反弹端口原理与隧道技术.pdfVIP

现在，很多木马都利用了“反弹端口原理”与“HTTP隧道技术”，它的服务端（被控制端）会主

网方式，只要能浏览网页的电脑，这种木马都可以到，那么我们有必要了解一下此类木

马用到的相关技术。

反弹端口原理：

如果对方装有，客户端发往服务端的连接首先会被服务端主机上的，使服

务端程序不能收到连接，软件不能正常工作。同样，局域网内通过上网的电脑，因为

是多台共用服务器的IP地址，而本机没有独立的互联网的IP地址(只有局域网的IP

与一般的软件相反，反弹端口型软件的服务端(被控制端)主动连接客户端(控制端)，为了

隐蔽起见，客户端的端口一般开在80(提供HTTP服务的端口)，这样，即使用户使用端

口扫描软件检查自己的端口，发现的也是类似TCPUserIP:1026ControllerIP:80

ESTABLISHED的情况，稍微疏忽一点就会以为是自己在浏览网页(也会这么认为

的)。看到这里，有人会问：既然不能直接与服务端通信，如何告诉服务端何时开始连接自

己呢？答案是：通过主页空间上的文件实现的，当客户端想与服务端建立连接时，它首先

登录到FTP服务器，写主页空间上面的一个文件，并打开端口，等待服务端的连接，

服务端定期用HTTP协议这个文件的内容，当发现是客户端让自己开始连接时，就主

动连接，如此就可完成连接工作。

HTTP隧道技术

常常使用木马的用户一定对木马所使用的反弹连接技术、线程技术等耳熟能详，但是对

“HTTP隧道技术”可能就不甚了解了，那到底什么是“HTTP隧道技术”呢？我们知道，使用

而使用“HTTP隧道技术”以后，控制软件可以到局域网里通过HTTP、

SOCKS4/5上网的服务端。简单来说，“HTTP隧道技术”就是把所有要传送的数据全部

封装到HTTP协议里进行传送。因此，在互联网上可以到局域网里通过HTTP、

SOCKS4/5上网的电脑，而且也不会有什么会。

可以这么说，使用“HTTP隧道技术”的控制软件几乎支持了所有的上网方式，如：

拨号上网、ADSL、CableModem、NAT、HTTP的GET型和CONNECT型、

SOCKS4、SOCKS5等。

通过使用反弹连接技术和HTTP隧道技术后，服务端程序的打开端口一般开为80（即

用于网页浏览的端口）。这样稍微疏忽一点用户就会以为是自己在浏览网页，而也会

2005年7月，作为管理员的发现自己所管辖的被。通过对网路

日志的分析，到一个IP地址，结果发现该IP地址是一台服务器的IP地址。在通

过对服务器当前网络连接的分析后，最终锁定真正的IP地址，并确认是通过

一款名为Pcshare的木马程序对它进行了控制。而Pcshare就是一款集反弹连接技术和

HTTP隧道技术于一身的木马程序。简单防御方法

由于HTTP隧道技术的能力十分的强大，并且现在只被利用到某些木马程

序之中，所以要防范“HTTP隧道技术”对用户带来的危害，还需要从木马程序的基本防范做

起。

除此以外，我们应该了解哪些木马程序使用了“HTTP隧道技术”，这些木马程序的特点

又是什么。据统计，现在国产木马程序使用了“HTTP隧道技术”的有P