信息系统攻击与防御(第七章)

1、第七章 综合攻击 网络入侵一般步骤及入侵检测 高级扫描技术及原理 黑客常用攻击方法 Windows系列操作系统密码破解方法 攻击的一般特点 穿过防火墙的多种方法 综合攻击过程实例 内容简介综合攻击是综合运用各种方法不择手段的对网络系统进行攻击，本章介绍了网络入侵的一般步骤及入侵检测技术，高级扫描技术及其原理，Windows系列操作系统密码破解方法，黑客常用的攻击方法，攻击的级别，穿过防火墙的一些方法，最后介绍一个综合攻击的实例。7.1.网络入侵一般步骤及入侵检测 网络入侵一般步骤包括：进入系统、提升权限、放置后门、清理日志 等几个关键环节。 7.1.网络入侵一般步骤及入侵检测(续) 第一步：进

2、入系统进入系统一般包括如下过程：1. 扫描目标主机。 2. 检查开放的端口，获得服务软件及版本。 3. 检查服务软件是否存在漏洞，如果是，利用该漏洞远程进入系统；否则进入下一步。 4. 检查服务软件的附属程序(例如WWW服务的附属程序就包括CGI程序等)是否存在漏洞，如果是，利用该漏洞远程进入系统否则进入下一步。5. 检查服务软件是否存在脆弱帐号或密码，如果是，利用该帐号或密码系统；否则进入下一步。6. 利用服务软件是否可以获取有效帐号或密码，如果是，利用该帐号或密码进入系统；否则进入下一步。7. 服务软件是否泄露系统敏感信息，如果是，检查能否利用；否则进入下一步。8. 扫描相同子网主机，重复

3、以上步骤，直到进入目标主机或放弃。以上过程并不是唯一的，这里只是提供了一个一般的可行性方案。实际上在入侵过程中可以采用所有你能想到的方法（例如社会工程方法等等），达到入侵系统的目的即可。 7.1.网络入侵一般步骤及入侵检测(续) 第二步：提升权限 提升权限一般包括如下过程：1. 检查目标主机上的SUID和GUID程序是否存在漏洞，如果是，利用该漏洞提升权限，否则进入下一步。 2. 检查本地服务是否存在漏洞，如果是，利用该漏洞提升权限，否则进入下一步。 3. 检查本地服务是否存在脆弱帐号或密码，如果是，利用该帐号或密码提升权限；否则进入下一步。 4. 检查重要文件的权限是否设置错误，如果是，利用

4、该漏洞提升权限，否则进入下一步。 5. 检查配置目录(这里指存在配置文件的目录，如/etc等)中是否存在敏感信息可以利用。6. 检查用户目录中是否存在敏感信息可以利用。7. 检查临时文件目录(如/tmp等，这里的漏洞主要指条件竞争)是否存在漏洞可以利用。 8. 检查其它目录(如WWW目录，数据文件目录等)是否存在可以利用的敏感信息。 9. 重复以上步骤，直到获得root权限或放弃。 7.1.网络入侵一般步骤及入侵检测(续) 第三步：放置后门 获得系统root权限后，为了以后访问的方便，一般都要放置后门，利用后门程序建立一个或者多个隐通道，也可以是安装木马程序。最好自己写后门程序，用别人的程序或

5、者现存的程序总是相对容易被发现。 7.1.网络入侵一般步骤及入侵检测(续) 第四步：清理日志 入侵完成后在退出系统之前一定要清理日志。因为日志中记录有入侵的相关信息，为了隐藏入侵的行为，要将所有记录的日志清除干净。清除日志不要将日志文件全部删除，如果将日志文件全部删除，系统管理员一定可以通过日志文件的丢失发现有人曾经入侵并删除过日志文件。最好是手工修改日志文件内容，将与入侵有关的内容删除掉，保留其他正常的日志内容，不要全部删除日志，也不要使用别人写的工具。 7.1.网络入侵一般步骤及入侵检测(续)入侵检测 入侵检测包括： 一、基于80端口入侵的CGI IIS 程序漏洞检测等；二、基于安全日志的

6、检测；三、文件访问日志与关键文件保护；四、进程监控、后门等；五、注册表校验、木马；六、端口监控，例如21、23、3389等端口；七、用户。入侵者进入系统以后，为了方便以后的“工作”通常会加一个用户或者激活guest帐号提升为管理员的。 7.2.高级扫描技术及原理 高级ICMP扫描技术 高级TCP扫描技术 高级UDP扫描技术 7.2.1.高级ICMP扫描技术 这里主要是利用ICMP协议最基本的用途：报错，根据网络协议，如果按照协议出现了错误，那么接收端将产生一个ICMP的错误报文。这些错误报文并不是主动发送的，而是由于错误，根据协议自动产生。可以利用下面这些特性进行高级ICMP扫描： 1向目标主

7、机发送一个只有IP头的IP数据包，目标将返回Destination Unreachable的ICMP错误报文。 2向目标主机发送一个坏IP数据报，例如，不正确的IP头长度，目标主机将返回Parameter Problem的ICMP错误报文。 3当数据包分片，但是却没有给接收端足够的分片，接收端分片组装超时会发送分片组装超时的ICMP数据报。 7.2.2.高级TCP扫描技术 最基本的利用TCP扫描就是使用connect()，如果目标主机能够connect，就说明一个相应的端口打开。这也是最原始和最先被防护工具拒绝的一种。 在高级的TCP扫描技术中主要利用TCP连接的三次握手特性来进行，也就是所谓

8、的半开扫描。这些办法可以绕过一些防火墙，得到防火墙后面的主机信息。当然，是在不被欺骗的情况下的。 7.2.2.高级TCP扫描技术（续） 下面这些方法还有一个好处就是比较难于被记录，有的办法即使在用netstat命令上也根本显示不出来。 1SYN 向远端主机某端口发送一个只有SYN标志位的TCP数据报，如果主机反馈一个SYNACK数据包，那么，这个主机正在监听该端口，如果反馈的是RST数据包，说明，主机没有监听该端口。在X-Scanner上就有SYN的选择项。 2ACK 发送一个只有ACK标志的TCP数据报给主机，如果主机反馈一个TCP RST数据报来，那么这个主机是存在的。 3FIN 对某端口

9、发送一个TCP FIN数据报给远端主机。如果主机没有任何反馈，那么这个主机是存在的，而且正在监听这个端口；主机反馈一个TCP RST回来，那么说明该主机是存在的，但是没有监听这个端口。4NULL 发送一个没有任何标志位的TCP包，根据RFC793，如果目标主机的相应端口是关闭的话，应该发送回一个RST数据包。5FIN+URG+PUSH 向目标主机发送一个Fin、URG和PUSH分组，根据RFC793，如果目标主机的相应端口是关闭的，那么应该返回一个RST标志。 7.2.3.高级UDP扫描技术 在UDP实现的扫描中，大多利用和ICMP的组合进行，在ICMP中已经提及了。还有一些特殊的就是UDP回

10、馈，例如SQL SERVER，对其1434端口发送x02或者x03就能够探测得到其连接端口。实例参见教材 7.3.黑客常用攻击方法 获取口令 放置特洛伊木马程序 WWW欺骗攻击 电子邮件攻击 通过一个节点来攻击其他节点 网络监听 寻找系统漏洞 利用帐号进行攻击 偷取特权 7.3.1.获取口令 获取口令是黑客攻击的基本目标。获取口令又有三种方法：一是通过网络监听非法得到用户口令，这类方法有一定的局限性，但危害性极大，监听者往往能够获得其所在网段的所有用户账号和口令，对局域网安全威胁巨大。二是在知道用户的账号后（如电子邮件前面的部分）利用一些专门软件强行破解用户口令，这种方法不受网段限制，但黑客要

11、有足够的耐心和时间。三是在获得一个服务器上的用户口令文件（此文件成为Shadow文件）后，用暴力破解程序破解用户口令，该方法的使用前提是黑客获得口令的Shadow文件。 7.3.2.放置特洛伊木马程序 特洛伊木马程序可以直接侵入用户的电脑并进行破坏，它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中，并在自己的计算机系统中隐藏一个可以在Windows启动时悄悄执行的程序。当计算机连接到因特网上时，这个程序就会通知黑客，来报告您的IP地址

12、以及预先设定的端口。黑客在收到这些信息后，再利用这个潜伏在其中的程序，就可以任意地修改计算机的参数设定、复制文件、窥视整个硬盘中的内容等，从而达到控制计算机的目的。 7.3.3. WWW欺骗攻击 在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问，如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在：正在访问的网页已经被黑客篡改过，网页上的信息是虚假的！例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器，当用户浏览目标网页的时候，实际上是向黑客服务器发出请求，那么黑客就可以达到欺骗的目的了。网络钓鱼就是这种类型的攻击。7.3.4.电子邮

13、件攻击 电子邮件攻击主要表现为两种方式：一是电子邮件轰炸和电子邮件“滚雪球”，也就是通常所说的邮件炸弹，指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件，致使受害人邮箱被“炸”，严重者可能会给电子邮件服务器操作系统带来危险，甚至瘫痪；二是电子邮件欺骗，攻击者佯称自己为系统管理员（邮件地址和系统管理员完全相同），给用户发送邮件要求用户修改口令（口令可能为指定字符串）或在貌似正常的附件中加载病毒或其他木马程序，这类欺骗只要用户提高警惕，一般危害性不是太大。 7.3.5.通过一个节点来攻击其他节点 黑客在突破一台主机后，往往以此主机作为根据地，攻击其他

14、主机(以隐蔽其入侵路径，避免留下蛛丝马迹)。他们可以使用网络监听方法，尝试攻破同一网络内的其他主机；也可以通过IP欺骗和主机信任关系，攻击其他主机。 7.3.6.网络监听 网络监听是主机的一种工作模式，在这种模式下，主机可以接受到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接受方是谁。此时，如果两台主机进行通信的信息没有加密，只要使用某些网络监听工具，例如NetXray for windows 95/98/nt，sniffit for linux 、solaries等就可以轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性，但监听者

15、往往能够获得其所在网段的所有用户帐号及口令。 7.3.7.寻找系统漏洞 许多系统都有这样那样的安全漏洞（Bugs），其中某些是操作系统或应用软件本身具有的，如Sendmail漏洞，win98中的共享目录密码验证漏洞和IE5漏洞等，这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏，除非将网线拔掉；还有一些漏洞是由于系统管理员配置错误引起的，如在网络文件系统中，将目录和文件以可写的方式调出，将未加Shadow的用户密码文件以明码方式存放在某一目录下，这都会给黑客带来可乘之机，应及时修正。 7.3.8.利用帐号进行攻击 有的黑客会利用操作系统提供的缺省账户和密码进行攻击，例如许多UNIX主机都有

16、FTP和Guest等缺省账户（其密码和账户名同名），有的甚至没有口令。黑客用Unix操作系统提供的命令如Finger和Ruser等收集信息，不断提高自己的攻击能力。这类攻击只要系统管理员提高警惕，将系统提供的缺省账户关掉或提醒无口令用户增加口令一般都能克服。 7.3.9.偷取特权 利用各种特洛伊木马程序、后门程序和黑客自己编写的导致缓冲区溢出的程序进行攻击，前者可使黑客非法获得对用户机器的完全控制权，后者可使黑客获得超级用户的权限，从而拥有对整个网络的绝对控制权。这种攻击手段，一旦奏效，危害性极大。 7.4.Windows系列操作系统密码破解方法 方法一：删除SAM文件来恢复密码Windows

17、XP的密码存放在系统所在的WinntSystem32Config下SAM文件中，SAM文件即账号密码数据库文件，当登录系统的时候，系统会自动地和Config中的SAM校对，如发现此次密码和用户名全与SAM文件中的加密数据符合时，就会顺利登录；如果错误则无法登录。既然如此，第一个方法就产生了：删除SAM文件来恢复密码。如果你不用管原来系统卡包含的任意账号，而且有两个操作系统的话，可以使用另外一个能访问NTFS的操作系统启动电脑，或者虽然没有安装两个系统，但可以使用其他工具来访问NTFS。然后删除C：WINNTsystem32config目录下的SAM文件，重新启动。这时，管理员Administr

18、ator账号就没有密码了。当然，取下硬盘换到其他机器上来删除SAM文件也算个好办法。7.4.Windows系列操作系统密码破解方法(续) 方法一：删除SAM文件来恢复密码提示：WindowsNT/2000/XP中对用户账户的安全管理使用了安全账号管理器(Security AccountManager，SAM)的机制，安全账号管理器对账号的管理是通过安全标识进行的，安全标识在账号创建时就同时创建，一旦账号被删除，安全标识也同时被删除。安全标识是惟一的，即使是相同的用户名，在每次创建时获得的安全标识都是完全不同的。因此，一旦某个账号被删除，它的安全标识就不再存在了，即使用相同的用户名重建账号，也会

19、被赋予不同的安全标识，不会保留原未的权限。安全账号管理器的具体表现就是%SystemRoot%system32configsam文件。SAM文件是WindowsNT/2000/XP的用户账户数据库，所有用户的登录名及口令等相关信息部会保存在这个文件中。 7.4.Windows系列操作系统密码破解方法(续) 方法二：使用Off1ine NT Password & Registry Editor用该软件可以制作Linux启动盘，这个启动盘可以访问NTFS文件系统，因此可以很好地支持Windows2000/XP。使用该软盘中的一个运行在Linux的工具Ntpasswd就可以解决问题。并且可以读取注册

20、表并重写账号密码。使用的方法很简单，只需根据其启动后的提示一步一步做就可以了。建议使用快速模式，这样会列出用户供你选择修改哪个用户的密码。默认选择Admin组的用户，自动找到把Administrator的名字换掉的用户，十分方便。7.4.Windows系列操作系统密码破解方法(续) 方法三：使用Windows Key 5.0该软件包含在PasswareKit5.0中，用于恢复系统管理员的密码，运行后生成3个文件：txtsetup.oem、winkey.sys和winkey.inf，3个文件一共才50KB，短小精悍。把这3个文件放到任何软盘中，然后使用XP安装光盘启动电脑，启动过程中按F6键让系

21、统安装第三方的驱动程序。放人该软盘就会自动跳到WindowsKey的界面。它会强行把Administrator的密码换成“12345”，重新启动以后，你会被要求再次修改你的密码。7.4.Windows系列操作系统密码破解方法(续) 方法四：使用NTFS DOS这个可以从DOS下写NTFS分区的工具用该软件制作一个DOS启动盘，然后到C：WinntSystem32下将屏幕保护程序logon.scr改名，接着拷贝到C：Winntsystem32下(2000可以用cmd.exe)，并将该文件改名为logon.scr。这样启动机器后等待5分钟，本应该出现的屏幕保护现在变成了命令行模式，而且是具有Adm

22、inistrator权限的，通过它就可以修改密码或者添加新的管理员账号了。改完后把屏幕保护程序的名字改回去。7.4.Windows系列操作系统密码破解方法(续) 方法五： 在别的分区上再装一个XP，硬盘分区格式要和原来的一样，注意一定不要和原来的XP安装在同一分区!在开始之前，一定要事先备份引导区MBR(Master Boot Record)。备份MBR的方法有很多，可以自己编程，或使用工具软件，如杀毒软件KV3000等。装完后用Administrator登录，现在你对原来的XP就有绝对的写权限了。你可以把原来的SAM拷下来，用lOphtcrack得到原来的密码。也可以把新安装的XP的Winn

23、tSystem32Config下的所有文件覆盖到CWinntSystem32Config目录中(假设原来的XP安装在这里)，然后用KV3000恢复以前备份的主引导区MBR，现在你就可以用Administrator身份登陆以前的XP了。7.4.Windows系列操作系统密码破解方法(续) 方法五： 提示：MBR俗称“主引导区”，它的作用是读取磁盘分区表(Partition Table)里面所设定的活动分区 (Active Partition)，位于硬盘的柱面0、磁头0、扇区1的位置，也即俗0磁道位置。它是由分区命令fdisk产生的。MBR包括硬盘引导程序和分区表这两部分。MBR结束标志为55AA

24、，用杀毒软件KV3000的F6功能即可查看，其默认画面即为MBR。如果MBR找不到活动分区，就会在屏幕上显示像Missing operating System等错误讯息，所以，如果WindowsXP无法正常开启。而又在屏幕上显示这样的错误讯息，原因大多就是出在这里。7.5. 攻击的一般特点 1、攻击会发生的时间 ： 大部分的攻击（或至少是商业攻击时间)一般是服务器所在地的深夜。1客观原因。在白天，大多数入侵者要工作，上学或在其他环境中花费时间，以至没空进行攻击。换句话就，这些人不能在白天整天坐在计算机前面。2速度原因。网络正变得越来越拥挤，因此最佳的工作时间是在网络能提供高传输速度的时间速率的

25、时间。最佳的时间段会根据目标机所在地的不同而不同，一般深夜到早晨之间的几个小时中网络能提供高传输速度最佳。3保密原因。假设在某时某入侵者发现了一个漏洞，假定这个时间是早上11点，并且此时有三个系统管理员正登录在网上。此时，此入侵者能有何举动？恐怕很少，因为系统管理员一旦发现有异常行为。他们便会跟踪而来。 7.5. 攻击的一般特点（续） 2、入侵者使用的操作系统 ： 入侵者使用的操作系统各不相同。UNIX是使用得最多的平台，其中包括FreeBSD和Linux。1Sun入侵者将SolarisX86 或SCO作为使用平台的现象相当常见。因为即使这些产品是需要许可证，它们也易获得。一般而言，使用这些平

26、台的入侵者都是学生，因为他们可利用软件产品卖给教育部门和学生时可打很大的折扣这一优势。再者，由于这些操作系统运行在PC机上，所以这些操作系统是更经济的选择。2UNIXUNIX平台受欢迎的原因之一是它只耗费系统一小部分资源。3MicrosoftMicrosoft平台支持许多合法的安全工具，而这些工具可被用于攻击远程主机。因此，越来越多的入侵者正在使用Windows NT。 7.5. 攻击的一般特点（续） 3、攻击的源头 ： 数年前，许多攻击来源于大学，因为从那里能对Internet进行访问。大多数入侵者是年青人，没有其他的地方比在大学更容易上Internet了。自然地，这不仅影响了攻击的起源地而

27、且影响着攻击发生的时间。同时，使用TCP/IP不像今天这样简单。如今形势发生了巨大的变化，入侵者可在他们的家里、办公室或车中入侵你的网络。 7.5. 攻击的一般特点（续） 4、典型入侵者的特点 ： 典型的入侵者至少具备下述几个特点：1能用C、C+或Perl进行编码。因为许多基本的安全工具是用这些语言的某一种编写的。至少入侵者能正确地解释、编译和执行这些程序。更厉害的入侵者能把不专门为某特定某平台开发的工具移植到他用的平台上。同时他们还可能开发出可扩展的工具来，如SATAN 和SAFESuite（这些工具允许用户开发的工具附加它们上）。2对TCP/IP有透彻的了解，这是任何一个有能力的入侵者所必

28、备的素质。一个入侵者至少必须知道Internet如何运转的。3每月至少花50小时上Internet。经验不可替代的，入侵者必须要有丰富的经验。一些入侵者是Internet的痴迷者，常忍受着失眠的痛苦。4有一份和计算机相关的工作。并不是每个入侵者都是把一天中的大部分时间投入到入侵行为中。其中一些从事着系统管理或系统开发的工作。5收集老的、过时的但经典的计算机硬件或软件。7.5. 攻击的一般特点（续） 5、典型目标的特征 ： 很难说什么才是典型目标，因为不同入侵者会因不同的原因而攻击不同类型的网络。然而一种常见的攻击是小型的私有网。因为：1网络的拥有者们对Internet的使用还处于入门阶段。2其

29、系统管理员更熟悉局域网，而不是TCP/IP。3其设备和软件都很陈旧（可能是过时的）。绝大多数入侵者从使用的角度而言能熟知两个或多个操作系统，但从入侵的角度来看，他们通常仅了解某一个操作系统。很少的入侵者知道如何入侵多种平台。大学是主要的攻击对象，部分原因是因为他们拥有极强的运算处理能力。另个原因是网络用户过多。甚至在一个相对小的网段上就有几百个用户。管理这种大型网络是一件困难的任务，极有可能从如此多的帐号中获得一个入侵帐号。其他常被攻击的对象是政府网站。7.5. 攻击的一般特点（续） 6、攻击的法律定义 ： 攻击的法律定义是指：攻击仅仅发生在入侵行为完全完成且入侵者已在目标网络内。但是可能使一

30、个网络受到破坏的所有行为都应称为“攻击”。即从一个入侵者开始在目标机上工作的那个时间起，攻击就开始。可通过下面的文章了解入侵的事例：ftp:/dist/internet_security/berferd.pshttp:/evidence/anklebiters/mlf/index.htmlhttp/security/first/papers/general/holland.pshttp:/security/first/papers/general/fuat.pshttp:/security/first/papers/general/hacker.txt7.5. 攻击的一般特点（续） 7、入侵层

31、次索引 ： 邮件炸弹攻击简单拒绝服务本地用户获得非授权读访问本地用户获得他们本不应拥有的文件的写权限远程用户获得了非授权的帐号远程用户获得了特权文件的读权限远程用户获得了特权文件的写权限远程用户拥有了根权限（他们已经攻克了你的系统） 7.6.穿过防火墙的多种方法 （续） 1、利用SOCKS代理穿透防火墙 ： SOCKS是电路级网关，常用到有SOCKS代理有SOCKS4和SOCKS5两种版本，其中SOCKS4代理只支持TCP协议，SOCKS5代理支持TCP和UDP协议，还支持各种身份验证机制、服务器端域名解析等。SOCKS4能干的SOCKS5都可以干，反过来就不行了，如QQ只能用SOCKS5代理

32、，而FTP可以用SOCKS4和SOCKS5，因为QQ的数据传输机制是UDP，而FTP用的数据传输机制是TCP。SOCKS协议就是一种几乎万能的代理协议，它虽然不能理解自己转发的数据内部结构，但它能够忠实地转发数据包，完成协议本来要完成的功能。 7.6.穿过防火墙的多种方法 （续） 1、利用SOCKS代理穿透防火墙 ： 下面举例说明怎么用SOCKS代理来穿透防火墙。例一：QQ中用SOCKS代理来穿透防火墙。首先在QQ的任务栏通知区的图标处点右键，然后选择系统参数，然后选择网络设置，选中使用“SOCKS5代理服务器”，填入所用的SOCKS代理地址和端口号，例如38:1080，还可以点测试看看这个S

33、OCKS5代理可用否。确定后，QQ就是通过38:1080这个SOCKS5代理上线的，所有的数据包现在都是发给这个代理服务器，然后再转发出去，这样就可以绕过UDP4000的端口，穿过了防火墙。可以用另外一个可以看IP的QQ看看现在你QQ所在的IP，显示的IP是38。这样就是隐藏了你的真实IP，他看到的IP也是SOCKS代理服务器的IP地址。7.6.穿过防火墙的多种方法 （续） 1、利用SOCKS代理穿透防火墙 ： 例二：使用FTP工具AbsoluteFTP穿透防火墙从网上下载东西。AbsoluteFTP是一款强大的FTP下载工具，支持SOCKS4和SOCKS5代理，而且全中文界面，如果局域网封了

34、21端口导致无法使用FTP下载时，可以用这款软件加SOCKS代理来绕过防火墙实现FTP功能。FTP既可以用SOCKS4，也可以用SOCKS5代理，而不像QQ只能使用SOCKS5代理。在AbsoluteFTP的选项设置中选中全局配置中的防火墙，然后就可以选择是采用SOCKS4还是SOCKS5代理、是否需要身份认证等，然后填入SOCKS代理服务器和端口以及身份认证所需要的用户名和口令，这样就能穿过防火墙使用FTP了。 7.6.穿过防火墙的多种方法 （续） 2、利用Socks2HTTP配合SocksCap32穿透防火墙 ： 在前面介绍的方法中，如果网管只开放80端口，把SOCKS常用的端口关闭，或者

35、软件本身并不支持SOCKS代理，如Foxmail，或者找不到可用的SOCKS代理（网上可用的SOCKS代理数量远远小于可用的HTTP代理数量），前面介绍的方法就不行了，这时可以考虑 Socks2HTTP配合SocksCap32穿透防火墙，二者加起来使用的结果就是只要有一个可用的HTTP代理，就可使各种各样的软件来直接绕过防火墙而不管它是否支持SOCKS代理， 7.6.穿过防火墙的多种方法 （续） 2、利用Socks2HTTP配合SocksCap32穿透防火墙 ： 下面分两种情况来看。1.防火墙关闭了SOCKS端口，但软件支持SOCKS代理这种情形下可以直接用Socks2HTTP。Socks2H

36、TTP（http:/）是一个代理。用“netstatJaJn”命令来看看本机开放的端口，就会发现本机多出个1080端口，这个端口就是HTTP2socks模拟出来的在本机上运行的SOCKS代理服务器侦听端口，现在你就拥有一个本地的SOCKS5代理服务器了。 接下来直接在QQ等支持SOCKS接口的软件中将SOCKS5服务器地址添为，端口为1080，就可以了。7.6.穿过防火墙的多种方法 （续） 2、利用Socks2HTTP配合SocksCap32穿透防火墙 ： 2.防火墙关闭了SOCKS端口，并且要用的软件不支持SOCKS代理 这需要另外一个软件SocksCap32的配合支持来穿透防火墙。Sock

37、sCap32是NEC公司（http:/）开发的，利用HTTPfProxy，只要有了HTTP代理就有了SOCKS代理。因为Socks2HTTP就是把HTTP代理模拟成SOCKS代理，如果再配合Socks2HTTP，就可以穿透防火墙，使用那些本身没有SOCKS接口的软件了，下面来解释这个过程。为了更好理解，下面把这个过程分成几步详细介绍： 第一步：首先配置好Socks2HTTP，填入可用的HTTP代理，启动，然后就拥有一个本地的SOCKS代理服务器，端口是1080，现在就可以用这个SOCKS代理来配置SocksCap。第二步：运行SocksCap，如果是第一次运行，系统会自动提示是否进入设置界面，

38、如果不是第一次运行，可以选择SocksCap中的文件设置进入设置界面。7.6.穿过防火墙的多种方法 （续） 2、利用Socks2HTTP配合SocksCap32穿透防火墙 ： 2.防火墙关闭了SOCKS端口，并且要用的软件不支持SOCKS代理 第三步：在SocksCap的设置界面中填入Socks2HTTP模拟出来的本地SOCKS代理，端口是1080，“协议”处选择“SOCKS版本5（5）”“由远程决定所有名字”，其余部分直接采用默认设置。 第四步：建立“应用程序标识项”。应用程序标识项是在SocksCap中新建的一个快捷方式，这个快捷方式指向你所要用的工具，在SocksCap中启动这个工具就相

39、当于“赋予”了这个工具的SOCKS接口能力。有两种方式来建立这种快捷方式：1.用鼠标拖动桌面上的Cterm快捷键到SocksCap的空白处，松开鼠标即会弹出菜单，选择“应用程序标识项”系统会自动建立好标识项，点确定即可。2.也可以点击“新建”，在弹出的对话框里填入相应内容，点击确定。第五步：运行程序。在SocksCap控制台中双击刚才新建的Cterm快捷方式就可以直接使用了，例如想连接，现在通过Socks2HTTP和SocksCap，不仅可以出国，而且可以使用Telnet服务连上MIT的BBS，穿透了防火墙。其他工具，如FTP、Outlook等，也一样使用。尤其值得一提的是可以用Outlook

40、收Hotmail的信，如果没有这种办法，只能用HTTP代理上Hotmail的网站，用WWW方式收信。现在有这个就相当于给Outlook配备了SOCKS接口，直接就可以在Outlook里面收信了。 7.6.穿过防火墙的多种方法 （续） 3、利用HTTPTunel穿透防火墙 ： HTTPTunnel被称之为HTTP暗道，它的原理就是将数据伪装成HTTP的数据形式来穿过防火墙，实际上是在HTTP请求中创建了一个双向的虚拟数据连接来穿透防火墙。就是在防火墙两边都设立一个转换程序，将原来需要发送或接受的数据包封装成HTTP请求的格式骗过防火墙，所以它不需要别的代理服务器而直接穿透防火墙。HTTPTunn

41、el刚开始时只有Unix版本，现在已经有人把它移植到Window平台上了，它包括两个程序，htc和hts，其中htc是客户端，而hts是服务器端。例如开了FTP的机器的IP：31，本地机器的IP是26，现在本地因为防火墙的原因无法连接到FTP上，用HTTPTunnel的过程如下： 7.6.穿过防火墙的多种方法 （续） 3、利用HTTPTunel穿透防火墙 ： 第一步：在机器上（26）启动HTTPTunnel客户端。启动MS-DOS的命令行方式，然后执行命令将来自31:80的数据全部转发到本机的8888端口，这个端口可以随便选，只要本机没有占用就可以。然后用Netstat看一下本机现在开放的端口

42、，发现8888端口已在侦听。第二步：在对方机器上启动HTTPTunnel的服务器端，并执行命令“htsJ-fJlocalhost:21J80”，这个命令的意思是说把本机21端口发出去的数据全部通过80端口中转一下，并且开放80端口作为侦听端口，再用Neststat看一下他的机器，就会发现80端口现在也在侦听状态。第三步：在本地机器上用FTP连接本机的8888端口，现在已经连上对方的机器了，就可以用FTP下载了。7.6.穿过防火墙的多种方法 （续） 4、攻破天网防火墙的方法 ： 1.用黑毒克星或NoSkyNet针对天网防火墙它的黑客工具层出不穷，黑毒克星和NoSkyNet就是其中之一。这两个软件

43、共同的特点之一就是小巧隐蔽，另一个特点就是它们将天网破坏殆尽后，居然还能让天网防火墙在任务栏正常显示图标！具有极大的危害性和欺骗性。7.6.穿过防火墙的多种方法 （续） 4、攻破天网防火墙的方法 ： 2.用黑洞2001 洞2001是个木马程序，具有出色的多进程监控功能。木马开发者让木马服务端定时刷新进程，如果发现其中的进程名称与其事先定义好的相符合，就将这个进程关闭，如果这个被关闭的进程恰巧就是防火墙，那你的网络大门就完全敞开了，监控端就可为所欲为了。 7.6.穿过防火墙的多种方法 （续） 4、攻破天网防火墙的方法 ： 3.利用“反弹端口”型木马 国内第一个“反弹端口”型木马“网络神偷”就可以

44、突破天网防线，使天网失效。“正常”木马是由客户端主动连接服务端的，通俗的说就是下木马方要主动连接中木马的机子，这样很容易让防火墙发现；而反弹端口型木马与一般的木马相反，反弹端口型木马的服务端（被控制端）使用主动端口，客户端（控制端）使用被动端口，当要建立连接时，由客户端通过 FTP 主页空间告诉服务端：“现在开始连接我吧！”，并进入监听状态，服务端收到通知后，就会开始连接客户端。为了隐蔽起见，客户端的监听端口一般开在80，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似“TCP服务端的IP地址:1026客户端的IP地址:80 ESTABLISHED”的情况，稍微疏忽一点就会以为是自己在浏览网页。防火墙也会这么认为的。因此这类木马可以突破几乎所有的防火墙（包括代理防火墙及过滤型防火墙。 7.6.穿过防火墙的多种方法 （续） 4、攻破天网防火墙的方法 ： 4强攻也可突