banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Có cách nào phát hiện httptunnel không?  XML
  [Question]   Có cách nào phát hiện httptunnel không? 22/08/2008 03:19:14 (+0700) | #1 | 148088
[Avatar]
LQV0604
Elite Member

[Minus]    0    [Plus]
Joined: 29/12/2003 14:54:13
Messages: 59
Offline
[Profile] [PM]
Nếu mạng dùng ISA Server, chặn không cho gửi file > 200kb.
Có cách nào để phát hiện ra ai đang sử dụng httptunnel để gửi file ra ngoài không?
Xin mọi người chỉ giúp
[Up] [Print Copy]
  [Question]   Có cách nào phát hiện httptunnel không? 22/08/2008 03:42:57 (+0700) | #2 | 148093
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

LQV0604 wrote:
Nếu mạng dùng ISA Server, chặn không cho gửi file > 200kb.
Có cách nào để phát hiện ra ai đang sử dụng httptunnel để gửi file ra ngoài không?
Xin mọi người chỉ giúp 


Em có thể nhận dạng được loại httptunnel nào được dùng không?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Có cách nào phát hiện httptunnel không? 22/08/2008 12:16:57 (+0700) | #3 | 148156
[Avatar]
LQV0604
Elite Member

[Minus]    0    [Plus]
Joined: 29/12/2003 14:54:13
Messages: 59
Offline
[Profile] [PM]
Nếu như user sử dụng một loại tunnel mà toàn bộ các thông tin được mã hóa và đóng gói trong payload, không để dấu vết gì trong header (chẳng hạn method connect) thì em nghĩ chưa ra cách phát hiện.
[Up] [Print Copy]
  [Question]   Re: Có cách nào phát hiện httptunnel không? 22/08/2008 19:32:58 (+0700) | #4 | 148170
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

LQV0604 wrote:
Nếu như user sử dụng một loại tunnel mà toàn bộ các thông tin được mã hóa và đóng gói trong payload, không để dấu vết gì trong header (chẳng hạn method connect) thì em nghĩ chưa ra cách phát hiện.  


Đây là dạng tunnel khó chộp nhất và mất thời gian để tìm hiểu và ngăn nó nhất. Một httptunnel thường có 2 đầu: client và server. Phía client connect đến server như một http request bình thường để thiết lập tunnel. Điểm tối quan trọng là xét ngay ở cú request này. Có những dạng GET request decoy theo kiểu: http://ahttptunnelserver.com/index.php?connect=1 chẳng hạn và sau đó là hàng loạt POST (vì nó chứa payload cho tunnel). Đây là dấu hiệu đặc thù để sniff hoặc log để theo dõi và giới hạn lại biên độ tìm kiếm.

Ngoài ra, ISA theo mặc định cho phép hầu hết các HTTP method được dùng, kể cả HTTP CONNECT. Đây là phương tiện để các httptunnel thông thường được thiết lập. Disable cái này trên ISA sẽ hạn chế một số lượng lớn tunnel được tạo ra.

Thân.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Có cách nào phát hiện httptunnel không? 23/08/2008 00:25:32 (+0700) | #5 | 148210
[Avatar]
LQV0604
Elite Member

[Minus]    0    [Plus]
Joined: 29/12/2003 14:54:13
Messages: 59
Offline
[Profile] [PM]
Cám ơn anh Conmale. Quả thật khó để chặn trường hợp này.
Chắc chỉ có cách áp dụng chính sách policy để phòng ngừa thôi
[Up] [Print Copy]
  [Question]   Re: Có cách nào phát hiện httptunnel không? 23/08/2008 03:55:03 (+0700) | #6 | 148242
[Avatar]
lQ
Moderator

Joined: 29/03/2005 17:06:20
Messages: 494
Offline
[Profile] [PM]
sao lại khó? LQV0604 đọc lại đoạn cuối của anh conmale xem thế nào.
[Up] [Print Copy]
  [Question]   Re: Có cách nào phát hiện httptunnel không? 23/08/2008 06:04:48 (+0700) | #7 | 148260
[Avatar]
LQV0604
Elite Member

[Minus]    0    [Plus]
Joined: 29/12/2003 14:54:13
Messages: 59
Offline
[Profile] [PM]
Ý mình là loại http tunnel mã hóa hoàn toàn trong payload.
[Up] [Print Copy]
  [Question]   Re: Có cách nào phát hiện httptunnel không? 23/08/2008 06:53:32 (+0700) | #8 | 148267
[Avatar]
lQ
Moderator

Joined: 29/03/2005 17:06:20
Messages: 494
Offline
[Profile] [PM]
Thử chặn tất cả các HTTP method CONNECT rồi hẵng tính tiếp.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|