端口反弹型木马

admin管理员组

文章数量:1534538

2024年3月22日发(作者：)

端口反弹型木马

防火墙有这样一个特点，就是对于连人的链接往往会进行严格的过滤，但是对于连出

的链接则疏于防范，不管什么防火墙都不能禁止从内网向外网发出连接，否则内网将无法

访问外网。用户要上网必须允许通过80端口从内网向外网发出连接。这就是防火墙的弱

点，新型木马技术正是利用防火墙这一特点来达到非法访问其他机器的目的。端口反弹的

一般方法是在计算机网络中想通信的两个主机间不直接进行通信，而是通过第三方的主机

来进行中转。所以端口反弹型木马一般是把客户端的信息存于有固定IP的第三方FTP服务

器(也称为“肉鸡”)上，服务端从FTP服务器上取得信息后计算出客户端的IP和端口，客

户端首先登录到FTP服务器，编辑在木马软件中预先设置的主页空间上面的一个文件，并

打开端口监听，等待服务端的连接，服务端定期用HTTP协议读取这个文件的内容，当发

现是客户端让自己开始连接时，就主动连接，如此就可完成连接工作。因此在互联网上可

以访问到局域网里通过NAT(透明代理)代理上网的电脑，并且可以穿过防火墙。与传统的

远程控制软件相反，反弹端口型软件的服务端会主动连接客户端，客户端的监听端口一般

开为80(即用于网页浏览的端口)，这样，即使用户在命令提示符下使用“netstat—a”命

令检查自己的端口，发现的也是类似“TCPUser IP：3015 Controller IP：http

ESTABLISHED”的情况，稍微疏忽一点你就会以为是自己在浏览网页，而防火墙也会同样

这么认为。于是，与一般的软件相反，反弹端口

型软件的服务端会主动连接客户端，这样就可以轻易地突破防火墙的限制。端口反弹

型木马的优势如下：

(1)端口反弹型木马的服务器端和控制端间的通信能够穿透服务器主机的防火墙。

(2)端口反弹型木马的服务器不再等待侦听来自控制端的链接请求，从而不易被端口扫

描工具发现。

(3)即使服务器端是在企业网内部通过代理上网，其也能够与控制端进行通信。

一、端口反弹型木马通信连接方法

端口反弹型木马通信连接有两种方法：半反弹型连接和全反弹型连接。

(1)半反弹型连接。当一个端口反弹型木马的控制端(人侵者)想和服务器端(目标)建立连

接时，它必须通过“肉鸡”给服务器端发送一条命令。“肉鸡”收到命令后将通过一个特殊

的数据端口向控制端发起连接请求。同时，控制端将会对这个端口进行侦听。当连接请求

通过后，这样连接通道就建立起来。半反弹型木马连接步骤如图

1入侵者连接“肉鸡”，向其发送指令。

2目标机器连接“肉鸡”后，将会收到这个指令。

3目标机器解析命令后，将会连接入侵者的机器。这样，一个端口反弹型通信就建立

起来。

(2)全反弹型连接。当一个端口反弹型木马的控制者想对目标机器进行操作时，首先它

必须向“肉鸡”发送一条指令，当目标机器从“肉鸡”上取得指令后，将在本机上执行指

令，然后将执行结果传回到“肉鸡”。最后控制者可以从“肉鸡”上得到执行的结果。全反

弹型连接步骤如图

1入侵者连接“肉鸡”，向其发送指令。

2目标机器连接“肉鸡”后，将会收这个指令。指令被解析后在目标机器上执行，然

后将执行结果传回“肉鸡”。

3最后，入侵者从“肉鸡”上得到执行结果。

半反弹和全反弹比较

在通讯的隐蔽性方面，全反弹型连接优于半反弹型连接。因为在全反弹型连接中，入

侵者与目标主机间没有任何直接的通信连接，所有通信都是由第三方服务器来进行中转，

这样即使入侵被发现也不会像半反弹型连接那样直接暴露自己。两者相比，在实时操作方

面，半反弹型连接由于是直连连接所以更具优势。因此．全反弹型连接一般用作远程文件

操作，而半反弹型连接更多地用于远程控制。

1．木马程序有两部分组成，一部分是服务器(Server)端程序，服务端运行后，会在本

机打开一个特定的网络端口监听客户端的连接。另一部分是客户(Client)端程序，即控制在

攻击者手中的程序，攻击者通过它获取远程计算机的数据并通过它控制远程计算机。攻击

者用客户端去连接服务端计算机的特定端口，进行登录，发出控制命令等，进而取得对计

算机的控制权限，可以任意查看或删改服务端文件，操作服务端的注册表 ，获取服务端的

系统信息 ，窃取口令等 ，就如同访问他自己的计算机一样方便。

其过程可用 VB 实现如下：(Horse_Server 和Horse_Client 均为 Winsock控件)

服务端：

Horse_Server. LocalPort = 31339 (打开一个特定的网络端口)

Horse_(监听客户端的连接)

客户端

Horse_Client . RemoteHost = RemotelP (设远端地址为服务器端IP地址)

Horse_Client . RemotePort = 31339(设远程端口为服务端程序起动的特定端口)

Horsec_Client . Connect (连接服务端计算机)

一旦服务端接到客户端的连接请求 ConnectionRequest ，就接受连接。

Private Sub Horse_Server_ConnectionRequest (ByVal requestlD As Long)

：

Horse_ requestlD

End Sub

客户机端用 Horse_Client . SendData 发送命令 ，而服务器在

Horse_Server_DataArrive事件中接受并执行命令(如：修改注册表、删除文件等) 。

如果客户断开连接 ，则服务端连接并重新监听端口：

Private Sub Horse_Server_Close ()

Horse_Server. Close (关闭连接)

Horse_(再次监听)

End Sub[1 ]

2．反弹端口型木马的工作原理

一般木马服务端运行后，会用邮件、ICQ 等方式发出信息通知入侵者，同时在本机打

开一个网络端口监听客户端的连接(时刻等待着客户端的连接) 。收到信息后，入侵者再运

行客户端程序向服务器的这一端口提出连接请求(Connect Request) ，服务器上的守护进

程就会自动运行，来应答客户机的请求。

目前，由于大部分防火墙对于连入的连接往往会进行非常严格的过滤，能对非法端口

的IP包进行有效的过滤，非法连接被拦在墙外，客户端主动连接的木马，现已很难穿过防

火墙。

与一般的软件相反，反弹端口型木马是把客户端的信息存于有固定IP的第三方FTP

服务器上，服务端从 FTP 服务器上取得信息后计算出客户端的IP和端口，然后主动连接

客户端。另外，网络神偷的服务端与客户端在进行通信，是用合法端口，把数据包含在像

HTTP或FTP的报文中，这就是黑客们所谓的“隧道”技术。其过程如下：

服务端：

Horse_Server. RemoteHost = RemotelP(设远端地址为从指定FTP服务器取得的客

户端IP地址)

Horse_Server. RemotePort = RemotePort (设远程端口为客户端程序起动的特定端

口，如：80、21等)

Horse_Server. Connect (连接客户端计算机)

客户端：

Horse_Client . LocalPort = LocalPort (打开一个特定的网络端口，如：80、21等)

一旦客户端接到服务端的连接请求 ConnectionRequest ，就接受连接。

Private Sub Horse_Client_ConnectionRequest(ByVal requestlD As Long)

Horse_Client .Accept requestlD

End Sub

Horse_Client .Listen(监听客户端的连接)客户机端用Horse_Client . SendData 发送

命令，而服务器在 Horse_Server DataArrive事件中接受并执行命令。如果客户断开连接，

则服务器端关闭连接：

Private Sub Horse_Server_Close ()

Horse_Server. Close (关闭连接)

End Sub

之后每隔一段时间服务端就会向客户发一个连接请求：Horse_Server. Connect (连接

客户端计算机)

二、端口反弹型木马防范措施

为了防范越来越猖獗的反弹型木马，我们通过对网络自身的设置吐以及软件的帮助，

来更好地防护反弹型木马的攻击：

2．1关闭不用的端口

默认情况下Windows有很多端口是开放的，在我们上网的时候，网络病毒和黑客可

以通过这些端口连上我们的电脑，为了让我们的系统更加安全，应该封闭这些端口，主要

有：TCP 139、445、593、1025端口和UDP 123、137、138、445、1900端口，一些

流行病毒的后门端口(如TCP 2513、2745、3127、6129端口)，以及远程服务访问端口

3389吼

2．2安装杀毒软件

及时安装、升级杀毒软件及其病毒库，并及时给系统打上安全补丁。上网时不要随意

下载来历不明的文件，只下载使用官方的升级程序，当下载的文件的大小有明显偏离实际

情况时不要打开或执行该文件；接收陌生人的邮件时，如果有附件。慎重打开附件和执行

附件中的可执行程序，注意病毒程序伪装的图标，不要轻信图标为“电子表格、文本文件、

文件夹”的附件。

2．3使用反木马软件

使用专门的反木马软件，及时升级软件和病毒库，这是查杀木马最简单的方法。目前

反木马软件数量众多，著名的有金山毒霸木马专杀、诺顿安全特警，木马克星、Troj

anHunter、Anti—Trojan Shield、The Cleaner PmfesSional、木马清除大师、瑞星卡卡、

Windows清理助手等。

2。4使用第三方防火墙

Win XP自带的防火墙和ADSL猫的NAT方式，只能学术研究防止从外到内的连接，

不能阻挡从内到外的连接，因此这类防火墙不能阻挡反弹型木马。防范反弹型木马最好的

办法是安装使用第三方防火墙。因为一般的防火墙都可以设置应用程序访问网络的权限，

你可以把怀疑为木马的程序，设置成不允许访问网络，这样就能阻挡木马从内到外的连接。

建议安装使用一些著名的防火墙软件。

2．5在线安全检测

按照上面的方法查杀木马后，如果还不放心，可以在网找个在线安全测试的网站，对

系统的当前安全情况进行检查，不过在线检测前，请关闭你的防火墙。目前这类测试网站

都是免费的。

2．6经常用Tcpview观察连接情况

为了防范未知的反弹型木马，可以经常使用Tcpview检查连接情况。这样就能随时发

现哪个连接有可铌是非法连接。

本文标签： 连接端口反弹木马服务端