曾經飽受木馬、后門(以下統(tǒng)稱后門)侵害的人們都不會忘記機器被破壞后的慘象，于是人們展開了積極的防御工作，從補丁到防火墻，恨不得連網線都加個驗證器，在多種多樣的防御手法夾攻下，一大批后門倒下了，菜鳥們也不用提心吊膽上網了…… 可是后門會因此罷休嗎?答案當然是否定的。君不見，在風平浪靜的陸地下，一批新的后門正在暗渡陳倉…… 　　1、反客為主的入侵者 　　黑客A連接上了網絡，卻不見他有任何行動，他在干什么呢?我們只能看見他燃起一支煙，似乎在發(fā)呆……過了一會兒，他突然把煙頭一丟，雙手迅速敲擊鍵盤，透過屏幕，我們得知他已經進入了一個企業(yè)內部的服務器，一臺安裝了防火墻、而且深居內部的服務器……他怎么做到的呢?莫非他是神仙?請把鏡頭回退到剛才那一幕，黑客A在煙霧熏繞中盯著一個程序界面出神，突然，那個界面變動了一下，同時，黑客A也開始敲打鍵盤，接下來就是熟悉的控制界面。各位也許不相信自己的眼睛了：難道是那臺機器自己找上他的?不可能…… 可是這是事實，真的是服務器自己找上來的。黑客A也不是高技術，他只是使用了一種反客為主的后門——反彈木馬。 　　眾所周知，通常說的入侵都是入侵者主動發(fā)起攻擊，這是一種類似捕獵的方式，在警惕性高的獵物面前，他們已經力不從心;可是對于使用反彈技術的入侵者來說，他們卻輕松許多，反彈木馬就如一個狼外婆，等著小紅帽親自送上門去。一般的入侵是入侵者操作控制程序去查找連接受害計算機，而反彈入侵卻逆其道而行之，它打開入侵者電腦的一個端口，卻讓受害者自己與入侵者聯系并讓入侵者控制，由于大多數防火墻只處理外部數據，對內部數據卻閉上眼睛，于是，悲劇發(fā)生了。 　　反彈木馬的工作模式如下：受害者(被植入反彈木馬服務端的計算機)每間隔一定時間就發(fā)出連接控制端的請求，這個請求一直循環(huán)到與控制端成功連接;接下來控制端接受服務端的連接請求，兩者之間的信任傳輸通道建立;最后，控制端做的事情就很普通了——取得受害者的控制權。由于是受害者主動發(fā)起的連接，因此防火墻在大多數情況下不會報警，而且這種連接模式還能突破內網與外部建立連接，入侵者就輕易的進入了內部的計算機。 　　雖然反彈木馬比起一般木馬要可怕，但是它有天生的致命弱點：隱蔽性還不夠高，因為它不得不在本地開放一個隨機端口，只要受害者有點經驗，認出反彈木馬不是難事。于是，另一種木馬誕生了。 　　2、不安分的正常連接 　　現在有很多用戶都安裝了個人HTTP服務器，這就注定了機器會開著80端口，這很正常，但是有誰知這是一個給無數網絡管理員帶來痛苦的新技術，它讓一個正常的服務變成了入侵者的利器。 　　當一臺機器被種植Tunnel后，它的HTTP端口就被Tunnel重新綁定了——傳輸給WWW服務程序的數據，也在同時傳輸給背后的Tunnel，入侵者假裝瀏覽網頁(機器認為)，卻發(fā)送了一個特殊的請求數據(符合HTTP協議)，Tunnel和WWW服務都接收到這個信息，由于請求的頁面通常不存在，WWW服務會返回一個HTTP404應答，而Tunnel卻忙開了…… 　　首先，Tunnel發(fā)送給入侵者一個確認數據，報告Tunnel存在;然后Tunnel馬上發(fā)送一個新的連接去索取入侵者的攻擊數據并處理入侵者從HTTP端口發(fā)來的數據;最后，Tunnel執(zhí)行入侵者想要的操作。由于這是“正常”的數據傳輸，防火墻一樣沒看見。但是目標沒開放80端口怎么辦呢?擅自開一個端口等于自殺。但是入侵者不會忘記那個可愛的NetBIOS端口——長年累月開放的139端口，和它分享數據，何樂不為? Tunnel技術使后門的隱蔽性又上了一個級別，可是這并不代表無懈可擊了，因為一個有經驗的管理員會通過Sniffer看到異常的景象……Tunnel攻擊被管理員擊潰了，可是，一種更可怕的入侵正在偷偷進行中…… 3、無用的數據傳輸
　　1.眼皮底下的偷竊者——ICMP 　　ICMP，Internet Control Message Protocol(網際控制信息協議)，最常見的網絡報文，近年來被大量用于洪水阻塞攻擊，但是很少有人注意到，ICMP也偷偷參與了這場木馬的戰(zhàn)爭…… 最常見的ICMP報文被用作探路者——PING，它實際上是一個類型8的ICMP數據，協議規(guī)定遠程機器收到這個數據后返回一個類型0的應答，報告“我在線”。可是，由于ICMP報文自身可以攜帶數據，就注定了它可以成為入侵者的得力助手。由于ICMP報文是由系統(tǒng)內核處理的，而且它不占用端口，因此它有很高的優(yōu)先權。ICMP就像系統(tǒng)內核的親戚，可以不受任何門衛(wèi)阻攔，于是，籃子里藏著武器的鄉(xiāng)下老人敲響了總統(tǒng)的房門…… 　　使用特殊的ICMP攜帶數據的后門正在悄然流行，這段看似正常的數據在防火墻的監(jiān)視下堂而皇之的操縱著受害者，即使管理員是個經驗豐富的高手，也不會想到這些“正常”的ICMP報文在吞噬著他的機器。有人也許會說，抓包看看呀?？墒牵瑢嶋H應用中，傳遞數據的ICMP報文大部分肯定是加密過的，你怎么檢查 　　不過，ICMP也不是無敵的，有更多經驗的管理員干脆禁止了全部ICMP報文傳輸，使得這位親戚不得再靠近系統(tǒng)，雖然這樣做會影響系統(tǒng)的一些正常功能，可是為了避免被親戚謀殺，也只能忍了。最親密最不被懷疑的人，卻往往是最容易殺害你的人。 　　2.不正常的郵遞員——IP首部的計謀 　　我們都知道，網絡是建立在IP數據報的基礎上的，任何東西都要和IP打交道，可是連IP報文這個最基本的郵遞員也被入侵者收買了，這場戰(zhàn)爭永不停歇……為什么呢?我們先略了解一下IP數據報的結構，它分為兩個部分，首部和身體，首部裝滿了地址信息和識別數據，正如一個信封;身體則是我們熟悉的數據，正如信紙。任何報文都是包裹在IP報文里面?zhèn)鬏數模ǔＮ覀冎涣粢庑偶埳蠈懥耸裁?，卻忽略了信封上是否涂抹了氰酸鉀。于是，很多管理員死于檢查不出的疑癥…… 　　這是協議規(guī)范的缺陷導致的，這個錯誤不是唯一的，正如SYN攻擊也是協議規(guī)范的錯誤引起的。相似的是，兩者都用了IP首部。SYN是用了假信封，而“套接字”木馬則是在信封上多余的空白內容涂抹了毒藥——IP協議規(guī)范規(guī)定，IP首部有一定的長度來放置標志位(快遞?平信?)、附加數據(對信的備注)，結果導致IP首部有了幾個字節(jié)的空白，別小看這些空白，它能攜帶劇毒物質。這些看似無害的信件不會被門衛(wèi)攔截，可是總統(tǒng)卻不明不白的死在了辦公室…… 　　入侵者用簡短的攻擊數據填滿了IP首部的空白，如果數據太多，就多發(fā)幾封信?；烊胧芎φ邫C器的郵遞員記錄信封的“多余”內容，當這些內容能拼湊成一個攻擊指令的時候，進攻開始了…… 　　結語 　　后門技術發(fā)展到今天，已經不再是死板的機器對機器的戰(zhàn)爭，它們已經學會考驗人類，現在的防御技術如果依然停留在簡單的數據判斷處理上，將被無數新型后門擊潰。真正的防御必須是以人的管理操作為主體，而不是一味依賴機器代碼，否則你的機器將會被腐蝕得面目全非……

版權聲明：本站文章來源標注為YINGSOO的內容版權均為本站所有，歡迎引用、轉載，請保持原文完整并注明來源及原文鏈接。禁止復制或仿造本網站，禁止在非www.sddonglingsh.com所屬的服務器上建立鏡像，否則將依法追究法律責任。本站部分內容來源于網友推薦、互聯網收集整理而來，僅供學習參考，不代表本站立場，如有內容涉嫌侵權，請聯系alex-e#qq.com處理。