学学习网 手机版

学学习网

学习路径: 学习首页 > Internet > 网络安全 >

超隐秘”嗅探式”后门

设置字体:
----------------------------------

  后门对计算机系统安全的侵扰,其历史已达十年之久。通过后门,攻击能绕过正常的安全机制自如地访问系统资源。最近,这类攻击变得更加隐秘,更加 难以察觉。这种新的攻击与传统的后门不同之出是,它将sniffer技术和后门技术结合起来了。传统的后门是通过监听TCP端口和UDP端口,向攻击者敞 开方便之门。对于这类后门,有经验的系统管理员和信息安全人员可以通过定期检测端口使用情况,来发现这些新开放的后门服务。

  而新类型的后门技术排除了把进程建立在端口上的方式,而是使用sniffer(监听)技术,通过类型匹配的方式,被动地捕捉后门操作者发过来的 消息,从而执行相应的指令,后门采用的指示器可以是一个特定的IP地址、一个TCP标志位,甚至是一个没有开放(侦听)的端口。象Cd00r和 SAdoor就是类似这样的后门程序。

  嗅探式后门(Sniffer/backdoors)可以工作在混杂模式下,也可以工作在非混杂模式下。(编者注:混杂模式是网络监听程序要用到的工作模式,其实就是改变网卡设置,把网卡原来只接收属于自己的数据包的模式,改为不管什么数据包都接收的模式)。

  非混杂模式的嗅探式后门,只监听本机通信,只在受害主机上扮演威胁者的角色。

  而被设置为混杂模式的后门,可以监听以太网上其它主机的通信数据,这种模式将严重困扰网络安全管理员。设想以下情况:攻击者在DMZ区(停火 区)其中一台web服务器放置嗅探式后门,监视另一台mail服务器的通信。对于攻击者来说,他可以只需要向mail服务器发送攻击指令,但mail服务 器上其实没有装后门,指令的执行者是web服务器。管理员查来查去还会以为是mail服务器中了木马,却很难想到其实是web服务器中标。这是典型的伪造 现场的作案思路。

  尽管查找开放的端口的方式已经不够对付最新的后门技术,但传统的对付后门方式仍然是十分重要的。另外,由于大多数后门都针边界服务器,因此,可以利用象Tripwire 和AIDE的完整性检查工具检查系统文件,有利于发现后门程序。

  想要了解可疑端口的占用 ,可以使用lsof工具(For Unix)或者Inzider工具(For windows)。另外还可以从远程使用 Nmap 工具进行异常端口占用检测。如果发现一个未知的进程占用了一个端口,尤其是以超级用户权限运行的进程,应该马上进行调查,是谁开启了这个进程。在调查不清 楚的情况下可以果断关闭端口或杀掉进程。

  要想了解网卡是否被置于混杂模式,可以采用ifstatus(For solaris)或者PromiscDetect(For windows)。如果想远程检测混杂模式的sniffer,可以选用packetfactory的Sentinel工具。

  最后,要确保用户单位的安全应急小组必须掌握最新的计算机后门技术动向。当发现与后门有关的通信出现的时候,用户应该对端口占用情况、活动进程和网卡工作模式进行检测,以确定究竟是谁中了后门。

----------------------------------
课程列表
重点难点
赞助链接