DNS隱匿隧道構(gòu)建
■ ICMP隱匿隧道攻擊
ICMP隧道是指將TCP連接通過ICMP包進行隧道傳送的一種方法�����。由于數(shù)據(jù)是利用PING請求/回復報文通過網(wǎng)絡層傳輸�����,因此并不需要指定服務或者端口�����。這種流量是無法被基于代理的防火墻檢測到的���,因此這種方式可能繞過一些防火墻規(guī)則。
ICMP隱匿隧道構(gòu)建
迪普科技解決方案
網(wǎng)絡安全威脅感知大數(shù)據(jù)平臺高效檢測隱匿隧道攻擊
由于攻擊者將非法數(shù)據(jù)進行封裝�����,利用正常的協(xié)議構(gòu)建隱匿隧道進行非法通信��,攻擊特征極不明顯����,因此可輕易躲過現(xiàn)網(wǎng)中基于規(guī)則特征檢測網(wǎng)絡攻擊的安全防護措施;而傳統(tǒng)的隱匿隧道攻擊檢測技術大多依賴于簡單的統(tǒng)計規(guī)則進行檢測,如統(tǒng)計請求頻率、判斷請求數(shù)據(jù)包大小等��,依靠單一維度的檢測�、分析機制,導致隱匿隧道攻擊檢測的誤報率非常高���。
針對隱匿隧道攻擊�,迪普科技安全算法團隊通過收集大量的不同協(xié)議的隱匿隧道流量樣本進行分析測算�����,構(gòu)建出多種隱匿隧道攻擊檢測模型����, 并成功應用到迪普科技網(wǎng)絡安全威脅感知大數(shù)據(jù)平臺���,如針對DNS隱匿隧道����,通過匹配報文中所呈現(xiàn)出的域名信息����、域名后綴信息、response應答信息,以及請求頻率�����、請求數(shù)據(jù)包大小等內(nèi)容進行綜合評估分析;針對ICMP隱匿隧道攻擊���,通過匹配數(shù)據(jù)包發(fā)送頻率����、type值�、應答信息、payload大小及內(nèi)容等進行綜合分析��。有效提升隱匿隧道攻擊檢測效率�,隱匿隧道攻擊檢出率高達98%以上!
隱匿隧道攻擊高效檢出
隱匿隧道攻擊防范指南
■ 定期采用主流殺毒軟件進行查殺,對出現(xiàn)的未知軟件及時進行清除�。
■ 對有關出站或入站DNS查詢的長度、類型或大小等建立規(guī)則����。
■ 借助網(wǎng)絡安全分析設備對用戶和(或)系統(tǒng)行為進行分析,可自動發(fā)現(xiàn)異常情況�,例如訪問新域時,尤其是訪問方法和頻率異常時�。
■ 處于生產(chǎn)區(qū)的服務器主機在必要時禁止ICMP協(xié)議���。
