特洛伊木马这样一种黑客技术,一出现,就引起了人们的关注。除了从不同的角度防范木马行为的发生,在防火墙技术上的发展,也有效地遏止了木马的泛滥。
但是有些用户还是发现,即使将自己的防火墙设置为禁止外来主动连接,防范了理论上的木马,也无法排除信息泄露的可能。网络利用率常常居高不下,不正常的连接还是会频繁出现。
那么,我们现在就不得不关注木马技术的新发展——反弹式木马。
一、什么是反弹式木马
我们都知道,所谓的“特洛伊木马”,就是一种基于“客户机/服务器”模式的远程控制程序,它让用户的机器运行服务器端的程序,这个服务器端的程序会在用户的计算机上打开监听的端口。这就给黑客入侵用户计算机打开了一扇进出的门,然后黑客就可以利用木马的客户端入侵用户的计算机系统。
随着防火墙技术的提高和发展,基于IP包过滤规则来拦截木马程序可以很有效地防止外部连接,因此黑客在无法取得连接的情况下,也无所作为。
然而,“道高一尺,魔高一丈”这个安全领域里的“规律”无时不在起作用。聪明的木马程序员又发明了所谓的“反弹式木马”——它利用防火墙对内部发起的连接请求无条件信任的特点,假冒是系统的合法网络请求来取得对外的端口,再通过某些方式连接到木马的客户端,从而窃取用户计算机的资料同时遥控计算机本身。
二、反弹式木马的原理
常见的普通木马,是驻留在用户计算机里的一段服务程序,而攻击者控制的则是相应的客户端程序。服务程序通过特定的端口,打开用户计算机的连接资源。一旦攻击者所掌握的客户端程序发出请求,木马便和他连接起来,将用户的信息窃取出去。这类木马的一般工作模式如图1所示。
图1 特洛伊木马的一般工作原理
更多内容请看PCdog.com--病毒/木马/蠕虫专题
