新型利用DNS加密技术的病毒对蜜罐的安全带来了新的威胁。针对该问题,文中提出了一种基于SNI信息的加密恶意流量检测与防御的方案。首先利用HTTPS握手包中未加密的Server Name Indication信息,以该信息作为域名黑名单判断的要素,以判断...新型利用DNS加密技术的病毒对蜜罐的安全带来了新的威胁。针对该问题,文中提出了一种基于SNI信息的加密恶意流量检测与防御的方案。首先利用HTTPS握手包中未加密的Server Name Indication信息,以该信息作为域名黑名单判断的要素,以判断蜜罐对外连接是否为恶意连接。一旦发现为恶意SNI,就调用iptables阻断模块阻断对应IP地址的通信,以阻断该次连接。实验结果表明,该方法具有相比RST阻断方式更高的阻断率,并且在并发连接中也拥有不错的阻断效果。展开更多
文摘新型利用DNS加密技术的病毒对蜜罐的安全带来了新的威胁。针对该问题,文中提出了一种基于SNI信息的加密恶意流量检测与防御的方案。首先利用HTTPS握手包中未加密的Server Name Indication信息,以该信息作为域名黑名单判断的要素,以判断蜜罐对外连接是否为恶意连接。一旦发现为恶意SNI,就调用iptables阻断模块阻断对应IP地址的通信,以阻断该次连接。实验结果表明,该方法具有相比RST阻断方式更高的阻断率,并且在并发连接中也拥有不错的阻断效果。
