Cómo defenderse de los agentes del orden cibernéticos

Contraataque al Network Law Enforcement Officer

Como software de gestión, el "Network Law Enforcement Officer" ha sido popular durante algún tiempo, y quienes lo han sufrido deben odiarlo. Hoy usamos mucho Las identidades del administrador de la red y aquellos que están siendo administrados hablan sobre el proceso de aplicación de la ley y el proceso de avance del software. Primero, echemos un vistazo a la descripción del "Oficial de aplicación de la ley de red" en Internet: el proceso principal del Oficial de aplicación de la ley de red se puede ejecutar en cualquier máquina en la LAN. Puede penetrar firewalls y monitorear en tiempo real. y registrar el estado en línea de los usuarios en toda la LAN. Limitar la IP y el período de tiempo utilizado por cada usuario cuando se conecta, y expulsar a los usuarios ilegales de la LAN. ¡El software es aplicable dentro de la LAN y no puede monitorear ni administrar máquinas fuera de la puerta de enlace o enrutador!

Porque hay rumores en Internet de que puede penetrar firewalls, lo que realmente me asusta. Pero no sé si existe tal afirmación en el lado del software. Puede ser que algunos partidarios lo consideren. como sagrado cambió, así que comencé a estudiar cómo penetró el cortafuegos. Después de leer este artículo, sabrá "cómo penetrar el firewall".

De hecho, "Network Law Enforcement Officer" logra fines de gestión mediante la suplantación de ARP. Hay muchos artículos sobre la suplantación de ARP en Internet. Si no está seguro, puede buscarlos. De hecho, "Network Law Enforcement Officer" es simplemente un software de gestión muy común. Aunque sus funciones son más completas y estables, no es esencialmente diferente de otros programas. Si desea saber cómo gestiona el segmento de red sin permitir que las estaciones de trabajo que gestiona accedan a Internet, debe rastrear los principios de la comunicación en red. Debido a que las características principales de este software se basan en la capa de enlace de datos, he simplificado el resto. El Cuadro 1 muestra las funciones principales del modelo de referencia de siete capas de IOS.

Conceptos básicos de la red: capa física, capa de enlace de datos, capa de red

Aspecto del usuario: capa de transmisión, sesión, presentación y aplicación

Sabemos, nosotros La comunicación Está estrechamente relacionado con el protocolo de siete capas de la red. A continuación virtualizamos una red de área local para explicar el proceso de comunicación de la red y el proceso de gestión del "Oficial de aplicación de la ley de la red". Cuando estamos en la capa superior del protocolo de siete capas, el host A quiere comunicarse con otros hosts, como telnet con el host B. Cada capa empaqueta los datos y luego encapsula la etiqueta de datos que solo puede reconocer. el proceso de comunicación debajo de la cuarta capa, como en la Figura 2.

1. Cuando el paquete de datos llega a la capa de transporte, dado que telnet utiliza el protocolo TCP, la capa de transporte mantendrá los datos transmitidos desde la capa superior y encapsulará el encabezado TCP para que el host de destino pueda descomprimirlo correctamente. y continúe con la transferencia de la capa inferior (capa de red).

2. La capa de red no cambiará los paquetes de datos anteriores, por supuesto, incluidos los archivos de encabezado anteriores. Primero, el host A debe juzgar el host de destino. y su propia subrutina El resultado de la operación AND de la máscara de red es 172.16.12.0, y luego realiza la operación AND con su propia máscara y la dirección IP del host B. El resultado es 172.16.12.0. que están en el mismo segmento de red, y luego encapsulará su propia IP y la dirección IP del objetivo, y la transmitirá al mismo tiempo que los datos transmitidos desde la capa superior.

3. La capa de enlace de datos en realidad incluye dos subcapas, una es la subcapa LLC y la otra es la subcapa MAC. Sabemos que la comunicación en Ethernet se aborda físicamente. En esta capa, se encapsulan la dirección MAC propia y la dirección MAC de la otra parte. Por supuesto, el usuario no le notificó la dirección MAC. En este momento, el host verificará su propia tabla de caché para ver si existe la dirección MAC del host B. Si es así, la encapsulará. envíe un paquete de transmisión de resolución de dirección ARP. Solo sobrevivirá en este segmento de red y será etiquetado. Aunque todos los hosts pueden recibir el paquete de transmisión, solo se pasará a la capa de enlace de datos del host, o más precisamente a la capa superior. de la capa de enlace de datos.

4. Luego, los datos se transmitirán desde nuestro cable de red y otros medios de transmisión. Cuando el host B reciba los datos, realizará el mismo trabajo pero a la inversa. , como se muestra en la Figura 3.

Lo anterior es una breve descripción del proceso de transmisión de datos entre los dos hosts. Después de hablar durante mucho tiempo, no mencioné cómo el "Oficial de aplicación de la ley de la red" podría impedirnos acceder a Internet. De hecho, nuestra estación de trabajo LAN quería Los paquetes de datos que van a la red pública a través del servidor proxy son un poco diferentes de los anteriores. De hecho, después de comprender lo anterior, podemos comprender fácilmente cómo se envían los paquetes de datos desde la estación de trabajo al público. red va.

Hablando del host A que quiere hackear el sitio web oficial de Luego, usa tu propia máscara y la IP del sitio web oficial de Black X para el cálculo (Black Encapsulate y luego pásala a la capa inferior. En este momento, la capa de enlace de datos no encapsulará la dirección MAC de Black Al mismo tiempo, cuando la puerta de enlace recibe los datos, verificará la dirección IP de destino, que por supuesto no es su propia dirección IP, para saber que los datos son enrutados por él y luego envía el paquete de datos a su vecino. o red Vaya al enrutador del operador, repita las acciones anteriores y transmita los datos al sitio web oficial de Black X antes de que el valor TTL llegue a 0. ¡La transmisión de datos se realizó correctamente!

¡En cuanto a por qué el "oficial de aplicación de la ley de red" puede privarnos del derecho a acceder a Internet en función de la MAC de la tarjeta de red! Debido a que el "Oficial de aplicación de la ley de red" utiliza el principio de suplantación de ARP, continuará enviando paquetes de transmisión ARP de baja velocidad. Principalmente engaña al equipo de segunda capa de la PC, lo que hace que el host pierda la dirección MAC correcta, lo que provoca que la falla de la función de la segunda capa. Esta administración de software tiene los siguientes síntomas:

1. El host no puede acceder a Internet, pero la función LAN es normal. Esto se debe a que ARP distorsiona la notificación de una dirección MAC de pseudo puerta de enlace, por lo que la máquina del usuario. No se puede encontrar la dirección MAC de la puerta de enlace real. Por supuesto, el error de encapsulación ocurre en la capa de enlace de datos.

2. No se puede acceder a Internet y utilizar la función LAN (los administradores de red generales no harán esto y solo tratarán con usuarios restringidos, en este caso, el host que ejecuta el "Oficial de aplicación de la ley de red"). ha engañado a todos los usuarios en el mismo segmento de red en la LAN, lo que hace que todos los hosts registren de manera distorsionada la dirección MAC del host administrado. De manera similar, el host administrado también registrará incorrectamente las direcciones MAC de otros hosts, lo que lleva a los resultados anteriores.

3. No se puede acceder a Internet, no se puede utilizar la función LAN y las palabras "conflicto de dirección IP" a menudo aparecen en el escritorio (generalmente los usuarios restringidos no tendrán este tratamiento), esto es un típico juego de lucha de direcciones de "conflicto de direcciones IP".

Para este tipo de software de administración de red que utiliza direcciones MAC y direcciones IP para administrar nuestro software de administración de red, cuando se trata de la primera restricción, no hay restricción en la LAN. Existe un método en Internet que utiliza esta función y es efectivo si el oficial de policía de la red está instalado en la puerta de enlace. Si el software no está instalado en la puerta de enlace... aún así no funcionará. (Xiaocai: ¿Entonces no podemos acceder a Internet?) Por supuesto que no, solo un método puede garantizar que la conexión TCP pueda comunicarse, que consiste en utilizar un caché ARP estático y enviar continuamente la información de la dirección MAC correcta a la puerta de enlace y a otros hosts. Puede garantizar una conexión TCP normal a Internet. Nota: ¡TCP tiene un mecanismo de detección de errores y puede retransmitirse! Por supuesto, si el administrador de la red es muy astuto y mezquino, ¡te echará en un minuto!

¡Mira lo poderoso que es el oficial de aplicación de la ley en Internet! Debes pensar que estoy promocionando este software, pero en realidad quiero decirte que necesitamos usar diferentes contramedidas con diferentes métodos de gestión, para que podamos progresar en ataque y defensa. Permítanme echar un vistazo a su alcance de gestión como se muestra en la Figura 4, su gestión