四种后门技术知识讲解(四)

四.不正常的邮递员――IP首部的计谋

　　我们都知道，网络是建立在IP数据报的基础上的，任何东西都要和IP打交道，可是连IP报文这个最基本的邮递员也被入侵者收买了，这场战争永不停歇……为什么呢?我们先略了解一下IP数据报的结构，它分为两个部分，首部和身体，首部装满了地址信息和识别数据，正如一个信封;身体则是我们熟悉的数据，正如信纸。任何报文都是包裹在IP报文里面传输的，通常我们只留意信纸上写了什么，却忽略了信封上是否涂抹了氰酸钾。于是，很多管理员死于检查不出的疑症……

　　这是协议规范的缺陷导致的，这个错误不是唯一的，正如SYN攻击也是协议规范的错误引起的。相似的是，两者都用了IP首部。SYN是用了假信封，而“套接字”木马则是在信封上多余的空白内容涂抹了毒药――IP协议规范规定，IP首部有一定的长度来放置标志位(快递?平信?)、附加数据(对信的备注)，结果导致IP首部有了几个字节的空白，别小看这些空白，它能携带剧毒物质。这些看似无害的信件不会被门卫拦截，可是总统却不明不白的死在了办公室……

　　入侵者用简短的攻击数据填满了IP首部的空白，如果数据太多，就多发几封信。混入受害者机器的邮递员记录信封的“多余”内容，当这些内容能拼凑成一个攻击指令的时候，进攻开始了……



　　后门技术发展到今天，已经不再是死板的机器对机器的战争，它们已经学会考验人类，现在的防御技术如果依然停留在简单的数据判断处理上，将被无数新型后门击溃。真正的防御必须是以人的管理操作为主体，而不是一味依赖机器代码，否则你的机器将会被腐蚀得面目全非……