端口转发工具如EarthWorm的检测与防御措施
摘要:# 端口转发工具别乱用,当心你的内网变成“公共厕所” 那天下午,我在一个客户现场做安全巡检。他们的运维小哥指着监控屏幕一脸疑惑:“流量看着挺正常啊,CPU也没飙高,怎么老感觉有人在我内网里溜达?” 我让他把最近一个月的网络日志导出来。翻到某个凌晨2点的…
端口转发工具别乱用,当心你的内网变成“公共厕所”
那天下午,我在一个客户现场做安全巡检。他们的运维小哥指着监控屏幕一脸疑惑:“流量看着挺正常啊,CPU也没飙高,怎么老感觉有人在我内网里溜达?”
我让他把最近一个月的网络日志导出来。翻到某个凌晨2点的记录时,我停住了——几条看起来人畜无害的DNS查询,目的地是个奇怪的域名,解析出来的IP却指向一个境外VPS。
“你们有人半夜加班搞跨国业务?”我问他。
小哥摇头。
“那八成是有人在你内网里搭了条‘地道’,用的工具嘛……十有八九是EarthWorm这类端口转发工具。”
他脸色一下就变了。
这玩意儿到底是个啥?为啥这么难防?
说白了,端口转发工具就是个“网络搬运工”。它能把你内网里某个服务的端口(比如数据库的3306端口),通过层层跳板,偷偷“搬”到公网上。攻击者从外网访问那个公网地址,就像直接访问你内网一样。
最要命的是,它走的往往是“正经”协议。
我见过最绝的一次,攻击者把转发流量伪装成公司内部OA系统的正常心跳包,每秒发几个小数据包,混在几百台设备的正常通信里,跟玩儿似的。传统的流量监控?直接就给忽略了。
很多人以为上了防火墙、装了WAF就高枕无忧了。实话实说,很多防护方案,PPT上看着铜墙铁壁,真遇到这种精细化渗透,就跟筛子似的。
检测:别光看流量大不大,得看它“怪不怪”
检测这玩意儿,不能靠蛮力,得靠“眼力见儿”。
第一,盯着那些“作息反常”的连接。
你们公司财务系统的数据库,会在国庆长假凌晨3点,跟黑龙江某个家庭宽带IP建立长连接吗?肯定不会。但EarthWorm这类工具一跑起来,这种“反人类作息”的连接就会出现。你得建立个“正常业务画像”——什么服务、该在什么时候、跟哪些IP通信。不符合的,先标个可疑再说。
第二,看看流量是不是“太稳了”。
正常用户访问Web服务,流量是波动的,点开页面时高,阅读时低。但隧道流量为了保持连接,往往是机器发出的、频率固定、数据包大小也差不多。在流量图上看,就是一条平滑得有点诡异的直线, 跟正常业务的锯齿状波形一比,特别扎眼。
第三,也是很多企业忽略的——查查你内网机器的“外交关系”。
普通办公电脑,一天可能只和内部服务器、更新服务器、几个常用网站通信。如果突然发现某台机器,和某个陌生IP(尤其是境外云服务商IP)建立了长期、稳定的连接,哪怕流量再小,你也得心里一哆嗦。这感觉你懂吧?就像你家孩子突然多了个你完全不认识的“笔友”,天天通信。
防御:别只堵大门,后院篱笆也得扎紧
防御这种事,不能只想着正面硬扛。攻击者都摸到你内网了,说明他早就绕过了你的大门。
1. 最小权限,说了一万遍还是有人不当回事
你们内网里,是不是还有一大堆服务器开着“全通”策略?开发机为啥能直连生产数据库?给每台机器、每个服务都划定严格的访问边界。除了它工作必须通信的那几个IP和端口,其他的连请求都别让它发出去。 这叫网络微隔离,虽然配置起来麻烦点,但能从根本上掐死隧道工具的活动空间。
2. 出向流量,也得管起来
大部分企业防火墙只管“谁可以进来”,不管“谁能出去”。这就给了隧道工具可乘之机。建立严格的白名单出站策略。 比如,只允许特定的服务器通过特定端口访问外部更新源;办公区只能访问有限的公网服务和端口。想偷偷把数据转到境外VPS?门都没有。
3. 别迷信“特征”,要学会看“行为”
EarthWorm的特定版本可能有特征码,但人家改几行代码就绕过去了。更靠谱的是行为检测模型。比如,一个SSH服务进程,平时都是本地运维登录,突然开始监听一个非标准的高位端口,并且产生了持续的、微小的对外流量。这种“行为异常”比任何特征都靠谱。
4. 主机层面,把水搅浑
在重要的服务器上,可以部署一些主机安全Agent。它们能干两件很关键的事:一是监控是否有异常进程监听端口或建立外联;二是可以定期“扰动”一下,比如随机封禁一些异常外联尝试的IP,或者对可疑连接引入延迟。攻击者一旦觉得这条“隧道”不稳定、不可靠,他多半就放弃了。 毕竟可选的目标那么多,没必要死磕一个难搞的。
最后说句大实话
安全没有一劳永逸。EarthWorm今天流行,明天可能就有个“SkyWorm”、“WaterWorm”。核心思路是不变的:让你的内网环境“不正常”起来。
攻击者喜欢静默、稳定、规则简单的环境。那你就反着来:把权限收得死死的,把流量管得严严的,让任何一点异常行为都变得显眼。同时,心里要清楚,没有绝对不透风的墙,你的目标不是百分百防住,而是让攻击者觉得“搞这家公司成本太高,不如换一家”。
行了,巡检去了。如果你的内网还敞着口子,看完这篇文章,你心里应该已经有答案了。