¿Cuáles son las tecnologías de puerta trasera más comunes? Seguridad de la información de la red
1 Editor de intrusión inversa
El hacker A está conectado a la red, pero no podemos ver ninguna de sus operaciones, entonces, ¿qué está haciendo? Sólo podemos verlo encendiendo un cigarrillo y pareciendo aturdido…. Después de un rato, de repente tiró el cigarrillo y rápidamente tocó el teclado con ambas manos. A través de la pantalla, supimos que ingresó a un servidor interno de la organización. Este servidor tenía instalado un firewall en el fondo. ¿Lo hizo? ¿Es un dios? Rebobine la cámara a la escena en este momento. El hacker A estaba mirando la interfaz de un programa en el humo. De repente, la interfaz cambió. Al mismo tiempo, el hacker A también comenzó a escribir en el teclado y el siguiente paso fue un control familiar. interfaz. Puede que no crea lo que ve: ¿la máquina llegó sola a su puerta? Imposible... pero efectivamente es así, realmente fue el servidor el que lo creó por sí solo. El nivel técnico del hacker A no es alto. Simplemente utilizó una puerta trasera que se utiliza principalmente contra los clientes: un troyano de rebote.
Como todos sabemos, la intrusión suele significar que el intruso toma la iniciativa de atacar. Este es un método similar a la caza frente a presas muy vigilantes, ya son vulnerables pero por el uso del rebote; tecnología Para los intrusos, es mucho más fácil para ellos. El troyano de rebote es como la abuela Lobo, esperando que Caperucita Roja llegue a la puerta en persona. En la intrusión general, el intruso opera el programa de control para encontrar el punto de conexión con la computadora de la víctima, pero la intrusión de rebote hace lo contrario: abre un puerto en la computadora del intruso, pero permite que la víctima se comunique con el intruso y le permite al intruso. La mayoría de los firewalls controlados por atacantes solo procesan datos externos y hacen la vista gorda ante los datos internos, por lo que ocurre una tragedia.
El modo de funcionamiento del troyano de rebote es el siguiente: la víctima (el ordenador en el que está implantado el servidor troyano de rebote) envía periódicamente solicitudes de conexión al extremo de control, y esta solicitud se repite en un bucle hasta que se conecta con éxito al extremo de control; a continuación, el extremo de control acepta la solicitud de conexión del servidor y establece un canal de transmisión confiable entre los dos; finalmente, el extremo de control hace lo habitual: obtener el control de la víctima; Dado que la conexión la inicia la víctima, el firewall no alertará a la policía en la mayoría de los casos. Además, este método de conexión también puede atravesar la red interna y establecer una conexión con el exterior.
Aunque el troyano Bounce es más aterrador que los troyanos comunes, tiene una debilidad fatal inherente: no es lo suficientemente sigiloso porque debe abrir aleatoriamente un puerto localmente y, siempre que la víctima tenga un poco de experiencia, es difícil identificar el troyano Bounce. No es difícil. Así nació otro troyano.
2 Editor de conexión normal inquieto
Hoy en día, muchos usuarios han instalado servidores HTTP personales, que están destinados a abrir el puerto 80 en la máquina. Esto es algo muy importante. Algo normal, pero quién diría que se trata de una nueva tecnología, que ha causado problemas a innumerables administradores de red y ha convertido los servicios normales en armas para los intrusos.
Cuando una máquina se implanta en un túnel, su puerto HTTP será rebotado por el túnel; los datos transmitidos al programa de servicio WWW también se transmitirán al túnel detrás de él. El intruso pretende navegar por la web (la máquina cree que está navegando), pero envía una solicitud de datos especial (conforme al protocolo HTTP), que es recibida tanto por el túnel como por el programa de servicio WWW.
Dado que la página web solicitada generalmente no existe, el servicio WWW devolverá una respuesta HTTP 404 y el túnel está ocupado...
Primero, el túnel envía datos de confirmación al intruso. envía los datos de confirmación del intruso. Los datos de confirmación se envían para confirmar la existencia del túnel; luego, el túnel envía inmediatamente una nueva conexión, solicita al intruso los datos del ataque y finalmente procesa los datos del intruso desde el puerto HTTP; realiza la operación que el intruso desea. Dado que se trata de una transferencia de datos "normal", el firewall no la verá. ¿Pero qué pasa si el objetivo no tiene el puerto 80 abierto? Abrir un puerto sin autorización es suicida. Pero los intrusos no se olvidan del encantador puerto NetBIOS (el puerto 139, que ha estado abierto durante años) y comparten datos con él, así que ¿por qué no? La tecnología de túneles oculta la puerta trasera a otro nivel, pero esto no significa que sea invulnerable, porque los administradores experimentados verán escenas anormales a través de Sniffer... El ataque del túnel del administrador fue derrotado, pero es más aterrador ¡La invasión está en marcha en secreto! ......
3 editores de transmisión de datos inútiles
1. Stealer--ICMP
ICMP, Protocolo de mensajes de control de Internet (Protocolo de mensajes de control de Internet) , el mensaje de red más común, se ha utilizado ampliamente en ataques de prevención de inundaciones en los últimos años, pero pocas personas han notado que ICMP también está involucrado en secreto en esta guerra de caballos de Troya... El mensaje ICMP más común que se usa como buscador de ruta es PING, que en realidad es un dato ICMP de tipo 8. El protocolo requiere que la máquina remota reciba el Cuando se devuelven los datos, Se devuelve una respuesta de tipo 0 para informar "Estoy en línea". Sin embargo, dado que los mensajes ICMP pueden transportar sus propios datos, están destinados a convertirse en la mano derecha de un intruso. Dado que los mensajes ICMP son procesados por el núcleo del sistema y no ocupan un puerto, tienen una alta prioridad. ICMP es como un pariente del núcleo del sistema. Puede usarse sin ser bloqueado por ningún guardia, por lo que el paleto llamó a la puerta del presidente con una canasta y un arma. ......
Las puertas traseras que utilizan datos especiales transportados por ICMP se están volviendo populares. Estos datos aparentemente normales se manipulan abiertamente bajo la supervisión de firewalls, incluso si el administrador es un experto con experiencia. No habría pensado que estos mensajes ICMP "normales" se estaban tragando su máquina. Algunas personas pueden decir, toma la bolsa y echa un vistazo. Sin embargo, en la operación real, la mayoría de los datos transmitidos por mensajes ICMP deben estar cifrados. ¿Cómo se verifica?
Sin embargo, ICMP no es invencible. Los administradores experimentados simplemente desactivan todas las transmisiones ICMP, por lo que los familiares. Puede que no esté cerca del sistema. Aunque esto afectará algunas funciones normales del sistema, para evitar ser asesinado por familiares, ¡solo podemos soportarlo! La persona más cercana a ti y la que menos sospechas tiene. La persona más cercana a usted y la menos sospechosa suele ser la que tiene más probabilidades de matarlo.
2. El cartero inusual: el primer plan de IP
Todos sabemos que la red se basa en datagramas IP, y todo debe tratar con IP, pero incluso la mayoría. El cartero de mensajes IP básicos ha sido sobornado por intrusos y ¡la guerra nunca termina! ...¿Por qué sucede esto? Comprendamos brevemente la estructura del datagrama IP. Se divide en dos partes: el encabezado y el cuerpo. El encabezado está lleno de información de dirección y datos de identificación, como un sobre con datos familiares, como el papel de carta. . Cualquier información se transmite en forma de información IP. Normalmente sólo prestamos atención a lo que está escrito en el papel de carta, pero ignoramos si el sobre está recubierto con cianato de potasio.
Por lo tanto, muchos administradores mueren por la sospecha de que no pueden verificar...
Esto se debe a una falla en la especificación del protocolo, y este error no es único, al igual que los ataques SYN también son causados por Lo mismo es causado por errores en la especificación del protocolo. Nuevamente, ambos usan prefijos IP; SYN usa un sobre falso, mientras que el troyano "Socket" agrega espacio en blanco adicional al sobre; la especificación del protocolo IP especifica que el prefijo IP tiene una cierta longitud para colocar el bit de bandera (¿Express?) plano. ¿correo? ) La especificación del protocolo IP estipula que el prefijo IP tiene una cierta longitud y se utiliza para colocar banderas (¿correo urgente?) y datos adicionales (notas de carta). Por lo tanto, hay algunos bytes de espacio en blanco al comienzo del. Prefijo IP y estos espacios en blanco no se pueden ignorar. Sin embargo, puede contener sustancias altamente tóxicas. Estas cartas aparentemente inofensivas no serían interceptadas por el guardia, pero el presidente murió inexplicablemente en su oficina...
El intruso rellenó los huecos en el encabezado IP con breves datos de ataque, si hay demasiados. datos, envíe algunas cartas más. El cartero que se infiltra en la máquina de la víctima registra el contenido "extra" en el sobre, y cuando estos se pueden unir en comandos de ataque, comienza el ataque. ......
4 Editor de conclusiones
Con el desarrollo actual de la tecnología de puerta trasera, ya no es una tecnología rígida de máquina a máquina. Es una guerra rígida entre máquinas. Han aprendido a poner a prueba a las personas. Si la tecnología de defensa actual todavía se basa en el simple juicio y procesamiento de datos, será derrotada por innumerables nuevas puertas traseras. La verdadera defensa debe basarse en operaciones de gestión humana en lugar de depender del código de máquina; de lo contrario, su máquina se corroerá hasta quedar irreconocible...
************************
Para obtener un análisis técnico profesional, consulte la Biblioteca Baidu:
/link?url=aoRyiTLY10HFan9dfZUzFAnZ2wTcWJN_VLGBmHdzZjJUnD4uyWSdBR-Eln5rDsU974hzk_uO9pTw259x8TwHeqF1YqEVsE7G_klrOVx8zlO
Resumen de la tecnología de puerta trasera