隐藏式隧道攻击检测与防御技术

什么是隐藏的隧道攻击？在实际网络中，通常使用各种边界设备，软件/硬件防火墙甚至入侵检测系统来检查外部连接。如果发现异常，将阻止通讯。
如果发起方根据边界设备允许的数据包类型或端口对数据包进行封装，然后通过边界设备与另一方进行通信，则当封装的数据包到达目的地时，数据包将被还原并恢复。恢复的数据包被恢复。
数据包被发送到相应的服务器。该技术称为隧道技术。
在黑客入侵的实际过程中，当攻击者开始与受控主机进行通信时，他使用诸如DNS和ICMP之类的合法协议来构造隐藏隧道，以掩盖传输的非法信息。这种攻击称为隐藏隧道攻击。
由隐藏隧道攻击引起的典型安全事件Google Aurora攻击Google Aurora（Aurora）攻击是一种非常著名的APT攻击。 Google的一名员工点击了即时消息中的恶意链接。
恶意链接的网站页面加载了包含shellcode的JavaScript代码，导致IE浏览器溢出，然后执行FTP下载程序。攻击者与受害者的主机建立SSL隐藏。
隧道链接继续监视并最终获得了员工的帐户和密码等信息，以访问Google服务器，这引发了一系列事件，导致搜索引擎巨头的网络渗透了数月之久，导致各种系统被盗。美国E公司数据泄露事件E公司是美国三大个人信用服务中介机构之一。
攻击者使用隐藏的隧道攻击来规避其边界保护措施，例如强大的访问控制设备，防火墙和入侵检测系统，从而导致超过1.47亿个人信用记录被暴露。隐藏的隧道攻击的特征隐藏的隧道攻击的最典型特征是其隐藏。
为了防止非法通信行为被边界设备拦截，攻击者通常会封装非法信息。从表面上看，这似乎是正常的业务流量，但实际上，它是“危险的”。
由于大多数边界设备的流过滤机制依赖于端口和协议，并且网络攻击检测机制依赖于流特征，因此不可能截获这种精心构造的非法信息。因此，攻击者可以与被入侵的主机建立隐藏的隧道通信连接，以达到传播非法信息的目的，例如与被入侵的主机进行病毒传递，信息盗窃，信息篡改，远程控制和挖掘等非法信息。
常见的隐藏隧道攻击类型随着当前安全保护措施的不断改进，使用HTTP通信时被阻止的可能性正在增加。攻击者已开始选择更安全和隐藏的隧道通信技术，例如DNS，ICMP和各种协议。
由于DNS，ICMP和其他协议是大多数主机必须使用的协议，因此基于DNS和ICMP构造隐藏隧道通信的方法已逐渐成为隐藏隧道攻击的主流技术。 ■DNS隐藏隧道攻击DNS隧道是一种将其他协议的内容封装在DNS协议中，然后完成与DNS请求和响应数据包之间的数据传输（通信）的技术。
当前网络世界中的DNS是必不可少的服务，因此，由于可用性和用户友好性，防火墙和入侵检测设备将很难完全过滤掉DNS流量。因此，攻击者可以使用它来实现远程控制，文件传输和其他操作，许多研究表明，DNS隧道在僵尸网络和APT攻击中起着至关重要的作用。
DNS隐藏隧道的构建■ICMP隐藏隧道攻击ICMP隧道是一种通过ICMP数据包建立TCP连接隧道的方法。由于使用PING请求/答复消息通过网络层传输数据，因此无需指定服务或端口。
基于代理的防火墙无法检测到这种流量，因此某些防火墙规则可能会以这种方式被绕开。 ICMP隐藏隧道建设网络安全威胁意识大数据平台可以有效地检测隐藏隧道攻击。
由于攻击者封装了非法数据，并使用常规协议构造了用于非法通信的隐藏隧道，因此攻击特征极为微不足道，因此可以轻松逃脱实时网络安全性，从而可以基于规则特征检测网络攻击。 WH