四种后门技术知识讲解(三)

3、无用的数据传输?

　　1.眼皮底下的偷窃者――ICMP

　　ICMP，Internet Control Message Protocol(网际控制信息协议)，最常见的网络报文，近年来被大量用于洪水阻塞攻击，但是很少有人注意到，ICMP也偷偷参与了这场木马的战争…… 最常见的ICMP报文被用作探路者――PING，它实际上是一个类型8的ICMP数据，协议规定远程机器收到这个数据后返回一个类型0的应答，报告“我在线”。可是，由于ICMP报文自身可以携带数据，就注定了它可以成为入侵者的得力助手。由于ICMP报文是由系统内核处理的，而且它不占用端口，因此它有很高的优先权。ICMP就像系统内核的亲戚，可以不受任何门卫阻拦，于是，篮子里藏着武器的乡下老人敲响了总统的房门……

　　使用特殊的ICMP携带数据的后门正在悄然流行，这段看似正常的数据在防火墙的监视下堂而皇之的操纵着受害者，即使管理员是个经验丰富的高手，也不会想到这些“正常”的ICMP报文在吞噬着他的机器。有人也许会说，抓包看看呀。可是，实际应用中，传递数据的ICMP报文大部分肯定是加密过的，你怎么检查?

　　不过，ICMP也不是无敌的，有更多经验的管理员干脆禁止了全部ICMP报文传输，使得

这位亲戚不得再靠近系统，虽然这样做会影响系统的一些正常功能，可是为了避免被亲戚谋杀，也只能忍了。最亲密最不被怀疑的人，却往往是最容易杀害你的人。