一般方法,想繞過防火牆是不可能的,不過,我前幾天在乙個安全論壇看到有說一些新的
木馬技術是如何來瞞過防火牆的。我找找先。原文如下:(節選)
一、關埠
禍從口出,同樣,埠也是木馬的最大漏洞,經過大家的不斷宣傳,現在連乙個剛剛上網
沒有多久的「菜鳥」也知道用netstat檢視埠,木馬的埠越做越高,越做越象系統端
口,被發現的概率卻越來越大。但是埠是木馬的生命之源,沒有埠木馬是無法和外界
進行通訊的,更不要說進行遠端控制了。為了解決這個矛盾,木馬們深入研究了richard stevens
的tcp/ip協議詳解,決定:放棄原來他們賴以生存的埠,轉而進入地下。放棄了埠後
木馬怎麼和控制端聯絡呢?對於這個問題,不同的木馬採用了不同的方法,大致分為以下
兩種方法:寄生、潛伏。
1、 寄生就是找乙個已經開啟的埠,寄生其上,平時只是監聽,遇到特殊的指令就進行
解釋執行;因為木馬實際上是寄生在已有的系統服務之上的,因此,你在掃瞄或檢視系統
埠的時候是沒有任何異常的。據我所知,在98下進行這樣的操作是比較簡單的,但是對
於win2000 相對要麻煩得多。由於作者對這種技術沒有很深的研究,在這裡就不贅述了,
感興趣的朋友可以去http://www.ahjmw.gov.cn/cit/或者西祠胡同的winsock版檢視相關
的資料。
2、 潛伏是說使用ip協議族中的其它協議而非tcp/udp來進行通訊,從而瞞過netstat和
埠掃瞄軟體。一種比較常見的潛伏手段是使用icmp協議,icmp(internet控制報文)
是ip協議的附屬協議,它是由核心或程序直接處理而不需要通過埠,乙個最常見的
icmp協議就是ping,它利用了icmp的回顯請求和回顯應答報文。乙個普通的icmp木馬會
監聽icmp報文,當出現特殊的報文時(比如特殊大小的包、特殊的報文結構等)它會打
開tcp埠等待控制端的連線,這種木馬在沒有啟用時是不可見的,但是一旦連線上了
控制端就和普通木馬一樣,本地可以看到狀態為established的鏈結(如果埠的最大連
接數設為1,在遠端使用connect方法進行埠掃瞄還是沒有辦法發現的);而乙個真正
意義上的icmp木馬則會嚴格地使用icmp協議來進行資料和控制命令的傳遞(資料放在icmp
的報文中),在整個過程中,它都是不可見的。(除非使用嗅探軟體分析網路流量)
3、 除了寄生和潛伏之外,木馬還有其他更好的方法進行隱藏,比如直接針對網絡卡或modem
進行底層的程式設計,這涉及到更高的程式設計技巧。
......(中間是和這個問題無關的,所以省去)
四、防火牆攻防戰
現在,在個人防火牆如此之流行的今天,也許有人會說:我裝個防火牆,不管你用什麼
木馬,在我系統上搞什麼,防火牆設了只出不進,反正你沒法連進來。同樣,對於局域
網內的機器,原先的木馬也不能有效的進行控制(難道指望閘道器會給你做nat麼?)但是,
城牆從來就擋不住木馬:在古希臘的特洛伊戰爭中,人們是推倒了城牆來恭迎木馬的,
而在這個網際網路的時代,木馬仍然以其隱蔽性和欺詐性使得防火牆被從內部攻破。其中
**埠型的木馬非常清晰的體現了這一思路。
的過濾,但是對於連出的鏈結卻疏於防範。於是,與一般的木馬相反,**埠型木馬的
服務端(被控制端)使用主動埠,客戶端(控制端)使用被動埠,木馬定時監測控制
端的存在,發現控制端上線立即彈出埠主動鏈結控制端開啟的主動埠,為了隱蔽起見,
控制端的被動埠一般開在80,這樣,即使使用者使用埠掃瞄軟體檢查自己的埠,發現
的也是類似 tcp userip:1026 controllerip:80 established的情況,稍微疏忽一點你
就會以為是自己在瀏覽網頁。(防火牆也會這麼認為的,我想大概沒有哪個防火牆會不給
使用者向外連線80埠吧,嘿嘿)看到這裡,有人會問:那服務端怎麼能知道控制端的ip地
址呢?難道控制端只能使用固定的ip位址?哈哈,那不是自己找死麼?一查就查到了。實
際上,這種**埠的木馬常常會採用固定ip的第三方儲存裝置來進行ip位址的傳遞。舉
鍾去get一次這個檔案,如果檔案內容為空,就什麼都不做,如果有內容就按照文字檔案
中的資料計算出控制端的ip和埠,**乙個tcp鏈結回去,這樣每次控制者上線只需要
ftp乙個ini檔案就可以告訴木馬自己的位置,為了保險起見,這個ip位址甚至可以經過
一定的加密,除了服務和控制端,其他的人就算拿到了也沒有任何的意義。對於一些能夠
分析報文、過濾tcp/udp的防火牆,**埠型木馬同樣有辦法對付,簡單的來說,控制
端使用80埠的木馬完全可以真的使用http協議,將傳送的資料報含在http的報文中,
難道防火牆真的精明到可以分辨通過http協議傳送的究竟是網頁還是控制命令和資料?
nmap繞過防火牆
1.發現防火牆 1 nmap sa 如果結果是filtered,那麼應該就是有防火牆 2 nmap badsum 事實上,所有主機都會丟棄錯誤checksum的資料報。如果收到響應,那麼可能是那些沒有檢查資料報的防火牆或ips。2.繞過防火牆 1 nmap ff 2 nmap f script fi...
Nmap繞過防火牆
1.碎片化 nmap傳送8個位元組的資料報繞過防火牆 ids ips。在防火牆配置不當的時候有用。nmap f host mtu,最大傳輸單元,它是碎片化的別名,我們可以指定它的大小 8的倍數 2.誘餌這種型別的掃瞄是非常隱蔽且無法察覺。目標由多個假冒或偽造ip位址進行掃瞄。這樣防火牆就會認為攻擊或...
ashx繞過防火牆
2.比較笨的方法,看 吧 我對 進行測試使用,防火牆依然檢查aspx字尾,pnig0s的 是上傳xx.jpg儲存的也是xx.jpg,xx.txt也是xx.txt,我的方法是做了乙個小的修改,偽原創。而且客戶端不用那麼麻煩。上傳任何型別檔案 防火牆不檢查的字尾 都會在服務端自動重新命名.看 吧 服務端...