LOKI攻击原理
网络攻击中的嗅探技术原理
网络攻击中的嗅探技术原理网络已经逐渐成为现代社会不可或缺的一部分,在网络中我们可以通过各种方式进行信息交流和数据传输,但网络也不乏各种安全隐患,其中之一就是嗅探攻击。
本文将从嗅探攻击的基本概念、嗅探技术的实现原理及其应对方法等方面着手,为读者深度探究嗅探攻击背后的技术原理。
嗅探攻击的基本概念嗅探攻击指的是黑客通过嗅探工具拦截网络传输过程中的数据报文,进而获取目标物理地址、IP地址、端口号、数据流等关键信息。
嗅探攻击的常见手段包括ARP欺骗、MAC攻击、IP地址欺骗等方式,利用这些攻击手段可以截获网卡传输的数据包,并将被截获的数据包都送到自己的电脑进行解析。
嗅探攻击可以获取到网络通信中传输的各种信息,如登录名、用户密码、电子邮件、聊天记录等,对目标的隐私安全构成威胁。
嗅探技术的实现原理嗅探技术的实现原理主要是利用网络拓扑结构中的物理层设备和软件技术,其中最重要的技术手段就是网卡控制,即使用网卡在物理层读取和处理网络数据包。
嗅探攻击的实现流程如下:1. 黑客生成嗅探工具,向网络发送嗅探请求;2. 网络传输过程中的数据包都会在物理层设备中进行处理,黑客安装嗅探工具,并通过嗅探工具拦截网卡上的数据包;3. 黑客可以利用嗅探工具来解析网卡上截获的数据包,获取目标IP地址、MAC地址、端口号、数据流等关键信息。
在这个过程中,黑客一旦成功地占据了网卡的控制权,则可以对网络进行随意的嗅探攻击,并且可以获取网络中传输的所有信息。
如何应对嗅探攻击针对嗅探攻击,我们需要采取一些措施来加强网络安全,主要包括以下几个方面:1. 加密传输数据通过对传输数据进行加密,减少敏感数据在网络中传播时被截获的可能性。
常见的加密方式包括SSL、TLS、VPN等。
2. 禁用广播ARPARP欺骗是嗅探攻击的基础,因此可以通过禁用广播ARP来防止ARP欺骗攻击,从根本上降低嗅探攻击的风险。
3. 安装网络安全设备网络安全设备如防火墙、入侵检测系统等可以监控网络流量并及时发现嗅探攻击,进而对攻击者进行阻挡。
网络攻击手法之一IP地址劫持的工作原理与应对方法
网络攻击手法之一IP地址劫持的工作原理与应对方法网络攻击手法之一:IP地址劫持的工作原理与应对方法IP地址劫持是一种恶意网络攻击手法,通过篡改网络数据包的目的IP地址,使数据包被发送到攻击者指定的伪装目标地址上。
本文将介绍IP地址劫持的工作原理,并提供一些应对方法。
一、IP地址劫持的工作原理1. ARP欺骗在局域网中,设备之间通信通常使用ARP协议来解析MAC地址和IP地址的对应关系。
攻击者可以发送伪造的ARP响应,将合法主机的IP地址与自己的MAC地址对应起来。
这样,当其他设备发送数据包时,数据包会被发送到攻击者的设备上,实现IP地址劫持。
2. BGP劫持BGP(边界网关协议)是用于互联网中路由器之间交换路由信息的协议。
攻击者可以通过欺骗ISP(互联网服务提供商)将目标IP地址的路由信息指向自己控制的服务器,使得流量被重定向到攻击者的服务器上。
3. DNS劫持DNS(域名系统)是将域名转化为IP地址的服务。
攻击者可以篡改DNS服务器的响应,将合法域名解析到攻击者控制的恶意IP地址上。
当用户访问该域名时,应答的IP地址被劫持,用户被重定向到攻击者的服务器上。
二、IP地址劫持的应对方法1. 使用安全的网络设备网络设备的漏洞可能被攻击者利用,进行IP地址劫持等恶意行为。
使用经过安全性验证和更新的网络设备,可以减少这些漏洞的风险。
2. 定期检查和更新系统漏洞及时更新操作系统和应用程序的补丁是减少被攻击的重要措施。
攻击者往往利用已知漏洞进行攻击,通过及时更新补丁,可以减少系统被攻击的概率。
3. 加强网络安全管理通过使用防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)等安全设备,可以有效检测和抵御IP地址劫持等攻击行为。
4. 使用加密通信协议使用加密通信协议,如HTTPS等,可以确保数据在传输过程中的安全性,减少被拦截和篡改的风险。
5. 多DNS解析服务器策略使用多个可信任的DNS服务器,并定期验证其可靠性。
木马攻击原理
木马攻击原理一、什么是木马攻击?木马(Trojan horse)是一种常见的网络攻击手段,指的是通过在正常的程序或文件中隐藏恶意代码,以实现攻击者的恶意目的。
木马攻击可以隐藏于各种类型的文件中,例如图片、文档、音乐等等,这样一旦用户打开了这些文件,系统就会被感染,攻击者就能够获得对系统的控制权。
二、木马攻击的原理木马攻击的原理可以分为几个步骤:1. 伪装攻击者首先需要伪装木马程序,使其看起来像是一个合法的文件或程序。
他们会使用各种技术手段,例如改变文件的后缀名、隐藏文件扩展名或者伪装成系统程序,以躲避用户的警觉。
2. 传播一旦木马程序被伪装成功,攻击者需要将其传播给目标用户。
他们可以通过电子邮件、社交媒体、广告等途径将木马程序发送给用户。
一旦用户下载并打开了木马程序,系统就会被感染。
3. 植入一旦木马程序被用户打开,恶意代码就会被植入到系统中。
这些代码通常会利用系统的漏洞或者弱点,以获取系统的权限。
一旦攻击者获得了系统的控制权,他们就能够执行各种恶意操作,例如窃取用户的隐私信息、占用系统资源、控制系统行为等等。
4. 控制与劫持一旦木马程序在目标系统中植入成功,攻击者就能够远程控制系统,执行各种恶意操作。
他们可以通过远程命令控制(Remote Command Execution)来操纵系统行为,例如上传下载文件、修改系统配置、操纵网络连接等等。
此外,攻击者还可以劫持用户的网络连接,以拦截用户的通信数据,窃取敏感信息。
三、木马攻击的防范措施木马攻击带来的危害是巨大的,为了保障系统的安全,我们需要采取以下防范措施:1. 使用安全的密码使用强密码是防止木马攻击的第一步。
确保密码的复杂性,并不断更换密码,避免使用容易猜测的密码。
2. 安装防火墙和杀毒软件安装防火墙和杀毒软件可以有效阻止木马程序的入侵。
这些软件可以检测系统中的可疑活动,并及时阻止其执行。
3. 及时打补丁保持系统和软件的更新也非常重要。
及时打补丁可以修复系统中的漏洞和弱点,从而减少被木马攻击的概率。
host头攻击原理
host头攻击原理
Host头攻击是一种利用HTTP协议中的Host头部字段进行攻击的网络安全威胁。
在HTTP请求中,客户端发送一个包含目标服务器主机名的Host头部字段,服务器根据该字段将请求转发到相应的虚拟主机或网站。
然而,攻击者可以通过修改或伪造Host头部字段来欺骗服务器,使其认为请求来自另一个合法的域名或IP地址,从而绕过某些安全机制,访问未授权的资源,或者执行其他恶意操作。
这种攻击的主要原理是利用了服务器对Host头部字段的信任。
当服务器接收到请求时,它会根据Host头部字段中的信息来确定应该将请求转发给哪个虚拟主机或网站。
如果攻击者能够修改或伪造Host头部字段,那么服务器就可能会将请求转发到一个错误的虚拟主机或网站,从而允许攻击者访问未授权的资源。
为了实施这种攻击,攻击者通常会使用一些技术手段来篡改或伪造HTTP请求中的Host头部字段。
例如,攻击者可以通过代理服务器或网络嗅探技术来截获原始的HTTP请求,并修改其中的Host头部字段。
此外,攻击者还可以利用某些漏洞或服务器的配置错误来执行这种攻击。
需要注意的是,这种攻击不仅可能对网站的安全造成威胁,还可能对整个网络的安全造成影响。
因此,对于任何使用HTTP协议的应用程序或服务来说,都应该采取一些措施来防止这种攻击的发生。
例如,可以限制对某些敏感资源的访问权限,使用强密码保护服务器账户,及时更新和修补应用程序和操作系统的漏洞等。
ip攻击原理
ip攻击原理
IP攻击原理是指利用网络协议中的漏洞或弱点,对目标IP地址进行攻击的技术手段。
攻击者通过一系列操作,使得目标IP地址无法正常工作或造成网络服务中断。
IP攻击可分为以下几种类型:
1. IP欺骗攻击:攻击者通过伪造源IP地址,将攻击数据包发送给目标IP地址,使其误导目标服务器或路由器,导致流量过载或服务中断。
2. IP分片攻击:攻击者发送大量的IP分片,使目标服务器在重新组装这些分片时消耗大量的资源和时间,导致服务性能下降或崩溃。
3. IP碎片攻击:攻击者发送大量具有相同IP地址和不同端口号的碎片数据包,使目标服务器在重新组装这些碎片时耗费更多的资源,从而导致服务失效。
4. IP欺诈攻击:攻击者通过发送伪造的ARP响应或ICMP重定向消息,将目标主机的网关地址修改为攻击者控制的恶意IP地址,从而截取目标主机的网络流量或进行中间人攻击。
5. IP源路由攻击:攻击者通过发送伪造的IP数据包,将源IP 地址设置为目标IP地址的合法下一跳路由器,使目标服务器将响应数据发送到攻击者控制的路由器上,实现数据篡改或劫持攻击。
为了防范IP攻击,网络安全专家通常采取一系列的防护措施,包括入侵检测系统(IDS)、防火墙、流量过滤器等技术手段,以及加强网络设备的安全配置、更新及修补系统漏洞等措施来保护网络安全。
ack攻击原理
ack攻击原理ACK(Acknowledgment)攻击是一种常见的网络攻击手段,其原理是利用TCP协议中的ACK报文来对目标系统进行攻击。
在了解ACK攻击的原理之前,我们先来了解一下TCP协议的基本知识。
TCP(Transmission Control Protocol)是一种面向连接的、可靠的传输层协议,它通过三次握手建立连接,通过序列号和确认应答保证数据的可靠传输。
在TCP协议中,每个数据包都有一个序列号和一个确认号,发送方发送数据时,会等待接收方的确认应答;接收方收到数据后,会发送确认应答,表示已经成功接收到数据。
ACK攻击正是利用了TCP协议中的这个机制。
攻击者向目标主机发送大量伪造的TCP ACK报文,让目标主机误认为已经收到了大量的数据包,从而导致目标主机资源耗尽,无法正常处理其他合法的连接请求。
具体而言,ACK攻击的原理如下:1. 攻击者首先获取目标主机的IP地址和端口号。
2. 攻击者发送大量伪造的TCP ACK报文给目标主机,这些ACK报文中的源IP地址是伪造的,使得目标主机无法正确地回复确认应答。
3. 目标主机收到伪造的ACK报文后,会认为之前发送的数据已经被接收到,并发送确认应答。
4. 攻击者不断发送大量的伪造ACK报文,使得目标主机花费大量的资源去处理这些伪造的连接请求。
5. 最终,目标主机的资源被耗尽,无法正常处理其他合法的连接请求,导致服务不可用。
ACK攻击是一种比较隐蔽的攻击方式,因为攻击者并不直接发送大量的数据包给目标主机,而是利用TCP协议的特性,通过发送伪造的ACK报文来达到攻击的目的。
这种攻击方式不仅可以导致目标主机服务不可用,还可能造成其他网络设备的故障,对网络的稳定性和正常运行造成严重影响。
为了防御ACK攻击,可以采取以下措施:1. 网络设备配置防火墙,过滤掉伪造的ACK报文。
2. 设置合理的TCP连接数限制,限制每个IP地址可以建立的TCP 连接数量,防止攻击者通过大量的伪造连接请求耗尽资源。
syn_flood攻击原理
syn_flood攻击原理SYN flood攻击是一种常见的网络攻击手段,其原理是通过发送大量伪造的TCP连接请求(SYN包),占用服务器的资源,使其无法处理正常的连接请求,进而导致服务不可用。
下面将详细介绍SYN flood攻击的工作原理。
SYN flood攻击利用了TCP协议的三次握手过程。
在正常情况下,TCP连接的建立需要客户端发送一个SYN包给服务器,服务器收到后返回一个SYN+ACK包给客户端,最后客户端发送一个ACK包给服务器,即完成了三次握手,建立了正常的TCP连接。
而SYN flood攻击利用了这个过程的缺陷,即没有限制SYN请求的数量和源地址。
攻击者向目标服务器发送大量的伪造的源IP地址和端口的SYN包,服务器接收到这些SYN包后,会回复相应的SYN+ACK包,但攻击者并不回复ACK包,也就是第三次握手的ACK包。
正常情况下,服务器在指定的时间内没有收到ACK包会重新发送SYN+ACK包,等待客户端再次回复ACK包。
但是在SYN flood攻击中,攻击者发送大量的伪装的SYN请求,服务器不断地回复SYN+ACK包,并等待ACK包的回复,这使得服务器的资源被耗尽,无法处理其他的正常请求。
SYN flood攻击主要有两种方式:常规SYN flood和分片SYN flood。
常规SYN flood攻击使用普通的SYN包发送大量的请求,这些请求既可以是伪造的源IP地址和端口的请求,也可以是真实的请求,攻击的主要目标是让服务器的资源耗尽。
分片SYN flood攻击是对常规SYN flood攻击的改进。
由于IP包的长度有限,攻击者将一个SYN包分成多个片段发送给服务器。
在接收到第一个片段时,服务器会进行资源分配,并等待片段的其余部分。
但攻击者并不发送剩余的片段,导致服务器一直等待这个SYN请求,从而占用更多的资源。
为了对抗SYN flood攻击,通常有以下几个方法:1.加强服务器的防火墙和安全策略,限制并过滤恶意的IP地址和请求。
虚假数据注入攻击原理
虚假数据注入攻击原理
虚假数据注入攻击是一种针对应用程序、网站或服务器的攻击,旨在利用应用程序或系统处理数据的漏洞来获取访问权限或破坏数据。
这种攻击通常是通过将恶意代码注入到应用程序的数据中来实现的。
虚假数据注入攻击的原理可以分为以下几个步骤:
1. 收集目标信息:攻击者会收集有关目标的信息,包括应用程序名称、版本号、操作系统、数据库等。
这些信息将被用于后续的攻击活动。
2. 创建漏洞:攻击者寻找应用程序或系统中存在的漏洞,例如SQL 注入、XSS等。
这些漏洞可以被用来向应用程序注入恶意代码。
3. 注入恶意代码:攻击者在应用程序的数据中注入恶意代码,这些代码可以是JavaScript、CSS、SQL等等。
这些恶意代码可以修改应用程序的数据或者执行一些恶意的操作。
4. 触发漏洞:攻击者通过利用应用程序中的漏洞来触发恶意代码,例如通过点击按钮、输入框等方式触发恶意代码。
5. 破坏数据:一旦恶意代码被触发,它就可以访问应用程序的数据或者破坏数据,例如删除数据、更改用户密码等。
需要注意的是,虚假数据注入攻击是一种非常危险的攻击方式,因为它可以通过在应用程序的数据中注入恶意代码来获取访问权限或破坏数据。
因此,建议在使用任何应用程序时保持警惕,并定期进行安全扫描和修复漏洞。
flood攻击原理
Flood攻击是一种网络攻击方式,其原理是通过向目标系统发送大量的请求或数据包,以使目标系统无法正常处理合法请求或服务。
Flood攻击通常会占用目标系统的带宽、计算资源或存储空间,导致系统性能下降甚至崩溃。
Flood攻击可以分为以下几种类型:1. 带宽洪泛攻击(Bandwidth Flood):攻击者通过向目标系统发送大量的数据包,占用目标系统的带宽资源,导致网络拥塞,使合法用户无法正常访问目标系统。
2. SYN洪泛攻击(SYN Flood):攻击者发送大量的TCP连接请求(SYN包)给目标系统,但不完成三次握手过程,从而占用目标系统的资源,导致目标系统无法处理其他合法的连接请求。
3. ICMP洪泛攻击(ICMP Flood):攻击者发送大量的ICMP (Internet Control Message Protocol)请求给目标系统,占用目标系统的网络带宽和处理能力,导致目标系统无法正常工作。
4. UDP洪泛攻击(UDP Flood):攻击者发送大量的UDP(UserDatagram Protocol)数据包给目标系统,占用目标系统的网络带宽和处理能力,导致目标系统无法正常工作。
5. HTTP洪泛攻击(HTTP Flood):攻击者发送大量的HTTP 请求给目标系统,占用目标系统的网络带宽和处理能力,导致目标系统无法正常处理其他合法的HTTP请求。
为了防止Flood攻击,目标系统可以采取以下措施:1. 配置防火墙:通过配置防火墙规则,限制来自特定IP地址或特定端口的流量,以减少攻击者的影响。
2. 使用入侵检测系统(IDS)或入侵防御系统(IPS):这些系统可以检测和阻止Flood攻击,并提供实时的安全警报。
3. 加强网络基础设施:增加带宽、增加服务器处理能力、使用负载均衡等方法可以提高系统的抗Flood攻击能力。
4. 使用反向代理:通过使用反向代理服务器,可以将流量分发到多个后端服务器,从而分散攻击的影响。
webshell攻击原理
webshell攻击原理Webshell攻击原理Webshell是一种通过在Web服务器上植入恶意脚本或代码来获取对服务器的控制权的技术手段。
攻击者可以利用Webshell来执行任意操作,包括获取敏感信息、修改数据、控制服务器等。
本文将从Webshell攻击的原理方面进行探讨。
一、Webshell的入侵方式Webshell的入侵方式主要有以下几种:1. 文件上传:攻击者通过上传可执行文件的方式将Webshell文件上传到服务器上,然后通过访问该文件来获取服务器的控制权。
2. 远程命令执行:攻击者通过利用Web应用程序的漏洞,注入恶意的代码或命令,从而执行任意操作。
3. 文件包含:攻击者通过利用Web应用程序的文件包含漏洞,将Webshell文件包含进来,从而获取服务器的控制权。
4. SQL注入:攻击者通过在Web应用程序的数据库查询语句中注入恶意代码,从而执行任意操作。
5. 代码执行:攻击者通过在Web应用程序中输入恶意代码,从而实现对服务器的控制。
二、Webshell的工作原理当Webshell文件成功上传到服务器或者通过其他方式植入到Web应用程序中后,攻击者可以通过访问该文件或执行相应的操作来获取服务器的控制权。
Webshell的工作原理如下:1. 与Web服务器建立连接:攻击者通过访问Webshell文件或者执行相应的操作,与Web服务器建立连接。
2. 执行命令:攻击者可以通过Webshell与服务器进行交互,执行各种命令,包括系统命令、数据库命令等。
3. 获取敏感信息:攻击者可以利用Webshell获取服务器上的敏感信息,如系统配置文件、数据库账号密码等。
4. 控制服务器:攻击者可以通过Webshell来控制服务器,如上传、下载、删除文件,修改文件权限等。
5. 持久化:攻击者可以通过Webshell在服务器上植入后门,以便长期控制服务器。
三、Webshell的防御方法为了有效防御Webshell攻击,我们可以采取以下措施:1. 输入过滤:对于用户输入的内容,进行严格的过滤和验证,避免恶意代码或命令的注入。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Volume Seven, Issue Forty-NineFile 06 of 16[ Project Loki ]whitepaper by daemon9 AKA routesourcecode by daemon9 && alhambrafor Phrack MagazineAugust 1996 Guild Productions, kidcomments to route@/alhambra@--[ Introduction ]--Ping traffic is ubiquitous to almost every TCP/IP based network and subnetwork. It has a standard packet format recognized by every IP-speakingrouter and is used universally for network management, testing, and measurement. As such, many firewalls and networks consider ping trafficto be benign and will allow it to pass through, unmolested. This project explores why that practice can be insecure. Ignoring the obvious threat ofthe done-to-death denial of service attack, use of ping traffic can open up covert channels through the networks in which it is allowed.Loki, Norse God of deceit and trickery, the 'Lord of Misrule' was well known for his subversive behavior. Inversion and reversal of all sortswas typical for him. Due to it's clandestine nature, we chose to name this project after him.The Loki Project consists of a whitepaper covering this covert channel in detail. The sourcecode is not for distribution at this time.--[ Overview ]--This whitepaper is intended as a complete description of the covert channel that exists in networks that allow ping traffic (hereon referred toin the more general sense of ICMP_ECHO traffic --see below) to pass. It is organized into sections:Section I. ICMP Background Info and the Ping ProgramSection II. Basic Firewall Theory and Covert ChannelsSection III. T he Loki PremiseSection IV. Discussion, Detection, and PreventionSection V. References(Note that readers unfamiliar with the TCP/IP protocol suite may wish to first read ftp:///pub/Philes/NetTech/TCP-IP/tcipIp.intro.txt.gz)Section I. ICMP Background Info and the Ping ProgramThe Internet Control Message Protocol is an adjunct to the IP layer. It is a connectionless protocol used to convey error messages and other information to unicast addresses. ICMP packets are encapsulated inside of IP datagrams. The first 4-bytes of the header are same for every ICMP message,with the remainder of the header differing for different ICMP message types.There are 15 different types of ICMP messages.The ICMP types we are concerned with are type 0x0 and type 0x8. ICMP type 0x0 specifies an ICMP_ECHOREPLY (the response) and type0x8 indicates an ICMP_ECHO (the query). The normal course of action isfor a type 0x8 to elicit a type 0x0 response from a listening server. (Normally, this server is actually the OS kernel of the target host. MostICMP traffic is, by default, handled by the kernel). This is what the ping program does.Ping sends one or more ICMP_ECHO packets to a host. The purposemay just be to determine if a host is in fact alive (reachable). ICMP_ECHO packets also have the option to include a data section. This data sectionis used when the record route option is specified, or, the more common case, (usually the default) to store timing information to determine round-triptimes. (See the ping(8) man page for more information on these topics).An excerpt from the ping man page:"...An IP header without options is 20 bytes. An ICMP ECHO_REQUEST packetcontains an additional 8 bytes worth of ICMP header followed by anarbitrary-amount of data. When a packetsize is given, this indicated thesize of this extra piece of data (the default is 56). Thus the amount ofdata received inside of an IP packet of type ICMP ECHO_REPLY will alwaysbe 8 bytes more than the requested data space (the ICMP header)..."Although the payload is often timing information, there is no check byany device as to the content of the data. So, as it turns out, this amount of data can also be arbitrary in content as well. Therein lies the covert channel.Section II. Basic Firewall Theory and Covert ChannelsThe basic tenet of firewall theory is simple: To shield one network from another. This can be clarified further into 3 provisional rules:1. All traffic passing between the two networks must pass through the firewall.2. Only traffic authorized by the firewall may pass through (as dictated bythe security policy of the site it protects).3. The firewall itself is immune to compromise.A covert channel is a vessel in which information can pass, but this vessel is not ordinarily used for information exchange. Therefore, as amatter of consequence, covert channels are impossible to detect and deterusing a system's normal (read: unmodified) security policy. In theory,almost any process or bit of data can be a covert channel. In practice, itis usually quite difficult to elicit meaningful data from most covertchannels in a timely fashion. In the case of Loki, however, it is quitesimple to exploit.A firewall, in it's most basic sense, seeks to preserve the security policy of the site it protects. It does so by enforcing the 3 rules above. Covert channels, however, by very definition, are not subject to a site'snormal security policy.Section III. The Loki PremiseThe concept of the Loki Project is simple: arbitrary information tunneling in the data portion of ICMP_ECHO and ICMP_ECHOREPLY packets. Loki exploits the covert channel that exists inside of ICMP_ECHO traffic. This channel exists because network devices do not filter the contents of ICMP_ECHO traffic. They simply pass them, drop them, or return them. The trojan packets themselves are masqueraded as common ICMP_ECHO traffic. We can encapsulate (tunnel) any information we want. From here on out, Loki traffic will referto ICMP_ECHO traffic that tunnels information. (Astute readers will note that Loki is simply a form of steganography).Loki is not a compromise tool. It has many uses, none of which arebreaking into a machine. It can be used as a backdoor into a system byproviding a covert method of getting commands executed on a target machine.It can be used as a way of clandestinely leeching information off of amachine. It can be used as a covert method of user-machine or user-user communication. In essence the channel is simply a way to secretly shuffledata (confidentiality and authenticity can be added by way of cryptography).Loki is touted as a firewall subversion technique, but in reality it is simple a vessel to covertly move data. *Through* exactly what we move this data is not so much an issue, as long as it passes ICMP_ECHO traffic. It doesnot matter: routers, firewalls, packet-filters, dual-homed hosts, etc... allcan serve as conduits for Loki.Section IV. Discussion, Detection and PreventionIf ICMP_ECHO traffic is allowed, then this channel exists. If this channel exists, then it is unbeatable for a backdoor (once the system is compromised). Even with extensive firewalling and packet-filteringmechanisms in place, this channel continues to exist (provided, of course,they do not deny the passing of ICMP_ECHO traffic). With a proper implementation, the channel can go completely undetected for the duration ofits existence.Detection can be difficult. If you know what to look for, you mayfind that the channel is being used on your system. However, knowing whento look, where to look, and the mere fact that you *should* be looking allhave to be in place. A surplus of ICMP_ECHOREPLY packets with a garbledpayload can be ready indication the channel is in use. The standalone Loki server program can also be a dead give-away. However, if the attacker cankeep traffic on the channel down to a minimum, and was to hide the Lokiserver *inside* the kernel, detection suddenly becomes much more difficult.Disruption of this channel is simply preventative. Disallow ICMP_ECHO traffic entirely. ICMP_ECHO traffic, when weighed against the securityliabilities it imposes, is simply not *that* necessary. Restricting ICMP_ECHO traffic to be accepted from trusted hosts only is ludicrous with aconnectionless protocol such as ICMP. Forged traffic can still reach thetarget host. The LOKI packet with a forged source IP address will arrive atthe target (and will elicit a legitimate ICMP_ECHOREPLY, which willtravel to the spoofed host, and will be subsequently dropped silently) andcan contain the 4-byte IP address of the desired target of the Loki response packets, as well as 51-bytes of malevolent data... While the possibilityexists for a smart packet filter to check the payload field and ensure thatit *only* contains legal information, such a filter for ICMP is not in wideusage, and could still be open to fooling. The only sure way to destroy thischannel is to deny ALL ICMP_ECHO traffic into your network.NOTE: This channel exists in many other protocols. Loki Simply coversICMP, but in theory (and practice) any protocol is vulnerable to covertdata tunneling. All that is required is the ingenuity...Section V. ReferencesBooks: TCP Illustrated vols. I, II, IIIRFCs: rfc 792Source: Loki v1.0Ppl: We did not pioneer this concept To our knowledge,it was discovered independently of our efforts, prior to ourresearch. This party wishes to remain aloof.This project made possible by a grant from the Guild Corporation.EOF。