“后门”的攻击与防御
2006-11-05 20:36:22 来源:WEB开发网另外一些当年为局域网开启的协议也在安全验证方面存在很多疏忽,比如netbeui、netbios等原本用于“可信任”的局域网络的协议,将它放置在商业化的“不可信任”的互联网络中则是不明智的。我们以netbios进行简单分析:netbios主要是用来在网络上鉴别资源的,程序使用这些名称开始和结束会话。这个协议的特点是简单高效,缺点则是不验证对方身份就可以获得信息。而在windows系统中,smb和nbt(tcp/ip上的netbios)是紧密捆绑在一起工作的,使用的都是137、138、139端口:137是netbios名称,138端口是netbios数据报文,139端口是netbios会话——我们常用的“网络邻居”就需要这个协议。由于原本这个协议考虑的是如何最高效率地传输数据,向其他机器广播自己的存在,因此对于安全验证方面相对薄弱,许多病毒都是通过共享途径传播的,例如爱情后门、欢乐时光等等。这就是天缘从一直以来在文章都推荐大家放弃“网络共享”改用ftp的原因。将此类不够安全的协议放置于不安全网络之上,就是为攻击者准备好了一扇虚掩着的门。
后门程序如何隐藏的?
判断题:后门程序是不是程序?是不是具有可执行程序的通性??
答案自然是肯定的。打开后门的端口其实就是木马程序在机器上所开的,为的是方便该程序在不为目标机用户所知的情况下被攻击者访问/控制所用。好了,到了这里,问题被转换成了——后门程序的放置、执行、驻留、开放端口、隐藏自身信息、远远程连接的实现。
首先是放置,与病毒程序类似,后门程序也是通过操作系统漏洞、程序bug、协议安全漏洞传播、社会工程学传播为主,不过相比之下多了一个程序编写者预留。关于这一部分的知识,读者可以参考yesky上关于木马如何传播的介绍,也可参考天缘的另一则文章《安全宝典——病毒及攻击防御手册》。事实上后门程序可以看作是木马程序的一种,其他的木马程序还包括键盘/鼠标记录、隐私文件偷取等等方面的,后门则主要是专注于远程控制/访问这一部分。因此我们通常把后门程序看作是木马程序中的一个分支。从某种程度上来说,后门程序是技术含量相对较高的一类木马程序。
更多精彩
赞助商链接