网络攻击机制和技术发展综述
2006-11-05 20:30:45 来源:WEB开发网而新类型的后门技术排除了把进程建立在端口上的方式,而是使用sniffer(监听)技术,通过类型匹配的方式,被动地捕捉后门操作者发过来的消息,从而执行相应的指令,后门采用的指示器可以是一个特定的IP地址、一个TCP标志位,甚至是一个没有开放(侦听)的端口。象Cd00r和SAdoor就是类似这样的后门程序。
嗅探式后门(Sniffer/backdoors)可以工作在混杂模式下,也可以工作在非混杂模式下。(编者注:混杂模式是网络监听程序要用到的工作模式,其实就是改变网卡设置,把网卡原来只接收属于自己的数据包的模式,改为不管什么数据包都接收的模式)。
非混杂模式的嗅探式后门,只监听本机通信,只在受害主机上扮演威胁者的角色。
而被设置为混杂模式的后门,可以监听以太网上其它主机的通信数据,这种模式将严重困扰网络安全管理员。设想以下情况:攻击者在DMZ区(停火区)其中一台web服务器放置嗅探式后门,监视另一台mail服务器的通信。对于攻击者来说,他可以只需要向mail服务器发送攻击指令,但mail服务器上其实没有装后门,指令的执行者是web服务器。管理员查来查去还会以为是mail服务器中了木马,却很难想到其实是web服务器中标。这是典型的伪造现场的作案思路。
尽管查找开放的端口的方式已经不够对付最新的后门技术,但传统的对付后门方式仍然是十分重要的。另外,由于大多数后门都针边界服务器,因此,可以利用象Tripwire 和AIDE的完整性检查工具检查系统文件,有利于发现后门程序。
想要了解可疑端口的占用 ,可以使用lsof工具(For Unix)或者Inzider工具(For windows)。另外还可以从远程使用 Nmap 工具进行异常端口占用检测。如果发现一个未知的进程占用了一个端口,尤其是以超级用户权限运行的进程,应该马上进行调查,是谁开启了这个进程。在调查不清楚的情况下可以果断关闭端口或杀掉进程。
更多精彩
赞助商链接