这种连接方式的木马以冰河为代表。冰河是一款功能强大的远程控制木马,基于TCP/IP,可以基本黑客都认识。这种木马的连接技术就是主动连接,即服务端在运行后监听指定端口,而在连接时,客户端会主动发送连接命令给服务端进行连接。这种方法有个很大的弊处,那就是在连接的时可以轻易的被防火墙所拦截。如图。
2、反弹连接
在“冰河”木马停止开发后,后来出现了一款大名鼎鼎的木马-灰鸽子。相必没有人不认识吧?其连接方式就有采用反弹连接。防火墙能阻止外部连接,但是却阻挡不了内部向外连接。反弹连接即使利用这原理。反弹连接分为FTP反弹连接和域名反弹连接。目前仍是木马连接的主流技术之一。FTP反弹连接原理如图。客户端首先登陆FTP空间,在相关网页上写入客户端电脑目前IP及开放端口。而服务端会定时读取FTP空间网页内容,当发现客户端信息就会主动连接远程服务端。
域名反弹连接技术可能是平常在配置木马中最常遇见的,我们用希网等动态域名作为连接地址,其实就是采用域名反弹连接方式。原理同FTP反弹连接类似。首先我们更新域名信息,服务端通过域名读取客户端信息,然后主动连接客户端。
采用反弹连接也有个缺点,它只能访问拨号上网和NAT代理上网的服务端。
3、HTTP隧道技术
使用HTTP隧道技术可以访问到局域网里通过HTTP、SOCKS4/5代理上网的服务端。其代表木马有红狼(Gh0st RAT)。
简单的说,HTTP隧道技术就是将传送的数据封装在HTTP协议里进行传送。因此可以访问到局域网里通过HTTP、SOCKS4/5代理上网的服务端。其几乎支持所有上网方式。这种连接方式同样可以避免防火墙及用户的发现,会被误以为是正常的使用浏览器上网。
4、其他连接方式
冰河、灰鸽子、红狼都属于C/S型木马,而这里不得不介绍下B/S型木马。
C/S型木马就是通过客户端(Client)对服务端(Server)进行控制操作;而B/S型木马就是通过浏览器(Browser)对服务端(Server)进行控制操作。
最早的B/S型木马是1998年第七届"DEF CON“黑客大会,由”死牛崇拜(CDC)“组织拿出的BO2000.国内也有个网络精灵,其实是把BO2000进行汉化精简后重新用VC++进行编译封装。
还有些其他的不常见或不常用木马连接技术这里就不多加介绍,大家有兴趣的可以去查资料。
678
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
