浅析如何防止冰河等特洛依木马控制机器 作者:计算防毒知识

 

 
    冰河是一种特洛依木马程序, 如果你不小心运行过冰河的服务器端的程序,而且你的IP又给别人知道,那就麻烦了,别人可以用冰河的客户端软件,通过 INTERNET 控制你机器上的所有资源。 这种网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机),作为服务器的主机一般会打开一个默认的端口并进行监听(Listen),  如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序我们称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于冰河,被控制端就成为一台服务器,控制端则是一台客户机,G_server.exe是守护进程, G_client是客户端应用程序。
 
    有两种设置可防止这种情况的出现: 
 
    由于冰河的客户端软件在联系主机前,会用ICMP协议探测你的IP是否存在(即类似Ping命令的一种方式),如果探测不到,就会停止下一步的操作。故你只要把ICMP关闭,冰河的客户端软件就会以为服务程序所在的机器不存在而停止连接。另一种方式是将TCP 监听关闭。由于客户端软件会主动尝试与服务端程序连接,将TCP监听关闭后,服务端程序就不会响应客户端软件的控制。TCP监听关闭后,还可以防止端口扫描程序的扫描。由于对于普通用户来说,在互联网上只是用于WWW浏览,或使用ICQ等软件,关闭TCP监听不会影响用户的操作。 
 
 
2016-10-02 23:40
来源:www.antivirus-china.org.cn
1
热门推荐 更多
热点新闻 更多