歡迎光臨
我們一直在努力

隧道技術之DNS和ICMP與其檢測防禦

原文出處:https://www.anquanke.com/post/id/163240

簡述
為了逃避監測,繞過殺軟,更好的隱藏自身,很多木馬的傳輸層都使用了隧道技術,那什麼是隧道技術(我是誰)?其傳輸有什麼特點(我從哪裡來)?隧道技術的現狀是怎樣的呢(我到那裡去)?連問三連擊:)

隧道技術(Tunneling):是一種通過使用網際網路絡的基礎設施在網路之間傳遞資料的方式,使用隧道傳遞的Data(資料)或 Payload (負載)可以是不同協議的資料幀或包。隧道協議將其它協議的資料幀或包,重新封裝然後通過隧道傳送,新的幀頭,提供路由資訊,以便通過網際網路傳遞被封裝的 Payload。

資料傳輸特點(Feature):不通過網路直接傳送資料包,通過封裝技術在另一個(通常是加密的)連線中傳送資料。

現狀:傳統socket隧道已極少,TCP、UDP 大量被防禦系統攔截,DNS、ICMP、http/https 等難於禁止的協議已成為黑客控制隧道的主流。

上面我們瞭解了隧道技術,不知你是否會好奇 DNS 隧道為什麼會有那麼強大?一方面是因為 DNS 報文具有天然的穿透防火牆的能力;另一方面,目前的防毒軟體、IDS 等安全策略很少對 DNS 報文進行有效的監控管理:)接下來我們來回顧下這樣幾個典型的攻擊事件中用到的隧道木馬的特點。

文章圖片來源:https://www.anquanke.com/post/id/163240
前言引用來源:https://www.anquanke.com/post/id/163240

-------------------
如果你認同我們每日分享的文章,請幫我們按個讚並且點擊追蹤「搶先看」,讓我們提供最新消息給您!您的分享及點讚,是我們持續推廣資訊安全最大的動力來源。
https://www.facebook.com/LonelyPoPo/

贊(0) 打賞
轉載請附上作者連結:波波的寂寞世界 » 隧道技術之DNS和ICMP與其檢測防禦

波波的寂寞世界

Facebook聯繫我們

覺得文章有用,請作者喝杯咖啡

掃一掃打賞作者狗糧