首先要說的是國內現在有兩種不同類型的網吧,一種是傳統的網吧(網吧內的電腦是
有主機和分機之分的,所有分機的要求都要經過主機的處理,然後才會到達internet)
第二種是DDN網吧,這類網吧沒有主機和分機之分,所有在網吧內的電腦是共用一條或
多條專線,但每台電腦都有一個靜態IP,而且是直接連接上internet上的。
在第二種類型的網吧中,因為網吧的電腦是直接連上internet的,所以要用木馬控制
是完全沒有問題的,下面就談一談傳統網吧
因為傳統網吧中,只有主機是串連上internet的,網吧內的其它分機想和internet
進行資料通訊時就必須先向主機提送一個請求,在主機上啟動並執行代理服務程式(wingatesygatewinproxy等等)就會對這些請求進行處理,將處理向internet中發送,當收
到回應時就將資料向那台請求的分機發回去,在這種情況下,主機的作用不但是中介
傳送,還可以充當一個防火牆,因為所有向外(向internet)或向內(向分機)的請求都
必須經過主機的處理,所以所有的請求要到達分機就必須經過主機了,這一點就成了
為什麼在家裡的單機不能控制到這類型網吧內的分機了。大部份的木馬的伺服器端
程式在一台電腦上執行後,就會在那台電腦開啟一個連接埠等待用戶端的串連,例
如一台在網吧內的電腦執行了冰河,那冰河就在那台電腦開啟7626這個連接埠,然後
就是等待。這裡就要解析一下內部IP和外部IP的問題了,在這裡類型的肉吧中,每
一台分機都有一個內部IP(由網卡分配的),內部IP主要是用於在局部網內電腦間的
通訊),在整個網吧中,所有的電腦都只有一個外部IP的,這外部IP是由主機串連上
internet時網路商分配的。好了,現在假設那台感染冰河的網吧電腦的內部IP是
192.12.12.12,外部IP是61.61.61.61當在家裡使用的單機或在網路上的電腦嘗
試去串連冰河時,如果使用的IP是192.12.12.12的話,因為192.12.12.12這個IP在
internet上根本不存在的(有幾段IP是專用於設定內部IP的)如果這個IP不存在的話
,你就得不到回應了。當你使用61.61.61.61這個IP嘗試去串連時,你的串連的請求
首先會被那個網吧的主機收到(主機的防火牆和中介作用)主機沒有感染冰河,所以
你的串連請求馬上會被拒絕,串連就失敗了,對於這種傳統類型的網吧,大部份的木
馬都是不可以控制到網吧內的電腦的,下面我們說說要控制網吧內的電腦的可能性.
由上述我們可知道,由外界向網吧內的分機發送串連請求時,主機會拒絕這類的請求的,但如果由網吧內的分機向某個特定的IP發送串連請呢?有什麼情形發生呢?
舉個例子,某台分機使用瀏覽器觀看www.yahoo.com.cn這個網站時,實質上就是分機
向www.yahoo.com.cn發送一個請求,www.yahoo.com.cn收到請求時就會回應,然後數
據向那台分機發回去,首先這些資料會經過主機,因為是由分機向外提出請求的,當
有資料回應時,主機上的代理服務程式就會將資料向那台分機發去。在這種情況下,
串連就順利產生了,利用這個由原理,就可以實現控制網吧內電腦的可能性了。蔬菜
的那個木馬就是利用這種原理,由木馬的伺服器端程式向外產生串連(傳統木馬是由
用戶端向伺服器端產生串連的)這樣就解決問題了。除了蔬菜的木馬外,BioNet中的
irc功能亦可以實現這樣可能的,不過可能會有些限制。BioNet這個木馬中有一個功能
就是irc通知功能,就是當伺服器程式啟動時,就會向指定的irc伺服器上產生串連,
然後在irc內那個指定的房間(channel)內待侯命令,這種情形和拒絕服務的攻擊那些
等侯命令的伺服器是一樣的,因為這種串連是由伺服器端(感染了木馬的那台電腦)
發出的,所以如果網吧內的主機不拒絕分機的這種串連的話(因為irc使用的預設連接埠
是6667所以主機的伺服器程式不一定會允許的,蔬菜的木馬是使用ftp那個連接埠,
那個連接埠一般是不會拒絕的)這樣分機就可以串連上irc的伺服器上了,如果可以串連
上的話,串連就已經產生了,這樣由irc伺服器上向分機發向命令就不再會被主機所
拒絕了,雖然BioNet在irc伺服器向木馬服務端使用的命令是限的,但起碼都有上傳,
遠程執行和攻擊這幾個命令在,雖說是命令不夠豐富,但因為irc上的限制,有這幾
種功能都算是不錯的了。還有一個可以控制網吧內電腦的木馬是remote-anything,
3.6版以上才有這個功能的,而且有一個條件就是,必須是網吧的主機亦有感染remote
這個木馬.在主機上的remote就充當一個"網關"的功能,將向分機的請求都轉向到分機
上去,這種功能幾乎就是一種連接埠轉向的功能(所謂連接埠轉向功能,就是將對某個連接埠
的請求轉向到其它電腦上例如在主機上運行了一個連接埠轉向的程式,這個程式將會把
所有將向主機7777連接埠的請求都轉向到某台分機上的7626連接埠去,假設分機的內部IP
是12.12.12.12,而且感染了冰河,開啟的連接埠是7626主機的外部IP是13.13.13.13
那個在主機上啟動並執行連接埠轉向程式將向13.13.13.13連接埠7777的請求轉到12.12.12.12
的7626那個連接埠去當有人向主機13.13.13.13的7777連接埠時發送冰河串連的請求時,
這時口轉向程式就發生作用了,馬上將這個請求轉向到那台12.12.12.12.分機上的
7626那個連接埠去因為12.12.12.12那台分機是感染了冰河的,所以這台分機會馬上
作去回應,這樣串連就會產生了,亦是說可以使用冰河控制網吧內的分機的),remote
在主機上的"網關"功能就和上述的連接埠轉向原理是差不多的。雖然說要在主機感染了
remote才可以控制網吧內感染remote的分機是一種限制,但總比沒有這個功能要強,
冰河的話,就算網吧主機感染了冰河,分機亦感染木馬,你亦是只能夠控制主機,根
本是沒辦法控制分機(除非你是在那個網吧內使用其中的一台分機去控制,這就另當別論
