Благодаря постоянному совершенствованию технологий атак и защиты в последние годы все больше и больше злоумышленников в сети используют туннельную технологию, чтобы скрыть характеристики атак и вторгнуться в корпоративные интрасети, обходя защитное оборудование, создавая новые угрозы и проблемы для корпоративной безопасности. скрытые туннели и методы реализации постоянно меняются. В основе туннельной технологии лежит стратегия блокировки портов для обхода брандмауэра, которая делится на два типа: зашифрованный атакующий трафик и незашифрованный атакующий трафик. В настоящее время все больше и больше туннелей обращаются к ним. зашифрованный атакующий трафик. Атакующий трафик постепенно стал важной частью сетевых атак, и в защите предприятия обычно используются традиционные меры по сопоставлению правил и алгоритмической защите и перехвату. Однако эти методы не могут своевременно обнаруживать и эффективно перехватывать туннельные атаки, которые скрывают зашифрованный трафик. и выявление вредоносного зашифрованного трафика Tunnel стало центром защиты безопасности. Предприятиям необходимо изучить новые технологии защиты для улучшения возможностей защиты. В этой главе будут описаны некоторые распространенные методы анализа и защиты.

1. Обнаружение и защита ICMP-туннеля.

В реальных средах протокол ICMP часто используется для определения состояния сетевого подключения, а межсетевые экраны по умолчанию разрешают обмен данными по протоколу ICMP. Поэтому все больше и больше злоумышленников будут использовать протокол ICMP для проведения незаконных коммуникаций и построения скрытого туннельного шифрования с помощью протокола ICMP. Вредоносный трафик для атаки на корпоративную интрасеть.

Суть технологии туннелирования ICMP заключается в изменении данных, заполняемых операционной системой по умолчанию, и замене их нашими собственными данными. Однако обычные и ненормальные пакеты ping, отправляемые с использованием туннеля ICMP, различаются, поэтому количество пакетов PING может быть различным. быть обнаружены и проанализированы, размер полезной нагрузки в пакете данных, соответствует ли полезная нагрузка в пакете данных пакету запроса, является ли тип пакета данных ICMP 0 и 8, а также другие характеристики, позволяющие отличить нормальные. и аномальные пакеты данных и принять разумные меры защиты. Еще один грубый метод — отключить пинг. Эта операция может повлиять на работу пользователя, но эффект защиты очень хороший.

2. Обнаружение и защита трафика DNS-туннеля.

DNS-туннель — это скрытый туннель, который инкапсулирует данные или команды в протокол DNS для передачи данных, команд и т. д. Принцип его использования заключается в том, что межсетевые экраны не будут перехватывать сообщения DNS, а современные антивирусные программы и политики обнаружения вторжений, такие как поскольку защита редко эффективно отслеживает и управляет сообщениями DNS. Поэтому это хороший способ скрыть трафик данных в протоколе DNS для передачи.

В настоящее время существует в основном два метода: анализ нагрузки и мониторинг потока. Анализ нагрузки основан на том факте, что обычные доменные имена DNS удовлетворяют закону Зипфа, а доменные имена DNS-туннелей следуют принципу случайного распределения для обнаружения имен хостов, превышающих 52 символа, которые используются в качестве характеристик для идентификации DNS-туннелей и трафика. мониторинг используется для обнаружения. Изменения DNS-трафика в сети можно обнаружить путем определения скорости потока DNS-пакетов в единицу времени, чтобы определить наличие DNS-туннеля.

Таким образом, вы можете судить о том, является ли это незаконным вторжением, на основе следующих пунктов анализа.

1) Содержит ли запрос DNSCAT по умолчанию строку DNSCAT, которую можно использовать в качестве функции межсетевого экрана и обнаружения вторжений.

2) Проверьте длину исходящих DNS-запросов, отслеживайте частоту DNS-запросов от определенных хостов и проверяйте наличие определенных необычных типов запросов.

3) Записывайте журналы DNS-запросов и отслеживайте нештатные журналы по частоте, длине и типу.

3. Обнаружение и защита HTTP-туннельного трафика.

HTTP-туннелирование — это метод передачи данных, представляющий угрозу безопасности. Он может существовать на хосте как троян, вирус и т. д. и взаимодействовать с удаленным хостом через протокол HTTP для кражи конфиденциальных данных или уничтожения файлов хоста.

Основная технология HTTP-туннелирования заключается во внедрении обычного HTTP-трафика в качестве туннельного трафика в процесс связи для осуществления вредоносных атак на целевой хост. Скрытые туннели HTTP могут использовать скрытые туннели HTTP-заголовков и скрытые туннели HTTP-полезной нагрузки для обнаружения и анализа в HTTP-туннелях. В скрытом туннеле HTTP-заголовка для передачи будут использоваться определенные параметры протокола, такие как URL, Cookie, UA и т. д. Скрытое туннелирование полезных данных HTTP означает использование полезных данных или части полезных данных для туннельной передачи данных, например, прямая передача зашифрованных данных или встраивание данных в страницу и т. д. Для обнаружения HTTP-туннеля нам необходимо объединить несколько уровней и несколько методов, чтобы сделать комплексные выводы.

Сам туннель имеет определенную степень секретности, но их общей особенностью является то, что все они должны размещать файлы сценариев на сервере. Сегодняшнее антивирусное программное обеспечение в принципе может его обнаружить, поэтому каталог WEB-сайта можно регулярно сканировать.

4. Обнаружение и защита туннельного трафика RDP.

Службы удаленных рабочих столов — это служба, предоставляемая системой Microsoft Windows для удаленного управления, особенно протокол удаленного рабочего стола (RDP), который также обеспечивает такое же удобство для удаленных злоумышленников. Когда злоумышленник выводит из строя систему Windows и получает достаточные учетные данные для входа, он может напрямую воспользоваться бэкдором, чтобы использовать сеанс RDP для удаленного доступа.

Принцип туннельной атаки RDP заключается в том, что туннели интрасети и переадресация портов используют порты, не защищенные межсетевыми экранами, для установления соединений с удаленными серверами, защищенными межсетевыми экранами. Это соединение можно использовать в качестве транспортного канала для отправки данных через брандмауэр или в качестве туннеля к локальной службе прослушивания внутри брандмауэра, чтобы удаленный сервер, расположенный за пределами брандмауэра, мог получить доступ к узлу интрасети.

В соответствии с принципом атаки, предотвращение и обнаружение могут осуществляться с точки зрения хоста и сети соответственно. Защита на уровне хоста в основном анализирует записи реестра и журналы событий входа в систему, чтобы определить, было ли вторжение отключено в операционных системах, которые это делают; не требовать удаленных подключений; настройки политики безопасности, запретить удаленный доступ к службам рабочего стола, включить обнаружение брандмауэра, запретить входящие соединения RDP;

На сетевом уровне установите правила брандмауэра и проверьте правила брандмауэра, чтобы определить области, которые могут использоваться для переадресации портов, тем самым блокируя внешнюю связь RDP и выполняя проверку содержимого трафика сети связи.

Я участвую в пятом выпуске специального учебного лагеря Tencent Technology Creation 2024 с эссе, получившими награды. Приходите и разделите приз со мной!