关于HTTP隧道技术的疑问
一些木马程序通过HTTP隧道技术可以通过80端口将用户数据发送到指定的服务器
这样可以避免被防火墙发现
我想问的是,这跟一个木马程序收集数据后,组织发送http包有什么区别?
不然这不就成了普通的HTTP技术了嘛。
对应防范方法应该还是避免下载木马程序和监测木马程序运行吧。
谢谢!
------解决方案--------------------木马被控端构造出真实的 或者类似的Http数据包 与远程服务端进行通讯,已达到欺骗防火墙的目的,
其实这方法对现在防火墙来说,与其他木马没啥区别,都会被拦截。
比如我们下载一个google浏览器,第一次访问网页的时候,一样会被防火墙拦截。
用Http隧道穿墙,还不如插系统进程来的方便。当然现在杀毒软件都做的比较好,这些方法基本都本拦截,
关键看杀毒软件的使用者。
防范方法与其他木马也没多大区别,抓包,分析进程,分析系统各个启动项等等。
------解决方案--------------------HTTP隧道只是隧道技术中的一种,它是采用HTTP协议作为隧道协议,目前一些木马使用HTTP隧道进行通信,主要是代理服务器和杀毒软件都允许HTTP协议的数据包通过,很多P2P软件也使用HTTP隧道穿透NAT的限制,与内网的机器进行通信。
HTTP隧道使用HTTP协议传递的不仅是数据,而是一种自定义协议格式的数据,数据隐藏在HTTP数据报的URL和其他头域等地方,而且这些数据时经过加密的,通常情况抓包分析看到的是一个正常的数据包,看不出它携带的数据。
杀毒软件查杀木马还是通过特征码或者主动防御。
------解决方案--------------------主要是可以使用80端口,且避免了NAT涉及到的打洞问题