【轉貼】攻破天網防火牆的幾種辦法

[atobe]

　　天網是大家常用的防火棖n件，有許多人撰文提議安裝天網，一時間天網防火晹角F菜鳥、高手必備工具。這樣做當然好，至少說明了大家的網絡安全意識提高了許多。但萬事都有個“度”，超過這個“度”就不好了。現在有許多人對天網的迷信達到了痴迷的程度，認為安裝了天網就高枕無憂了，他們在上網時只是打開天網，至於天網運行得怎麼樣就不管了。其實，就在此時你危險了！

一、堡壘往往是從內部被攻破的

　　堡壘往往是從內部被攻破的，這話一點都不假。遠在古希臘時代，堅固的城晲S有保護住特洛伊人的家園，被一個小小的木馬所攻破，在今天這個道理依然應驗。

1.用黑毒剋星或noskynet

　　目前的天網防火晱i謂樹大招風，天網也逐漸成為了黑客們攻擊的主要對象！針對它的黑客工具也層出不窮，黑毒剋星和noskynet就是其中之一。這兩個軟件共同的特點之一就是小巧隱蔽，另一個特點就是它們將天網破壞殆盡後，居然還能讓天網防火晹b任務欄正常顯示圖標！具有極大的危害性和欺騙性。

　　雖然黑毒剋星和noskynet必須被運行它們才有機會破壞天網防火晼A但百密難免一疏，對於僅幾k大小的黑毒剋星、noskynet，真的很難保證不會中招（黑客們當然不會那麼傻，他們會把黑毒剋星、noskynet改名，如改為系統優化或微軟補丁之類的名稱，這樣如果你運行了這些“優化補丁”，你的天網就完了！），對付它們只能自己小心了。

2.用黑洞2001

　　黑洞2001是個木馬程序，具有出色的多進程監控功能。隨著大家安全意識的不斷提高，大多數人都安裝了網絡防火晼A木馬們的生存空間越來越小，為生存計，木馬開發者想出了一個辦法，他讓木馬服務端定時刷新進程，如果發現其中的進程名稱與其事先定義好的相符合，就將這個進程關閉，如果這個被關閉的進程恰巧就是防火晼A那你的網絡大門就完全敞開了，監控端就可為所欲為了。

　　事實上這個功能就是針對防火晱X現的，一切堡壘都是從內部被攻破的在此得到了充分的體現。其實在黑洞2000中就有了這樣的功能，只不過黑洞2000隻能關閉天網防火晼A對其它防火晲S有任何作用。黑洞2001則可以定義長達99個英文字符號，完全可以將您可能會用到的防火棖ㄘw義到其中，從而可將這些防火晱部關閉！
對於黑洞2001的多進程監控功能，讓我們作一個小測試。首先，在客戶端作配置。點擊“修改遠程服務器端設置”按鈕，再點擊其中的“智能監控”標籤。
　　在“進程監控”欄中添入“晼A毒，lock”，選中“使用進程監控”，然後點擊“修改配置”保存設置。在服務端運行天網防火晼B金山毒霸、lockdown、pc-cillin等軟件，一分鐘後這些軟件被自動關閉！由上可以看出如果你中了黑洞2001，那麼你的防火棷N全成了聾子的耳朵——擺設！

3.利用“反彈端口”型木馬

　　國內第一個“反彈端口”型木馬“網絡神偷”就可以突破天網防線，使天網失效。“正常”木馬是由客戶端主動連接服務端的，通俗的說就是下木馬方要主動連接中木馬的機子，這樣很容易讓防火棫o現；而反彈端口型木馬與一般的木馬相反，反彈端口型木馬的服務端（被控制端）使用主動端口，客戶端（控制端）使用被動端口，當要建立連接時，由客戶端通過 ftp 主頁空間告訴服務端：“現在開始連接我吧！”，並進入監聽狀態，服務端收到通知後，就會開始連接客戶端。為了隱蔽起見，客戶端的監聽端口一般開在80，這樣，即使用戶使用端口掃描軟件檢查自己的端口，發現的也是類似“tcp　服務端的ip地址:1026　客戶端的ip地址:80 established”的情況，稍微疏忽一點你就會以為是自己在瀏覽網頁。（防火暀]會這麼認為的，我想大概沒有哪個防火棶|不給用戶向外連接80端口吧）。因此這類木馬可以突破幾乎所有的防火晼]包括代理防火暀庣L濾型防火晼^！
在我用“網絡神偷”試驗過程中，在天網設置成默認規則的情況下，服務端連接成功並進行文件訪問，服務端主機上的天網毫無反應！天網就這樣被突破了！“反彈端口”型木馬由於是由服務端主動連接客戶端的，所以天網規則裡的“禁止所有人連接”對它是一點用也沒有，只要“允許ftp的數據通道”開啟和“tcp數據包監視”關閉（默認設置正是這樣），天網就不會有任何反應的，這可比黑洞等木馬一上來就關閉天網要危險多了！

　　注：由於網絡神偷使用了vxd技術，因此該軟件無法在windows2000/nt下使用，非windows2000/nt下的朋友就要小心它了！

二、強攻也可突破天網的保護

　　其實，只要能夠加以注意，或不是那麼“菜”的話，那麼上面所說的從內部攻破的方法就會失效(可惜許多人就是不夠小心)，此時就只有強攻這一條路了。雖然天網對各類ip炸彈的攻擊保護等不錯，但仍有空子可鑽，有四種方法攻破它，請看：

1.使裝天網的系統死機的簡單方法

　　推薦工具：portscan和igmp nuke

　　(1)得到對方的ip
　　要查對方ip最簡單的方法是打開網絡防火晼A如天網，然後點擊“安全規則設置”，在彈出的對話框中把“udp數據包監視”前面的多選框內打上“√”，然後保存設置。現在，在qq中給那個人發個消息，再來點擊天網中的“*志”按鈕，從中你就會發現對方的ip。有了ip，他想跑可就難了，哈哈。

　　(2)開始攻擊
　　打開兩個或兩個以上portscan，在“scan:”欄中填入對方的ip，在“send port:”欄中填入1，在“stop port:”欄中填入65536，這樣就配置完畢，可以攻擊了！現在按“start”按鈕，然後你就可以忙你的別的事吧！掃描的事教給portscan就可以了。

　　(3)攻擊原理
　　天網防火晹陪茞葴D，它對任何外來的不明數據包都會攔截，當一個時間段內有大量的 “各種不同類型的”數據包涌過來，天網會對之進行一一攔截，還要分析和解析這是什麼數據包，一秒鐘要解析幾十次以上，由於數據包太多，會造成系統的資源逐漸耗掉，對方機子上的應用程序會越來越慢，最終……呵呵！由於portscan占用系統資源不多，因此本機的速度不會變慢多少
4)攻擊深入
　　如果該用戶發現是由於天網的過多攔截才造成死機，那他就會關閉天網。此時igmp nuke就會發揮作用了：你可以每隔一段時間就對著目標ip運行一下igmp nuke，用默認設置就可以。結果，沒有了天網的對方當然是藍屏啦！真是有天網也煩，沒天網也煩呀！

　　(5)攻擊時自身防範
　　本方法有一個缺點，就是對方能知道你的ip(天網中會記錄下來的)，因此你最好能使用代理服務器免得暴露自己。

2.利用天網小bug

　　天網有個小bug（也許不能算作bug），它只能記錄6萬多條攻擊記錄。那如果有多出來的的記錄會怎麼樣呢？這正是攻擊者經常利用的一點。攻擊者使用icmp或igmp包進行攻擊，當攻擊6萬多次以後，天網就會不斷彈出錯誤對話框，直到耗盡內存而當機！儘管手段不夠漂亮，但的確使裝有天網的主機死機了！簡單實用就是這個方法的最大特點！

3.不斷發送二進制的0字節流到

　　不停地發送二進制的0字節流到裝有天網主機的特定端口（用tcp或udp都可以），使裝天網的主機當機。簡單的測試方法如下：在linux中通過netcat輸入/dev/zero內容，命令如下：

　　tcp的測試命令為: nc 目標主機 端口 < /dev/zero
　　舉例：nc 127.0.0.1 7 < /dev/zero 其中“127.0.0.1”為裝有天網主機的ip，“7”為目標主機端口。

　　udp的測試命令為：nc -u 目標主機 端口 < /dev/zero
　　舉例：nc -u 127.0.0.1 53 < /dev/zero 其中“127.0.0.1”為裝有天網主機的ip，“53”為目標主機端口。

　　tcp ports：7 9 21 23 7778等都是tcp端口。
　　udp ports：53 67 68 135 137 500 1812 1813 2535 3456等都是udp端口。

　　在本文即將撰稿完畢之際，天網又推出了新的測試版本，新增了一個非常好的功能：天網防火椇W加了對應用程序數據包進行底層分析攔截功能
它可以控制應用程序發送和接收數據包的類型、通訊端口，並且決定攔截還是通過，這是目前其以前版本所不具有的功能。如果能很好的利用該功能，可以有效防止利用“反彈端口”型木馬如“網絡神偷”等程序悄悄連接客戶端，但遺憾的是許多人嫌該功能太煩人（不管哪個程序啟動運行，天網都會向您詢問是否運行），因此將某些程序設置為“始終允許”，此時就給木馬程序提供了機會——木馬也可能被您設置為“始終允許”！就這樣天網精心構築的防線被您輕易的打開了！從這個角度上來說，世上只有愚蠢的人，而沒有愚蠢的防火晼I

解決辦法

　　1.不要到小站點下載軟件，更不要運行“好心”的大蝦提供的補丁之類的軟件，當心被別有用心的人利用！如此一來，可以防止木馬及黑毒剋星、noskynet之類的軟件被運行。

　　2.保持警惕性，對不熟悉的人發來的e-mail不要輕易打開，帶有附件就更要小心了。另外算就是熟人發來的e-mail，對其中的附件也要小心，您的朋友也許會無意中害了您（他的電腦被感染了木馬，但他有可能自己並不知道）。

　　3.安裝殺毒反黑軟件，下載軟件運行前用殺毒反黑軟件檢查，如金山毒霸就可以識別出黑毒剋星、noskynet和上面說的黑洞2001，而反黑軟件如“木馬剋星”可以查出網絡神偷。

　　4.注意註冊表hkey_local_machine\software\microsoft\windows\curren version和hkey_current_user\software\microsoft\windows\currentversion下，所有以“run”開頭的鍵值名，其下有沒有可疑的文件名。如果有，就需要刪除相應的鍵值，再刪除相應的應用程序。

　　5.啟動組和win.ini以及system.ini也是木馬們喜歡的隱蔽場所，要注意檢查這些地方。

　　6.最好通過代理服務器上網，只有這樣才能真正隱藏自己的ip，那些通過得知你的ip來攻擊你的人就會失去目標了。

　　7.千萬不要嫌天網“煩”，天網是有些像大話西游中的唐僧，但你既然選擇了它，就要忍受它的“囉嗦”，其實所謂的“囉嗦”正是天網在不厭其煩的提醒你、保護你，所以要看仔細了，到底是什麼程序要連線運行。

　　8.注意自己在網上的言語，儘量不得罪人，真正的黑客是不會無緣無故的攻擊你的。只有那些“灰”客才亂攻擊，對付他們請用方法6。

[gtom15]

如果閒麻煩
又怕被攻擊的話
網路線拔掉是最快的= ="

[stuart]

但現今的ip分享器不都有防火牆的功能？
雖然不是強大到那裡去！
但用來防止一些侵入夠用了！
更者！它不容易掛點！它掛了！你的網路也掛了！
(熱掛的..)

[TAIWAN]

最初由 atobe 發表
　　天網是大家常用的....目前的天網防火晱i謂樹大招風

　　在本文即將撰稿完畢之際，天網又推出了新的測試版本，新增了一個非常好的功能：天網防火椇W加了對應用程序數據包進行底層分析攔截功能它可以控制應用程序發送和接收數據包的類型、通訊端口，並且決定攔截還是通過，這是目前其以前版本所不具有的功能。如果能很好的利用該功能，可以有效防止利用“反彈端口”型木馬如“網絡神偷”等程序悄悄連接客戶端，但遺憾的是許多人嫌該功能太煩人（不管哪個程序啟動運行，天網都會向您詢問是否運行），因此將某些程序設置為“始終允許”，此時就給木馬程序提供了機會——木馬也可能被您設置為“始終允許”！就這樣天網精心構築的防線被您輕易的打開了！從這個角度上來說，世上只有愚蠢的人，而沒有愚蠢的防火晼I

怪怪 鞭屍嗎 2 年前的老文章還能上來

2.4.1 免費測試版就全改好了 現在應該不會還有 1.0 到2.4.1版的用戶吧!

2 年前的老文章還找的到也不容易

[stuart]

TAIWAN
耶∼你不說還真沒注意到！
畢竟..其實很少注意防火牆的資訊...^^"

那不知現行天網的防火牆上述的問題已解決？

[TAIWAN]

最初由 stuart 發表
TAIWAN
耶∼你不說還真沒注意到！
畢竟..其實很少注意防火牆的資訊...^^"

那不知現行天網的防火牆上述的問題已解決？

這篇2年前的老文章有個 在本文即將撰稿完畢之際，天網又推出了新的測試版本及解決辦法

因為2年前就出了新版本!實際解決辦法不應由小弟來提出是否都已改善以免老王賣瓜之嫌
應由原文作者或實測使用者實測較為客觀您說對不對

還有小弟家2年前騙小孩的東東可以在 2003 SERVER上使用 您還是撥空實際測試為準吧