端口反弹型木马通信技术研究及防范措施 http://www.paper.edu.cn 阮宁君 长江大学电信学院，湖北荆州 (434023) E-mail：ruannj@msn.com 摘 要：端口反弹型木马（Port Recall Trojan Horse）是一种新型的特洛伊木马（Trojan Horse），它 不仅能够穿透防火墙，而且还可通过 HTTP、SOCKS4/5 代理，甚至还能访问局域网内部的没有公共 IP 的电脑，像用 NAT 透明代理和 HTTP 的 GET 型代理等的局域网。还可能入侵像拨号上网、ISDN、 ADSL 等的主机。所以这种木马给现有的计算机网络会带来更大的危害。本文介绍了传统型特洛伊 木马的通信原理和端口反弹型木马的通信技术，最后提出了对于端口反弹型木马的防范措施。 关键词：木马，端口反弹，通信技术，防范措施 1 特洛伊木马的一般工作原理介绍 特洛伊木马（Trojan Horse，简称木马）是一种新型的网络计算机程序，一般伪装成一个合法的 程序潜伏运行在电脑使用者不知道的情况下，做一些非法的以及对用户有害的操作[1]。这样用户在 机器上的一些保密信息如：帐号、密码、金融信息等就得不到安全保证，甚至用户的机器的操作权 都可能被剥夺。一般情况下木马必须包含两个部分：服务器端和客户端（或称之为控制端），采用 C/S 的通信模式。服务器端运行在被入侵者的机器上，打开一个特定的端口等待客户端的连接，入 侵者启动客户端后连接服务器端，有效连接后入侵者就可以对目标机器进行操作了。其一般工作原 理如图 1 所示。 然而当计算机装了防火墙后，在外网和内网间就多了一层屏障，防火墙通过监测、限制、修改 图 1. 特洛伊木马的一般工作原理 跨越防火墙的数据流，对外屏蔽网络内部的结构、信息和运行情况。现今的防火墙技术能够检测和 识别绝大多数传统木马的连接数据包，从而对其进行拦截。这样，木马服务器端就无法正常工作。 例外现今一般的防病毒软件都能轻而易举地发现这些普通木马的进程。所以传统型木马的危害性已 经大大降低。新型木马技术只有突破防火墙的屏蔽，同时通过注入别的运行的进程中，达到躲避杀 毒软件的检测，才能达到长期地控制目标机器的目的。这就是端口反弹通信技术[2]。 2 端口反弹型木马通信技术 2.1 端口反弹技术 防火墙有这样一个特点，就是防火墙对于连入的链接往往会进行严格的过滤，但是对与连出的 链接则疏于防范，不管什么防火墙都不能禁止从内网向外网发出连接，否则内网将无法访问外网[3]。 用户要上网必须允许通过 80 端口从内网向外网发出连接。这就是防火墙的弱点，新型木马技术正是 利用防火墙这一特点来达到非法访问其他机器的目的。端口反弹的一般方法是在计算机网络中想通 信的两个主机间不直接进行通信，而是通过第三方的主机来进行中转。所以端口反弹型木马一般是 - 1 - 

http://www.paper.edu.cn 把客户端的信息存于有固定 IP 的第三方 FTP 服务器（也称为“肉鸡”）上，服务端从 FTP 服务器上 取得信息后计算出客户端的 IP 和端口，客户端首先登录到 FTP 服务器，编辑在木马软件中预先设置 的主页空间上面的一个文件，并打开端口监听，等待服务端的连接，服务端定期用 HTTP 协议读取 这个文件的内容，当发现是客户端让自己开始连接时，就主动连接，如此就可完成连接工作。因此 在互联网上可以访问到局域网里通过 NAT （透明代理）代理上网的电脑，并且可以穿过防火墙。 与传统的远程控制软件相反，反弹端口型软件的服务端会主动连接客户端，客户端的监听端口一般 开为 80（即用于网页浏览的端口）[7]，这样，即使用户在命令提示符下使用"netstat -a"命令检查自己 的端口，发现的也是类似"TCP User IP:3015 Controller IP：http ESTABLISHED"的情况，稍微疏 忽一点你就会以为是自己在浏览网页，而防火墙也会同样这么认为的。于是，与一般的软件相反， 反弹端口型软件的服务端主动连接客户端，这样就可以轻易的突破防火墙的限制[4,8] 端口反弹型木马的优势如下： 。 （1） 端口反弹型木马的服务器端和控制端间的通信能够穿透服务器主机的防火墙。 （2） 端口反弹型木马的服务器不在等待侦听来至控制端的链接请求，从而不易被端口扫描工具 发现。 （3） 及时服务器端是在企业网内部通过代理上网，其也能够与控制端进行通信。 2.2 端口反弹型木马通信连接方法 端口反弹型木马通信连接有两种方法：半反弹型连接和全反弹型连接。 2.2.1 半反弹型连接 当一个端口反弹型木马的控制端（入侵者）想和服务器端（目标）建立连接时，它必须通过“肉 鸡”给服务器端发送一条命令。“肉鸡”收到命令后将通过一个特殊的数据端口向控制端发起连接请 求。同时，控制端将会在这个端口进行侦听。当连接请求通过后，这样连接通道就建立起来。半反 弹型木马连接步骤如图 2 所示. （1） 入侵者连接“肉鸡”，向其发送指令。 （2） 目标机器连接“肉鸡”后，将会收到这个指令。 （3） 目标机器解析命令后，将会连接入侵者的机器。 这样一个端口反弹型通信建立起来。 入侵者，“肉鸡”和目标机器之间的关系如表 1 所示。 由上所述，我们知道在入侵者与目标机器建立连接之前， “肉鸡”必须要把指令传送给目标机器。值得一提的就是， 图 2. 半反弹型连接 在半反弹型连接中入侵者和“肉鸡”都必须拥有公 网 IP。 表 1 半反弹型连接中的关系 连接者 入侵者和“肉鸡” 目标机器与“肉鸡” 关系 入侵者作客户端 目标机器作客户端 入侵者与目标机器 入侵者作服务器，目标机器作客户端 - 2 - 

http://www.paper.edu.cn 2.2.2 全反弹型连接 全反弹型连接是不同于半反弹型连接的另一种端口反弹型木马通信连接方式。当一个端口反弹 型木马的控制者想对目标机器进行操作时，首先它必须向“肉鸡”发送一条指令，当目标机器从“肉鸡” 上取得指令后，将在本机上执行指令，然后将执行结果传回到“肉鸡”。最后控制者可以从“肉鸡”上 得到执行的结果。全反弹型连接步骤如图 3 所示： （1）入侵者连接“肉鸡”，向其发送指令。 （ 2 ） 目 标 机 器 连 接 “ 肉 鸡 ” 后 ， 将 会 收 这个指令。指令被解析后将在目标机器上执行， 然后执行结果传回“肉鸡”。 （3）最后，入侵者从“肉鸡”上得到执行结果。 图 3. 全反弹型连接 表 2 表明了在全反弹连接中入侵者、被控服务器和目标主机之间的关系。在全反弹连接中，入 侵者与目标主机间没有建立任何直接的连接，所有这两者之间的通信完全取决于第三方的被控服务 器。值得一提的就是在全反弹型连接情况下，只需要第三方被控服务器拥有公网 IP。也就是说入侵 机器和目标机器都可以是任何一台只要是连接在因特网上主机，即使其处在局域网内部没有公网 IP。 表 2. 全反弹连接中的各种关系 连接者 入侵者和“肉鸡” 目标机器和“肉鸡” 关系 入侵者为客户端 目标机器为客户端 2.2.3 半反弹型连接与全反弹型连接的比较 在通讯的隐蔽性方面，全反弹型连接优于半反弹型连接。因为在全反弹型连接中，入侵者与目 标主机间没有任何直接的通信连接，所有通信都是有第三方服务器来进行中转的。这样即使入侵被 发现也不会像半反弹型连接那样直接暴露自己。 两者相比，在实时操作方面，半反弹型连接由于是直连所以更具优势。所以，采用全反弹型连 接一般用作远程文件操作，而半反弹型连接更多的用于远程控制。 3 端口反弹型木马防范措施 为了防范越来越猖獗的反弹型木马，我们要采取一定的措施，通过对网络自身的设置[5]，以及 软件的帮助，这样才能更好的防护反弹型木马的攻击： 3.1 关闭不用的端口 默认情况下 Windows 有很多端口是开放的，在我们上网的时候，网络病毒和黑客可以通过这些 端口连上我们的电脑，为了让我们的系统更加安全，应该封闭这些端口，主要有：TCP 139、445、 593、1025 端口和 UDP 123、137、138、445、1900 端口，一些流行病毒的后门端口（如 TCP 2513、 2745、3127、6129 端口），以及远程服务访问端口 3389[4]。 - 3 - 

http://www.paper.edu.cn 3.2 安装杀毒软件 及时安装升级杀毒软件及其病毒库，并及时给系统打上的安全补丁。上网时不要随意下载来历 不明的文件，只下载使用官方的升级程序，当下载的文件的大小有明显偏离实际情况时不要打开或 执行该文件；接收陌生人的邮件时，如果有附件，慎重打开附件和执行附件中的可执行程序，注意 病毒程序伪装的图标，不要轻信图标为“电子表格、文本文件、文件夹”的附件。 3.3 使用反木马软件 使用专门的反木马软件，及时升级软件和病毒库，这是查杀木马最简单的方法。目前反木马软 件数量众多，著名的有金山毒霸木马专杀、诺顿安全特警、木马克星、Trojan Hunter、Anti-Trojan Shield、The Cleaner Professional、木马清除大师、瑞星卡卡、windows 清理助手等。 3.4 使用第三方防火墙 Win XP 自带的放火墙和 ADSL 猫的 NAT 方式，只能防止从外到内的连接，不能阻挡从内到外 的连接，因此这类防火墙不能阻挡反弹型木马。防范反弹型木马，最好的办法是安装使用第三方防 火墙。因为一般的防火墙，都可以设置应用程序访问网络的权限，你可以把怀疑为木马的程序，设 置成不允许访问网络，这样就能阻挡木马从内到外的连接。建议你安装使用天网防火墙、诺顿防火 墙等一些著名的防火墙软件，这类防火墙各大网站都有下载。 3.5 在线安全检测 按照上面的方法查杀木马后，如果你还不放心，可以在网上找个在线安全测试的网站，对你的 系统当前安全情况进行检查，不过在线检测前，请关闭你的防火墙。目前这类测试各网站都是免费 的， 3.6 经常用 Tcpview 观察连接情况 为了防范未知的反弹型木马，你可以经常使用 Tcpview 检查连接情况[6]，这样就能随时发现哪 个连接有可能是非法连接。 4 结论 端口反弹型木马由于其特殊的连接方式比传统木马更具隐蔽性和危险性，本文中讲述了端口反 弹型木马的工作机理以及通讯连接方式，这便于我们更加明确的了解与认识端口反弹型木马。同时 我们在文章中也给出了一些常用的防范措施，防范于未然可以使我们减少很多不必要的损失。 参考文献 [1] Martin Karresand. Separating Trojan Horses, Viruses, and Worms- A Proposed Taxonomy of Software Weapons. Proceedings of the IEEE Workshop on Information Assurance United States Military Academy, West Point, June 2003:127~134 [2] 罗红 幕德俊等.Research on Communication Techniques for Port Recall Trojan Horse.《微电子学与计算机》2006 年 第 23 卷第 2 期 [3] 张仁斌，李钢，侯整风. 计算机病毒与反病毒技术[M].北京： 清华大学出版社，2006 [4] 庄小妹.木马的入侵检测技术与清除方法.《内江科技》2006 年第 7 期 [5] 周伟，王小斌. 典型木马后门伪装及检测清除术揭秘[J] . 电脑维护与维修，2005，(12):4-5 [6] 刘建培．浅谈木马手工清除与防范[J].福建电脑，2005，(10):127-128 [7] 李波.新型反弹端口木马-“广外男生”探析.《长沙电力学院学报（自然科学版）》 2005 年 2 月第 20 卷第 1 期 [8] 贾文丽 薛强 孙济洲.分布式端口反弹攻击及检测.《计算机工程》2004 年 4 月 第 30 卷第 7 期 - 4 - 

http://www.paper.edu.cn Research on Communication Techniques for Port Recall Trojan Horse and precautionary measures Electronics & Information College of Yangtze University，Jingzhou，Hubei（434023） Ningjun Ruan Abstract The Port Recall Trojan Horse (PRTH) is a new kind of Trojan Horse (TH). It can pass through not only the firewall of LAN, but also intrude the intranet hosts without public network IP address. This kind of TH has caused the great harm to computer networks. In this paper, communication techniques between traditional TH and the PRTH are introduced, Finally, the precautionary measures for the PRTH was presented. Keywords：Trojan Horse，Port Recall，Communication Techniques，precautionary measures 作者简介：阮宁君（1974-），男，汉，湖北云梦人，长江大学电信学院讲师。长期从事 VOIP、网络 通信领域研究与开发。 - 5 -