先看看天网个人防火墙是怎样的机制。就我目前所知道的看来,天网应属于一个比较简单的
包过滤防火墙,它是根据你的设定,从而决定让哪些端口上的数据包通过,哪些不让通过。
突破口就要看它允许通过的数据包有哪些了。比如它可以让你去浏览网页,那么,你可以
把自己木马要发送的信息和IE的请求信息一道发出去。我记得以前在大富翁这有人问一个
关于木马和防火墙之类的问题时,我贴过一篇我从别处看来的贴子,上面有说得很精彩的
如何突破防火墙的东东。不过现在我也不知道在哪了:)让我在自己部机上找找看先
找到了,原文如下:(节选)
四、防火墙攻防战
现在,在个人防火墙如此之流行的今天,也许有人会说:我装个防火墙,不管你用什么
木马,在我系统上搞什么,防火墙设了只出不进,反正你没法连进来。同样,对于局域
网内的机器,原先的木马也不能有效的进行控制(难道指望网关会给你做NAT么?)但
是,城墙从来就挡不住木马:在古希腊的特洛伊战争中,人们是推倒了城墙来恭迎木马
的,而在这个互联网的时代,木马仍然以其隐蔽性和欺诈性使得防火墙被从内部攻破。
其中反弹端口型的木马非常清晰的体现了这一思路。
反弹端口型木马分析了防火墙的特性后发现:防火墙对于连入的链接往往会进行非常严
格的过滤,但是对于连出的链接却疏于防范。于是,与一般的木马相反,反弹端口型木
马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口,木马定时监
测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的主动端口,为了
隐蔽起见,控制端的被动端口一般开在80,这样,即使用户使用端口扫描软件检查自己
的端口,发现的也是类似 TCP UserIP:1026 ControllerIP:80 ESTABLISHED的情况,
稍微疏忽一点你就会以为是自己在浏览网页。(防火墙也会这么认为的,我想大概没有
哪个防火墙会不给用户向外连接80端口吧,嘿嘿)看到这里,有人会问:那服务端怎么
能知道控制端的IP地址呢?难道控制端只能使用固定的IP地址?哈哈,那不是自己找死
么?一查就查到了。实际上,这种反弹端口的木马常常会采用固定IP的第三方存储设备
来进行IP地址的传递。举一个简单的例子:事先约定好一个个人主页的空间,在其中放
置一个文本文件,木马每分钟去GET一次这个文件,如果文件内容为空,就什么都不做,
如果有内容就按照文本文件中的数据计算出控制端的IP和端口,反弹一个TCP链接回去,
这样每次控制者上线只需要FTP一个INI文件就可以告诉木马自己的位置,为了保险起见,
这个IP地址甚至可以经过一定的加密,除了服务和控制端,其他的人就算拿到了也没有
任何的意义。对于一些能够分析报文、过滤TCP/UDP的防火墙,反弹端口型木马同样有
办法对付,简单的来说,控制端使用80端口的木马完全可以真的使用HTTP协议,将传送
的数据包含在HTTP的报文中,难道防火墙真的精明到可以分辨通过HTTP协议传送的究竟
是网页还是控制命令和数据?
这儿只是一小部分,我不敢贴大长了。上次贴过的了,不过不记得是在哪:)
如果想知道更多的话,可以EMAIL给我mailto:<a href="mailto:26hb@21cn.com">26hb@21cn.com</a>,
不要炸我的邮箱哟:)或者可以通过OICQ问问我,我是很乐意让大家都知道的:)
my oicq number:2594716
