O artigo discute os portos de ocultação utilizados por todos os programas ou demônios. Protocolo TCP compreendido, embora alguns cálculos aplicáveis ao UDP (e ainda mais fácil). Em princípio, a ocultação do Trojan e seu uso também pode ser feita através de e icmp, mas o objetivo deste artigo foi revisar os portos de escondê-la.Suponha que nós colocamos no rootkit anfitrião vítima - como todo o sistema de zatroyanena legal, e sendo nesta máquina, que dificilmente são capazes de detectar esse cavalo de Tróia, e se também se zatroyanen Kernel, o suficiente não é uma tarefa trivial. Mas o pensamento de que o administrador para verificar essa máquina a partir de outros hospedeiros e para determinar se a porta está aberta, o que não tem sido utilizado nesta máquina. Eu satisfeito no que diz respeito ao fato de que a porta não deve ser aberto aqui - analisa o sistema e encontra um rootkit, o sistema de correção e quanto mais você não tem esse Selá.
Agora, vamos considerar como podemos enganar o scanner para nós não poderia ser encontrado. Como é bem conhecido configuração de conexão ocorre em três estágios - o chamado "tremor da mão de três vias" (RFC793).
Primeiro, considere a configuração da conexão padrão.
Na primeira fase, temos a solicitação de conexão na forma de - SYN.
Então, vamos enviar o seu pedido para ligar e confirmar a recepção da sequência - SYN, ACK.
E, finalmente, temos um reconhecimento da nossa ordem.
Assim, a conexão é estabelecida com êxito.
Agora vamos ver o que acontece em caso de falha no servidor da conexão (ou seja, se, por exemplo, temos uma porta não está aberta).
Recebemos um pedido para a conexão - SYN.
Desde O porto não responder, o kernel responde com - RST, ACK.
Ie conexão não é estabelecida - em geral, isso significa que a porta não responder ou não está instalado e configurado corretamente firewall.
Em TCP especificação não especifica a transferência de dados logo após a conexão é estabelecida, ou seja, Você pode querer ajustar o servidor eo cliente, de modo que os primeiros dados enviados no primeiro pacote SYN, e os segundos dados considerados a partir do pacote SYN. Ie assim que nós somos capazes de produzir de identificação (verificar a disponibilidade do recurso para o usuário) do cliente. Se o cliente não passou de autenticação - line errado ou não há dados disponíveis, em seguida, o servidor deve enviar o RST. Neste cenário, um scanner de portas simples não pode determinar a porta aberta real e, especificamente, o scanner de vulnerabilidade torcida não pode passar a autenticação - que nos permitirá manter TmMM imost invisível. Identificação no porto e não é considerada em ligação com a possibilidade de comprometimento - pelo menos a mesma spoofing'om.
Para melhorar o sistema para a proteção de nossos portos podem ser adicionados e autenticação (verificação da conformidade do usuário). Ou seja, suponha que a conexão é feita apenas quando a corda é identificado. Para a autenticação, o cliente pode usar a criptografia de chave pública. O cliente é uma chave secreta, que ele criptografa a seqüência de caracteres de identificação e uma sequência aleatória. Dada uma cadeia enviada ao servidor, juntamente com uma sequência aleatória. No lado do servidor é a chave pública (bem, não vamos estar na retaguarda do inimigo para manter a chave secreta) que ocorre seqüência de criptografia, que é então dividido para verificar a linha de dentro e obter uma seqüência aleatória. Deste modo, podemos reduzir a probabilidade de detecção do nosso Trojan - mesmo que houvesse um scanner especializada (embora sujeita à aplicação de criptografia para fazer com que seja difícil) nosso rootkit, e em tráfego não será visto para a identificação da linha real. Em princípio, você pode fazer todo o tráfego entre o cliente eo servidor é criptografada.
Assim, no nível "invisibilidade" apropriado nossa rootkit no sacrifício host (processos escondidos, portas abertas, etc.) -, escondendo a porta, podemos melhorar a sua transparência e olhos curiosos do lado de fora - obter quase toda a vida foi (até segmento alguém Não tente reorganizar o sistema), ou não daremos nenhum IDS, detectar tráfego suspeito na porta desconhecido para a condição de que ele também fechou.
0 comentários :
Postar um comentário