隱匿隧道攻擊檢測(cè)及防范技術(shù)

什么是隱匿隧道攻擊?

成都創(chuàng)新互聯(lián)專注于襄城網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。 熱誠(chéng)為您提供襄城營(yíng)銷型網(wǎng)站建設(shè)，襄城網(wǎng)站制作、襄城網(wǎng)頁(yè)設(shè)計(jì)、襄城網(wǎng)站官網(wǎng)定制、小程序制作服務(wù)，打造襄城網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供襄城網(wǎng)站排名全網(wǎng)營(yíng)銷落地服務(wù)。

在實(shí)際的網(wǎng)絡(luò)中，通常會(huì)通過各種邊界設(shè)備、軟/硬件防火墻甚至入侵檢測(cè)系統(tǒng)來檢查對(duì)外連接情況，如果發(fā)現(xiàn)異樣，就會(huì)對(duì)通信進(jìn)行阻斷。如果發(fā)起方將數(shù)據(jù)包按照邊界設(shè)備所允許的數(shù)據(jù)包類型或端口進(jìn)行封裝，然后穿過邊界設(shè)備與對(duì)方進(jìn)行通信，當(dāng)封裝的數(shù)據(jù)包到達(dá)目的地時(shí)，將數(shù)據(jù)包還原，并將還原后的數(shù)據(jù)包發(fā)送到相應(yīng)服務(wù)器上。這種技術(shù)稱為隧道技術(shù)。

在黑客實(shí)際入侵過程中，攻擊者在開始與被控制主機(jī)通信時(shí)，通過利用DNS、ICMP等合法協(xié)議來構(gòu)建隱匿隧道來掩護(hù)其傳遞的非法信息，這類攻擊稱為隱匿隧道攻擊。

隱匿隧道攻擊引發(fā)的典型安全事件

Google極光攻擊

Google Aurora(極光)攻擊是一個(gè)十分著名的APT攻擊。Google的一名雇員點(diǎn)擊即時(shí)消息中的一條惡意鏈接，該惡意鏈接的網(wǎng)站頁(yè)面載入含有shellcode的JavaScript程序碼造成IE瀏覽器溢出，進(jìn)而執(zhí)行FTP下載程序，攻擊者通過與受害者主機(jī)建立SSL隱匿隧道鏈接，持續(xù)監(jiān)聽并最終獲得了該雇員訪問Google服務(wù)器的帳號(hào)密碼等信息，從而引發(fā)了一系列事件導(dǎo)致這個(gè)搜索引擎巨人的網(wǎng)絡(luò)被滲入數(shù)月，并且造成各種系統(tǒng)的數(shù)據(jù)被竊取。

美國(guó)E公司數(shù)據(jù)泄露事件

E公司是是美國(guó)三大個(gè)人信用服務(wù)中介機(jī)構(gòu)之一，攻擊者通過利用隱匿隧道攻擊規(guī)避了其強(qiáng)訪問控制設(shè)備、防火墻、入侵檢測(cè)系統(tǒng)等邊界防護(hù)措施，導(dǎo)致超過1.47億個(gè)人征信記錄被暴露。

隱匿隧道攻擊特點(diǎn)

隱匿隧道攻擊最典型的特點(diǎn)在于其隱蔽性。為避免非法通信行為被邊界設(shè)備攔截，攻擊者通常會(huì)將非法信息進(jìn)行封裝，表面上看似是正常業(yè)務(wù)流量，實(shí)則“危機(jī)四伏”。由于大部分邊界設(shè)備的流量過濾機(jī)制依賴于端口和協(xié)議，網(wǎng)絡(luò)攻擊檢測(cè)機(jī)制依賴于流量特征，從而無法對(duì)這類精心構(gòu)造的非法信息進(jìn)行攔截。因此，攻擊者可通過與被入侵主機(jī)建立隱匿隧道通信連接，達(dá)到傳遞非法信息的目的，如病毒投放、信息竊取、信息篡改、遠(yuǎn)程控制、利用被入侵主機(jī)挖礦等。

常見的隱匿隧道攻擊類型

隨著目前安全防護(hù)措施的不斷完善，使用HTTP通信時(shí)被阻斷的幾率不斷增大，攻擊者開始選擇更為安全隱蔽的隧道通信技術(shù)，如DNS、ICMP、各種協(xié)議over HTTP隧道等。由于DNS、ICMP等協(xié)議是大部分主機(jī)所必須使用的協(xié)議，因此基于DNS協(xié)議、ICMP協(xié)議構(gòu)建隱匿隧道通信的方式逐漸成為隱匿隧道攻擊的主流技術(shù)。

■ DNS隱匿隧道攻擊

DNS隧道是將其他協(xié)議的內(nèi)容封裝在DNS協(xié)議中，然后以DNS請(qǐng)求和響應(yīng)包完成傳輸數(shù)據(jù)(通信)的技術(shù)。當(dāng)前網(wǎng)絡(luò)世界中的DNS是一項(xiàng)必不可少的服務(wù)，所以防火墻和入侵檢測(cè)設(shè)備出于可用性和用戶友好的考慮將很難做到完全過濾掉DNS流量，因此，攻擊者可以利用它實(shí)現(xiàn)諸如遠(yuǎn)程控制，文件傳輸?shù)炔僮鳎姸嘌芯勘砻鱀NS Tunneling在僵尸網(wǎng)絡(luò)和APT攻擊中扮演著至關(guān)重要的角色。

DNS隱匿隧道構(gòu)建

■ ICMP隱匿隧道攻擊

ICMP隧道是指將TCP連接通過ICMP包進(jìn)行隧道傳送的一種方法。由于數(shù)據(jù)是利用PING請(qǐng)求/回復(fù)報(bào)文通過網(wǎng)絡(luò)層傳輸，因此并不需要指定服務(wù)或者端口。這種流量是無法被基于代理的防火墻檢測(cè)到的，因此這種方式可能繞過一些防火墻規(guī)則。

ICMP隱匿隧道構(gòu)建

網(wǎng)絡(luò)安全威脅感知大數(shù)據(jù)平臺(tái)高效檢測(cè)隱匿隧道攻擊

由于攻擊者將非法數(shù)據(jù)進(jìn)行封裝，利用正常的協(xié)議構(gòu)建隱匿隧道進(jìn)行非法通信，攻擊特征極不明顯，因此可輕易躲過現(xiàn)網(wǎng)中基于規(guī)則特征檢測(cè)網(wǎng)絡(luò)攻擊的安全防護(hù)措施;而傳統(tǒng)的隱匿隧道攻擊檢測(cè)技術(shù)大多依賴于簡(jiǎn)單的統(tǒng)計(jì)規(guī)則進(jìn)行檢測(cè)，如統(tǒng)計(jì)請(qǐng)求頻率、判斷請(qǐng)求數(shù)據(jù)包大小等，依靠單一維度的檢測(cè)、分析機(jī)制，導(dǎo)致隱匿隧道攻擊檢測(cè)的誤報(bào)率非常高。

隱匿隧道攻擊防范指南

■ 定期采用主流殺毒軟件進(jìn)行查殺，對(duì)出現(xiàn)的未知軟件及時(shí)進(jìn)行清除。

■ 對(duì)有關(guān)出站或入站DNS查詢的長(zhǎng)度、類型或大小等建立規(guī)則。

■ 借助網(wǎng)絡(luò)安全分析設(shè)備對(duì)用戶和(或)系統(tǒng)行為進(jìn)行分析，可自動(dòng)發(fā)現(xiàn)異常情況，例如訪問新域時(shí)，尤其是訪問方法和頻率異常時(shí)。

■ 處于生產(chǎn)區(qū)的服務(wù)器主機(jī)在必要時(shí)禁止ICMP協(xié)議。

新聞名稱：隱匿隧道攻擊檢測(cè)及防范技術(shù)
鏈接分享：http://muchs.cn/article16/cjhddg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供動(dòng)態(tài)網(wǎng)站、做網(wǎng)站、網(wǎng)站營(yíng)銷、網(wǎng)站內(nèi)鏈、靜態(tài)網(wǎng)站、微信公眾號(hào)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)