常用端口

攻击者可以通过常用端口进行通信，以绕过防火墙或网络检测系统，并混在正常的网络活动中以规避详细的检查。他们可以使用常用的开放端口，例如 - TCP: 80 (HTTP) - TCP:443(HTTPS) - TCP:25(SMTP) - TCP/UDP:53 (DNS) 他们可以使用与端口相关或完全不同的协议。 对于在 enclave 内部发生的连接（例如代理或主节点与其他节点之间的连接），常见端口的示例如下 - TCP/UDP:135 (RPC) - TCP/UDP:22 (SSH) - TCP/UDP:3389 (RDP)

缓解

使用网络签名来识别特定恶意软件的流量的网络入侵检测和防御系统可减少网络级活动。签名通常用于协议内的唯一指示器，可能基于特定的攻击者或工具使用的特定协议，并且可能在不同的恶意软件系列和版本之间不同。攻击者可能会随着时间的推移修改工具命令与控制签名，或者以这种方式构造协议以规避常见的防御工具的检测。

检测

分析不常见数据流的网络数据（例如，客户端发送的数据远多于从服务器接收的数据）。利用通常没有网络通信或以前从未见过的网络的进程是可疑的。分析数据包内容以检测不遵循正在使用的端口的预期协议行为的通信。