-
Em muitas grandes empresas e em alguns países, algumas restrições de acesso são geralmente impostas para impedir que funcionários ou pessoas acessem determinados sites ou utilizem determinados aplicativos de rede. Os métodos de restrição geralmente incluem filtragem de IP do roteador e uso forçado de servidores proxy.
A filtragem de IP do roteador refere-se à adição de redes externas ou listas negras de IPs estrangeiros ao roteador para que a rede interna ou doméstica não possa acessar essas redes externas ou IPs estrangeiros para atingir o objetivo de restringir o acesso. O método de filtragem para forçar o uso de servidores proxy geralmente é aplicado apenas em grandes empresas. Isso significa que a rede interna deve passar pelo servidor proxy para acessar a rede externa. Este artigo fala principalmente sobre as batalhas ofensivas e defensivas da filtragem de IP. As batalhas ofensivas e defensivas dos servidores proxy serão discutidas na próxima vez. O seguinte descreve o processo de escalonamento contínuo de ataque e defesa de acesso à rede:
Em primeiro lugar, se você quiser proibir o acesso de pessoas a determinados sites, o administrador do roteador pode definir regras de filtragem de IP no roteador e adicionar os IPs desses sites à lista negra. Naturalmente, as pessoas não conseguirão acessar esses sites.
As pessoas então usam servidores proxy para contornar as restrições e continuar acessando esses sites. Existem milhares de IPs de servidores proxy e eles estão em constante mudança, tornando passivo o trabalho de restrição de acesso à rede.
No entanto, como o protocolo do servidor proxy está em texto não criptografado, monitorando os pacotes de dados da rede e criando um programa para coleta e classificação automática, você pode saber quais servidores proxy as pessoas visitaram e adicionar automaticamente o IP do servidor proxy à lista negra de IP. Desta forma, servidores proxy comuns podem ser usados para contornar. O método de superar as restrições de acesso é ineficaz e o trabalho de contornar as restrições de acesso à rede está em uma situação bastante passiva.
Portanto, para evitar a detecção do endereço do servidor proxy, surgiu um software proxy criptografado. O protocolo de comunicação entre o usuário e o servidor proxy é criptografado, impossibilitando simplesmente analisar o endereço IP do servidor proxy ouvindo os pacotes de dados da rede. Mais uma vez, os esforços para restringir o acesso à rede foram colocados numa posição passiva.
No entanto, o software proxy de criptografia também precisa se comunicar com o servidor proxy e saber o endereço IP do servidor proxy de criptografia. Portanto, o software proxy criptografado geralmente irá a alguns locais que publicam o endereço IP do servidor proxy criptografado para obter o IP do servidor proxy criptografado quando ele for iniciado. Em seguida, você só precisa retirar um computador separado, iniciar o software do agente de criptografia e monitorar a comunicação de rede deste computador. Assim, você poderá saber o local onde o endereço IP do agente de criptografia está publicado e, em seguida, realizar a filtragem de IP na publicação. apontar. E pode ser transformado em um programa para iniciar automaticamente o software do agente de criptografia, monitorar automaticamente os pacotes de dados e adicionar automaticamente o IP do local de publicação do IP do agente de criptografia à lista negra. O IP do agente de criptografia e o software do agente de criptografia se tornarão inválidos e contornarão as restrições de rede. O trabalho está mais uma vez em uma posição muito desvantajosa.
Para lidar com esta situação, o software proxy de criptografia precisa misturar o tráfego que acessa o ponto de publicação IP proxy com o tráfego que acessa o ponto de publicação IP não proxy. Por exemplo, quando o software proxy criptografado é iniciado, ele primeiro visita um grande número de outros sites e, em seguida, visita o ponto de publicação de IP do proxy em uma das visitas a outros sites. Isso mistura o tráfego e não consegue obter a publicação de IP do proxy. interceptação simples de pacotes de rede do ponto. Se todos os endereços interceptados forem adicionados à lista negra, muitos sites serão bloqueados por engano. Os esforços para limitar o acesso à rede estão novamente em desvantagem.
Então, para continuar a restringir o acesso à rede, o administrador da rede passa a filtrar o IP do proxy de criptografia (em vez do IP do ponto de publicação). Depois que o software do agente de criptografia é iniciado, um arquivo grande é baixado por meio do agente de criptografia, e o IP com tráfego relativamente grande é o IP do agente de criptografia. Através deste método, os administradores de rede ainda podem criar programas que bloqueiam automaticamente o software proxy de criptografia, e o trabalho de contornar as restrições de rede falha novamente.
Então, o software proxy criptografado pode adotar a mesma ideia, misturar o tráfego que acessa o IP do proxy com outro tráfego, dividir o tráfego disperso igualmente e alterar continuamente o IP do proxy, impossibilitando a obtenção do IP do proxy criptografado por meio de estatísticas de tráfego de pacotes de rede. As pessoas podem mais uma vez contornar as restrições de acesso à rede. No entanto, como o tráfego é dividido uniformemente, as velocidades da rede costumam ser apenas uma fração disso, e a maior parte do tráfego é consumida por programas que confundem os administradores de rede.
Neste ponto, o ataque ao acesso à rede e a guerra de defesa parecem ter chegado ao fim, mas os administradores de rede inteligentes não estão desamparados. Ao fazer engenharia reversa do software proxy criptografado, você ainda pode encontrar o ponto de publicação do IP do proxy e filtrar esse ponto de publicação. Porém, não é mais possível analisar o tráfego de rede e utilizar programas para encontrar IPs automaticamente para filtragem.
Finalmente, para evitar a engenharia reversa, o próprio software do agente de criptografia realiza o processamento de criptografia do software, dificultando muito a engenharia reversa. O que se segue é uma batalha intelectual entre a criptografia de software e o cracking.
Resumo: Se o tráfego de rede não for ofuscado, o programa poderá encontrar automaticamente IPs úteis para filtragem. Se o software de criptografia não estiver criptografado, será mais fácil fazer engenharia reversa para encontrar IPs úteis para filtragem. Os autores de software proxy criptografado precisam sempre tomar cuidado com o software que está sendo quebrado. Uma vez quebrado, o software proxy criptografado precisa ser atualizado, de modo que o trabalho de restringir o acesso à rede exija a nova quebra do software antes que ele possa continuar a ser implementado.
Twitter do autor: @davidsky2012, Google Reader do autor: https://www.google.com/reader/shared/lehui99