端口反弹型木马

2024年4月17日发(作者：)

端口反弹型木马

防火墙有这样一个特点，就是对于连人的链接往往会进行严格的过滤，但是对于连出

的链接则疏于防范，不管什么防火墙都不能禁止从内网向外网发出连接，否则内网将无法

访问外网。用户要上网必须允许通过80端口从内网向外网发出连接。这就是防火墙的弱

点，新型木马技术正是利用防火墙这一特点来达到非法访问其他机器的目的。端口反弹的

一般方法是在计算机网络中想通信的两个主机间不直接进行通信，而是通过第三方的主机

来进行中转。所以端口反弹型木马一般是把客户端的信息存于有固定IP的第三方FTP服务

器(也称为“肉鸡”)上，服务端从FTP服务器上取得信息后计算出客户端的IP和端口，客

户端首先登录到FTP服务器，编辑在木马软件中预先设置的主页空间上面的一个文件，并

打开端口监听，等待服务端的连接，服务端定期用HTTP协议读取这个文件的内容，当发

现是客户端让自己开始连接时，就主动连接，如此就可完成连接工作。因此在互联网上可

以访问到局域网里通过NAT(透明代理)代理上网的电脑，并且可以穿过防火墙。与传统的

远程控制软件相反，反弹端口型软件的服务端会主动连接客户端，客户端的监听端口一般

开为80(即用于网页浏览的端口)，这样，即使用户在命令提示符下使用“netstat—a”命

令检查自己的端口，发现的也是类似“TCPUser IP：3015 Controller IP：http

ESTABLISHED”的情况，稍微疏忽一点你就会以为是自己在浏览网页，而防火墙也会同样

这么认为。于是，与一般的软件相反，反弹端口

型软件的服务端会主动连接客户端，这样就可以轻易地突破防火墙的限制。端口反弹

型木马的优势如下：

(1)端口反弹型木马的服务器端和控制端间的通信能够穿透服务器主机的防火墙。

(2)端口反弹型木马的服务器不再等待侦听来自控制端的链接请求，从而不易被端口扫

描工具发现。

(3)即使服务器端是在企业网内部通过代理上网，其也能够与控制端进行通信。

一、端口反弹型木马通信连接方法

端口反弹型木马通信连接有两种方法：半反弹型连接和全反弹型连接。

(1)半反弹型连接。当一个端口反弹型木马的控制端(人侵者)想和服务器端(目标)建立连

接时，它必须通过“肉鸡”给服务器端发送一条命令。“肉鸡”收到命令后将通过一个特殊

的数据端口向控制端发起连接请求。同时，控制端将会对这个端口进行侦听。当连接请求

通过后，这样连接通道就建立起来。半反弹型木马连接步骤如图

1入侵者连接“肉鸡”，向其发送指令。

2目标机器连接“肉鸡”后，将会收到这个指令。

3目标机器解析命令后，将会连接入侵者的机器。这样，一个端口反弹型通信就建立

起来。