网络安全系列之四十二 ***的原理及使用

***是一种基于远程控制的***工具，具有很强的隐蔽性和危害性。一台被安装了***的计算机就称为“肉鸡”，***对肉鸡基本上是可以为所欲为的。***可以轻易地复制、删除、上传、下载肉鸡上的文件，还可以记录用户的每一个键盘操作，用户的QQ号、游戏账户和银行密码会被***轻易获得，甚至还可以控制用户的摄像头，因而***的危害非常之大。本文以国内曾经鼎鼎大名的灰鸽子***为例讲述***的使用和防御，下载地址http://down.51cto.com/data/1901166

 

（1）***基本原理

***是一种典型的C/S模式软件，分为客户端和服务端。一般情况下，需要将服务端程序安装到肉鸡上，***在自己的电脑上运行客户端程序。

如果***能够通过***成功地去控制肉鸡，那么就在***与肉鸡之间建立起一个TCP连接，按照连接建立的方式不同，***主要分为两种类型：正向连接***和反弹连接***。

正向连接***的特点是肉鸡上固定开放某个端口，然后由***主动去连接肉鸡。

反弹连接***则是在***的电脑上固定开放某个端口，然后由肉鸡主动去连接***。

早期的***都是采用正向连接，这种***的最大缺点是：***要想去连接肉鸡，必须要先知道其IP。对于目前普遍采用的拨号上网，其IP属于动态IP，用户每次拨号后IP都会更换，所以这样就算对方中了***，那么在肉鸡下次拨号的时候，***也会因找不到IP而丢失肉鸡。此外，对于目前广泛采用的另外一种上网方式——局域网通过NAT地址转换接入互联网，那些处于内网的机器由于采用了私有IP，因而在外界是无法直接访问的，即使是机器中了***也没用，***除非是与目标机器处于同一个局域网中，否则也无法连接对方。

由于正向连接***一系列的不足，所以就产生了反弹连接***，大名鼎鼎的灰鸽子正是这种反弹连接***的始祖。反弹连接***由于是在***的电脑上开启固定端口，然后由肉鸡主动去连接***，因而就克服了正向连接***的一系列缺点，无论肉鸡的IP如何变换都可以主动连接到***的电脑上。即使肉鸡处于内网，由于内网的机器是可以主动访问外网的，所以肉鸡也可以连接到***。

反弹连接***的唯一不足就是要求***必须要有固定的IP，否则肉鸡就无法找到***的机器了。解决这个问题的方法之一是采用动态域名，即***注册一个固定的域名，然后将域名对应到***的IP上，这样无论***的IP如何变换，肉鸡都可以通过动态域名主动连接到***。

除了要解决动态IP的问题以外，反弹连接***还有一个要解决的难题，即如果***是处于内网的话，那么肉鸡仍然是无法主动去连接它的，这还要求处于内网的***必须在内网的出口路由器上做端口映射。所以反弹连接***配置起来相对比较麻烦，但是由于其技术的先进性，目前的***绝大多数都是采用了这种方式。

 

（2）配置使用灰鸽子

下面我们就通过实验来配置使用灰鸽子***，这里需要准备两台虚拟机，一台作为肉鸡，IP地址192.168.80.129；一台作为***控制端，IP地址192.168.80.128。

首先点击“服务器配置”来生成服务端程序。在“自动上线设置”中填入***计算机的IP地址，如果是在真实环境中，那么这里应该填上动态域名或是要进行端口映射。

至于其他的设置项目，大家可以发挥想象力来自由配置。比如在“安装选项”中可以设置***在肉鸡上的安装路径以及文件名和程序图标，在这里还可以设置安装成功后自动删除安装文件。

在“启动项设置”中可以设置***如何自动运行，以及***运行后所显示的进程和服务名称，

设置完成后，点击“生成服务器”，生成服务端程序Server_Setup.exe。

将服务端程序传到肉鸡上并运行，然后在***的灰鸽子控制端程序里会显示有自动上线主机。这样，就可以对肉鸡为所欲为了。

 

（3）注意问题

***要想在肉鸡上成功安装***，必须要先做好免杀，使***能够绕过杀毒软件和安全工具的查杀。

用户要避免成为肉鸡，则应安装杀毒软件和安全工具，并及时更新病毒库，再加上及时安装补丁修补漏洞，那么基本上就比较安全了。