0 added
0 removed
Original
2026-01-01
Modified
2026-03-10
1
<p>Теги: dpi, icmp, deep packet inspection</p>
1
<p>Теги: dpi, icmp, deep packet inspection</p>
2
<p>Мы уже писали про<a>ICMP-туннелирование</a>. Давайте рассмотрим этот вопрос в контексте безопасности и возможного наличия DPI ( Deep Packet Inspection).</p>
2
<p>Мы уже писали про<a>ICMP-туннелирование</a>. Давайте рассмотрим этот вопрос в контексте безопасности и возможного наличия DPI ( Deep Packet Inspection).</p>
3
<p>Как известно, при обычном анализе пакетов происходит считывание метаданных пакета (как правило, заголовков). Но когда речь идет о глубоком анализе пакетов посредством DPI, происходит просмотр содержимого пакета. То есть можно сказать, что DPI выполняет анализ полезной нагрузки, пытаясь понять, все ли с ней в порядке.</p>
3
<p>Как известно, при обычном анализе пакетов происходит считывание метаданных пакета (как правило, заголовков). Но когда речь идет о глубоком анализе пакетов посредством DPI, происходит просмотр содержимого пакета. То есть можно сказать, что DPI выполняет анализ полезной нагрузки, пытаясь понять, все ли с ней в порядке.</p>
4
<p>По факту<strong>DPI</strong>посредством отслеживания аномалий способен обнаружить ICMP-туннель, просмотрев для этого полезную нагрузку и увидев, что эта нагрузка отличается от ожидаемой. Следовательно, мы не сможем скрыть все параметры.</p>
4
<p>По факту<strong>DPI</strong>посредством отслеживания аномалий способен обнаружить ICMP-туннель, просмотрев для этого полезную нагрузку и увидев, что эта нагрузка отличается от ожидаемой. Следовательно, мы не сможем скрыть все параметры.</p>
5
<p>Раз дело обстоит именно таким образом,<strong>зачем вообще возиться с ICMP-туннелированием</strong>? На это есть ряд причин:</p>
5
<p>Раз дело обстоит именно таким образом,<strong>зачем вообще возиться с ICMP-туннелированием</strong>? На это есть ряд причин:</p>
6
<ul><li>Deep Packet Inspection встречается далеко не везде;</li>
6
<ul><li>Deep Packet Inspection встречается далеко не везде;</li>
7
<li>большая часть DPI-инструментов полагается на базу с сигнатурами, а если для ICMP-сообщений сигнатуры отсутствуют, то и обнаружить туннель не удастся;</li>
7
<li>большая часть DPI-инструментов полагается на базу с сигнатурами, а если для ICMP-сообщений сигнатуры отсутствуют, то и обнаружить туннель не удастся;</li>
8
<li>даже если в базе будет найдена подходящая сигнатура, то оператору еще надо будет настроить ее на работу в режиме "Active".</li>
8
<li>даже если в базе будет найдена подходящая сигнатура, то оператору еще надо будет настроить ее на работу в режиме "Active".</li>
9
</ul><p>Возникает справедливый вопрос, а почему он может ее не активировать? Причины следующие:</p>
9
</ul><p>Возникает справедливый вопрос, а почему он может ее не активировать? Причины следующие:</p>
10
<ul><li>для проверки каждой сигнатуры нужны ресурсы (по большей части речь идет о времени и процессоре), а это уже может замедлить сеть;</li>
10
<ul><li>для проверки каждой сигнатуры нужны ресурсы (по большей части речь идет о времени и процессоре), а это уже может замедлить сеть;</li>
11
<li>сама проверка сети может производиться посредством различных ping-сообщений с разным объемом полезной нагрузки (к примеру, ping -s 1234 8.8.8.8 отправит ping-сообщение, где размер полезной нагрузки будет 1234 байт), что делается в целях диагностики проблем, которые связаны с MTU. Ну а уже активация такой сигнатуры станет причиной множества ложных срабатываний, что уже будет раздражать команду мониторинга, в результате чего надежность сигнатуры снизится.</li>
11
<li>сама проверка сети может производиться посредством различных ping-сообщений с разным объемом полезной нагрузки (к примеру, ping -s 1234 8.8.8.8 отправит ping-сообщение, где размер полезной нагрузки будет 1234 байт), что делается в целях диагностики проблем, которые связаны с MTU. Ну а уже активация такой сигнатуры станет причиной множества ложных срабатываний, что уже будет раздражать команду мониторинга, в результате чего надежность сигнатуры снизится.</li>
12
</ul><p><em>Источник: https://infosecwriteups.com/ping-power-icmp-tunnel-31e2abb2aaea.</em></p>
12
</ul><p><em>Источник: https://infosecwriteups.com/ping-power-icmp-tunnel-31e2abb2aaea.</em></p>
13
13