atobe
2003-10-02, 07:17 PM
天網是大家常用的防火棖n件,有許多人撰文提議安裝天網,一時間天網防火晹角F菜鳥、高手必備工具。這樣做當然好,至少說明了大家的網絡安全意識提高了許多。但萬事都有個“度”,超過這個“度”就不好了。現在有許多人對天網的迷信達到了痴迷的程度,認為安裝了天網就高枕無憂了,他們在上網時只是打開天網,至於天網運行得怎麼樣就不管了。其實,就在此時你危險了!
一、堡壘往往是從內部被攻破的
堡壘往往是從內部被攻破的,這話一點都不假。遠在古希臘時代,堅固的城晲S有保護住特洛伊人的家園,被一個小小的木馬所攻破,在今天這個道理依然應驗。
1.用黑毒剋星或noskynet
目前的天網防火晱i謂樹大招風,天網也逐漸成為了黑客們攻擊的主要對象!針對它的黑客工具也層出不窮,黑毒剋星和noskynet就是其中之一。這兩個軟件共同的特點之一就是小巧隱蔽,另一個特點就是它們將天網破壞殆盡後,居然還能讓天網防火晹b任務欄正常顯示圖標!具有極大的危害性和欺騙性。
雖然黑毒剋星和noskynet必須被運行它們才有機會破壞天網防火晼A但百密難免一疏,對於僅幾k大小的黑毒剋星、noskynet,真的很難保證不會中招(黑客們當然不會那麼傻,他們會把黑毒剋星、noskynet改名,如改為系統優化或微軟補丁之類的名稱,這樣如果你運行了這些“優化補丁”,你的天網就完了!),對付它們只能自己小心了。
2.用黑洞2001
黑洞2001是個木馬程序,具有出色的多進程監控功能。隨著大家安全意識的不斷提高,大多數人都安裝了網絡防火晼A木馬們的生存空間越來越小,為生存計,木馬開發者想出了一個辦法,他讓木馬服務端定時刷新進程,如果發現其中的進程名稱與其事先定義好的相符合,就將這個進程關閉,如果這個被關閉的進程恰巧就是防火晼A那你的網絡大門就完全敞開了,監控端就可為所欲為了。
事實上這個功能就是針對防火晱X現的,一切堡壘都是從內部被攻破的在此得到了充分的體現。其實在黑洞2000中就有了這樣的功能,只不過黑洞2000隻能關閉天網防火晼A對其它防火晲S有任何作用。黑洞2001則可以定義長達99個英文字符號,完全可以將您可能會用到的防火棖ㄘw義到其中,從而可將這些防火晱部關閉!
對於黑洞2001的多進程監控功能,讓我們作一個小測試。首先,在客戶端作配置。點擊“修改遠程服務器端設置”按鈕,再點擊其中的“智能監控”標籤。
在“進程監控”欄中添入“晼A毒,lock”,選中“使用進程監控”,然後點擊“修改配置”保存設置。在服務端運行天網防火晼B金山毒霸、lockdown、pc-cillin等軟件,一分鐘後這些軟件被自動關閉!由上可以看出如果你中了黑洞2001,那麼你的防火棷N全成了聾子的耳朵——擺設!
3.利用“反彈端口”型木馬
國內第一個“反彈端口”型木馬“網絡神偷”就可以突破天網防線,使天網失效。“正常”木馬是由客戶端主動連接服務端的,通俗的說就是下木馬方要主動連接中木馬的機子,這樣很容易讓防火棫o現;而反彈端口型木馬與一般的木馬相反,反彈端口型木馬的服務端(被控制端)使用主動端口,客戶端(控制端)使用被動端口,當要建立連接時,由客戶端通過 ftp 主頁空間告訴服務端:“現在開始連接我吧!”,並進入監聽狀態,服務端收到通知後,就會開始連接客戶端。為了隱蔽起見,客戶端的監聽端口一般開在80,這樣,即使用戶使用端口掃描軟件檢查自己的端口,發現的也是類似“tcp 服務端的ip地址:1026 客戶端的ip地址:80 established”的情況,稍微疏忽一點你就會以為是自己在瀏覽網頁。(防火暀]會這麼認為的,我想大概沒有哪個防火棶|不給用戶向外連接80端口吧)。因此這類木馬可以突破幾乎所有的防火晼]包括代理防火暀庣L濾型防火晼^!
在我用“網絡神偷”試驗過程中,在天網設置成默認規則的情況下,服務端連接成功並進行文件訪問,服務端主機上的天網毫無反應!天網就這樣被突破了!“反彈端口”型木馬由於是由服務端主動連接客戶端的,所以天網規則裡的“禁止所有人連接”對它是一點用也沒有,只要“允許ftp的數據通道”開啟和“tcp數據包監視”關閉(默認設置正是這樣),天網就不會有任何反應的,這可比黑洞等木馬一上來就關閉天網要危險多了!
注:由於網絡神偷使用了vxd技術,因此該軟件無法在windows2000/nt下使用,非windows2000/nt下的朋友就要小心它了!
二、強攻也可突破天網的保護
其實,只要能夠加以注意,或不是那麼“菜”的話,那麼上面所說的從內部攻破的方法就會失效(可惜許多人就是不夠小心),此時就只有強攻這一條路了。雖然天網對各類ip炸彈的攻擊保護等不錯,但仍有空子可鑽,有四種方法攻破它,請看:
1.使裝天網的系統死機的簡單方法
推薦工具:portscan和igmp nuke
(1)得到對方的ip
要查對方ip最簡單的方法是打開網絡防火晼A如天網,然後點擊“安全規則設置”,在彈出的對話框中把“udp數據包監視”前面的多選框內打上“√”,然後保存設置。現在,在qq中給那個人發個消息,再來點擊天網中的“*志”按鈕,從中你就會發現對方的ip。有了ip,他想跑可就難了,哈哈。
(2)開始攻擊
打開兩個或兩個以上portscan,在“scan:”欄中填入對方的ip,在“send port:”欄中填入1,在“stop port:”欄中填入65536,這樣就配置完畢,可以攻擊了!現在按“start”按鈕,然後你就可以忙你的別的事吧!掃描的事教給portscan就可以了。
(3)攻擊原理
天網防火晹陪茞葴D,它對任何外來的不明數據包都會攔截,當一個時間段內有大量的 “各種不同類型的”數據包涌過來,天網會對之進行一一攔截,還要分析和解析這是什麼數據包,一秒鐘要解析幾十次以上,由於數據包太多,會造成系統的資源逐漸耗掉,對方機子上的應用程序會越來越慢,最終……呵呵!由於portscan占用系統資源不多,因此本機的速度不會變慢多少
4)攻擊深入
如果該用戶發現是由於天網的過多攔截才造成死機,那他就會關閉天網。此時igmp nuke就會發揮作用了:你可以每隔一段時間就對著目標ip運行一下igmp nuke,用默認設置就可以。結果,沒有了天網的對方當然是藍屏啦!真是有天網也煩,沒天網也煩呀!
(5)攻擊時自身防範
本方法有一個缺點,就是對方能知道你的ip(天網中會記錄下來的),因此你最好能使用代理服務器免得暴露自己。
2.利用天網小bug
天網有個小bug(也許不能算作bug),它只能記錄6萬多條攻擊記錄。那如果有多出來的的記錄會怎麼樣呢?這正是攻擊者經常利用的一點。攻擊者使用icmp或igmp包進行攻擊,當攻擊6萬多次以後,天網就會不斷彈出錯誤對話框,直到耗盡內存而當機!儘管手段不夠漂亮,但的確使裝有天網的主機死機了!簡單實用就是這個方法的最大特點!
3.不斷發送二進制的0字節流到
不停地發送二進制的0字節流到裝有天網主機的特定端口(用tcp或udp都可以),使裝天網的主機當機。簡單的測試方法如下:在linux中通過netcat輸入/dev/zero內容,命令如下:
tcp的測試命令為: nc 目標主機 端口 < /dev/zero
舉例:nc 127.0.0.1 7 < /dev/zero 其中“127.0.0.1”為裝有天網主機的ip,“7”為目標主機端口。
udp的測試命令為:nc -u 目標主機 端口 < /dev/zero
舉例:nc -u 127.0.0.1 53 < /dev/zero 其中“127.0.0.1”為裝有天網主機的ip,“53”為目標主機端口。
tcp ports:7 9 21 23 7778等都是tcp端口。
udp ports:53 67 68 135 137 500 1812 1813 2535 3456等都是udp端口。
在本文即將撰稿完畢之際,天網又推出了新的測試版本,新增了一個非常好的功能:天網防火椇W加了對應用程序數據包進行底層分析攔截功能
它可以控制應用程序發送和接收數據包的類型、通訊端口,並且決定攔截還是通過,這是目前其以前版本所不具有的功能。如果能很好的利用該功能,可以有效防止利用“反彈端口”型木馬如“網絡神偷”等程序悄悄連接客戶端,但遺憾的是許多人嫌該功能太煩人(不管哪個程序啟動運行,天網都會向您詢問是否運行),因此將某些程序設置為“始終允許”,此時就給木馬程序提供了機會——木馬也可能被您設置為“始終允許”!就這樣天網精心構築的防線被您輕易的打開了!從這個角度上來說,世上只有愚蠢的人,而沒有愚蠢的防火晼I
解決辦法
1.不要到小站點下載軟件,更不要運行“好心”的大蝦提供的補丁之類的軟件,當心被別有用心的人利用!如此一來,可以防止木馬及黑毒剋星、noskynet之類的軟件被運行。
2.保持警惕性,對不熟悉的人發來的e-mail不要輕易打開,帶有附件就更要小心了。另外算就是熟人發來的e-mail,對其中的附件也要小心,您的朋友也許會無意中害了您(他的電腦被感染了木馬,但他有可能自己並不知道)。
3.安裝殺毒反黑軟件,下載軟件運行前用殺毒反黑軟件檢查,如金山毒霸就可以識別出黑毒剋星、noskynet和上面說的黑洞2001,而反黑軟件如“木馬剋星”可以查出網絡神偷。
4.注意註冊表hkey_local_machine\software\microsoft\windows\curren version和hkey_current_user\software\microsoft\windows\currentversion下,所有以“run”開頭的鍵值名,其下有沒有可疑的文件名。如果有,就需要刪除相應的鍵值,再刪除相應的應用程序。
5.啟動組和win.ini以及system.ini也是木馬們喜歡的隱蔽場所,要注意檢查這些地方。
6.最好通過代理服務器上網,只有這樣才能真正隱藏自己的ip,那些通過得知你的ip來攻擊你的人就會失去目標了。
7.千萬不要嫌天網“煩”,天網是有些像大話西游中的唐僧,但你既然選擇了它,就要忍受它的“囉嗦”,其實所謂的“囉嗦”正是天網在不厭其煩的提醒你、保護你,所以要看仔細了,到底是什麼程序要連線運行。
8.注意自己在網上的言語,儘量不得罪人,真正的黑客是不會無緣無故的攻擊你的。只有那些“灰”客才亂攻擊,對付他們請用方法6。
贊助商連結
一、堡壘往往是從內部被攻破的
堡壘往往是從內部被攻破的,這話一點都不假。遠在古希臘時代,堅固的城晲S有保護住特洛伊人的家園,被一個小小的木馬所攻破,在今天這個道理依然應驗。
1.用黑毒剋星或noskynet
目前的天網防火晱i謂樹大招風,天網也逐漸成為了黑客們攻擊的主要對象!針對它的黑客工具也層出不窮,黑毒剋星和noskynet就是其中之一。這兩個軟件共同的特點之一就是小巧隱蔽,另一個特點就是它們將天網破壞殆盡後,居然還能讓天網防火晹b任務欄正常顯示圖標!具有極大的危害性和欺騙性。
雖然黑毒剋星和noskynet必須被運行它們才有機會破壞天網防火晼A但百密難免一疏,對於僅幾k大小的黑毒剋星、noskynet,真的很難保證不會中招(黑客們當然不會那麼傻,他們會把黑毒剋星、noskynet改名,如改為系統優化或微軟補丁之類的名稱,這樣如果你運行了這些“優化補丁”,你的天網就完了!),對付它們只能自己小心了。
2.用黑洞2001
黑洞2001是個木馬程序,具有出色的多進程監控功能。隨著大家安全意識的不斷提高,大多數人都安裝了網絡防火晼A木馬們的生存空間越來越小,為生存計,木馬開發者想出了一個辦法,他讓木馬服務端定時刷新進程,如果發現其中的進程名稱與其事先定義好的相符合,就將這個進程關閉,如果這個被關閉的進程恰巧就是防火晼A那你的網絡大門就完全敞開了,監控端就可為所欲為了。
事實上這個功能就是針對防火晱X現的,一切堡壘都是從內部被攻破的在此得到了充分的體現。其實在黑洞2000中就有了這樣的功能,只不過黑洞2000隻能關閉天網防火晼A對其它防火晲S有任何作用。黑洞2001則可以定義長達99個英文字符號,完全可以將您可能會用到的防火棖ㄘw義到其中,從而可將這些防火晱部關閉!
對於黑洞2001的多進程監控功能,讓我們作一個小測試。首先,在客戶端作配置。點擊“修改遠程服務器端設置”按鈕,再點擊其中的“智能監控”標籤。
在“進程監控”欄中添入“晼A毒,lock”,選中“使用進程監控”,然後點擊“修改配置”保存設置。在服務端運行天網防火晼B金山毒霸、lockdown、pc-cillin等軟件,一分鐘後這些軟件被自動關閉!由上可以看出如果你中了黑洞2001,那麼你的防火棷N全成了聾子的耳朵——擺設!
3.利用“反彈端口”型木馬
國內第一個“反彈端口”型木馬“網絡神偷”就可以突破天網防線,使天網失效。“正常”木馬是由客戶端主動連接服務端的,通俗的說就是下木馬方要主動連接中木馬的機子,這樣很容易讓防火棫o現;而反彈端口型木馬與一般的木馬相反,反彈端口型木馬的服務端(被控制端)使用主動端口,客戶端(控制端)使用被動端口,當要建立連接時,由客戶端通過 ftp 主頁空間告訴服務端:“現在開始連接我吧!”,並進入監聽狀態,服務端收到通知後,就會開始連接客戶端。為了隱蔽起見,客戶端的監聽端口一般開在80,這樣,即使用戶使用端口掃描軟件檢查自己的端口,發現的也是類似“tcp 服務端的ip地址:1026 客戶端的ip地址:80 established”的情況,稍微疏忽一點你就會以為是自己在瀏覽網頁。(防火暀]會這麼認為的,我想大概沒有哪個防火棶|不給用戶向外連接80端口吧)。因此這類木馬可以突破幾乎所有的防火晼]包括代理防火暀庣L濾型防火晼^!
在我用“網絡神偷”試驗過程中,在天網設置成默認規則的情況下,服務端連接成功並進行文件訪問,服務端主機上的天網毫無反應!天網就這樣被突破了!“反彈端口”型木馬由於是由服務端主動連接客戶端的,所以天網規則裡的“禁止所有人連接”對它是一點用也沒有,只要“允許ftp的數據通道”開啟和“tcp數據包監視”關閉(默認設置正是這樣),天網就不會有任何反應的,這可比黑洞等木馬一上來就關閉天網要危險多了!
注:由於網絡神偷使用了vxd技術,因此該軟件無法在windows2000/nt下使用,非windows2000/nt下的朋友就要小心它了!
二、強攻也可突破天網的保護
其實,只要能夠加以注意,或不是那麼“菜”的話,那麼上面所說的從內部攻破的方法就會失效(可惜許多人就是不夠小心),此時就只有強攻這一條路了。雖然天網對各類ip炸彈的攻擊保護等不錯,但仍有空子可鑽,有四種方法攻破它,請看:
1.使裝天網的系統死機的簡單方法
推薦工具:portscan和igmp nuke
(1)得到對方的ip
要查對方ip最簡單的方法是打開網絡防火晼A如天網,然後點擊“安全規則設置”,在彈出的對話框中把“udp數據包監視”前面的多選框內打上“√”,然後保存設置。現在,在qq中給那個人發個消息,再來點擊天網中的“*志”按鈕,從中你就會發現對方的ip。有了ip,他想跑可就難了,哈哈。
(2)開始攻擊
打開兩個或兩個以上portscan,在“scan:”欄中填入對方的ip,在“send port:”欄中填入1,在“stop port:”欄中填入65536,這樣就配置完畢,可以攻擊了!現在按“start”按鈕,然後你就可以忙你的別的事吧!掃描的事教給portscan就可以了。
(3)攻擊原理
天網防火晹陪茞葴D,它對任何外來的不明數據包都會攔截,當一個時間段內有大量的 “各種不同類型的”數據包涌過來,天網會對之進行一一攔截,還要分析和解析這是什麼數據包,一秒鐘要解析幾十次以上,由於數據包太多,會造成系統的資源逐漸耗掉,對方機子上的應用程序會越來越慢,最終……呵呵!由於portscan占用系統資源不多,因此本機的速度不會變慢多少
4)攻擊深入
如果該用戶發現是由於天網的過多攔截才造成死機,那他就會關閉天網。此時igmp nuke就會發揮作用了:你可以每隔一段時間就對著目標ip運行一下igmp nuke,用默認設置就可以。結果,沒有了天網的對方當然是藍屏啦!真是有天網也煩,沒天網也煩呀!
(5)攻擊時自身防範
本方法有一個缺點,就是對方能知道你的ip(天網中會記錄下來的),因此你最好能使用代理服務器免得暴露自己。
2.利用天網小bug
天網有個小bug(也許不能算作bug),它只能記錄6萬多條攻擊記錄。那如果有多出來的的記錄會怎麼樣呢?這正是攻擊者經常利用的一點。攻擊者使用icmp或igmp包進行攻擊,當攻擊6萬多次以後,天網就會不斷彈出錯誤對話框,直到耗盡內存而當機!儘管手段不夠漂亮,但的確使裝有天網的主機死機了!簡單實用就是這個方法的最大特點!
3.不斷發送二進制的0字節流到
不停地發送二進制的0字節流到裝有天網主機的特定端口(用tcp或udp都可以),使裝天網的主機當機。簡單的測試方法如下:在linux中通過netcat輸入/dev/zero內容,命令如下:
tcp的測試命令為: nc 目標主機 端口 < /dev/zero
舉例:nc 127.0.0.1 7 < /dev/zero 其中“127.0.0.1”為裝有天網主機的ip,“7”為目標主機端口。
udp的測試命令為:nc -u 目標主機 端口 < /dev/zero
舉例:nc -u 127.0.0.1 53 < /dev/zero 其中“127.0.0.1”為裝有天網主機的ip,“53”為目標主機端口。
tcp ports:7 9 21 23 7778等都是tcp端口。
udp ports:53 67 68 135 137 500 1812 1813 2535 3456等都是udp端口。
在本文即將撰稿完畢之際,天網又推出了新的測試版本,新增了一個非常好的功能:天網防火椇W加了對應用程序數據包進行底層分析攔截功能
它可以控制應用程序發送和接收數據包的類型、通訊端口,並且決定攔截還是通過,這是目前其以前版本所不具有的功能。如果能很好的利用該功能,可以有效防止利用“反彈端口”型木馬如“網絡神偷”等程序悄悄連接客戶端,但遺憾的是許多人嫌該功能太煩人(不管哪個程序啟動運行,天網都會向您詢問是否運行),因此將某些程序設置為“始終允許”,此時就給木馬程序提供了機會——木馬也可能被您設置為“始終允許”!就這樣天網精心構築的防線被您輕易的打開了!從這個角度上來說,世上只有愚蠢的人,而沒有愚蠢的防火晼I
解決辦法
1.不要到小站點下載軟件,更不要運行“好心”的大蝦提供的補丁之類的軟件,當心被別有用心的人利用!如此一來,可以防止木馬及黑毒剋星、noskynet之類的軟件被運行。
2.保持警惕性,對不熟悉的人發來的e-mail不要輕易打開,帶有附件就更要小心了。另外算就是熟人發來的e-mail,對其中的附件也要小心,您的朋友也許會無意中害了您(他的電腦被感染了木馬,但他有可能自己並不知道)。
3.安裝殺毒反黑軟件,下載軟件運行前用殺毒反黑軟件檢查,如金山毒霸就可以識別出黑毒剋星、noskynet和上面說的黑洞2001,而反黑軟件如“木馬剋星”可以查出網絡神偷。
4.注意註冊表hkey_local_machine\software\microsoft\windows\curren version和hkey_current_user\software\microsoft\windows\currentversion下,所有以“run”開頭的鍵值名,其下有沒有可疑的文件名。如果有,就需要刪除相應的鍵值,再刪除相應的應用程序。
5.啟動組和win.ini以及system.ini也是木馬們喜歡的隱蔽場所,要注意檢查這些地方。
6.最好通過代理服務器上網,只有這樣才能真正隱藏自己的ip,那些通過得知你的ip來攻擊你的人就會失去目標了。
7.千萬不要嫌天網“煩”,天網是有些像大話西游中的唐僧,但你既然選擇了它,就要忍受它的“囉嗦”,其實所謂的“囉嗦”正是天網在不厭其煩的提醒你、保護你,所以要看仔細了,到底是什麼程序要連線運行。
8.注意自己在網上的言語,儘量不得罪人,真正的黑客是不會無緣無故的攻擊你的。只有那些“灰”客才亂攻擊,對付他們請用方法6。
贊助商連結