Good Guys và Bad Guys đang sử dụng phương pháp này để mở cổng
Lý tưởng nhất là bạn muốn hạn chế và kiểm soát lưu lượng truy cập được phép vào mạng hoặc máy tính của bạn. Nó có thể hoàn thành trong nhiều cách khác nhau. Hai trong số các phương pháp chính là đảm bảo rằng các cổng không cần thiết trên máy tính của bạn không mở hoặc lắng nghe các kết nối và sử dụng tường lửa - trên chính máy tính hoặc tại chu vi mạng để chặn lưu lượng trái phép.
Bằng cách theo dõi lưu lượng và thao tác các quy tắc tường lửa dựa trên các sự kiện, bạn có thể tạo ra một loại "bí mật gõ" để mở cổng và cho phép bạn thông qua tường lửa. Mặc dù không có cổng nào có thể được mở tại thời điểm đó, một loạt kết nối cụ thể cố gắng đóng các cổng có thể cung cấp trình kích hoạt để mở một cổng giao tiếp.
Tóm lại, bạn sẽ có một dịch vụ chạy trên thiết bị đích mà sẽ xem hoạt động mạng - thường là bằng cách theo dõi các bản ghi tường lửa . Dịch vụ sẽ cần phải biết "gõ bí mật" - ví dụ như các lần kết nối thất bại đến cổng 103, 102, 108, 102, 105. Nếu dịch vụ gặp phải "bí mật" theo đúng thứ tự, nó sẽ tự động thay đổi các quy tắc tường lửa để mở một cổng được chỉ định để cho phép truy cập từ xa.
Các nhà văn độc hại của thế giới đã không may (hoặc may mắn thay- bạn sẽ thấy tại sao trong một phút) bắt đầu áp dụng kỹ thuật này để mở cửa trở lại trên các hệ thống bị nạn nhân. Về cơ bản, thay vì mở cổng cho kết nối từ xa dễ dàng nhìn thấy và phát hiện được, một Trojan được trồng để theo dõi lưu lượng mạng. Một khi "knock bí mật" bị chặn phần mềm độc hại sẽ đánh thức và mở cổng backdoor định trước, cho phép kẻ tấn công truy cập vào hệ thống.
Tôi đã nói ở trên rằng điều này thực sự có thể là một điều tốt. Vâng, bị nhiễm phần mềm độc hại của bất kỳ loại nào không bao giờ là một điều tốt. Nhưng, khi nó đứng ngay bây giờ một khi virus hoặc sâu bắt đầu mở cổng và số cổng đó trở thành kiến thức công khai, hệ thống bị nhiễm trở nên mở để tấn công bởi bất kỳ ai chứ không chỉ nhà văn của phần mềm độc hại mở cửa sau. Điều này làm tăng đáng kể tỷ lệ cược bị xâm phạm thêm hoặc của một loại vi-rút hoặc sâu sau đó tận dụng các cổng mở do phần mềm độc hại đầu tiên tạo ra.
Bằng cách tạo ra một backdoor không hoạt động mà đòi hỏi phải có "bí mật gõ" để mở nó các tác giả phần mềm độc hại giữ bí mật backdoor. Một lần nữa, đó là tốt và xấu. Tốt vì mọi Tom, Dick và Harry hacker sẽ không được quét cổng để tìm các hệ thống dễ bị tấn công dựa trên cổng được mở bởi phần mềm độc hại. Xấu vì nếu nó không hoạt động, bạn sẽ không biết nó có hoặc không và có thể không có bất kỳ cách dễ dàng để xác định rằng bạn có một backdoor không hoạt động trên hệ thống của bạn chờ đợi để được đánh thức bởi cổng gõ.
Bí quyết này cũng có thể được sử dụng bởi những người tốt như đã chỉ ra trong một bản tin Crypto-Gram gần đây từ Bruce Schneier. Về cơ bản, quản trị viên có thể khóa hoàn toàn hệ thống - không cho phép lưu lượng truy cập bên ngoài, nhưng thực hiện lược đồ gõ cổng. Sử dụng "gõ bí mật", quản trị viên sẽ có thể mở một cổng khi cần thiết để thiết lập kết nối từ xa.
Nó rõ ràng sẽ là quan trọng để duy trì tính bảo mật của mã "bí mật gõ". Về cơ bản, "bí mật gõ" sẽ là một "mật khẩu" của các loại mà có thể cho phép truy cập không giới hạn cho bất cứ ai biết nó.
Có một số cách để thiết lập cổng gõ và để đảm bảo tính toàn vẹn của chương trình gõ cổng - nhưng vẫn còn ưu và nhược điểm khi sử dụng cổng gõ một công cụ bảo mật trên mạng của bạn. Để biết thêm chi tiết, xem Làm thế nào để: Port Knocking trên LinuxJournal.com hoặc một số liên kết khác ở bên phải của bài viết này.
Ghi chú của biên tập viên: Bài viết này là nội dung cũ và được Andy O'Donnell cập nhật vào ngày 28/8/2016.