＜网络安全＞《61 概念讲解＜第八课 TOR/隐秘隧道/DGA＞》

1 Tor

暗网，是指那些储存在网络数据库里、不能通过普通超链接访问而需要通过动态网页技术访问的资源集合，不属于那些可被标准搜索引擎索引的表面网络。有专家将互联网比作冰山，人们通常访问的网络只是露在水面上的部分，而在水面以下，还存在看不见的暗网。

开启暗网大门的常用钥匙是名为Ｔｏｒ的匿名代理工具。Ｔｏｒ是意为“洋葱路由”的几个英文单词的简称，形象地表示该工具像洋葱一样层层保护数据，用户使用该工具访问暗网时，其地址、身份、登录的网站都获得了隐匿。与之相应的是，暗网中网站的域名后缀也是ｏｎｉｏｎ，即“洋葱”这个英文单词。

Ｔｏｒ的发明者之一是美国海军研究实验室的数学家保罗·赛弗森，尽管他声称发明这个工具是为“诚实的人保护自己所需”，但由于该工具能让网络使用者的登录地址、身份、内容都被隐藏，由此发展起来的暗网成为逃避网络监管的安全场所，充斥着军火、毒品、色情和财务诈骗等非法交易。

2 C＆C

命令和控制指令

3 DNS隐秘隧道检测

僵死的主机会发起URL请求，比如域名为“Y3VyaW9zaXR5.example.com”，DNS服务器收到此请求后，将首先尝试在本地查找域扩展名“.com”，然后查找“example.com”，当在其数据库中无法找到“Y3VyaW9zaXR5.example.com”时，它将会向公网服务器发送请求，并询问它是否知晓这样的名称，作为回应“example.com”预计将返回相应的IP。值得注意的是，它可以返回任意字符串，包括C＆C（命令和控制）指令。

3.1 影响及危害

如果主机已中毒，攻击者可以利用DNS隧道控制主机对外发起DoS攻击，可能存在被网安、网信办通报的风险。
如果主机已中毒，攻击者可以利用DNS隧道对外传输敏感数据，导致客户信息泄露。

3.2 C&C控制

通过C&C服务器对受害主机进行操控，C&C服务器不仅可以收集被害主机的信息，如操作系统、应用软件和开放端口等，还可以向被害主机发送控制指令，指使它执行某些恶意行为。攻击者也可以将被害主机作为跳板，通过其感染更多网络内的主机，最终由C&C服务器进行统一控制。

4 ICMP

网际控制报文协议ICMP（Internet Control Message Protocol），是一种面向无连接协议，用于传输出错报告控制信息；

ping 和 tracert是两个常用网络管理命令，ping 用来测试网络可达性，tracert 用来显示到达目的主机的路径。ping和 tracert 都利用 ICMP 协议来实现网络功能，它们是把网络协议应用到日常网络管理的典型实例。

1. 由于IP协议数据传输天然存在不可靠、无连接等特点，为了解决数据传输出现的问题，引入了ICMP协议；
2. 这些控制消息并不传输用户数据，但是对于收集各种网络信息、诊断和排除各种网络故障以及用户数据的传递具有直观重要的作用；
3. 在数据传输的过程中，IP提供尽力而为的服务，为了把数据包发送到目的地址尽最大努力，它并不对目的主机是否收到数据包进行验证，无法进行流量控制和差错控制。因此在数据包传输过程中，产生各种错误在所难免，为了更有效的转发IP数据包，提供数据包交付成功寄回，ICMP应运而生。

5 DGA域名僵尸主机检测

算机网络实现了资源共享、即时通信和分布式计算，给人们的工作和生活带来了极大的便利。然而这些网络也会被恶意软件滥用，僵尸网络（botnet）就是典型例子。僵尸网络由大量受控主机即僵尸（bot）和一个或多个命令和控制C2（Command &Control）服务器构成，bot与C2服务器相互通信以便传递命令和数据。为避免C2服务器被发现，恶意软件设法采用规避技术来隐藏bot与C2服务器的通信行为，其中，域名生成算法DGA（Domain Generation Algorithm）就是一种实用技术。简单地说，攻击者利用DGA算法和种子（如时间、词典等）生成大量算法生成域名AGD（Algorithmically Generated Domain），然后只需要使用一个域名来进行C2通信，而防御者为了发现该域名，需要对所有AGD域名进行检测。基于这种攻防双方所需资源的不对称性，DGA技术被攻击者广泛使用。

DGA是一组算法机制，被各种恶意软件家族用来生成大量的伪随机域名。伪随机意味着字符串序列似乎是随机的，但由于其结构可以预先确定，因此可以重复产生和复制。

大多数随机生成的域名是不存在的，只有其中一小部分域名会被注册以供受控主机与C2服务器进行通信，从而获取信息或跟踪其他恶意任务。此外，当一个域名被成功阻止时，攻击者会从DGA生成的域名列表中注册其他域名。利用DGA域名进行攻击的原理如图1[1]所示。

攻击者通过DGA算法生成大量备选域名，受控端恶意软件运行同一套DGA算法，生成相同的备选域名列表，当进行攻击的时候，攻击者选择其中少量域名进行注册，受控端通过查询获取已注册域名后便可以与C2服务器建立连接，进行命令和数据传输。

5.1 基于深度学习的检测

深度学习也在DGA域名检测中有广泛的应用，循环神经网络（RNNs）、长短期记忆网络（LSTM）和卷积神经网络（CNN）都被应用到了DGA域名检测中。例如：文献[8]使用LSTM解决DGA域名和正常域名二分类、DGA家族多分类问题；文献[9]研究并开发了经典LSTM的变体，也用来进行二分类和多分类；文献[10]比较了RNN、LSTM、CNN和CNN-LSTM组合进行DGA二分类和多分类的效果。深度学习在二分类中表现出色，但在多分类中此类方法在精确度和召回率方面都取得了令人怀疑的结果。最后需要说明的是深度学习虽然可以提供很好的分类效果，但它们往往是过度拟合的，尤其是不透明的，缺乏透明度最终导致无法对算法进行微调，也无法解释结果背后的原因。

还值得一提的是，有研究使用深度学习算法进行特征提取，然后使用分类算法进行分类，例如文献[7]使用CNN生成特征，这些特征随后由决策树和随机森林分类器进行分类。

原文地址：https://blog.csdn.net/tangcoolcole/article/details/136323592

免责声明：本站文章内容转载自网络资源，如本站内容侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！