色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

0
  • 聊天消息
  • 系統(tǒng)消息
  • 評論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會員中心
創(chuàng)作中心

完善資料讓更多小伙伴認(rèn)識你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

華為安全大咖談 | 論道攻防第4期:內(nèi)網(wǎng)穿透之“借刀傷人”

華為數(shù)據(jù)通信 ? 來源:未知 ? 2023-08-22 19:30 ? 次閱讀



本期講解嘉賓





卷首語


“恩相明日奏仲淹為環(huán)慶路經(jīng)略招討使,以平元昊,這所謂借刀殺人。”


——明·汪廷訥《三祝記·造陷》



本文以三十六計勝戰(zhàn)計“借刀殺人”為切入點,深入剖析攻擊者在攻入內(nèi)網(wǎng)后,以受感染主機為跳板,通過代理轉(zhuǎn)發(fā)的方式悄然劫掠,攻擊其他內(nèi)網(wǎng)主機的技術(shù)手段。


瞄準(zhǔn)內(nèi)網(wǎng):潛襲之勢



“古人臨陣出奇,攻人不意,斯亦相變之法乎。”借刀殺人是奇襲之術(shù)中的獨特一環(huán),即審時度勢,洞悉對手特點,借力打力,在不知不覺中達成制勝目標(biāo)。


網(wǎng)絡(luò)安全領(lǐng)域,橫向滲透攻擊是一種針對企業(yè)內(nèi)部網(wǎng)絡(luò)的重要攻擊手段。攻擊者首先越過網(wǎng)絡(luò)外部防御層,入侵一個內(nèi)網(wǎng)主機。然后,在網(wǎng)絡(luò)中水平擴散,攻擊其他主機以獲取更高權(quán)限和更多敏感信息。其中,后滲透代理攻擊是橫向滲透攻擊的關(guān)鍵環(huán)節(jié)。攻擊者利用受感染主機作為代理,轉(zhuǎn)發(fā)攻擊流量,實現(xiàn)橫向滲透目標(biāo)。近年來,隨著復(fù)雜、隱蔽的后滲透代理工具不斷發(fā)展和企業(yè)數(shù)字化轉(zhuǎn)型加速,后滲透代理攻擊呈現(xiàn)出增長趨勢。


本文將以常用的代理工具frp為例,詳細描述攻擊者如何利用SOCKS協(xié)議,在單級和多級代理場景下,通過“借”代理主機之力,入侵內(nèi)網(wǎng)中的其他主機,實現(xiàn)后滲透代理攻擊。


暗刃出擊



01

SOCKS代理協(xié)議


SOCKS協(xié)議是一種常用的會話層代理協(xié)議,它位于TCP/IP協(xié)議棧之上。在使用TCP/IP協(xié)議進行通信的客戶端和目標(biāo)服務(wù)器之間,SOCKS協(xié)議扮演著中介的角色,負責(zé)將客戶端發(fā)出的請求轉(zhuǎn)發(fā)給目標(biāo)服務(wù)器。


三方之間的通信過程如下圖所示。客戶端和代理服務(wù)器之間建立SOCKS通信,代理服務(wù)器與目標(biāo)服務(wù)器之前建立TCP/IP連接,代理服務(wù)器作為中介,使客戶端和目標(biāo)服務(wù)器之間建立連接。



02

基于SOCKS協(xié)議的后滲透代理攻擊


下面我們以單級代理攻擊為例進行說明。攻擊者首先攻陷了代理主機(如圖中的WEB服務(wù)器),由于該服務(wù)器擁有內(nèi)網(wǎng)IP,攻擊者將其作為跳板,對內(nèi)網(wǎng)中的其他目標(biāo)主機(如圖中的內(nèi)網(wǎng)主機1)進行探測和掃描,并與之建立連接。這種通過一次代理就能與內(nèi)部主機建立連接的過程被稱為單級代理攻擊。


在實際網(wǎng)絡(luò)環(huán)境中,為了保障安全,企業(yè)通常會采用網(wǎng)絡(luò)隔離的方式,將重要數(shù)據(jù)隱藏在更深層次的內(nèi)部網(wǎng)絡(luò)中。這樣一來,僅通過一級代理就無法連接到承載數(shù)據(jù)的內(nèi)網(wǎng)主機。然而,如下圖所示,在這種情況下,攻擊者仍然可以利用已被感染的內(nèi)網(wǎng)主機1作為二級跳板,入侵內(nèi)網(wǎng)主機2。隨后,以類似方式入侵內(nèi)網(wǎng)主機3,實現(xiàn)對更深層次網(wǎng)絡(luò)的代理功能。這種攻擊方式被稱為多級代理攻擊。



03

后滲透代理攻擊及檢測示例


目前市面上常見的后滲透代理工具包括frp、Earthworm、Termite、Cobalt Strike、sSocks、xSocks和Metasploit Framework等。與其他工具相比,frp具有輕量級、代理速度快和及時更新等優(yōu)點。它支持TCPUDP和HTTPHTTPS等協(xié)議,并且為廣大攻擊者所用。在接下來的內(nèi)容中,本文將以frp工具為例,詳細講解后滲透代理的攻防過程。


a. “明”劍貫穿:面向明文流量的攻擊檢測方法


frp工具包括frp服務(wù)端程序和frp客戶端程序。下面是單級代理連接的示意圖。攻擊者在其用于實施攻擊的虛擬專用服務(wù)器(Virtual Private Server,VPS)上安裝了frp服務(wù)端程序,并在受感染的內(nèi)網(wǎng)主機上安裝了frp客戶端程序。如圖所示,攻擊者通過四個步驟實現(xiàn)了上述目標(biāo)。



i.攻擊者首先在VPS上修改配置文件frps.ini,例如監(jiān)測7000端口,然后運行frp服務(wù)端程序‘./frps -c ./frps.ini’。



ii. 在內(nèi)網(wǎng)主機上修改配置文件frpc.ini,配置VPS的地址和監(jiān)測端口,以及需要向外暴露的服務(wù)(如遠程控制等),然后運行frp客戶端程序‘./frps -c ./frps.ini’。



iii.內(nèi)網(wǎng)主機向VPS發(fā)送連接建立請求。下圖展示了Wireshark工具采集到的通信流量,其中包含了frp工具特有的明文字符串。這些字符串可以作為攻擊檢測的指紋特征。



iv.VPS對請求進行響應(yīng),將響應(yīng)內(nèi)容發(fā)送給內(nèi)網(wǎng)主機。類似地,在通信流量中也可以看到包含了frp指紋特征的數(shù)據(jù)。



華為網(wǎng)絡(luò)流量智能檢測方案利用龐大的簽名庫,能夠?qū)χ髁鞯暮鬂B透代理工具進行檢測。在2022年的攻防演練中,它成功檢測出了多起frp代理流量。下圖展示了通過簽名方法進行取證的示例。



b. 暗影“密”襲:面向加密流量的攻擊檢測方法


為了隱藏代理工具的特征,frp提供了使用TLS協(xié)議對代理流量內(nèi)容進行加密的功能。下圖展示了加密前和加密后的通信流量。



在加密前,流量中包含了version、hostname、os和arch等字符串。這些字符串被用于工具特征簽名。但是,在經(jīng)過加密后,上述字符串被轉(zhuǎn)換成了無規(guī)則字符。此時,在加密后的流量中已經(jīng)看不到工具的簽名特征了。攻擊者可以通過使用加密來躲避前文所述基于簽名庫的檢測方法。


華為網(wǎng)絡(luò)流量智能檢測方案能夠通過結(jié)合報文包長度序列等流量特征和人工智能檢測算法,實現(xiàn)對加密后滲透代理流量的檢測。其檢測框架圖如下所示。



該方案采用了基于時間動態(tài)規(guī)整的時序序列匹配算法,能夠?qū)υ邪L序列進行轉(zhuǎn)換。這樣一來,即使現(xiàn)網(wǎng)流量中增加或刪除了某些包長,系統(tǒng)仍然能夠檢測到后滲透代理工具流量。在2022年某大型國企的攻防演練中,華為網(wǎng)絡(luò)流量智能檢測方案獨家發(fā)現(xiàn)了加密的frp后滲透代理流量。下圖展示了針對加密frp流量的取證示例。



防御態(tài)勢



為了防范風(fēng)險,我們應(yīng)該未雨綢繆。針對后滲透代理攻擊,企業(yè)用戶可以部署漏洞掃描工具,并及時更新漏洞庫,以提前識別漏洞風(fēng)險并對主機進行安全強化。此外,還應(yīng)該雙管齊下地保護網(wǎng)絡(luò)安全。例如,可以安裝網(wǎng)絡(luò)流量分析設(shè)備,如華為Hisec Insight安全態(tài)勢感知系統(tǒng)。該系統(tǒng)擁有龐大的惡意流量簽名庫,能夠覆蓋主流的后滲透代理工具,并結(jié)合人工智能檢測算法引擎,高效識別明密文代理流量,讓“借刀”的攻擊者無處遁形。


往期精彩推薦





華為安全大咖談 | 論道攻防第3期:遠程控制之暗度陳倉


華為安全大咖談 | 論道攻防第2期:邊界突破之瞞天過海


華為安全大咖談 | 論道攻防第1期:攻防演練之三十六計——開篇

點擊“閱讀原文”,了解更多華為數(shù)據(jù)通信資訊!


原文標(biāo)題:華為安全大咖談 | 論道攻防第4期:內(nèi)網(wǎng)穿透之“借刀傷人”

文章出處:【微信公眾號:華為數(shù)據(jù)通信】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。

聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
  • 華為
    +關(guān)注

    關(guān)注

    216

    文章

    34411

    瀏覽量

    251508

原文標(biāo)題:華為安全大咖談 | 論道攻防第4期:內(nèi)網(wǎng)穿透之“借刀傷人”

文章出處:【微信號:Huawei_Fixed,微信公眾號:華為數(shù)據(jù)通信】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。

收藏 人收藏

    評論

    相關(guān)推薦

    內(nèi)網(wǎng)穿透詳解:從傳統(tǒng)方式到P2link的優(yōu)勢探討

    新興的 p2link技術(shù)為內(nèi)網(wǎng)穿透提供了更為高效、安全的解決方案。本文將為你詳細介紹內(nèi)網(wǎng)穿透的原理、傳統(tǒng)解決方案,并探討 P2link 在這
    的頭像 發(fā)表于 11-13 14:19 ?258次閱讀

    ElfBoard技術(shù)貼|如何完成FRP內(nèi)網(wǎng)穿透

    FRP(FastReverseProxy)是一款高效能的反向代理工具,專為解決內(nèi)網(wǎng)穿透問題而設(shè)計。它能夠?qū)?b class='flag-5'>內(nèi)網(wǎng)中的服務(wù)安全地暴露至公網(wǎng),讓外部用戶輕松實現(xiàn)遠程訪問。FRP支持TCP、U
    的頭像 發(fā)表于 11-08 13:30 ?270次閱讀
    ElfBoard技術(shù)貼|如何完成FRP<b class='flag-5'>內(nèi)網(wǎng)</b><b class='flag-5'>穿透</b>

    常見的內(nèi)網(wǎng)穿透工具對比

    國內(nèi)的內(nèi)網(wǎng)穿透工具有不少選擇,適合不同的使用場景和需求。以下是一些比較常見的國內(nèi)內(nèi)網(wǎng)穿透工具:
    的頭像 發(fā)表于 11-06 14:59 ?634次閱讀

    內(nèi)網(wǎng)穿透是什么?——用你家快遞的例子來告訴你

    你有沒有試過這樣的情況?家里網(wǎng)速很快,設(shè)備很多,但當(dāng)你想要在外面通過手機或者電腦遠程控制家里的電腦、NAS、攝像頭時,卻發(fā)現(xiàn)怎么都連不上?這就是因為你家里用的網(wǎng)絡(luò)屬于“內(nèi)網(wǎng)”,而你手機用的網(wǎng)絡(luò)屬于“外網(wǎng)”,它們像是兩個完全不同的小區(qū),沒法直接互相訪問。這時候,你需要一個“內(nèi)網(wǎng)
    的頭像 發(fā)表于 11-04 10:57 ?200次閱讀

    P2link——強大的內(nèi)網(wǎng)穿透和遠程訪問工具

    P2Link作為一款強大的內(nèi)網(wǎng)穿透和遠程訪問工具,可以幫助用戶輕松實現(xiàn)網(wǎng)絡(luò)連接和數(shù)據(jù)傳輸。特別適用于在復(fù)雜網(wǎng)絡(luò)環(huán)境中需要遠程訪問內(nèi)網(wǎng)資源的場景,如遠程辦公、設(shè)備管理和云服務(wù)等。
    的頭像 發(fā)表于 11-01 14:21 ?338次閱讀

    打破網(wǎng)絡(luò)邊界:P2Link助力實現(xiàn)高效遠程訪問與內(nèi)網(wǎng)穿透

    P2Link作為一種高效的內(nèi)網(wǎng)穿透解決方案,通過其強大的功能、簡單的配置和高效的傳輸技術(shù),幫助用戶打破了內(nèi)網(wǎng)與外網(wǎng)之間的界限。無論是遠程辦公、物聯(lián)網(wǎng)管理,還是智能家居控制,P2Link都能提供便捷
    的頭像 發(fā)表于 10-31 11:59 ?151次閱讀

    打破網(wǎng)絡(luò)邊界:P2Link助力實現(xiàn)高效遠程訪問與內(nèi)網(wǎng)穿透

    (網(wǎng)絡(luò)地址轉(zhuǎn)換)之后,使得外網(wǎng)設(shè)備難以直接對這些內(nèi)網(wǎng)設(shè)備進行訪問。此時,內(nèi)網(wǎng)穿透技術(shù)應(yīng)勢而生,而 P2Link 作為一種極為高效的內(nèi)網(wǎng)穿透
    發(fā)表于 10-31 11:54

    遠程桌面內(nèi)網(wǎng)穿透是什么?有什么作用?

    遠程桌面內(nèi)網(wǎng)穿透指的是通過特定技術(shù)手段,將處于內(nèi)網(wǎng)中的電腦或服務(wù)器,通過外部網(wǎng)絡(luò)(互聯(lián)網(wǎng))進行訪問。內(nèi)網(wǎng)穿透的主要作用是解決在
    的頭像 發(fā)表于 09-13 08:10 ?378次閱讀
    遠程桌面<b class='flag-5'>內(nèi)網(wǎng)</b><b class='flag-5'>穿透</b>是什么?有什么作用?

    這個組網(wǎng)、內(nèi)網(wǎng)穿透工具遠程連接是真的牛!

    這一局限,實現(xiàn)遠程連接與訪問,我們引入了內(nèi)網(wǎng)穿透這一技術(shù)手段。那么,內(nèi)網(wǎng)穿透究竟是什么呢? 內(nèi)網(wǎng)穿透
    的頭像 發(fā)表于 08-19 16:08 ?355次閱讀
    這個組網(wǎng)、<b class='flag-5'>內(nèi)網(wǎng)</b><b class='flag-5'>穿透</b>工具遠程連接是真的牛!

    內(nèi)網(wǎng)穿透延遲高怎么解決

    內(nèi)網(wǎng)穿透延遲高的問題可以通過以下幾個步驟進行解決: 1、優(yōu)化網(wǎng)絡(luò)環(huán)境: 確保網(wǎng)絡(luò)連接穩(wěn)定,通過檢查網(wǎng)絡(luò)設(shè)備、路由器、交換機等硬件設(shè)備的狀態(tài)和工作性能,排除潛在的故障。 增加傳輸帶寬,特別是出口帶寬
    的頭像 發(fā)表于 06-07 12:00 ?509次閱讀

    紅隊攻防快速打點

    打點的效果常常不盡如人意。 在打點階段快人一步、率先進入內(nèi)網(wǎng)并獲得更高的分?jǐn)?shù)對于紅隊來說非常關(guān)鍵。在攻防比賽中,打點的質(zhì)量和效率直接影響著整個紅隊的表現(xiàn)和成績。那么如何能提高打點的質(zhì)量呢? 01 打點 打點的好壞取決
    的頭像 發(fā)表于 05-27 10:20 ?248次閱讀
    紅隊<b class='flag-5'>攻防</b><b class='flag-5'>之</b>快速打點

    紅隊攻防JS攻防

    傳遞的參數(shù)加密了事,忽略很多系統(tǒng)本身存在的安全風(fēng)險。本文以實戰(zhàn)角度出發(fā),介紹面對這種前端加密情況下的攻防技巧。 ? 測 試 思 路 常見的JavaScript逆向相關(guān)的技巧,包括瀏覽器調(diào)試、Hook、AST、無限D(zhuǎn)ebugger的繞過以及模擬調(diào)用Ja
    的頭像 發(fā)表于 05-27 10:16 ?212次閱讀
    紅隊<b class='flag-5'>攻防</b><b class='flag-5'>之</b>JS<b class='flag-5'>攻防</b>

    綠聯(lián)NAS DXP系列發(fā)布:內(nèi)網(wǎng)穿透技術(shù)在私有云的應(yīng)用分析

    對于NAS私有云來說,內(nèi)外穿透會在不同網(wǎng)絡(luò)環(huán)境(如內(nèi)網(wǎng)和外網(wǎng))之間實現(xiàn)數(shù)據(jù)訪問和共享的能力,在這個背景下,內(nèi)外穿透技術(shù)對于NAS私有云來說可能具有以下潛在應(yīng)用
    的頭像 發(fā)表于 05-24 12:06 ?388次閱讀
    綠聯(lián)NAS DXP系列發(fā)布:<b class='flag-5'>內(nèi)網(wǎng)</b><b class='flag-5'>穿透</b>技術(shù)在私有云的應(yīng)用分析

    使用cpolar內(nèi)網(wǎng)穿透本地MariaDB數(shù)據(jù)庫

    本篇教程將使用cpolar內(nèi)網(wǎng)穿透本地MariaDB數(shù)據(jù)庫,并實現(xiàn)在外公網(wǎng)環(huán)境下使用navicat圖形化工具遠程連接本地內(nèi)網(wǎng)的MariaDB數(shù)據(jù)庫。
    的頭像 發(fā)表于 01-22 10:28 ?605次閱讀
    使用cpolar<b class='flag-5'>內(nèi)網(wǎng)</b><b class='flag-5'>穿透</b>本地MariaDB數(shù)據(jù)庫

    內(nèi)網(wǎng)穿透工具FRP的快速入門

    在計算機網(wǎng)絡(luò)中,內(nèi)網(wǎng)穿透是一種通過公網(wǎng)建立安全通道,使得位于內(nèi)網(wǎng)的計算機和服務(wù)可以被外部網(wǎng)絡(luò)訪問。對程序員而言,內(nèi)網(wǎng)
    的頭像 發(fā)表于 01-02 11:47 ?650次閱讀
    主站蜘蛛池模板: 在线播放无码字幕亚洲| younv 学生国产在线视频| 国产免费怕怕免费视频观看| 暖暖日本手机免费完整版在线观看| 午夜噜噜噜私人影院在线播放| av影音先锋天堂网| 久久久久免费视频| 亚洲 欧美 国产 视频二区| YY6080A旧里番在线观看| 久久天堂网| 亚洲欧洲免费三级网站| 国产WW久久久久久久久久| 欧美高清另类video| 最近中文字幕在线中文视频| 幻女FREE性俄罗斯学生| 脱女学小内内摸出水网站免费 | 在线高清视频不卡无码| 国产麻豆精品传媒AV国产在线| 日本无修肉动漫在线观看| a级毛片高清免费视频| 旧里番ovaの催○セイ活指导| 亚洲女人网| 国产偷抇久久精品A片蜜臀AV| 手机在线观看毛片| 成人18视频在线观看| 欧美亚洲国产手机在线有码| 91欧美秘密入口| 老女老肥熟国产在线视频| 伊人久久中文| 久久re视频这里精品青| 亚洲欧洲日本天天堂在线观看| 国产亚洲视频精彩在线播放| 污污内射在线观看一区二区少妇| 超碰免费视频在线观看| 青青草国产精品久久| YELLOW日本免费观看播放| 欧美日韩无套内射另类| a久久99精品久久久久久蜜芽| 男女床上黄色| 99热久久这里只有精品视频| 暖暖高清视频免费|