用iris分析中灰鸽子后的反入侵(图)

　　首先要介绍一下软件

　　1.netlimiter 2 pro＝＝＝主要的作用是查看每个进程的连接。。可以看到进程开启的端口。与外界相连接时的本地和远端的端口。当然还可以限制流量。。关闭指定的线程等。。具体就大家去开发了。。

　　2.Iris＝＝＝＝＝＝＝＝＝相信你上网去google一下就知道这是很出名的嗅探器。。作用就不用说了。。就是抓包。。

　　3.iceSword冰刃＝＝＝＝＝别告诉我你没有这款经典的工具。。我主要用它来看查隐藏的进程。文件。。注册表项。

　　4.灰鸽子 [Version 2.03]＝＝＝＝这个就不多说了。

　　先看一下。。没中招前的服务。。相信大家都是用2000以上的系统了吧。。所以关于在98下面不以服务启动的鸽子就不讨论了。。

　　服务1.gif

　　进程端口2.gif

　　然后再配置一个鸽子的服务端。。由于是测试用的。。里面的服务名称我就不作调整了。。

　　我是用较多人用的那个上线方法：FTP上线,,客户的ip在这个文件上面/UpLoadFiles/NewsPhoto/>服务端的配置3.gif

　　然后我就运行服务端

　　这时在iceSword中就会看到iexplore.exe是一个红色的。。就表示是隐藏的进程了。。

　　中鸽子后的进程4.gif

　　中鸽子后的服务5.gif

　　本机的ip是 218.13.52.26

　　我的ip反向所在地址为：219.136.252.180

　　d:\hacker\ipc>ping free.6to23.com

　　Pinging cache014.6to23.net [219.136.252.180] with 32 bytes of data:

　　Reply from 219.136.252.180: bytes=32 time=18ms TTL=119

　　Reply from 219.136.252.180: bytes=32 time=15ms TTL=119

　　Reply from 219.136.252.180: bytes=32 time=15ms TTL=119

　　下面就分析一下抓到的数据包

　　首先看到的是著名的TCP协议的三次握手。

　　1.218.13.52.26：1708＝》61.151.241.97：80，FLage:S

　　先由本机(218.13.52.26)从1708端口向对方(61.151.241.91)的80端口发包，syn=1表示发起一个连接，生成随机seq

　　2.61.151.241.97：80＝》218.13.52.26：1708，FLage:AS

　　对方收到后将seq+1置于Ack发回给本机。并且syn=1,ACK=1表示对前者的确认，生成随机seq发回本机

　　3.218.13.52.26：1708＝》61.151.241.97：80，FLage:A

　　本机收到后将seq+1置于Ack发回给对方，将对方Ack置于Seq

　　这样就完成了三次握手。

　　下面就进行数据的传送了

　　4.218.13.52.26：1708＝》61.151.241.97：80，FLage:AP

　　本机向对方确认，并且PSH=1(PSH 置1时请求的数据段在接收方得到后就可直接送到应用程序，而不必等到缓冲区满时才传送。 )。这个我理解为本机向远程请求数据。

　　5.61.151.241.97：80＝》218.13.52.26：1708，FLage:A

　　远程向本机传送数据

　　6.61.151.241.97：80＝》218.13.52.26：1708，FLage:A

　　远程向本机传送数据

　　"建立一个连接需要三次握手，而终止一个连接要经过4次握手。这是因为一个TCP连接是全双工（即数据在两个方向上能同时传递），每个方向必须单独地进行关闭。4次握手实际上就是双方单独关闭的过程。 "

　　7.218.13.52.26：1708＝》61.151.241.97：80，FLage:A

　　本机对5.6发过来的数据的确认。

　　4～7均为数据包的传送。我理解为一直在传送同一个文件的不同大小的包。

　　要注意的是它们的seq与ack一直在存在seq+数据包大小=ack的关系。。

　　（TCP提供一种面向连接的、可靠的字节流服务。当接收端收到来自发送端的信息时，接受端要发送一条应答信息，表示收到此信息。数据传送时被TCP分割成认为最适合发送的数据块。一般以太网在传送时TCP将数据分为1460字节。也就是说数据在发送方被分成一块一块的发送，接受端收到这些数据后再将它们组合在一起。

　　例如：6的seq=3222831523,size=1502,=>7的ack=3222831523+1502-62=(14mac头+20ip头+20tcp头+8PPPoe头)

　　6行显示对方给本机发送了大小为1502字节大小的数据，注意我们前文讲过数据发送时是层层加协议头的，1502字节=14字节以太网头 + 8字节PPPoe头(因为我是电信宽带上网的) + 20字节IP头 + 20字节TCP头 + 1440字节数据

　　7行显示的应答信号ACK为：32222832963，这个数是6行得SEQ序号3222831523加上传送的数据1440，本机将这个应答信号发给对方说明已收到发来的数据(1440)。

　　"建立一个连接需要三次握手，而终止一个连接要经过4次握手。这是因为一个TCP连接是全双工（即数据在两个方向上能同时传递），每个方向必须单独地进行关闭。4次握手实际上就是双方单独关闭的过程。 "

　　8.61.151.241.97：80＝》218.13.52.26：1708，FLage:APF

　　对方发完最后一个数据包size=1078,并向本机请求终止，Fin=1(FIN 置1时表示发端完成发送任务。用来释放连接，表明发送方已经没有数据发送了。 )

　　9.218.13.52.26：1708＝》61.151.241.97：80，FLage:A

　　本机收到本机的fin=1后。。将seq+1=ack,回复本机，发回一个确认，并将应答信号ack设置为收到序号seq加1，这样就终止了对方=>本机这个方向的传输。

　　10.218.13.52.26：1708＝》61.151.241.97：80，FLage:AF

　　本机向对方请求终止，Fin=1(FIN 置1时表示发端完成发送任务。用来释放连接，表明发送方已经没有数据发送了。 )

　　11.61.151.241.97：80＝》218.13.52.26：1708，FLage:A

　　对方收到本机的fin=1后。。将seq+1=ack,回复本机，发回一个确认，并将应答信号ack设置为收到序号seq加1，这样就终止了本机=>对方这个方向的传输。

　　12~14三握手（s=>as=>a）

　　15~16数据传送

　　17~20四次握手（af=>a=>af=>a）

　　21~23我用鸽子Ftp更新了我的ip

　　24~26三次握手（s=>as=>a）

　　27注意。。这里就是重点了。鸽子读取ip.txt文件。。是明文的。。很容易就看到了：

　　GET /alex0008/tmp/ip.txt HTTP/1.0..User-Agent: MYURL..Host: free.6to23.com..Pragma

　　28读取ip.txt 里的内容后确定鸽子的客户端ip!!!也是明文的。。很容易就看到了：

　　http://218.13.52.26/wwwroot/....

　　配置过鸽子的人都知道wwwroot是它的特征。。注意我用的鸽子是新版的。。所以跟旧版的鸽子设置文件略有不同如果是旧版应该是这样的http://218.13.52.26:5326/wwwroot/后面跟着的是端口

　　至此。。我们基本就掌握到了放鸽子的一些重要的资料了。。你可以直接扫描一下对方。。看有没漏洞。。也可以破解了它的ftp空间。。更改他的ip.txt 文件。。让对方的鸽子飞到你这里来。。呵呵。。就看你的本事有多大了。。

　　做这个分析用了我两个晚上。。原因没别的。。昨天晚上。。单就找一个合用的iris就找了老半天。以前我也下载过。但是在连接上网络的情况下面就是注册不了。。。好不容易。。问网友：凌三少。。发了个3.7版的过来。。凑合着用。。但旧版的包解码。不及4.07的详细。。。搞来搞去在黑基软件中找到了也是4.07的。。不过。。是带注册机了。。看了上面的说明。。才明白我一直装不上。。原来是网络更新作的怪吧。。好了。。不多说了。。大家如果有兴趣自己去研究一下。。我分析的那32个数据包。。我也打包上来了。。方便大家用iris对照着来学习。。这个分析个人觉得还不错。。不但分析出了放鸽子的一些重要资料。。也让大家对tcp/ip协议的工作原理有个较清晰的了解。。

　　by the way。。我原本是想用iris分析出鸽子的连接密码的。。但是实际分析中。。却没抓到本机的服务端与本机的客户端的连接。。怪我功力不够。。最后也想请教一下高手：如何让隐藏的进程现身。。我的意思是让它变成普通的进程。。以方便用嗅探类的软件去分析它。。这个问题我事前也google过了。。没收获。。在有问必答里也发了贴。。希望大家都来关注一下这个问题。。谢谢

　　发表了才发现自己没有上传附件的权限。。晕哦。。

　　那些包我就抓图吧。。