Submitted by 海东青 on 2009, February 25, 2:57 PM
498)this.style.width=498;" border=0> a. 假设你已经通过串口初始化了防火墙4000(配置接口IP、GUI 登录权限以及认证数据库、用户等对象等),并使用管理软件连接上了防火墙(如有疑问请参看“防火墙4000 管理配置”以及“如何创建数据库对象”等相关文档或DEMO演示);b. 首先在防火墙管理器中选取“高级管理”→“特殊对象”→“用户”,将弹出“用户对象属性”界面,双击已经建立的用户;498)this.style.width=498;" border=0>
c. 然后在“用户对象属性”对话框中添加“允许登录的地点”,加入已定义的节点对象lihua(192.168.100.119),最后点击“确定”即可。d. 详细操作请参见DEMO演示。注 意:配置防火墙4000 IP与用户的绑定策略实际上同创建用户对象大致相同,唯一不同的是在配置IP与用户绑定时必须添加节点对象到“允许登录的地点”中,使用户必须在此节点上登录,从而构成了IP与用户绑定;如果您首先配置IP(节点对象)与MAC地址的绑定策略,然后又创建了此IP(节点对象)与用户的绑定策略,则即是完成了IP、MAC地址以及用户三者的绑定策略。
网络安全 | 评论:0
| Trackbacks:0
| 阅读:43
Submitted by 海东青 on 2009, February 25, 2:57 PM
服务器构成了网络基础结构中最基本的要素,它也是网络安全中最关键的环节。虽然Unix服务器以安全、可靠著称,但这并不意味着它无懈可击。并且UNIX服务器的安全性影响或决定着网络基本结构的安全性。
通常情况下,我们特别关注特定主机的安全问题,却忘记了整体的网络安全设计。事实上,整个网络的安全设计问题还是与基于主机的安全有些区别的,在此我们不打算就这个问题展开讨论。
下面我们可以定义三种类型的服务器,当然根据你的实际需要,这些服务器可以进一步分类。
公共服务器,这是一种可以访问互联网的服务器。
登录服务器,这种服务器允许非超级用户登录。
其它服务器,如MySQL,内部LDAP或NFS服务器,这些服务器只能从内部网络到达。
根据我们定义的这些服务器,网络的总体布局和我们要运用的防火墙规则也就显而易见了。
问题是我们该如何管理这些服务器,保持其安全性。这是我们设计的难题之一,因为一个脆弱的设计可能就意味着灾难的降临。
从一个更高级的视点上来看,我们知道有些服务器要比其它服务器重要。一个或多个服务器需要被其它的服务器信任,这样才能保证自动化改变的发生。账号的创建,按照Tripwire 或Samhain方式对主机完整性的监视,甚至配置文件的备份都需要从某个服务器配置并维持,而这个服务器能够以根用户身份访问其它服务器。
这样一个服务器,我们或可称它为主服务器,只有超级用户账户可用于登录访问。超级用户的口令需要与其它服务器的口令不同,而且这个主服务器不应向外部世界提供服务。公共服务器的损害不应影响主服务器的安全。当一个表面上不重要的机器被损害时,一次黑客性质的登录会成为一个rootkit的一部分,这又会导致用户账户口令的暴露。这也就是sudo并非一个好主意的原因:它给你的用户口令根目录的访问权限。一个被损害的su可能会泄露根用户的口令,这也就是主服务器如此重要的原因。
主服务器应能够以SSH方式并以根用户的身份登录到所有其它的服务器,但只能通过SSH密钥进行。基于口令的根用户的登录绝对不要允许通过SSH进行。如果主服务器被危及到其安全性,那么其它任何一个服务器都会落得同样的下场。因此,主服务器是一个堡垒,只运行SSH服务,并只与其它机器连接。配置文件的备份、主机完整性数据库等都可被存储在主服务器上。
可被公共访问的服务器是最为脆弱的,原因就在于它们运行的应用程序,但登录服务器也会引起问题,而且它们在许多其它方面也是很脆弱的。其用户,不管是开发人员还是学生、客户,都不太在乎安全问题。他们会运行心目中的任何可得到的应用程序,其中包括SQL服务器,基于PHP的WEB应用程序(只采用安全性很差的安全记录),以及看起来有用的其它任何东西。为了防止未知用户通过这些程序的漏洞进入系统,你最好还是为你的操作系统安装最新的补丁程序。
为操作系统打补丁并不是可选的,更不是一件可掉以轻心的事情。必须要反复强调:在一个安全更新可用时,必须为所有的服务器及时更新。对于那些只在周末为UNIX服务器打补丁的用户来说,他们要承担一种严重的责任,因为具有恶意用心的人可以很轻松地获得根目录的访问,因为对于系统漏洞的恶意利用代码出现的速度是极快的。此外还有一些很新的恶意利用;这些都是十分可怕的事情。SELlinux或者一台正确配置的Unix计算机能够在防止恶意利用漏洞方面大有帮助。因此我们认为总体上的安全架构是最为关键的。
那些不安全的服务器可能允许用户登录。假定我们需要共享的home目录,要支持此处描述的环境可能会很困难。输出到不安全客户端的NFS共享需要仔细检查,特别是当开发人员或研究人员需要其机器上的根目录权限时。
既然NFS意味着无安全性,向一个未被控制的客户端授权访问NFS共享是相当可怕的。实质上,你必须假定在共享文件系统中的任何东西都可能被危及安全,因为在根用户可能会很轻易地SU到碰巧拥有文件的任何人那里。老的标准工作区是要将这些类型的共享移到其自有的分区中,而且将其共享给那些有害的客户端。AFS并不支持企业级特性,因此你最好不要采用它,而且它本身并不支持快照或兼容的ACL等。
我们可以对系统安全提出各种各样的最优方法和缺陷。从架构的视点来看,一般的观点是用两种方式将风险最小化:一是使其难于渗入,二是一旦进入系统,应难于扩散。通过采用恰如其分的监控,你应该能够快速地检测任何入侵并能阻止它。
不管你有300个还是3000个服务器,基本的原则都是相同的。这看起来简单,在配置一个新的或被破坏的服务器时却是最基本的。请记住:
在暴露的服务器上尽量地减少服务;
尽量地减少暴露的服务器的数量;
在给NFS客户端任何权限时需要极端小心;
网络安全 | 评论:0
| Trackbacks:0
| 阅读:40
Submitted by 海东青 on 2009, February 25, 2:57 PM
笔者公司共有10台Web服务器,使用Redhat Linux 9作为操作系统,分布在全国各大城市,主要为用户提供HTTP服务。曾经有一段时间不少用户反映有的服务器访问速度缓慢,甚至不能访问,检查后发现是受到了DDoS攻击(分布式拒绝服务攻击)。由于服务器分布太散,不能采用硬件防火墙的方案,虽然IPtables功能很强大,足以应付大部分的攻击,但Linux系统自身对DDoS攻击的防御力本来就弱,只好另想办法了。
一、Freebsd的魅力
发现Freebsd的好处是在一次偶然的测试中,在LAN里虚拟了一个Internet,用一台Windows客户端分别向一台Windows Server、Linux Server和一台Freebsd在无任何防范措施的情况下发送Syn Flood数据包(常见的DDoS攻击主要靠向服务器发送Syn Flood数据完成)。Windows在达到10个包的时候就完全停止响应了,Linux在达到10个数据包的时候开始连接不正常,而Freebsd却能承受达100个以上的Syn Flood数据包。笔者决定将公司所有的Web服务器全换为Freebsd平台。
在使用Freebsd后,的确过了一段时间的安稳日子。不过近日又有用户再次反映网站不能正常访问,表现症状为用户打开网页速度缓慢,或者直接显示为找不到网站。用netstat ?a查看到来自某IP的连接刚好50个,状态均为FIN_WAIT 1,这是属于明显的DDoS攻击,看来Freebsd没有防火墙也不是万能的啊,于是就想到了装防火墙。
看了N多资料,了解到Freebsd下最常见的防火墙叫IP FireWall,中文字面意思叫IP防火墙,简称IPFW。但如果要使用IPFW则需要编译Freebsd系统内核。出于安全考虑,在编译结束后,IPFW是默认拒绝所有网络服务,包括对系统本身都会拒绝,这下我就彻底“寒”了,我放在外地的服务器可怎么弄啊?
大家这里一定要小心,配置稍不注意就可能让你的服务器拒绝所有的服务。笔者在一台装了Freebsd 5.0 Release的服务器上进行了测试。
二、配置IPFW
其实我们完全可以把安装IPFW看作一次软件升级的过程,在
Windows里面,如果要升级一款软件,则需要去下载升级包,然后安装;在Freebsd中升级软件过程也是如此,但我们今天升级的这个功能是系统本身已经内置了的,我们只需要利用这个功能即可。打开这个功能之前,我们还要做一些准备工作。
下面开始配置IPFW的基本参数。
Step1:准备工作
在命令提示符下进行如下操作:
#cd /sys/i386/conf
如果提示没有这个目录,那说明你的系统没有安装ports服务,要记住装上。
#cp GENERIC ./kernel_IPFW
Step2:内核规则
用编辑器打开kernel_IPFW这个文件,在该文件的末尾加入以下四行内容:
options IPFIREWALL
将包过滤部分的代码编译进内核。
options IPFIREWALL_VERBOSE
启用通过Syslogd记录的日志;如果没有指定这个选项,即使你在过滤规则中指定了记录包,也不会真的记录它们。
options IPFIREWALL_VERBOSE_LI
MIT=10
限制通过Syslogd记录的每项包规则的记录条数。如果你受到了大量的攻击,想记录防火墙的活动,但又不想由于Syslog洪水一般的记录而导致你的日记写入失败,那么这个选项将会很有用。有了这条规则,当规则链中的某一项达到限制数值时,它所对应的日志将不再记录。
options IPFIREWALL_DEFAULT_TO
_ACCEPT
这句是最关键的。将把默认的规则动作从 “deny” 改为 “allow”。这句命令的作用是,在默认状态下,IPFW会接受任何的数据,也就是说服务器看起来像没有防火墙一样,如果你需要什么规则,在安装完成后直接添加就可以了。
输入完成后保存kernel_IPFW文件并退出。
三、编译系统内核
由于Freebsd和Linux一样,都是公开源代码的操作系统,不像Windows那样代码是封装了的,出了问题我们只能猜测,或者咨询微软公司;由于Freebsd系统内核在不断升级,我们为了使用新版本中的功能,或者定制一个更高效、更稳定的系统,通常需要编译系统内核。
当然,我们在这里编译内核,是为了能得到一个更高效的系统,而不是使用新版本的功能;
在编译的过程中,可能会提示一些错误,为了尽可能减少错误提示,我们已将配置文件缩减到了最少,如果再出现什么错误提示,请仔细检查是否有输入错误等细小问题。
Step1:编译所需的命令
在命令行上执行如下命令:
#/usr/sbin/config kernel_IPFW
执行结束后会出现如下提示:Kernel build directory is ../compile/kernel_IPFW Don`t forget to do a make depend`
#cd ../compile/kernel_IPFW
在这个地方注意一下,Freebsd 4.X版本是../../compile/kernel_IPFW,但Freebsd 5.0版本却是../compile/kernel_IPFW。
#make
#make install
Step2:开始编译内核
根据系统性能差异,时间也有不同,普通双P4 XEON 1GB内存的服务器大约5分钟左右即可完成。
四、加载启动项
编译完成了,我们要让系统自动启动IPFW并记录日志,需要进行如下操作:
Step1:编辑器编辑/etc/rc.conf
加入如下参数:
firewall_enable=`YES`
激活Firewall防火墙
firewall_script=`/etc/rc.firewall`
Firewall防火墙的默认脚本
firewall_type=`/etc/ipfw.conf`
Firewall自定义脚本
firewall_quiet=`NO`
启用脚本时,是否显示规则信息;假如你的防火墙脚本已经不会再有修改,那么就可以把这里设置成“YES”了。
firewall_logging_enable=`YES`
启用Firewall的Log记录
Step2:编辑/etc/syslog.conf文件
在文件最后加入如下内容:
!ipfw
*.* /var/log/ipfw.log
这行的作用是将IPFW的日志写到/var/log/ipfw.log文件里,当然,你也可以为日志文件指定其他目录。
以上步骤完成后重启电脑。
五、使用并保存规则
完成后,你就会发现你能用SSH登录你的远程服务器了。
Step1:测试
刚登录的时候你不会发现你的系统发生了什么变化,但你可以试试以下这个命令:#ipfw show,将输出以下结果:65535 322 43115 allow ip from any to any。它告诉我们,IPFW已经成功启用,而且允许任何的连接。
Step2:使用
在命令提示符下输入如下命令:#ipfw add 10001 deny all from 218.249.20.135 to any。
拒绝来自218.249.20.135的任何服务,执行完成后,你就会发现来自IP218.249.20.135的所有服务都会被拒绝。
Step3:保存
把这句代码加在/etc/rc.firewall文件里:ipfw add 10001 deny all from 218.249.20.135 to any,运行如下这个命令:#sh /etc/rc.firew
all
表示保存到rc.firewall里面时,不需要前面的#号,然后重新载入IPFW规则。
或者重启一次你的系统,你的IPFW就生效了,只要你不手动解除,来自218.249.20.135的所有信息全部都会被拒绝。
网络安全 | 评论:0
| Trackbacks:0
| 阅读:46
Submitted by 海东青 on 2009, February 25, 2:57 PM
链级测试 (Link Testing)
多数的追踪技术都是从最接近victim的路由器开始,然后开始检查上流数据链,直到找到攻击流量发起源。理想情况下,这种过程可以递归执行直到找到攻击源头。这种技术假设攻击一直保持活动直到完成追踪,因此很难在攻击结束后、间歇性攻击或对追踪进行攻击调整等情况进行追踪。包括下面两种链级测试:
1、Input debugging
很多路由器都提供Input debugging特性,这能让管理员在一些出口端过滤特定的数据包,而且能决定可以达到那些入口。这种特性就被用来作traceback:首先,victim在确定被攻击时,要从所有的数据包中描述出攻击包标志。通过这些标志,管理员在上流的出口端配置合适的Input debugging。这个过滤会体现出相关的input端口,这个过滤过程可以一直朝上流进行,直到能够到达最初的源头。当然这种工作很多依靠手工,一些国外的ISP联合开发的工具能够在它们的网络中进行自动的追踪。
但是这种办法最大的问题就是管理花费。联系多个ISP并同他们合作需要时间。因此这种办法需要大量的时间,而且几乎不可能完成。
2、Controlled flooding
Burch和 Cheswick提出的方法。这种方法实际上就是制造flood攻击,通过观察路由器的状态来判断攻击路径。首先应该有一张上游的路径图,当受到攻击的时候,可以从victim的上级路由器开始依照路径图对上游的路由器进行控制的flood,因为这些数据包同攻击者发起的数据包同时共享了路由器,因此增加了路由器丢包的可能性。通过这种沿路径图不断向上进行,就能够接近攻击发起的源头。
这种想法很有独创性而且也很实际,但是有几个缺点和限制。最大的缺点就是这种办法本身就是一种DOS攻击,会对一些信任路径也进行DOS,这个缺点也很难用程序实施。而且,Controlled flooding要求有一个几乎覆盖整个网络的拓扑图。Burch和 Cheswick也指出,这种办法很难用于DDOS攻击的追踪。这种方法也只能对正在进行攻击的情况有效。
现在CISCO的路由器的CEF(Cisco Express Forwarding)实际上就是一种链级测试,也就是说,要用CEF追踪到最终源头的话,那么整个链路上的路由器都得使用CISCO的路由器,而且支持CEF。就得要Cisco 12000或者7500系列的路由器了。(不知道现在怎么样,没查最新的CISCO文档),但是要用这个功能是很费资源的。
在CISCO路由器(支持ip source-track的路由器)上IP源追踪以下面的步骤实现:
1、当发现目的被攻击,打开整个路由器上对目的地址的追踪,输入命令 ip source-track。
2、每个Line Card为要追踪的目的地址创建特定的CEF队列。对于line card或者端口适配器用特定的ASIC作包转换,CEF队列用于将包置入line card或者port adapter的CPU。
3、每个line card CPU收集关于要追踪目的的通讯信息。
4、所产生的数据定时导出到路由器。要现实这些流信息的摘要,输入命令:show ip source-track summary。要显示每个输入接口的更多的细节信息,输入命令show ip source-track。
5、统计被追踪的IP地址的细目表。这可用于上游路由器继续分析。可以在当前路由器上关闭IP source tracker,输入命令:no ip source-track。然后在上游路由器上再打开这个功能。
6、重复步骤1到5,直到找到攻击源。
Logging
这种方法通过在主路由器上记录数据包,然后通过数据采集技术来决定这些数据包的穿越路径。虽然这种办法可以用于对攻击后的数据进行追踪,它也有很明显的缺点,比如可能要求大量的资源(或者取样),并且对付大量数据的综合问题。
ICMP追踪
这种方法主要依靠路由器自身产生的ICMP跟踪消息。每个路由器都有很低的概率(比如:1/200000),数据包可能会把内容复制到一个ICMP消息包中,并且包含了到临近源地址的路由器信息。当flood攻击开始的时候,victim就可以利用这些ICMP消息来重新构造攻击者的路径。这种方式同上面介绍的比较,有很多优点,但是也有一些缺点。比如:ICMP可能被从普通流量中过滤掉,并且,ICMP追踪消息还要同input debugging特性(将数据包同数据包input端口和/或者要到达的MAC地址关联的能力)相关,但是,可能一些路由器就没有这样的功能。同时,这种办法还必须有一种办法来处理攻击者可能发送的伪造ICMP Traceback消息。也就是说,我们可以把这种方式同其他办法一起使用来让跟踪机制更有效。(IETF iTrace)
这就是yawl说的IETF的工作组研究的内容,当时我给Bellovin提出一些意见,但是没有得到答案。比如:
1、尽管是随机1/20000发送追踪包,但是,对于伪造TRACEBACK的包情况下,对路由器的效率将有一定的影响。
2、追踪包的认证并不能解决伪造问题。因为要判别是否是伪造包,那么必须去认证,加大了工作量。
3、即便使用NULL 认证,同样能够达到目的(有认证的情况下)。而且也不会有太大影响。
4、Itrace的本来目的是去对付DOS的欺骗源问题,但是现在的设计仿佛让我们更关心的是路径而不是源头。难道路径比源头更对我们解决DOS问题有用么?
等等,还有一堆问题,都是我觉得iTrace将会面临的很难处理的问题。
数据包标记
这种技术构想(因为现在没有实用)就是要在现有协议的基础上进行修改,而且修改很小,不象iTrace的想法,个人认为比iTrace更好一些。
这种追踪技术有很多细节研究,形成多种标记算法,但是最好的还是经过压缩的边缘取样算法。
这种技术原理就是修改IP头中,重载其中的identification域。也就是如果没有使用到identification域的话,将这个域定义为标记。
将16bit的idnetification分成:3bit的offset(可允许8次分片),5bit的distance,以及8bit的边缘分片。5bit的distance可以允许31级路由,这对于目前的网络来说已经足够了。
标记和重构路径的算法是:
Marking procedure at router R: let R' = BitIntereave(R, Hash(R)) let k be the number of none-overlappling fragments in R' for
each packet w let x be a random number from [0..1) if xlet o be a random integer from [0..k-1] let f be the fragment of R' at
offset o write f into w.frag write 0 into w.distance wirte o into w.offset else if w.distance=0 then let f be the fragment of
R' at offset w.offset write f?w.frag into w.frag increment w.distance Path reconstruction procedure at victim v: let FragTbl
be a table of tuples(frag,offset,distance) let G be a tree with root v let edges in G be tuples(start,end,distance) let
maxd:=0 let last:=v for each packet w from attacker FragTbl.Insert (w.frag,w.offset,w.distance) if w.distance>maxd then
maxd:=w.distance for d:=0 to maxd for all ordered combinations of fragments at distance d construct edge z if d!=0 then z:=
z?last if Hash(EvenBits(z))=OddBits(z) then insert edge(z,EvenBits(z),d) into G last:=EvenBits(z); remove any edge(x,y,d)
with d!=distance from x to v in G extract path(Ri..Rj) by enumerating acyclic paths in G
实验室情况下这种标记技术只需要victim能够抓到1000到2500个包就能够重构整个路径了,应该说结果是很好的,但是没有投入到实用中,主要是需要路由器厂商和ISP支持。
差不多ip traceback的已经实用的技术和实验室技术,或者已经死掉的,就主要是这些,虽然还有其他的一些。
已经很长时间没有搞DDOS防范这一块了,国内也有黑洞这样的产品,以前也了解一些国外的,比如floodguard、toplayer、radware等。受securitytest提示,又了解到riverhead的,我就立刻看了看他们的白皮书。
因为前面bigfoot提出的主要是ip traceback的题目,securitytest也又到防御的问题。针对DDOS的问题ip traceback和Mitigation是不一样的,ip traceback主要是进行追踪,因为DDOS主要是spoof,而很难判别到真正的攻击源,而且如果能够很容易找到真正的攻击源,不仅仅对付DDOS,对付其他的攻击也很有帮助,比如法律问题等。而Mitigation是从受害者的角度,因为victim一般是没有能力去调查整个网络,找出source,而且,即便能够找到source,也得有法律或者一些沟通的手段来让source停下来(攻击的source并不是source的攻击者),这种意味着大量的沟通、跨ISP、跨过等类似的非技术问题,所以,通常很难处理。但是从victim的角度来说,必须得有所解决办法,所以就需要Mitigation。
这又正好是我以前研究的范围,所以,又会说出一大堆。对于Mitigation,其实,技术的根本就是要能从众多的流量中将攻击包和合法包分离出来,把攻击包抛弃掉,让合法包通过就性了。这就是根本,所以实际运用的技术就是要如何尽可能识别出攻击包,而又尽可能小地影响正常包。这又得来分析DDOS(甚至DOS)的方式和原理。基本又下面几种形式:
1、系统漏洞形成的DOS。这种特征固定,检测和防御也容易。
2、协议攻击(一些跟系统处理相关,一些跟协议相关)。比如SYN FLOOD,碎片等。特征还好识别,检测和防御相对容易。比如SYN COOKIE、SYN CACHE,碎片可以抛弃。比如land攻击、smurf、teardrop等。
3、bandwidth FLOOD。垃圾流量堵塞带宽,特征不好识别,防御不容易。
4、基本合法的FLOOD。比3更难了,比如分布的Slashdot。
实际的DDOS,一般都是多种方式结合的。比如SYNFLOOD,可能同时是bandwidth FLOOD。
影响防御的主要因素就是看特征是否能得到,比如1、2就相对好解决,一些基本不影响的使用的FLOOD,则可以很好被抛弃,比如ICMP FLOOD。
但是,攻击发包工具如果将数据包更能伪装成合法包,那么就很难识别出来了。
一般的Mitigation方法也就是:
1、Filter。对于特征明显的,比如一些蠕虫等,在路由器上就可以搞定。当然,过滤是最终解决办法,只要识别出了攻击包,就是要把这些包过滤掉。
2、随机丢包。跟随机算法相关,好的算法可以让合法包受到更小影响。
3、SYN COOKIE、SYN CACHE等特定防御办法。针对一些固定的攻击手段来防御和过滤。比如ICMP FLOOD、UDP FLOOD。SYN COOKIE等都是避免spoof问题,至少TCP还有三次握手,所以还好判断SPOOF。
4、被动消极忽略。可以说也是一种确认是否被欺骗的办法。一般正常连接失败会重新尝试,但是攻击者一般不会尝试的。所以可以临时抛弃第一次连接请求而接受第二次或者第三次连接请求。
5、主动发送RST。对付SYN FLOOD的,比如一些IDS上。当然,实际不是有效的。
6、统计分析和指纹。这本来是研究的主要内容,但是最后陷入了算法牛角尖,因为主要是一个算法问题。通过统计分析的角度来得到指纹,然后根据指纹来抛弃攻击包,也是一种异常检测的技术。说得很简单,但是要不影响合法包也不容易,不至于变成了随机丢包。(其实当时考虑太过复杂,非得要详细分析出攻击包和合法包,实际不需要,只要过滤掉足够的攻击包,即便让攻击包通过,但只要不造成DOS就可以了。)这也是很多研究者研究的主要课题,目的也就是识别攻击包。
现在在回到securitytest提到的riverhead。关于riverhead的技术,我都只是从他们的白皮书上了解到的,但根据我的分析技术方法都没有超出上面提到的范围。
Riverhead的核心方案就是检测 Detection、转移 Diversion 和 缓解 Mitigation,也就是检测到攻击,然后将流量转移到他们的产品guard上,然后通过guard进行Mitigation。
它的实现步骤,就是:
因为没有图,所以先定义一下,才能说清楚:
#靠近分布式拒绝服务源头的路由器为 远端路由器 #靠近受害者的路由器为 近端路由器 #Riverhead的Guard设备附属安装的路由器为 附属路由器
防御的步骤
1、首先检测到有DDOS发生,并了解到victim。
2、Guard发送BGP通告到远端路由器(在victim的BGP通告设置前缀,并得到比原始BGP通告更高的优先权),表示从远端路由器到victim有新的路由,并且路由到Guard的loopback interface,所有到victim的都经过附属路由器转移到了Guard上。
3、Guard检查流量,并且清除其中的攻击流量,然后把安全的流量转发到附属路由器上,在回到victim其中核心就是Guard,技术就是白皮书中描述的MVP架构(Multi-Verification Process),也就是下面5个层次过滤(Filtering) :这个模块包含静态和动态的DDOS过滤。静态过滤,拦截non-esse ntial流量,可以是用户定义的,或者是riverhead默认提供的。动态过滤则基于行为分析和流量的细节分析,通过增加对可疑流量的确认或拦截已经确认的恶意流量,来进行实时更新反欺骗(Anti-Spoofing):这个模块验证进入系统的数据包是否被欺骗的。Guard使用了独有的、有专利的源验证机制来避免欺骗。也通过一些机制来确认合法流量,消除合法数据包被抛弃异常检测(Anomaly Recognition):该模块监视所有没有被过滤和反欺骗模块抛弃的流量,将流量同平常纪录的基线行为进行比较,发现异常。基本原理就是通过模式匹配,区别来自black-hat和合法通讯之间的不同。该原理用来识别攻击源和类型,而且提出拦截这类流量的指南。
异常检测包括: 攻击流量速率大小 包大小和端口的分布 包到达时间的分布 并发流量数 高级协议特征 出、入的速率 流量分类: 源IP 源端口 目的端口 协议类型 连接量(每天、每周) 协议分析(Protocol Analysis):本模块处理异常检测中发现的可疑的应用方面的攻击,比如http攻击。协议分析也检测一些协议错误行为。
流量限制(Rate Limiting):主要是处理那些消耗太多资源的源头流量。
所以,实际上最主要的内容就是异常检测中的统计分析,但是从上面看似乎没有多少特别的地方,但是,一定有很好的算法。比如FILTER,实际是对付一些很熟悉的有明显特征的攻击,反欺骗,就是对付syn flood这样的,说不定也是一个syn cookie模块,,但也许有更专利的技术。
协议分析其实应该来说就比较弱了,但可以针对一些常见协议中的特定攻击,检测识别一些协议错误行为只是协议校验,这个很简单。流量限制则就是一种随机丢包,最无奈的办法,所以也是最后一个层次了。
因为这个产品主要是作Mitigation的,而不是ip traceback。但是可以判定还是有重要的问题,比如:
1、如何对付真正的bandwidth flood。如果路由器是千兆的,但是,攻击流量已经占了90%,只流下10%让合法使用,路由器已经先与Guard开始进行随机丢包了。(没办法,这是所有防御技术的瓶颈)
2、真正的攻击。真正的攻击是很难或者无法识别的。比如,基本跟正常形式一样的,如果和统计数据很接近,那么很难区别出来。还有一些攻击,比如反射式的邮件攻击等,这是完全合法的,但是很难分类出来。
网络安全 | 评论:0
| Trackbacks:0
| 阅读:43
Submitted by 海东青 on 2009, February 25, 2:57 PM
特洛伊木马是具有某些功能或仅仅是有趣的程序。但它通常会做一些令人意想不到的事情,如盗取口令或文件。
特洛伊木马是如何工作的
一般的木马程序都包括客户端和服务端两个程序,其申客户端是用于攻击者远程控制植入木马的机器,服务器端程序即是木马程序。攻击者要通过木马攻击你的系统,他所做的第一步是要把木马的服务器端程序植人到你的电脑里面。
目前木马入侵的主要途径还是先通过一定的方法把木马执行文件弄到被攻击者的电脑系统里,利用的途径有邮件附件、下载软件中等,然后通过一定的提示故意误导被攻击者打开执行文件,比如故意谎称这个木马执行文件,是你朋友送给你贺卡,可能你打开这个文件后,确实有贺卡的画面出现,但这时可能木马已经悄悄在你的后台运行了。一般的木马执行文件非常小,大部分都是几K到几十K,如果把木马捆绑到其他正常文件上,你很难发现,所以,有一些网站提供的软件下载往往是捆绑了木马文件的,你执行这些下载的文件,也同时运行了木马。
木马也可以通过Script、ActiveX及Asp.CGI交互脚本的方式植入,由于微软的浏览器在执行Senipt脚本存在一些漏洞。攻击者可以利用这些漏洞传播病毒和木马,甚至直接对浏览者电脑进行文件操作等控制。前不久献出现一个利用微软Scripts脚本漏洞对浏览者硬盘进行格式化的HTML页面。如果攻击者有办法把木马执行文件下载到攻击主机的一个可执行WWW目录夹里面,他可以通过编制CGI程序在攻击主机上执行木马目录。此外,木马还可以利用系统的一些漏洞进行植人,如微软著名的US服务器溢出漏洞,通过一个IISHACK攻击程序即可使IIS服务器崩溃,并且同时攻击服务器,执行远程木马执行文件。
当服务端程序在被感染的机器上成功运行以后,攻击者就可以使用客户端与服务端建立连接,并进一步控制被感染的机器。在客户端和服务端通信协议的选择上,绝大多数木马使用的是TCP/IP协议,但是也有一些木马由于特殊的原因,使用UDP协议进行通讯。当服务端在被感染机器上运行以后,它一方面尽量把自己隐藏在计算机的某个角落里面,以防被用户发现;同时监听某个特定的端口,等待客户端与其取得连接;另外为了下次重启计算机时仍然能正常工作。木马程序一般会通过修改注册表或者其他的方法让自己成为自启动程序。
网络安全 | 评论:0
| Trackbacks:0
| 阅读:44
Submitted by 海东青 on 2009, February 25, 2:57 PM
本文将详细描述用于手动配置全新的Windows防火墙的对话框集。与Windows XP(SP2之前的版本)中的ICF不同,这些配置对话框可同时配置IPV4和IPV6流量。
在Windows XP SP2中,Windows防火墙有了许多新增特性,其中包括:
默认对计算机的所有连接启用、应用于所有连接的全新的全局配置选项、用于全局配置的新增对话框集、全新的操作模式、启动安全性、本地网络限制、异常流量可以通过应用程序文件名指定对Internet协议第6版(IPV6)的内建支持
采用Netsh和组策略的新增配置选项
Windows XP(SP2之前的版本)中的icf设置包含单个复选框(在连接属性的“高级”选项卡上“通过限制或阻止来自Internet对此计算机的访问来保护我的计算机和网络”复选框)和一个“设置”按钮,您可以使用该按钮来配置流量、日志设置和允许的ICMP流量。
在Windows XP SP2中,连接属性的“高级”选项卡上的复选框被替换成了一个“设置”按钮,您可以使用该按钮来配置常规设置、程序和服务的权限、指定于连接的设置、日志设置和允许的ICMP流量。
“设置”按钮将运行全新的Windows防火墙控制面板程序(可在“网络和Internet连接与安全中心”类别中找到)。
新的Windows防火墙对话框包含以下选项卡:
“常规” “异常” “高级” “常规”选项卡
在“常规”选项卡上,您可以选择以下选项:
“启用(推荐)”
选择这个选项来对“高级”选项卡上选择的所有网络连接启用Windows防火墙。
Windows防火墙启用后将仅允许请求的和异常的传入流量。异常流量可在“异常”选项卡上进行配置。
“不允许异常流量”
单击这个选项来仅允许请求的传入流量。这样将不允许异常的传入流量。“异常”选项卡上的设置将被忽略,所有的连接都将受到保护,而不管“高级”选项卡上的设置如何。
“禁用”
选择这个选项来禁用Windows防火墙。不推荐这样做,特别是对于可通过Internet直接访问的网络连接。
注意对于运行Windows XP SP2的计算机的所有连接和新创建的连接,Windows防火墙的默认设置是“启用(推荐)”。这可能会影响那些依赖未请求的传入流量的程序或服务的通信。在这样的情况下,您必须识别出那些已不再运作的程序,将它们或它们的流量添加为异常流量。许多程序,比如Internet浏览器和电子邮件客户端(如:outlook eXPress),不依赖未请求的传入流量,因而能够在启用Windows防火墙的情况下正确地运作。
如果您在使用组策略配置运行Windows XP SP2的计算机的Windows防火墙,您所配置的组策略设置可能不允许进行本地配置。在这样的情况下,“常规”选项卡和其他选项卡上的选项可能是灰色的,而无法选择,甚至本地管理员也无法进行选择。
基于组策略的Windows防火墙设置允许您配置一个域配置文件(一组将在您连接到一个包含域控制器的网络时所应用的Windows防火墙设置)和标准配置文件(一组将在您连接到像Internet这样没有包含域控制器的网络时所应用的Windows防火墙设置)。这些配置对话框仅显示当前所应用的配置文件的Windows防火墙设置。要查看当前未应用的配置文件的设置,可使用netsh firewall show命令。要更改当前没有被应用的配置文件的设置,可使用netsh firewall set命令。
“异常”选项卡
在“异常”选项卡上,您可以启用或禁用某个现有的程序或服务,或者维护用于定义异常流量的程序或服务的列表。当选中“常规”选项卡上的“不允许异常流量”选项时,异常流量将被拒绝。
对于Windows XP(SP2之前的版本),您只能根据传输控制协议(TCP)或用户数据报协议(UDP)端口来定义异常流量。对于Windows XP SP2,您可以根据TCP和UDP端口或者程序或服务的文件名来定义异常流量。在程序或服务的TCP或UDP端口未知或需要在程序或服务启动时动态确定的情况下,这种配置灵活性使得配置异常流量更加容易。
已有一组预先配置的程序和服务,其中包括:
文件和打印共享、远程助手(默认启用)、远程桌面、UPNP框架,这些预定义的程序和服务不可删除。
如果组策略允许,您还可以通过单击“添加程序”,创建基于指定的程序名称的附加异常流量,以及通过单击“添加端口”,创建基于指定的TCP或UDP端口的异常流量。
当您单击“添加程序”时,将弹出“添加程序”对话框,您可以在其上选择一个程序或浏览某个程序的文件名。
当您单击“添加端口”时,将弹出“添加端口”对话框,您可以在其中配置一个TCP或UDP端口。
全新的Windows防火墙的特性之一就是能够定义传入流量的范围。范围定义了允许发起异常流量的网段。在定义程序或端口的范围时,您有两种选择:
“任何计算机”
允许异常流量来自任何IP地址。
“仅只是我的网络(子网)”
仅允许异常流量来自如下IP地址,即它与接收该流量的网络连接所连接到的本地网段(子网)相匹配。例如,如果该网络连接的IP地址被配置为 192.168.0.99,子网掩码为255.255.0.0,那么异常流量仅允许来自192.168.0.1到192.168.255.254范围内的 IP地址。
当您希望允许本地家庭网络上全都连接到相同子网上的计算机以访问某个程序或服务,但是又不希望允许潜在的恶意Internet用户进行访问,那么“仅只是我的网络(子网)”设定的地址范围很有用。
一旦添加了某个程序或端口,它在“程序和服务”列表中就被默认禁用。
在“异常”选项卡上启用的所有程序或服务对“高级”选项卡上选择的所有连接都处于启用状态。
“高级”选项卡
“高级”选项卡包含以下选项:
网络连接设置、安全日志、ICMP、默认设置
“网络连接设置”
在“网络连接设置”中,您可以:
1、指定要在其上启用Windows防火墙的接口集。要启用Windows防火墙,请选中网络连接名称后面的复选框。要禁用Windows防火墙,则清除该复选框。默认情况下,所有网络连接都启用了Windows防火墙。如果某个网络连接没有出现在这个列表中,那么它就不是一个标准的网络连接。这样的例子包括Internet服务提供商(ISP)提供的自定义拨号程序。
2、通过单击网络连接名称,然后单击“设置”,配置单独的网络连接的高级配置。
如果清除“网络连接设置”中的所有复选框,那么Windows防火墙就不会保护您的计算机,而不管您是否在“常规”选项卡上选中了“启用(推荐)”。如果您在“常规”选项卡上选中了“不允许异常流量”,那么“网络连接设置”中的设置将被忽略,这种情况下所有接口都将受到保护。
当您单击“设置”时,将弹出“高级设置”对话框。
在“高级设置”对话框上,您可以在“服务”选项卡中配置特定的服务(仅根据TCP或UDP端口来配置),或者在“ICMP”选项卡中启用特定类型的ICMP流量。
这两个选项卡等价于Windows XP(SP2之前的版本)中的icf配置的设置选项卡。
“安全日志”
在“安全日志”中,请单击“设置”,以便在“日志设置”对话框中指定Windows防火墙日志的配置,
在“日志设置”对话框中,您可以配置是否要记录丢弃的数据包或成功的连接,以及指定日志文件的名称和位置(默认设置为systemrootpfirewall.log)及其最大容量。
“ICMP”
在“ICMP”中,请单击“设置”以便在“ICMP”对话框中指定允许的ICMP流量类型。
在“ICMP”对话框中,您可以启用和禁用Windows防火墙允许在“高级”选项卡上选择的所有连接传入的ICMP消息的类型。ICMP消息用于诊断、报告错误情况和配置。默认情况下,该列表中不允许任何ICMP消息。
诊断连接问题的一个常用步骤是使用ping工具检验您尝试连接到的计算机地址。在检验时,您可以发送一条ICMP ECHO消息,然后获得一条ICMP ECHO reply消息作为响应。默认情况下,Windows防火墙不允许传入ICMP ECHO消息,因此该计算机无法发回一条ICMP ECHO reply消息作为响应。为了配置Windows防火墙允许传入的ICMP ECHO消息,您必须启用“允许传入的ECHO请求”设置。
“默认设置”
单击“还原默认设置”,将Windows防火墙重设回它的初始安装状态。
当您单击“还原默认设置”时,系统会在Windows防火墙设置改变之前提示您核实自己的决定。
网络安全 | 评论:0
| Trackbacks:0
| 阅读:43
Submitted by 海东青 on 2009, February 25, 2:57 PM
本文讨论了Linux环境下攻击者入侵成功以后常常使用的一些后门技术,并且对最著名的rootkit工具之一?knark进行了详细的分析,并且指出了在发现系统被入侵以后如何发现是否是kark及如何恢复。 注意:本文是用于管理员学习之用,不可用于进行网络攻击否则带来的任何法律后果自行负责。本文作者不对由于本文导致的任何后果负任何责任。 一、什么是"rootkit"? 入侵者入侵后往往会进行清理脚印和留后门等工作,最常使用的后门创建工具就是rootkit。不要被名字所迷惑,这个所谓的“rootkit”可不是给超级用户root用的,它是入侵者在入侵了一太主机后,用来做创建后门并加以伪装用的程序包。这个程序包里通常包括了日志清理器,后门等程序。同时,程序包里通常还带有一些伪造的ps、ls、who、w、netstat等原本属于系统本身的程序,这样的话,程序员在试图通过这些命令查询系统状况的时候,就无法通过这些假的系统程序发觉入侵者的行踪。 在一些黑客组织中,rootkit (或者backdoor) 是一个非常感兴趣的话题。各种不同的rootkit被开发并发布在internet上。在这些rootkit之中, LKM尤其被人关注, 因为它是利用现代操作系统的模块技术。作为内核的一部分运行,这种rootkit将会越来越比传统技术更加强大更加不易被发觉。一旦被安装运行到目标机器上, 系统就会完全被控制在hacker手中了。甚至系统管理员根本找不到安全隐患的痕迹, 因为他们不能再信任它们的操作系统了。后门程序的目的就是甚至系统管理员企图弥补系统漏洞的时候也可以给hacker系统的访问权限。 入侵者通过:设置uid程序, 系统木马程序, cron后门等方法来实现入侵者以后从非特权用户使用root权限。 *设置uid程序。 黑客在一些文件系统理放一些设置uid脚本程序。无论何时它们只要执行这个程序它们就会成为root。 *系统木马程序。黑客替换一些系统程序,如"login"程序。因此, 只要满足一定的条件,那些程序就会给黑客最高权限。 *Cron后门。黑客在cron增加或修改一些任务,在某个特定的时间程序运行,他们就可以获得最高权限。 具体可能通过以下方法给予远程用户以最高访问权限: ".rhost" 文件, ssh认证密钥, bind shell, 木马服务程序。 *".rhosts" 文件。一旦 " "被加入某个用户的.rhosts文件里, 任何人在任何地方都可以用这个账号来登陆进来而不需要密码。 *ssh认证密钥。黑客把他自己的公共密钥放到目标机器的ssh配置文件"authorized_keys"里, 他可以用该账号来访问机器而不需要密码。 *Bind shell。黑客绑定一个shell到一个特定的tcp端口。任何人telnet这个端口都可以获得交互的shell。更多精巧的这种方式的后门可以基于udp,或者未连接的tcp, 甚至icmp协议。 *Trojaned服务程序。任何打开的服务都可以成为木马来为远程用户提供访问权限。例如, 利用inetd服务在一个特定的端口来创建一个bind shell,或者通过ssh守护进程提供访问途径。 在入侵者植入和运行后门程序之后, 他会设法隐藏自己存在的证据,这主要涉及到两个方面问题: 如何来隐藏他的文件且如何来隐藏他的进程。 为了隐藏文件, 入侵者需要做如下事情: 替换一些系统常用命令如"ls", "du", "fsck"。在底层方面, 他们通过把硬盘里的一些区域标记为坏块并把它的文件放在那里。或者如果他足够疯狂,他会把一些文件放入引导块里。 为了隐藏进程, 他可以替换 "ps"程序, 或者通过修改argv[]来使程序看起来象一个合法的服务程序。有趣的是把一个程序改成中断驱动的话,它就不会出现在进程表里了。 RootKit-Knark的历史
Knark是第二代的新型rootkit工具-其基于LJM(loadable kernel module)技术,使用这种技术可以有效地隐藏系统的信息。作者在代码和README文件中都标注有不承担责任的声明,声明该代码不可以被用作非法活动。然而该软件可以容易地被用于这种目的。 Knark是由creed@sekure.net编写的,主要基于http://www.dataguard.no/bugtraq/1997_4/0059.html中Runar Jensen编写的代码heroin.c,设计思想主要来自于Phrack 52中plaguez发表的文章Weakening the Linux Kernel"。在重新编写了heroin.c的大部分代码以后,Creed决定重新命名为"Knark",在瑞典语中是指吸毒者。Creed编写的其他软件可以在www.sekure.net/~happy-h/得到,但是由于该站点只有瑞典语版本,因此应用并不广泛。 Knark的第一个公开版本是0.41,发布于June, 1999。可以在B4B0 #9中索引到它:http://packetstorm.securify.com/mag/b4b0/b4b0-09.txt。随后0.50和0.59被发布,当前版本是0.59。可以从这里下载0.59版。 Knark特性 Knark0.59具有以下特性: *隐藏或显示文件或目录 *隐藏TCP或UDP连接 *程序执行重定向 *非授权地用户权限增加("rootme") *改变一个运行进程的UID/GID的工具 *非授权地、特权程序远程执行守护进程 *Kill ?31来隐藏运行的进程 联合使用程序执行重新定向和文件隐藏,入侵者能提供各种后门程序执行。由于执行重定向是在内核级别进行的,因此文件检测工具不会发现程序文件被修改-原始的执行程序并没有被修改,因此配置检测工具在路径环境中也不会发现任何异常。 如果Knark结合另外一个用来隐藏系统当前加载的模块的LKM工具modhide,就可能实现甚至通过lsmod命令也不能发现knark的存在。 Knark软件包的安装和使用 该软件包的核心软件是knark,c,它是一个Linux LKM(loadable kernel-module)。运行命令"make"来编译knark软件包,通过"insmod knark"命令来加载该模块。当knark被加载,隐藏目录/proc/knark被创建,该目录下将包含以下文件: author 作者自我介绍 files 系统中隐藏文件列表 nethides 在/proc/net/[tcp|udp]隐藏的字符串 pids 被隐藏的pids列表,格式类似于ps命令输出 redirects 被重定向的可执行程序入口列表 该软件包编译以后将有下面这些工具软件(它们都依赖于被加载的模块knark.o。除了taskhack.c,其用于直接修改/dev/kmem) hidef 用于在系统中隐藏文件 在/usr/lib目录下创建子目录hax0r,然后运行命令"./hidef /usr/lib/.hax0r",则该目录会被隐藏,"ls"或"du"等命令都不能显示该目录及其子目录。 unhidef 用来恢复被隐藏的文件 你可以通过访问"cat /proc/knark/files"来察看你隐藏了哪些文件。通过"./unhidef /usr/lib/.hax0r"命令来解除对隐藏文件的隐藏。但是这里有个小小的bug,使得被隐藏的目录在/proc/knark/files中显示的是其加载开始的路径,也就是说如果系统有一个文件系统加载在/mnt,你隐藏了/mnt/secret,则在/proc/knark/files中显示的被隐藏的目录为/secret。因此不会影响根文件被隐藏的目录。 ered 用来配置重定向程序的执行 拷贝特洛伊木马版本的sshd为/usr/lib/.hax0r/sshd_trojan,然后运行"./ered /usr/local/sbin/sshd /usr/lib/.hax0r/sshd_trojan",这样当/usr/local/sbin/sshd被运行时,实际上运行的特洛伊木马版本的sshd。可以通过命令./ered -c来清楚所有的可执行程序重定向。 nethide 用来隐藏/proc/net/tcp和/proc/net/udp中的某些字符串 netstat命令就不会得到指定的链接信息。通过命令/nethide ":ABCD "可以隐藏和端口号ABCD(十六进制)相关的连接(43981 dec)。也就是对/proc/net/[tcp|udp]读取时进行"grep -v"操作。 你必需理解使用该程序从/proc/net/[tcp|udp]得到的输出的意义。假设系统运行有sshd,那么连接到本地22端口以后,运行"netstat -at",则输出可能包含:
Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 localhost:ssh localhost:1023 ESTABLISHED 现在我们来检测文件/proc/net/tcp: cat /proc/net/tcp 则输出可能包含入下内容: local_address rem_address blablabla... 0:0100007F:0016 0100007F:03FF 01 00000000:00000000 00:00000000 00000000 若我们希望隐藏和地址127.0.0.1相关的任何信息,我们必须使用如上面所示的十六进制的格式。因此如果希望隐藏地址127.0.0.1的22号端口相关的内容就要使用0100007F:0016来标识该链接。因此 ./nethide "0100007F:0016" 将隐藏to/from localhost:22相关的链接信息。 ./nethide ":ABCD " 来去除隐藏。 rootme 用来实现非特权用户获得root访问权限 ./rootme /bin/sh 就可以实现以root身份运行/bin/sh。 ./rootme /bin/ls -l /root 则是仅仅以root身份运行单个命令。 taskhack 用来改变某个运行着的进程的uid和gid ./taskhack -alluid=0 pid 该命令将进程pid的所有*uid@#s (uid, euid, suid, fsuid)为0 (root). ps aux | grep bash creed 91 0.0 1.3 1424 824 1 S 15:31 0:00 -bash 现在来改变该进程的euid为0: ./taskhack -euid=0 91 ps aux | grep bash root (!) 91 0.0 1.3 1424 824 1 S 15:31 0:00 -bash rexec 用来远程执行knark-server的命令: ./rexec www.microsoft.com haxored.server.nu /bin/touch /LUDER 这命令将从www.microsoft.com:53发送一个伪装的udp数据包到 haxored.server.nu:53,来运行haxored.server.nu的命令"/bin/touch /LUDER" 入侵者入侵以后往往将knark的各种工具存放在/dev/某个子目录下创建的隐藏子目录,如/dev/.ida/.knard等等。 检测系统是否被安装了Knark Knark的作者Creed,发布了一个工具:knarkfinder.c来发现Knark隐藏的进程。 检查系统是否安装有Knark的最直接有效的方法是以非特权用户身份来运行Knark的一个软件包如:rootme,看该用户是否能获得root权限。由于目前Knark目前没有认证机制,因此入股系统被安装了Knark任何一个本地用户运行这个程序都能获得root权限。 还有一个最有效的发现系统是否被knark或者类似的rootkit所感染的方法就是使用kstat来检测,具体参考本站的Nexeon写的解决方案文章:检测LKM rootkit。 Knark防范 防止knark最有效的方法是阻止入侵者获得root权限。但是在使用一切常规的方法进行安全防范以后,防止knark之类的基于LKM技术的rootkit的方法是: *创建和使用不支持可加载模块的内核,也就是使用单块内核。这样knark就不能插入到内核中去了。 *使用lcap (http://pweb.netcom.com/~spoon/lcap/)实现系统启动结束以后移除内核LKM功能,这样可以防止入侵者加载模块。然而这种方法存在一定的问题,入侵者可以在获得root权限以后修改启动脚本,在lcap启动之前来加载knark模块从而逃避lcap的限制。
网络安全 | 评论:0
| Trackbacks:0
| 阅读:40
Submitted by 海东青 on 2009, February 25, 2:57 PM
微软的 IE7 已经出了一段时间,通过这段时间的使用,发现 IE7 在各个方面都有不少的进步。
自从出现了流氓软件后,IE的工具栏就是各个流氓软件抢夺的重要地盘,IE6 经常体无完肤。现在,IE7 的出现终于可以还给浏览器一个干净的天空。
IE7不加载任何插件启动
当你不希望使用任何插件时,你可以右键点击桌面上的IE图标,选择“Start Without Add-ons(不加载插件启动)”,使用这种方式启动的浏览器就不会加载任何插件了。
恢复IE7的最初设置
上面的方法虽然简单,但没次启动都要如此就有些麻烦了。其实,IE7的最新功能中,我们可以通过选项使IE7恢复到最初设置,告别所有插件。
右键点击IE7的标签栏,选择“Menu Bar(主菜单)”
选择主菜单中的“Tools(工具)”下的“Internet Options(Internet 属性)”
在“Internet Options”中选择Advanced→Reset...,这样我们就可以将IE浏览器恢复到最初设置。
总的来说,微软在IE7的功能和安全性上改进了很多,看得出在火狐等浏览器的压力下,微软终于开始用心了。
网络安全 | 评论:0
| Trackbacks:0
| 阅读:41