隱匿隧道攻擊檢測及防范技術

時間：2020-08-31 11:34:02

關鍵字：威脅實踐攻擊隧道迪普

手機看文章

掃描二維碼
隨時隨地手機看文章

[導讀]什么是隱匿隧道攻擊? 在實際的網(wǎng)絡中，通常會通過各種邊界設備、軟/硬件防火墻甚至入侵檢測系統(tǒng)來檢查對外連接情況，如果發(fā)現(xiàn)異樣，就會對通信進行阻斷。如果發(fā)起方將數(shù)據(jù)包按照邊界設備所允許的數(shù)據(jù)包類型或端口

什么是隱匿隧道攻擊?

在實際的網(wǎng)絡中，通常會通過各種邊界設備、軟/硬件防火墻甚至入侵檢測系統(tǒng)來檢查對外連接情況，如果發(fā)現(xiàn)異樣，就會對通信進行阻斷。如果發(fā)起方將數(shù)據(jù)包按照邊界設備所允許的數(shù)據(jù)包類型或端口進行封裝，然后穿過邊界設備與對方進行通信，當封裝的數(shù)據(jù)包到達目的地時，將數(shù)據(jù)包還原，并將還原后的數(shù)據(jù)包發(fā)送到相應服務器上。這種技術稱為隧道技術。

在黑客實際入侵過程中，攻擊者在開始與被控制主機通信時，通過利用DNS、ICMP等合法協(xié)議來構建隱匿隧道來掩護其傳遞的非法信息，這類攻擊稱為隱匿隧道攻擊。

隱匿隧道攻擊引發(fā)的典型安全事件

Google極光攻擊

Google Aurora(極光)攻擊是一個十分著名的APT攻擊。Google的一名雇員點擊即時消息中的一條惡意鏈接，該惡意鏈接的網(wǎng)站頁面載入含有shellcode的JavaScript程序碼造成IE瀏覽器溢出，進而執(zhí)行FTP下載程序，攻擊者通過與受害者主機建立SSL隱匿隧道鏈接，持續(xù)監(jiān)聽并最終獲得了該雇員訪問Google服務器的帳號密碼等信息，從而引發(fā)了一系列事件導致這個搜索引擎巨人的網(wǎng)絡被滲入數(shù)月，并且造成各種系統(tǒng)的數(shù)據(jù)被竊取。

美國E公司數(shù)據(jù)泄露事件

E公司是是美國三大個人信用服務中介機構之一，攻擊者通過利用隱匿隧道攻擊規(guī)避了其強訪問控制設備、防火墻、入侵檢測系統(tǒng)等邊界防護措施，導致超過1.47億個人征信記錄被暴露。

隱匿隧道攻擊特點

隱匿隧道攻擊最典型的特點在于其隱蔽性。為避免非法通信行為被邊界設備攔截，攻擊者通常會將非法信息進行封裝，表面上看似是正常業(yè)務流量，實則“危機四伏”。由于大部分邊界設備的流量過濾機制依賴于端口和協(xié)議，網(wǎng)絡攻擊檢測機制依賴于流量特征，從而無法對這類精心構造的非法信息進行攔截。因此，攻擊者可通過與被入侵主機建立隱匿隧道通信連接，達到傳遞非法信息的目的，如病毒投放、信息竊取、信息篡改、遠程控制、利用被入侵主機挖礦等。

常見的隱匿隧道攻擊類型

隨著目前安全防護措施的不斷完善，使用HTTP通信時被阻斷的幾率不斷增大，攻擊者開始選擇更為安全隱蔽的隧道通信技術，如DNS、ICMP、各種協(xié)議over HTTP隧道等。由于DNS、ICMP等協(xié)議是大部分主機所必須使用的協(xié)議，因此基于DNS協(xié)議、ICMP協(xié)議構建隱匿隧道通信的方式逐漸成為隱匿隧道攻擊的主流技術。

■ DNS隱匿隧道攻擊

DNS隧道是將其他協(xié)議的內容封裝在DNS協(xié)議中，然后以DNS請求和響應包完成傳輸數(shù)據(jù)(通信)的技術。當前網(wǎng)絡世界中的DNS是一項必不可少的服務，所以防火墻和入侵檢測設備出于可用性和用戶友好的考慮將很難做到完全過濾掉DNS流量，因此，攻擊者可以利用它實現(xiàn)諸如遠程控制，文件傳輸?shù)炔僮?，眾多研究表明DNS Tunneling在僵尸網(wǎng)絡和APT攻擊中扮演著至關重要的角色。

DNS隱匿隧道構建

■ ICMP隱匿隧道攻擊

ICMP隧道是指將TCP連接通過ICMP包進行隧道傳送的一種方法。由于數(shù)據(jù)是利用PING請求/回復報文通過網(wǎng)絡層傳輸，因此并不需要指定服務或者端口。這種流量是無法被基于代理的防火墻檢測到的，因此這種方式可能繞過一些防火墻規(guī)則。

ICMP隱匿隧道構建

網(wǎng)絡安全威脅感知大數(shù)據(jù)平臺高效檢測隱匿隧道攻擊

由于攻擊者將非法數(shù)據(jù)進行封裝，利用正常的協(xié)議構建隱匿隧道進行非法通信，攻擊特征極不明顯，因此可輕易躲過現(xiàn)網(wǎng)中基于規(guī)則特征檢測網(wǎng)絡攻擊的安全防護措施;而傳統(tǒng)的隱匿隧道攻擊檢測技術大多依賴于簡單的統(tǒng)計規(guī)則進行檢測，如統(tǒng)計請求頻率、判斷請求數(shù)據(jù)包大小等，依靠單一維度的檢測、分析機制，導致隱匿隧道攻擊檢測的誤報率非常高。

隱匿隧道攻擊防范指南

■ 定期采用主流殺毒軟件進行查殺，對出現(xiàn)的未知軟件及時進行清除。

■ 對有關出站或入站DNS查詢的長度、類型或大小等建立規(guī)則。

■ 借助網(wǎng)絡安全分析設備對用戶和(或)系統(tǒng)行為進行分析，可自動發(fā)現(xiàn)異常情況，例如訪問新域時，尤其是訪問方法和頻率異常時。

■ 處于生產(chǎn)區(qū)的服務器主機在必要時禁止ICMP協(xié)議。