内容摘要

什么是隐蔽隧道攻击？在实际网络中，通常通过各种边界设备、软件/硬件防火墙甚至入侵检测系统来检查外部连接，如果发现异常，通信就会被阻断。如果发起方根据边界设备允许的数据包类型或端口对数据包进行封装，然后通过边界设备与对方进行通信，当封装的数据包到达目的地时，恢复数据包，恢复恢复的数据包…

什么是隐蔽隧道攻击？

在实际网络中，通常通过各种边界设备、软件/硬件防火墙甚至入侵检测系统来检查外部连接，如果发现异常，通信就会被阻断。如果发起方根据边界设备允许的数据包类型或端口对数据包进行封装，然后通过边界设备与对方进行通信，当封装后的数据包到达目的地时，恢复数据包，并将恢复后的数据包发送到相应的服务器。这项技术被称为隧道技术。

在黑客实际入侵的过程中，当攻击者开始与被控主机进行通信时，他会利用DNS、ICMp等合法协议构建一个隐藏的隧道来覆盖他所传输的非法信息。这种攻击称为隐蔽隧道攻击。

由秘密隧道攻击引起的典型安全事件

谷歌极光攻击

GoogleAurora攻击是非常著名的ApT攻击。Google的一名员工在即时消息中点击了一个恶意链接，该恶意链接的网站页面加载了包含shellcode的JavaScript代码，导致IE浏览器溢出，随后执行了FTp下载程序。攻击者通过与受害者主机建立SSL隐藏隧道链接，持续监控并最终获取该员工访问谷歌服务器的账号密码等信息，引发了一系列事件，导致搜索引擎巨头的网络被渗透数月，各系统数据被盗。

美国e公司数据泄露事件

e公司是美国三大个人信用服务中介机构之一攻击者利用隐藏隧道攻击规避其强大的访问控制设备、防火墙、入侵检测系统等边境防护措施，导致超过1.47亿条个人信用记录被曝光。

隐蔽隧道攻击的特点

隐蔽隧道攻击最典型的特征是隐蔽性。为了防止非法通信被边界设备拦截，攻击者通常会封装非法信息，这些信息表面上看起来是正常的流量，但却处于危险之中。由于大多数边界设备的流量过滤机制依赖于端口和协议，网络攻击检测机制依赖于流量特征，因此无法拦截这种精心构建的非法信息。因此，攻击者可以通过与被入侵主机建立隐藏的隧道通信连接，传输病毒下坠、信息窃取、信息篡改、远程控制、被入侵主机挖掘等非法信息。

常见类型的隐蔽隧道攻击

随着当前安全措施的不断完善，阻断HTTp通信的概率越来越大，攻击者开始选择更安全、更隐蔽的隧道通信技术，如DNS、ICMp、各种协议overHTTp隧道等。由于DNS、ICMp等协议是大多数主机必备的协议，基于DNS协议和ICMp协议构建隐蔽隧道通信的方式逐渐成为隐蔽隧道攻击的主流技术。

DNS隐蔽隧道攻击

DNS隧道是将其他协议的内容封装在DNS协议中，然后用DNS请求和响应包完成数据传输(通信)的技术。目前，DNS是网络世界中必不可少的服务，因此防火墙和入侵检测设备由于可用性和用户友好性，很难完全过滤掉DNS流量。因此，攻击者可以利用它来实现远程控制和文件传输等操作。许多研究表明，DNSTunneling在僵尸网络和ApT攻击中起着至关重要的作用。

ICMp秘密隧道攻击

ICMp隧道是一种通过ICMp数据包隧道传输TCp连接的方法。因为数据是使用pING请求/回复消息通过网络层传输的，所以不需要指定服务或端口。这种流量是基于代理的防火墙检测不到的，所以这种方式可能会绕过一些防火墙规则。

迪普科技解决方案

网络安全威胁感知大数据平台对隐藏隧道攻击的高效检测

由于攻击者封装非法数据，利用正常协议构建隐藏隧道进行非法通信，攻击特征极其不明显，因此很容易逃脱现有网络中基于规则特征检测网络攻击的安全防护措施；然而，传统的隐藏隧道攻击检测技术大多依赖简单的统计规则进行检测，如统计请求频率、判断请求包大小等，依赖于一维检测分析机制，导致隐藏隧道攻击检测的误报率非常高。

针对隐蔽隧道攻击，迪普科技安全算法团队收集了大量不同协议的隐蔽隧道流量样本进行分析计算，构建了多种隐蔽隧道攻击检测模型，并成功应用于迪普科技网络安全威胁感知大数据平台。例如，对于DNS隐藏隧道，对匹配报文中呈现的域名信息、域名后缀信息、响应响应信息、请求频率、请求包大小等内容进行综合评估分析；针对ICMp隐蔽隧道攻击，通过匹配数据包发送频率、类型值、响应信息、有效载荷大小和内容等进行综合分析。有效提高了隐藏隧道攻击的检测效率，隐藏隧道攻击的检测率在98%以上！

防止隐藏隧道攻击指南

定期使用主流杀毒软件查杀，及时清除未知软件。

建立关于出站或入站DNS查询的长度、类型或大小的规则。

借助网络安全分析设备，通过分析用户和/或系统行为，可以自动发现异常情况，如访问新域时，尤其是访问方式和频率异常时。

生产区的服务器主机在必要时禁止ICMp协议。