Chinaunix首页 | 论坛 | 博客
  • 博客访问: 345627
  • 博文数量: 208
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 286
  • 用 户 组: 普通用户
  • 注册时间: 2014-05-20 11:39
文章分类

全部博文(208)

文章存档

2014年(208)

我的朋友

分类: 系统运维

2014-05-20 13:17:40

  1. 首先就是No Firewall(允许本地对外监听基本上任何端口)

    对付这种机器好办,随便哪个马一般都行典型代表 Radmin

    rdp 3389/tcp

    2. 端口筛选

    使用工具netcat就可以穿刺这种防火墙 :

    nc -e cmd.exe 远程ip 远程监听port。

    随后,端口复用技术也出现了,复用防火墙开放的端口:如80,21,445等。

   典型的后门如hkdoor,ntrookit。

    还有利用无端口协议来通信,如利用icmp报文(Ping就是利用的ICMP协议的 Echo Request和Echo Reply探测主机存活)。

    典型的如pingdoor。

    更牛的,就是干脆抛开TCP/IP协议,木马自定义协议进行通信, 典型的如ntrootkit采用了自定义协议技术。

    3.应用程序筛选。(只允许特定程序访问网络)

    木马也不甘落后,自己不能访问网络,只好寄人篱下:

    进程插入技术诞生了,通常firewall都要允许iexplore.exe,explore.exe,svchost.exe,services.exe等程序访问网络,于是木马便盯上了这些程序。

    现在的远程控制一般都是插入进程式,一是隐蔽(没有自己进程),二是穿墙。典型如Bits.dll(替换系统服务BITS,插入svchost.exe中) 和灰鸽子/PcShare(默认插入iexplorer.exe浏览器进程)等。

    4.协议筛选

    http-tunnel (http隧道)将木马通信封装成http数据报进行传输。

    使用这种技术的有pcshare(使用双向http隧道传输)

一般防火墙为了安全起见,都只开80和其他一些常用的端口,这样的话,那些一般的基于tcp/ip客户端和服务端的木马就不能通过防火墙和外界发生联系,特别是在内网之中,但是经过特殊处理的ip封包可以伪装成http封包,这样防火墙就认为其是合法的http数据包,就会放行,这样在木马的接收端,软件再将伪装过的ip封包还原出来,取出其中有用的数据,从而达到穿越防火墙端口设置的限制。 该类型软件具有很大的欺骗性,所以不要认为设置了端口限制的防火墙就一定很安全了。 利用HTTP协议的缺陷来实现对防火墙的渗透,或者说现有的一些HTTP隧道技术的实现,是基于防火墙在对HTTP协议的报文进行识别与过滤时,往往只对其诸如POST、GET等命令的头进行识别,而放行其后的所有报文。
 



HTTP相关资料

    5.IP过滤


    一般就是化分为本机,局域网,广域网三个层次,比如,无法连到黑客主机或者跳板,就搜索本机的代理设置,如IE代理设置,然后代理出去!

    可以想象P2P形式的马也将于不久以后成为可能,这样木马和僵尸网络的区别就更小了。

    6. 现在很多防火墙都可以检测传输的敏感信息,如用户口令等,所以抗IDS,抗自动分析,这便成了高级木马需要考虑的东西,换句话说保护黑客控制的安全性和隐秘性。典型的解决方法就是采取加密措施,如最简单的对付IDS检测的方法,xor异或加密

声明:凡注明CIO时代网()之作品(文字、图片、图表),转载请务必注明出处为CIO时代网(),违者本网将依法追究责任。
阅读(948) | 评论(0) | 转发(0) |
0

上一篇:HTTP1.1 特性

下一篇:KMP算法详解

给主人留下些什么吧!~~