02_第二、三、四、五代木马(2)

黑客基本知识

二、第三代木马

杀毒软件、网络防火墙无时无刻不在抵御着木马的入侵，正当入侵者一筹莫展的时候，第三代木马出现了。

第三代木马通过改变客户端与服务端的连接方式，由原来的服务端被动连接变为服务端主动连接，使网络防火墙形同虚设。

1、木马的连接方式

为了更加透彻地了解木马的入侵过程，首先来了解一下木马的几种连接方式。

（1）传统的连接方式

第一、二代木马都属于传统连接方式，即C/S（客户/服务器）连接方式。

在这种连接方式下，远程主机开放监听端口等待外部连接，称为服务端。当入侵者需要与远程主机建立连接的时候，便主动发出连接请求，从而建立连接。

这种连接需要服务端开放端口等待连接，需要客户端知道服务端的IP地址和服务端口号。因此，不适合与动态IP地址（如拨号上网）或局域网内主机（如网吧内计算机）建立连接。

（2）第三代木马连接方式（反弹端口技术）

第三代木马使用的是“反弹端口”连接技术。连接的建立不再由客户端主动要求连接，而是由服务端来完成，这种连接过程恰恰与传统的连接方式相反。

第一种连接方式

当远程主机安装第三代木马后，由远程主机主动寻找客户端建立连接，客户端则开放端口等待连接。