域名預(yù)訂/競價(jià),好“米”不錯(cuò)過
內(nèi)容摘要
什么是隱匿隧道攻擊?在實(shí)際的網(wǎng)絡(luò)中,通常會通過各種邊界設(shè)備�、軟/硬件防火墻甚至入侵檢測系統(tǒng)來檢查對外連接情況���,如果發(fā)現(xiàn)異樣�,就會對通信進(jìn)行阻斷�。如果發(fā)起方將數(shù)據(jù)包按照邊界設(shè)備所允許的數(shù)據(jù)包類型或端口進(jìn)行封裝�,然后穿過邊界設(shè)備與對方進(jìn)行通信�����,當(dāng)封裝的數(shù)據(jù)包到達(dá)目的地時(shí)�����,將數(shù)據(jù)包還原���,并將還原后的數(shù)據(jù)包…
什么是隱匿隧道攻擊?
在實(shí)際的網(wǎng)絡(luò)中����,通常會通過各種邊界設(shè)備�����、軟/硬件防火墻甚至入侵檢測系統(tǒng)來檢查對外連接情況�,如果發(fā)現(xiàn)異樣,就會對通信進(jìn)行阻斷�。如果發(fā)起方將數(shù)據(jù)包按照邊界設(shè)備所允許的數(shù)據(jù)包類型或端口進(jìn)行封裝,然后穿過邊界設(shè)備與對方進(jìn)行通信�,當(dāng)封裝的數(shù)據(jù)包到達(dá)目的地時(shí)���,將數(shù)據(jù)包還原�,并將還原后的數(shù)據(jù)包發(fā)送到相應(yīng)服務(wù)器上��。這種技術(shù)稱為隧道技術(shù)���。
在黑客實(shí)際入侵過程中����,攻擊者在開始與被控制主機(jī)通信時(shí)�,通過利用DNS、ICMP等合法協(xié)議來構(gòu)建隱匿隧道來掩護(hù)其傳遞的非法信息�����,這類攻擊稱為隱匿隧道攻擊�����。
隱匿隧道攻擊引發(fā)的典型安全事件
Google極光攻擊
Google Aurora(極光)攻擊是一個(gè)十分著名的APT攻擊。Google的一名雇員點(diǎn)擊即時(shí)消息中的一條惡意鏈接����,該惡意鏈接的網(wǎng)站頁面載入含有shellcode的JavaScript程序碼造成IE瀏覽器溢出,進(jìn)而執(zhí)行FTP下載程序,攻擊者通過與受害者主機(jī)建立SSL隱匿隧道鏈接�����,持續(xù)監(jiān)聽并最終獲得了該雇員訪問Google服務(wù)器的帳號密碼等信息,從而引發(fā)了一系列事件導(dǎo)致這個(gè)搜索引擎巨人的網(wǎng)絡(luò)被滲入數(shù)月��,并且造成各種系統(tǒng)的數(shù)據(jù)被竊取。
美國E公司數(shù)據(jù)泄露事件
E公司是是美國三大個(gè)人信用服務(wù)中介機(jī)構(gòu)之一����,攻擊者通過利用隱匿隧道攻擊規(guī)避了其強(qiáng)訪問控制設(shè)備、防火墻���、入侵檢測系統(tǒng)等邊界防護(hù)措施����,導(dǎo)致超過1.47億個(gè)人征信記錄被暴露����。
隱匿隧道攻擊特點(diǎn)
隱匿隧道攻擊最典型的特點(diǎn)在于其隱蔽性���。為避免非法通信行為被邊界設(shè)備攔截�����,攻擊者通常會將非法信息進(jìn)行封裝�����,表面上看似是正常業(yè)務(wù)流量�,實(shí)則“危機(jī)四伏”��。由于大部分邊界設(shè)備的流量過濾機(jī)制依賴于端口和協(xié)議�,網(wǎng)絡(luò)攻擊檢測機(jī)制依賴于流量特征�����,從而無法對這類精心構(gòu)造的非法信息進(jìn)行攔截。因此�,攻擊者可通過與被入侵主機(jī)建立隱匿隧道通信連接,達(dá)到傳遞非法信息的目的,如病毒投放�、信息竊取�����、信息篡改����、遠(yuǎn)程控制�、利用被入侵主機(jī)挖礦等。
常見的隱匿隧道攻擊類型
隨著目前安全防護(hù)措施的不斷完善,使用HTTP通信時(shí)被阻斷的幾率不斷增大����,攻擊者開始選擇更為安全隱蔽的隧道通信技術(shù)�����,如DNS�、ICMP�、各種協(xié)議over HTTP隧道等。由于DNS��、ICMP等協(xié)議是大部分主機(jī)所必須使用的協(xié)議�����,因此基于DNS協(xié)議�、ICMP協(xié)議構(gòu)建隱匿隧道通信的方式逐漸成為隱匿隧道攻擊的主流技術(shù)。
■ DNS隱匿隧道攻擊
DNS隧道是將其他協(xié)議的內(nèi)容封裝在DNS協(xié)議中��,然后以DNS請求和響應(yīng)包完成傳輸數(shù)據(jù)(通信)的技術(shù)。當(dāng)前網(wǎng)絡(luò)世界中的DNS是一項(xiàng)必不可少的服務(wù)��,所以防火墻和入侵檢測設(shè)備出于可用性和用戶友好的考慮將很難做到完全過濾掉DNS流量��,因此�,攻擊者可以利用它實(shí)現(xiàn)諸如遠(yuǎn)程控制,文件傳輸?shù)炔僮?���,眾多研究表明DNS Tunneling在僵尸網(wǎng)絡(luò)和APT攻擊中扮演著至關(guān)重要的角色。
■ ICMP隱匿隧道攻擊
ICMP隧道是指將TCP連接通過ICMP包進(jìn)行隧道傳送的一種方法����。由于數(shù)據(jù)是利用PING請求/回復(fù)報(bào)文通過網(wǎng)絡(luò)層傳輸,因此并不需要指定服務(wù)或者端口����。這種流量是無法被基于代理的防火墻檢測到的���,因此這種方式可能繞過一些防火墻規(guī)則���。
迪普科技解決方案
網(wǎng)絡(luò)安全威脅感知大數(shù)據(jù)平臺高效檢測隱匿隧道攻擊
由于攻擊者將非法數(shù)據(jù)進(jìn)行封裝,利用正常的協(xié)議構(gòu)建隱匿隧道進(jìn)行非法通信��,攻擊特征極不明顯,因此可輕易躲過現(xiàn)網(wǎng)中基于規(guī)則特征檢測網(wǎng)絡(luò)攻擊的安全防護(hù)措施;而傳統(tǒng)的隱匿隧道攻擊檢測技術(shù)大多依賴于簡單的統(tǒng)計(jì)規(guī)則進(jìn)行檢測�����,如統(tǒng)計(jì)請求頻率�����、判斷請求數(shù)據(jù)包大小等���,依靠單一維度的檢測�、分析機(jī)制��,導(dǎo)致隱匿隧道攻擊檢測的誤報(bào)率非常高���。
針對隱匿隧道攻擊�����,迪普科技安全算法團(tuán)隊(duì)通過收集大量的不同協(xié)議的隱匿隧道流量樣本進(jìn)行分析測算����,構(gòu)建出多種隱匿隧道攻擊檢測模型�, 并成功應(yīng)用到迪普科技網(wǎng)絡(luò)安全威脅感知大數(shù)據(jù)平臺�,如針對DNS隱匿隧道����,通過匹配報(bào)文中所呈現(xiàn)出的域名信息、域名后綴信息�、response應(yīng)答信息,以及請求頻率����、請求數(shù)據(jù)包大小等內(nèi)容進(jìn)行綜合評估分析;針對ICMP隱匿隧道攻擊,通過匹配數(shù)據(jù)包發(fā)送頻率�、type值、應(yīng)答信息����、payload大小及內(nèi)容等進(jìn)行綜合分析。有效提升隱匿隧道攻擊檢測效率���,隱匿隧道攻擊檢出率高達(dá)98%以上!
隱匿隧道攻擊防范指南
■ 定期采用主流殺毒軟件進(jìn)行查殺���,對出現(xiàn)的未知軟件及時(shí)進(jìn)行清除��。
■ 對有關(guān)出站或入站DNS查詢的長度���、類型或大小等建立規(guī)則���。
■ 借助網(wǎng)絡(luò)安全分析設(shè)備對用戶和(或)系統(tǒng)行為進(jìn)行分析����,可自動發(fā)現(xiàn)異常情況�����,例如訪問新域時(shí)���,尤其是訪問方法和頻率異常時(shí)���。
■ 處于生產(chǎn)區(qū)的服務(wù)器主機(jī)在必要時(shí)禁止ICMP協(xié)議。
申請創(chuàng)業(yè)報(bào)道�����,分享創(chuàng)業(yè)好點(diǎn)子���。點(diǎn)擊此處�,共同探討創(chuàng)業(yè)新機(jī)遇����!
