道高一尺,魔高一丈?

来源:百度文库 编辑:神马文学网 时间:2024/03/29 10:38:01
现在的安全企业都打出了主动防御的概念,防火墙、杀毒软件入侵检测、安全网关已经在一定程度上保护了企业、政府内部网络的安全,但我们的网络真正就安全了吗?
杀病毒、杀木马可以对有病毒特征、木马特征的非法程序进行查杀。
防火墙可以阻止未经授权的网络访问。
入侵检测可以对通讯的真实性及具有入侵特征的数据进行检测。
加密隧道可以对通讯进行保密。
代理网关可以通过身份验证的方法确认网络的访问是否得到授权。
这上述的一切,看似很好很强大,其实很傻很天真!
构造一个无病毒、木马特征,能够绕过防火墙与入侵检测甚至可以突破需手工进行验证的代理网关的“程序”并非不可能。
下边我即对其技术可行性进行一些讨论,有不对的地方万望各位高人指正:
这个“程序”不与外部进行任何的通讯,以免被防火墙等进行拦截报警,其所需要做的是捕获网卡上的数据包,特别是http数据包进行处理。当本机的浏览器发出http请求并收到服务器应答后,在应答的数据包中插入html代码并返回给浏览器,让其去解释并执行,其流程如下:
第一步:
浏览器访问 连接网站服务器并发送GET请求。
第二步:
网站服务器收到请求后对其进行回复。
第三步:
程序捕获到网站服务器的回复后,插入这段代码并将其传给浏览器。
第四步:
浏览器对相关html代码进行解释,并最终会解释到刚插入的那一段代码,然后向http://黑客网站/发起一个新的请求,完美的实现了被控机与主控服务器之间的通讯。
这种方法由于与外界通讯的是经过授权的浏览器,所以防火墙不会报警,入侵检测更无法检测出其通讯的不合法性,而由于没有进程插入等一系列被列入 高危的动作,更不会引起杀毒软件、防木马软件的关注。甚至对于那种需要手工验证后才能访问互联网的安全防护方式都可以穿过。当然,缺点也是有的,因为 http协议的关系,不能够实现长连接与数据的实时交换,同时由于必须要通过浏览器来实现通讯,所以其完全是触发式的,人家毛了不用浏览器,只玩qq,你 也没什么招。
当然,利用这种通讯方式实现各种各样复杂的通讯与功能就不在本文的讨论范围内了。
很多安全厂商的所谓主动防御?你真的做到了吗?