现在,很多木马都利用了“反弹端口原理”与“HTTP隧道技术”,它的服务端(被控制端)会主动连接客户端(控制端),因此,在互联网上可以访问到局域网里通过NAT代理(透明代理)上网的电脑,可以穿过防火墙( 包括:包过滤型及代理型防火墙) ,并且支持所有的上网方式,只要能浏览网页的电脑,这种木马都可以访问到,那么我们有必要了解一下此类木马用到的相关技术。
反弹端口原理:
如果对方装有防火墙,客户端发往服务端的连接首先会被服务端主机上的防火墙拦截,使服务端程序不能收到连接,软件不能正常工作。同样,局域网内通过代理上网的电脑,因为是多台共用代理服务器的IP地址,而本机没有独立的互联网的IP地址( 只有局域网的IP地址) ,所以也不能正常使用,就是说传统型的同类软件不能访问装有防火墙和在局域网内部的服务端主机。
与一般的软件相反,反弹端口型软件的服务端(被控制端) 主动连接客户端(控制端) ,为了隐蔽起见,客户端的监听端口一般开在80(提供HTTP服务的端口),这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似 TCP UserIP:1026 ControllerIP:80 ESTABLISHED 的情况,稍微疏忽一点就会以为是自己在浏览网页(防火墙也会这么认为的) 。看到这里,有人会问:既然不能直接与服务端通信,如何告诉服务端何时开始连接自己呢?答案是:通过主页空间上的文件实现的,当客户端想与服务端建立连接时,它首先登录到FTP服务器,写主页空间上面的一个文件,并打开端口监听,等待服务端的连接,服务端定期用HTTP协议读取这个文件的内容,当发现是客户端让自己开始连接时,就主动连接,如此就可完成连接工作。
HTTP隧道技术:
常常使用木马的用户一定对木马所使用的反弹连接技术、线程插入技术等耳熟能详,但是对“HTTP隧道技术”可能就不甚了解了,那到底什么是“HTTP隧道技术”呢?我们知道,使用了“反弹连接技术”的远程控件软件只能访问拨号上网的服务端以及局域网里通过NAT代理上网的服务端。
而使用“HTTP隧道技术”以后,远程控件软件可以访问到局域网里通过HTTP、SOCKS4/5代理上网的服务端。简单来说,“HTTP隧道技术”就是把所有要传送的数据全部封装到HTTP协议里进行传送。因此,在互联网上可以访问到局域网里通过HTTP、SOCKS4/5代理上网的电脑,而且也不会有什么防火墙会拦截。
一般防火墙为了安全起见,都只开80和其他一些常用的端口,这样的话,那些一般的基于tcp/ip客户端和服务端的木马就不能通过防火墙和外界发生联系,特别是在内网之中,但是经过特殊处理的ip封包可以伪装成http封包,这样防火墙就认为其是合法的http数据包,就会放行,这样在木马的接收端,软件再将伪装过的ip封包还原出来,取出其中有用的数据,从而达到穿越防火墙端口设置的限制。
利用HTTP协议的缺陷来实现对防火墙的渗透,或者说现有的一些HTTP隧道技术的实现,是基于防火墙在对HTTP协议的报文进行识别与过滤时,往往只对其诸如POST、GET等命令的头进行识别,而放行其后的所有报文。
可以这么说,使用“HTTP隧道技术”的远程控制软件几乎支持了所有的上网方式,如:拨号上网、ADSL、Cable Modem、NAT透明代理、HTTP的GET型和CONNECT型代理、SOCKS4代理、SOCKS5代理等。
【本文来源】:蓝天互联( http://www.skyln.net ),转载请以链接形式注明出处
【原文链接】:http://www.skyln.net/warfare/mmhm/669.html
扫一扫
3925
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
