廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 2712 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
kiss0610 手機 會員卡
個人文章 個人相簿 個人日記 個人地圖
知名人士
級別: 知名人士 該用戶目前不上站
推文 x21 鮮花 x26
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
正在暗渡陳倉 4種後門技術知識講解
曾經飽受木馬、後門(以下統稱後門)侵害的人們都不會忘記機器被破壞後的慘象,於是人們展開了積極的防禦工作,從補丁到防火牆,恨不得連網線都加個驗證器,在多種多樣的防禦手法夾攻下,一大批後門倒下了,菜鳥們也不用提心吊膽上網了…… 可是後門會因此罷休嗎?答案當然是否定的。君不見,在風平浪靜的陸地下,一批新的後門正在暗渡陳倉……

  1、反客為主的入侵者

  黑客A連接上了網絡,卻不見他有任何行動,他在幹什麼呢?我們只能看見他燃起一支煙,似乎在發呆……過了一會兒,他突然把煙頭一丟,雙手迅速敲擊鍵盤,透過屏幕,我們得知他已經進入了一個企業內部的服務器,一台安裝了防火牆、而且深居內部的服務器……他怎麼做到的呢?莫非他是神仙?請把鏡頭回退到剛才那一幕,黑客A在煙霧熏繞中盯著一個程序界面出神,突然,那個界面變動了一下,同時,黑客A也開始敲打鍵盤,接下來就是熟悉的控制界面。各位也許不相信自己的眼睛了:難道是那台機器自己找上他的?不可能…… 可是這是事實,真的是服務器自己找上來的。黑客A也不是高技術,他只是使用了一種反客為主的後門——反彈木馬。

  眾所周知,通常說的入侵都是入侵者主動發起攻擊,這是一種類似捕獵的方式,在警惕性高的獵物面前,他們已經力不從心;可是對於使用反彈技術的入侵者來說,他們卻輕鬆許多,反彈木馬就如一個狼外婆,等著小紅帽親自送上門去。一般的入侵是入侵者操作控制程序去查找連接受害計算機,而反彈入侵卻逆其道而行之,它打開入侵者電腦的一個端口,卻讓受害者自己與入侵者聯繫並讓入侵者控制,由於大多數防火牆只處理外部數據,對內部數據卻閉上眼睛,於是,悲劇發生了。

  反彈木馬的工作模式如下:受害者(被植入反彈木馬服務端的計算機)每間隔一定時間就發出連接控制端的請求,這個請求一直循環到與控制端成功連接;接下來控制端接受服務端的連接請求,兩者之間的信任傳輸通道建立;最後,控制端做的事情就很普通了——取得受害者的控制權。由於是受害者主動發起的連接,因此防火牆在大多數情況下不會報警,而且這種連接模式還能突破內網與外部建立連接,入侵者就輕易的進入了內部的計算機。

  雖然反彈木馬比起一般木馬要可怕,但是它有天生的致命弱點:隱蔽性還不夠高,因為它不得不在本地開放一個隨機端口,只要受害者有點經驗,認出反彈木馬不是難事。於是,另一種木馬誕生了。

  2、不安分的正常連接

  現在有很多用戶都安裝了個人HTTP服務器,這就注定了機器會開著80端口,這很正常,但是有誰知這是一個給無數網絡管理員帶來痛苦的新技術,它讓一個正常的服務變成了入侵者的利器。

  當一台機器被種植Tunnel後,它的HTTP端口就被Tunnel重新綁定了——傳輸給WWW服務程序的數據,也在同時傳輸給背後的Tunnel,入侵者假裝瀏覽網頁(機器認為),卻發送了一個特殊的請求數據(符合HTTP協議),Tunnel和WWW服務都接收到這個信息,由於請求的頁面通常不存在,WWW服務會返回一個HTTP404應答,而Tunnel卻忙開了……

  首先,Tunnel發送給入侵者一個確認數據,報告Tunnel存在;然後Tunnel馬上發送一個新的連接去索取入侵者的攻擊數據並處理入侵者從HTTP端口發來的數據;最後,Tunnel執行入侵者想要的操作。由於這是「正常」的數據傳輸,防火牆一樣沒看見。但是目標沒開放80端口怎麼辦呢?擅自開一個端口等於自殺。但是入侵者不會忘記那個可愛的NetBIOS端口——長年累月開放的139端口,和它分享數據,何樂不為? Tunnel技術使後門的隱蔽性又上了一個級別,可是這並不代表無懈可擊了,因為一個有經驗的管理員會通過Sniffer看到異常的景象…… Tunnel攻擊被管理員擊潰了,可是,一種更可怕的入侵正在偷偷進行中……

3、無用的數據傳輸?

  1.眼皮底下的偷竊者——ICMP

  ICMP,Internet Control Message Protocol(網際控制信息協議),最常見的網絡報文,近年來被大量用於洪水阻塞攻擊,但是很少有人注意到,ICMP也偷偷參與了這場木馬的戰爭…… 最常見的ICMP報文被用作探路者——PING,它實際上是一個類型8的ICMP數據,協議規定遠程機器收到這個數據後返回一個類型0的應答,報告「我在線」。可是,由於ICMP報文自身可以攜帶數據,就注定了它可以成為入侵者的得力助手。由於ICMP報文是由系統內核處理的,而且它不佔用端口,因此它有很高的優先權。ICMP就像系統內核的親戚,可以不受任何門衛阻攔,於是,籃子裡藏著武器的鄉下老人敲響了總統的房門……

  使用特殊的ICMP攜帶數據的後門正在悄然流行,這段看似正常的數據在防火牆的監視下堂而皇之的操縱著受害者,即使管理員是個經驗豐富的高手,也不會想到這些「正常」的ICMP報文在吞噬著他的機器。有人也許會說,抓包看看呀。可是,實際應用中,傳遞數據的ICMP報文大部分肯定是加密過的,你怎麼檢查?

  不過,ICMP也不是無敵的,有更多經驗的管理員乾脆禁止了全部ICMP報文傳輸,使得這位親戚不得再靠近系統,雖然這樣做會影響系統的一些正常功能,可是為了避免被親戚謀殺,也只能忍了。最親密最不被懷疑的人,卻往往是最容易殺害你的人。

  2.不正常的郵遞員——IP首部的計謀

  我們都知道,網絡是建立在IP數據報的基礎上的,任何東西都要和IP打交道,可是連IP報文這個最基本的郵遞員也被入侵者收買了,這場戰爭永不停歇……為什麼呢?我們先略瞭解一下IP數據報的結構,它分為兩個部分,首部和身體,首部裝滿了地址信息和識別數據,正如一個信封;身體則是我們熟悉的數據,正如信紙。任何報文都是包裹在IP報文裡面傳輸的,通常我們只留意信紙上寫了什麼,卻忽略了信封上是否塗抹了氰酸鉀。於是,很多管理員死於檢查不出的疑症……

  這是協議規範的缺陷導致的,這個錯誤不是唯一的,正如SYN攻擊也是協議規範的錯誤引起的。相似的是,兩者都用了IP首部。SYN是用了假信封,而「套接字」木馬則是在信封上多餘的空白內容塗抹了毒藥——IP協議規範規定,IP首部有一定的長度來放置標誌位(快遞?平信?)、附加數據(對信的備註),結果導致IP首部有了幾個字節的空白,別小看這些空白,它能攜帶劇毒物質。這些看似無害的信件不會被門衛攔截,可是總統卻不明不白的死在了辦公室……

  入侵者用簡短的攻擊數據填滿了IP首部的空白,如果數據太多,就多發幾封信。混入受害者機器的郵遞員記錄信封的「多餘」內容,當這些內容能拼湊成一個攻擊指令的時候,進攻開始了……

  結語

  後門技術發展到今天,已經不再是死板的機器對機器的戰爭,它們已經學會考驗人類,現在的防禦技術如果依然停留在簡單的數據判斷處理上,將被無數新型後門擊潰。真正的防禦必須是以人的管理操作為主體,而不是一味依賴機器代碼,否則你的機器將會被腐蝕得面目全非……



幸福要用心去感覺,愛情裡最浪漫的部份,是兩個人共有的平凡,
其實愛情需要去慢慢的咀嚼品味,經不起咀嚼的愛情,是沒辦法累積幸福的滋味!!
獻花 x0 回到頂端 [樓 主] From:臺灣 | Posted:2008-05-08 05:26 |
三仙 會員卡
個人頭像
個人文章 個人相簿 個人日記 個人地圖
頭銜:以馬內利 以馬內利
版主
級別: 版主 該用戶目前不上站
版區: 程式設計
推文 x17 鮮花 x370
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

正在暗渡陳倉 4種後門技術知識
標題是 4種吧 表情
但我只看到
1
2
3.1
3.2
還有 第4呢 表情
--------------------------------------
謝謝upside 大大的解釋
小弟了解了表情


[ 此文章被三仙在2008-05-09 01:17重新編輯 ]


挖出答案的難度,取決提問的深度!
獻花 x0 回到頂端 [1 樓] From:臺灣 | Posted:2008-05-08 06:29 |
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

下面是引用三仙於2008-05-08 06:29發表的 :
正在暗渡陳倉 4種後門技術知識
標題是 4種吧 表情
但我只看到
1
2
3.1
3.2
還有 第4呢 表情
表情
呵呵 查過來源 似乎內容都一樣
該不會是把 3.2 認為是第4種
所以樓主也不沒有第4點可回


爸爸 你一路好走
獻花 x0 回到頂端 [2 樓] From:臺灣 | Posted:2008-05-08 13:15 |
BrianFan
數位造型
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x5 鮮花 x13
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

受教了!
真的要學的太多了!
學海無涯呀!


獻花 x0 回到頂端 [3 樓] From:臺灣新世紀 | Posted:2008-06-02 12:18 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.061715 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言