¿Cuáles son las tecnologías de puerta trasera más comunes? Seguridad de la información de la red
1 editor de intrusos anti-clientes
Hacker A. está conectado a la red, pero no hace nada. ¿Qué está haciendo? Lo único que podemos ver es que encendió un cigarrillo y parecía un poco aturdido... Después de un rato, de repente tiró la colilla y golpeó rápidamente el teclado con las manos. A través de la pantalla supimos que ingresó a un servidor interno de la empresa, un servidor con un firewall instalado y muy adentro… ¿Cómo lo hizo? ¿Es un dios? Por favor, lleve la cámara a la escena de ahora. El hacker A mira fijamente la interfaz de un programa entre el humo. De repente, la interfaz cambió y, al mismo tiempo, el hacker A comenzó a escribir en el teclado, seguido de una interfaz de control familiar. Quizás no crea lo que ve: ¿la máquina lo encontró por sí sola? Imposible... pero es verdad. Realmente encontré el servidor yo mismo. El hacker A tampoco es de alta tecnología. Simplemente utilizó una puerta trasera orientada al cliente: el troyano Bounce.
Como todos sabemos, la invasión habitual es que el intruso tome la iniciativa, lo cual es un método similar a la caza. Están indefensos contra presas cautelosas, sin embargo, es mucho más fácil para los intrusos que utilizan técnicas de rebote; Troy, que se recupera, es como una abuela loba esperando que Caperucita Roja llegue a su puerta. En una intrusión general, el intruso opera el programa de control para encontrar y conectarse a la computadora víctima, mientras que en una intrusión de rebote ocurre lo contrario. Abre un puerto en la computadora del intruso, pero permite que la víctima se comunique con el intruso y que éste tome el control de ella. Debido a que la mayoría de los firewalls solo procesan datos externos y hacen la vista gorda ante los datos internos, ocurre una tragedia.
El modo de funcionamiento del troyano de rebote es: la víctima (el ordenador donde está implantado el servidor troyano de rebote) envía una solicitud para conectarse al terminal de control a intervalos regulares, y esta solicitud se repite en un bucle hasta el terminal de control se conecta exitosamente; luego, el terminal de control acepta la solicitud de conexión del servidor y establece un canal de transmisión confiable entre los dos; finalmente, el terminal de control hace algo muy común: obtener el control de la víctima. Debido a que la víctima inicia la conexión, el firewall no alertará a la policía en la mayoría de los casos, y este método de conexión también puede atravesar la red interna para establecer una conexión con el mundo exterior, por lo que es fácil para los intrusos ingresar al interior. computadora.
Aunque el troyano de rebote es más aterrador que el troyano común, tiene una debilidad fatal inherente: su ocultamiento no es lo suficientemente alto porque debe abrir aleatoriamente un puerto local. El rebote de Troy no es difícil de reconocer siempre que la víctima tenga algo de experiencia. Entonces nació otro caballo de Troya.
2 Edición de conexión normal inquieta
Muchos usuarios ahora han instalado servidores HTTP personales, que están destinados a abrir el puerto 80 en la máquina. Esto es normal, pero ¿quién sabe? Esto causa molestias a innumerables administradores de red y convierte un servicio normal en un arma para los intrusos.
Cuando una máquina tiene un túnel, su puerto HTTP es rebotado por el túnel; los datos transmitidos al programa de servicio WWW también se transmiten al túnel detrás de él. El intruso pretende navegar por la web (como piensa la máquina), pero envía una solicitud de datos especial (según el protocolo HTTP). Tanto el túnel como el servicio WWW reciben esta información. Dado que la página solicitada normalmente no existe, el servicio WWW devolverá una respuesta HTTP 404 mientras el túnel exista.
Primero, el túnel envía una confirmación al intruso, informando de la existencia del túnel; luego, el túnel envía inmediatamente una nueva conexión para obtener los datos del ataque del atacante y procesa los datos enviados por el intruso desde el. Puerto HTTP. Finalmente, el túnel hace lo que quiere el intruso. Como se trata de una transferencia de datos "normal", el firewall no la ve. ¿Pero qué pasa si el objetivo no abre el puerto 80? Abrir los puertos sin autorización equivale a un suicidio. Pero los intrusos no olvidarán ese encantador puerto NetBIOS: el puerto 139, que ha estado abierto durante muchos años y comparte datos con él. ¿por qué no? La tecnología de túneles lleva la ocultación de la puerta trasera a un nivel superior, pero esto no significa que sea invulnerable, porque un administrador experimentado verá escenas anormales a través de un rastreador... El ataque del túnel fue derrotado por el administrador, pero una invasión más aterradora es se lleva a cabo en secreto...
3 ediciones de transferencia de datos inútiles
1. El ladrón bajo las narices: ICMP
ICMP (Protocolo de mensajes de control de Internet) es. El mensaje de red más común se ha utilizado ampliamente en ataques de bloqueo de inundaciones en los últimos años, pero pocas personas han notado que ICMP también está involucrado en secreto en esta Guerra de Troya... El ICMP más común El mensaje se utiliza como un ping de búsqueda. , que en realidad son datos ICMP de tipo 8. El protocolo estipula que la máquina remota devolverá una respuesta de tipo 0 después de recibir estos datos, informando "Estoy en línea". Sin embargo, dado que los mensajes ICMP pueden transportar datos, están destinados a convertirse en la mano derecha del intruso.
Debido a que los mensajes ICMP son procesados por el kernel del sistema y no ocupan un puerto, tienen alta prioridad. ICMP es como un pariente del núcleo del sistema, ningún guardia puede detenerlo, por eso el viejo campesino con armas ocultas llamó a la puerta del presidente...
Los programas de puerta trasera que utilizan ICMP especial para transmitir datos son silenciosamente volviéndose popular ponerse de pie. Estos datos aparentemente normales manipulan descaradamente a la víctima bajo la vigilancia del firewall. Incluso si el administrador es un maestro experimentado, no pensará que estos mensajes ICMP "normales" están devorando su máquina. Algunas personas pueden decir, toma la bolsa y echa un vistazo. Sin embargo, en aplicaciones prácticas, la mayoría de los mensajes ICMP que transmiten datos deben estar cifrados. ¿Cómo comprobarlo?
Sin embargo, ICMP no es invencible. Los administradores más experimentados simplemente desactivaron la transmisión de todos los mensajes ICMP, por lo que este familiar ya no tenía acceso al sistema. Aunque esto afectará algunas funciones normales del sistema, para evitar ser asesinado por familiares, solo puedo soportarlo. Las personas más cercanas a usted y las menos sospechosas suelen ser las que tienen más probabilidades de matarlo.
2. Cartero Pervertido - Truco del encabezado IP
Como todos sabemos, la red se basa en datagramas IP, y todo tiene que ver con la IP, incluso la IP del cartero más básica. Los datagramas han sido comprados por los intrusos y esta guerra nunca terminará... ¿Por qué? Primero echemos un vistazo breve a la estructura del datagrama IP, que se divide en dos partes, el encabezado y el cuerpo. El encabezado está lleno de información de dirección y datos de identificación, como un sobre. El cuerpo son datos familiares, como papel sobre el que escribir. Cualquier mensaje se transmite en mensajes IP. Normalmente sólo prestamos atención a lo que está escrito en el papel de carta e ignoramos si el sobre está recubierto con cianato de potasio. Como resultado, muchos gerentes murieron de hipocondría no diagnosticada...
Esto fue causado por un error en la especificación del protocolo, y este error no fue el único, al igual que el ataque SYN también fue causado por un error en la especificación del protocolo. De manera similar, ambos usan encabezados IP. SYN utiliza un sobre falso y el troyano "socket" pinta veneno en el contenido adicional en blanco del sobre: la especificación del protocolo IP estipula que el encabezado IP tiene una cierta longitud para colocar la bandera (¿expreso? ¿Carta ordinaria?), datos adicionales (¿en la carta? Comentario), lo que da como resultado varios bytes de espacio en blanco en el encabezado IP. No subestime estos espacios en blanco, que pueden contener sustancias altamente tóxicas. Estas cartas aparentemente inofensivas no serían interceptadas por el portero, pero el presidente murió inexplicablemente en su oficina...
El intruso rellenó los espacios en blanco del encabezado IP con breves datos del ataque. Si hay demasiados datos, envíe algunos correos electrónicos más. El cartero que se coló en la máquina de la víctima registró el contenido "extra" en el sobre. Cuando estos contenidos pudieron ser reunidos en instrucciones de ataque, el ataque comenzó...
4 Edición de posdata
Con el desarrollo actual de la tecnología de puerta trasera, ya no se trata de una guerra rígida entre máquinas. Aprendieron a probar a los humanos. Si la tecnología de defensa actual se limita al simple juicio y procesamiento de datos, será derrotada por innumerables puertas traseras nuevas.
La verdadera defensa debe basarse en operaciones de gestión humana, en lugar de confiar ciegamente en el código de la máquina; de lo contrario, su máquina se corroerá hasta quedar irreconocible...
************ * **********
Para un análisis técnico profesional, consulte la Biblioteca Baidu:
/Link? URL = aoryitly 10 hfan 9 dfzuzfanz 2 wtcwjn _ vlgbmhdzzjjund 4 uywsdbr-ELN 5 rdsu 974 hzk _ uo9 PTW 259 x 8 twheqf 1 yqevse 7g _ klr OVX 8 zlo
Descripción general de la tecnología de puerta trasera