好人和坏人正在使用这种方法打开端口
理想情况下,您想要限制和控制允许进入您的网络或计算机的流量。 这可以通过各种方式完成。 其中两种主要方法是确保计算机上不必要的端口未打开或正在侦听连接,并使用防火墙(无论是在计算机本身还是在网络边界)阻止未经授权的流量。
通过监视流量并根据事件操纵防火墙规则,可能会产生一种“秘密敲门声”,它将打开大门,让您通过防火墙。 即使当时没有端口可以打开,但是关闭端口的特定连接尝试可能会触发打开端口进行通信。
简而言之,您可以在目标设备上运行服务,以监视网络活动 - 通常通过监视防火墙日志。 该服务需要知道“秘密敲门声” - 例如连接端口103,102,108,102,105的连接尝试失败。如果服务以正确的顺序遇到“秘密敲门声”,它将自动更改防火墙规则打开指定的端口以允许远程访问。
世界上的恶意软件编写者不幸(或者幸运的是,你会明白为什么)开始采用这种技术在受害系统上打开后门程序。 基本上,不是打开远程连接的端口,而是容易看到并检测到,则会植入一个监视网络流量的特洛伊木马。 一旦“秘密敲门”被拦截,恶意软件就会唤醒并打开预定的后门端口,从而允许攻击者访问系统。
我上面说过,这实际上可能是一件好事。 那么,感染任何类型的恶意软件都不是好事。 但是,正如现在一旦病毒或蠕虫开始打开端口并且这些端口号变成公共知识,受感染的系统就会受到任何人的攻击 - 不仅仅是打开后门的恶意软件的作者。 这大大增加了进一步受到攻击或后续病毒或蠕虫利用第一个恶意软件创建的开放端口的可能性。
通过创建一个需要“秘密敲门声”的休眠后门来打开它,恶意软件作者可以保持后门秘密。 再次,这是好的和坏的。 好,因为每个汤姆,迪克和哈里黑客都不想出口扫描,以便根据恶意软件打开的端口找到易受攻击的系统。 不好的,因为如果它处于休眠状态,你不会知道它在那里,并且可能没有任何简单的方法可以确定你的系统上有一个休眠的后门,等待被端口敲打唤醒。
正如最近来自Bruce Schneier的Crypto-Gram通讯中指出的那样,这个窍门也可以被好人们使用。 基本上,管理员可以完全锁定系统 - 不允许外部流量进入,但实施端口敲打方案。 使用“秘密敲门”,管理员可以在必要时打开端口来建立远程连接。
明显地重要的是保持“秘密敲门”代码的机密性。 基本上,“秘密敲门”将是一种“密码”,可以允许任何知道它的人无限制地访问。
有许多方法可以设置端口敲击并确保端口敲击方案的完整性 - 但是在您的网络中使用端口敲击安全工具仍然有优点和缺点。 有关更多详细信息,请参阅LinuxJournal.com上的如何操作:端口敲打或本文右侧的一些其他链接。
编者按:本文为旧版内容,由Andy O'Donnell于8/28/2016更新。