2004 년 에 나타 난 4 가지 새로운 뒷문 기술 을 상세히 분석 하 다.

목마,뒷문(이하 뒷문)의 피 해 를 입 었 던 사람들 은 기계 가 파 괴 된 후의 참상 을 잊 지 않 고 적 극적인 방어 작업 을 벌 였 다.패 치 부터 방화벽 까지 인터넷 에 검증 기 를 추가 하지 못 한 것 이 한스럽다.다양한 방어 기법 에 협공 을 받 아 뒷문 이 많이 쓰 러 졌 고 초보 들 도 조마조마 하 게 인터넷 에 접속 하지 않 아 도 된다. 하지만 뒷문 은 이 로 인해 그만 둘 까?답 은 당연히 부정 적 이다.당신 이 보이 지 않 습 니 다.풍랑 이 잔잔 한 육지 에서 새로운 뒷문 들 이 몰래 진창 을 건 너 고 있 습 니 다..........................................................우 리 는 그 가 담 배 를 피 우 는 것 만 볼 수 있 었 다.마치 멍하니 있 는 것 같 았 다.잠시 후 그 는 갑자기 담 배 를 잃 어 버 리 고 두 손 으로 키 보드 를 빠르게 두 드 렸 다.스크린 을 통 해 우 리 는 그 가 이미 기업 내부 의 서버 에 들 어 갔다 는 것 을 알 게 되 었 다.방화벽 이 설치 되 어 있 고 내부 에 깊이 사 는 서버 가 있 었 다.그 는 어떻게 했 을 까?설마 그 가 신선 인가?화면 을 방금 그 장면 으로 돌려 주세요.해커 A 는 연기 에 휩 싸 인 프로그램 화면 을 쳐 다 보 며 넋 을 잃 었 습 니 다.갑자기 그 화면 이 바 뀌 었 습 니 다.그리고 해커 A 도 키 보드 를 두 드 리 기 시 작 했 습 니 다.그 다음은 익숙 한 제어 인터페이스 입 니 다.여러분 은 아마 자신의 눈 을 믿 지 않 을 것 입 니 다.설마 그 기계 가 스스로 그 를 찾 은 것 입 니까?그 럴 리 가... 하지만 이 건 사실 입 니 다.정말 서버 에서 직접 찾 아 왔 습 니 다.해커 A 도 첨단 기술 이 아니다.그 는 단지 반 객 위주 의 뒷문 인 반등 목 마 를 사 용 했 을 뿐이다.흔히 말 하 는 침입 은 침입 자가 주동 적 으로 공격 하 는 것 으로 알려 져 있다.이것 은 사냥 과 유사 한 방식 으로 경각 심이 높 은 사냥감 앞에서 그들 은 이미 힘 에 부친 다.그러나 반등 기술 을 사용 하 는 침입 자 들 에 게 그들 은 훨씬 가 벼 웠 다.반등 목 마 는 늑대 할머니 처럼 빨 간 모 자 를 기다 리 며 직접 집 으로 가 져 다 주 기 를 기 다 렸 다.일반적인 침입 은 침입 자 들 이 제어 프로그램 을 조작 하여 피해 컴퓨터 를 연결 하 는 것 을 찾 는 것 이다.그러나 침입 을 되 돌려 그 길 을 거 슬러 가 는 것 이다.침입 자 컴퓨터 의 포트 를 열 고 피해자 자신 을 침입 자 와 연락 시 키 고 침입 자 에 게 통 제 를 하 게 하 는 것 이다.대부분의 방화벽 은 외부 데이터 만 처리 하고 내부 데이터 에 대해 눈 을 감 기 때문에 비극 이 발생 했다.반 탄 목마 의 작업 모델 은 다음 과 같다.피해자(반 탄 목마 서버 에 심 어 진 컴퓨터)는 일정 시간 간격 으로 제어 단 에 연결 하 라 는 요청 을 한다.이 요청 은 제어 단 과 성공 적 으로 연결 할 때 까지 순환 된다.다음 제어 단 은 서버 의 연결 요 구 를 받 아들 이 고 이들 의 신뢰 전송 채널 을 구축한다.마지막 으로 통제 단 이 하 는 일 은 매우 평범 하 다.피해자 의 통제 권 을 얻는다.피해자 가 자발적으로 시작 한 연결 이기 때문에 방화벽 은 대부분 상황 에서 경찰 에 신고 하지 않 고 이런 연결 모델 은 내부 망 을 뚫 고 외부 와 연결 을 구축 할 수 있어 침입 자 들 은 내부 컴퓨터 에 쉽게 들 어 갔다.반등 목 마 는 일반 목마 보다 무 섭 지만 타고 난 치 명 적 인 약점 이 있다.은폐 성 이 높 지 않다.왜냐하면 이곳 에 무 작위 포트 를 열 어야 하기 때문이다.피해자 가 경험 이 있 으 면 반등 목 마 를 알 아 보 는 것 은 어 려 운 일이 아니다.그래서 또 다른 목마 가 탄생 했다.2.불안 한 정상 적 인 연결 은 현재 많은 사용자 들 이 개인 HTTP 서버 를 설치 하고 있 습 니 다.이것 은 기계 가 80 포트 를 열 수 있 도록 정 해 져 있 습 니 다.이것 은 정상 적 인 것 같 지만 정상 적 인 포트 를 무 너 뜨리 면 새로운 악몽 을 가 져 올 줄 누가 알 았 겠 습 니까?숨겨 통?Tunnel)수많은 네트워크 관리자 에 게 고통 을 주 는 신기 술 로 정상 적 인 서 비 스 를 침입 자의 이기 로 만 들 었 다.기계 가 Tunnel 을 재배 한 후에 HTTP 포트 는 Tunnel 에 의 해 다시 연결 되 었 습 니 다.WWW 서비스 프로그램 에 전 송 된 데이터 도 뒤에 있 는 Tunnel 에 동시에 전 송 됩 니 다.침입 자 는 웹 페이지 를 방문 하 는 척 하면 서 특수 한 요청 데이터(HTTP 프로 토 콜 에 부합)를 보 냈 습 니 다.Tunnel 과 WW 서 비 스 는 모두 이 정 보 를 받 았 습 니 다.요청 한 페이지 가 존재 하지 않 기 때문에 WWW 서 비 스 는 HTTP 404 응답 을 되 돌려 주 고 Tunnel 은 바쁘게 열 렸 습 니 다.우선 Tunnel 은 침입 자 에 게 확인 데 이 터 를 보 내 Tunnel 이 존재 한 다 는 것 을 보고 합 니 다.그리고 Tunnel 은 즉시 새로운 연결 을 보 내 침입 자의 공격 데 이 터 를 요청 하고 침입 자가 HTTP 포트 에서 보 낸 데 이 터 를 처리 합 니 다.마지막 으로 Tunnel 은 침입 자가 원 하 는 동작 을 수행 합 니 다.이것 은 정상 적 인 데이터 전송 이기 때문에 방화벽 처럼 보이 지 않 는 다.근 데 목표 가 80 포트 를 안 열 었 는데 어 떡 하지?함부로 포트 를 여 는 것 은 자살 과 같다.그러나 침입 자 들 은 그 귀여운 넷 비 오 스 포트 인 오 랜 세월 열 린 139 포트 를 잊 지 않 고 데 이 터 를 공유 하 는 것 이 어 떻 겠 습 니까? Tunnel 기술 은 뒷문 의 은밀 성 을 한 단계 더 향상 시 켰 습 니 다.그러나 이것 은 흠 잡 을 데 가 없다 는 것 을 의미 하지 않 습 니 다.경험 이 있 는 관리자 가 Sniffer 를 통 해 이상 한 모습 을 볼 수 있 기 때 문 입 니 다. Tunnel 공격 은 관리자 에 의 해 무 너 졌 습 니 다.하지만 더 무 서운 침입 이 몰래 진행 되 고 있 습 니 다.3.쓸모없는 데이터 전송?1.눈앞 의 절도범-ICMP ICMP,Internet Control Message Protocol(인터넷 제어 정보 프로 토 콜),가장 흔히 볼 수 있 는 인터넷 메 시 지 는 최근 몇 년 동안 홍수 차단 공격 에 대량으로 사용 되 었 으 나 ICMP 도 몰래 이 목마 전쟁 에 참여 했다 는 것 을 아 는 사람 이 별로 없다. 가장 흔히 볼 수 있 는 ICMP 메 시 지 는 탐색 자 인 PING 로 사용 되 는데 이것 은 실제 적 으로 8 가지 유형의 ICMP 데이터 로 원 격 기기 가 이 데 이 터 를 받 은 후에 0 가지 유형의 응답 을 되 돌려'나 온라인'을 보고 하도록 규정 하고 있다.그러나 ICMP 메시지 자체 가 데 이 터 를 휴대 할 수 있 기 때문에 침입 자의 유능 한 조수 가 될 수 밖 에 없다.ICMP 메 시 지 는 시스템 커 널 에서 처리 되 고 포트 를 차지 하지 않 기 때문에 우선권 이 높다.ICMP 는 시스템 내 핵의 친척 처럼 어떠한 경비원 에 게 도 막 히 지 않 을 수 있 었 다.그래서 바구니 에 무 기 를 숨 긴 시골 노인 이 대통령의 방문 을 두 드 렸 다.특수 한 ICMP 로 데 이 터 를 지 니 고 있 는 뒷문 이 유행 하고 있다.이 정상 적 인 데 이 터 는 방화벽 의 감시 아래 당당 하 게 피해 자 를 조종 하고 있다.관리자 가 경험 이 풍부 한 고수 라 하 더 라 도.이런'정상 적'인 ICMP 메시지 가 그의 기 계 를 삼 키 고 있다 는 것 도 생각 하지 못 했다.어떤 사람 은 가방 을 잡 아 보라 고 말 할 지도 모른다.그러나 실제 응용 에서 데 이 터 를 전달 하 는 ICMP 메 시 지 는 대부분 암호 화 된 것 이 분명 합 니 다.어떻게 검사 하 시 겠 습 니까?그러나 ICMP 도 무적 이 아니다.더 많은 경험 을 가 진 관리 자 는 아예 모든 ICMP 메시지 전송 을 금지 하여 이 친척 이 시스템 에 더 이상 접근 하지 못 하 게 했다.이렇게 하면 시스템 의 정상 적 인 기능 에 영향 을 줄 수 있 지만 친척 에 게 살해당 하지 않도록 참 을 수 밖 에 없다.가장 가 깝 고 의 심 받 지 않 는 사람 은 당신 을 가장 쉽게 죽 이 는 사람 입 니 다.2.비정상적인 우 체 부―IP 첫 번 째 계략 은 우리 가 모두 알 고 있 듯 이 인터넷 은 IP 데이터 신문 을 바탕 으로 하 는 것 이 고 모든 것 을 IP 와 접촉 해 야 한다.그러나 IP 메시지 라 는 가장 기본 적 인 우 체 부도 침입 자 에 게 매수 되 었 다.이 전쟁 은 영원히 멈 추 지 않 는 다.우 리 는 먼저 IP 데이터 신문 의 구 조 를 알 아 보 겠 습 니 다.그것 은 두 부분 으로 나 뉘 는데 첫 번 째 부분 은 주소 정보 와 식별 데 이 터 를 가득 채 웠 습 니 다.마치 봉투 와 같 습 니 다.몸 은 편지지 처럼 우리 가 잘 아 는 데이터 다.모든 메 시 지 는 IP 메시지 에 감 싸 서 전 송 됩 니 다.보통 우 리 는 편지지 에 뭐라고 쓰 여 있 는 지 에 만 신경 을 쓰 지만 봉투 에 청산 칼륨 을 발 랐 는 지 여 부 를 무시 합 니 다.그래서 많은 관리자 들 이 검사 할 수 없 는 의심 증 으로 죽 었 습 니 다.이것 은 협의 규범 의 결함 으로 인 한 것 입 니 다.이 오 류 는 유일한 것 이 아 닙 니 다.SYN 공격 도 협의 규범 의 오류 로 인 한 것 과 같 습 니 다.비슷 한 것 은 둘 다 IP 1 부 를 썼 다 는 점 이다.SYN 은 가짜 봉 투 를 사 용 했 고'소켓'목 마 는 봉투 에 남 은 공백 내용 에 독약 을 발 랐 다.IP 프로 토 콜 규범 에 따 르 면 IP 첫 번 째 부분 은 일정한 길이 로 표지 판(택배?보통 편지?)추가 데이터(편지 에 대한 비고)로 인해 IP 첫 부분 에 몇 바이트 의 공백 이 생 겼 습 니 다.이러한 공백 을 얕 보지 마 세 요.맹독 물질 을 휴대 할 수 있 습 니 다.무해 해 보 이 는 이 편지 들 은 경비원 에 의 해 차단 되 지 않 지만 대통령 은 애매 하 게 사무실 에서 죽 었 다.피해자 의 기계 에 섞 인 우 체 부 는 봉투 의'불필요 한'내용 을 기록 했다.이런 내용 들 이 하나의 공격 명령 으로 조합 되 었 을 때 공격 이 시작 되 었 다.4.결어 뒷문 기술 이 지금까지 발전 하면 서 더 이상 기계 가 기계 에 대한 전쟁 이 아니 라 인 류 를 시험 하 는 것 을 배 웠 다.현재 의 방어 기술 이 단순 한 데이터 판단 처리 에 머 물 러 있다 면 수많은 신형 뒷문 에 무 너 질 것 이다.진정한 방 어 는 반드시 사람의 관리 조작 을 주체 로 해 야 지,그렇지 않 으 면 안 된다.