在我用“网络神偷”试验过程中,在天网设置成默认规则的情况下,服务端连接成功并进行文件访问,服务端主机上的天网毫无反应!天网就这样被突破了!“反弹端口”型木马由于是由服务端主动连接客户端的,所以天网规则里的“禁止所有人连接”对它是一点用也没有,只要“允许FTP的数据通道”开启和“TCP数据包监视”关闭(默认设置正是这样),天网就不会有任何反应的,这可比黑洞等木马一上来就关闭天网要危险多了!
:由于网络神偷使用了VxD技术,因此该软件无法在Windows2000/NT下使用,非Windows2000/NT下的朋友就要小心它了!
二、强攻也可突破天网的保护其实,只要能够加以注意,或不是那么“菜”的话,那么上面所说的从内部攻破的方法就会失效(可惜许多人就是不够小心),此时就只有强攻这一条路了。虽然天网对各类IP炸弹的攻击保护等不错,但仍有空子可钻,有四种方法攻破它,请看:
1.使装天网的系统死机的简单方法
推荐工具:PortScan和IGMP Nuke
(1)得到对方的IP
要查对方IP最简单的方法是打开网络防火墙,如天网,然后点击“安全规则设置”,在弹出的对话框中把“UDP数据包监视”前面的多选框内打上“√”,然后保存设置。现在,在QQ中给那个人发个消息,再来点击天网中的“日志”按钮,从中你就会发现对方的IP。有了IP,他想跑可就难了,哈哈。
(2)开始攻击
打开两个或两个以上PortScan,在“Scan:”栏中填入对方的IP,在“Send Port:”栏中填入1,在“Stop Port:”栏中填入65536,这样就配置完毕,可以攻击了!现在按“START”按钮,然后你就可以忙你的别的事吧!扫描的事教给PortScan就可以了。
(3)攻击原理
天网防火墙有个习惯,它对任何外来的不明数据包都会拦截,当一个时间段内有大量的 “各种不同类型的”数据包涌过来,天网会对之进行一一拦截,还要分析和解析这是什么数据包,一秒钟要解析几十次以上,由于数据包太多,会造成系统的资源逐渐耗掉,对方机子上的应用程序会越来越慢,最终……呵呵!由于PortScan占用系统资源不多,因此本机的速度不会变慢多少。
(4)攻击深入
如果该用户发现是由于天网的过多拦截才造成死机,那他就会关闭天网。此时IGMP Nuke就会发挥作用了:你可以每隔一段时间就对着目标IP运行一下IGMP Nuke,用默认设置就可以。结果,没有了天网的对方当然是蓝屏啦!真是有天网也烦,没天网也烦呀!
(5)攻击时自身防范
本方法有一个缺点,就是对方能知道你的IP(天网中会记录下来的),因此你最好能使用代理服务器免得暴露自己。
2.利用天网小BUG
天网有个小BUG(也许不能算作BUG),它只能记录6万多条攻击记录。那如果有多出来的的记录会怎么样呢?这正是攻击者经常利用的一点。攻击者使用ICMP或IGMP包进行攻击,当攻击6万多次以后,天网就会不断弹出错误对话框,直到耗尽内存而当机!尽管手段不够漂亮,但的确使装有天网的主机死机了!简单实用就是这个方法的最大特点!
3.不断发送二进制的0字节流到
不停地发送二进制的0字节流到装有天网主机的特定端口(用TCP或UDP都可以),使装天网的主机当机。简单的测试方法如下:在Linux中通过netcat输入/dev/zero内容,命令如下:
TCP的测试命令为: nc 目标主机 端口 < /dev/zero
举例:nc 127.0.0.1 7 < /dev/zero 其中“127.0.0.1”为装有天网主机的IP,“7”为目标主机端口。
UDP的测试命令为:nc -u 目标主机 端口 < /dev/zero
举例:nc -u 127.0.0.1 53 < /dev/zero 其中“127.0.0.1”为装有天网主机的IP,“53”为目标主机端口。
TCP ports:7 9 21 23 7778等都是TCP端口。
UDP ports:53 67 68 135 137 500 1812 1813 2535 3456等都是UDP端口。
在本文即将撰稿完毕之际,天网又推出了新的测试版本,新增了一个非常好的功能:天网防火墙增加了对应用程序数据包进行底层分析拦截功能(