*** 后门，顾名思义就是 *** 黑客利用你的系统或者配置漏洞，能够便利的、未经许可的取得你的机器的控制权，如此，其就可以为所欲为，获得你电脑里的所有的机密。不是危言耸听， *** 后门正越来越多的危及人们的日常生活，大家不敢网上交易，名人电脑不敢存放隐私等等，莫非其就真的是无可防范?IDP作为目前 *** 安全领域中的热门技术，针对 *** 后门攻击给出了自己的解决方案。 　　 *** 后门的实现方式 　　 *** 攻击者通常会利用你的疏忽在你的电脑里植入后门程序，然后其利用后门程序完成对你的电脑的控制，所有的这一切看起来都是无声无息，似乎无懈可击，但是我们注意到其中的一点，攻击者在从你的电脑中获取信息的时候都是通过发送命令，取回信息，这样一种交互式的流量进程。而且这种交互模式的特点就是有“人”涉及，人处在连接的一端，另一端为程序，人通过输入命令来控制另一端。这不同于一般的连接，一般的连接两端都是程序，这样TCP报文就会被打包，大块的发往对端，以此来提高工作效率。但是人与程序之间的连接在报文发送的方式上有所不同，它随着人敲入命令按字符来随时发送的，这样显示出来的流量模式就是一些小的IP包，中间还夹杂着按键等信息，通过这种流量模式，我们就可以怀疑有攻击者在行动。 　　以Netcat后门程序为例，Netcat能够连接到机器的任何端口，也能够在任何端口上提供服务，攻击者就可以利用它在任何端口上传输和发送文件。如下图所示： 　　攻击者敲入nc 10.1.1.100 4444，那么其就在IP地址为10.1.1.100这台机器上的4444端口上建立了连接，一旦连接被建立，那么攻击者就可以随意输入他想输入的命令，比如说他敲入了whoami命令，通过命令显示，攻击者目前是操作在名为SQLSEVER服务器的Administrator，由此他就可以完全控制这台服务器，获取他想要的数据。 　　IDP的实现方案 　　IDP并不是像病毒检测那样仅仅针对已知的后门程序进行检测，通过上文我们分析了后门攻击的实现方式，也发现了它的漏洞，那就是可疑的小包交互式流量，IDP通过对这种可疑的交互式流量的处理，不仅可以防范已知的后门攻击也可以防范未知的后门攻击。 　　IDP通过检测报文的数据长度和报文的间隔时间来判断该流量是否是可疑的交互式流量。IDP捕获分析 *** 中的所有流量，根据需求配置，可以配置包间隔的更大、最小时间，包大小的限制亦即分析后门连接中报文的更大长度限制，小包以及背靠背小包所占流量的百分比等等，如果通过流量模式对比分析，发现在短时间内有大量的交互式小包，那么我们就可以怀疑目前正在有后门攻击发生，那么就可采取相应的措施，丢弃报文、关闭连接、关闭IP等等。 　　当然对于交互式流量也不能全盘否定，比如说我们的IT管理员通常会利用SSH来配置 *** 设备，所以IDP在检测时候需要排除SSH流量，常用FTP、Telnet也应该属于排除检测的范围，否则会产生一些错误处理。 *** 攻击者大部分都是来自Internet，所以我们需要重点关注的交互式流量是服务器和Internet之间。这两者之间的小包交互式流量很可能就是来自Internet的攻击，所以在具体的应用过程中根据需要合理的配置。 　　总之， *** 攻击无处不在，但是相信，哪里有攻击哪里就会有防御。