上面说过，正常走80端口的数据包应该是web行为，那么就数据包中就应该少不了get等正常的动作内容，如果在80端口经过的数据总是没有这些东东，那么就肯定有问题了，

　　那么这种问题就有了一种解决方案，就是手工检查通过80端口通过的数据包，如果数据包是明文传送，那么就很容易发现这种行为。但这种行为也只能在理论上可行。在实际上的操作是不可能的，有没有比较成熟的这种产品呢?按照这个思路检索网上的数据，果然发现有种入侵检测e-Gap系统可以确实察觉及屏蔽 httptunnel等通道软件的存在，它工作在tcp/ip的应用层，在应用层一级检测数据包的确切性，比如，检测80端口的数据包，如果看起来数据包中总是没有有效的数据(URL,get,put等参数)，那么e-Gap系统就会报警，并中断连接行为。

　　需要注意的是，这种侦测方法仅对明文传送的有效，如果数据被加密，那么也就无计可施了。那么再进一步，如果加密了呢?目前作者掌握的情况来看， StealthWatch硬件产品可能是一种比较好的选择，它完全摈弃了基于签名的工作模式，而是采用一种正在申请专利的基于flow-base构架策略，按照几家评测实验室的结果来看，可以有效的察觉已经公开和未公开的各种攻击，Dos，蠕虫，病毒等，甚至包括加密的通讯!但是，它的价钱也远远的超出了普通的商用IDS系统，一套齐备的设施需4万美元!具体效果作者目前没有条件测试。

　　总结

　　在我们的试验中，httptunnel同时逃过了防火墙的屏蔽以及入侵检测系统的追踪，这是值得思考的。我们可以看到，网络安全仅仅依靠某种或某几种手段是不可靠的，尤其是对安全性要求很高的应用系统，同时对安全系统的盲目依赖往往会造成巨大的安全隐患

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9]