科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道用iris分析中灰鸽子后的反入侵(图)

用iris分析中灰鸽子后的反入侵(图)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

我是用较多人用的那个上线方法:FTP上线,,客户的ip在这个文件上面/UpLoadFiles/NewsPhoto/>服务端的配置3.gif 本机收到后将seq+1置于Ack发回给对方,将对方Ack置于Seq  这样就完成了三次握手。

作者:安全中国 2007年11月6日

关键字: 灰鸽子 灰鸽子病毒 灰鸽子专杀 灰鸽子2007 灰鸽子专杀工具

  • 评论
  • 分享微博
  • 分享邮件

  首先要介绍一下软件

  1.netlimiter 2 pro===主要的作用是查看每个进程的连接。。可以看到进程开启的端口。与外界相连接时的本地和远端的端口。当然还可以限制流量。。关闭指定的线程等。。具体就大家去开发了。。

  2.Iris=========相信你上网去google一下就知道这是很出名的嗅探器。。作用就不用说了。。就是抓包。。

  3.iceSword冰刃=====别告诉我你没有这款经典的工具。。我主要用它来看查隐藏的进程。文件。。注册表项。

  4.灰鸽子 [Version 2.03]====这个就不多说了。

  先看一下。。没中招前的服务。。相信大家都是用2000以上的系统了吧。。所以关于在98下面不以服务启动的鸽子就不讨论了。。

  服务1.gif

  

  

  进程端口2.gif

  

  

  然后再配置一个鸽子的服务端。。由于是测试用的。。里面的服务名称我就不作调整了。。

  我是用较多人用的那个上线方法:FTP上线,,客户的ip在这个文件上面/UpLoadFiles/NewsPhoto/>服务端的配置3.gif

  

  

  然后我就运行服务端

  这时在iceSword中就会看到iexplore.exe是一个红色的。。就表示是隐藏的进程了。。

  中鸽子后的进程4.gif

  

  

  中鸽子后的服务5.gif

  

  

  本机的ip是 218.13.52.26

  我的ip反向所在地址为:219.136.252.180

  d:\hacker\ipc>ping free.6to23.com

  Pinging cache014.6to23.net [219.136.252.180] with 32 bytes of data:

  Reply from 219.136.252.180: bytes=32 time=18ms TTL=119

  Reply from 219.136.252.180: bytes=32 time=15ms TTL=119

  Reply from 219.136.252.180: bytes=32 time=15ms TTL=119

  下面就分析一下抓到的数据包

  首先看到的是著名的TCP协议的三次握手。

  1.218.13.52.26:1708=》61.151.241.97:80,FLage:S

  先由本机(218.13.52.26)从1708端口向对方(61.151.241.91)的80端口发包,syn=1表示发起一个连接,生成随机seq

  2.61.151.241.97:80=》218.13.52.26:1708,FLage:AS

  对方收到后将seq+1置于Ack发回给本机。并且syn=1,ACK=1表示对前者的确认,生成随机seq发回本机

  3.218.13.52.26:1708=》61.151.241.97:80,FLage:A

  本机收到后将seq+1置于Ack发回给对方,将对方Ack置于Seq

  这样就完成了三次握手。

  下面就进行数据的传送了

  4.218.13.52.26:1708=》61.151.241.97:80,FLage:AP

  本机向对方确认,并且PSH=1(PSH 置1时请求的数据段在接收方得到后就可直接送到应用程序,而不必等到缓冲区满时才传送。 )。这个我理解为本机向远程请求数据。

  5.61.151.241.97:80=》218.13.52.26:1708,FLage:A

  远程向本机传送数据

  6.61.151.241.97:80=》218.13.52.26:1708,FLage:A

  远程向本机传送数据

  "建立一个连接需要三次握手,而终止一个连接要经过4次握手。这是因为一个TCP连接是全双工(即数据在两个方向上能同时传递),每个方向必须单独地进行关闭。4次握手实际上就是双方单独关闭的过程。 "

  7.218.13.52.26:1708=》61.151.241.97:80,FLage:A

  本机对5.6发过来的数据的确认。

  4~7均为数据包的传送。我理解为一直在传送同一个文件的不同大小的包。

  要注意的是它们的seq与ack一直在存在seq+数据包大小=ack的关系。。

  (TCP提供一种面向连接的、可靠的字节流服务。当接收端收到来自发送端的信息时,接受端要发送一条应答信息,表示收到此信息。数据传送时被TCP分割成认为最适合发送的数据块。一般以太网在传送时TCP将数据分为1460字节。也就是说数据在发送方被分成一块一块的发送,接受端收到这些数据后再将它们组合在一起。

  例如:6的seq=3222831523,size=1502,=>7的ack=3222831523+1502-62=(14mac头+20ip头+20tcp头+8PPPoe头)

  6行显示对方给本机发送了大小为1502字节大小的数据,注意我们前文讲过数据发送时是层层加协议头的,1502字节=14字节以太网头 + 8字节PPPoe头(因为我是电信宽带上网的) + 20字节IP头 + 20字节TCP头 + 1440字节数据

  7行显示的应答信号ACK为:32222832963,这个数是6行得SEQ序号3222831523加上传送的数据1440,本机将这个应答信号发给对方说明已收到发来的数据(1440)。

  "建立一个连接需要三次握手,而终止一个连接要经过4次握手。这是因为一个TCP连接是全双工(即数据在两个方向上能同时传递),每个方向必须单独地进行关闭。4次握手实际上就是双方单独关闭的过程。 "

  8.61.151.241.97:80=》218.13.52.26:1708,FLage:APF

  对方发完最后一个数据包size=1078,并向本机请求终止,Fin=1(FIN 置1时表示发端完成发送任务。用来释放连接,表明发送方已经没有数据发送了。 )

  9.218.13.52.26:1708=》61.151.241.97:80,FLage:A

  本机收到本机的fin=1后。。将seq+1=ack,回复本机,发回一个确认,并将应答信号ack设置为收到序号seq加1,这样就终止了对方=>本机这个方向的传输。

  10.218.13.52.26:1708=》61.151.241.97:80,FLage:AF

  本机向对方请求终止,Fin=1(FIN 置1时表示发端完成发送任务。用来释放连接,表明发送方已经没有数据发送了。 )

  11.61.151.241.97:80=》218.13.52.26:1708,FLage:A

  对方收到本机的fin=1后。。将seq+1=ack,回复本机,发回一个确认,并将应答信号ack设置为收到序号seq加1,这样就终止了本机=>对方这个方向的传输。

  12~14三握手(s=>as=>a)

  15~16数据传送

  17~20四次握手(af=>a=>af=>a)

  21~23我用鸽子Ftp更新了我的ip

  24~26三次握手(s=>as=>a)

  27注意。。这里就是重点了。鸽子读取ip.txt文件。。是明文的。。很容易就看到了:

  GET /alex0008/tmp/ip.txt HTTP/1.0..User-Agent: MYURL..Host: free.6to23.com..Pragma

  28读取ip.txt 里的内容后确定鸽子的客户端ip!!!也是明文的。。很容易就看到了:

  http://218.13.52.26/wwwroot/....

  配置过鸽子的人都知道wwwroot是它的特征。。注意我用的鸽子是新版的。。所以跟旧版的鸽子设置文件略有不同如果是旧版应该是这样的http://218.13.52.26:5326/wwwroot/后面跟着的是端口

  至此。。我们基本就掌握到了放鸽子的一些重要的资料了。。你可以直接扫描一下对方。。看有没漏洞。。也可以破解了它的ftp空间。。更改他的ip.txt 文件。。让对方的鸽子飞到你这里来。。呵呵。。就看你的本事有多大了。。

  做这个分析用了我两个晚上。。原因没别的。。昨天晚上。。单就找一个合用的iris就找了老半天。以前我也下载过。但是在连接上网络的情况下面就是注册不了。。。好不容易。。问网友:凌三少。。发了个3.7版的过来。。凑合着用。。但旧版的包解码。不及4.07的详细。。。搞来搞去在黑基软件中找到了也是4.07的。。不过。。是带注册机了。。看了上面的说明。。才明白我一直装不上。。原来是网络更新作的怪吧。。好了。。不多说了。。大家如果有兴趣自己去研究一下。。我分析的那32个数据包。。我也打包上来了。。方便大家用iris对照着来学习。。这个分析个人觉得还不错。。不但分析出了放鸽子的一些重要资料。。也让大家对tcp/ip协议的工作原理有个较清晰的了解。。

  by the way。。我原本是想用iris分析出鸽子的连接密码的。。但是实际分析中。。却没抓到本机的服务端与本机的客户端的连接。。怪我功力不够。。最后也想请教一下高手:如何让隐藏的进程现身。。我的意思是让它变成普通的进程。。以方便用嗅探类的软件去分析它。。这个问题我事前也google过了。。没收获。。在有问必答里也发了贴。。希望大家都来关注一下这个问题。。谢谢

  发表了才发现自己没有上传附件的权限。。晕哦。。

  那些包我就抓图吧。。

  

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章