来源
www.pcdog.commmkey.com
“黑客会打上我的主意吗?”这么想就对了,黑客就想钻鸡蛋缝的苍蝇一样,看到一丝从系统漏洞发出的光亮就会蠢蠢欲动!好,如何保护你的网络呢?计算机的高手们也许一张嘴就提议你安装网络的防火墙,那么第一个问题就来了:到底什么是防火墙呢?
什么是防火墙?
防火墙就是一种过滤塞(目前你这么理解不算错),你可以让你喜欢的东西通过这个塞子,别的玩意都统统过滤掉。在网络的世界里,要由防火墙过滤的就是承载通信数据的通信包。
天下的防火墙至少都会说两个词:Yes或者No。直接说就是接受或者拒绝。最简单的防火墙是以太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样:有的取代系统上已经装备的TCP/IP协议栈;有的在已有的协议栈上建立自己的软件模块;有的干脆就是独立的一套操作系统。还有一些应用型的防火墙只对特定类型的网络连接提供保护(比如SMTP或者HTTP协议等)。还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙,因为他们的工作方式都是一样的:分析出入防火墙的数据包,决定放行还是把他们扔到一边。
所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头,根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图,两个网段之间隔了一个防火墙,防火墙的一端有台UNIX计算机,另一边的网段则摆了台PC客户机。
当PC客户机向UNIX计算机发起telnet请求时,PC的telnet客户程序就产生一个TCP包并把它传给本地的协议栈准备发送。接下来,协议栈将这个TCP包“塞”到一个IP包里,然后通过PC机的TCP/IP栈所定义的路径将它发送给UNIX计算机。在这个例子里,这个IP包必须经过横在PC和UNIX计算机中的防火墙才能到达UNIX计算机。
现在我们“命令”(用专业术语来说就是配制)防火墙把所有发给UNIX计算机的数据包都给拒了,完成这项工作以后,“心肠”比较好的防火墙还会通知客户程序一声呢!既然发向目标的IP数据没法转发,那么只有和UNIX计算机同在一个网段的用户才能访问UNIX计算机了。
还有一种情况,你可以命令防火墙专给那台可怜的PC机找茬,别人的数据包都让过就它不行。这正是防火墙最基本的功能:根据IP地址做转发判断。但要上了大场面这种小伎俩就玩不转了,由于黑客们可以采用IP地址欺骗技术,伪装成合法地址的计算机就可以穿越信任这个地址的防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是,不要用DNS主机名建立过滤表,对DNS的伪造比IP地址欺骗要容易多了。
服务器TCP/UDP 端口过滤
仅仅依靠地址进行数据过滤在实际运用中是不可行的,还有个原因就是目标主机上往往运行着多种通信服务,比方说,我们不想让用户采用 telnet的方式连到系统,但这绝不等于我们非得同时禁止他们使用SMTP/POP邮件服务器吧?所以说,在地址之外我们还要对服务器的TCP/ UDP端口进行过滤。
比如,默认的telnet服务连接端口号是23。假如我们不许PC客户机建立对UNIX计算机(在这时我们当它是服务器)的telnet连接,那么我们只需命令防火墙检查发送目标是UNIX服务器的数据包,把其中具有23目标端口号的包过滤就行了。这样,我们把IP地址和目标服务器TCP/UDP端口结合起来不就可以作为过滤标准来实现相当可靠的防火墙了吗?不,没这么简单。
客户机也有TCP/UDP端口
TCP/IP是一种端对端协议,每个网络节点都具有唯一的地址。网络节点的应用层也是这样,处于应用层的每个应用程序和服务都具有自己的对应“地址”,也就是端口号。地址和端口都具备了才能建立客户机和服务器的各种应用之间的有效通信联系。比如,telnet服务器在端口23侦听入站连接。同时telnet客户机也有一个端口号,否则客户机的IP栈怎么知道某个数据包是属于哪个应用程序的呢?
由于历史的原因,几乎所有的TCP/IP客户程序都使用大于1023的随机分配端口号。只有UNIX计算机上的root用户才可以访问1024以下的端口,而这些端口还保留为服务器上的服务所用。所以,除非我们让所有具有大于1023端口号的数据包进入网络,否则各种网络连接都没法正常工作。
这对防火墙而言可就麻烦了,如果阻塞入站的全部端口,那么所有的客户机都没法使用网络资源。因为服务器发出响应外部连接请求的入站(就是进入防火墙的意思)数据包都没法经过防火墙的入站过滤。反过来,打开所有高于1023的端口就可行了吗?也不尽然。由于很多服务使用的端口都大于1023,比如X client、基于RPC的NFS服务以及为数众多的非UNIX IP产品等(NetWare/IP)就是这样的。那么让达到1023端口标准的数据包都进入网络的话网络还能说是安全的吗?连这些客户程序都不敢说自己是足够安全的。
双向过滤
OK,咱们换个思路。我们给防火墙这样下命令:已知服务的数据包可以进来,其他的全部挡在防火墙之外。比如,如果你知道用户要访问Web服务器,那就只让具有源端口号80的数据包进入网络:
不过新问题又出现了。首先,你怎么知道你要访问的服务器具有哪些正在运行的端口号呢? 象HTTP这样的服务器本来就是可以任意配置的,所采用的端口也可以随意配置。如果你这样设置防火墙,你就没法访问哪些没采用标准端口号的的网络站点了!反过来,你也没法保证进入网络的数据包中具有端口号80的就一定来自Web服务器。有些黑客就是利用这一点制作自己的入侵工具,并让其运行在本机的80端口!
检查ACK位
源地址我们不相信,源端口也信不得了,这个不得不与黑客共舞的疯狂世界上还有什么值得我们信任呢?还好,事情还没到走投无路的地步。对策还是有的,不过这个办法只能用于TCP协议。
TCP是一种可靠的通信协议,“可靠”这个词意味着协议具有包括纠错机制在内的一些特殊性质。为了实现其可靠性,每个TCP连接都要先经过一个“握手”过程来交换连接参数。还有,每个发送出去的包在后续的其他包被发送出去之前必须获得一个确认响应。但并不是对每个TCP包都非要采用专门的ACK包来响应,实际上仅仅在TCP包头上设置一个专门的位就可以完成这个功能了。所以,只要产生了响应包就要设置ACK位。连接会话的第一个包不用于确认,所以它就没有设置ACK位,后续会话交换的TCP包就要设置ACK位了。
举个例子,PC向远端的Web服务器发起一个连接,它生成一个没有设置ACK位的连接请求包。当服务器响应该请求时,服务器就发回一个设置了ACK位的数据包,同时在包里标记从客户机所收到的字节数。然后客户机就用自己的响应包再响应该数据包,这个数据包也设置了ACK位并标记了从服务器收到的字节数。通过监视ACK位,我们就可以将进入网络的数据限制在响应包的范围之内。于是,远程系统根本无法发起TCP连接但却能响应收到的数据包了。
这套机制还不能算是无懈可击,简单地举个例子,假设我们有台内部Web服务器,那么端口80就不得不被打开以便外部请求可以进入网络。还有,对UDP包而言就没法监视ACK位了,因为UDP包压根就没有ACK位。还有一些TCP应用程序,比如FTP,连接就必须由这些服务器程序自己发起。
FTP带来的困难
一般的Internet服务对所有的通信都只使用一对端口号,FTP程序在连接期间则使用两对端口号。第一对端口号用于FTP的“命令通道”提供登录和执行命令的通信链路,而另一对端口号则用于FTP的“数据通道”提供客户机和服务器之间的文件传送。
在通常的FTP会话过程中,客户机首先向服务器的端口21(命令通道)发送一个TCP连接请求,然后执行LOGIN、DIR等各种命令。一旦用户请求服务器发送数据,FTP服务器就用其20端口 (数据通道)向客户的数据端口发起连接。问题来了,如果服务器向客户机发起传送数据的连接,那么它就会发送没有设置ACK位的数据包,防火墙则按照刚才的规则拒绝该数据包同时也就意味着数据传送没戏了。通常只有高级的、也就是够聪明的防火墙才能看出客户机刚才告诉服务器的端口,然后才许可对该端口的入站连接。
UDP端口过滤
好了,现在我们回过头来看看怎么解决UDP问题。刚才说了,UDP包没有ACK位所以不能进行ACK位过滤。UDP 是发出去不管的“不可靠”通信,这种类型的服务通常用于广播、路由、多媒体等广播形式的通信任务。NFS、DNS、WINS、NetBIOS-over-TCP/IP和 NetWare/IP都使用UDP。
看来最简单的可行办法就是不允许建立入站UDP连接。防火墙设置为只许转发来自内部接口的UDP包,来自外部接口的UDP包则不转发。现在的问题是,比方说,DNS名称解析请求就使用UDP,如果你提供DNS服务,至少得允许一些内部请求穿越防火墙。还有IRC这样的客户程序也使用UDP,如果要让你的用户使用它,就同样要让他们的UDP包进入网络。我们能做的就是对那些从本地到可信任站点之间的连接进行限制。但是,什么叫可信任!如果黑客采取地址欺骗的方法不又回到老路上去了吗?
有些新型路由器可以通过“记忆”出站UDP包来解决这个问题:如果入站UDP包匹配最近出站UDP包的目标地址和端口号就让它进来。如果在内存中找不到匹配的UDP包就只好拒绝它了!但是,我们如何确信产生数据包的外部主机就是内部客户机希望通信的服务器呢?如果黑客诈称DNS服务器的地址,那么他在理论上当然可以从附着DNS的UDP端口发起攻击。只要你允许DNS查询和反馈包进入网络这个问题就必然存在。办法是采用代理服务器。
所谓代理服务器,顾名思义就是代表你的网络和外界打交道的服务器。代理服务器不允许存在任何网络内外的直接连接。它本身就提供公共和专用的DNS、邮件服务器等多种功能。代理服务器重写数据包而不是简单地将其转发了事。给人的感觉就是网络内部的主机都站在了网络的边缘,但实际上他们都躲在代理的后面,露面的不过是代理这个假面具。
小结
IP地址可能是假的,这是由于IP协议的源路有机制所带来的,这种机制告诉路由器不要为数据包采用正常的路径,而是按照包头内的路径传送数据包。于是黑客就可以使用系统的IP地址获得返回的数据包。有些高级防火墙可以让用户禁止源路由。通常我们的网络都通过一条路径连接ISP,然后再进入Internet。这时禁用源路由就会迫使数据包必须沿着正常的路径返回。
还有,我们需要了解防火墙在拒绝数据包的时候还做了哪些其他工作。比如,防火墙是否向连接发起系统发回了“主机不可到达”的ICMP消息?或者防火墙真没再做其他事?这些问题都可能存在安全隐患。ICMP“主机不可达”消息会告诉黑客“防火墙专门阻塞了某些端口”,黑客立即就可以从这个消息中闻到一点什么气味。如果ICMP“主机不可达”是通信中发生的错误,那么老实的系统可能就真的什么也不发送了。反过来,什么响应都没有却会使发起通信的系统不断地尝试建立连接直到应用程序或者协议栈超时,结果最终用户只能得到一个错误信息。当然这种方式会让黑客无法判断某端口到底是关闭了还是没有使用。
深入防火墙原理
本文将向你解释你在防火墙的记录(Log)中看到了什么?尤其是那些端口是什么意思?你将能利用这些信息做出判断:我是否受到了Hacker的攻击?他/她到底想要干什么?本文既适用于维护企业级防火墙的安全专家,又适用于使用个人防火墙的家庭用户。
*译者:现在个人防火墙开始流行起来,很多网友一旦看到报警就以为受到某种攻击,其实大多数情况并非如此。
解读防火墙记录(一)
这篇文章里面主要介绍了目标端口xxx的含义?所有穿过防火墙的通讯都是连接的一个部分。一个连接包含一对相互“交谈”的IP地址以及一对与IP地址对应的端口。目标端口通常意味着正被连接的某种服务。当防火墙阻挡(block)某个连接时,它会将目标端口“记录在案”(logfile)。这节将描述这些端口的意义。
端口可分为3大类:
1) 公认端口(Well Known Ports):从0到1023,它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如:80端口实际上总是HTTP通讯。
2) 注册端口(Registered Ports):从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统处理动态端口从1024左右开始。
3) 动态和/或私有端口(Dynamic and/or Private Ports):从49152到65535。理论上,不应为服务分配这些端口。实际上,机器通常从1024起分配动态端口。但也有例外:SUN的RPC端口从32768开始。更多的内容请点击
解读防火墙记录(二)
这篇文章依然是讲解端口,偏重于端口作用!的许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针对Sun系统中Sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到你的机器上的这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问题。更多的内容请点击
解读防火墙记录(三)
这篇文章讲解扫描端口的一系列行为。作者发现一种对于同一系列端口的扫描来自于Internet上变化很大的源地址这通常是由于“诱骗”扫描(decoy scan),如nmap。其中一个是攻击者,其它的则不是。利用防火墙规则和协议分析我们可以追踪他们是谁?例如:如果你ping每个系统,你就可以将获得的TTL与那些连接企图相匹配。这样你至少可以哪一个是“诱骗”扫描(TTL应该匹配,如果不匹配则他们是被“诱骗”了)。不过,新版本的扫描器会将攻击者自身的TTL随机化,这样要找出他们回更困难。你可以进一步研究你的防火墙记录,寻找在同一子网中被诱骗的地址(人)。你通常会发现攻击者刚刚试图对你连接,而被诱骗者不会。更多的内容请点击
解读防火墙记录(四)
这篇文章可以让大家了解一些防火墙的常用功能。最流行的聊天方式之一是IRC。这种聊天程序的特点之一就是它能告诉你正在和你聊天的人的IP地址。聊天室的问题之一是:人们匿名登陆并四处闲逛,往往会遭遇跑题的评论、粗鲁的话语、被打断谈话、被服务器“冲洗”或被其它客户踢下线。因此,服务器端和客户端都默认禁止在聊天室内使用匿名登陆。特别需要指出的是,当有人进入聊天室时要检查他们是否通过其它代理服务器连接。最常见的这种扫描是SOCKS。假设你来的那个地方支持SOCKS,那么你完全有可能有一台完全独立的机器,你试图通过明处的代理服务器隐藏你在暗处的真实身份。更多的内容请点击
解读防火墙记录(五)
这篇文章更加深刻的向大家解释防火墙。TCP和UDP能承载数据,但ICMP仅包含控制信息。因此,ICMP信息不能真正用于入侵其它机器。Hacker们使用ICMP通常是为了扫描网络,发动DoS攻击,重定向网络交通。(这个观点似乎不正确,可参考shotgun关于木马的文章,译者注)一些防火墙将ICMP类型错误标记成端口。要记住,ICMP不象TCP或UDP有端口,但它确实含有两个域:类型(type)和代码(code)。而且这些域的作用和端口也完全不同,也许正因为有两个域所以防火墙常错误地标记了他们。更多关于ICMP的知识请参考Infosec Lexicon entry on ICMP。更多的内容请点击
论坛群发软件,有效对抗关键字过滤
sxl
v 1-1..《168BBS一路发》软件简介
1-2..《168BBS一路发》3.x新增功能
2....软件安装
3....使用方法
4....用户注册
5....常见问题
--------------
1....《168BBS一路发》简介
打造网络品牌需要多少时间和金钱?
一年?两年?三年?
十万?一百万?一千万?
不用这么久,也不需要这么多金钱。
字王利用自主开发的《168BBS一路发》网络营销软件,仅用三个月时间,零成本的广告投入,就将尚未未正式发布的《中华大字库》打造成为网络字库的领先品牌,详情请浏览:《百度字库人气调查报告》--字王成为最大黑马。
----------------------------
《168BBS一路发》是字王科技汇集国内著名营销专家、网络学者,根据国内企业实际情况推出的一种全新的商务营销模式,具有"成本低、启动快、效果显著、可操作性强"的特点,实战效果可以媲美数千美金的国外同类专业软件,特别适用于中小企业、快速成长型企业、商务网站和SOHO自由职业人士、个体创业团队。
随着近年来国内经济发展,广告营销费用也水涨船高,普通的一个专栏广告,都要两三千元,令广大中小企业苦不堪言。
《168BBS一路发》采用超低价格启动市场,促销冰点价仅售1500元/套,只需一次普通广告的费用,就可以拥有超强的专业营销软件,随时随地,向国内数千万的高收入阶层免费发送宣传广告。
《168BBS一路发》核心开发团队具有丰富的网络营销经验,早在97年就推出了全球第一部中文网络营销专著:《网路商战》(台湾捷幼出版社出版,大陆版名为《网络商战》)。
《168BBS一路发》的推出,标志着中国网络营销正式进入“168一路发时代。”
----------------------------
由于《168BBS一路发》及论坛数据库更新比较快,请用户注意访问字王网站:http://www.ziwang.commmkey.com,下载最新版本。
----------------------------
1-2..《168BBS一路发》3.x新增功能
为提高发送效率,《168BBS一路发》3.0重写了软件底层代码,采用“极限编程”技术,直接调用网络端口发送数据,使发贴速度提高了数十倍。
新增功能:
::单机最高发贴速度,可达到令人恐怖的:2-5万个论坛/小时。
::发贴间隔时间精确到0.05秒。
::增加发贴查证功能。
::首次采用“变频”发送技术,可提高发送效率20-30%。
::优化内存管理模块,运行更加稳定。
::“发送记录”增加调试参数,便于售后服务和技术支持。
::增加多文本发送模块,一次可设定十篇发送。
::优化验证码破解模块,准确率提高50%。
::重新时间发送流程控制,发送效率提高20-30%。
----------------------------
:: 全球首套“P2P架构”论坛群发软件。
:: “网络推广”第一品牌,被誉为“史上最强之论坛群发软件”。
:: 100万超大规模海量数据库,论坛日浏览总量超过五千万人次
:: 高效“克隆”运行模式,专业版每小时可发布2-5万个论坛。
:: 首创DSD(DoubleSendData)“复式数据发送”技术,全自动运行,无需人工干涉。
:: 内置式OCR解码模块,可破解论坛“验证码”。
:: 智能扰码系统,有效对抗“关键字”过虑。
:: 实时动态监控目标网站,发贴效果一目了然。
:: 高效目标数据库,发送成功率高达80%。
:: 惊人实效,已获百度网站验证,参见:《百度字库人气调查报告》[阅读全文]
--------------
2....软件安装
《168BBS一路发》是绿色软件,无需安装,解压后直接点击解压目录下的168BBS.exe文件即可运行。
--------------
3....使用方法
《168BBS一路发》是高度智能化的电子商务软件,专门针对广大非电脑专业人员进行了界面优化处理。
使用方法如下:
1,运行软件
点击解压目录下的168BBS.exe文件运行《168BBS一路发》软件。
2,修改广告文本
从v3.5版本开始,支持多文本发送方式,每次可设置十篇不同的广告文本,系统随机选择自动发送。
◎ 文本保存在"sys"目录下,标准文本格式。
◎ 文件名分别为“msg00.txt”至“msg09.txt”,请用文本编辑软件编辑。
◎ 第一行为标题行, 请不要超过40个汉字。
◎ 在发贴过程当中,如需修改文本,请用编辑软件编辑后,点击“BBS”面板的“◎”按钮,系统会自动更新发送文本。
3,调整发贴速度
点击“发贴间隔时间”调解按钮,调整发贴间隔时间(1/1000秒)。
::默认参数为1000(=1秒),每小时可发送约3600个论坛。
::最小参数为50(=0.05秒),每小时可发送约7万个论坛(需硬件、网络支持)。
4,开始发贴
点击“发贴”按钮,系统即可自动发贴。
5,查证发贴效果
成功发贴后,单击“BBS”面板,在中部“发贴记录”右侧,会出现一个蓝色的动态链接,点击即可浏览相关论坛,查看发贴效果。
::为提高发贴效果,《168BBS一路发》软件采用了特殊的群发编程模式,一般在开始发贴后30-60分钟才可看到链接条,浏览相关论坛进行查证
::个别论坛由于系统维护、人工审核,或版主删贴,可能无法查证。
::对于有“置顶”设置的论坛或热门论坛,贴文可能会滚动到论坛中、后部位置,请仔细浏览。
6,使用“网站过滤”功能
部分论坛可能会抵制群发软件,甚至使用一些过激的手段针对发布者。
在v3.6版本当中,系统增加了“网站过滤”功能,让用户可以自行屏蔽这些论坛,以免引起不必要的纠纷。
◎ 过滤网站名单在"sys"目录下,标准文本格式。
◎ 文件名为“sys\\filter.txt”,请用文本编辑软件编辑。
◎ 每一行为一个网站,只要域名就可以了。
例如要屏蔽字王网站:http://www.ziwang.com mmkey.com;
请在“sys\\filter.txt”文件当中添加www.ziwang.commmkey.com”
或者添加“ziwang.com”即可
--------------
4....用户注册
1,点击选择软件窗口上端的“注册”页面,得到电脑的机器码。用邮件或短信方式与销售商联系,告知机器码。
2,填入收到注册码。
3,点击“注册”按钮
--------------
5....常见问题
※ 如何提高发送速度?
◎ 增加内存,采用较快的CPU,增加网络连接带宽,发贴速度与网络速度密切相关。
以下“参数”代表“发贴间隔时间”(1/1000秒)。
::256M内存+P4平台+512K带宽,推荐参数:1000(=1秒),每小时可发送约3600个论坛。
::512M内存+P4平台+1M带宽,推荐参数:500(=0.5秒),每小时可发送约7200个论坛。
::1024M内存+P4平台+8M带宽,推荐参数:200(=0.2秒),每小时可发送约1万8千论坛。
::1024M内存以上+P4多cpu平台+8M以上带宽,推荐参数:100(=0.1秒),每小时可发送约3万6千论坛。
◎ 为提高发送准确率,系统采用DSD(DoubleSendData)“复式数据发送”技术,每个论坛会发送3-5遍,因此实际发贴速度是以上速度的1/3-1/5。
实际发送速度请根据具体硬件情况进行调整。
※ “智能扰码”开关有什么作用?
◎ ::由于部分论坛采用了关键词过虑,打开“智能扰码”开关,软件会自动在广告文本当中添加随机不可见代码,提高发贴成功率。
::系统默认设定“智能扰码”开关为“关闭”。
::一般情况下,最好不要使用“智能扰码”功能,因为有可能降低文本的可阅读性,建议在经常发送同一内容的广告文本时,经过3-5轮循环发送后再使用。
※ 如何使用代理服务器?
◎ 由于《168BBS一路发》采用了特殊的集群发送模式,配合adsl动态IP,一般无需使用代理服务器,即可对抗论坛的“封杀IP”技术。
※ 如何检查发贴效果?
◎ 由于论坛数据库地址是论坛群发软件的核心商业机密,《168BBS一路发》是目前唯一超过十万论坛数据库的群发软件,因此,系统未提供“log”发送记录文件,用户可以采用以下方法检查发贴效果。
成功发贴后,单击“BBS”面板,在中部“发贴记录”右侧,会出现一个蓝色的动态链接,点击即可浏览相关论坛,查看发贴效果。
::为提高发贴效果,《168BBS一路发》软件采用了特殊的编程模式,一般在开始发贴后30-60分钟才可看到链接条,浏览相关论坛进行查证。
::个别论坛由于采用人工审核,或版主删贴,可能无法查证。
::对于有“置顶”设置的论坛或热门论坛,贴文可能会滚动到论坛中、后部位置,请仔细浏览。
◎::广告内容、标题要有吸引力,要提供企业的网站地址,方便用户访问。
::论坛广告类似于报刊的分类广告,有一个时间循环周期,一般每个主题连续发贴2-3轮(每轮5-10天)后,即可获得较好的反馈效果。
::网站内容设置需配合广告文本,进行调整。
我们现在特价销售原价1500现在只需要30元就可以拥有完美破解版绝对和原版一模一样
网址: qunfa2008.home4u.china.com QQ: 562387975 afxyc
