主頁(yè) > 知識(shí)庫(kù) > 淺析2004年出現(xiàn)的4種新后門技術(shù)

淺析2004年出現(xiàn)的4種新后門技術(shù)

熱門標(biāo)簽:隨州銷售外呼系統(tǒng)平臺(tái) 防城港市ai電銷機(jī)器人 不同的地圖標(biāo)注 交行外呼系統(tǒng)有哪些 寧夏保險(xiǎn)智能外呼系統(tǒng)哪家好 激戰(zhàn)黃昏地圖標(biāo)注說明 溫嶺代理外呼系統(tǒng) 臨滄移動(dòng)外呼系統(tǒng)哪家有 怎么更改地圖標(biāo)注電話
   曾經(jīng)飽受木馬、后門(以下統(tǒng)稱后門)侵害的人們都不會(huì)忘記機(jī)器被破壞后的慘象,于是人們展開了積極的防御工作,從補(bǔ)丁到防火墻,恨不得連網(wǎng)線都加個(gè)驗(yàn)證器,在多種多樣的防御手法夾攻下,一大批后門倒下了,菜鳥們也不用提心吊膽上網(wǎng)了…… 可是后門會(huì)因此罷休嗎?答案當(dāng)然是否定的。君不見,在風(fēng)平浪靜的陸地下,一批新的后門正在暗渡陳倉(cāng)……

  1、反客為主的入侵者

  黑客A連接上了網(wǎng)絡(luò),卻不見他有任何行動(dòng),他在干什么呢?我們只能看見他燃起一支煙,似乎在發(fā)呆……過了一會(huì)兒,他突然把煙頭一丟,雙手迅速敲擊鍵盤,透過屏幕,我們得知他已經(jīng)進(jìn)入了一個(gè)企業(yè)內(nèi)部的服務(wù)器,一臺(tái)安裝了防火墻、而且深居內(nèi)部的服務(wù)器……他怎么做到的呢?莫非他是神仙?請(qǐng)把鏡頭回退到剛才那一幕,黑客A在煙霧熏繞中盯著一個(gè)程序界面出神,突然,那個(gè)界面變動(dòng)了一下,同時(shí),黑客A也開始敲打鍵盤,接下來就是熟悉的控制界面。各位也許不相信自己的眼睛了:難道是那臺(tái)機(jī)器自己找上他的?不可能…… 可是這是事實(shí),真的是服務(wù)器自己找上來的。黑客A也不是高技術(shù),他只是使用了一種反客為主的后門——反彈木馬。

  眾所周知,通常說的入侵都是入侵者主動(dòng)發(fā)起攻擊,這是一種類似捕獵的方式,在警惕性高的獵物面前,他們已經(jīng)力不從心;可是對(duì)于使用反彈技術(shù)的入侵者來說,他們卻輕松許多,反彈木馬就如一個(gè)狼外婆,等著小紅帽親自送上門去。一般的入侵是入侵者操作控制程序去查找連接受害計(jì)算機(jī),而反彈入侵卻逆其道而行之,它打開入侵者電腦的一個(gè)端口,卻讓受害者自己與入侵者聯(lián)系并讓入侵者控制,由于大多數(shù)防火墻只處理外部數(shù)據(jù),對(duì)內(nèi)部數(shù)據(jù)卻閉上眼睛,于是,悲劇發(fā)生了。

  反彈木馬的工作模式如下:受害者(被植入反彈木馬服務(wù)端的計(jì)算機(jī))每間隔一定時(shí)間就發(fā)出連接控制端的請(qǐng)求,這個(gè)請(qǐng)求一直循環(huán)到與控制端成功連接;接下來控制端接受服務(wù)端的連接請(qǐng)求,兩者之間的信任傳輸通道建立;最后,控制端做的事情就很普通了——取得受害者的控制權(quán)。由于是受害者主動(dòng)發(fā)起的連接,因此防火墻在大多數(shù)情況下不會(huì)報(bào)警,而且這種連接模式還能突破內(nèi)網(wǎng)與外部建立連接,入侵者就輕易的進(jìn)入了內(nèi)部的計(jì)算機(jī)。

  雖然反彈木馬比起一般木馬要可怕,但是它有天生的致命弱點(diǎn):隱蔽性還不夠高,因?yàn)樗坏貌辉诒镜亻_放一個(gè)隨機(jī)端口,只要受害者有點(diǎn)經(jīng)驗(yàn),認(rèn)出反彈木馬不是難事。于是,另一種木馬誕生了。

  2、不安分的正常連接

  現(xiàn)在有很多用戶都安裝了個(gè)人HTTP服務(wù)器,這就注定了機(jī)器會(huì)開著80端口,這很正常,但是有誰(shuí)知潰飧隹此普5畝絲?,却会给膽|蔥亂宦重?!隐糙Iǖ?Tunnel),一個(gè)給無(wú)數(shù)網(wǎng)絡(luò)管理員帶來痛苦的新技術(shù),它讓一個(gè)正常的服務(wù)變成了入侵者的利器。

  當(dāng)一臺(tái)機(jī)器被種植Tunnel后,它的HTTP端口就被Tunnel重新綁定了——傳輸給WWW服務(wù)程序的數(shù)據(jù),也在同時(shí)傳輸給背后的Tunnel,入侵者假裝瀏覽網(wǎng)頁(yè)(機(jī)器認(rèn)為),卻發(fā)送了一個(gè)特殊的請(qǐng)求數(shù)據(jù)(符合HTTP協(xié)議),Tunnel和WWW服務(wù)都接收到這個(gè)信息,由于請(qǐng)求的頁(yè)面通常不存在,WWW服務(wù)會(huì)返回一個(gè)HTTP404應(yīng)答,而Tunnel卻忙開了……

  首先,Tunnel發(fā)送給入侵者一個(gè)確認(rèn)數(shù)據(jù),報(bào)告Tunnel存在;然后Tunnel馬上發(fā)送一個(gè)新的連接去索取入侵者的攻擊數(shù)據(jù)并處理入侵者從HTTP端口發(fā)來的數(shù)據(jù);最后,Tunnel執(zhí)行入侵者想要的操作。由于這是“正?!钡臄?shù)據(jù)傳輸,防火墻一樣沒看見。但是目標(biāo)沒開放80端口怎么辦呢?擅自開一個(gè)端口等于自殺。但是入侵者不會(huì)忘記那個(gè)可愛的NetBIOS端口——長(zhǎng)年累月開放的139端口,和它分享數(shù)據(jù),何樂不為? Tunnel技術(shù)使后門的隱蔽性又上了一個(gè)級(jí)別,可是這并不代表無(wú)懈可擊了,因?yàn)橐粋€(gè)有經(jīng)驗(yàn)的管理員會(huì)通過Sniffer看到異常的景象…… Tunnel攻擊被管理員擊潰了,可是,一種更可怕的入侵正在偷偷進(jìn)行中……

  3、無(wú)用的數(shù)據(jù)傳輸?

  1.眼皮底下的偷竊者——ICMP

  ICMP,Internet Control Message Protocol(網(wǎng)際控制信息協(xié)議),最常見的網(wǎng)絡(luò)報(bào)文,近年來被大量用于洪水阻塞攻擊,但是很少有人注意到,ICMP也偷偷參與了這場(chǎng)木馬的戰(zhàn)爭(zhēng)…… 最常見的ICMP報(bào)文被用作探路者——PING,它實(shí)際上是一個(gè)類型8的ICMP數(shù)據(jù),協(xié)議規(guī)定遠(yuǎn)程機(jī)器收到這個(gè)數(shù)據(jù)后返回一個(gè)類型0的應(yīng)答,報(bào)告“我在線”??墒?,由于ICMP報(bào)文自身可以攜帶數(shù)據(jù),就注定了它可以成為入侵者的得力助手。由于ICMP報(bào)文是由系統(tǒng)內(nèi)核處理的,而且它不占用端口,因此它有很高的優(yōu)先權(quán)。ICMP就像系統(tǒng)內(nèi)核的親戚,可以不受任何門衛(wèi)阻攔,于是,籃子里藏著武器的鄉(xiāng)下老人敲響了總統(tǒng)的房門……

  使用特殊的ICMP攜帶數(shù)據(jù)的后門正在悄然流行,這段看似正常的數(shù)據(jù)在防火墻的監(jiān)視下堂而皇之的操縱著受害者,即使管理員是個(gè)經(jīng)驗(yàn)豐富的高手,也不會(huì)想到這些“正?!钡腎CMP報(bào)文在吞噬著他的機(jī)器。有人也許會(huì)說,抓包看看呀??墒?,實(shí)際應(yīng)用中,傳遞數(shù)據(jù)的ICMP報(bào)文大部分肯定是加密過的,你怎么檢查?

  不過,ICMP也不是無(wú)敵的,有更多經(jīng)驗(yàn)的管理員干脆禁止了全部ICMP報(bào)文傳輸,使得這位親戚不得再靠近系統(tǒng),雖然這樣做會(huì)影響系統(tǒng)的一些正常功能,可是為了避免被親戚謀殺,也只能忍了。最親密最不被懷疑的人,卻往往是最容易殺害你的人。

  2.不正常的郵遞員——IP首部的計(jì)謀

  我們都知道,網(wǎng)絡(luò)是建立在IP數(shù)據(jù)報(bào)的基礎(chǔ)上的,任何東西都要和IP打交道,可是連IP報(bào)文這個(gè)最基本的郵遞員也被入侵者收買了,這場(chǎng)戰(zhàn)爭(zhēng)永不停歇……為什么呢?我們先略了解一下IP數(shù)據(jù)報(bào)的結(jié)構(gòu),它分為兩個(gè)部分,首部和身體,首部裝滿了地址信息和識(shí)別數(shù)據(jù),正如一個(gè)信封;身體則是我們熟悉的數(shù)據(jù),正如信紙。任何報(bào)文都是包裹在IP報(bào)文里面?zhèn)鬏數(shù)?,通常我們只留意信紙上寫了什么,卻忽略了信封上是否涂抹了氰酸鉀。于是,很多管理員死于檢查不出的疑癥……

  這是協(xié)議規(guī)范的缺陷導(dǎo)致的,這個(gè)錯(cuò)誤不是唯一的,正如SYN攻擊也是協(xié)議規(guī)范的錯(cuò)誤引起的。相似的是,兩者都用了IP首部。SYN是用了假信封,而“套接字”木馬則是在信封上多余的空白內(nèi)容涂抹了毒藥——IP協(xié)議規(guī)范規(guī)定,IP首部有一定的長(zhǎng)度來放置標(biāo)志位(快遞?平信?)、附加數(shù)據(jù)(對(duì)信的備注),結(jié)果導(dǎo)致IP首部有了幾個(gè)字節(jié)的空白,別小看這些空白,它能攜帶劇毒物質(zhì)。這些看似無(wú)害的信件不會(huì)被門衛(wèi)攔截,可是總統(tǒng)卻不明不白的死在了辦公室……

  入侵者用簡(jiǎn)短的攻擊數(shù)據(jù)填滿了IP首部的空白,如果數(shù)據(jù)太多,就多發(fā)幾封信?;烊胧芎φ邫C(jī)器的郵遞員記錄信封的“多余”內(nèi)容,當(dāng)這些內(nèi)容能拼湊成一個(gè)攻擊指令的時(shí)候,進(jìn)攻開始了……

  4、結(jié)語(yǔ)

  后門技術(shù)發(fā)展到今天,已經(jīng)不再是死板的機(jī)器對(duì)機(jī)器的戰(zhàn)爭(zhēng),它們已經(jīng)學(xué)會(huì)考驗(yàn)人類,現(xiàn)在的防御技術(shù)如果依然停留在簡(jiǎn)單的數(shù)據(jù)判斷處理上,將被無(wú)數(shù)新型后門擊潰。真正的防御必須是以人的管理操作為主體,而不

標(biāo)簽:河源 沈陽(yáng) 阜陽(yáng) 無(wú)錫 青海 紅河 哈密 忻州

巨人網(wǎng)絡(luò)通訊聲明:本文標(biāo)題《淺析2004年出現(xiàn)的4種新后門技術(shù)》,本文關(guān)鍵詞  淺析,2004年,出現(xiàn),的,4種,;如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問題,煩請(qǐng)?zhí)峁┫嚓P(guān)信息告之我們,我們將及時(shí)溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò),涉及言論、版權(quán)與本站無(wú)關(guān)。
  • 相關(guān)文章
  • 下面列出與本文章《淺析2004年出現(xiàn)的4種新后門技術(shù)》相關(guān)的同類信息!
  • 本頁(yè)收集關(guān)于淺析2004年出現(xiàn)的4種新后門技術(shù)的相關(guān)信息資訊供網(wǎng)民參考!
  • 推薦文章