--------------------------------------------------------------------------------
天網是大家常用的防火牆軟件,有許多人撰文提議安裝天網,一時間天網防火牆成了菜鳥、高手必備工具。這樣做當然好,至少說明了大家的網絡安全意識提高了許多。但萬事都有個“度”,超過這個“度”就不好了。現在有許多人對天網的迷信達到了癡迷的程度,認為安裝了天網就高枕無憂了,他們在上網時只是打開天網,至於天網運行得怎麼樣就不管了。其實,就在此時你危險了!
一、堡壘往往是從內部被攻破的
堡壘往往是從內部被攻破的,這話一點都不假。遠在古希臘時代,堅固的城牆沒有保護住特洛伊人的家園,被一個小小的木馬所攻破,在今天這個道理依然應驗。
1.用黑毒克星或NoSkyNet
目前的天網防火牆可謂樹大招風,天網也逐漸成為了黑客們攻擊的主要對象!針對它的黑客工具也層出不窮,黑毒克星和NoSkyNet就是其中之一。這兩個軟件共同的特點之一就是小巧隱蔽,另一個特點就是它們將天網破壞殆盡後,居然還能讓天網防火牆在任務欄正常顯示圖標!具有極大的危害性和欺騙性。
雖然黑毒克星和NoSkyNet必須被運行它們才有機會破壞天網防火牆,但百密難免一疏,對於僅幾k大小的黑毒克星、NoSkyNet,真的很難保證不會中招(黑客們當然不會那麼傻,他們會把黑毒克星、NoSkyNet改名,如改為系統優化或微軟補丁之類的名稱,這樣如果你運行了這些“優化補丁”,你的天網就完了!),對付它們只能自己小心了。
2.用黑洞2001
黑洞2001是個木馬程序,具有出色的多進程監控功能。隨著大家安全意識的不斷提高,大多數人都安裝了網絡防火牆,木馬們的生存空間越來越小,為生存計,木馬開發者想出了一個辦法,他讓木馬服務端定時刷新進程,如果發現其中的進程名稱與其事先定義好的相符合,就將這個進程關閉,如果這個被關閉的進程恰巧就是防火牆,那你的網絡大門就完全敞開了,監控端就可為所欲為了。
事實上這個功能就是針對防火牆出現的,一切堡壘都是從內部被攻破的在此得到了充分的體現。其實在黑洞2000中就有了這樣的功能,只不過黑洞2000只能關閉天網防火牆,對其它防火牆沒有任何作用。黑洞2001則可以定義長達99個英文字符號,完全可以將您可能會用到的防火牆都定義到其中,從而可將這些防火牆全部關閉!
對於黑洞2001的多進程監控功能,讓我們作一個小測試。首先,在客戶端作配置。點擊“修改遠程服務器端設置”按鈕,再點擊其中的“智能監控”標簽。
在“進程監控”欄中添入“牆,毒,LOCK”,選中“使用進程監控”,然後點擊“修改配置”保存設置。在服務端運行天網防火牆、金山毒霸、Lockdown、PC-Cillin等軟件,一分鐘後這些軟件被自動關閉!由上可以看出如果你中了黑洞2001,那麼你的防火牆就全成了聾子的耳朵——擺設!
3.利用“反彈端口”型木馬
國內第一個“反彈端口”型木馬“網絡神偷”就可以突破天網防線,使天網失效。“正常”木馬是由客戶端主動連接服務端的,通俗的說就是下木馬方要主動連接中木馬的機子,這樣很容易讓防火牆發現;而反彈端口型木馬與一般的木馬相反,反彈端口型木馬的服務端(被控制端)使用主動端口,客戶端(控制端)使用被動端口,當要建立連接時,由客戶端通過 FTP 主頁空間告訴服務端:“現在開始連接我吧!”,並進入監聽狀態,服務端收到通知後,就會開始連接客戶端。為了隱蔽起見,客戶端的監聽端口一般開在80,這樣,即使用戶使用端口掃描軟件檢查自己的端口,發現的也是類似“TCP 服務端的IP地址:1026 客戶端的IP地址:80 ESTABLISHED”的情況,稍微疏忽一點你就會以為是自己在浏覽網頁。(防火牆也會這麼認為的,我想大概沒有哪個防火牆會不給用戶向外連接80端口吧)。因此這類木馬可以突破幾乎所有的防火牆(包括代理防火牆及過濾型防火牆)!
在我用“網絡神偷”試驗過程中,在天網設置成默認規則的情況下,服務端連接成功並進行文件訪問,服務端主機上的天網毫無反應!天網就這樣被突破了!“反彈端口”型木馬由於是由服務端主動連接客戶端的,所以天網規則裡的“禁止所有人連接”對它是一點用也沒有,只要“允許FTP的數據通道”開啟和“TCP數據包監視”關閉(默認設置正是這樣),天網就不會有任何反應的,這可比黑洞等木馬一上來就關閉天網要危險多了!
注:由於網絡神偷使用了VxD技術,因此該軟件無法在Windows2000/NT下使用,非Windows2000/NT下的朋友就要小心它了!
二、強攻也可突破天網的保護
其實,只要能夠加以注意,或不是那麼“菜”的話,那麼上面所說的從內部攻破的方法就會失效(可惜許多人就是不夠小心),此時就只有強攻這一條路了。雖然天網對各類IP炸彈的攻擊保護等不錯,但仍有空子可鑽,有四種方法攻破它,請看:
1.使裝天網的系統死機的簡單方法
推薦工具:PortScan和IGMP Nuke
(1)得到對方的IP
要查對方IP最簡單的方法是打開網絡防火牆,如天網,然後點擊“安全規則設置”,在彈出的對話框中把“UDP數據包監視”前面的多選框內打上“√”,然後保存設置。現在,在QQ中給那個人發個消息,再來點擊天網中的“日志”按鈕,從中你就會發現對方的IP。有了IP,他想跑可就難了,哈哈。
(2)開始攻擊
打開兩個或兩個以上PortScan,在“Scan:”欄中填入對方的IP,在“Send Port:”欄中填入1,在“Stop Port:”欄中填入65536,這樣就配置完畢,可以攻擊了!現在按“START”按鈕,然後你就可以忙你的別的事吧!掃描的事教給PortScan就可以了。
(3)攻擊原理
天網防火牆有個習慣,它對任何外來的不明數據包都會攔截,當一個時間段內有大量的 “各種不同類型的”數據包湧過來,天網會對之進行一一攔截,還要分析和解析這是什麼數據包,一秒鐘要解析幾十次以上,由於數據包太多,會造成系統的資源逐漸耗掉,對方機子上的應用程序會越來越慢,最終……呵呵!由於PortScan占用系統資源不多,因此本機的速度不會變慢多少
4)攻擊深入
如果該用戶發現是由於天網的過多攔截才造成死機,那他就會關閉天網。此時IGMP Nuke就會發揮作用了:你可以每隔一段時間就對著目標IP運行一下IGMP Nuke,用默認設置就可以。結果,沒有了天網的對方當然是藍屏啦!真是有天網也煩,沒天網也煩呀!
(5)攻擊時自身防范
本方法有一個缺點,就是對方能知道你的IP(天網中會記錄下來的),因此你最好能使用代理服務器免得暴露自己。
2.利用天網小BUG
天網有個小BUG(也許不能算作BUG),它只能記錄6萬多條攻擊記錄。那如果有多出來的的記錄會怎麼樣呢?這正是攻擊者經常利用的一點。攻擊者使用ICMP或IGMP包進行攻擊,當攻擊6萬多次以後,天網就會不斷彈出錯誤對話框,直到耗盡內存而當機!盡管手段不夠漂亮,但的確使裝有天網的主機死機了!簡單實用就是這個方法的最大特點!
3.不斷發送二進制的0字節流到
不停地發送二進制的0字節流到裝有天網主機的特定端口(用TCP或UDP都可以),使裝天網的主機當機。簡單的測試方法如下:在Linux中通過netcat輸入/dev/zero內容,命令如下:
TCP的測試命令為: nc 目標主機 端口 < /dev/zero
舉例:nc 127.0.0.1 7 < /dev/zero 其中“127.0.0.1”為裝有天網主機的IP,“7”為目標主機端口。
UDP的測試命令為:nc -u 目標主機 端口 < /dev/zero
舉例:nc -u 127.0.0.1 53 < /dev/zero 其中“127.0.0.1”為裝有天網主機的IP,“53”為目標主機端口。
TCP ports:7 9 21 23 7778等都是TCP端口。
UDP ports:53 67 68 135 137 500 1812 1813 2535 3456等都是UDP端口。
在本文即將撰稿完畢之際,天網又推出了新的測試版本,新增了一個非常好的功能:天網防火牆增加了對應用程序數據包進行底層分析攔截功能
它可以控制應用程序發送和接收數據包的類型、通訊端口,並且決定攔截還是通過,這是目前其以前版本所不具有的功能。如果能很好的利用該功能,可以有效防止利用“反彈端口”型木馬如“網絡神偷”等程序悄悄連接客戶端,但遺憾的是許多人嫌該功能太煩人(不管哪個程序啟動運行,天網都會向您詢問是否運行),因此將某些程序設置為“始終允許”,此時就給木馬程序提供了機會——木馬也可能被您設置為“始終允許”!就這樣天網精心構築的防線被您輕易的打開了!從這個角度上來說,世上只有愚蠢的人,而沒有愚蠢的防火牆!
解決辦法
1.不要到小站點下載軟件,更不要運行“好心”的大蝦提供的補丁之類的軟件,當心被別有用心的人利用!如此一來,可以防止木馬及黑毒克星、NoSkyNet之類的軟件被運行。
2.保持警惕性,對不熟悉的人發來的E-Mail不要輕易打開,帶有附件就更要小心了。另外算就是熟人發來的E-Mail,對其中的附件也要小心,您的朋友也許會無意中害了您(他的電腦被感染了木馬,但他有可能自己並不知道)。
3.安裝殺毒反黑軟件,下載軟件運行前用殺毒反黑軟件檢查,如金山毒霸就可以識別出黑毒克星、NoSkyNet和上面說的黑洞2001,而反黑軟件如“木馬克星”可以查出網絡神偷。
4.注意注冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren V
