问一个问题，木马等病毒一般是用什么协议传输数据包？

zmc837

想定义一个比较严格些的acl规则列表，只知道一些木马使用的端口，但还是比较笼统，想知道一般木马使用的是什么协议传输数据包，我个人认为一般是用tcp协议吧？因为tcp传输比较可靠，这些数据包里面有时包含着对黑客来说是很重要的数据，为了数据能准确传输，我想他们考虑传输的准确而不是速度，所以选择的是tcp而不是udp，不知道对不对，请指点。

liong

同问！！！！！！！！！！！！！！！！！1111

只是一个神话

木马一般是以窃取信息和远程控制被入侵主机为目的的。一旦植入被入侵主机后，木马一般会在记录被窃取的信息后由邮件方式或一些远程控制程序输出到入侵者的电脑中，所以从原理上讲在传输层应该要使用TCP协议而非UDP协议。

我们在处理或了解木马程序的时候一般都是从系统进程或端口去分析和控制，不会在使用TCP或是UDP协议方面对其进行控制。

nhao

这个问题我也想问....一般病毒在网络中,"概要" "细节"能 "解码"中相应的特征是怎样的???

只是一个神话

原帖由 nhao 于 2008-8-4 16:03 发表
这个问题我也想问....一般病毒在网络中,"概要" "细节"能 "解码"中相应的特征是怎样的???

相应的攻击有相应的特征，比如ICMP FLOOD使用的是UDP协议，SYN FLOOD使用的是TCP协议，ARP攻击所用的是ARP协议。但是几乎所有攻击都离不开以下两点中的其中一点。
1、大流量数据：在短时间内发送或接收大流量的数据。如果使用科来的话在端点一栏的“总流量”中可以清楚的看出。
2、多连接：几百、上千的连接，且这类连接是单向的，要么只有接收的包，要么只有发送的包，在科来的“矩阵”一栏中也可以很清楚的看出。
在其它地方也会显示相应信息，如“报表”栏里。

当然，攻击一般具有的特征就是使用高端口，当然也有使用正常端口的（1024以下）。