wrt隧道深度封包检查限值？

Question

多顿是一个隧道，它加密连接并通过web套接字(这是一个web标准)批量发送它们。因此，确保预期协议在允许的端口上运行的防火墙，只需将其传递给符合HTML的防火墙即可。有什么防火墙或过滤系统可以做的，以检测这种隧道，遵守标准，并利用协议通常允许的组织？探测到这样的东西可行吗？

Answer 1

这类隧道的检测有点困难，因为它们使用的是众所周知的协议，通常允许通过防火墙。检测这类隧道需要机器学习技术，但有机会获得FPs。

工具指纹：

有各种各样的工具可以将数据传输到众所周知的协议上，比如碘、dnscat、p隧道等。指纹分析这些工具是探测隧道的一种方法。检测这些工具需要了解相关的协议，了解协议的各个方面，并将其应用于隧道的检测。现在使用该工具创建一个环境，并使用任何实用工具(wireshark、tcpdump等)捕获流量并分析流量。您肯定会发现一些模式，这将是唯一的工具。我之所以这么说，是因为我检测到了上面提到的工具，并且更多地使用了这种方法，因为编写机器学习代码需要更多的努力。

检测隧道使用模式的缺点是，当工具有任何更新时，您必须检查更新，但是我所看到的模式对于所有工具都是一样的。