| 和现实生活中的情形往往有惊人的相似,网络安全也是“完善→漏洞→再完善”这样一个过程,螺旋式地向上发展。木马与防火墙的对话,也有着这样的过程。 特洛伊木马这样一种黑客技术,一出现,就引起了人们的关注。除了从不同的角度防范木马行为的发生,在防火墙技术上的发展,也有效地遏止了木马的泛滥。 但是有些用户还是发现,即使将自己的防火墙设置为禁止外来主动连接,防范了理论上的木马,也无法排除信息泄露的可能。网络利用率常常居高不下,不正常的连接还是会频繁出现。 那么,我们现在就不得不关注木马技术的新发展——反弹式木马。 一、什么是反弹式木马 我们都知道,所谓的“特洛伊木马”,就是一种基于“客户机/服务器”模式的远程控制程序,它让用户的机器运行服务器端的程序,这个服务器端的程序会在用户的计算机上打开监听的端口。这就给黑客入侵用户计算机打开了一扇进出的门,然后黑客就可以利用木马的客户端入侵用户的计算机系统。 随着防火墙技术的提高和发展,基于IP包过滤规则来拦截木马程序可以很有效地防止外部连接,因此黑客在无法取得连接的情况下,也无所作为。 然而,“道高一尺,魔高一丈”这个安全领域里的“规律”无时不在起作用。聪明的木马程序员又发明了所谓的“反弹式木马”——它利用防火墙对内部发起的连接请求无条件信任的特点,假冒是系统的合法网络请求来取得对外的端口,再通过某些方式连接到木马的客户端,从而窃取用户计算机的资料同时遥控计算机本身。 二、反弹式木马的原理 常见的普通木马,是驻留在用户计算机里的一段服务程序,而攻击者控制的则是相应的客户端程序。服务程序通过特定的端口,打开用户计算机的连接资源。一旦攻击者所掌握的客户端程序发出请求,木马便和他连接起来,将用户的信息窃取出去。这类木马的一般工作模式如图1所示。  图1 特洛伊木马的一般工作原理 可见,此类木马的最大弱点,在于攻击者必须和用户主机建立连接,木马才能起作用。所以在对外部连接审查严格的防火墙下,这样的木马很难工作起来。 而反弹式木马,在工作原理上就于常见的木马不一样。图2是反弹式木马的一般工作原理。 由于反弹式木马使用的是系统信任的端口,系统会认为木马是普通应用程序,而不对其连接进行检查。防火墙在处理内部发出的连接时,也就信任了反弹木马。 “网络神偷”是目前最常见的一种反弹式木马,它的工作原理也就是这样的。这充分说明了另一条至理名言:堡垒总是从内部被突破的。  图2 反弹式木马骗取防火墙信任 三、如何防范反弹式木马 那么,如何防范这类反弹式木马呢? 1、我们推荐大家使用个人防火墙,如《天网个人防火墙》或者《金山网镖个人防火墙》,这两款防火墙在防范反弹式木马上有优秀的表现:它们采用独特的“内墙”方式——应用程序访问网络规则,专门对付存在于用户计算机内部的各种不法程序对网络的应用。从而可以有效的防御像“反弹式木马”那样的骗取系统合法认证的非法程序。当用户计算机内部的应用程序访问网络的时候,必须经过防火墙的内墙的审核。合法的应用程序被审核通过;而非法的应用程序将会被天网防火墙个人版的“内墙”所拦截。 2、再就是老生常谈了,千万不要随便运行陌生的程序;收到邮件一定要先查看附件,再运行;不要隐藏文件后缀,发现是“.EXE”一定要小心。这些都是对付木马程序应该注意的地方,在此就不赘述了。 |
|小黑屋|最新主题|手机版|微赢网络技术论坛
( 苏ICP备08020429号 )
GMT+8, 2024-9-30 11:26 , Processed in 0.079181 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.
