埋伏、伪装,何人斯的药方
网络通信
七月二十日,何人斯在为我重新安装完操作系统打好补丁后,开始为我的电脑装备防护设施──防火墙。
何人斯说,新手对付黑客的手段和方式有很多种,一个补丁齐全的操作系统,一个密码复杂的口令,当然最重要的是要有一个能够洞察一切攻击行为的网络防火墙。而何人斯将网络防火墙分为两种,一种是过滤型防火墙,一种是能够探测来敌的防火墙……
兵临城下
症结:无防御能力
症状:被网贼欺骗,误中木马后无法察觉
医治方法:
雪柔接二连三地遭遇各种无法查杀的木马的侵袭,可想而知,这群网贼是有预谋的。而且通常来说,杀毒软件对这些无法被识别或者说修改了特征码的病毒是无可奈何的。因为特征码就像人的脸一样,一旦修改后,就如同做了整形手术,任凭你对这个人再熟悉,也无法从外表查看出他的真实背景。
其实对付这种招数很简单,使用防御性的防火墙就可以将它歼灭在电脑之中,即便你的病毒防火墙没有辨认出它的脸,过滤型防火墙也可以围堵住它。
我认为过滤型防火墙的特点就是对网络访问权限管理得极为严格,任何程序,甚至包括IE浏览器想要对网络进行访问和握手的时候,都需要过问防御性网络防火墙,待到这些需要连接网络的程序拿到你的手谕之后,才能够与网络接触。这样的防火墙有一个好处,即便你身中木马几十个,即便不能将这些木马全部查杀,你也可以通过控制程序的访问网络的权限,将它们全部困在你的计算机中,让这些木马无法与外界的主子接触。
在过滤型防火墙中,国内比较常见的是:天网防火墙、金山网镖等。
不过这类防火墙也有致命的弱点,由于它们都注重被动防御,因此在对IDS的入侵分析方面开发得就不如主动性好的探测防火墙。对高手而言,这类消耗资源的防火墙是他们所不喜欢的。
愿者上钩
症结:反复受到攻击,网络速度缓慢
症状:由于IP固定等原因,反复受到攻击
医治方法:
像留香客栈这样拥有固定IP的服务器,很容易受到针对性极强的漏洞扫描攻击和DoS洪水攻击。这类攻击非常凶狠,如同蝗灾一样,所到之处,轻则网速减慢,重则系统瘫痪。如果你在一个敏感的网络IP段,或不幸成为网易、新浪、搜狐这些大网站IP段的邻居,你可能每天都会遭受到大量的固定的或者非固定的漏洞扫描。在没有安装防火墙的情况下,你的操作系统要跟每一种通信信息握手,而且还要回应它们,虽然你已经打上了系统补丁,但是也会由于网络请求太多,致使网络速度下降。
当然,在网络病毒肆虐的今天,即便你不在敏感的网络IP段中,同样可能由于局域网中或者相邻网段中的中毒计算机过多而遭到众多的漏洞扫描和攻击。而对付这些攻击,主动防御型防火墙是非常好的选择,这类防火墙通常不能禁止计算机中的程序要求和网络产生握手的行为,但是由于这些防火墙拥有优良的IDS性能,能够很好地探测到敌人的进攻手段和进攻IP,就使得我们能够了解这类敌人的特点,进行反牵制之类的行动。
网络中有很多黑客就无比钟爱这类防火墙,因为这类防火墙能够发现很多本身中有病毒带有漏洞的机器,并且能够非常快速地提醒你,谁在疯狂的攻击你,他们想达到什么样的目的。以BlackICE为例,如果你看到防火墙总是提示你有一个IP地址在疯狂地向你发送SQL_SSRP_Slammer_Worm、SQL_SSRP_StackBo和 Email_Virus_Suspicious_Zip之类的信息,那么这台机器很可能已经中了上述三种病毒。很多黑客就是利用这些防火墙专门寻找网上中了病毒的计算机,并将它们当作跳板肉机。
防火墙使用禁忌
大部分防火墙都无法抵御来自系统内部的攻击,对于系统以及应用软件的安全缺陷也无能为力。要想更好地保护自己的网络系统,还需要其他安全防护手段来配合。例如使用病毒防护软件避免病毒入侵,修补操作系统与应用软件的安全漏洞等。
与普通应用程序不同的是,两种以上的防火墙软件不能同时工作于一个系统中。如果你使用的是Windows XP或Windows 2003这些内建防火墙功能的操作系统,还需要先确认已经停止使用系统内置的防火墙功能,之后方可使用另外的防火墙软件。
在需要卸载防火墙软件时,只能够使用软件提供的卸载功能或操作系统的“添加/删除程序”功能。防火墙软件对系统注册表的修改比较多,简单地删除软件安装目录是没有用的。另外,在安装防火墙软件以后,不要轻易地对防火墙软件的安装目录进行修改,否则防火墙软件有可能无法正常工作,甚至发生无法正常卸载的问题。