“后门”的攻击与防御

核心提示：编者按：最近qq，sina北美站纷纷被攻击，“后门”的攻击与防御，其中不少攻击的主机都是肉鸡所为——那什么是肉机呢？就是被安置了后门程序的服务器，下面让我们来看看一台服务器是怎么样被埋下后门的，并不是任何一个权限的帐号都能够被利用的，只有权限达到操作系统一定要求的才允许执行修改注册表，在静悄悄地

编者按：最近qq，sina北美站纷纷被攻击，其中不少攻击的主机都是肉鸡所为——那什么是肉机呢？就是被安置了后门程序的服务器，下面让我们来看看一台服务器是怎么样被埋下后门的。

在静悄悄地数字世界里，广大的网络中，用户所不知的暗面，潜藏着无尽的危机与陷阱。而其中一种非常出名的陷阱，叫做“后门”。

原理分析

什么是后门？后门又称为Back Door —— 谈到它，就不得不先提一下相关知识：大家都知道，一台计算机上有65535个端口，那么如果把计算机看作是一间屋子，那么这65535个端口就可以它看做是计算机为了与外界连接所开的65535扇门。为什么需要那么多扇门呢？因为主人的事务很繁忙，它为了同时处理很多应酬，就决定每扇门只对一项应酬的工作。所以有的门是主人特地打开迎接客人的（提供服务），有的门是主人为了出去访问客人而开设的（访问远程服务）——理论上，剩下的其他门都该是关闭着的，但偏偏因为各种原因，有的门在主人都不知道的情形下，却被悄然开启。于是就有好事者进入，主人的隐私被刺探，生活被打扰，甚至屋里的东西也被搞得一片狼迹。这扇悄然被开启的门——就是今天我们要讲的“后门”。当然，这只是一个比喻，事实上除了通过端口连接外，也可以通过串/并口，无线设备连接的方式进行入侵，为了行文方便，以下文中的“端口”泛指各种对外接口（interface）。

后门产生的必要条件

后门产生的必要条件有以下三点：

1．必须以某种方式与其他终端节点相连——由于后门的利用都是从其他节点进行访问，因此必须与目标机使用双绞线、光纤维、串/并口、蓝牙、红外等设备在物理信号上有所连接才可以对端口进行访问。只有访问成功，双方才可以进行信号交流，攻击方才有机会进行入侵。
　　2．目标机默认开放的可供外界访问的端口必须在一个以上——因为一台默认无任何端口开放的机器是无法连接通信的，而如果开放着的端口外界无法访问，则同样没有办法进行入侵。
　　3．目标机存在程序设计或人为疏忽，导致攻击者能以权限较高的身份执行程序。并不是任何一个权限的帐号都能够被利用的，只有权限达到操作系统一定要求的才允许执行修改注册表，修改log记录等相关修改。