1反客戶入侵者編輯器
黑客A連上了網絡,但他什麽也沒做。他在做什麽?我們只能看到他點了根煙,看起來有些發呆...過了壹會兒,他突然扔掉煙頭,用手飛快地敲擊著鍵盤。通過屏幕,我們得知他進入了壹個企業內部的服務器,壹個安裝了防火墻並且深入內部的服務器...他是怎麽做到的?他是神仙嗎?請把攝像機帶回剛才的現場。黑客A在煙霧中盯著壹個程序界面。突然界面變了,同時黑客A開始敲鍵盤,接著是熟悉的控制界面。妳可能不相信自己的眼睛:那臺機器是自己找到他的嗎?不可能的...但這是真的。服務器真的是自己找的。黑客A也不是高科技。他只是用了壹個反客戶導向的後門——反彈特洛伊。
眾所周知,通常的入侵是入侵者主動出擊,這是壹種類似狩獵的方式。在警惕的獵物面前,它們已經無能為力了;但是,對於使用反彈技術的入侵者來說就容易多了。反彈的特洛伊就像壹只狼外婆,等著小紅小紅帽送上門。壹般的入侵是入侵者操作控制程序找到並連接受害電腦,而反彈入侵則相反。它打開入侵者計算機的壹個端口,但讓受害者自己聯系入侵者,並讓入侵者控制它。因為大多數防火墻只處理外部數據,對內部數據睜壹只眼閉壹只眼,所以悲劇發生了。
反彈特洛伊的工作模式是:受害者(植入反彈特洛伊服務器的計算機)每隔壹段時間發出壹個連接控制終端的請求,這個請求循環往復,直到成功連接控制終端;接下來,控制終端接受服務器的連接請求,兩者之間建立信任傳輸通道;最後,控制終端做的事情很常見——獲得對受害者的控制。因為是受害者發起的連接,防火墻在大多數情況下不會報警,而且這種連接方式還可以突破內網與外界建立連接,所以入侵者很容易進入內部電腦。
雖然反彈特洛伊比壹般的特洛伊更可怕,但它有壹個先天的致命弱點:它的隱蔽性不夠高,因為它必須在本地隨機開放壹個端口。只要受害者有壹些經驗,就不難認出特洛伊的反彈。然後,另壹種特洛伊馬誕生了。
2不安分的正常連接編輯
現在很多用戶都安裝了個人HTTP服務器,這就註定了機器要開放80端口,這很正常,但誰知道這是壹個給無數網絡管理員帶來痛苦的新技術,它把壹個正常的服務變成了入侵者的武器。
當壹臺機器被種上隧道後,它的HTTP端口被隧道反彈——傳輸給WWW服務程序的數據也被傳輸到它後面的隧道。入侵者假裝瀏覽網頁(機器認為),但發送壹個特殊的請求數據(根據HTTP協議)。隧道和WWW服務都接收該信息。由於請求的頁面通常不存在,WWW服務將返回壹個HTTP404回復,而隧道卻存在。
首先,隧道向入侵者發送確認,報告隧道的存在;然後Tunnel立即發送新的連接來獲取攻擊者的攻擊數據,並處理入侵者從HTTP端口發送的數據。最後,隧道執行入侵者想要的操作。因為這是壹次“正常”的數據傳輸,防火墻沒有看到。但是如果目標不打開80端口呢?擅自開放口岸無異於自殺。但是入侵者不會忘記那個可愛的NetBIOS端口——139端口,這個端口已經開放了很多年,並且和它共享數據。為什麽不呢?隧道技術使後門的隱蔽性更上壹層樓,但這並不意味著它無懈可擊,因為壹個有經驗的管理員會通過嗅探器看到異常的場景...隧道攻擊被管理員打敗了,但是壹場更可怕的入侵正在秘密進行...
3無用的數據傳輸編輯
1.鼻子底下的小偷-ICMP
ICMP(Internet Control Message Protocol,互聯網控制消息協議)是最常見的網絡消息,近年來被廣泛應用於洪水阻斷攻擊,但很少有人註意到ICMP也秘密參與了這場特洛伊戰爭...最常見的ICMP消息被用作探路者-ping,它實際上是壹種類型8的ICMP數據。協議規定遠程機器在收到這個數據後會返回壹個type 0響應,報告“我在線”。但由於ICMP報文本身可以攜帶數據,註定會成為入侵者的左膀右臂。因為ICMP消息由系統內核處理,並且不占用端口,所以它具有高優先級。ICMP就像是系統內核的親戚,任何門衛都攔不住,於是藏著武器的鄉下老頭敲響了總統的門...
使用特殊ICMP傳輸數據的後門程序正悄然流行起來。這些看似正常的數據在防火墻的監控下公然操縱了受害者。即使管理員是經驗豐富的高手,他也不會認為這些“正常”的ICMP消息正在吞噬他的機器。可能有人會說,把包搶過來看看。然而,在實際應用中,大多數傳輸數據的ICMP消息都必須加密。怎麽查?
然而,ICMP並不是無敵的。更有經驗的管理員幹脆禁止了所有ICMP消息的傳輸,使得這個親戚不再接近系統。雖然這樣會影響系統的壹些正常功能,但為了避免被親人謀殺,只能忍著。最親近最不可疑的人往往是最容易殺妳的人。
2.變態郵差——IP頭的詭計
眾所周知,網絡是以IP數據報為基礎的,壹切都要和IP打交道,但連最基本的郵遞員IP數據報都被入侵者收買了,這場戰爭永遠不會停止...為什麽?我們先簡單看壹下IP數據報的結構,分為兩部分,頭和體。報頭充滿了地址信息和識別數據,就像壹個信封。身體是熟悉的數據,就像寫字的紙。任何消息都在IP消息中傳輸。通常我們只關註信紙上寫的是什麽,而忽略信封上是否塗有氰酸鉀。結果,許多管理人員死於未確診的疑病癥...
這是協議規範的缺陷造成的,而且這個錯誤不是唯壹的,就像SYN攻擊也是協議規範的錯誤造成的。類似地,兩者都使用IP報頭。SYN用的是假信封,而“插座”特洛伊在信封上多余的空白內容上塗上毒藥——IP協議規範規定IP頭有壹定長度放置標誌位(express?普通信件?),附加數據(信中評論),導致IP頭中有幾個字節的空白,不要小看這些空白,它可以攜帶劇毒物質。這些看似無害的信件不會被門衛攔截,但總統卻莫名其妙地死在了辦公室裏...
入侵者用簡短的攻擊數據填充IP報頭的空白。如果數據太多,就多發幾封。混入受害者機器中的郵遞員記錄下信封中“多余”的內容,當這些內容可以拼湊成攻擊指令時,攻擊就開始了...
4後記編輯
後門技術發展到今天,已經不是死板的機器對機器的戰爭了。他們學會了測試人類。如果現在的防禦技術還停留在簡單的數據判斷和處理,就會被無數新的後門打敗。真正的防禦壹定是基於人為的管理操作,而不是壹味的依賴機器代碼,否則妳的機器會被腐蝕的面目全非...
***********************
專業技術分析見百度文庫:
/鏈接?URL = aoryitly 10 hfan 9 dfzuzfanz 2 wtcwjn _ vlgbmhdzzjjund 4 uywsdbr-ELN 5 rdsu 974 hzk _ uo9 PTW 259 x 8 twheqf 1 yqevse 7g _ klr OVX 8 zlo
後門技術概述