《基于p2p网络的木马传输系统的设计与实现》
常见的木马通信方式:
1、正向链接
2、反向链接
3、ICMP协议
使用来避免受控端和控制端建立连接,以传送封闭包的形式将数据从木马受控端传送至控制端,防火墙一般不会栏截协议的报文。由于
包是由系统内核或进程进行直接处理的,并不通过端口,因此在通信过程中不会占用任何端口,很难被发觉。这种木马通信方式虽然有比较隐蔽的通信通道,但是,如果数据回传时一旦被监听,那么木马控制端也会暴露,从而控制端与受控端之间的通信也会中断,无法完成数据回传的目的。
4、p2p网络传输
木马的受控端和控制端也可以通过不直接通信的方式进行数据交换,例如在木马受控端和控制端之间加入中间层,木马程序将某个数据传至某个中转站,然后控制端程序再从中转站获取想要的数据。
一些常见的僵尸网络木马:
(1)Conficker 2008年出现的一种僵尸网络。
(2)Geinimi 2010年出现的基于安卓的僵尸网络。
基于技术的主要的僵尸网络类型有:集中式类型、非结构化类型、结构化类型等。集中式的僵尸网络有一个中央服务器,中央服务器保
存并管理网络内各节点的信息,除中央服务器外,其他各节点间都是对等连接的,既可作为服务器端,又可作为客户端,这种类型的僵尸网络典型代表是。非结构化类型的僵尸网络无需中央服务器,网络内所有节点的地位都是对等的,这种类型的僵尸网络具有较强的稳定性和隐蔽性,典型代表有等。结构化类型的僵尸网络也不存在中央服务器,各节点既是客户端又是服务器,但有一个比较有规律的网络拓扑结构利用分散式列表来组织网络中的节点,与非结构化类型的僵尸网络相比,具有更高的效率,这种类型典型代表是等
三种常见的网络通信模型:基于IRC协议的、基于p2p协议的、基于http协议的等三种木马通信网络模型。
IRC即互联网中继聊天,是由Jarkkro Oikarinen在年提出的网络聊天协议,IRC协议的出现可以让世界各地使用互联网的人加入到聊天频道中进行实时聊天。IRC协议是基于客户端服务器模式的,运行协议的客户端可以将用户的消息实时地转发到其他用户或者是聊天群组。协议最典型的一种通信方式就是群组聊天方式,也就是说,多个客户端连接到同一个服务器,同时创建一个聊天信道,每个客户端发送到服务器的聊天消息都可以通过聊天信道发送给其他客户端,IRC协议同时也支持客户端到客户端的直接通信方式。基于IRC协议的通信方式具有简单、延迟低、实时性强等特点,黑客抓住协议的这一特点,将协议用于相互间的远程交流,成为黑客构建一对多通信方式的主要手段之一。