[发明专利]面向网络攻击与防护的无端口隐蔽通信方法

说明书

本发明公开了面向网络攻击与防护的无端口隐蔽通信方法，本文总结和分析了隐蔽通信技术的发展历程，分析和比较了各种隐蔽通信技术的优缺点。针对各种隐蔽技术的缺点，提出了一种新的隐蔽通信机制，并对该通信机制的关键技术进行了重点阐述，基于该机制，实现了一个无端口木马，给出了无端口木马的框架结构，最后对该机制的技术优点和扩展性进行了分析和比较，实践证明，基于该机制的无端口木马拥有非常好的隐蔽性和免杀性。

技术领域

本发明属于通信技术领域，具体涉及无端口隐蔽通信机制，无端口木马等应用。

背景技术

隐蔽通信技术目前应用最多的主要是黑客领域，如木马，病毒等的通信，还有部分远程监控软件。最初，本不需要隐蔽通信技术，但是随着网络安全越来越受到重视，各类防火墙，入侵检测系统的相继发展，木马，病毒等使用简单的通信机制已无法再生存，隐蔽通信技术正是因此而渐渐发展起来了。下面就隐蔽通信技术的发展历程作简要讨论。

(1)监听端口

这种方式是绑定并监听在一个端口上，等待控制端的连接。这是最初的通信方式，没有隐蔽效果，不包括在隐蔽通信技术范围内。这也是木马最初使用的通信方式，是应控制端无固定IP，而要控制多个目标机器的需求而设计的。如冰河等都使用这种方式。

优点：控制端无需固定IP，使被控制端无法追踪控制端，控制端不易被发现；可以有选择性地与某些被控制端建立连接。

缺点：目前很多防火墙都会限制非信任程序开放端口；如果被控制端处于 NAT环境，则无法相应连接请求。

(2)反向连接

这种方式不会监听在某一个端口上，而是主动向控制端发起连接请求。这是在“监听端口”技术的基础上发展起来的，为了突破防火墙禁止非信任程序开放端口的限制而发展起来的。如广外女生等都使用了这种方式。

优点：部分防火墙并不限制主动向外发起的连接，因此能突破部分防火墙；如果被控制端位于NAT环境仍然可以正常使用。

缺点：如果控制端不在线，控制代理需要不断地尝试向控制端发起连接请求，容易被发现；需要在控制代理中设置固定的控制端地址，易被跟踪发现；如果控制端位于NAT环境则无法正常使用；目前部分防火墙也会限制非信任程序主动向外发起的连接。

(3)寄生在信任进程中+反向连接

这种方式即让控制代理线程寄生在信任进程(如IE)中，利用防火墙不阻挡信任进程开放端口的规则而可以自由使用端口。如灰鸽子等都使用了这种方式。

优点：可以穿透绝大部分防火墙；由于没有独立的控制代理进程，因此隐藏性有了进一步的提升；具有反向连接的其它优点。

缺点：尽管没有独立的控制代理进程，但控制代理仍然寄生在信任进程中，无端开启的信任进程易引起用户的怀疑；具有反向连接的其它缺点。

(4)RAW_SOCKET监听+反向连接

这种方式即平时不开放端口，只创建一个RAW_SOCKET进行监听，当监听到约定的报文时主动连接到控制端。如NameLess BackDoor等都使用这种方式。

优点：平时不开放端口，不易引起怀疑，隐藏性在反向连接的基础上又有了进一步的提升；具有反向连接的其它优点。

缺点：在监听的过程中，创建了RAW_SOCKET，使用冰刃等工具还是可以很容易地发现控制代理进程；在通信过程中仍然要开放新的端口，还是容易引起用户的怀疑；具有反向连接的其它缺点。