浅析2004年出现的4种新后门技术

曾经深受木马、后门侵扰的人们，对那机器被破坏后的惨象必定心有余悸。为了抵御这些网络威胁，人们采取了各种防御措施，从系统补丁到防火墙，甚至梦想为网线加装验证器。在多重防御之下，许多后门难以立足，使得普通网民得以安心上网。这是否意味着后门的消失呢？答案显然是否定的。

在网络的深处，新的后门正在悄然兴起。黑客A悠然自得地连接网络，看似平静无奇，却突然进入了企业内部的服务器，一台装有防火墙的服务器。他是如何做到的呢？他没有使用高超的技术，只是利用了一种特殊的后门——反弹木马。

众所周知，传统的入侵都是入侵者主动发起攻击，像是一场捕猎。但在警惕性高的猎物面前，这种方式的成功率逐渐降低。反弹木马却打破了这一常规。它不同于一般的入侵方式，入侵者并不需要操作控制程序去查找并连接受害计算机。相反，反弹木马会让受害者主动与入侵者建立联系，从而让入侵者轻松控制目标。由于大多数防火墙只关注外部数据，对内部数据缺乏监控，因此这种反弹入侵往往能轻易得手。

反弹木马的工作模式独特而狡猾。受害者（被植入反弹木马服务端的计算机）会定期发出连接控制端的请求，直到成功连接。一旦连接建立，入侵者就能获得受害者的控制权。由于连接是由受害者主动发起的，防火墙通常不会报警，这使得入侵者能够轻松突破内网，深入内部计算机。

反弹木马并非无懈可击。它的致命弱点在于其隐蔽性不足。为了避开检测，反弹木马必须在本地开放一个随机端口，这使得有经验的用户能够轻易识别出它的存在。尽管如此，另一种更为隐蔽的木马——基于HTTP服务的隐藏通道技术（Tunnel）应运而生。

很多用户安装的个人HTTP服务器开启了80端口，看似正常却暗藏风险。入侵者利用HTTP服务的数据传输特性，通过伪装成正常的网页请求，实际上却在背后传输特殊的数据请求。当目标机器被植入Tunnel后，其HTTP端口就被重新绑定，使得入侵者能够通过正常的服务通道进行数据传输和操作。由于这是“正常”的数据传输，防火墙往往无法察觉。即使目标没有开放80端口，入侵者也会寻找其他开放的端口如NetBIOS的139端口进行攻击。

尽管Tunnel技术的隐蔽性极高，但依然有方法能够识别并阻止它。经验丰富的管理员会通过网络嗅探工具（如Sniffer）来捕捉异常的数据流。即使击溃了Tunnel攻击，另一种更为隐蔽的入侵方式正在悄然兴起。

近年来，一种名为ICMP（Internet Control Message Protocol）的网络报文被大量用于洪水阻塞攻击等恶意行为。很少有人注意到ICMP也能被用于偷窃信息——这是一种眼皮底下的偷窃行为。ICMP报文由于其特殊性，可以携带数据并具有较高的优先权，使得它成为入侵者的得力助手。由于ICMP报文是由系统内核处理的，它不占用端口，因此具有很高的隐蔽性。这使得入侵者能够通过ICMP报文进行无声无息的数据传输和操作。只要保持警惕并采取适当的防护措施，我们仍然能够抵御这些网络威胁的保护我们的网络安全。ICMP：系统内核的隐秘亲戚

在网络世界的深处，有一种名为ICMP的协议，它就像系统内核的亲戚，悄无声息地潜藏于网络之中。它可以无视任何门卫的阻拦，使得携带武器的乡下老人能够绕过重重防线，敲响总统的房门。这是一种特殊的后门技术，通过看似正常的ICMP数据，在防火墙的严密监视下操纵受害者。即使管理员拥有高超的技能和经验，也可能无法察觉到这些伪装成“正常”ICMP报文的入侵者。有人可能会提出通过抓包分析来识别这些报文，但在实际应用中，传递数据的ICMP报文很可能已经经过加密处理，使得这一方法变得难以实施。

ICMP并非无敌。面对这种威胁，一些经验丰富的管理员选择禁止所有ICMP报文的传输，让这位“亲戚”无法靠近系统。这种做法虽然会对系统的某些功能产生影响，但为了避免被潜在的威胁所伤害，也只能采取这种措施。最亲近的人，往往是最具威胁的。

在网络的世界里，还有一个不为人知的秘密——IP首部的计谋。网络是建立在IP数据报的基础之上的，任何东西都需要与IP打交道。就连最基本的邮递员——IP报文，也被入侵者所渗透。这场永不停歇的战争，源于我们对网络安全的疏忽。

IP数据报的结构分为首部和身体两部分。首部装着地址信息和识别数据，就像是一个信封；身体部分则是我们熟悉的数据，如同信纸。我们通常只关注信纸上写着什么内容，却忽视了信封上是否潜藏着危险。这就好比很多管理员死于检查不出的疑症，因为忽略了协议规范中的潜在缺陷。

SYN攻击和“套接字”木马是两种典型的利用IP首部进行攻击的方式。它们利用IP协议规范中的空白部分，涂抹，悄无声息地混入受害者的机器。入侵者用简短的攻击数据填满IP首部的空白部分，如果数据过多，就多发几封信。当这些看似无害的信件拼凑成一个完整的攻击指令时，进攻就开始了。

后门技术已经发展到了一个新的阶段，它们不再只是简单的机器对机器的战争，而是开始考验人类的智慧和防御技术。如果防御技术依然停留在简单的数据判断处理上，那么将会被无数新型后门击溃。真正的防御必须依赖于人的管理操作，与时俱进地应对不断进化的网络安全威胁。只有这样，我们才能在网络世界的深渊中保持警惕，避免成为入侵者的下一个目标。