| 能否入侵网吧内的电脑的解析 首先要说的是国内现在有两种不同类型的网吧,一种是传统的网吧(网吧内的电脑是
有主机和分机之分的,所有分机的要求都要经过主机的处理,然后才会到达internet)
第二种是DDN网吧,这类网吧没有主机和分机之分,所有在网吧内的电脑是共用一条或
多条专线,但每台电脑都有一个静态的IP,而且是直接连接上internet上的。
在第二种类型的网吧中,因为网吧的电脑是直接连上internet的,所以要用木马控制
是完全没有问题的,下面就谈一谈传统网吧。 因为传统网吧中,只有主机是连接上internet的,网吧内的其他分机想和internet
进行资料通讯时就必须先向主机提送一个请求,在主机上运行的代理服务程式(wingate,sygate,
winproxy等等) 就会对这些请求进行处理,将处理向internet中发送,当收
到回应时就将资料向那台请求的分机发回去,在这种情况下,主机的作用不但是仲介
传送,还可以充当一个防火墙,因为所有向外(向internet)或向内(向分机)的请求都
必须经过主机的处理,所以所有的请求要到达分机就必须经过主机了,这一点就成了
为什么在家里的单机不能控制到这类型网吧内的分机了。大部份的木马的伺服器端
程式在一台电脑上被执行后,就会在那台电脑打开一个埠等待用户端的连接,例
如一台在网吧内的电脑执行了冰河,那冰河就在那台电脑打开7626这个埠,然后
就是等待。这里就要解析一下内部IP和外部IP的问题了,在这里类型的肉吧中,每
一台分机都有一个内部IP(由网卡分配的),内部IP主要是用于在局部网内电脑间的
通讯),在整个网吧中,所有的电脑都只有一个外部IP的,这外部IP是由主机连接上
internet时网路商分配的。好了,现在假设那台感染冰河的网吧电脑的内部IP是
192.12.12.12,外部IP是61.61.61.61,当在家里使用的单机或在网路上的电脑尝
试去连接冰河时,如果使用的IP是192.12.12.12的话,因为192.12.12.12这个IP在
internet上根本不存在的(有几段IP是专用于设置内部IP的),如果这个IP不存在的话
,你就得不到回应了。当你使用61.61.61.61这个IP尝试去连接时,你的连接的请求
首先会被那个网吧的主机收到(主机的防火墙和仲介作用),主机没有感染冰河,所以
你的连接请求马上会被拒绝,连接就失败了,对于这种传统类型的网吧,大部份的木
马都是不可以控制到网吧内的电脑的,下面我们说说要控制网吧内的电脑的可能性. 由上述我们可知道,由外界向网吧内的分机发送连接请求时,主机会拒绝这类的请
求的,但如果由网吧内的分机向某个特定的IP发送连接请呢?有什么情形发生呢?
举个例子,某台分机使用流览器观看www.yahoo.com.cn这个网站时,实质上就是分机
向www.yahoo.com.cn发送一个请求,www.yahoo.com.cn收到请求时就会回应,然后数
据向那台分机发回去,首先这些资料会经过主机,因为是由分机向外提出请求的,当
有资料回应时,主机上的代理服务程式就会将资料向那台分机发去。在这种情况下,
连接就顺利产生了,利用这个由原理,就可以实现控制网吧内电脑的可能性了。蔬菜
的那个木马就是利用这种原理,由木马的伺服器端程式向外产生连接(传统木马是由
用户端向伺服器端产生连接的),这样就解决问题了。除了蔬菜的木马外,BioNet中的
irc功能亦可以实现这样可能的,不过可能会有些限制。BioNet这个木马中有一个功能
就是irc通知功能,就是当伺服器程式启动时,就会向指定的irc伺服器上产生连接,
然后在irc内那个指定的房间(channel)内待侯命令,这种情形和拒绝服务攻击那些
等侯命令的伺服器是一样的,因为这种连接是由伺服器端(感染了木马的那台电脑)
发出的,所以如果网吧内的主机不拒绝分机的这种连接的话(因为irc使用的默认埠
是6667,所以主机的伺服器程式不一定会允许的,蔬菜的木马是使用ftp那个埠,
那个埠一般是不会拒绝的),这样分机就可以连接上irc的伺服器上了,如果可以连接
上的话,连接就已经产生了,这样由irc伺服器上向分机发向命令就不再会被主机所
拒绝了,虽然BioNet在irc伺服器向木马服务端使用的命令是限的,但起码都有上载,
远端执行和攻击这几个命令在,虽说是命令不够丰富,但因为irc上的限制,有这几
种功能都算是不错的了。还有一个可以控制网吧内电脑的木马是remote-anything,
3.6版以上才有这个功能的,而且有一个条件就是,必须是网吧的主机亦有感染remote
这个木马.在主机上的remote就充当一个"闸道"的功能,将向分机的请求都转向到分机
上去,这种功能几乎就是一种埠转向的功能(所谓埠转向功能,就是将对某个埠
的请求转向到其他电脑上,例如在主机上运行了一个埠转向的程式,这个程式将会把
所有将向主机7777埠的请求都转向到某台分机上的7626埠去,假设分机的内部IP
是12.12.12.12,而且感染了冰河,打开的埠是7626,主机的外部IP是13.13.13.13
那个在主机上运行的埠转向程式将向13.13.13.13埠7777的请求转到12.12.12.12
的7626那个埠去,当有人向主机13.13.13.13的7777埠时发送冰河连接的请求时,
这时口转向程式就发生作用了,马上将这个请求转向到那台12.12.12.12.分机上的
7626那个埠去,因为12.12.12.12那台分机是感染了冰河的,所以这台分机会马上
作去回应,这样连接就会产生了,亦是说可以使用冰河控制网吧内的分机的),remote
在主机上的"闸道"功能就和上述的埠转向原理是差不多的。虽然说要在主机感染了
remote才可以控制网吧内感染remote的分机是一种限制,但总比没有这个功能要强,
冰河的话,就算网吧主机感染了冰河,分机亦感染木马,你亦是只能够控制主机,根
本是没办法控制分机(除非你是在那个网吧内使用其中的一台分机去控制,这就另当别论了。) |