内网隧道穿透之流量检测与防护

原创

一只特立独行的兔先生

发布于 2024-02-15 08:24:22

4480

发布于 2024-02-15 08:24:22

文章被收录于专栏：《ATT&CK视角下的红蓝攻防对抗》《ATT&CK视角下的红蓝攻防对抗》

随着近年来攻防技术的不断提升，网络上越来越多的攻击者利用隧道技术隐匿攻击特征，通过绕过安全防护设备入侵企业内网，对企业安全形成新威胁、新挑战，隐蔽隧道种类和实现方式千变万化，隧道技术核心就是绕过防火墙的端口屏蔽策略，其中分为加密攻击流量和不加密攻击流量两种，目前，转向加密攻击流量的隧道越来越多，加密攻击流量已逐渐成为网络攻击的重要环节，而企业防护中一般会使用传统的规则匹配及基于算法的防护拦截措施，而这些方式无法及时发现且有效的拦截隐匿加密流量的隧道攻击行为，而识别隧道恶意加密流量已成为安全防护的重点，企业在防护中需要探索新的防护技术来提升安全防护能力，下面本章节中会讲解一些常见的检测分析和防护手段。

1. ICMP隧道检测与防护

在真实环境中，ICMP协议经常会被用来检测网络连通状态，而防火墙是会默认允许ICMP协议通信，因此越来越多的攻击者会利用ICMP协议进行非法通信，通过ICMP协议搭建隐蔽隧道加密恶意流量，从而对企业内网进行攻击。

ICMP隧道技术的核心是改变操作系统默认填充的Data，替换成我们自己的数据，但是正常的ping数据包和利用ICMP隧道发送的异常ping数据包是不同的，因此可以检测分析PING数据包的数量、数据包中payload大小、数据包中payload与请求包是否一致、ICMP数据包的type是否为0和8等这些特征来区分正常和异常数据包进而做出合理的防护措施。还有一种比较粗暴的方式是禁用ping，此操作可能会影响用户体验，但是防护效果甚佳。

2.DNS隧道流量检测与防护

DNS隧道是一种隐蔽隧道，通过将数据或命令封装到DNS协议进行数据、命令等传输的隧道，其利用原理为防火墙针对DNS报文不会进行拦截阻断，而且目前的杀毒软件、入侵检测防护等安全策略很少对DNS报文进行有效的监控管理。因此将数据流量隐匿在DNS协议中进行传输是一种不错的手段。

目前主要是载荷分析和流量监测两种方法。载荷分析是根据正常的DNS域名满足 zipf定律，而DNS隧道的域名遵循的是随机分布这一原则去检测主机名，将超过52个字符的DNS请求作为识别DNS隧道的特征，流量监测则是检测网络中的DNS流量变化情况，通过检测单位时间内DNS报文流速率来检测是否存在DNS隧道。

因此可以根据以下几点分析判断是否为非法入侵。

1）默认的DNSCAT查询中是否包含了DNSCAT字符串，这个可以作为防火墙和入侵检测的特征。

2）检查出站DNS查询的长度，监视来自特定主机的DNS查询的频率，以及检查特定的不常见查询类型。

3）记录DNS查询日志，通过频率、长度、类型监控异常日志。

3. HTTP隧道流量检测与防护

HTTP隧道是一种颇具安全威胁的数据传输手段。它能以木马、病毒等身份存在于宿主机上，通过HTTP协议与远程主机进行数据交互，以此窃取敏感数据或破坏宿主机文件等。

HTTP隧道核心技术是将HTTP正常流量作为隧道流量在通信过程中嵌入隧道流量，实现对目标主机的恶意攻击行为，HTTP隐蔽隧道可以利用HTTP头隐蔽隧道和HTTP载荷隐蔽隧道进行检测分析，在HTTP隧道中，HTTP头隐蔽隧道会使用协议中某些参数传输，例如 URL、Cookie、UA等。HTTP载荷隐蔽隧道是指利用载荷或载荷的一部分进行隧道数据传输，如直接传输加密后的数据，或将数据嵌入到某个页面中等。对于HTTP隧道检测，需要我们结合多层次、多个方法综合进行判断。

隧道本身具有一定的隐秘性，但是它们共同特点是都需要向服务器放置脚本文件，如今的杀软基本都能检测出来，因此可以定期对WEB站点目录进行扫描。