1、1.查找端口反弹型的木马 这里列出一些常见的反向连接域名:3322.org;;;;;端口反弹型木马虽然让入侵的隐蔽等级提高了一个层次,但是它也不是无懈可击的,由于木马需要实现主动连接客户端的功能,而大部分入侵者是不会使用固定 IP 的,在生成木马服务端的时候就必须使用一个相对固定的公共网络连接方式让服务端以后能通过这个途径得到客户端的控制请求,这一途径经常是公共网络上的 HTTP 空间或 FTP 空间,随着技术发展还出现过依赖动态域名直达客户端的端口反弹型木马,它们与客户端建立连接的步骤是: a.服务端根据入侵者预设的反弹依据,连接到一个指定的公共网络空间里,通过读取某个数据文件获得客户端的当
2、前 IP 地址,这个数据文件是通过客户端的自动更新上传实现的;b.获得 IP 地址数据后,服务端尝试与之建立连接;c.如果连接成功,则开始控制行为;从上述步骤可以看出,反弹木马的连接过程相比于其它正常程序的网络连接,要多出一个获取客户端址的步骤,这正是我们判断一个程序是否反弹木马的重要依据,针对这个特性,用户可以使用以下步骤判断一个程序是否反弹木马;如果是新类型的直接使用动态 DNS 解析 IP 地址的反弹木马呢?这种木马更好发现,只要设置监听 53 端口,即可迅速发现这些特殊的域名解析包。2.通过非标准协议通讯查找比如应用程序使用 http 协议的端口(默认是 TCP80)工作,但没有传输任
3、何 http 数据。同理我们还可以分析出 SMTPPOP3FTP 等协议的非标准通信。3.上传数据分析为了避免被阻断或侦测,木马一般通过常见的网络方式上传窃取的信息,如 GET、POST、邮件、IM 等。4.常用网络通信软件的流量特征比较 端口 流量产生方式 流量特点 异常标识方法普通网络通信软件端口固定端口 出流量与入流量不对称:如 HTTP 等协议,客户发送一个请求(几十到几百 MB),服务器返回客户机需要的数据(几十 KB、几 MB 甚至更多)文件传输时出流量与入流量单向不对称,且入流量远大于出流量FTP 控制端口与传输端口分离出流量与入流量不对称:FTP 用控制端口发送请求(几十到几百
4、 MB),然后用传输端口获取数据文件传输时出流量与入流量单向不对称,且入流量远大于出流量(几十 KB、几兆甚至更多)P2P 软件端口 动态端口 双重角色、流量双向均衡:既向别的节点主动发起连接,又提供监听端口让别的节点连接;既从其他节点下载数据,又向它们提供上传在整个过程中,每个节点的上行流量与下行流量基本对称2 个特征:连接均衡,流量均衡。统计某个连接端口上的入流量和出流量, 当这个比值在一定范围内(闭区间) 时,认为这个连接是P2P 连接木马端口 随机端口 出流量与入流量不对称:其联入连接和联出连接数量差巨大,时间窗口周连接次数多2 个特征:入连接和出连接在持续时间和连接频率具有周期性,文件传输时出流量与入流量单向不对称,且出流量远大于入流量
