Il rilevamento di questo tipo di tunnel è un po 'difficile dal momento che stanno usando un protocollo ben noto che è generalmente consentito attraverso i firewall. La rilevazione di questo tipo di tunnel richiede tecniche di apprendimento automatico, ma c'è la possibilità di ottenere FPs.
Fingerprinting dello strumento:
Esistono vari strumenti per il tuning dei dati su protocolli ben noti come iodio, dnscat, ptunnel. L'impronta digitale di questi strumenti è un'idea per rilevare il tunnel. Rilevare questi strumenti richiede la conoscenza dei protocolli per cui fa riferimento alle RFC, apprende ogni aspetto del protocollo e lo applica per rilevare il tunnel. Ora crea un ambiente con questo strumento e cattura il traffico utilizzando qualsiasi strumento etereo (wireshark, tcpdump ecc.) E analizza il traffico. Troverete sicuramente alcuni modelli che saranno unici per lo strumento. Lo sto dicendo perché ho rilevato strumenti sopra menzionati e altro ancora utilizzando questo metodo perché scrivere codice di apprendimento automatico richiede più sforzi.
Lo svantaggio di rilevare il tunnel usando pattern è, devi controllare gli aggiornamenti quando ce n'è uno per lo strumento ma quello che ho visto il pattern è sempre lo stesso per tutti gli strumenti.