-
In vielen großen Unternehmen und in einigen Ländern werden in der Regel einige Zugriffsbeschränkungen eingeführt, um Mitarbeitern oder Personen den Zugriff auf bestimmte Websites oder die Nutzung bestimmter Netzwerkanwendungen zu verwehren. Zu den Einschränkungsmethoden gehören in der Regel Router-IP-Filterung und die erzwungene Nutzung von Proxyservern.
Unter Router-IP-Filterung versteht man das Hinzufügen externer Netzwerk- oder Fremd-IP-Blacklists zum Router, sodass das interne oder inländische Netzwerk nicht auf diese externen Netzwerk- oder Fremd-IPs zugreifen kann, um den Zweck der Zugriffsbeschränkung zu erreichen. Die Filtermethode, die die Verwendung von Proxyservern erzwingt, wird normalerweise nur in großen Unternehmen angewendet. Dies bedeutet, dass das interne Netzwerk den Proxyserver passieren muss, um auf das externe Netzwerk zuzugreifen. Dann kann ein komplexerer Filtermechanismus auf dem Proxyserver implementiert werden. In diesem Artikel geht es hauptsächlich um die Angriffs- und Verteidigungskämpfe der IP-Filterung. Die Angriffs- und Verteidigungskämpfe der Proxy-Server werden beim nächsten Mal besprochen. Im Folgenden wird der kontinuierliche Eskalationsprozess von Netzwerkzugriffsangriffen und -verteidigungen beschrieben:
Wenn Sie Personen den Zugriff auf bestimmte Websites verbieten möchten, kann der Router-Administrator zunächst IP-Filterregeln im Router festlegen und die IPs dieser Websites zur Blacklist hinzufügen. Natürlich können Personen nicht auf diese Websites zugreifen.
Die Benutzer nutzen dann Proxyserver, um Einschränkungen zu umgehen und weiterhin auf diese Websites zugreifen zu können. Es gibt Tausende von Proxy-Server-IPs und diese ändern sich ständig, sodass die Einschränkung des Netzwerkzugriffs passiv ist.
Da das Proxy-Server-Protokoll jedoch im Klartext vorliegt, können Sie durch die Überwachung von Netzwerkdatenpaketen und die Erstellung eines Programms zur automatischen Erfassung und Sortierung erkennen, welche Proxy-Server von Personen besucht wurden, und die IP des Proxy-Servers automatisch zur IP-Blacklist hinzufügen. Auf diese Weise können gewöhnliche Proxyserver zur Umgehung verwendet werden. Die Methode zur Überwindung von Zugriffsbeschränkungen ist ineffektiv, und die Arbeit zur Umgehung von Netzwerkzugriffsbeschränkungen ist eher passiv.
Um die Erkennung der Proxy-Server-Adresse zu vermeiden, wurde daher verschlüsselte Proxy-Software entwickelt. Das Kommunikationsprotokoll zwischen dem Benutzer und dem Proxyserver ist verschlüsselt, sodass es unmöglich ist, die IP-Adresse des Proxyservers einfach durch Abhören von Netzwerkdatenpaketen zu analysieren. Wieder einmal wurden die Bemühungen, den Netzwerkzugang einzuschränken, in den Hintergrund gedrängt.
Allerdings muss die Verschlüsselungs-Proxy-Software auch mit dem Proxy-Server kommunizieren und die IP-Adresse des Verschlüsselungs-Proxy-Servers kennen. Daher wird die verschlüsselte Proxy-Software im Allgemeinen zu einigen Orten gehen, an denen die IP-Adresse des verschlüsselten Proxy-Servers veröffentlicht wird, um beim Start die IP des verschlüsselten Proxy-Servers zu erhalten. Dann müssen Sie nur einen separaten Computer herausnehmen, die Verschlüsselungsagent-Software starten und die Netzwerkkommunikation dieses Computers überwachen. Anschließend können Sie den Ort ermitteln, an dem die IP-Adresse des Verschlüsselungsagenten veröffentlicht wird, und dann eine IP-Filterung für die Veröffentlichung durchführen Punkt. Und es kann in ein Programm umgewandelt werden, das die Verschlüsselungsagentensoftware automatisch startet, Datenpakete automatisch überwacht und die IP des Veröffentlichungsorts der Verschlüsselungsagenten-IP automatisch zur Blacklist hinzufügt. Auf diese Weise kann die Verschlüsselungsagentensoftware das nicht abrufen Die IP des Verschlüsselungsagenten und die Verschlüsselungsagentensoftware werden ungültig und umgehen Netzwerkbeschränkungen. Der Job ist wieder einmal in einer sehr nachteiligen Lage.
Um mit dieser Situation umzugehen, muss die Verschlüsselungs-Proxy-Software den Datenverkehr, der auf den Proxy-IP-Veröffentlichungspunkt zugreift, mit dem Datenverkehr mischen, der auf den Nicht-Proxy-IP-Veröffentlichungspunkt zugreift. Wenn beispielsweise die verschlüsselte Proxy-Software gestartet wird, besucht sie zunächst eine große Anzahl anderer Websites und besucht dann bei einem der Besuche anderer Websites den Proxy-IP-Veröffentlichungspunkt. Dadurch wird der Datenverkehr gemischt und die Proxy-IP-Veröffentlichung kann nicht abgerufen werden Einfaches Abfangen von Netzwerkpaketen. Wenn alle abgefangenen Adressen zur Blacklist hinzugefügt werden, werden viele Websites versehentlich blockiert. Bemühungen, den Netzwerkzugriff einzuschränken, erweisen sich wiederum als nachteilig.
Um den Netzwerkzugriff weiterhin einzuschränken, filtert der Netzwerkadministrator dann die IP des Verschlüsselungsproxys (anstelle der IP des Veröffentlichungspunkts). Nachdem die Software des Verschlüsselungsagenten gestartet wurde, wird eine große Datei über den Verschlüsselungsagenten heruntergeladen, und die IP mit relativ großem Datenverkehr ist die IP des Verschlüsselungsagenten. Mit dieser Methode können Netzwerkadministratoren weiterhin Programme erstellen, die Verschlüsselungs-Proxy-Software automatisch blockieren, und die Arbeit zur Umgehung von Netzwerkbeschränkungen schlägt erneut fehl.
Dann kann die verschlüsselte Proxy-Software die gleiche Idee übernehmen, den Datenverkehr, der auf die Proxy-IP zugreift, mit anderem Datenverkehr mischen, den verstreuten Datenverkehr gleichmäßig aufteilen und die Proxy-IP kontinuierlich ändern, wodurch es unmöglich wird, die verschlüsselte Proxy-IP über Statistiken zum Netzwerkpaketverkehr zu erhalten. Menschen können Netzwerkzugangsbeschränkungen wieder umgehen. Da der Datenverkehr jedoch gleichmäßig aufgeteilt wird, beträgt die Netzwerkgeschwindigkeit oft nur einen Bruchteil davon und der größte Teil des Datenverkehrs wird von Programmen verbraucht, die Netzwerkadministratoren verwirren.
Zu diesem Zeitpunkt scheint der Netzwerkzugriffsangriff und der Verteidigungskrieg zu Ende zu sein, aber intelligente Netzwerkadministratoren sind nicht hilflos. Durch Reverse Engineering der verschlüsselten Proxy-Software können Sie weiterhin den Veröffentlichungspunkt der Proxy-IP finden und diesen Veröffentlichungspunkt filtern. Es ist jedoch nicht mehr möglich, den Netzwerkverkehr zu analysieren und mithilfe von Programmen automatisch IPs zum Filtern zu finden.
Um schließlich Reverse Engineering zu verhindern, führt die Verschlüsselungsagentensoftware selbst die Softwareverschlüsselungsverarbeitung durch, was Reverse Engineering sehr schwierig macht. Was folgt, ist ein intellektueller Kampf zwischen Softwareverschlüsselung und Cracking.
Zusammenfassung: Wenn der Netzwerkverkehr nicht verschleiert wird, kann das Programm automatisch nützliche IPs zum Filtern finden. Wenn die Verschlüsselungssoftware nicht verschlüsselt ist, ist es einfacher, sie zurückzuentwickeln, um nützliche IP-Adressen für die Filterung zu finden. Autoren verschlüsselter Proxy-Software müssen immer aufpassen, dass die Software geknackt wird. Nach dem Knacken muss die Verschlüsselungs-Proxy-Software aktualisiert werden, sodass die Arbeit zur Einschränkung des Netzwerkzugriffs ein erneutes Knacken der Software erfordert, bevor sie weiter implementiert werden kann.
Twitter des Autors: @davidsky2012, Google Reader des Autors: https://www.google.com/reader/shared/lehui99