DNS隱匿隧道構(gòu)建
■ ICMP隱匿隧道攻擊
ICMP隧道是指將TCP連接通過(guò)ICMP包進(jìn)行隧道傳送的一種方法�。由于數(shù)據(jù)是利用PING請(qǐng)求/回復(fù)報(bào)文通過(guò)網(wǎng)絡(luò)層傳輸�����,因此并不需要指定服務(wù)或者端口�。這種流量是無(wú)法被基于代理的防火墻檢測(cè)到的,因此這種方式可能繞過(guò)一些防火墻規(guī)則���。
ICMP隱匿隧道構(gòu)建
迪普科技解決方案
網(wǎng)絡(luò)安全威脅感知大數(shù)據(jù)平臺(tái)高效檢測(cè)隱匿隧道攻擊
由于攻擊者將非法數(shù)據(jù)進(jìn)行封裝,利用正常的協(xié)議構(gòu)建隱匿隧道進(jìn)行非法通信�����,攻擊特征極不明顯��,因此可輕易躲過(guò)現(xiàn)網(wǎng)中基于規(guī)則特征檢測(cè)網(wǎng)絡(luò)攻擊的安全防護(hù)措施;而傳統(tǒng)的隱匿隧道攻擊檢測(cè)技術(shù)大多依賴于簡(jiǎn)單的統(tǒng)計(jì)規(guī)則進(jìn)行檢測(cè)�����,如統(tǒng)計(jì)請(qǐng)求頻率、判斷請(qǐng)求數(shù)據(jù)包大小等�����,依靠單一維度的檢測(cè)��、分析機(jī)制����,導(dǎo)致隱匿隧道攻擊檢測(cè)的誤報(bào)率非常高。
針對(duì)隱匿隧道攻擊����,迪普科技安全算法團(tuán)隊(duì)通過(guò)收集大量的不同協(xié)議的隱匿隧道流量樣本進(jìn)行分析測(cè)算,構(gòu)建出多種隱匿隧道攻擊檢測(cè)模型�, 并成功應(yīng)用到迪普科技網(wǎng)絡(luò)安全威脅感知大數(shù)據(jù)平臺(tái),如針對(duì)DNS隱匿隧道��,通過(guò)匹配報(bào)文中所呈現(xiàn)出的域名信息�、域名后綴信息、response應(yīng)答信息���,以及請(qǐng)求頻率�����、請(qǐng)求數(shù)據(jù)包大小等內(nèi)容進(jìn)行綜合評(píng)估分析;針對(duì)ICMP隱匿隧道攻擊�����,通過(guò)匹配數(shù)據(jù)包發(fā)送頻率�、type值、應(yīng)答信息�、payload大小及內(nèi)容等進(jìn)行綜合分析。有效提升隱匿隧道攻擊檢測(cè)效率�,隱匿隧道攻擊檢出率高達(dá)98%以上!
隱匿隧道攻擊高效檢出
隱匿隧道攻擊防范指南
■ 定期采用主流殺毒軟件進(jìn)行查殺,對(duì)出現(xiàn)的未知軟件及時(shí)進(jìn)行清除����。
■ 對(duì)有關(guān)出站或入站DNS查詢的長(zhǎng)度、類型或大小等建立規(guī)則�。
■ 借助網(wǎng)絡(luò)安全分析設(shè)備對(duì)用戶和(或)系統(tǒng)行為進(jìn)行分析,可自動(dòng)發(fā)現(xiàn)異常情況����,例如訪問(wèn)新域時(shí)�����,尤其是訪問(wèn)方法和頻率異常時(shí)。
■ 處于生產(chǎn)區(qū)的服務(wù)器主機(jī)在必要時(shí)禁止ICMP協(xié)議�����。
