好人和壞人正在使用這種方法打開端口
理想情況下,您想要限制和控制允許進入您的網絡或計算機的流量。 這可以通過各種方式完成。 其中兩種主要方法是確保計算機上不必要的端口未打開或正在偵聽連接,並使用防火牆(無論是在計算機本身還是在網絡邊界)阻止未經授權的流量。
通過監視流量並根據事件操縱防火牆規則,可能會產生一種“秘密敲門聲”,它將打開大門,讓您通過防火牆。 即使當時沒有端口可以打開,但是關閉端口的特定連接嘗試可能會觸發打開端口進行通信。
簡而言之,您可以在目標設備上運行服務,以監視網絡活動 - 通常通過監視防火牆日誌。 該服務需要知道“秘密敲門聲” - 例如連接端口103,102,108,102,105的連接嘗試失敗。如果服務以正確的順序遇到“秘密敲門聲”,它將自動更改防火牆規則打開指定的端口以允許遠程訪問。
世界上的惡意軟件編寫者不幸(或者幸運的是,你會明白為什麼)開始採用這種技術在受害系統上打開後門程序。 基本上,不是打開遠程連接的端口,而是容易看到並檢測到,則會植入一個監視網絡流量的特洛伊木馬。 一旦“秘密敲門”被攔截,惡意軟件就會喚醒並打開預定的後門端口,從而允許攻擊者訪問系統。
我上面說過,這實際上可能是一件好事。 那麼,感染任何類型的惡意軟件都不是好事。 但是,正如現在一旦病毒或蠕蟲開始打開端口並且這些端口號變成公共知識,受感染的系統就會受到任何人的攻擊 - 不僅僅是打開後門的惡意軟件的作者。 這大大增加了進一步受到攻擊或後續病毒或蠕蟲利用第一個惡意軟件創建的開放端口的可能性。
通過創建一個需要“秘密敲門聲”的休眠後門來打開它,惡意軟件作者可以保持後門秘密。 再次,這是好的和壞的。 好,因為每個湯姆,迪克和哈里黑客都不想出口掃描,以便根據惡意軟件打開的端口找到易受攻擊的系統。 不好的,因為如果它處於休眠狀態,你不會知道它在那裡,並且可能沒有任何簡單的方法可以確定你的系統上有一個休眠的後門,等待被端口敲打喚醒。
正如最近來自Bruce Schneier的Crypto-Gram通訊中指出的那樣,這個竅門也可以被好人們使用。 基本上,管理員可以完全鎖定係統 - 不允許外部流量進入,但實施端口敲打方案。 使用“秘密敲門”,管理員可以在必要時打開端口來建立遠程連接。
明顯地重要的是保持“秘密敲門”代碼的機密性。 基本上,“秘密敲門”將是一種“密碼”,可以允許任何知道它的人無限制地訪問。
有許多方法可以設置端口敲擊並確保端口敲擊方案的完整性 - 但是在您的網絡中使用端口敲擊安全工具仍然有優點和缺點。 有關更多詳細信息,請參閱LinuxJournal.com上的如何操作:端口敲打或本文右側的一些其他鏈接。
編者按:本文為舊版內容,由Andy O'Donnell於8/28/2016更新。