2、不安分的正常连接

    现在有很多用户都安装了个人HTTP服务器，这就注定了机器会开着80端口，这很正常，但是有谁知这是一个给无数网络管理员带来痛苦的新技术，它让一个正常的服务变成了入侵者的利器。

    当一台机器被种植Tunnel后，它的HTTP端口就被Tunnel重新绑定了——传输给WWW服务程序的数据，也在同时传输给背后的Tunnel，入侵者假装浏览网页(机器认为)，却发送了一个特殊的请求数据(符合HTTP协议)，Tunnel和WWW服务都接收到这个信息，由于请求的页面通常不存在，WWW服务会返回一个HTTP404应答，而Tunnel却忙开了……

    首先，Tunnel发送给入侵者一个确认数据，报告Tunnel存在;然后Tunnel马上发送一个新的连接去索取入侵者的攻击数据并处理入侵者从HTTP端口发来的数据;最后，Tunnel执行入侵者想要的操作。由于这是“正常”的数据传输，防火墙一样没看见。但是目标没开放80端口怎么办呢?擅自开一个端口等于自杀。但是入侵者不会忘记那个可爱的NetBIOS端口——长年累月开放的139端口，和它分享数据，何乐不为? Tunnel技术使后门的隐蔽性又上了一个级别，可是这并不代表无懈可击了，因为一个有经验的管理员会通过Sniffer看到异常的景象…… Tunnel攻击被管理员击溃了，可是，一种更可怕的入侵正在偷偷进行中……