「攻防论道」浅谈聚铭网络iNFA系统隐蔽通道检测隐蔽通道是通过将特殊协议封装在常规协

隐蔽通道是通过将特殊协议封装在常规协议（例如DNS、ICMP、HTTP等）中进行数据传输的手段。
由于大部分防火墙和入侵检测设备很少会过滤常规协议，攻击者可以利用它实现诸如远程控制、文件传输等操作，隐蔽通道也经常在僵尸网络和APT攻击中扮演着重要的角色。
我们以ICMP隐蔽通道为例，据说ICMP隐蔽通道技术的产生是为了免费上网，手机网络并没有对ICMP数据包计费，所以可以通过ICMP隧道进行穿透（小道消息）。
文章插图
言归正传， ICMP包结构比较简单，有很多规律可循。
文章插图
例如对于windows系统， ICMP默认传输32bytes ，内容是abcdefghijklmnopqrstuvwabcdefghi ，共32bytes；
对于linux系统，就稍显复杂，默认Data传输的是48bytes ，在Date之前多了一个Timestamp from icmp data头。
ICMP隐蔽通道的原理就是替换Data部分，所以只要识别异常的数据载荷就能够识别icmp隐蔽通道。
聚铭网络流量智能分析审计系统（简称iNFA）采用基于机器学习的方法，识别ICMP隐蔽通道特征，准确识别隐蔽通道行为。
文章插图
【「攻防论道」浅谈聚铭网络iNFA系统隐蔽通道检测】通过在线数据包分析查看ICMP隐蔽通道的原始数据包，发现并确认该数据包是否存在问题。
文章插图
聚铭网络流量智能分析审计系统是全流量智能化审计专家，它以全流量还原为基础，结合了失陷分析、网络攻击检测、威胁情报分析、异常流量行为挖掘、文件检测、网络质量检测等技术，对全网流量实时进行威胁感知、可疑流量分析，为客户在高级威胁入侵之时，及时察觉，及时止损。
作为聚铭网络旗下重要的网络安全产品之一，聚铭网络流量智能分析系统已被广泛应用于电信、教育、能源、金融、军工、医疗、公安等众多行业领域，并受到了事企业客户以及业内人士的一致认可与好评。也欢迎更多对聚铭网络流量智能分析审计系统感兴趣的客户前来咨询了解，聚铭网络将竭诚为您服务~
聚铭网络流量智能分析与系统，让安全更简单!