网络攻击机制和技术发展综述

核心提示： 而新类型的后门技术排除了把进程建立在端口上的方式，而是使用sniffer(监听)技术，网络攻击机制和技术发展综述(4)，通过类型匹配的方式，被动地捕捉后门操作者发过来的消息，应该马上进行调查，是谁开启了这个进程，从而执行相应的指令，后门采用的指示器可以是一个特定的IP地址、一个TCP标志位

而新类型的后门技术排除了把进程建立在端口上的方式，而是使用sniffer(监听)技术，通过类型匹配的方式，被动地捕捉后门操作者发过来的消息，从而执行相应的指令，后门采用的指示器可以是一个特定的IP地址、一个TCP标志位，甚至是一个没有开放（侦听）的端口。象Cd00r和SAdoor就是类似这样的后门程序。

嗅探式后门(Sniffer/backdoors)可以工作在混杂模式下，也可以工作在非混杂模式下。(编者注：混杂模式是网络监听程序要用到的工作模式，其实就是改变网卡设置，把网卡原来只接收属于自己的数据包的模式，改为不管什么数据包都接收的模式)。

非混杂模式的嗅探式后门，只监听本机通信，只在受害主机上扮演威胁者的角色。

而被设置为混杂模式的后门，可以监听以太网上其它主机的通信数据，这种模式将严重困扰网络安全管理员。设想以下情况：攻击者在DMZ区(停火区)其中一台web服务器放置嗅探式后门，监视另一台mail服务器的通信。对于攻击者来说，他可以只需要向mail服务器发送攻击指令，但mail服务器上其实没有装后门，指令的执行者是web服务器。管理员查来查去还会以为是mail服务器中了木马，却很难想到其实是web服务器中标。这是典型的伪造现场的作案思路。

尽管查找开放的端口的方式已经不够对付最新的后门技术，但传统的对付后门方式仍然是十分重要的。另外，由于大多数后门都针边界服务器，因此，可以利用象Tripwire 和AIDE的完整性检查工具检查系统文件，有利于发现后门程序。

想要了解可疑端口的占用 ，可以使用lsof工具(For Unix)或者Inzider工具(For windows)。另外还可以从远程使用 Nmap 工具进行异常端口占用检测。如果发现一个未知的进程占用了一个端口，尤其是以超级用户权限运行的进程，应该马上进行调查，是谁开启了这个进程。在调查不清楚的情况下可以果断关闭端口或杀掉进程。