首先要說的是國內現在有兩種不同類型的網吧,一種是傳統的網吧(網吧內的電腦是有主機和分機之分的,所有分機的要求都要經過主機的處理,然後才會到達internet)第二種是DDN網吧,這類網吧沒有主機和分機之分,所有在網吧內的電腦是共享一條或多條專線,但每台電腦都有一個靜態的IP,而且是直接連接上internet上的。
在第二種類型的網吧中,因為網吧的電腦是直接連上internet的,所以要用木馬控制是完全沒有問題的,下面就談一談傳統網吧因為傳統網吧中,只有主機是連接上nternet的,網吧內的其它分機想和internet進行數據通訊時就必須先向主機提送一個請求,在主機上運行的代理服務程序(wingatesygatewinproxy等等)就會對這些請求進行處理,將處理向internet中發送,當收到回應時就將數據向那台請求的分機發回去,在這種情況下,主機的作用不但是中介傳送,還可以充當一個防火牆,因為所有向外(向internet)或向內(向分機)的請求都必須經過主機的處理,所以所有的請求要到達分機就必須經過主機了,這一點就成了為什麼在家裡的單機不能控制到這類型網吧內的分機了。
大部份的木馬的服務器端程序在一台電腦上執行後,就會在那台電腦打開一個端口等待客戶端的連接,例如一台在網吧內的電腦執行了冰河,那冰河就在那台電腦打開7626這個端口,然後
就是等待。這裡就要解析一下內部IP和外部IP的問題了,在這裡類型的肉吧中,每一台分機都有一個內部IP(由網卡分配的),內部IP主要是用於在局部網內電腦間的通訊),在整個網吧中,所有的電腦都只有一個外部IP的,這外部IP是由主機連接上internet時網絡商分配的。
好了,現在假設那台感染冰河的網吧電腦的內部IP是192.12.12.12,外部IP是61.61.61.61當在家裡使用的單機或在網絡上的電腦嘗試去連接冰河時,如果使用的IP是192.12.12.12的話,因為192.12.12.12這個IP在internet上根本不存在的(有幾段IP是專用於設置內部IP的)如果這個IP不存在的話,你就得不到回應了。
當你使用61.61.61.61這個IP嘗試去連接時,你的連接的請求首先會被那個網吧的主機收到(主機的防火牆和中介作用)主機沒有感染冰河,所以你的連接請求馬上會被拒絕,連接就失敗了,對於這種傳統類型的網吧,
大部份的木馬都是不可以控制到網吧內的電腦的,下面我們說說要控制網吧內的電腦的可能性.
由上述我們可知道,由外界向網吧內的分機發送連接請求時,主機會拒絕這類的請求的,但如果由網吧內的分機向某個特定的IP發送連接請呢?有什麼情形發生呢?舉個例子,某台分機使用瀏覽器觀看www.yahoo.com.cn這個網站時,實質上就是分機向www.yahoo.com.cn發送一個請求,www.yahoo.com.cn收到請求時就會回應,然後數據向那台分機發回去,首先這些數據會經過主機,因為是由分機向外提出請求的,當有數據回應時,主機上的代理服務程序就會將數據向那台分機發去。在這種情況下,連接就順利產生了,利用這個由原理,就可以實現控制網吧內電腦的可能性了。
蔬菜的那個木馬就是利用這種原理,由木馬的服務器端程序向外產生連接(傳統木馬是由客戶端向服務器端產生連接的)這樣就解決問題了。除了蔬菜的木馬外,BioNet中的irc功能亦可以實現這樣可能的,不過可能會有些限制。
BioNet這個木馬中有一個功能就是irc通知功能,就是當服務器程序啟動時,就會向指定的irc服務器上產生連接,然後在irc內那個指定的房間(channel)內待侯命令,這種情形和拒絕服務攻擊那些等候命令的服務器是一樣的,因為這種連接是由服務器端(感染了木馬的那台電腦)發出的,所以如果網吧內的主機不拒絕分機的這種連接的話(因為irc使用的默認端口是6667所以主機的服務器程序不一定會允許的,蔬菜的木馬是使用ftp那個端口,那個端口一般是不會拒絕的)這樣分機就可以連接上irc的服務器上了.
如果可以連接上的話,連接就已經產生了,這樣由irc服務器上向分機發向命令就不再會被主機所拒絕了,雖然BioNet在irc服務器向木馬服務端使用的命令是限的,但起碼都有上載,遠程執行和攻擊這幾個命令在,雖說是命令不夠豐富,但因為irc上的限制,有這幾種功能都算是不錯的了。還有一個可以控制網吧內電腦的木馬是remote-anything,3.6版以上才有這個功能的.
而且有一個條件就是,必須是網吧的主機亦有感染remote這個木馬.在主機上的remote就充當一個"網關"的功能,將向分機的請求都轉向到分機上去,這種功能幾乎就是一種端口轉向的功能(所謂端口轉向功能,就是將對某個端口的
請求轉向到其它電腦上例如在主機上運行了一個端口轉向的程序,這個程序將會把所有將向主機7777端口的請求都轉向到某台分機上的7626端口去,假設分機的內部IP是12.12.12.12,而且感染了冰河,打開的端口是7626主機的外部IP是13.13.13.13那個在主機上運行的端口轉向程序將向13.13.13.13端口7777的請求轉到12.12.12.12的7626那個端口去當有人向主機13.13.13.13的7777端口時發送冰河連接的請求時.
這時口轉向程序就發生作用了,馬上將這個請求轉向到那台12.12.12.12.分機上的7626那個端口去因為12.12.12.12那台分機是感染了冰河的,所以這台分機會馬上作去回應,這樣連接就會產生了,亦是說可以使用冰河控制網吧內的分機的),remote在主機上的"網關"功能就和上述的端口轉向原理是差不多的。
雖然說要在主機感染了remote才可以控制網吧內感染remote的分機是一種限制,但總比沒有這個功能要強,冰河的話,就算網吧主機感染了冰河,分機亦感染木馬,你亦是只能夠控制主機,根本是沒辦法控制分機(除非你是在那個網吧內使用其中的一台分機去控制,這就另當別論。
在第二種類型的網吧中,因為網吧的電腦是直接連上internet的,所以要用木馬控制是完全沒有問題的,下面就談一談傳統網吧因為傳統網吧中,只有主機是連接上nternet的,網吧內的其它分機想和internet進行數據通訊時就必須先向主機提送一個請求,在主機上運行的代理服務程序(wingatesygatewinproxy等等)就會對這些請求進行處理,將處理向internet中發送,當收到回應時就將數據向那台請求的分機發回去,在這種情況下,主機的作用不但是中介傳送,還可以充當一個防火牆,因為所有向外(向internet)或向內(向分機)的請求都必須經過主機的處理,所以所有的請求要到達分機就必須經過主機了,這一點就成了為什麼在家裡的單機不能控制到這類型網吧內的分機了。
大部份的木馬的服務器端程序在一台電腦上執行後,就會在那台電腦打開一個端口等待客戶端的連接,例如一台在網吧內的電腦執行了冰河,那冰河就在那台電腦打開7626這個端口,然後
就是等待。這裡就要解析一下內部IP和外部IP的問題了,在這裡類型的肉吧中,每一台分機都有一個內部IP(由網卡分配的),內部IP主要是用於在局部網內電腦間的通訊),在整個網吧中,所有的電腦都只有一個外部IP的,這外部IP是由主機連接上internet時網絡商分配的。
好了,現在假設那台感染冰河的網吧電腦的內部IP是192.12.12.12,外部IP是61.61.61.61當在家裡使用的單機或在網絡上的電腦嘗試去連接冰河時,如果使用的IP是192.12.12.12的話,因為192.12.12.12這個IP在internet上根本不存在的(有幾段IP是專用於設置內部IP的)如果這個IP不存在的話,你就得不到回應了。
當你使用61.61.61.61這個IP嘗試去連接時,你的連接的請求首先會被那個網吧的主機收到(主機的防火牆和中介作用)主機沒有感染冰河,所以你的連接請求馬上會被拒絕,連接就失敗了,對於這種傳統類型的網吧,
大部份的木馬都是不可以控制到網吧內的電腦的,下面我們說說要控制網吧內的電腦的可能性.
由上述我們可知道,由外界向網吧內的分機發送連接請求時,主機會拒絕這類的請求的,但如果由網吧內的分機向某個特定的IP發送連接請呢?有什麼情形發生呢?舉個例子,某台分機使用瀏覽器觀看www.yahoo.com.cn這個網站時,實質上就是分機向www.yahoo.com.cn發送一個請求,www.yahoo.com.cn收到請求時就會回應,然後數據向那台分機發回去,首先這些數據會經過主機,因為是由分機向外提出請求的,當有數據回應時,主機上的代理服務程序就會將數據向那台分機發去。在這種情況下,連接就順利產生了,利用這個由原理,就可以實現控制網吧內電腦的可能性了。
蔬菜的那個木馬就是利用這種原理,由木馬的服務器端程序向外產生連接(傳統木馬是由客戶端向服務器端產生連接的)這樣就解決問題了。除了蔬菜的木馬外,BioNet中的irc功能亦可以實現這樣可能的,不過可能會有些限制。
BioNet這個木馬中有一個功能就是irc通知功能,就是當服務器程序啟動時,就會向指定的irc服務器上產生連接,然後在irc內那個指定的房間(channel)內待侯命令,這種情形和拒絕服務攻擊那些等候命令的服務器是一樣的,因為這種連接是由服務器端(感染了木馬的那台電腦)發出的,所以如果網吧內的主機不拒絕分機的這種連接的話(因為irc使用的默認端口是6667所以主機的服務器程序不一定會允許的,蔬菜的木馬是使用ftp那個端口,那個端口一般是不會拒絕的)這樣分機就可以連接上irc的服務器上了.
如果可以連接上的話,連接就已經產生了,這樣由irc服務器上向分機發向命令就不再會被主機所拒絕了,雖然BioNet在irc服務器向木馬服務端使用的命令是限的,但起碼都有上載,遠程執行和攻擊這幾個命令在,雖說是命令不夠豐富,但因為irc上的限制,有這幾種功能都算是不錯的了。還有一個可以控制網吧內電腦的木馬是remote-anything,3.6版以上才有這個功能的.
而且有一個條件就是,必須是網吧的主機亦有感染remote這個木馬.在主機上的remote就充當一個"網關"的功能,將向分機的請求都轉向到分機上去,這種功能幾乎就是一種端口轉向的功能(所謂端口轉向功能,就是將對某個端口的
請求轉向到其它電腦上例如在主機上運行了一個端口轉向的程序,這個程序將會把所有將向主機7777端口的請求都轉向到某台分機上的7626端口去,假設分機的內部IP是12.12.12.12,而且感染了冰河,打開的端口是7626主機的外部IP是13.13.13.13那個在主機上運行的端口轉向程序將向13.13.13.13端口7777的請求轉到12.12.12.12的7626那個端口去當有人向主機13.13.13.13的7777端口時發送冰河連接的請求時.
這時口轉向程序就發生作用了,馬上將這個請求轉向到那台12.12.12.12.分機上的7626那個端口去因為12.12.12.12那台分機是感染了冰河的,所以這台分機會馬上作去回應,這樣連接就會產生了,亦是說可以使用冰河控制網吧內的分機的),remote在主機上的"網關"功能就和上述的端口轉向原理是差不多的。
雖然說要在主機感染了remote才可以控制網吧內感染remote的分機是一種限制,但總比沒有這個功能要強,冰河的話,就算網吧主機感染了冰河,分機亦感染木馬,你亦是只能夠控制主機,根本是沒辦法控制分機(除非你是在那個網吧內使用其中的一台分機去控制,這就另當別論。
全站熱搜
留言列表
