内容摘要
什么是隐匿隧道攻击?在实际的网络中,通常会通过各种边界设备、软/硬件防火墙甚至入侵检测系统来检查对外连接情况,如果发现异样,就会对通信进行阻断。如果发起方将数据包按照边界设备所允许的数据包类型或端口进行封装,然后穿过边界设备与对方进行通信,当封装的数据包到达目的地时,将数据包还原,并将还原后的数据包…
什么是隐匿隧道攻击?
在实际的网络中,通常会通过各种边界设备、软/硬件防火墙甚至入侵检测系统来检查对外连接情况,如果发现异样,就会对通信进行阻断。如果发起方将数据包按照边界设备所允许的数据包类型或端口进行封装,然后穿过边界设备与对方进行通信,当封装的数据包到达目的地时,将数据包还原,并将还原后的数据包发送到相应服务器上。这种技术称为隧道技术。
在黑客实际入侵过程中,攻击者在开始与被控制主机通信时,通过利用DNS、ICMP等合法协议来构建隐匿隧道来掩护其传递的非法信息,这类攻击称为隐匿隧道攻击。
隐匿隧道攻击引发的典型安全事件
Google极光攻击
Google Aurora(极光)攻击是一个十分著名的APT攻击。Google的一名雇员点击即时消息中的一条恶意链接,该恶意链接的网站页面载入含有shellcode的JavaScript程序码造成IE浏览器溢出,进而执行FTP下载程序,攻击者通过与受害者主机建立SSL隐匿隧道链接,持续监听并最终获得了该雇员访问Google服务器的帐号密码等信息,从而引发了一系列事件导致这个搜索引擎巨人的网络被渗入数月,并且造成各种系统的数据被窃取。
美国E公司数据泄露事件
E公司是是美国三大个人信用服务中介机构之一,攻击者通过利用隐匿隧道攻击规避了其强访问控制设备、防火墙、入侵检测系统等边界防护措施,导致超过1.47亿个人征信记录被暴露。
隐匿隧道攻击特点
隐匿隧道攻击最典型的特点在于其隐蔽性。为避免非法通信行为被边界设备拦截,攻击者通常会将非法信息进行封装,表面上看似是正常业务流量,实则“危机四伏”。由于大部分边界设备的流量过滤机制依赖于端口和协议,网络攻击检测机制依赖于流量特征,从而无法对这类精心构造的非法信息进行拦截。因此,攻击者可通过与被入侵主机建立隐匿隧道通信连接,达到传递非法信息的目的,如病毒投放、信息窃取、信息篡改、远程控制、利用被入侵主机挖矿等。
常见的隐匿隧道攻击类型
随着目前安全防护措施的不断完善,使用HTTP通信时被阻断的几率不断增大,攻击者开始选择更为安全隐蔽的隧道通信技术,如DNS、ICMP、各种协议over HTTP隧道等。由于DNS、ICMP等协议是大部分主机所必须使用的协议,因此基于DNS协议、ICMP协议构建隐匿隧道通信的方式逐渐成为隐匿隧道攻击的主流技术。
■ DNS隐匿隧道攻击
DNS隧道是将其他协议的内容封装在DNS协议中,然后以DNS请求和响应包完成传输数据(通信)的技术。当前网络世界中的DNS是一项必不可少的服务,所以防火墙和入侵检测设备出于可用性和用户友好的考虑将很难做到完全过滤掉DNS流量,因此,攻击者可以利用它实现诸如远程控制,文件传输等操作,众多研究表明DNS Tunneling在僵尸网络和APT攻击中扮演着至关重要的角色。
■ ICMP隐匿隧道攻击
ICMP隧道是指将TCP连接通过ICMP包进行隧道传送的一种方法。由于数据是利用PING请求/回复报文通过网络层传输,因此并不需要指定服务或者端口。这种流量是无法被基于代理的防火墙检测到的,因此这种方式可能绕过一些防火墙规则。
迪普科技解决方案
网络安全威胁感知大数据平台高效检测隐匿隧道攻击
由于攻击者将非法数据进行封装,利用正常的协议构建隐匿隧道进行非法通信,攻击特征极不明显,因此可轻易躲过现网中基于规则特征检测网络攻击的安全防护措施;而传统的隐匿隧道攻击检测技术大多依赖于简单的统计规则进行检测,如统计请求频率、判断请求数据包大小等,依靠单一维度的检测、分析机制,导致隐匿隧道攻击检测的误报率非常高。
针对隐匿隧道攻击,迪普科技安全算法团队通过收集大量的不同协议的隐匿隧道流量样本进行分析测算,构建出多种隐匿隧道攻击检测模型, 并成功应用到迪普科技网络安全威胁感知大数据平台,如针对DNS隐匿隧道,通过匹配报文中所呈现出的域名信息、域名后缀信息、response应答信息,以及请求频率、请求数据包大小等内容进行综合评估分析;针对ICMP隐匿隧道攻击,通过匹配数据包发送频率、type值、应答信息、payload大小及内容等进行综合分析。有效提升隐匿隧道攻击检测效率,隐匿隧道攻击检出率高达98%以上!
隐匿隧道攻击防范指南
■ 定期采用主流杀毒软件进行查杀,对出现的未知软件及时进行清除。
■ 对有关出站或入站DNS查询的长度、类型或大小等建立规则。
■ 借助网络安全分析设备对用户和(或)系统行为进行分析,可自动发现异常情况,例如访问新域时,尤其是访问方法和频率异常时。
■ 处于生产区的服务器主机在必要时禁止ICMP协议。
申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!
随着数字中国战略的步步落实,大数据已经成为锚定战略定位、抢得市场先机的重要基础元素。为彰显行业发展现状,遴选、推荐优秀企业,长城战略咨询近日在2023中国国际大数据产业博览会期间,重磅发布《中国大数据独角兽企业榜单》,根据独角兽企业国家推荐性标准,筛选出259家2022年中国大数据(潜在)独角兽企业
2023年6月15日至18日,2023北京健康医疗大数据论坛、医促会华夏健康数据与数字医学高峰论坛、第三届中华预防医学会肾脏病预防与控制专业委员会学术会议将同期于北京举行。论坛以“学术引领数智健康”为主题,着眼国家战略需求,聚焦前沿科技在健康医疗领域的发展与实践,荟萃全球顶尖学术观点,促进多方跨界融
近日,北京市科学技术委员会、中关村科技园区管理委员会公示了北京市2023年第2批科技型中小企业名单,谷器数据借助优秀的科技自主创新能力成功入选。此次评价指标围绕科研人员、研发投入、科技成果等三个维度,成功入选科技型中小企业是对谷器数据专业化发展、自主创新能力、产品技术实力的激励与肯定。科技型中小企业
评审寄语面向车间现场生产制造过程的数字化管理,谷器数据SupplyX·MES通过推动更有效的工厂运行和现场效率,提供从接收生产计划到制成最终产品全过程的生产活动实现优化的信息,成为新型工业化的标杆力量!近日,由中国科学院《互联网周刊》、中国社会科学院信息化研究中心等机构联合主办的“2023(第八届)
在如今这个数字化转型时代,大数据在企业发展的过程中发挥了至关重要的作用,大数据技术以更高效和有效的方式提供最好的服务,同时还可以提高生产力、提高客户满意度和更高效的智慧化运营。其中,成都四方伟业软件股份有限公司(以下简称“四方伟业”)以优秀的大数据产品和服务获得了多项行业荣誉。去年,2022数博会数
把脉中国数据智能化
2023年,几乎可以被定义为中国互联网公司的“大模型元年”。ChatGPT的全球爆红,彻底点燃国内的大模型赛道,曾经的“创业英雄”、如今的商业领袖们亲自下场,接连发布生成式人工智能产品与大模型布局。大模型火了,沉寂许久的互联网行业又有了新的“战事”。同时,大模型的快速发展也改变了云市场的现状,企业对
近日,数字化市场研究咨询机构爱分析发布了《2022爱分析·数据智能厂商全景报告》,爱分析从技术研发能力、服务客户数量、收入规模等维度对厂商进行了全面专业的评估
2022年11月18日,首个国家级大数据产业创新赛事——2022第一届中国大数据大赛圆满落幕。工业和信息化部信息技术发展司数字经济推进处处长张建伦,中国电子技术标准化研究院副院长孙文龙出席颁奖典礼并致辞
2022年11月17日,在厦门市工业和信息化局的指导下,以“数据确权”为主题的2022数据资产(厦门)论坛在厦门成功举办。本次论坛以“数据确权”为主题,由厦门市互联网域名应用服务产业协会和构信网(公信.中国)联合主办
近日,国内知名数字化市场研究咨询机构爱分析正式发布《2022爱分析·信创厂商全景报告》(以下简称“报告”)。报告综合考虑企业关注度、行业落地进展等因素,遴选出在信创市场中具备成熟解决方案和落地能力的厂商。
10月31日下午,由数博会执委会主办、数据观(北京)传媒科技有限公司承办、贵阳大数据交易所协办的第四期数博思享会“实践先行观公共数据价值与应用”活动成功举办。
近日,由中国国际数字经济博览会组委会主办,中国电子技术标准化研究院、河北省工业和信息化厅承办的“第一届中国大数据大赛”(简称大数据大赛)正式启动。
广州光点信息科技有限公司自主研发的数据中台产品GI大数据中台V2.0产品是国内率先推出符合新创标准的中台产品,基于“大数据+AI”等技术全新打造,集数据采集、融合、治理、服务、管理为一体的旗舰平台。
广州光点信息科技有限公司自主研发的数据中台产品GI大数据中台V2.0产品是国内率先推出符合新创标准的中台产品,基于“大数据+AI”等技术全新打造,集数据采集、融合、治理、服务、管理为一体的旗舰平台
