El pirata informático explica las cuatro tecnologías de puerta trasera populares (2)

Primero, el túnel envía al intruso datos de confirmación para informar de la existencia del túnel, luego el túnel envía inmediatamente una nueva conexión para solicitar los datos de ataque del intruso y procesarlos. Los datos enviados por el intruso desde el puerto HTTP, finalmente, el túnel realiza las operaciones que el intruso desea. Como se trata de una transferencia de datos "normal", el firewall no la ve. Pero, ¿y si el objetivo no abre el puerto 80? La apertura no autorizada de un puerto equivale a un suicidio. Pero el intruso no olvidará el lindo puerto NetBIOS, el puerto 139 que ha estado abierto durante años, compartiendo datos con él, ¿por qué no? La tecnología de túnel hace que la puerta trasera se oculte a otro nivel, pero esto no significa que sea impecable, porque un administrador experimentado verá la escena anormal a través de Sniffer ... El ataque del túnel es derrotado por el administrador, pero es una especie de Se están llevando a cabo secretamente más intrusiones terribles ...

3. ¿Transmisión inútil de datos?

El ladrón debajo de los párpados - ICMP

ICMP, el Protocolo de mensajes de control de Internet, los mensajes de red más comunes, se han utilizado ampliamente en los ataques de bloqueo de inundaciones en los últimos años. Pero pocas personas se han dado cuenta de que ICMP también está involucrado en secreto en esta guerra de troyanos ... El mensaje ICMP más común se usa como un buscador: PING, que en realidad es un tipo de datos ICMP tipo 8, el protocolo especifica la máquina remota Después de recibir estos datos, devuelve una respuesta de tipo 0, informando "Estoy en línea". Sin embargo, dado que el mensaje ICMP en sí mismo puede transportar datos, está destinado a convertirse en un asistente eficaz para el intruso. Dado que los mensajes ICMP son manejados por el kernel del sistema y no ocupa puertos, tiene una alta prioridad. ICMP es como un pariente del kernel del sistema y puede ser bloqueado por cualquier guardia. Por lo tanto, el anciano de la canasta con armas está llamando a la puerta del presidente ...

La puerta trasera que usa datos ICMP especiales es silenciosa Popular, este dato aparentemente normal bajo la supervisión del firewall es el maestro de la víctima, incluso si el administrador es un maestro experimentado, no pensará que estos mensajes ICMP "normales" se estén tragando su máquina. Algunas personas pueden decir que coger la bolsa para verla. Sin embargo, en aplicaciones prácticas, la mayoría de los mensajes ICMP que pasan datos están definitivamente encriptados. ¿Cómo se verifican?

Sin embargo, ICMP no es invencible. Los administradores con más experiencia simplemente prohíben todas las transmisiones de mensajes ICMP, por lo que los familiares ya no están cerca del sistema, aunque hacerlo afectará algunas de las funciones normales del sistema. Sin embargo, para evitar ser asesinados por familiares, solo puedo soportarlo. La persona más íntima y menos sospechosa es a menudo la que es más fácil de matar.

Cartero inusual - estrategia de encabezado de IP

Todos sabemos que la red se basa en datagramas de IP, todo debe lidiar con IP, pero incluso con IP Este cartero básico también fue comprado por el intruso, y la guerra nunca se detiene ... ¿Por qué? Veamos brevemente la estructura de un datagrama IP. Está dividida en dos partes, la primera parte y el cuerpo. La primera parte está llena de información de direcciones e información de identificación, al igual que un sobre; el cuerpo es la información con la que estamos familiarizados, al igual que el membrete. Cualquier mensaje está envuelto en un mensaje IP. Por lo general, solo prestamos atención a lo que está escrito en la carta, pero ignoramos la aplicación de cianato de potasio en el sobre. Como resultado, muchos administradores mueren por sospechosos indetectables ...

Esto se debe a un defecto en la especificación del protocolo. Este error no es exclusivo, al igual que el ataque SYN también se debe a un error en la especificación del protocolo. Del mismo modo, ambos utilizan el encabezado IP. SYN usa un sobre falso, mientras que el troyano "socket" mancha el espacio en blanco adicional en el sobre - el protocolo IP especifica que el encabezado IP tiene una cierta longitud para colocar la bandera (¿Express? ¿Plano?) Los datos adicionales (comentarios en la carta), que resultan en unos pocos bytes de espacio en blanco en el encabezado de IP, no subestiman estos espacios en blanco, ya que pueden transportar sustancias altamente tóxicas. Estas cartas aparentemente inofensivas no serán interceptadas por los guardias, pero el presidente está muerto en la oficina sin saberlo ...

El intruso llena los vacíos en el encabezado de IP con datos cortos de ataque, si los datos son demasiado Más, acaba de enviar unas cuantas cartas. El cartero que se mezcló con la máquina de la víctima registra el contenido "extra" del sobre. Cuando el contenido se puede juntar en un comando de ataque, comienza el ataque ...

Conclusión

La tecnología de puerta trasera se ha desarrollado hasta el día de hoy Ya no es una guerra rígida de máquina a máquina. Han aprendido a probar a los humanos. Si la tecnología de defensa actual todavía está estancada en el simple procesamiento de juicio de datos, será derrotada por innumerables nuevas puertas traseras. La verdadera defensa debe basarse en las operaciones de gestión humana, en lugar de confiar únicamente en el código de la máquina, de lo contrario, su máquina se dañará más allá del reconocimiento ...