-
Dans de nombreuses grandes entreprises et dans certains pays, certaines restrictions d'accès sont généralement imposées pour empêcher les employés ou les personnes d'accéder à certains sites Web ou d'utiliser certaines applications réseau. Les méthodes de restriction incluent généralement le filtrage IP du routeur et l'utilisation forcée de serveurs proxy.
Le filtrage IP du routeur fait référence à l'ajout de listes noires de réseaux externes ou d'adresses IP étrangères au routeur afin que le réseau interne ou national ne puisse pas accéder à ces réseaux externes ou adresses IP étrangères pour atteindre l'objectif de restriction d'accès. La méthode de filtrage consistant à forcer l'utilisation de serveurs proxy n'est généralement appliquée que dans les grandes entreprises. Cela signifie que le réseau interne doit passer par le serveur proxy pour accéder au réseau externe. Un mécanisme de filtrage plus complexe peut ensuite être mis en œuvre sur le serveur proxy. Cet article parle principalement des batailles offensives et défensives du filtrage IP. Les batailles offensives et défensives des serveurs proxy seront abordées la prochaine fois. Ce qui suit décrit le processus d'escalade continue des attaques et de la défense de l'accès au réseau :
Tout d'abord, si vous souhaitez interdire aux personnes d'accéder à certains sites Web, l'administrateur du routeur peut définir des règles de filtrage IP dans le routeur et ajouter les IP de ces sites Web à la liste noire. Naturellement, les personnes ne pourront pas accéder à ces sites Web.
Les gens utilisent ensuite des serveurs proxy pour contourner les restrictions afin de continuer à accéder à ces sites. Il existe des milliers d’adresses IP de serveurs proxy et elles changent constamment, ce qui rend passive la restriction de l’accès au réseau.
Cependant, comme le protocole du serveur proxy est en texte clair, en surveillant les paquets de données réseau et en créant un programme de collecte et de tri automatique, vous pouvez savoir quels serveurs proxy les gens ont visités et ajouter automatiquement l'adresse IP du serveur proxy à la liste noire IP. De cette manière, des serveurs proxy ordinaires peuvent être utilisés pour contourner les restrictions d'accès. La méthode permettant de surmonter les restrictions d'accès est inefficace et le travail de contournement des restrictions d'accès au réseau se déroule dans une situation plutôt passive.
Par conséquent, afin d’éviter la détection de l’adresse du serveur proxy, un logiciel proxy crypté a vu le jour. Le protocole de communication entre l'utilisateur et le serveur proxy est crypté, ce qui rend impossible une simple analyse de l'adresse IP du serveur proxy en écoutant les paquets de données du réseau. Une fois de plus, les efforts visant à restreindre l’accès au réseau ont été laissés dans une position passive.
Cependant, le logiciel proxy de chiffrement doit également communiquer avec le serveur proxy et doit connaître l'adresse IP du serveur proxy de chiffrement. Par conséquent, le logiciel proxy crypté se rendra généralement à certains endroits qui publient l'adresse IP du serveur proxy crypté pour obtenir l'adresse IP du serveur proxy crypté lors de son démarrage. Ensuite, il vous suffit de retirer un ordinateur séparé, de démarrer le logiciel de l'agent de chiffrement et de surveiller la communication réseau de cet ordinateur. Vous pouvez ensuite connaître l'endroit où l'adresse IP de l'agent de chiffrement est publiée, puis effectuer un filtrage IP sur la publication. indiquer. Et il peut être transformé en un programme pour démarrer automatiquement le logiciel de l'agent de chiffrement, surveiller automatiquement les paquets de données et ajouter automatiquement l'adresse IP de l'emplacement de publication de l'adresse IP de l'agent de chiffrement à la liste noire. De cette manière, le logiciel de l'agent de chiffrement ne peut pas obtenir l'adresse IP de l'agent de chiffrement. L'adresse IP de l'agent de chiffrement et le logiciel de l'agent de chiffrement deviendront invalides et contourneront les restrictions du réseau. Le travail se trouvera à nouveau dans une position très désavantageuse.
Afin de faire face à cette situation, le logiciel proxy de chiffrement doit mélanger le trafic accédant au point de publication IP proxy avec le trafic accédant au point de publication IP non proxy. Par exemple, lorsque le logiciel proxy crypté est démarré, il visite d'abord un grand nombre d'autres sites Web, puis visite le point de publication IP proxy lors de l'une des visites sur d'autres sites Web. Cela mélange le trafic et ne peut pas obtenir la publication IP proxy via. simple interception de paquets réseau. Adresse IP du point. Si toutes les adresses interceptées sont ajoutées à la liste noire, de nombreux sites Web seront bloqués par erreur. Les efforts visant à limiter l’accès au réseau sont encore une fois désavantagés.
Ensuite, afin de continuer à restreindre l’accès au réseau, l’administrateur réseau se tourne vers le filtrage de l’IP du proxy de chiffrement (plutôt que de l’IP du point de publication). Une fois le logiciel de l'agent de chiffrement démarré, un fichier volumineux est téléchargé via l'agent de chiffrement et l'adresse IP avec un trafic relativement important est l'adresse IP de l'agent de chiffrement. Grâce à cette méthode, les administrateurs réseau peuvent toujours créer des programmes qui bloquent automatiquement les logiciels proxy de chiffrement, et le travail de contournement des restrictions réseau échoue à nouveau.
Ensuite, le logiciel proxy crypté peut adopter la même idée, mélanger le trafic accédant à l'IP proxy avec d'autres trafics, diviser le trafic dispersé de manière égale et modifier continuellement l'IP proxy, rendant impossible l'obtention de l'IP proxy cryptée via les statistiques de trafic de paquets réseau. Les gens peuvent à nouveau contourner les restrictions d’accès au réseau. Cependant, comme le trafic est réparti de manière égale, les vitesses du réseau ne représentent souvent qu'une fraction de celle-ci, et la majeure partie du trafic est consommée par des programmes qui déroutent les administrateurs réseau.
À ce stade, la guerre d’attaque et de défense de l’accès au réseau semble avoir pris fin, mais les administrateurs de réseaux intelligents ne sont pas impuissants. En procédant à l'ingénierie inverse du logiciel proxy chiffré, vous pouvez toujours trouver le point de publication de l'IP du proxy et filtrer ce point de publication. Cependant, il n'est plus possible d'analyser le trafic réseau et d'utiliser des programmes pour trouver automatiquement les adresses IP à filtrer.
Enfin, afin d'empêcher l'ingénierie inverse, le logiciel de l'agent de chiffrement effectue lui-même le traitement de chiffrement logiciel, ce qui rend l'ingénierie inverse très difficile. S’ensuit une bataille intellectuelle entre le chiffrement et le cracking de logiciels.
Résumé : Si le trafic réseau n'est pas obscurci, le programme peut automatiquement trouver les adresses IP utiles pour le filtrage. Si le logiciel de chiffrement n’est pas chiffré, il est plus facile de procéder à une ingénierie inverse pour trouver des adresses IP utiles pour le filtrage. Les auteurs de logiciels proxy cryptés doivent toujours se méfier du piratage du logiciel. Une fois piraté, le logiciel proxy de cryptage doit être mis à niveau, de sorte que le travail de restriction de l'accès au réseau nécessite de recracker le logiciel avant de pouvoir continuer à être mis en œuvre.
Twitter de l'auteur : @davidsky2012, Google Reader de l'auteur : https://www.google.com/reader/shared/lehui99