隐蔽隧道:网络的阴暗面
网络技术的发展让我们的生活变得更加便利高效,然而看似平静的网络下,实则暗流涌动,互联网不仅为我们带来了便利,也带来了威胁。黑客、网络犯罪、恶意软件等威胁层出不穷,不断地挑战着网络安全的底线。而今天我们要说的,是一种特殊的网络威胁——隐蔽隧道。
隐蔽隧道指通过各种技术手段将数据流量隐藏在常规网络流量中,以绕过安全设备和监管,从而实现网络穿透、恶意攻击或数据窃取等目的的行为。
隐蔽隧道的类型及危害
隐蔽隧道最为常见的用途可以分为以下三类:
1
病毒建立的隐蔽隧道
利用病毒等恶意软件,在受感染的计算机上建立隐蔽的通道,从而控制受感染的计算机、窃取数据、进行勒索等。
2
违规建立的数据外传隧道
企业或组织内部违规建立的隐蔽通道,将内部的敏感信息和数据传输到外部服务器或互联网上,导致敏感信息泄露。
3
非法网络穿透
使用各种技术手段,规避国家网络监管,突破IP封锁、内容过滤、域名劫持、流量限制等,非法访问境外网站的行为。网络穿透是一种违反国家法律和监管政策的行为,也容易被攻击者利用来进行恶意攻击和违法犯罪活动。
这些隐蔽隧道技术的出现,一方面触犯了相关的法律法规,另一方面也让攻击者有了更隐蔽的途径来窃取信息、攻击网络和盗窃财产,侧面助长了互联网黑灰色产业链的犯罪行为,对个人和组织的信息安全和财产安全构成了严重的威胁。因此,需要加强对隐蔽隧道的防范和管控,保护网络的安全和稳定,从而维护社会公共安全和市场经济秩序。
隐蔽隧道发现的难点
之所以开头说隐蔽隧道是一种特殊的网络威胁,是因为隐蔽隧道的发现是一个复杂的过程,它面临着多种技术难点和挑战。
隐蔽隧道,正如其名,匿影藏形在正常流量之中,通常使用各种协议、端口、加密算法等方式来进行伪装,传统安全设备难以发现。此外,隧道的设计者还会不断优化和改进隧道技术,以避免被发现与拦截。
隐蔽隧道的发现之所以困难,究其原因,是因为传统的安全产品,坚持的安全理念是“抓坏人”。就像在一栋大楼门口,安排多名保安,凡是进出门口的人员必须经过保安检查,凡是黑名单上的人不允许通过。然而黑名单的模式总有死角和滞后性,隐蔽隧道的伪装和动态更新,会让这种靠病毒库“抓坏人”的方法显得捉襟见肘。
即便面临诸多挑战,但知难不难,隐蔽隧道的发现仍然有迹可循。
我们的建议
1
对国内的隐蔽隧道,保持协议和工具识别。这部分主要通过DPI技术实现,针对敏感的协议与应用,及时更新识别特征库。
2
对国内所有会话,保持会话溯源能力。这里关注的是所有会话,而不仅仅是HTTP、DNS、隧道协议、远程控制等常用网络协议。
3
对国际方向流量,建议采取全数据包留存,同时使用复杂的模型进行隐蔽隧道发现。
其中,1和2可以通过Panalog来实现,实现基于DPI的全量日志留存,便于针对隐蔽隧道进行会话级别的分析与溯源。第3点则需要NTM来实现,在我们今日发布的NTM新版本中,针对“敏感应用”功能进行了全面优化,同时增加了“网络穿透”功能,能够有效帮助大家对隐蔽隧道进行监测。
NTM的隐蔽隧道发现
新版本NTM的“敏感应用”模块,我们重新对敏感应用进行分类,并实现实时分析与历史数据回溯。
实时概况
历史诊断
敏感应用具体的分类如下:
敏感协议类:Telnet、SSH、SSL、Socks4/5、ISAKMP 等
VPN协议类:PPTP、L2TP、GRE、IPSec 等
VPN应用类:OpenVPN、V2ray、DroidVPN、Wireguard、FastVPN 等
远程控制类:向日葵、TeamViewer、PCAnyWhere 等
代理应用类:花生壳、FRP、ShadowSocks-R、SocksOnline 等
基于DPI的分析能力,对敏感应用/协议的流量识别,这是监测的第一步;更重要的是,在识别的基础上,引入AI流量分析模型进行分析。这就需要用到我们的另一个功能模块——“网络穿透”*。
*注:标准版(免费版)不支持该功能。
系统目前内置十种模型,后续将不断迭代和增加。用户可以根据自己的需求,选择自己所需的分析模型进行监测。
流量模型
开启监测后,NTM能够对命中模型的流量进行分析和溯源。
01 实时概况
针对网内疑似的穿透行为进行实时总览,快速筛选出高疑似度IP。
02 历史概况
针对网内疑似的穿透行为进行溯源回查,快速筛选出高疑似度IP。
03 详细会话
详细展示疑似行为的具体会话,并提供原始数据包做进一步分析,帮助判断是否存在异常。
通过DPI+AI流量模型,NTM能够快速锁定需要重点关注的数据,监测更高效;另一方面,通过会话与原始数据的留存,可以帮助实现隐蔽隧道行为的溯源。
道高一尺,魔高一丈,不管怎么说,隐蔽隧道的发现仍然是一件极为困难的事情。我们也将在之后不断保持对相关应用协议的识别,并不断优化与丰富流量分析模型,加强对隐蔽隧道的了解和应对,构建一个更加安全稳定的网络环境。
其他功能更新
除了对隐蔽隧道的分析和溯源,新版本还为大家带来了干货满满的更新。
Part.1
登录方式
登录系统方式增加LDAP, RADIUS认证,需要预配置。LDAP与RADIUS方式可同时开启。
Part.2
系统检测
增加PING监测功能,可选择不同接口线路,针对目标IP地址持续PING监测,以确定不同线路或网络的质量,并可以设置告警。
Part.3
主机监控
新增CSV导入主机列表的功能。
Part.4
证书分析
全面优化证书分析功能与页面,针对证书进行分类分析统计,展示其实时与历史概况,以及历史会话查询。
Part.5
行为审计
合并新增“行为审计”模块,并更新HTTPS审计、DNS审计。
HTTPS审计
DNS审计
Part.6
MAC分析
统计MAC地址的包数与流量大小。
Part.7
数据包查询
数据包查询页面,支持设置查询数据包的个数,默认显示前100个数据包。
下载地址
访问Panabit官网下载中心获取:
https://www.panabit.com/download
下载升级时请注意选择正确的操作系统(FreeBSD/Linux)与版本(标准版/专业版)。
基于AX50平台打造的新产品已上架京东Panabit官方旗舰店并长期供应中,一体包打满足以下功能需求:分与支总部间组网,路由,负载,流控,上行网为管理,SD-WAN,威胁情报,AC(WiFi控制器),网络故络障定位,视会频议卡顿,公安151号日令志留存计审法规要求,挖风矿险等问题…
详情可扫描图中二维码进行了解~
解决方案&销售咨询
联系我们
更多精彩: