关于HTTP隧道技术的疑问
一些木马程序通过HTTP隧道技术可以通过80端口将用户数据发送到指定的服务器
这样可以避免被防火墙发现

我想问的是，这跟一个木马程序收集数据后，组织发送http包有什么区别？
不然这不就成了普通的HTTP技术了嘛。

对应防范方法应该还是避免下载木马程序和监测木马程序运行吧。

谢谢！
------解决方案--------------------
木马被控端构造出真实的 或者类似的Http数据包 与远程服务端进行通讯，已达到欺骗防火墙的目的，

其实这方法对现在防火墙来说，与其他木马没啥区别，都会被拦截。

比如我们下载一个google浏览器，第一次访问网页的时候，一样会被防火墙拦截。

用Http隧道穿墙，还不如插系统进程来的方便。当然现在杀毒软件都做的比较好，这些方法基本都本拦截，

关键看杀毒软件的使用者。

防范方法与其他木马也没多大区别，抓包，分析进程，分析系统各个启动项等等。
------解决方案--------------------
HTTP隧道只是隧道技术中的一种，它是采用HTTP协议作为隧道协议，目前一些木马使用HTTP隧道进行通信，主要是代理服务器和杀毒软件都允许HTTP协议的数据包通过，很多P2P软件也使用HTTP隧道穿透NAT的限制，与内网的机器进行通信。
HTTP隧道使用HTTP协议传递的不仅是数据，而是一种自定义协议格式的数据，数据隐藏在HTTP数据报的URL和其他头域等地方，而且这些数据时经过加密的，通常情况抓包分析看到的是一个正常的数据包，看不出它携带的数据。
杀毒软件查杀木马还是通过特征码或者主动防御。
------解决方案--------------------
主要是可以使用80端口，且避免了NAT涉及到的打洞问题