网络技术是从1990年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等。 当前的互联网只限于信息共享,网络则被认为是互联网发展的第三阶段。
信息地道战-浅谈信息隐藏技术在HACK中应用
当一个入侵者得到远程主机的控制后,希望保持战果,安装一个安全的后门用以将来与之保持联系。该怎么做呢?直接将netcat这类文件放在管理员眼皮底下?或者仅仅简单地将它改个名字?这样就可以了,是吗?NO!不要以为所有的管理员都是白痴!现在相当多的管理员已经逐渐增强了系统安全意识,虽然他们中的一大部分也许还不是特别了解黑帽子军团的入侵伎俩,但是他们会用基本的
网络命令以及借助一些第三方安全工具来诊断当前系统安全现状,当发现一个可疑的进程正运行在他宝贝服务器的内存空间中时,他非常有可能使用端口-进程关联查看程序来看看这个可疑进程正在做着怎么样的勾当!也有不少管理员将求助于一些常有黑客或者安全人士来往的BBS,比如我负责的一个在国内有比较大影响的黑客技术BBS上,平均每天都能看见几个担心自己系统被入侵的初级管理员,自然我们会热心地替他指出解决方案。当你正为使用了端口重定向等技术避开
防火墙的检测来做到后门联系而沾沾自喜时,是否想到过一个检测到不明流量和可疑端口开放的管理员正虎视耽耽地看着你在他机器上玩耍!
是的!使用诸如NETCAT这类鼎鼎大名的工具完成你的事业的入侵者,正如一个大摇大摆地走进后门的家伙,也许这个后门已经被聪明的管理员设下了陷阱,正在等着您的大驾光临,也许你就从此踏上不归路。谁知道呢?
说了这么多,无非就是要说明隐秘通道技术对一个黑帽子的重要性,入侵中被当场抓获可不是闹着玩的。永远别小看你的对手-管理员!是否我们从此不能够HACKING?NO!只要打地道战,是的,神出鬼没的地道战!不开放可疑端口,不造成明显异常
网络流量,一样地和你可爱的肉鸡保持联系!这样一来,一般的管理员可就傻眼了,即使富有经验的管理员亦很难查出这种方法。
先说说这种技术的理论基础:Transmitted via Carrier Pigeon. RFC 1149,2549中定义过,高于TCP的协议[比如http,
ftp, telnet等等基于TCP的应用协议]将数据传给协议栈,TCP将对其初始化,但此时并不直接送往IP层,而是直接将其送往目的地。在那里信息经过TCP层直接送交到等待接收的应用程序中处理。这就是其交互原理,可以类比SSH的技术,都是基于这个理论实现的。
下面我们该谈谈这个技术的实现方案了:
1:ICMP实现秘密隧道
在没有阻塞ICMP数据包的
网络中[可以简单地使用PING或者tracert来判断目标是否阻塞ICMP],由于ICMP与端口完全无关,所以我们可以使用ICMP来携带我们的通信,这样管理员使用netstat或者进程-端口关联程序来诊断都看不出来异常。许多软件都能够实现这一魔术般的技术,Loki是最棒的一个[通常我们称它为"low-key"],它应用于linux,bsd等各类unix系统,这个程序包括了客户端[loki]和服务端[lokid],一个黑帽子只需要在目标上种植下服务端[lokid]请注意:由于ICMP由
操作系统直接处理,因此你必须是ROOT!否则安装无法完成命令格式:lokid -p -i -v l
然后在本地操作客户端[loki]
命令格式:loki -d XXX.XXX.XXX.XXX -p -i -v l -t 3
这样就达成了足够隐秘的通信,只要未阻塞ICMP包,这个方法甚至可以穿透防火墙!下面让我们来看看在简单地键入这些命令以及我们的通信过程中发生了什么:当我们在客户端输入命令时,loki将我们的命令包裹在ICMP包中,发送给服务端lokid,lokid拆开这些包,执行命令之后再将响应信息以同样的方式包裹进ICMP包内返回给客户端。在管理员眼中,这次行动是什么样子呢?
-------------------------------
关键词:信息地道战-浅谈信息隐藏技术在HACK中应用