隱蔽通道是通過將特殊協議封裝在常規協議(例如DNS、ICMP、HTTP等)中進行數據傳輸的手段。
由於大部分防火牆和入侵檢測設備很少會過濾常規協議,攻擊者可以利用它實現諸如遠程控制、文件傳輸等操作,隱蔽通道也經常在殭屍網絡和APT攻擊中扮演著重要的角色。
我們以ICMP隱蔽通道為例,據說ICMP隱蔽通道技術的產生是為了免費上網,手機網絡並沒有對ICMP數據包計費,所以可以通過ICMP隧道進行穿透(小道消息) 。
言歸正傳,ICMP包結構比較簡單,有很多規律可循。
例如對於windows系統,ICMP默認傳輸32bytes,內容是abcdefghijklmnopqrstuvwabcdefghi,共32bytes;
對於linux系統,就稍顯複雜,默認Data傳輸的是48bytes,在Date之前多了一個Timestamp from icmp data頭。
ICMP隱蔽通道的原理就是替換Data部分,所以只要識別異常的數據載荷就能夠識別icmp隱蔽通道。
聚銘網絡流量智能分析審計系統(簡稱iNFA)採用基於機器學習的方法,識別ICMP隱蔽通道特徵,準確識別隱蔽通道行為。
通過在線數據包分析查看ICMP隱蔽通道的原始數據包,發現並確認該數據包是否存在問題。
聚銘網絡流量智能分析審計系統是全流量智能化審計專家,它以全流量還原為基礎,結合了失陷分析、網絡攻擊檢測、威脅情報分析、異常流量行為挖掘、文件檢測、網絡質量檢測等技術,對全網流量實時進行威脅感知、可疑流量分析,為客戶
在高級威脅入侵之時,及時察覺,及時止損。作為聚銘網絡旗下重要的網絡安全產品之一,聚銘網絡流量智能分析系統已被廣泛應用於電信、教育、能源、金融、軍工、醫療、公安等眾多行業領域,並受到了事企業客戶以及業內人士的一致認可與好評。也歡迎更多對聚銘網絡流量智能分析審計系統感興趣的客戶前來諮詢瞭解,聚銘網絡將竭誠為您服務~
聚銘網絡流量智能分析與系統,讓安全更簡單!