Multitun es un túnel que cifra las conexiones y las envía de forma masiva a través de un socket web, que es un estándar web. Por lo tanto, los firewalls que aseguran que el protocolo esperado se ejecute en el puerto permitido, lo pasarán como compatibles con HTML. ¿Hay algo que un cortafuegos o sistema de filtrado pueda hacer para detectar este tipo de túnel, que se adhiere a los estándares y utiliza un protocolo generalmente permitido por la organización? ¿Es posible detectar algo así?
La detección de este tipo de túneles es un poco difícil, ya que utilizan un protocolo bien conocido que generalmente se permite a través de los cortafuegos. La detección de este tipo de túneles requiere técnicas de aprendizaje automático, pero existe la posibilidad de obtener FP.
Identificación de la herramienta:
Hay varias herramientas que canalizan datos a través de protocolos bien conocidos como iodine, dnscat, ptunnel. La toma de huellas dactilares de esta herramienta es una idea para detectar el túnel. La detección de estas herramientas requiere el conocimiento de los protocolos para las referencias de RFC, aprender cada aspecto del protocolo y aplicarlo para detectar el túnel. Ahora cree un entorno con esta herramienta y capture el tráfico utilizando cualquier herramienta etérea (wireshark, tcpdump, etc.) y analice el tráfico. Definitivamente encontrarás algunos patrones que serán únicos para la herramienta. Lo digo porque detecté las herramientas mencionadas anteriormente y más usando este método porque escribir código de aprendizaje automático requiere más esfuerzos.
El inconveniente de detectar un túnel utilizando un patrón es que debe verificar las actualizaciones cuando haya alguna para la herramienta, pero lo que he visto es que el patrón siempre es el mismo para todas las herramientas.
Lea otras preguntas en las etiquetas tunneling