http://www.sokox.com/blog/ zh-cn PBlog2 v2.4 http://www.sokox.com/blog/images/logos.gif http://www.sokox.com/blog/ 电脑老窝 http://www.sokox.com/blog/article/net/150.htm sevengo@163.com(小骇) Wed,18 Mar 2009 10:13:14 +0800 http://www.sokox.com/blog/default.asp?id=150 　　一、关闭电脑大门，禁止新建用户
　　在入侵了一台电脑后，黑客一般先会使用“net user用户名 密码/add”命令新建一个用户，并用“net localgroup administrators 用户名/add”命令，将新用户添加到Administrator管理员组中。这样黑客就可以用添加的用户名登录，并拥有管理员权限了。如何才能防止用户添加新用户呢？
可以看到在黑客添加新用户的过程中，net命令是必不可少的，如果让黑客无法运行net命令的话，也就间接的阻止了黑客新建用户。net命令的执行文件位于系统目录“c:\windows\system32”下，文件名为“net.exe”，我们只要将此文件重命名，改为如“netno.exe”等。当黑客入侵后添加新用户时，就会显示命令错误，从而无法新建用户了（如图1）。


　　二、陌生人不得入内，禁止新建用户登录
　　如果碰上比较厉害的黑客，他们可能会使出“杀手锏”，自己上传一个“net.exe”文件，从而恢复新建用户名的功能。魔高一尺，道高一丈，我们依然有办法对付这招——直接禁止新建的用户登录，对黑客下一道逐客令，黑客即使拥有管理员帐号，也无法登录。
　　打开资源管理器，定位到文件夹“C:\Documents and Settings”，可以看到在此文件夹下有以系统中用户名命名的目录，这些目录中就包含了每个用户登录信息。其中“Default User”目录管理着所有用户默认配置，每个新建的用户在首次登录时，都必须从这个目录中调用一些信息。首先将此文件夹改名，例如可改为“No Users”（如图2）。


　　当黑客新建了一个普通权限的用户，在第一次登录时将出现错误无法登录成功，会提示“……无法加载您的配置文件……”（如图3），这就禁止了黑客以新帐号登录。但是如果黑客新建立的是一个管理员权限用户时，虽然也会弹出无法加载配置文件的提示，但是系统还会允许新建的管理员登录。这是因为存放管理员的默认配置文件存放在另一个目录中，路径为“C:\WINDOWS\system32 \config\systemprofile”，将“systemprofile”文件夹改名后，即可防止任意新建的管理员用户登录了。



　　三、揪出克隆的帐号
　　经过上面的两个步骤，黑客已经无法在我们的系统中添加任何帐户了，但是这还不能保证帐号足够安全，因为高明的黑客一般是不会主动添加帐号的，而是采用最隐藏厉害的“帐号克隆”。顾名思义，帐号克隆就是对某个帐号所具有的权限进行完整的复制，黑客一般是对系统中已有的帐号Guest进行复制，克隆提升成具有管理员权限的用户帐号，而被克隆的帐号往往看不出丝毫破绽，依然显示为原来的普通权限。
　　1.克隆帐号现身
　　具体如何克隆帐号这里就不多说了，我们主要来看看如何让克隆帐号现身。一般克隆的Guest帐号，在“用户帐户”管理器中会显示为Guest组，而且是未启用激活状态（如图4），但是却具有管理员权限，登录后可进行各种管理员权限的操作，危害十分的大。如何才能检测出这类克隆帐号呢？


　　这里使用一款名为LP_Check的帐号克隆检测工具，程序运行后检测系统中的所有用户帐号信息，如果发现某一个帐号有问题的话，会在列表中以红色三角符号重点标记出来，并在“Important”中提示发现隐藏或克隆的管理员帐号（如图5）。




　　2.清除克隆帐号
　　检测出了系统中的克隆管理员帐号后，需要清除已克隆的帐号。但是由于Guest帐号是内置帐号，因此无法直接通过帐号管理器将其删除。虽然可以更改该帐号的密码，让黑客无法用该帐号登录，不过该帐号依然还是具有管理员权限，非常的危险，因此需要清除克隆帐号所具有的权限。
　　在命令提示符下进入MT所在的文件夹，执行命令“mt-killuser guest”，提示“Kill User: guest Success!”删除Guest帐号成功（如图6）。执行命令“net user”，显示系统中的所有用户列表，可以看到Guest帐号已经不存在了。最后再执行命令“net user guest”，重新添加一个Guest帐号，新添加的帐号权限就恢复正常了。
]]> http://www.sokox.com/blog/article/net/89.htm sevengo@163.com(小骇) Tue,20 Jan 2009 18:11:13 +0800 http://www.sokox.com/blog/default.asp?id=89

　　最近，中国汽车网可谓好事不断，先是吸引了GGV 800万美元的融资，后又与TOM网合作，全面接手TOM网的汽车导购、二手车、旅游等五个版面。顺驰置业也得到了国际VC的青睐。从这些成功的垂直型门户网站的发展之路，我们不难总结出中国垂直类网站的发展模式。

　　中国垂直型网站起源于房地产业，面对异常火爆的中国房地产，先后出现了搜房网、顺驰置业等为数众多的垂直型房地产门户网站。面对互联网站数以千万计的垃圾信息，垂

　　直型网站的出现无疑为广大用户快速高效地找到自己的需求信息，提供了一种简单有效的解决办法。随后汽车、IT、旅游、招聘、金融，一大串的垂直型网站如雨后春笋般地冒了出来。模式大家都会学，然而垂直型门户网站要想真正发展起来，有许多方面是必须考虑的。

　　易观认为。垂直型门户网站的发展难点在于理清产业链中各环节的关系，将产业链上中下游资源合理整合。重点要考虑以下一些方面:

　　1、关注行业特点。以中国汽车业为例，中国市场的巨大发展潜力吸引了世界上众多的汽车厂商，在刚进入中国时，这些汽车大鳄们最初的需求就是为自己的产品做广告，提高中国民众对他们的认知度，而汽车类网站无疑成为其大肆宣扬自己的一个理想平台。随着中国民众对汽车的日益熟悉，光有认知度已经不能为厂商们带来更多的利润增长，而培养现有用户的忠诚度便成了汽车厂商们关心的重点。此时对于汽车的评测、 新车论坛、包括一些 购车后的增值服务已经成为厂商们提高自身竞争力的重要方面，作为汽车类垂直型门户网站，适时地推出GPS定位服务、地图导航、网上购车等服务，既满足了上游厂商的需要，又为最终用户提供了超值的服务。从中国汽车网的营收构成来看，在总营收不断增加的情况下，广告收入的比重却在不断下降，说明其对行业发展的敏感程度。

　　2、关注用户需求。无论房产、IT、招聘，还是金融类垂直型网站的产生，都是为了满足一大批用户在这方面的需求。面对日益成熟的市场、专业知识了解越来越多的用户，如何更好的满足现有顾客及潜在顾客的需求，必然成为各网站发展过程中要考虑的重点问题。除了信息提供之外，增值服务的提供、服务的专业化程度，已成为衡量一个垂直型门户网站好坏的重要因素。

　　3、关注互联网业的发展。如今传统门户网站与各垂直型网站的竞争进入白热化的程度。三大传统门户网站都在以各自的方式向专业化方向发展，新浪坚持自主开发，搜狐收购专业网站，网易则请别人代管专业板块，可谓各显神通。面对传统门户网站的竞争，垂直型门户网站要明确自身优缺点，扬长避短，力争在竞争中取得优势地位。

　　WEB2.0、IM、IPTV这些新技术层出不穷。电脑、手机、 机顶盒，人们的上网方式丰富多彩。在这样的大好形势下，中国垂直门户网站一定会迎来一个新的发展高峰。
]]> http://www.sokox.com/blog/article/net/88.htm sevengo@163.com(小骇) Tue,20 Jan 2009 18:10:37 +0800 http://www.sokox.com/blog/default.asp?id=88
    1. 增强服务器操作系统的安全，密切关注并及时安装系统及软件的最新补丁；建立良好的账号管理制度，使用足够安全的口令，并正确设置用户访问权限。
    2. 恰当地配置Web服务器，只保留必要的服务，删除和关闭无用的或不必要的服务。因为，启动不必要的服务可能使他人获得你的系统信息，甚至获取密码文件。
    3. 对服务器进行远程管理时，使用如SSL等安全协议，避免使用Telnet、FTP等程序，因为这些程序是以明文形式传输密码的，容易被监听；并严格控制远程root身份的使用，仅在绝对需要时，才允许使用具有高授权的操作。
4. 禁止或限制cgi程序和asp、php脚本程序的使用。因为，这些程序会带来系统的安全隐患，而且，某些脚本程序本身就存在安全漏洞。

    同时构建一个安全的服务器外部环境：
    1. 使用防火墙及壁垒主机，对数据包进行过滤，禁止某些地址对服务器的某些服务的访问，并在外部网络和Web服务器中建立双层防护。利用防火墙，将服务器中没有必要从防火墙外面访问的服务及端口阻隔，进一步增强开放的服务的安全性。
    2. 使用入侵检测系统，监视系统、事件、安全记录和系统日志，以及网络中的数据包，对危险和恶意访问进行阻断、报警等响应。
    3. 使用漏洞扫描和安全评估软件，对整个网络进行全面的扫描、分析和评估，从用户账号约束、口令系统、访问控制、系统监测、数据完整、数据加密等多方面进行安全分析和审计。建立和提高用户的安全策略，及时发现并弥补安全漏洞。
4. 在网关和服务器上使用多层次的防病毒系统，尤其对于允许上传和交互信息发布的服务器来说，防止病毒及木马程序的侵入是保证服务器系统安全的一个关键。

]]> http://www.sokox.com/blog/article/net/87.htm sevengo@163.com(小骇) Tue,20 Jan 2009 18:10:08 +0800 http://www.sokox.com/blog/default.asp?id=87
　　随着防火墙和补丁管理已逐渐走向规范化，各类网络设施应该是比以往更完全。但不幸的是，道高一尺，魔高一丈，黑客们已开始直接在应用层面对Web网站下手。市场研究公司Gartner的分析师指出，目前有70%的黑客袭击事件都发生在应用程序方面。要增强Web网站的安全性，首先要澄清五个误解。

　　一、“Web网站使用了SSL加密，所以很安全”
　　单靠SSL加密无法保障网站的安全。网站启用SSL加密后，表明该网站发送和接收的信息都经过了加密处理，但是SSL无法保障存储在网站里的信息的安全。许多网站采用了128位SSL加密，但还是被黑客攻破。此外，SSL也无法保护网站访问者的隐私信息。这些隐私信息直接存在网站服务器里面，这是SSL所无法保护的。

　　二、“Web网站使用了防火墙，所以很安全”

　　防火墙有访问过滤机制，但还是无法应对许多恶意行为。许多网上商店、拍卖网站和BBS都安装了防火墙，但依然脆弱。防火墙通过设置“访客名单”，可以把恶意访问排除在外，只允许善意的访问者进来。但是，如何鉴别善意访问和恶意访问是一个问题。访问一旦被允许，后续的安全问题就不是防火墙能应对了。

　　三、“漏洞扫描工具没发现任何问题，所以很安全”

　　自1990年代初以来，漏洞扫描工具已经被广泛使用，以查找一些明显的网络安全漏洞。但是，这种工具无法对网站应用程序进行检测，无法查找程序中的漏洞。

　　漏洞扫描工具生成一些特殊的访问请求，发送给Web网站，在获取网站的响应信息后进行分析。该工具将响应信息与一些漏洞进行对比，一旦发现可疑之处即报出安全漏洞。目前，新版本的漏洞扫描工具一般能发现网站90%以上的常见安全问题，但这种工具对网站应用程序也有很多无能为力的地方。

　　四、“网站应用程序的安全问题是程序员造成的”

　　程序员确实造成了一些问题，但有些问题程序员无法掌控。

　　比如说，应用程序的源代码可能最初从其它地方获得，这是公司内部程序开发人员所不能控制的。或者，公司可能会请一些离岸的开发商作一些定制开发，与原有程序整合，这其中也可能会出现问题。或者，一些程序员会拿来一些免费代码做修改，这也隐藏着安全问题。再举一个极端的例子，可能有两个程序员来共同开发一个程序项目，他们分别开发的代码都没有问题，安全性很好，但整合在一起则可能出现安全漏洞。

　　很现实地讲，软件总是有漏洞的，这种事每天都在发生。安全漏洞只是众多漏洞中的一种。加强员工的培训，确实可以在一定程度上改进代码的质量。但需要注意，任何人都会犯错误，漏洞无可避免。有些漏洞可能要经过许多年后才会被发现。

　　五、“我们每年会对Web网站进行安全评估，所以很安全”
　　一般而言，网站应用程序的代码变动很快。对Web网站进行一年一度的安全评估非常必要，但评估时的情况可能与当前情况有很大不同。网站应用程序只要有任何改动，都会出现安全问题的隐患。
　　网站喜欢选在节假日对应用程序进行升级，圣诞节就是很典型的一个旺季。网站往往会增加许多新功能，但却忽略了安全上的考虑。如果网站不增加新功能，这又会对经营业绩产生影响。网站应该在程序开发的各个阶段都安排专业的安全人员。


]]> http://www.sokox.com/blog/article/net/77.htm sevengo@163.com(小骇) Tue,20 Jan 2009 17:57:56 +0800 http://www.sokox.com/blog/default.asp?id=77 下的DWORD值“homepage”的键值被修改的缘故。原来的键值为“0”，被修改为“1”（即为灰色不可选状态）。

排除办法：将“homepage”的键值改为“0”即可。


IE默认首页被修改的故障排除。

IE浏览器上方的标题栏被改成“欢迎访问……网站”的样式，这是最常见的篡改手段，受害者众多。排除办法可通过修改注册表来解决：
①在Windows启动后，点击“开始”→“运行”菜单项，在“打开”栏中键入regedit，然后按“确定”键；
②展开注册表到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
下，在右半部分窗口中找到串值“Start Page”双击 ，将Start Page的键值改为“about:blank”即可；
③同理，展开注册表到
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
在右半部分窗口中找到串值“Start Page”，然后按②中所述方法处理。
④退出注册表编辑器，重新启动计算机，一切OK了！
特殊例子：当IE的起始页变成了某些网址后，就算你通过选项设置修改好了，重启以后又会变成他们的网址啦，十分的难缠。其实他们是在你机器里加了一个自运行程序，它会在系统启动时将你的IE起始页设成他们的网站。
解决办法：运行注册表编辑器regedit.exe，然后依次展开
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run
主键，然后将其下的registry.exe子键删除，然后删除自运行程序c:\Program Files\registry.exe，最后从IE选项中重新设置起始页就好了。

7、恶意网页篡改IE的默认页的排除方法。

有些IE被改了起始页后，即使设置了“使用默认页”仍然无效，这是因为IE起始页的默认页也被篡改啦。具体说来就是以下注册表项被修改：
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet ExplorerMain\Default_Page_URL
“Default_Page_URL”这个子键的键值即起始页的默认页。排除办法：
运行注册表编辑器，然后展开上述子键，将“Default_Page_UR”子键的键值中的那些篡改网站的网址改掉就好了，或者设置为IE的默认值。

8、IE浏览器缺省主页被修改的排除办法。

修改IE浏览器缺省主页，并且锁定设置项，禁止用户更改回来。主要是修改了注册表中IE设置的下面这些键值(DWORD值为1时为不可选)：
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"Settings"=dword:1
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"Links"=dword:1
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"SecAddSites"=dword:1

排除办法：将上面这些DWORD值改为“0”即可恢复功能。

1新建一个文本在里面输入这些内容:

============开始=========
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"= dword:0
===========结束===========

（注意最后一行有一行空行）

把该文本文件名以 DisableRegistry.reg 保存，注意不要存成 DisableRegistry.reg.txt 文件。
3、双击DisableRegistry.reg文件导入注册表信息。
4、重新启动机器。

]]> http://www.sokox.com/blog/article/net/72.htm sevengo@163.com(小骇) Tue,20 Jan 2009 17:43:50 +0800 http://www.sokox.com/blog/default.asp?id=72 防火墙就是一种过滤塞（目前你这么理解不算错），你可以让你喜欢的东西通过这个塞子，别的玩意都统统过滤掉。在网络的世界里，要由防火墙过滤的就是承载通信数据的通信包。

天下的防火墙至少都会说两个词：Yes或者No。直接说就是接受或者拒绝。最简单的防火墙是以太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样：有的取代系统上已经装备的TCP/IP协议栈；有的在已有的协议栈上建立自己的软件模块；有的干脆就是独立的一套操作系统。还有一些应用型的防火墙只对特定类型的网络连接提供保护（比如SMTP或者HTTP协议等）。还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙，因为他们的工作方式都是一样的：分析出入防火墙的数据包，决定放行还是把他们扔到一边。

所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头，根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图，两个网段之间隔了一个防火墙，防火墙的一端有台UNIX计算机，另一边的网段则摆了台PC客户机。



当PC客户机向UNIX计算机发起telnet请求时，PC的telnet客户程序就产生一个TCP包并把它传给本地的协议栈准备发送。接下来，协议栈将这个TCP包“塞”到一个IP包里，然后通过PC机的TCP/IP栈所定义的路径将它发送给UNIX计算机。在这个例子里，这个IP包必须经过横在PC和UNIX计算机中的防火墙才能到达UNIX计算机。

现在我们“命令”（用专业术语来说就是配制）防火墙把所有发给UNIX计算机的数据包都给拒了，完成这项工作以后，“心肠”比较好的防火墙还会通知客户程序一声呢！既然发向目标的IP数据没法转发，那么只有和UNIX计算机同在一个网段的用户才能访问UNIX计算机了。



还有一种情况，你可以命令防火墙专给那台可怜的PC机找茬，别人的数据包都让过就它不行。这正是防火墙最基本的功能：根据IP地址做转发判断。但要上了大场面这种小伎俩就玩不转了，由于黑客们可以采用IP地址欺骗技术，伪装成合法地址的计算机就可以穿越信任这个地址的防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是，不要用DNS主机名建立过滤表，对DNS的伪造比IP地址欺骗要容易多了。

服务器TCP/UDP 端口过滤

仅仅依靠地址进行数据过滤在实际运用中是不可行的，还有个原因就是目标主机上往往运行着多种通信服务，比方说，我们不想让用户采用 telnet的方式连到系统，但这绝不等于我们非得同时禁止他们使用SMTP/POP邮件服务器吧？所以说，在地址之外我们还要对服务器的TCP/ UDP端口进行过滤。



比如，默认的telnet服务连接端口号是23。假如我们不许PC客户机建立对UNIX计算机（在这时我们当它是服务器）的telnet连接，那么我们只需命令防火墙检查发送目标是UNIX服务器的数据包，把其中具有23目标端口号的包过滤就行了。这样，我们把IP地址和目标服务器TCP/UDP端口结合起来不就可以作为过滤标准来实现相当可靠的防火墙了吗？不，没这么简单。

客户机也有TCP/UDP端口

TCP/IP是一种端对端协议，每个网络节点都具有唯一的地址。网络节点的应用层也是这样，处于应用层的每个应用程序和服务都具有自己的对应“地址”，也就是端口号。地址和端口都具备了才能建立客户机和服务器的各种应用之间的有效通信联系。比如，telnet服务器在端口23侦听入站连接。同时telnet客户机也有一个端口号，否则客户机的IP栈怎么知道某个数据包是属于哪个应用程序的呢？

由于历史的原因，几乎所有的TCP/IP客户程序都使用大于1023的随机分配端口号。只有UNIX计算机上的root用户才可以访问1024以下的端口，而这些端口还保留为服务器上的服务所用。所以，除非我们让所有具有大于1023端口号的数据包进入网络，否则各种网络连接都没法正常工作。

这对防火墙而言可就麻烦了，如果阻塞入站的全部端口，那么所有的客户机都没法使用网络资源。因为服务器发出响应外部连接请求的入站（就是进入防火墙的意思）数据包都没法经过防火墙的入站过滤。反过来，打开所有高于1023的端口就可行了吗？也不尽然。由于很多服务使用的端口都大于1023，比如X client、基于RPC的NFS服务以及为数众多的非UNIX IP产品等（NetWare/IP）就是这样的。那么让达到1023端口标准的数据包都进入网络的话网络还能说是安全的吗？连这些客户程序都不敢说自己是足够安全的。




双向过滤

OK，咱们换个思路。我们给防火墙这样下命令：已知服务的数据包可以进来，其他的全部挡在防火墙之外。比如，如果你知道用户要访问Web服务器，那就只让具有源端口号80的数据包进入网络：

不过新问题又出现了。首先，你怎么知道你要访问的服务器具有哪些正在运行的端口号呢？ 象HTTP这样的服务器本来就是可以任意配置的，所采用的端口也可以随意配置。如果你这样设置防火墙，你就没法访问哪些没采用标准端口号的的网络站点了！反过来，你也没法保证进入网络的数据包中具有端口号80的就一定来自Web服务器。有些黑客就是利用这一点制作自己的入侵工具，并让其运行在本机的80端口！

检查ACK位

源地址我们不相信，源端口也信不得了，这个不得不与黑客共舞的疯狂世界上还有什么值得我们信任呢？还好，事情还没到走投无路的地步。对策还是有的，不过这个办法只能用于TCP协议。

TCP是一种可靠的通信协议，“可靠”这个词意味着协议具有包括纠错机制在内的一些特殊性质。为了实现其可靠性，每个TCP连接都要先经过一个“握手”过程来交换连接参数。还有，每个发送出去的包在后续的其他包被发送出去之前必须获得一个确认响应。但并不是对每个TCP包都非要采用专门的ACK包来响应，实际上仅仅在TCP包头上设置一个专门的位就可以完成这个功能了。所以，只要产生了响应包就要设置ACK位。连接会话的第一个包不用于确认，所以它就没有设置ACK位，后续会话交换的TCP包就要设置ACK位了。



举个例子，PC向远端的Web服务器发起一个连接，它生成一个没有设置ACK位的连接请求包。当服务器响应该请求时，服务器就发回一个设置了ACK位的数据包，同时在包里标记从客户机所收到的字节数。然后客户机就用自己的响应包再响应该数据包，这个数据包也设置了ACK位并标记了从服务器收到的字节数。通过监视ACK位，我们就可以将进入网络的数据限制在响应包的范围之内。于是，远程系统根本无法发起TCP连接但却能响应收到的数据包了。

这套机制还不能算是无懈可击，简单地举个例子，假设我们有台内部Web服务器，那么端口80就不得不被打开以便外部请求可以进入网络。还有，对UDP包而言就没法监视ACK位了，因为UDP包压根就没有ACK位。还有一些TCP应用程序，比如FTP，连接就必须由这些服务器程序自己发起。

FTP带来的困难

一般的Internet服务对所有的通信都只使用一对端口号，FTP程序在连接期间则使用两对端口号。第一对端口号用于FTP的“命令通道”提供登录和执行命令的通信链路，而另一对端口号则用于FTP的“数据通道”提供客户机和服务器之间的文件传送。

在通常的FTP会话过程中，客户机首先向服务器的端口21（命令通道）发送一个TCP连接请求，然后执行LOGIN、DIR等各种命令。一旦用户请求服务器发送数据，FTP服务器就用其20端口 (数据通道)向客户的数据端口发起连接。问题来了，如果服务器向客户机发起传送数据的连接，那么它就会发送没有设置ACK位的数据包，防火墙则按照刚才的规则拒绝该数据包同时也就意味着数据传送没戏了。通常只有高级的、也就是够聪明的防火墙才能看出客户机刚才告诉服务器的端口，然后才许可对该端口的入站连接。

UDP端口过滤

好了，现在我们回过头来看看怎么解决UDP问题。刚才说了，UDP包没有ACK位所以不能进行ACK位过滤。UDP 是发出去不管的“不可靠”通信，这种类型的服务通常用于广播、路由、多媒体等广播形式的通信任务。NFS、DNS、WINS、NetBIOS-over-TCP/IP和 NetWare/IP都使用UDP。

看来最简单的可行办法就是不允许建立入站UDP连接。防火墙设置为只许转发来自内部接口的UDP包，来自外部接口的UDP包则不转发。现在的问题是，比方说，DNS名称解析请求就使用UDP，如果你提供DNS服务，至少得允许一些内部请求穿越防火墙。还有IRC这样的客户程序也使用UDP，如果要让你的用户使用它，就同样要让他们的UDP包进入网络。我们能做的就是对那些从本地到可信任站点之间的连接进行限制。但是，什么叫可信任！如果黑客采取地址欺骗的方法不又回到老路上去了吗？

有些新型路由器可以通过“记忆”出站UDP包来解决这个问题：如果入站UDP包匹配最近出站UDP包的目标地址和端口号就让它进来。如果在内存中找不到匹配的UDP包就只好拒绝它了！但是，我们如何确信产生数据包的外部主机就是内部客户机希望通信的服务器呢？如果黑客诈称DNS服务器的地址，那么他在理论上当然可以从附着DNS的UDP端口发起攻击。只要你允许DNS查询和反馈包进入网络这个问题就必然存在。办法是采用代理服务器。

所谓代理服务器，顾名思义就是代表你的网络和外界打交道的服务器。代理服务器不允许存在任何网络内外的直接连接。它本身就提供公共和专用的DNS、邮件服务器等多种功能。代理服务器重写数据包而不是简单地将其转发了事。给人的感觉就是网络内部的主机都站在了网络的边缘，但实际上他们都躲在代理的后面，露面的不过是代理这个假面具。

小结

IP地址可能是假的，这是由于IP协议的源路有机制所带来的，这种机制告诉路由器不要为数据包采用正常的路径，而是按照包头内的路径传送数据包。于是黑客就可以使用系统的IP地址获得返回的数据包。有些高级防火墙可以让用户禁止源路由。通常我们的网络都通过一条路径连接ISP，然后再进入Internet。这时禁用源路由就会迫使数据包必须沿着正常的路径返回。

还有，我们需要了解防火墙在拒绝数据包的时候还做了哪些其他工作。比如，防火墙是否向连接发起系统发回了“主机不可到达”的ICMP消息？或者防火墙真没再做其他事？这些问题都可能存在安全隐患。ICMP“主机不可达”消息会告诉黑客“防火墙专门阻塞了某些端口”，黑客立即就可以从这个消息中闻到一点什么气味。如果ICMP“主机不可达”是通信中发生的错误，那么老实的系统可能就真的什么也不发送了。反过来，什么响应都没有却会使发起通信的系统不断地尝试建立连接直到应用程序或者协议栈超时，结果最终用户只能得到一个错误信息。当然这种方式会让黑客无法判断某端口到底是关闭了还是没有使用。


...防火墙分为软件防火墙和硬件防火墙两种。软件防火墙是安装在pc平台的软件产品，它通过在操作系统底层工作来实现网络管理和防御功能的优化。但对国内市场上的硬件防火墙产品介绍仔细研读后，记者发现，对于硬件防火墙的定义，厂商们似乎仍莫衷一是。大多数厂商对产品的介绍，往往用大量的篇幅向消费者灌输产品的防护功能，而关于防火墙的实际配置，则基本没有提及。
查阅国内外大量资料后，发现硬件防火墙一般有着这样的核心要求：它的硬件和软件都需要单独设计，有专用网络芯片来处理数据包；同时，采用专门的操作系统平台，从而避免通用操作系统的安全性漏洞。对软硬件的特殊要求，使硬件防火墙的实际带宽与理论值基本一致，有着高吞吐量、安全与速度兼顾的优点。
而国内市场的硬件防火墙，大部分都是所谓的“软硬件结合的防火墙”，采用的是定制机箱+x86硬件架构+防火墙软件模块(大多数是基于unix类系统下开发的)，而且是pc box结构。这种防火墙的核心技术实际上仍然是软件，吞吐量不高，容易造成带宽瓶颈。并且pc架构本身就不稳定，更不可能长时间运行。这种防火墙一般只能满足中低带宽的安全要求，在高流量环境下往往会造成网络堵塞甚至系统崩溃。
既然这些防火墙产品并非真正意义上的硬件防火墙，厂商们为什么要在宣传中一再强化“硬件防火墙”的概念呢？
国内一些专家，他们指出，随着宽带网络的迅速发展，软件防火墙在大数据流量面前显得力不从心。当企业选购防火墙时，自然就把目光锁定在新兴的硬件防火墙上。而随着硬件防火墙市场的风生水起，国内外厂商采用了截然不同的做法。
国外著名厂商一般采用将软件运算硬件化的做法，同时采用专门设计的网络芯片。而国内厂商为了节约成本，往往采用通用pc架构或工业pc架构部分，在提高硬件性能方面所做的工作，仅仅是提升系统cpu的处理能力，增大内存容量而已。
在软件性能方面，国外厂商一般采用专用的操作系统，自行设计防火墙。而国内厂商一般采用unix类操作系统+防火墙软件，各厂家的区别仅仅是对操作系统本身和防火墙部分做的改动不同。
这样，国内部分厂商生产的“硬件防火墙”就与国际上通行的“硬件防火墙”在速度、安全性能方面存在着很大的差别，但二者在市场上的售价基本却相同。因为打上了“硬件防火墙”的标志，售价就直逼国外著名品牌的硬件防火墙。
国内防火墙产品巨大价格落差的背后，自然是巨大的利润，因此它们往往会以低于报价很多的价格卖给用户。在实际的交易过程中，同样的产品价格差异很大，浮动幅度往往在50～80%之间。记者暗访过程中，听到最多的是这句话：“我们是有表示的。”惊人的价格差让厂商、销售商和采购人员得以“利益均沾”，心照不宣地维护着这个市场规则。
随着互联网的高速发展，人类的工作、生活已经越来越依赖网络。攻击网络的手段层出不穷，网络安全的重要性日益凸显出来。据统计，2002年，我国网络安全产品的市场销售额达到了5.22亿元，其中防火墙是最主要的安全产品，销售额达到了2.03亿元，占整个市场的38.9%。
如此巨额的投入，自然是希望能够营造出安全的网络环境。但如果我们选择的防火墙产品，已经不能适应网络要求，依靠它来捍卫网络的安全，恐怕只能是自欺欺人。我们企盼，有一面坚固的盾牌来保护我们可贵的网络资源，也希望安全设备厂商们能够潜心制造，早日使真正的硬件防火墙走进中国用户的生活。
]]> http://www.sokox.com/blog/article/net/71.htm sevengo@163.com(小骇) Tue,20 Jan 2009 17:28:53 +0800 http://www.sokox.com/blog/default.asp?id=71 1、关闭7.9等等端口：关闭Simple TCP/IP Service,支持以下 TCP/IP 服务：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。
2、关闭80口：关掉WWW服务。在“服务”中显示名称为"World Wide Web Publishing Service"，通过 Internet 信息服务的管理单元提供 Web 连接和管理。
3、关掉25端口：关闭Simple Mail Transport Protocol (SMTP)服务，它提供的功能是跨网传送电子邮件。
4、关掉21端口：关闭FTP Publishing Service,它提供的服务是通过 Internet 信息服务的管理单元提供 FTP 连接和管理。
5、关掉23端口：关闭Telnet服务，它允许远程用户登录到系统并且使用命令行运行控制台程序。
6、还有一个很重要的就是关闭server服务，此服务提供 RPC 支持、文件、打印以及命名管道共享。关掉它就关掉了win2k的默认共享，比如ipc$、c$、admin$等等，此服务关闭不影响您的共他操作。
7、还有一个就是139端口，139端口是NetBIOS　Session端口，用来文件和打印共享，注意的是运行samba的unix机器也开放了139端口，功能一样。以前流光2000用来判断对方主机类型不太准确，估计就是139端口开放既认为是NT机，现在好了。
    关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。
    对于个人用户来说，可以在各项服务属性设置中设为“禁用”，以免下次重启服务也重新启动，端口也开放了。
]]> http://www.sokox.com/blog/article/net/36.htm sevengo@163.com(小骇) Mon,19 Jan 2009 15:29:58 +0800 http://www.sokox.com/blog/default.asp?id=36
]]>