您尚未
登入
註冊
忘記密碼
搜尋
贊助
贊助本站
數位公仔
紀念T恤
紀念馬克杯
廣告
刊登廣告
廣告價格
線上申請刊登
用雅幣刊登
免費刊登
目前客戶
簡訊
簡訊說明
購買金幣
發送簡訊
預約簡訊
發送記錄
好友通訊
罐頭簡訊
論命
數位論命舘
免費排盤工具
葫蘆墩 優生造命
葫蘆墩 八字命書
影音論命(葫蘆墩)
影音占卜(葫蘆墩)
購買金幣
星座分析
孔明神數
周公解夢
星僑線上論命
娛樂
影 像 行 腳
數 位 造 型
數 位 畫 廊
心 情 日 記
公 益 彩 券
送生日蛋糕
俄羅斯方塊
四 川 省
猜 數 字
比 大 小
泡 泡 龍
許 願 池
萬 年 曆
經 期 計 算
體 重 測 量
音 樂 點 播
衛 星 地 圖
時間戳字幕
男女聊天室
求助
論壇守則
會員等級
會員權限
語法教學
常見問題
最新活動
打工賺雅幣
首頁
新版首頁(全頁)
傳統首頁(全頁)
新版首頁(選單)
傳統首頁(選單)
MyChat 數位男女
命理風水
15
星僑五術軟體
4
葫蘆墩命理網
5
命理問答
9
四柱八字
1
紫微斗數
1
姓名學
手面相
易經占卜
1
風水研討
1
擇日&三式
1
西洋占星
無視論塔羅牌
10
修行&武術
1
中醫研討
五術哈啦
1
電腦資訊
13
硬體討論
5
超頻 & 開箱
3
數位生活
2
PDA 討論
手機討論區
軟體推薦
2
軟體討論
6
Apple 討論
1
Unix-like
網路&防毒
2
程式設計
網站架設
4
電腦教學資源
生活休閒
14
休閒哈啦
7
感情世界
2
上班一族
5
國考&法律
7
生活醫學
4
運動體育
1
單車討論
1
釣魚討論
6
旅遊討論
4
天文觀星
3
攝影分享
8
圖片分享
4
數位影視
2
笑話集錦
3
興趣嗜好
13
文學散文
7
繪圖藝術
1
布袋戲
3
動漫畫討論
3
美食天地
6
理財專區
心理測驗
1
汽、機車
3
寵物園地
模型&手工藝
4
花卉園藝
魔術方塊
獨輪車專區
電玩遊戲
13
遊戲歡樂包
4
CS討論
8
Steam
3
MineCraft
2
東方Project
英雄聯盟LOL
1
單機遊戲
2
WebGame
3
線上遊戲1
6
線上遊戲2
5
電視遊樂器
1
掌上型遊戲
2
模擬器遊戲
1
工商服務
6
虛擬城市
7
好康分享
新品販售
二手拍賣
1
租屋&找屋
工商建議區
1
站務專區
10
最新活動
活動成果
數位造型
心情日記
個人圖庫
新人報到練習
論壇問題建議
1
榮會及電子報討論
-最近版區-
-最近瀏覽-
»
電腦資訊
硬體討論
超頻 & 開箱
數位生活
PDA 討論
手機討論區
軟體推薦
軟體討論
Apple 討論
Unix-like
網路&防毒
程式設計
網站架設
電腦教學資源
»
網路&防毒
網路通訊討論
防毒防駭討論
»
防毒防駭討論
防毒歷史問題
»
正在暗渡陳倉 4種後門技術知識講解
手機版
訂閱
地圖
簡體
您是第
2718
個閱讀者
可列印版
加為IE收藏
收藏主題
上一主題
|
下一主題
kiss0610
級別:
知名人士
x21
x26
分享:
▼
x
0
正在暗渡陳倉 4種後門技術知識講解
曾經飽受木馬、後門(以下統稱後門)侵害的人們都不會忘記機器被破壞後的慘象,於是人們展開了積極的防禦工作,從補丁到防火牆,恨不得連網線都加個驗證器,在多種多樣的防禦手法夾攻下,一大批後門倒下了,菜鳥們也不用提心吊膽上網了…… 可是後門會因此罷休嗎?答案當然是否定的。君不見,在風平浪靜的陸地下,一批新的後門正在暗渡陳倉……
1、反客為主的入侵者
黑客A連接上了網絡,卻不見他有任何行動,他在幹什麼呢?我們只能看見他燃起一支煙,似乎在發呆……過了一會兒,他突然把煙頭一丟,雙手迅速敲擊鍵盤,透過屏幕,我們得知他已經進入了一個企業內部的服務器,一台安裝了防火牆、而且深居內部的服務器……他怎麼做到的呢?莫非他是神仙?請把鏡頭回退到剛才那一幕,黑客A在煙霧熏繞中盯著一個程序界面出神,突然,那個界面變動了一下,同時,黑客A也開始敲打鍵盤,接下來就是熟悉的控制界面。各位也許不相信自己的眼睛了:難道是那台機器自己找上他的?不可能…… 可是這是事實,真的是服務器自己找上來的。黑客A也不是高技術,他只是使用了一種反客為主的後門——反彈木馬。
眾所周知,通常說的入侵都是入侵者主動發起攻擊,這是一種類似捕獵的方式,在警惕性高的獵物面前,他們已經力不從心;可是對於使用反彈技術的入侵者來說,他們卻輕鬆許多,反彈木馬就如一個狼外婆,等著小紅帽親自送上門去。一般的入侵是入侵者操作控制程序去查找連接受害計算機,而反彈入侵卻逆其道而行之,它打開入侵者電腦的一個端口,卻讓受害者自己與入侵者聯繫並讓入侵者控制,由於大多數防火牆只處理外部數據,對內部數據卻閉上眼睛,於是,悲劇發生了。
反彈木馬的工作模式如下:受害者(被植入反彈木馬服務端的計算機)每間隔一定時間就發出連接控制端的請求,這個請求一直循環到與控制端成功連接;接下來控制端接受服務端的連接請求,兩者之間的信任傳輸通道建立;最後,控制端做的事情就很普通了——取得受害者的控制權。由於是受害者主動發起的連接,因此防火牆在大多數情況下不會報警,而且這種連接模式還能突破內網與外部建立連接,入侵者就輕易的進入了內部的計算機。
雖然反彈木馬比起一般木馬要可怕,但是它有天生的致命弱點:隱蔽性還不夠高,因為它不得不在本地開放一個隨機端口,只要受害者有點經驗,認出反彈木馬不是難事。於是,另一種木馬誕生了。
2、不安分的正常連接
現在有很多用戶都安裝了個人HTTP服務器,這就注定了機器會開著80端口,這很正常,但是有誰知這是一個給無數網絡管理員帶來痛苦的新技術,它讓一個正常的服務變成了入侵者的利器。
當一台機器被種植Tunnel後,它的HTTP端口就被Tunnel重新綁定了——傳輸給WWW服務程序的數據,也在同時傳輸給背後的Tunnel,入侵者假裝瀏覽網頁(機器認為),卻發送了一個特殊的請求數據(符合HTTP協議),Tunnel和WWW服務都接收到這個信息,由於請求的頁面通常不存在,WWW服務會返回一個HTTP404應答,而Tunnel卻忙開了……
首先,Tunnel發送給入侵者一個確認數據,報告Tunnel存在;然後Tunnel馬上發送一個新的連接去索取入侵者的攻擊數據並處理入侵者從HTTP端口發來的數據;最後,Tunnel執行入侵者想要的操作。由於這是「正常」的數據傳輸,防火牆一樣沒看見。但是目標沒開放80端口怎麼辦呢?擅自開一個端口等於自殺。但是入侵者不會忘記那個可愛的NetBIOS端口——長年累月開放的139端口,和它分享數據,何樂不為? Tunnel技術使後門的隱蔽性又上了一個級別,可是這並不代表無懈可擊了,因為一個有經驗的管理員會通過Sniffer看到異常的景象…… Tunnel攻擊被管理員擊潰了,可是,一種更可怕的入侵正在偷偷進行中……
3、無用的數據傳輸?
1.眼皮底下的偷竊者——ICMP
ICMP,Internet Control Message Protocol(網際控制信息協議),最常見的網絡報文,近年來被大量用於洪水阻塞攻擊,但是很少有人注意到,ICMP也偷偷參與了這場木馬的戰爭…… 最常見的ICMP報文被用作探路者——PING,它實際上是一個類型8的ICMP數據,協議規定遠程機器收到這個數據後返回一個類型0的應答,報告「我在線」。可是,由於ICMP報文自身可以攜帶數據,就注定了它可以成為入侵者的得力助手。由於ICMP報文是由系統內核處理的,而且它不佔用端口,因此它有很高的優先權。ICMP就像系統內核的親戚,可以不受任何門衛阻攔,於是,籃子裡藏著武器的鄉下老人敲響了總統的房門……
使用特殊的ICMP攜帶數據的後門正在悄然流行,這段看似正常的數據在防火牆的監視下堂而皇之的操縱著受害者,即使管理員是個經驗豐富的高手,也不會想到這些「正常」的ICMP報文在吞噬著他的機器。有人也許會說,抓包看看呀。可是,實際應用中,傳遞數據的ICMP報文大部分肯定是加密過的,你怎麼檢查?
不過,ICMP也不是無敵的,有更多經驗的管理員乾脆禁止了全部ICMP報文傳輸,使得這位親戚不得再靠近系統,雖然這樣做會影響系統的一些正常功能,可是為了避免被親戚謀殺,也只能忍了。最親密最不被懷疑的人,卻往往是最容易殺害你的人。
2.不正常的郵遞員——IP首部的計謀
我們都知道,網絡是建立在IP數據報的基礎上的,任何東西都要和IP打交道,可是連IP報文這個最基本的郵遞員也被入侵者收買了,這場戰爭永不停歇……為什麼呢?我們先略瞭解一下IP數據報的結構,它分為兩個部分,首部和身體,首部裝滿了地址信息和識別數據,正如一個信封;身體則是我們熟悉的數據,正如信紙。任何報文都是包裹在IP報文裡面傳輸的,通常我們只留意信紙上寫了什麼,卻忽略了信封上是否塗抹了氰酸鉀。於是,很多管理員死於檢查不出的疑症……
這是協議規範的缺陷導致的,這個錯誤不是唯一的,正如SYN攻擊也是協議規範的錯誤引起的。相似的是,兩者都用了IP首部。SYN是用了假信封,而「套接字」木馬則是在信封上多餘的空白內容塗抹了毒藥——IP協議規範規定,IP首部有一定的長度來放置標誌位(快遞?平信?)、附加數據(對信的備註),結果導致IP首部有了幾個字節的空白,別小看這些空白,它能攜帶劇毒物質。這些看似無害的信件不會被門衛攔截,可是總統卻不明不白的死在了辦公室……
入侵者用簡短的攻擊數據填滿了IP首部的空白,如果數據太多,就多發幾封信。混入受害者機器的郵遞員記錄信封的「多餘」內容,當這些內容能拼湊成一個攻擊指令的時候,進攻開始了……
結語
後門技術發展到今天,已經不再是死板的機器對機器的戰爭,它們已經學會考驗人類,現在的防禦技術如果依然停留在簡單的數據判斷處理上,將被無數新型後門擊潰。真正的防禦必須是以人的管理操作為主體,而不是一味依賴機器代碼,否則你的機器將會被腐蝕得面目全非……
幸福要用心去感覺,愛情裡最浪漫的部份,是兩個人共有的平凡,
其實愛情需要去慢慢的咀嚼品味,經不起咀嚼的愛情,是沒辦法累積幸福的滋味!!
x
0
[樓 主]
From:臺灣 |
Posted:
2008-05-08 05:26 |
三仙
以馬內利
級別:
版主
版區:
程式設計
x17
x370
分享:
▲
▼
正在暗渡陳倉 4種後門技術知識
標題是 4種吧
但我只看到
1
2
3.1
3.2
還有 第4呢
--------------------------------------
謝謝
upside
大大的解釋
小弟了解了
[ 此文章被三仙在2008-05-09 01:17重新編輯 ]
挖出答案的難度,取決提問的深度!
x
0
[1 樓]
From:臺灣 |
Posted:
2008-05-08 06:29 |
upside
反病毒 反詐騙 反虐犬
級別:
版主
版區:
硬體討論
,
公益互助
,
PDA 討論
,
手機討論區
,
詐騙資訊
,
網路&防毒
x372
x2016
分享:
▲
▼
下面是引用三仙於2008-05-08 06:29發表的 :
正在暗渡陳倉 4種後門技術知識
標題是 4種吧
但我只看到
1
2
3.1
3.2
還有 第4呢
呵呵 查過來源 似乎內容都一樣
該不會是把 3.2 認為是第4種
所以樓主也不沒有第4點可回
爸爸 你一路好走
x
0
[2 樓]
From:臺灣 |
Posted:
2008-05-08 13:15 |
BrianFan
級別:
小人物
x5
x13
分享:
▲
受教了!
真的要學的太多了!
學海無涯呀!
x
0
[3 樓]
From:臺灣新世紀 |
Posted:
2008-06-02 12:18 |
MyChat 數位男女
»
防毒防駭討論
Powered by
PHPWind
v1.3.6
Copyright © 2003-04
PHPWind
Processed in 0.055223 second(s),query:16 Gzip disabled
本站由
瀛睿律師事務所
擔任常年法律顧問 |
免責聲明
|
本網站已依台灣網站內容分級規定處理
|
連絡我們
|
訪客留言