передачей данных (см. рис 1). Пусть Алиса осуществляет доступ в глобальную сеть с помощью интернет-провайдера (ISP) через DSL-соединение. Пусть Алиса использует защищенный протокол, например TLS, чтобы обезопасить конфиденциальные данные (например, пароли и номера кредитных карт). Боб хочет проследить за действиями Алисы. Он имеет прямой доступ в интернет (возможно является другим ISP), но не имеет доступа к компьютеру Алисы или к её ISP. Однако, Боб имеет доступ к ресурсу, который использует Алиса, а именно к очереди пакетов внутри её DSL-маршрутизатора (роутера). Боб с высокой частотой, но низкой пропускной способностью посылает сообщения маршрутизатору Алисы, измеряя их время приема-передачи. Для передачи данных DSL использует два порта: первый для данных исходящих от Алисы, а другой для входящего трафика. Запросы Боба и входящий трафик Алисы совместно используют одну и ту же очередь, следовательно задержка, которую наблюдает Боб, изменится на основе трафика, адресуемого Алисе. Несмотря на то, что ping’и перемещаются через различные промежуточные маршрутизаторы, их время приема-передачи, прежде всего, зависит от трафика Алисы. Это является следствием двух причин. С одной стороны, у промежуточных маршрутизаторов значительно более высокая пропускная способность по сравнению с объёмом трафика, текущего через них. С другой стороны, промежуточные маршрутизаторы предают несколько информационных потоков. Поэтому задержки в этих маршрутизаторах не изменяются со временем. Следовательно, задержки, вызванные информационными потоками пользователей, постоянны. Задержка передачи трафика Боба строго коррелируется с моделью трафика Алисы, таким образом, Боб может определить действие Алисы. Преимущество данной атаки заключается в том, что не требуется специального доступа или привилегий для атакующего. Злоумышленнику даже не нужна высокая вычислительная мощность. Проводя такую атаку возможно показать только синхронизацию и объём трафика, а не фактическое содержание пакетов.^[3]

Однако можно получить более значимые данные, просто анализируя трафик пользователя. Основываясь на перехваченных данных, Боб может выполнить анализ трафика и восстановить секретные данные основанные на количестве и размере пакетов, времени синхронизации. С помощью анализа трафика можно получить такую информацию о пользователе, как список посещённых веб-сайтов, заполучить пароли, и восстановить разговоры с использованием VoIP. Злоумышленник может отправить свой трафик в один из маршрутизаторов, на который приходят данные от Алисы, и далее использовать разделяемую очередь маршрутизатора для отправки информации с него на сторонний канал (и провести дальнейший анализ перехваченной информации). Целью атаки может стать, например, внутренняя сеть предприятия или военной базы, если эта сеть выходит в Интернет.^[3]

Поводом для проведения атаки с использованием анализа трафика может служить:

1) Киберпреследование: злоумышленник может следить за поведением определённого пользователя в сети Интернет. Мотивы могут быть различны. Например, определить находится ли пользователь дома и определить состав его семьи, уровень доходов. Существуют методы анализа зашифрованного трафика, которые позволяют получить содержание передаваемых пользователем данных: статистические модели могут восстановить введённые символы на основе времени синхронизации нажатия на клавиши или определить язык зашифрованных вызовов VoIP и провести тест на наличие определённых фраз в разговоре.^[3]

2) Размаскирование Отношений: Удалённый анализ трафика может также использоваться, чтобы обнаружить, связываются ли пользователи, чтобы понять, какие общественные или профессиональные отношения между ними. Данные могут быть получены при анализе прямого сетевого соединения между пользователями через TCP или VoIP или при анализе их косвенного общения мгновенными сообщениями.^[3]

Анализ трафика является одним из ключевых методов радиоэлектронной разведки и радиоэлектронной борьбы. В книге «Intelligence Power in Peace and War» Майкла Херманна, который был председателем Объединённого разведывательного комитета Великобритании, описывается ценность извлечения данных из второстепенных признаков радио сообщений. Во время военных действий подобные методы позволяют получить данные о местоположении целей, определяя таким образом, ход сражения. Данные могут быть получены без предварительной их дешифровки. Анализ трафика использовался военными ещё до изобретения беспроводной связи. Однако, стал занимать ключевую роль, когда беспроводная связь стала широко использоваться, особенно в морских и воздушных операциях. Примером использования анализа трафика служит перехват британцами сообщений передаваемых по радио ВВС Германии в 1941 году, позволивший определить количество самолётов противника. ^[2]

Во время Второй мировой войны радисты узнавали других операторов по характерном способу, которым они набирают код Морзе. По сравнению с криптоанализом, анализ трафика позволяет избежать значительных временных затрат и усилий. Также можно обеспечить высокий уровень надёжности полученной информации из перехваченных данных противника.^[2]

• В.Ф.Шаньгин. Информационная безопасность компьютерных систем и сетей. — Москва: Издательский Дом «ИНФРА-М»,Издательский Дом «ФОРУМ», 2011. — С. 40. — ISBN 978-5-8199-0331-5 (И.Д. "ФОРУМ") 978-5-16-003132-3 (И.Д. "ИНФРА-М"). Архивная копия от 27 января 2018 на Wayback Machine

• George Danezis. Introducing Traffic Analysis Attacks, Defences and Public Policy Issues. — Leuven-Heverlee, Belgium. — С. 1—12.

Разведывательная деятельность
Сбор разведданных	Агентурная разведка Агентурная разведка Вербовка[англ.] Прикрытие Тайные акции Активные мероприятия Спящая агентура Специальная разведка Шпионаж Руководство агентурой Информатор Инициативник Чёрные операции Чёрный мешок[англ.] Тайник Криптография Канал связи Мёртвый почтовый ящик Eavesdropping Под ложным флагом Промышленный шпионаж Intelligence assessment Допрос Номерные радиостанции Односторонняя связь Легальная разведка Нелегалы Резидент Стеганография Негласное наблюдение Радиоэлектронная разведка Радиоэлектронная разведка по странам Инфраструктура радиоэлектронной разведки по странам История радиоэлектронной разведки по странам TEMPEST Радиопеленгация Анализ трафика Техническая разведка (MASINT) Электронно-оптическая Ядерная Геофизическая Радиолокационная Радиочастотная Кибершпионаж Киберсбор Химико-биологическая Оценка последствий Другие виды OSINT Видовая Космическая Финансовая Техническая Бизнес-разведка Культурная
Анализ данных	Анализ разведывательной информации Когнитивные ловушки при анализе разведданных Терминология оценки вероятности (разведка) Анализ конкурирующих гипотез Разведывательный цикл (целевой подход)
Связанные темы	Обеспечение безопасности разведывательной деятельности Контрразведка Контрразведывательные и контртеррористические организации Провалы контрразведки