HTTP隧道技术
常常使用木马的用户一定对木马所使用的反弹连接技术、线程插入技术等耳熟能详,但是对“HTTP隧道技术”可能就不甚了解了,那到底什么是“HTTP隧道技术”呢?我们知道,使用了“反弹连接技术”的远程控件软件只能访问拨号上网的服务端以及局域网里通过NAT代理上网的服务端。而使用“HTTP隧道技术”以后,远程控件软件可以访问到局域网里通过HTTP、SOCKS4/5代理上网的服务端。简单来说,“HTTP隧道技术”就是把所有要传送的数据全部封装到HTTP协议里进行传送。因此,在互联网上可以访问到局域网里通过HTTP、SOCKS4/5代理上网的电脑,而且也不会有什么防火墙会拦截。
可以这么说,使用“HTTP隧道技术”的远程控制软件几乎支持了所有的上网方式,如:拨号上网、ADSL、Cable Modem、NAT透明代理、HTTP的GET型和CONNECT型代理、SOCKS4代理、SOCKS5代理等。
通过使用反弹连接技术和HTTP隧道技术后,服务端程序的打开端口一般开为80(即用于网页浏览的端口)。这样稍微疏忽一点用户就会以为是自己在浏览网页,而防火墙也会同样这么认为,再加上反弹连接型木马的服务端主动连接客户端,这样就可以轻易突破防火墙的限制。
曾经案例
2005年7月,作为网站管理员的张庆发现自己所管辖的网站被黑客入侵。通过对网络日志的分析,跟踪到一个IP地址,结果发现该IP地址是一台代理服务器的IP地址。在通过对代理服务当前网络连接的分析后,最终锁定黑客真正的IP地址,并确认黑客是通过一款名为Pcshare的木马程序地它进行了控制。而Pcshare就是一款集反弹连接技术和HTTP隧道技术于一身的木马程序。简单防御方法
由于HTTP隧道技术穿透防火墙的能力十分的强大,并且现在只被利用到某些木马程序之中,所以要防范“HTTP隧道技术”对用户带来的危害,还需要从木马程序的基本防范做起。
除此以外,我们应该了解哪些木马程序使用了“HTTP隧道技术”,这些木马程序的特点又是什么。据统计,现在国产木马程序使用了“HTTP隧道技术”的有Pcshare和网络神偷这两款木马程序。网络神偷的清除相对简单,而Pcshare的清除就相对复杂了。请参考网络上的一些相关介绍。