套接字过滤器

对手可能会将过滤器附加到网络套接字，以监视然后激活用于持久性或命令和控制的后门。具有提升权限的对手可以使用诸如libpcap库之类的功能打开套接字并安装过滤器，以允许或禁止某些类型的数据通过套接字。过滤器可能适用于通过指定网络接口（如果未指定，则适用于每个接口）的所有流量。当网络接口接收到与过滤器条件匹配的数据包时，可以在主机上触发其他操作，例如激活反向shell。 为了建立连接，对手会向目标主机发送与安装的过滤器条件匹配的精心制作的数据包。(引用: haking9 libpcap network sniffing) 对手已经使用这些套接字过滤器来触发植入物的安装、进行ping返回以及调用命令shell。与协议隧道结合使用时，这些套接字过滤器的通信也可能被使用。(引用: exatrack bpf filters passive backdoors)(引用: Leonardo Turla Penquin May 2020) 可以在安装了libpcap的任何类Unix平台上或在使用Winpcap的Windows主机上安装过滤器。对手可以使用libpcap与pcap_setfilter或标准库函数setsockopt与SO_ATTACH_FILTER选项。由于套接字连接在接收到数据包之前未激活，因此由于主机上的活动缺乏、CPU开销低以及对原始套接字使用的可见性有限，这种行为可能难以检测。