深入分析代理猎手

代理猎手是太阳风同志辛勤工作的成果，没有太阳风一年多来的不断耕耘，就没有今天精彩的代理猎手，因此让我们在文章的开始对太阳风同志表示真诚的问候！首先要说的是以前我并没用过该软件，手头的版本还是1998年出的1.1版。但在写作的后半段还是去下载了最新的2.8版。但结果还是一样:)(goodwell注：现在已经出3.0版，但是我用了不是很稳定。）
　　这篇文章的写作目的是帮助ADM摆脱目前网上普遍存在利用代理猎手进行的大量扫描活动。以及揭示了代理猎手的实现原理。由于手头没有关于代理服务器的详细资料，因此分析代理的实现花了很大的精力。希望在传播本文时请尽量保持文章的完整性，谢谢！

　　代理猎手的实现： 由于没有源码，分析的开始使用的是netcat,利用它的hex dump 功能把猎手所发出的信息截获。但netcat是一dos下的软件，使用起来不太方便，于是又花了几个小时写了个forwin的netcat.截获的信息如下：

47 45 54 20 68 74 74 70 3a 2f 2f 77 77 77 2e 6d # GET http://www.m
61 78 74 6f 72 2e 63 6f 6d 20 48 54 54 50 2f 31 # axtor.com HTTP/1
2e 31 0d 0a 48 6f 73 74 3a 20 77 77 77 2e 6d 61 # .1..Host: www.ma
78 74 6f 72 2e 63 6f 6d 0d 0a 41 63 63 65 70 74 # xtor.com..Accept
3a 20 2a 2f 2a 0d 0a 50 72 61 67 6d 61 3a 20 6e # : */*..Pragma: n
6f 2d 63 61 63 68 65 0d 0a 55 73 65 72 2d 41 67 # o-cache..User-Ag
65 6e 74 3a 20 50 72 6f 78 79 48 75 6e 74 65 72 # ent: ProxyHunter
31 2e 30 0d 0a 0d 0a 　　　　　　　　　 　　　　# 1.0....

手所基本上我们就知道了猎手对于server所发出的信息：
GET htttp://www.maxor.com HTTP/1.1 Host: www.maxtor.com Accept: */* Pragma: no-cache
User-Agent: ProxyHunter 1.0

　　也就是说，在发出了这样一个命令序列后，如果对方是proxy server 的话，猎手就会收www.maxtor.com的首页，然后下来的应该是在主页中搜寻预先定义在猎手中的KEYWORD,如果为真，则目标是代理服务器，并且免费。于是我猜想如果直接的发KEYWORD给它，会不会通过它的检验了？答案是：ON!,不得以，只好上网（这个月的上网时间早已透支：）架上sniffer,找上一个真的代理，然后再找一个有限制的，测试完后赶紧断开连接。下面是真代理服务器的log:

------------------------------------------------------------------------------
HTTP/1.1 200 OK
Server: Microsoft-IIS/4.0
Content-location: http://www.maxtor.com/default.htm
Date: Tue, 04 May 1999 04:53:14 GMT
Content-type: text/html
Accept-ranges: bytes
Last-modified: Wed, 28 Apr 1999 16:42:38 GMT
Etag: "cf6f51f9691be1:105fb"
Content-length: 8558
Content-location: http://www.maxtor.com/default.htm
Etag: "cf6f51f9691be1:105fb"
Accept-ranges: bytes
Cache-last-checked: Tuesday, 04-May-99 04:15:50 GMT
Proxy-agent: Netscape-Proxy/2.5

<HTML>
<HEAD>
<meta http-equiv="Content-Type" con_tent="text/html; charset=iso-8859-1">
<title>
Maxtor Corporation - Creative Solutions for Information Storage
</title>
------------------------------------------------------------------------------

　　肯定它还检查了另外的特征传，但没有什么好的办法， 只好一个一个的试了。添入第一行，“HTTP/1.1200 OK" 加上KEYWORD 一起发给猎手，OK!!! 通过了检验。 看来猎手只是检查了二个地方。（可能是为了加快速度）进一步的实验表明，猎手检查的方式如下："HTTP/1.1 200"+WORDKEY (特征传）也就是说，只要在连接是，你发给它以上的字符传，猎手接受后就会认为验证成功，至此我们已经找到了欺骗猎

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!