-
En muchas empresas grandes y en algunos países, generalmente se imponen algunas restricciones de acceso para impedir que los empleados o las personas accedan a determinados sitios web o utilicen determinadas aplicaciones de red. Los métodos de restricción suelen incluir el filtrado de IP del enrutador y el uso forzado de servidores proxy.
El filtrado de IP del enrutador se refiere a agregar redes externas o listas negras de IP extranjeras al enrutador para que la red interna o doméstica no pueda acceder a estas redes externas o IP extranjeras para lograr el propósito de restringir el acceso. El método de filtrado para forzar el uso de servidores proxy generalmente solo se aplica en grandes empresas, lo que significa que la red interna debe pasar por el servidor proxy para acceder a la red externa. Este artículo trata principalmente sobre las batallas ofensivas y defensivas del filtrado de IP. Las batallas ofensivas y defensivas de los servidores proxy se discutirán la próxima vez. A continuación se describe el proceso de escalada continua del ataque y la defensa del acceso a la red:
En primer lugar, si desea prohibir que las personas accedan a ciertos sitios web, el administrador del enrutador puede establecer reglas de filtrado de IP en el enrutador y agregar las IP de estos sitios web a la lista negra. Naturalmente, las personas no podrán acceder a estos sitios web.
Luego, las personas utilizan servidores proxy para evitar las restricciones y poder seguir accediendo a estos sitios. Hay miles de IP de servidores proxy y cambian constantemente, lo que hace que el trabajo de restringir el acceso a la red sea pasivo.
Sin embargo, dado que el protocolo del servidor proxy está en texto claro, al monitorear los paquetes de datos de la red y crear un programa para la recopilación y clasificación automática, puede saber qué servidores proxy han visitado las personas y agregar automáticamente la IP del servidor proxy a la lista negra de IP. De esta manera, se pueden utilizar servidores proxy ordinarios para evitar El método para superar las restricciones de acceso es ineficaz y el trabajo de evitar las restricciones de acceso a la red se encuentra en una situación bastante pasiva.
Por lo tanto, para evitar la detección de la dirección del servidor proxy, surgió un software proxy cifrado. El protocolo de comunicación entre el usuario y el servidor proxy está cifrado, lo que hace imposible analizar simplemente la dirección IP del servidor proxy escuchando los paquetes de datos de la red. Una vez más, los esfuerzos por restringir el acceso a la red han quedado en una posición pasiva.
Sin embargo, el software del proxy de cifrado también necesita comunicarse con el servidor proxy y conocer la dirección IP del servidor proxy de cifrado. Por lo tanto, el software proxy cifrado generalmente irá a algunos lugares que publican la dirección IP del servidor proxy cifrado para obtener la IP del servidor proxy cifrado cuando se inicia. Luego, solo necesita sacar una computadora separada, iniciar el software del agente de cifrado y monitorear la comunicación de red de esta computadora. Luego podrá conocer el lugar donde se publica la dirección IP del agente de cifrado y luego realizar el filtrado de IP en la publicación. punto. Y se puede convertir en un programa para iniciar automáticamente el software del agente de cifrado, monitorear automáticamente los paquetes de datos y agregar automáticamente la IP de la ubicación de publicación de la IP del agente de cifrado a la lista negra. De esta manera, el software del agente de cifrado no puede obtener la. La IP del agente de cifrado y el software del agente de cifrado dejarán de ser válidos y evitarán las restricciones de la red. El trabajo se encuentra una vez más en una posición muy desventajosa.
Para hacer frente a esta situación, el software de proxy de cifrado necesita mezclar el tráfico que accede al punto de publicación de IP proxy con el tráfico que accede al punto de publicación de IP no proxy. Por ejemplo, cuando se inicia el software de proxy cifrado, primero visita una gran cantidad de otros sitios web y luego visita el punto de publicación de IP del proxy en una de las visitas a otros sitios web. Esto mezcla el tráfico y no puede obtener la publicación de IP del proxy. Intercepción simple de paquetes de red. Dirección IP del punto. Si todas las direcciones interceptadas se agregan a la lista negra, muchos sitios web serán bloqueados por error. Los esfuerzos por limitar el acceso a la red vuelven a estar en desventaja.
Luego, para continuar restringiendo el acceso a la red, el administrador de la red recurre a filtrar la IP del proxy de cifrado (en lugar de la IP del punto de publicación). Una vez iniciado el software del agente de cifrado, se descarga un archivo grande a través del agente de cifrado y la IP con tráfico relativamente grande es la IP del agente de cifrado. A través de este método, los administradores de red aún pueden crear programas que bloqueen automáticamente el software proxy de cifrado, y el trabajo de eludir las restricciones de la red vuelve a fallar.
Luego, el software de proxy cifrado puede adoptar la misma idea, mezclar el tráfico que accede a la IP del proxy con otro tráfico, dividir el tráfico disperso en partes iguales y cambiar continuamente la IP del proxy, haciendo imposible obtener la IP del proxy cifrado a través de las estadísticas de tráfico de paquetes de red. Las personas pueden volver a sortear las restricciones de acceso a la red. Sin embargo, debido a que el tráfico se divide uniformemente, las velocidades de la red suelen ser sólo una fracción de eso, y la mayor parte del tráfico es consumido por programas que confunden a los administradores de red.
En este punto, el ataque de acceso a la red y la guerra de defensa parecen haber llegado a su fin, pero los administradores de redes inteligentes no están indefensos. Al aplicar ingeniería inversa al software de proxy cifrado, aún puede encontrar el punto de publicación de la IP del proxy y filtrar este punto de publicación. Sin embargo, ya no es posible analizar el tráfico de la red y utilizar programas para encontrar automáticamente direcciones IP para filtrar.
Finalmente, para evitar la ingeniería inversa, el propio software del agente de cifrado realiza el procesamiento de cifrado del software, lo que dificulta mucho la ingeniería inversa. Lo que sigue es una batalla intelectual entre el cifrado de software y el craqueo.
Resumen: si el tráfico de la red no está ofuscado, el programa puede encontrar automáticamente direcciones IP útiles para filtrar. Si el software de cifrado no está cifrado, es más fácil realizar ingeniería inversa para encontrar IP útiles para el filtrado. Los autores de software proxy cifrado siempre deben tener cuidado con el software que se puede descifrar. Una vez descifrado, el software proxy de cifrado debe actualizarse, de modo que el trabajo de restringir el acceso a la red requiera volver a descifrar el software antes de que pueda continuar implementándose.
Twitter del autor: @davidsky2012, Google Reader del autor: https://www.google.com/reader/shared/lehui99