协议分析仪能够检测多种类型的隧道攻击,主要通过分析网络流量中的协议特征、数据包结构及行为模式来识别异常通信,以下是一些常见的可检测隧道攻击类型及其检测原理:
1. ICMP隧道攻击
- 攻击原理:攻击者利用ICMP协议(如ping请求/应答)的Data字段封装TCP/UDP数据,绕过防火墙对常规端口的封锁,实现隐蔽通信。
- 检测特征:
- 数据包数量异常:正常ping每秒最多发送2个包,而ICMP隧道会持续发送大量包。
- Payload大小异常:正常ping的Payload固定(Windows为32字节,Linux为48字节),而隧道攻击的Payload可能任意大小(如>64字节)。
- 内容不一致:正常ping的请求与响应Payload相同,隧道攻击的Payload可能不同或包含加密数据。
- 特殊标记:部分工具(如icmptunnel)会在Payload前添加
TUNL标记。
- 检测方法:协议分析仪通过统计数据包频率、分析Payload长度及内容,结合规则匹配(如检测
TUNL标记)识别攻击。
2. DNS隧道攻击
- 攻击原理:攻击者将恶意数据封装在DNS查询或响应的域名部分,利用DNS协议的开放性绕过防火墙。
- 检测特征:
- 域名长度异常:正常DNS域名遵循RFC规范(子域≤63字符,总长度≤253字符),而隧道攻击的域名可能超长或随机生成。
- 查询频率异常:短时间内大量DNS查询请求,可能包含随机子域名。
- Payload编码:域名部分可能使用Base64或Hex编码传输数据。
- 检测方法:协议分析仪通过监测DNS查询长度、频率及域名结构,结合编码检测算法(如识别非标准字符集)发现异常。
3. HTTP/HTTPS隧道攻击
- 攻击原理:攻击者将恶意流量隐藏在HTTP请求的头部(如Cookie、User-Agent)或载荷中,利用HTTP协议的普遍性绕过检测。
- 检测特征:
- 头部字段异常:Cookie或User-Agent字段包含非标准字符或过长内容。
- 载荷加密:HTTPS隧道可能使用自签名证书或非标准加密算法。
- 行为模式:频繁连接非常用URL或重复发送相似请求。
- 检测方法:协议分析仪通过深度包检测(DPI)解析HTTP头部,结合SSL/TLS握手分析识别异常加密流量。
4. RDP隧道攻击
- 攻击原理:攻击者利用RDP协议(远程桌面协议)的端口转发功能,将内部服务暴露到外部网络。
- 检测特征:
- 非标准端口:RDP默认使用3389端口,隧道攻击可能使用其他端口。
- 异常登录行为:短时间内多次失败登录尝试或非常规时段登录。
- 检测方法:协议分析仪通过流量统计识别非标准端口RDP流量,结合登录日志分析异常行为。
5. 自定义协议隧道攻击
- 攻击原理:攻击者设计专用协议或利用小众协议(如CoAP、MQTT)构建隧道,规避常规检测。
- 检测特征:
- 非常规端口:使用非标准端口通信。
- 协议字段异常:保留字段或标志位被错误使用(如CoAP的Message ID重复)。
- 检测方法:协议分析仪通过协议解码验证字段合规性,结合流量基线分析识别异常通信模式。
协议分析仪的核心检测技术
实时流量捕获与解码:
协议分析仪(如Wireshark、Keysight、Tektronix产品)可实时捕获网络流量,并解码ICMP、DNS、HTTP等协议字段,提取关键特征(如Payload长度、域名结构)。
行为分析与统计:
- 频率分析:统计单位时间内ICMP/DNS请求数量,识别突发流量。
- 基线对比:建立正常流量基线(如DNS查询长度分布),检测偏离基线的异常行为。
规则匹配与告警:
基于已知攻击特征(如TUNL标记、超长域名)配置检测规则,触发实时告警并记录攻击源IP、时间戳等证据。
深度包检测(DPI):
对HTTP/HTTPS流量进行内容解析,检测隐藏在头部或载荷中的恶意数据。
