黑客初级技术简述

络通行后 门有时允许入侵者通过防火墙进行访问。有许多网络后门程序允许入侵者建立某个端 口号并不用通过普通服务就能实现访问. 因为这是通过非标准网络端口的通行，管理 员可能忽视入侵者的足迹. 这种后门通常使用TCP，UDP和ICMP，但也可能是其他类型报文。

　　<14>TCP Shell 后门

　　入侵者可能在防火墙没有阻塞的高位TCP端口建立这些TCP Shell后门. 许多情况下，他 们用口令进行保护以免管理员连接上后立即看到是shell访问. 管理员可以用netstat ming令查看当前的连接状态，那些端口在侦听，目前连接的来龙去脉. 通常这些后门可 以让入侵者躲过TCP Wrapper技术. 这些后门可以放在SMTP端口，许多防火墙允许 e-mail通行的.

　　<15>UDP Shell 后门

　　管理员经常注意TCP连接并观察其怪异情况，而UDP Shell后门没有这样的连接，所以 netstat不能显示入侵者的访问痕迹，许多防火墙设置成允许类似DNS的UDP报文的通行，通常入侵者将UDP Shell放置在这个端口，允许穿越防火墙。

　　<16>ICMP Shell 后门

　　Ping是通过发送和接受ICMP包检测机器活动状态的通用办法之一。许多防火墙允许外界ping它内部的机器，入侵者可以放数据入Ping的ICMP包，在ping的机器间形成一个shell通道，管理员也许会注意到Ping包暴风，但除了他查看包内数据，否者入侵者不会暴露。

　　<17>加密连接

　　管理员可能建立一个sniffer试图某个访问的数据，但当入侵者给网络通行后门加密 后，就不可能被判定两台机器间的传输内容了

上一页  [1] [2] [3] [4]