普遍的網絡流量加密阻礙深度包檢測，但仍有方法可以檢測并阻止很多攻擊。

[[261227]]

多年來安全專家一直在敦促用戶加密所有網絡流量。他們的觀點是：讓安全配置成為默認配置是很明顯的好辦法。實現(xiàn)加密的標準和產品都已經非常成熟，沒有理由不這么做!

然而，事情不完全是這樣。但凡工程，總有各種利弊權衡，加密流量也不例外。其中一大弊端就是安全人員和監(jiān)視系統(tǒng)也看不透你的網絡流量了。你該如何檢查網絡流量以查找惡意程序和有問題的內容呢?

簡單粗暴地回答的話，答案就是你沒法用深度包檢測找出攻擊了。更負責任一點的話呢，你可以在執(zhí)行加解密的終端上檢測流量，從網絡流量元數(shù)據(jù)中獲悉各種信息，流量包頭中的信息能告訴你數(shù)據(jù)包的源頭和目的地。

思科《加密流量分析白皮書》指出，2015年加密流量占比21%，2016年占比40%，一年時間幾乎翻了一倍。由于微軟Exchange之類企業(yè)產品趨于默認加密所有流量，企業(yè)內部流量加密的占比無疑在飛速提升。

任何像樣的主機或網絡入侵檢測系統(tǒng)(IDS/IPS)都會執(zhí)行網絡分析，在合法加密流量海洋中查找惡意流量。但深入了解工具運行機制和自身流量特性沒什么壞處。微軟Office數(shù)據(jù)文件中支持的應用級加密，惡意黑客用來偷渡數(shù)據(jù)的隱寫術之類混淆技術不是這篇文章討論的內容。本文要講述的，是你可以對協(xié)議級加密做些什么。

1. 使用網絡異常檢測工具

如果不能觀測實際包內容，就得監(jiān)視流量找出網絡異常。那么，異常網絡行為有哪些特征呢?想知道這一點，你得弄清楚正常行為的構成。比如說，通常不互聯(lián)的主機之間出現(xiàn)的連接，無論是內部主機互聯(lián)，還是內部主機與未知外部系統(tǒng)相連，都是值得懷疑的。

TCP/UDP端口的非正常使用也是值得監(jiān)視的一種行為?？稍贒ave端口列表上查看知名端口和不那么知名的端口。不僅僅是非正常端口的使用，還要看正常端口是否被非正常應用使用，比如為傳輸層安全(TLS)保留的443端口有沒有用于傳輸明文流量。

這些任務太過瑣碎，不適合人工處理，有很多安全產品都嘗試檢測網絡行為異常，包括IBM的QRadar、Juniper Sky Advanced Threat Protection，甚至還有開源的Snort IPS。最高級的產品，比如思科的 Encrypted Traffic Analytics，將監(jiān)視與情報服務集成，跟蹤全球系統(tǒng)中的異常行為。

需要挖掘流量審查細節(jié)的時候，可以借助網絡分析工具。Wireshark是最基本的，但Fiddler更適用于HTTP/HTTPS流量分析。Fiddler作者 Eric Lawrence 寫的一篇文章闡述了怎樣通過元數(shù)據(jù)及其他辦法檢查TLS流量。

另一個有趣的工具集是來自Salesforce的JA3和JA3S。該工具集可捕獲TLS連接特征，暴露出此類通信及連接使用方TLS實現(xiàn)的更多細節(jié)。

2. 使用SSL/TLS代理服務器

使用安全套接字層(SSL)/TLS代理服務器能很大程度上令加密流量可審查。包括加密通信在內的所有通信都要經過代理服務器，代理服務器在一端接受加密連接，解密流量，執(zhí)行某些操作，然后重新加密并發(fā)送流量到目的地址。代理服務器執(zhí)行的操作中就可以包含安全操作，比如惡意軟件掃描和阻止禁用站點。很多第三方安全產品都可以用作SSL/TLS代理。

此類代理服務器給已經很復雜的網絡配置又添了一層復雜度。雖然可以通過緩存加速流量，但也存在拖慢流量的可能性。2017年，美國國土安全部(DHS)計算機應急響應小組(CERT)協(xié)調中心曾發(fā)出一條警報，稱很多此類產品未進行恰當?shù)淖C書驗證，或者轉發(fā)錯誤情況。很多安全專家，比如卡耐基梅隆大型的 Will Dormann，辯稱SSL檢查反而會引入更多風險。

3. 準備應對非TLS加密

網絡包層級上的流量合法加密通常由SSL/TLS實現(xiàn)。但你可能遇到其他加密協(xié)議。有些是合法的，有些則不應該出現(xiàn)在你的網絡上。

其中最為模棱兩可的協(xié)議就是Secure Shell (SSH)。很多管理和開發(fā)工作都通過SSH完成。問題在于，壞人也會用SSH。你不可能全面禁用SSH，總得為特定網絡段和特定用戶放行SSH。所以，不符合合法規(guī)程的SSH流量必須要在審查范圍內。

如果使用Windows終端，那網絡上就會出現(xiàn)很多Windows終端服務器用的遠程桌面協(xié)議(RDP)和Citrix服務器用的獨立計算架構(ICA)。這些都是加密協(xié)議，通常使用TLS，但也可能在不同的TCP端口上，展現(xiàn)其他的差異。公司應設專人控制這些終端，具備審查其行為的能力。

更隱蔽的是基于用戶數(shù)據(jù)報協(xié)議(UDP)的快速UDP互聯(lián)網連接(QUIC)，這是TLS的低延遲版替代品。HTTP/3標準納入了QUIC，但其基于UDP的特性限制了其應用。舉個例子，防火墻通常全面阻止UDP入站。這仍是相當前沿的問題，你可能根本看不到。

至于暗網所用的Tor，因為采用多層嵌套加密，除非有額外的隱私需求，普通用戶完全有理由封禁。

TLS的好處在于身份驗證、加密和消息完整性，這是無可否認的。所有這些加密使一些合法的安全實踐變得更加困難，但這點困難并不足以讓你的流量保持不加密狀態(tài)裸奔。無論是通過元數(shù)據(jù)，還是在終端檢查，依然有很多工具可以保護你的用戶和網絡。

• 思科《加密流量分析白皮書》：https://www.cisco.com/c/dam/en/us/solutions/collateral/enterprise-networks/enterprise-network-security/nb-09-encrytd-traf-anlytcs-wp-cte-en.pdf
• Dave端口列表：http://lists.thedatalist.com/portlist/portlist.php
• Fiddler作者 Eric Lawrence 的文章：https://textslashplain.com/2018/02/14/understanding-the-limitations-of-https/
• JA3和JA3S：https://engineering.salesforce.com/tls-fingerprinting-with-ja3-and-ja3s-247362855967

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文