多跳代理

对手可能会链式连接多个代理来掩盖恶意流量的来源。通常，防御者将能够识别恶意流量进入其网络之前的最后一个代理；防御者可能无法识别最后一个代理之前的任何代理。此技术通过要求防御者追踪恶意流量通过多个代理来识别其来源，使识别恶意流量的原始来源更加困难。 例如，对手可能构建或使用洋葱路由网络——如公开可用的Tor网络——通过受感染的群体传输加密的C2流量，允许与网络内任何设备通信。(引用: Onion Routing) 对手还可能使用由虚拟私人服务器（VPS）、物联网（IoT）设备、智能设备和寿命终止的路由器组成的操作中继盒（ORB）网络来混淆其操作。(引用: ORB Mandiant) 在网络基础设施的情况下，对手可能利用多个受感染设备创建多跳代理链（即，网络设备）。通过利用补丁系统映像在路由器上，对手可以向受影响的网络设备添加自定义代码，实现这些节点之间的洋葱路由。此方法依赖于网络边界桥接方法，允许对手跨越互联网边界的受保护网络边界，进入组织的广域网（WAN）。协议如ICMP可能被用作传输。 类似地，对手可能滥用点对点（P2P）和区块链导向的基础设施，在去中心化的对等网络之间实现路由。(引用: NGLite Trojan)