摘要:
常规的ICMP 包大小差不多一致,在为ASCII字符串“abc…”的情况下为74左右,在为ASCII字符串为“123456…”的情况下为98左右。而在使用ICMP Tunnel的情况下,如利用`ICMP tunnel`进行SSH连接,在初始连接的状态下数据包大小能到达1500+以上。所以可以通过数据包大小来进行判断。 阅读全文
常规的ICMP 包大小差不多一致,在为ASCII字符串“abc…”的情况下为74左右,在为ASCII字符串为“123456…”的情况下为98左右。而在使用ICMP Tunnel的情况下,如利用`ICMP tunnel`进行SSH连接,在初始连接的状态下数据包大小能到达1500+以上。所以可以通过数据包大小来进行判断。 阅读全文
摘要:
走53端口,但非标准的`DNS协议`。
>
> 针对使用标准的53端口,非DNS协议内的分析。称之为隐秘信道,分析方法是将UDP协议会话日志中的53端口过滤出来,然后过滤掉`DNS协议`。
>
> 将UDP会话日志导出,利用Excel进行处理。过滤掉DNS协议的会话,剩下的皆为非DNS协议的会话。 阅读全文
走53端口,但非标准的`DNS协议`。
>
> 针对使用标准的53端口,非DNS协议内的分析。称之为隐秘信道,分析方法是将UDP协议会话日志中的53端口过滤出来,然后过滤掉`DNS协议`。
>
> 将UDP会话日志导出,利用Excel进行处理。过滤掉DNS协议的会话,剩下的皆为非DNS协议的会话。 阅读全文