tcpdump: listening on hme0

　　14:42:54.213699 client.yiming.com.51767 > server.yiming.com.80: S 1237977857:1237977857(0) win 8760 (DF)

　　14:42:54.213767server.yiming.com.80 > client.yiming.com.51767: S 1607785698:1607785698(0) ack 1237977858 win 8760 (DF)

　　14:42:54.216186 client.yiming.com.51768 > server.yiming.com.80: . ack 1 win 8760 (DF)

　　14:42:54.218661 client.yiming.com.51768 > server.yiming.com.80: P 1:44(43) ack 1 win 8760 (DF)

　　14:42:54.218728 client.yiming.com.51768 > server.yiming.com.80: P 44:48(4) ack 1 win 8760 (DF)

　　篇幅所限，上面只是截取了结果中的一点点数据包，但已经可以说明问题了，我们看到server和client之间顺利的完成了三次握手，然后开始push数据，而且通讯确实走的是80端口。有点意思噢。

　　看是看出来了，但太不直白，到底在搞什么呀，我们再稍微改动一下tcpdump的运行方式，进一步在来看看telnet的数据是否被封装在80端口的数据包内传输?

　　server.yiming.com#tcpdump -X host client.yiming.com

　　14:43:05.246911 server.yiming.com.80 > client.yiming.com.51768: . 2997:4457(1460) ack 89 win 8760 (DF)

　　0x0000 4500 05dc 3b23 4000 ff06 e2c2 yyyy yyyy　　　　E...;#@......f.D

　　0x0010 xxxx xxxx 0050 de42 5fd5 ac4f 39ac 016f　　　　.f.#.P.B_..O9..o

　　0x0020 5010 2238 98e4 0000 746f 7461 6c20 3636　　　　P."8....total.66

　　0x0030 370d 0a64 7277 7872 2d78 722d 7820 2032　　　　7..drwxr-xr-x..2

　　0x0040 3920 726f 6f74 2020 2020 2072 6f6f 7420　　　　9.root.....root.

　　呵呵，这次清楚多了，上面应该是一次ls命令的输出结果，可以清楚的看到telnet的结果!果然telnet的数据是在80端口的数据包内!

　　Httptunnel带来的安全问题

　　写到这里，我们可以想象一下，如果管理员完全信赖防火墙，那么在一个有这样隐患的的局域网中，会发生什么样的后果?

　　我们可以看到，多年以来，对防火墙的依赖也一直列在SANS的Top 10安全问题中。

　　既然如此，就很自然的会产生一个问题是:这种httptunnel行为能被发现吗?

　　首先我们想到的是使用入侵检测系统，在目前的网络安全设计中，防火墙加入侵检测系统是一种比较流行的安全联动配置，既然httptunnel绕过了防火墙，那么IDS

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9] 下一页