利用“http暗藏通道”大举攻破局域网

核心提示： 0x0020 5010 2238 98e4 0000 746f 7461 6c20 3636P."8....total.660x0030 370d 0a64 7277 7872 2d78 722d 7820 20327..drwxr-xr-x..20x0040 3920 726f

0x0020 5010 2238 98e4 0000 746f 7461 6c20 3636　　　　P."8....total.66

0x0030 370d 0a64 7277 7872 2d78 722d 7820 2032　　　　7..drwxr-xr-x..2

0x0040 3920 726f 6f74 2020 2020 2072 6f6f 7420　　　　9.root.....root.

呵呵，这次清楚多了，上面应该是一次ls命令的输出结果，可以清楚的看到telnet的结果!果然telnet的数据是在80端口的数据包内!

Httptunnel带来的安全问题

写到这里，我们可以想象一下，如果管理员完全信赖防火墙，那么在一个有这样隐患的的局域网中，会发生什么样的后果?

我们可以看到，多年以来，对防火墙的依赖也一直列在SANS的Top 10安全问题中。

既然如此，就很自然的会产生一个问题是:这种httptunnel行为能被发现吗?

首先我们想到的是使用入侵检测系统，在目前的网络安全设计中，防火墙加入侵检测系统是一种比较流行的安全联动配置，既然httptunnel绕过了防火墙，那么IDS系统呢?我们来测测看看。

在下面的测试中，我们将使用IDS系统是Snort，版本1.8.2。这可是大名鼎鼎的开放源代码的IDS系统，在它的说明中，被描述为一个轻量级的，可跨平台工作的入侵检测系统，在2001年12月英国的独立测试实验室NSS的评测中，击败了包括商用IDS系统的所有对手，这些商用软件可是包括 ISS，CISCO SECURE IDS，CA ETRUST，CYBERSAFE CENTRAX，NFR。有兴趣的读者还可以看这篇名为Open source mounts IDS challenge 的报道。

好，对Snort的大致介绍完毕，我们来看看结果吧，Snort对整个试验过程抓获的数据包产成了告警，如下:

[**] WEB-MISC whisker splice attack [**]

12/02-14:42:54.389175 client.yiming.com:51767-> server.yiming.com:80