資源描述:
《“后門”的攻擊與防御》由會(huì)員上傳分享���,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫(kù)�����。
1����、“后門”的攻擊與防御~教育資源庫(kù) 編者按:最近,sina北美站紛紛被攻擊�����,其中不少攻擊的主機(jī)都是肉雞所為那什么是肉機(jī)呢?就是被安置了后門程序的服務(wù)器���,下面讓我們來看看一臺(tái)服務(wù)器是怎么樣被埋下后門的����?����! ≡陟o悄悄地?cái)?shù)字世界里�����,廣大的網(wǎng)絡(luò)中��,用戶所不知的暗面���,潛藏著無盡的危機(jī)與陷阱���。而其中一種非常出名的陷阱,叫做后門��?��! ≡矸治觥 ∈裁词呛箝T��?后門又稱為BackDoor談到它�,就不得不先提一下相關(guān)知識(shí):大家都知道���,一臺(tái)計(jì)算機(jī)上有65535個(gè)端口����,那么如果把計(jì)算機(jī)看作是一間屋子��,那么這65535個(gè)端口就可以它看做是計(jì)算機(jī)為了與外界連
2����、接所開的65535扇門。為什么需要那么多扇門呢����?因?yàn)橹魅说氖聞?wù)很繁忙,它為了同時(shí)處理很多應(yīng)酬��,就決定每扇門只對(duì)一項(xiàng)應(yīng)酬的工作����。所以有的門是主人特地打開迎接客人的(提供服務(wù))���,有的門是主人為了出去訪問客人而開設(shè)的(訪問遠(yuǎn)程服務(wù))理論上,剩下的其他門都該是關(guān)閉著的����,但偏偏因?yàn)楦鞣N原因,有的門在主人都不知道的情形下�����,卻被悄然開啟��。于是就有好事者進(jìn)入���,主人的隱私被刺探����,生活被打擾���,甚至屋里的東西也被搞得一片狼跡�。這扇悄然被開啟的門就是今天我們要講的后門�����。當(dāng)然,這只是一個(gè)比喻��,事實(shí)上除了通過端口連接外�����,也可以通過串/并口��,無線設(shè)備連接的方式
3�、進(jìn)行入侵����,為了行文方便,以下文中的端口泛指各種對(duì)外接口(interface)���?���! 『箝T產(chǎn)生的必要條件 后門產(chǎn)生的必要條件有以下三點(diǎn): 1.必須以某種方式與其他終端節(jié)點(diǎn)相連由于后門的利用都是從其他節(jié)點(diǎn)進(jìn)行訪問���,因此必須與目標(biāo)機(jī)使用雙絞線��、光纖維����、串/并口、藍(lán)牙�、紅外等設(shè)備在物理信號(hào)上有所連接才可以對(duì)端口進(jìn)行訪問。只有訪問成功��,雙方才可以進(jìn)行信號(hào)交流�,攻擊方才有機(jī)會(huì)進(jìn)行入侵?��! ?.目標(biāo)機(jī)默認(rèn)開放的可供外界訪問的端口必須在一個(gè)以上因?yàn)橐慌_(tái)默認(rèn)無任何端口開放的機(jī)器是無法連接通信的����,而如果開放著的端口外界無法訪問�����,則同樣沒有辦法進(jìn)行入
4�、侵?����! ?.目標(biāo)機(jī)存在程序設(shè)計(jì)或人為疏忽,導(dǎo)致攻擊者能以權(quán)限較高的身份執(zhí)行程序���。并不是任何一個(gè)權(quán)限的帳號(hào)都能夠被利用的�����,只有權(quán)限達(dá)到操作系統(tǒng)一定要求的才允許執(zhí)行修改注冊(cè)表�����,修改log記錄等相關(guān)修改�����。 以上三條要求對(duì)于一臺(tái)普通的聯(lián)入inter的電腦來說都是很容易滿足的�。上網(wǎng)的電腦用pppoe、ppp等方式與網(wǎng)絡(luò)相連����,且默認(rèn)打開多個(gè)端口,至于操作系統(tǒng)的bug以及人為疏忽則更始屢見不鮮了這就是說�,我們平時(shí)使用的任何一臺(tái)電腦都存在著被放置后門的可能,因此有必要保持警惕及作好相關(guān)防御措施���?! 『箝T被開啟的條件 明白了后門產(chǎn)生的必要條件后
5、�����,接下來讓我們來看看�,這些后門都是在什么情況下被開啟的: 1.操作系統(tǒng)自帶服務(wù); 2.網(wǎng)絡(luò)協(xié)議捆綁����; 3.軟件編寫者制作; 4.漏洞攻擊后放置���; 5.社會(huì)工程學(xué)等相關(guān)方式�; 后門的遺留大致就是這五大類����,讓我們細(xì)細(xì)看來: 操作系統(tǒng)自帶的服務(wù),不管是unix也好����,linux也好還是現(xiàn)在的ail等等,其中一旦有的服務(wù)程序版本不夠新或者默認(rèn)配置的安全性不夠��,則很容易被攻擊,從而成為攻擊者進(jìn)入的通道�。 網(wǎng)絡(luò)協(xié)議捆綁�。關(guān)于這個(gè),要追述到早期的互聯(lián)網(wǎng)絡(luò)那時(shí)候網(wǎng)絡(luò)上的機(jī)器很少���,大多是高校�、軍方及科研機(jī)構(gòu)的設(shè)備���,彼此都相當(dāng)信任對(duì)方����,
6��、且當(dāng)時(shí)網(wǎng)絡(luò)速度也比較慢�。誰(shuí)也沒預(yù)料到當(dāng)時(shí)供軍事科研通訊性質(zhì)的網(wǎng)絡(luò)會(huì)走入千家萬戶�����,更不會(huì)想到幾十年后一臺(tái)廉價(jià)的x86架構(gòu)的微機(jī)竟有比當(dāng)年昂貴的小型機(jī)更高的性能��。因此早期的網(wǎng)絡(luò)協(xié)議都是以信任為前提進(jìn)行設(shè)計(jì)的���,對(duì)安全性方面考慮得比較少一些��。目前我們所使用的ipv4協(xié)議在源地址等ip封包里的資料是可以任意修改的��,mac地址也可以自由偽造�����,因此想追查攻擊者以及做相應(yīng)的防御封鎖措施相當(dāng)困難這就成為上世紀(jì)末開始的各類攻擊方式的原罪�。 另外一些當(dāng)年為局域網(wǎng)開啟的協(xié)議也在安全驗(yàn)證方面存在很多疏忽��,比如beui���、bios等原本用于可信任的局域網(wǎng)絡(luò)的
7��、協(xié)議���,將它放置在商業(yè)化的不可信任的互聯(lián)網(wǎng)絡(luò)中則是不明智的。我們以bios進(jìn)行簡(jiǎn)單分析:bios主要是用來在網(wǎng)絡(luò)上鑒別資源的����,程序使用這些名稱開始和結(jié)束會(huì)話。這個(gè)協(xié)議的特點(diǎn)是簡(jiǎn)單高效����,缺點(diǎn)則是不驗(yàn)證對(duì)方身份就可以獲得信息��。而在b和nbt(tcp/ip上的bios)是緊密捆綁在一起工作的�����,使用的都是137��、138�����、139端口:137是bios名稱���,138端口是bios數(shù)據(jù)報(bào)文,139端口是bios會(huì)話我們常用的網(wǎng)絡(luò)鄰居就需要這個(gè)協(xié)議�。由于原本這個(gè)協(xié)議考慮的是如何最高效率地傳輸數(shù)據(jù),向其他機(jī)器廣播自己的存在����,因此對(duì)于安全驗(yàn)證方面相對(duì)薄弱
8�、,許多病毒都是通過共享途徑傳播的����,例如愛情后門��、歡樂時(shí)光等等�����。這就是天緣從一直以來在文章都推薦大家放棄網(wǎng)絡(luò)共享改用ftp的原因���。將此類不夠安全的協(xié)議放置于不安全網(wǎng)絡(luò)之上,就是為攻擊者準(zhǔn)備好了一扇虛掩著的門�����?���! 『箝T程序如何隱藏的? 判斷題:后
