浏览模式: 普通 | 列表
起先也只是自己收到Q友的这种病毒信息,没想到,从苏州回到上海之后,自己也就中标了。这东西害人不浅。病毒如下:“我刚刚给你点了一首好听的歌放在手机信箱里你用手机拨 1②590556225就可以听了,听完后有我留言”。在网上查过,有人打过这类的电话,70元的话费只剩1元了,谋财的。我杀了两天的时间才在迷失中搞定,现在还不知有没有彻底清除掉,询问多个同学,好象没有再出现,叫人深恶痛绝的状况。随将自己解决的方法与大家共享,以抵制垃圾人物制造的垃圾程序。
在中毒后,我下载了N多的杀毒软件,包括本机中原有的“木马杀客”、“卡巴斯基”,以及下载的,“QQKAV”、“Saint”、“瑞星QQ专杀”、“Ewido”、“Virus Scan”只有“Ewido”和“QQKAV”查杀到多个病毒,但问题仍然没有解决,晚上和同事出去吃完饭回来,病毒更加猖獗。向我大学同学发了N个病毒,他的电脑好像也中标了,发给我的,被我的“QQKAV”给屏蔽了,丫的,不解决不行呀,这不是害人又害已吗~~~~~~~~~~~~多次重起电脑后发现在,在刚刚打开桌面的时候,有两个不知名的进程在运行,然后就没了,进程查看器也看不到了。分别是:“8AB0E010.EXE”和“D504584F.EXE”,到注册表里找到这两个文件:打开—开始—运行—输入“regedit”—CTRL+F—把刚刚那两个文件名写上,再找呀,时间漫长~~=====删除。继续再找下,防止没有删除,汗,还又出来了,怎么删也没行,找到原文件删,打开我的电脑,使用查询快键方式“CTRL+F”,查找下,全在WINDOWS系统里面,我删~~~~~~~~~但是与这两个名字相同,后缀名不同的DLL文件删不了,可能还有程序在占用。我都快傻了。重起,按F8,进入安全模式,按上面的步骤再删一次,把DLL文件也删了,全删了,OK。重起之后看不到这两个进程了。
但再用Ewido杀时候还有一个毒(可能是,英文版的,偶不认识)HKLM/SOFTWARE/Microsoft/Internet Explorer/ActiveX Compatibility/{471E7641-6365-43FE-8464-37DEF8335FB0}/{4A2AACF3-ADF6-11D5-98A9-00E018981B9E} -> Adware.NewDotNet : No action taken 找到这个注册表位置,删,删了再杀,有再删,不行就到安全模式下删。重查杀两次,没有了。哈哈~~~~~~~~~不知道问题有没有最终解决。
如有朋友看到此文有更好的解决软件,请给我留言,告之下,十分感谢ING。

推荐日志 判断你的电脑是否中了病毒

[ 2007-03-25 03:54:49 | 作者: sun ]

各种病毒时至今日也可算是百花齐放了,搞得人心惶惶,一旦发现自己的电脑有点异常就认定是病毒在作怪,到处找杀毒软件,一个不行,再来一个,总之似乎不找到"元凶"誓不罢休一样,结果病毒软件是用了一个又一个,或许为此人民币是用了一张又一张,还是未见"元凶"的踪影,其实这未必就是病毒在作怪。


这样的例子并不少见,特别是对于一些初级电脑用户。下面我就结合个人电脑使用及企业网络维护方面的防毒经验从以下几个方面给大家介绍介绍如何判断是否中了病毒,希望对帮助识别"真毒"有一定帮助!


病毒与软、硬件故障的区别和联系


电脑出故障不只是因为感染病毒才会有的,个人电脑使用过程中出现各种故障现象多是因为电脑本身的软、硬件故障引起的,网络上的多是由于权限设置所致。我们只有充分地了解两者的区别与联系,才能作出正确的判断,在真正病毒来了之时才会及时发现。下面我就简要列出了分别因病毒和软、硬件故障引起的一些常见电脑故障症状分析。


病毒入侵后可能引起软、硬件故障的可能性


经常死机:病毒打开了许多文件或占用了大量内存;不稳定(如内存质量差,硬件超频性能差等);运行了大容量的软件占用了大量的内存和磁盘空间;使用了一些测试软件(有许多BUG);硬盘空间不够等等;运行网络上的软件时经常死机也许是由于网络速度太慢,所运行的程序太大,或者自己的工作站硬件配置太低。


系统无法启动:病毒修改了硬盘的引导信息,或删除了某些启动文件。如引导型病毒引导文件损坏;硬盘损坏或参数设置不正确;系统文件人为地误删除等。


文件打不开:病毒修改了文件格式;病毒修改了文件链接位置。文件损坏;硬盘损坏;文件快捷方式对应的链接位置发生了变化;原来编辑文件的软件删除了;如果是在局域网中多表现为服务器中文件存放位置发生了变化,而工作站没有及时涮新服器的内容(长时间打开了资源管理器)。


经常报告内存不够:病毒非法占用了大量内存;打开了大量的软件;运行了需内存资源的软件;系统配置不正确;内存本就不够(目前基本内存要求为128M)等。


提示硬盘空间不够:病毒复制了大量的病毒文件(这个遇到过好几例,有时好端端的近10G硬盘安装了一个WIN98或WINNT4.0系统就说没空间了,一安装软件就提示硬盘空间不够。硬盘每个分区容量太小;安装了大量的大容量软件;所有软件都集中安装在一个分区之中;硬盘本身就小;如果是在局域网中系统管理员为每个用户设置了工作站用户的"私人盘"使用空间限制,因查看的是整个网络盘的大小,其实"私人盘"上容量已用完了。


软盘等设备未访问时出读写信号:病毒感染;软盘取走了还在打开曾经在软盘中打开过的文件。


出现大量来历不明的文件:病毒复制文件;可能是一些软件安装中产生的临时文件;也或许是一些软件的配置信息及运行记录。


启动黑屏:病毒感染(记得最深的是98年的4.26,我为CIH付出了好几千元的代价,那天我第一次开机到了Windows画面就死机了,第二次再开机就什么也没有了);显示器故障;显示卡故障;主板故障;超频过度;CPU损坏等等


数据丢失:病毒删除了文件;硬盘扇区损坏;因恢复文件而覆盖原文件;如果是在网络上的文件,也可能是由于其它用户误删除了。


键盘或鼠标无端地锁死:病毒作怪,特别要留意"木马";键盘或鼠标损坏;主板上键盘或鼠标接口损坏;运行了某个键盘或鼠标锁定程序,所运行的程序太大,长时间系统很忙,表现出按键盘或鼠标不起作用。


系统运行速度慢:病毒占用了内存和CPU资源,在后台运行了大量非法操作;硬件配置低;打开的程序太多或太大;系统配置不正确;如果是运行网络上的程序时多数是由于你的机器配置太低造成,也有可能是此时网路上正忙,有许多用户同时打开一个程序;还有一种可能就是你的硬盘空间不够用来运行程序时作临时交换数据用。


系统自动执行操作:病毒在后台执行非法操作;用户在注册表或启动组中设置了有关程序的自动运行;某些软件安装或升级后需自动重启系统。


通过以上的分析对比,我们知道其实大多数故障都可能是由于人为或软、硬件故障造成的,当我们发现异常后不要急于下断言,在杀毒还不能解决的情况下,应仔细分析故障的特征,排除软、硬件及人为的可能性。



网络犯罪日益猖獗,明年也肯定会有新病毒、新犯罪手段出现,虽然这些现在可能和你没有关系,但是常在江湖漂,哪能不挨刀,McAfee在分析明年安全形势的时候做出了十条预测,我们与大家分享一下,了解之后预防胜于治疗,希望大家永远不要被病毒、木马、流氓软件骚扰。

网络冲浪,小心为上,让我们来看看这十条预测:

1.盗窃密码的网页会增加,多数是模仿知名网站例如eBay的登陆界面,诱使用户上当。

2.垃圾邮件、占据带宽的图像邮件等比率会继续增长。

3.视频网站的流行会让黑客也注意到MPEG这一散布恶意代码的途径。

4.当移动设备变得更加智能的时候,针对它们的攻击也会增加。

5.随着网络的发展,广告流氓软件也会增多。

6.身份和数据被盗仍会成为广大用户头痛的原因,除了计算机被控制之外,装有信息的设备丢失和网络通讯截取也是主要丢失原因。

7.使用“机器人”来自动完成任务,也会让黑客较容易盯上你。

8.恶意软件、木马、病毒将会更不容易彻底清除,它们会采用更加难缠的备份恢复手段。

9.32位平台上的攻击型rootkit会增加,不过相应的防护技术也会进步。

10.系统或软件漏洞仍会持续刺激“信息地下市场”。

虽然情况看上去不太乐观,但是就如McAfee安全研究通信主管David Marcus所说的:“这不是世界末日,坏家伙在尽力而为,安全业界也在日益成长中。”


推荐日志 网络安全热点技术大放送

[ 2007-03-25 03:54:26 | 作者: sun ]
据统计,全球平均每20秒钟就发生一次网上入侵事件,我国互联网站点已达3万个之多,国内有80%以上的网站缺乏安全措施,20%的网站有严重的安全问题。国内各行业、企业用户已逐渐意识到网络安全的重要性,正在打算或者已经开始实施完善的安全解决方案。那么,目前主流的网络安全技术、产品和市场到底如何呢?记者总结了日前参加第三届中国国际计算机信息系统安全展览会时的所见所闻,以飨读者。

今年的安全展参展厂商有60家左右,规模比去年小,涵盖了信息与网络安全所涉及的主要方面,但这其中最值得的关注的依然是防火墙、防病毒以及入侵检测几大领域。

硬件防火墙是主流
防火墙作为防护网络安全的第一道门,是目前市场规模最大的一种产品,也是企业用户率先选用的网络安全产品。同时,由于防火墙技术相对比较成熟,几乎每家的产品都使用了包过滤、状态检测以及应用层代理这三种实现技术,所以很多网络安全企业认为防火墙门槛比较低,纷纷从防火墙切入网络安全领域。
作为目前最琳琅满目的网络安全产品,从实现形式来说,我们可以看到以硬件为主体的防火墙是主流方向,国内代表当属天融信、东方龙马、安氏、联想网御等,国外代表是Cisco PIX、NetScreen、SonicWall等。据安全专家介绍,大家之所以都在走硬件防火墙之路,其中一个原因是软件往往会成为影响网络性能的瓶颈,我们报社曾经刊登的“防火墙测试报告”中也显示出硬件防火墙性能远远高于软件,同时国内用户往往感觉硬件比软件要安全。
CheckPoint FireWall-1作为业界第一大防火墙品牌,以软件制胜,但实际上此次展会上所见到的集成了CheckPoint FireWall-1内核的上海应确信有限公司安全产品和群柏数码所带来的诺基亚系列安全产品都是典型的硬盒子。国内自主研发的防火墙产品基本上都是将以Linux 为内核开发的防火墙软件固化在硬件中提供给用户。

入侵检测应用崭露头角
对于企业用户来说,防火墙毕竟还是被动防护手段,入侵检测作为一种主动动态的防护手段,与防火墙、防病毒产品结合在一起,才能构筑完整的安全防护解决方案。
此次展会上,我们看到入侵检测产品数量远比去年增加了不少,但厂商规模和实力相差甚大。据专家介绍,其实,国内不少入侵检测产品是拿国外的产品改头换面,并非真正从底层进行研发的,所以用户选择时一定要擦亮眼睛。同时,用户在选购入侵检测产品时,除了考虑检测能力和协议分析能力以外,还需要注意产品本身的升级扩充能力,因为入侵检测产品与防病毒软件一样依赖于巨大的攻击特征库,特征库的更新对产品的功能和性能都非常重要。当然,对于入侵检测产品来说,产品本身的安全性也非常关键。

防病毒走向多层次
如今,越来越多的企业用户认识到单靠在客户端安装个人防病毒软件并不能解决问题,病毒是无孔不入的,有的病毒来自软盘或光盘,有的来自电子邮件,有的是通过Internet浏览、下载文件时感染。因此针对不同的病毒来源,用户应该建立全方位的防病毒体系,也就是在客户端、服务器端(包括文件服务器、邮件服务器、Web服务器等)以及网关端都部署防病毒产品,这种多层次防病毒体系将从不同的角度全面保障企业免受病毒之侵害。IDC统计数字表明,防病毒软件市场正从消费性市场逐渐转型成为企业防毒软件市场,成长动力主要源自于服务器和订阅服务市场,其在2005年将占据整体防毒软件市场中的70%。如今,不只是国外厂商在企业级防毒方面提供完善的方案,国内厂商如瑞星也在大力推广自己的网络防病毒软件。
当然,对于用户来说,要想真正实现对病毒的防患于未然,还必须要时常更新病毒特征库。同时,对于企业级防病毒软件来说,部署与管理是非常重要的问题。各防病毒软件厂商都推出了专门的管理工具来实现对各节点防病毒软件的管理与升级。

协作与宽带——安全产品之方向
以往企业用户采购安全产品往往只买一个防火墙或一套防病毒软件,并没有真正将网络安全作为一种完整的体系来考虑。而实际上,今天的用户正在朝向构建网络安全体系的方向发展。
当然,国内的产品与国外的产品相比较,在产品系列的完整性和产品性能上都存在较大的差距,各产品间缺乏协作,难以适应国内安全产品市场的需求。由于单一的网络安全产品,如防火墙、入侵检测系统等,只注重于网络安全的某一方面,难以满足日益复杂的安全需求。实际应用中,用户往往要购买多类产品。可是,由于产品之间相互独立,合作起来很不方便,无法发挥整体优势。因此,将各类产品集成起来,使之相互协作,成为当前网络安全发展的一个重要趋势。
我们可以看到,原本生产单一网络安全产品的厂商正将产品朝向多元化方向发展或者与其他安全厂商携手并进,以实现不同网络安全产品之间的互动。比如,CheckPoint的OPSEC便是为了集结其他安全领域的强手而推出的一个平台,国内的天融信也推出了类似的TOPSEC平台以实现以防火墙为基础的网络安全防护体系。安氏公司8月初推出的LinkTrust防火墙与ISS的入侵检测体系以及趋势科技的InterScan防病毒网关实现互动,真正结成了完整的网络安全体系。
另外,随着宽带应用的发展,高速网络已经开始从100M带宽向1000M带宽过渡,现有的产品难以适应高速网络的安全需求,如何在这种情况下实现安全与性能之间的平衡是网络安全产品面临的一大挑战。比如,在防火墙领域,用户希望高速度的宽带防火墙,Cisco和NetScreen都已推出了千兆级防火墙产品;入侵检测产品也在朝向宽带方向发展,目前很多厂商在采用集群技术实现千兆级入侵检测。

安全服务不容忽视
如同软件服务一样,安全服务是一个重要方向无庸置疑。但就目前的网络安全市场来说,安全服务还处于初级阶段。虽然有一些厂商宣称自己是安全服务提供商,但要想将安全服务作为唯一的盈利点,在目前市场状态下还无法实现。所以,目前安全服务的提供者往往又是安全产品的生产者或有其他业务作为基础,将安全服务作为增值来发展,这使得国内安全服务的质量参差不齐。
同时,就国内的网络安全应用水平来说,网络管理人员至少有90%以上没有受过正规的网络安全培训;很多网络管理员还是新手上路。信息系统从基础设施到应用程序都存在着大量的漏洞与隐患,即使是经验丰富的系统管理员对层出不穷的漏洞与日新月异的黑客技术也常常感到束手无策。在这种情况下,用户确实需要专业化的网络安全服务,希望厂商能够提供从安全检测及风险评估,安全方案设计与系统集成,安全应急响应以及相关的安全技术咨询与培训服务在内的完善的服务。但面对这么多宣称能够提供安全服务的厂商,用户不知如何选择,因此制定衡量安全服务厂商资质的标准是亟需解决的重要问题。
国家正在引导网络安全服务朝向规范化方向发展。不久前,信息产业部计算机网络与信息安全管理工作办公室组织进行了“国家计算机网络安全服务试点单位”选拔工作。三O卫士信息安全事务所、玛赛、中联绿盟等十几家单位入选国家首批网络安全服务试点单位,将为全国范围内的信息安全建设提供示范工程,对促进安全服务的规范化起到重要的作用

推荐日志 入侵检测技术全攻略

[ 2007-03-25 03:54:13 | 作者: sun ]
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现:
· 监视、分析用户及系统活动;
· 系统构造和弱点的审计;
· 识别反映已知进攻的活动模式并向相关人士报警;
· 异常行为模式的统计分析;
· 评估重要系统和数据文件的完整性;
· 操作系统的审计跟踪管理,并识别用户违反安全策略的行为。

对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。更为重要的一点是,它应该管理、配置简单,从而使非专业人员非常容易地获得网络安全。而且,入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等。

信息收集

入侵检测的第一步是信息收集,内容包括系统、网络、数据及用户活动的状态和行为。而且,需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,这除了尽可能扩大检测范围的因素外,还有一个重要的因素就是从一个源来的信息有可能看不出疑点,但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。

当然,入侵检测很大程度上依赖于收集信息的可靠性和正确性,因此,很有必要只利用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞混和移走这些信息,例如替换被程序调用的子程序、库和其它工具。黑客对系统的修改可能使系统功能失常并看起来跟正常的一样,而实际上不是。例如,unix系统的PS指令可以被替换为一个不显示侵入过程的指令,或者是编辑器被替换成一个读取不同于指定文件的文件(黑客隐藏了初试文件并用另一版本代替)。这需要保证用来检测网络系统的软件的完整性,特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息。

入侵检测利用的信息一般来自以下四个方面:

1.系统和网络日志文件

黑客经常在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测入侵的必要条件。日志中包含发生在系统和网络上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应的应急响应程序。日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志,就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。很显然地,对用户活动来讲,不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。

2.目录和文件中的不期望的改变

网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变(包括修改、创建和删除),特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号。黑客经常替换、修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序或修改系统日志文件。

3.程序执行中的不期望行为

网络系统上的程序执行一般包括操作系统、网络服务、用户起动的程序和特定目的的应用,例如数据库服务器。每个在系统上执行的程序由一到多个进程来实现。每个进程执行在具有不同权限的环境中,这种环境控制着进程可访问的系统资源、程序和数据文件等。一个进程的执行行为由它运行时执行的操作来表现,操作执行的方式不同,它利用的系统资源也就不同。操作包括计算、文件传输、设备和其它进程,以及与网络间其它进程的通讯。

一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解,从而导致它失败,或者是以非用户或管理员意图的方式操作。

4. 物理形式的入侵信息

这包括两个方面的内容,一是未授权的对网络硬件连接;二是对物理资源的未授权访问。黑客会想方设法去突破网络的周边防卫,如果他们能够在物理上访问内部网,就能安装他们自己的设备和软件。依此,黑客就可以知道网上的由用户加上去的不安全(未授权)设备,然后利用这些设备访问网络。例如,用户在家里可能安装Modem以访问远程办公室,与此同时黑客正在利用自动工具来识别在公共电话线上的Modem,如果一拨号访问流量经过了这些自动工具,那么这一拨号访问就成为了威胁网络安全的后门。黑客就会利用这个后门来访问内部网,从而越过了内部网络原有的防护措施,然后捕获网络流量,进而攻击其它系统,并偷取敏感的私有信息等等。

信号分析

对上述四类收集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析:模式匹配,统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。

1. 模式匹配

模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测准确率和效率都相当高。但是,该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。

2.统计分析

统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。例如,统计分析可能标识一个不正常行为,因为它发现一个在晚八点至早六点不登录的帐户却在凌晨两点试图登录。其优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法,目前正处于研究热点和迅速发展之中。

3.完整性分析

完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为消息摘要函数(例如MD5),它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,不用于实时响应。尽管如此,完整性检测方法还应该是网络安全产品的必要手段之一。例如,可以在每一天的某个特定时间内开启完整性分析模块,对网络系统进行全面地扫描检查。

入侵检测系统的典型代表是ISS公司(国际互联网安全系统公司)的RealSecure。它是计算机网络上自动实时的入侵检测和响应系统。它无妨碍地监控网络传输并自动检测和响应可疑的行为,在系统受到危害之前截取和响应安全漏洞和内部误用,从而最大程度地为企业网络提供安全。

入侵检测功能

·监督并分析用户和系统的活动
·检查系统配置和漏洞
·检查关键系统和数据文件的完整性
·识别代表已知攻击的活动模式
·对反常行为模式的统计分析
·对操作系统的校验管理,判断是否有破坏安全的用户活动。
·入侵检测系统和漏洞评估工具的优点在于:
·提高了信息安全体系其它部分的完整性
·提高了系统的监察能力
·跟踪用户从进入到退出的所有活动或影响
·识别并报告数据文件的改动
·发现系统配置的错误,必要时予以更正
·识别特定类型的攻击,并向相应人员报警,以作出防御反应
·可使系统管理人员最新的版本升级添加到程序中
·允许非专家人员从事系统安全工作
·为信息安全策略的创建提供指导
·必须修正对入侵检测系统和漏洞评估工具不切实际的期望:这些产品并不是无所不能的,它们无法弥补力量薄弱的识别和确认机制
·在无人干预的情况下,无法执行对攻击的检查
·无法感知公司安全策略的内容
·不能弥补网络协议的漏洞
·不能弥补由于系统提供信息的质量或完整性的问题
·它们不能分析网络繁忙时所有事务
·它们不能总是对数据包级的攻击进行处理
·它们不能应付现代网络的硬件及特性

入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发,入侵检测理应受到人们的高度重视,这从国外入侵检测产品市场的蓬勃发展就可以看出。在国内,随着上网的关键部门、关键业务越来越多,迫切需要具有自主版权的入侵检测产品。但现状是入侵检测仅仅停留在研究和实验样品(缺乏升级和服务)阶段,或者是防火墙中集成较为初级的入侵检测模块。可见,入侵检测产品仍具有较大的发展空间,从技术途径来讲,我们认为,除了完善常规的、传统的技术(模式识别和完整性检测)外,应重点加强统计分析的相关技术研究。

推荐日志 面对黑客攻击 网络防火墙不是万能的

[ 2007-03-25 03:54:00 | 作者: sun ]

单凭防火墙再也不足以保护网上资产。如今,黑客及其攻击策略是越来越精明、越来越危险。当前的一大威胁就是应用层攻击,这类攻击可以偷偷潜入防火墙、直至潜入Web应用。没错,这类攻击有不少喜欢把宝贵的客户数据作为下手目标。


那么,为什么普通防火墙阻止不了这类攻击呢?因为这类攻击伪装成正常流量,没有特别大的数据包,地址和内容也没有可疑的不相配,所以不会触发警报。最让人害怕的一个例子就是SQL指令植入式攻击(SQL injection)。在这种攻击中,黑客利用你自己的其中一张HTML表单,未经授权就查询数据库。另一种威胁就是命令执行。只要Web应用把命令发送到外壳程序,狡猾的黑客就可以在服务器上随意执行命令。


另一些攻击比较简单。譬如说,HTML注释里面往往含有敏感信息,包括不谨慎的编程人员留下的登录信息。于是,针对应用层的攻击手段,从篡改cookies到更改HTML表单里面的隐藏字段,完全取决于黑客的想象力。不过好消息是,大多数这类攻击是完全可以阻止的。


如果结合使用,两种互为补充的方案可以提供稳固防线。首先,使用应用扫描器彻底扫描你的Web应用,查找漏洞。然后,使用Web应用防火墙阻止不法分子闯入。


应用扫描器基本上可以对你的服务器发动一系列模拟攻击,然后汇报结果。KaVaDo ScanDo、Sanctum AppScan Audit和SPI Dynamics在详细列出缺陷、建议补救方法方面的功能都相当全面。AppScan Audit尤其值得关注,因为这款产品具有事后检查功能,可以帮助编程人员在编制代码时就查出漏洞。不过,这些工具包没有一款比得上安全专业人士的全面审查。


一旦你设法堵住了漏洞,接下来就是部署Web应用防火墙。这类防火墙的工作方式很有意思:弄清楚进出应用的正常流量的样子,然后查出不正常流量。为此,Web应用防火墙必须比普通防火墙更深层地检查数据包。Check Point在这方面最出名,不过KaVaDo、NetContinuum、Sanctum和Teros等其它厂商的名气相对要小。这类防火墙有的采用软件,有的采用硬件,还有一些则兼而有之。不过别误以为这类防火墙是即插即用的,即便采用硬件的也不能。与入侵检测系统一样,你也要认真调整Web应用防火墙,以减少误报,又不让攻击潜入进来。


由于垃圾邮件以及越来越狡猾的攻击,如果您以为安装防火墙就万事大吉,高枕无忧的话,您就应该好好想想上面所说您该如何应对。

1.引言


随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击,所以网上信息的安全和保密是一个至关重要的问题。对于军用的自动化指挥网络、C3I系统和银行等传输敏感数据的计算机网络系统而言,其网上信息的安全和保密尤为重要。因此,上述的网络必须有足够强的安全措施,否则该网络将是个无用、甚至会危及国家安全的网络。无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的脆弱性和潜在威胁。故此,网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。


2.计算网络面临的威胁


计算机网络所面临的威胁大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。影响计算机网络的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的;可能是外来黑客对网络系统资源的非法使用,归结起来,针对网络安全的威胁主要有三:


(1)人为的无意失误:如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。


(2)人为的恶意攻击:这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。


(3)网络软件的漏洞和“后门”:网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。


3.计算机网络的安全策略


(1)物理安全策略


物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。


抑制和防止电磁泄漏(即TEMPEST技术)是物理安全策略的一个主要问题。目前主要防护措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护,这类防护措施又可分为以下两种:一是采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离;二是干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。


(2)访问控制策略


访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。下面我们分述各种访问控制策略。


(3)入网访问控制


入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。


用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。


对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令,服务器将验证所输入的用户名是否合法。如果验证合法,才继续验证用户输入的口令,否则,用户将被拒之网络之外。用户的口令是用户入网的关键所在。为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不少于6个字符,口令字符最好是数字、字母和其他字符的混合,用户口令必须经过加密,加密的方法很多,其中最常见的方法有:基于单向函数的口令加密,基于测试模式的口令加密,基于公钥加密方案的口令加密,基于平方剩余的口令加密,基于多项式共享的口令加密,基于数字签名方案的口令加密等。经过上述方法加密的口令,即使是系统管理员也难以得到它。用户还可采用一次性用户口令,也可用便携式验证器(如智能卡)来验证用户的身份。


网络管理员应该可以控制和限制普通用户的帐号使用、访问网络的时间、方式。用户名或用户帐号是所有计算机系统中最基本的安全形式。用户帐号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令,但系统管理员应该可以控制口令的以下几个方面的限制:最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。


用户名和口令验证有效之后,再进一步履行用户帐号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时,网络还应能对用户的帐号加以限制,用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息。


(4)网络的权限控制


网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(IRM)可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类:(1)特殊用户(即系统管理员);(2)一般用户,系统管理员根据他们的实际需要为他们分配操作权限;(3)审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。


(5)目录级安全控制


网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限(Supervisor)、读权限(Read)、写权限(Write)、创建权限(Create)、删除权限(Erase)、修改权限(Modify)、文件查找权限(File Scan)、存取控制权限(Access Control)。用户对文件或目标的有效权限取决于以下二个因素:用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问 ,从而加强了网络和服务器的安全性。


(6)属性安全控制


当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、、执行修改、显示等。


(7)网络服务器安全控制


网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。


(8)网络监测和锁定控制


网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该帐户将被自动锁定。


(9)网络端口和节点的安全控制


网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制,用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器)。在对用户的身份进行验证之后,才允许用户进入用户端。然后,用户端和服务器端再进行相互验证。


(10)防火墙控制


防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。目前的防火墙主要有以下三种类型;


包过滤防火墙:包过滤防火墙设置在网络层,可以在路由器上实现包过滤。首先应建立一定数量的信息过滤表,信息过滤表是以其收到的数据包头信息为基础而建成的。信息包头含有数据包源IP地址、目的IP地址、传输协议类型(TCP、UDP、ICMP等)、协议源端口号、协议目的端口号、连接请求方向、ICMP报文类型等。当一个数据包满足过滤表中的规则时,则允许数据包通过,否则禁止通过。这种防火墙可以用于禁止外部不合法用户对内部的访问,也可以用来禁止访问某些服务类型。但包过滤技术不能识别有危险的信息包,无法实施对应用级协议的处理,也无法处理UDP、RPC或动态的协议。


代理防火墙:代理防火墙又称应用层网关级防火墙,它由代理服务器和过滤路由器组成,是目前较流行的一种防火墙。它将过滤路由器和软件代理技术结合在一起。过滤路由器负责网络互连,并对数据进行严格选择,然后将筛选过的数据传送给代理服务器。代理服务器起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时,代理服务器接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务,如果接受,它就向内部网络转发这项请求。代理防火墙无法快速支持一些新出现的业务(如多媒体)。现要较为流行的代理服务器软件是WinGate和Proxy Server。


双穴主机防火墙:该防火墙是用主机来执行安全控制功能。一台双穴主机配有多个网卡,分别连接不同的网络。双穴主机从一个网络收集数据,并且有选择地把它发送到另一个网络上。网络服务由双穴主机上的服务代理来提供。内部网和外部网的用户可通过双穴主机的共享数据区传递数据,从而保护了内部网络不被非法访问。


4.信息加密策略


信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端-端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。


信息加密过程是由形形 色色的加密算法来具体实施,它以很小的代价提供很大的安全保护。在多数情况下,信息加密是保证信息机密性的唯一方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。


在常规密码中,收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。比较著名的常规密码算法有:美国的DES及其各种变形,比如Triple DES、GDES、New DES和DES的前身Lucifer; 欧洲的IDEA;日本的FEAL-N、LOKI-91、Skipjack、RC4、RC5以及以代换密码和转轮密码为代表的古典密码等。在众多的常规密码中影响最大的是DES密码。


常规密码的优点是有很强的保密强度,且经受住时间的检验和攻击,但其密钥必须通过安全的途径传送。因此,其密钥管理成为系统安全的重要因素。


在公钥密码中,收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导出解密密钥。比较著名的公钥密码算法有:RSA、背包密码、McEliece密码、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知识证明的算法、椭园曲线、EIGamal算法等等。最有影响的公钥密码算法是RSA,它能抵抗到目前为止已知的所有密码攻击。


公钥密码的优点是可以适应网络的开放性要求,且密钥管理问题也较为简单,尤其可方便的实现数字签名和验证。但其算法复杂。加密数据的速率较低。尽管如此,随着现代电子技术和密码技术的发展,公钥密码算法将是一种很有前途的网络安全加密体制。


当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用,比如:利用DES或者IDEA来加密信息,而采用RSA来传递会话密钥。如果按照每次加密所处理的比特来分类,可以将加密算法分为序列密码和分组密码。前者每次只加密一个比特而后者则先将信息序列分组,每次处理一个组。 密码技术是网络安全最有效的技术之一。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。


5.网络安全管理策略


在网络安全中,除了采用上述技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。


网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。


6.结束语


随着计算机技术和通信技术的发展,计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段,渗透到社会生活的各个领域。因此,认清网络的脆弱性和潜在威胁,采取强有力的安全策略,对于保障网络的安全性将变得十分重要。

推荐日志 Linux系统中如何用防火墙抵挡黑客攻击

[ 2007-03-25 03:53:25 | 作者: sun ]

防火墙可分为几种不同的安全等级。在Linux中,由于有许多不同的防火墙软件可供选择,安全性可低可高,最复杂的软件可提供几乎无法渗透的保护能力。不过,Linux核心本身内建了一种称作“伪装”的简单机制,除了最专门的黑客攻击外,可以抵挡住绝大部分的攻击行动。


当我们拨号接连上Internet后,我们的计算机会被赋给一个IP地址,可让网上的其他人回传资料到我们的计算机。黑客就是用你的IP来存取你计算机上的资料。Linux所用的"IP伪装"法,就是把你的IP藏起来,不让网络上的其他人看到。有几组IP地址是特别保留给本地网络使用的,Internet骨干路由器并不能识别。像作者计算机的IP是192.168.1.127,但如果你把这个地址输入到你的浏览器中,相信什么也收不到,这是因为Internet骨干是不认得192.168.X.X这组IP的。在其他Intranet上有数不清的计算机,也是用同样的IP,由于你根本不能存取,当然不能侵入或破解了。


那么,解决Internet上的安全问题,看来似乎是一件简单的事,只要为你的计算机选一个别人无法存取的IP地址,就什么都解决了。错!因为当你浏览Internet时,同样也需要服务器将资料回传给你,否则你在屏幕上什么也看不到,而服务器只能将资料回传给在Internet骨干上登记的合法IP地址。


"IP伪装"就是用来解决此两难困境的技术。当你有一部安装Linux的计算机,设定要使用"IP伪装"时,它会将内部与外部两个网络桥接起来,并自动解译由内往外或由外至内的IP地址,通常这个动作称为网络地址转换。


实际上的"IP伪装"要比上述的还要复杂一些。基本上,"IP伪装"服务器架设在两个网络之间。如果你用模拟的拨号调制解调器来存取Internet上的资料,这便是其中一个网络;你的内部网络通常会对应到一张以太网卡,这就是第二个网络。若你使用的是DSL调制解调器或缆线调制解调器(Cable Modem),那么系统中将会有第二张以太网卡,代替了模拟调制解调器。


而Linux可以管理这些网络的每一个IP地址,因此,如果你有一部安装Windows的计算机(IP为192.168.1.25),位于第二个网络上(Ethernet eth1)的话,要存取位于Internet(Ethernet eth0)上的缆线调制解调器(207.176.253.15)时,Linux的"IP伪装"就会拦截从你的浏览器所发出的所有TCP/IP封包,抽出原本的本地地址(192.168.1.25),再以真实地址(207.176.253.15)取代。接着,当服务器回传资料到207.176.253.15时,Linux也会自动拦截回传封包,并填回正确的本地地址(192.168.1.25)。


Linux可管理数台本地计算机,并处理每一个封包,而不致发生混淆。作者有一部安装SlackWare Linux的老486计算机,可同时处理由四部计算机送往缆线调制解调器的封包,而且速度不减少。


在第二版核心前,"IP伪装"是以IP发送管理模块(IPFWADM,IP fw adm)来管理。第二版核心虽然提供了更快、也更复杂的IPCHAINS,但仍旧提供了IPFWADM wrapper来保持向下兼容性,因此,作者在本文中会以IPFWADM为例,来解说如何设定"IP伪装"(您可至http://metalab.unc.edu/mdw/HOWTO/IPCHAINS-HOWTO.html查询使用IPCHAINS的方法,该页并有"IP伪装"更详尽的说明)。


另外,某些应用程序如RealAudio与CU-SeeME所用的非标准封包,则需要特殊的模块,您同样可从上述网站得到相关信息。


作者的服务器有两张以太网卡,在核心激活过程中,分别被设定在eth0与eth1。这两张卡均为SN2000式无跳脚的ISA适配卡,而且绝大多数的Linux都认得这两张卡。作者的以太网络初始化步骤在rc.inet1中设定,指令如下:


IPADDR="207.175.253.15"

#换成您缆线调制解调器的IP地址。

NETMASK="255.255.255.0"

#换成您的网络屏蔽。

NETWORK="207.175.253.0"

#换成您的网络地址。

BROADCAST="207.175.253.255"


#换成您的广播地址。

GATEWAY="207.175.253.254"

#换成您的网关地址。

#用以上的宏来设定您的缆线调制解调器以太网卡

/sbin/ifconfig eth0 ${IPADDR} broadcast $ {BROADCAST} netmask ${NETMASK}

#设定IP路由表

/sbin/route add -net ${NETWORK} netmask $ {NETMASK} eth0

#设定intranet以太网络卡eth1,不使用宏指令

/sbin/ifconfig eth1 192.168.1.254 broadcast 192.168.1.255 netmask 255.255.255.0

/sbin/route add -net 192.168.1.0 netmask 255.255.255.0 eth1

#接着设定IP fw adm初始化

/sbin/ipfwadm -F -p deny #拒绝以下位置之外的存取 #打开来自192.168.1.X的传送需求

/sbin/ipfwadm -F -a m -S 192.168.1.0/24 -D 0.0.0.0/0

/sbin/ipfwadm -M -s 600 30 120


就是这样!您系统的"IP伪装"现在应该可以正常工作了。如果您想得到更详细的信息,可以参考上面所提到的HOWTO,或是至http://albali.aquanet.com.br/howtos/Bridge+Firewall-4.html参考MINI HOWTO。另外关于安全性更高的防火墙技术,则可在ftp://sunsite.unc.edu/pub/Linux/docs/HOWTO/Firewall-HOWTO中找到资料。


半年来,56K模拟数据卡的价格突然跌降了不少。不过,大多数新的数据卡,其实是拿掉了板子上的控制用微处理器,因此会对系统的主CPU造成额外的负荷,而Linux并不支持这些"WinModem"卡。虽然Linux核心高手们,还是有能力为WinModem卡撰写驱动程序,但他们也很明白,为了省10元美金而对系统效能造成影响,绝对不是明智之举。


请确定您所使用的Modem卡,有跳脚可用来设定COM1、COM2、COM3与COM4,如此一来,这些数据卡才可在Linux下正常工作。您可在http://www.o2.net/~gromitkc/winmodem.html中找到与Linux兼容的数据卡的完整列表。


当作者在撰写本篇文章时,曾花了点时间测试各种不同的数据卡。Linux支持即插即用装置,所以我买了一块由Amjet生产的无跳脚数据卡,才又发现另一个令人困扰的问题。


作者测试用的PC是一部老旧的486,用的是1994年版的AMI BIOS。在插上这块即插即用数据卡后,计算机便无法开机了,画面上出现的是"主硬盘发生故障"(Primary hard disk failure)。经检查,发现即插即用的BIOS居然将原应保留给硬盘控制器的15号中断,配给了数据卡。最后作者放弃了在旧计算机上使用即插即用产品,因为不值得为这些事花时间。所以,请您注意在购买数据卡之前,先看清楚是否有调整COM1到COM4的跳脚。


在作者的布告板(http://trevormarshall.com/BYTE/)上,看到有几位朋友询问是否可以用多条拨号线来改善Internet的上网速度。这里最好的例子是128K ISDN,它同时运用两条56K通道,以达到128K的速度。当ISP提供这样的服务时,其实会配置两条独立的线路连到同一个IP上。


您可以看到,虽然Linux上有EQL这类模块,可让您在计算机上同时使用两块数据卡,但除非ISP对两组拨号连线提供同一个IP,否则这两块数据卡也只是对送出资料有帮助而已。


如果您拨接的是一般的ISP PPP线路,那么您会得到一个IP地址,从服务器回传的封包才能在数百万台计算机中找到您;而您每次拨入ISP时,都会得到一个不同的IP地址。


你的浏览器所送出的封包中,也包含供服务器资料回传的本地IP地址。EQL可将这些外传的封包,分散到不同的ISP线路上,但当资料回传时,却只能通过一个IP地址接收,也就是浏览器认为正在使用的那个地址。若是使用ISDN,那么ISP会处理这个问题;一些ISP会为多组线路的拨号接入提供相应的IP地址,但价钱非常昂贵。


在追求速度时,请别忽略了Linux防火墙的效率。在作者办公室有六位使用者通过"IP伪装"防火墙,去存取一部56K模拟调制解调器,工作情况十分良好,只有在有人下载大文件时速度才会变慢。在您决定要加装多条ISP拨号线之前,可以先架设一部"IP伪装"服务器试试。Windows处理多重IP的方式并非十分有效率,而将Windows网络与调制解调器隔开,效能的增进将会让您惊讶不已。

简而言之,Linux所用的"IP伪装"法,就是把你的IP藏起来,不让网络上的其他人看到.

推荐日志 Ghost完全应用技巧二十则

[ 2007-03-25 03:53:08 | 作者: sun ]
用过DOS的人对参数并不陌生,DOS下的很多程序都有参数,尽管是枯燥的英文字母,但功能却非常强大。Ghost是一个典型的支持参数的DOS程序,充分利用它的参数,我们可以更好地控制Ghost。让它们更好地为我们工作,前面几个例子,我们就使用了Ghost的参数做出了一张自动备份和恢复硬盘数据的自启动光盘。正是因为Ghost参数众多,功能强大,我们才有必要把一些最最常用的参数列出,供大家平时参考使用。

  小提示

  ★参数(Parameter)是程序提供给我们一些隐藏选项,通过添加参数,可以实现正常启动程序无法实现或者能够实现,但需要很多步骤才能够实现的功能,可以给我们带来很多的方便。

  ★参数与程序、参数与参数之间用空格符分隔。  

  ★我们可以把Ghost的参数写入到一些BAT文件中,并通过控制语句来用它更方便地克隆和恢复我们的系统。

  1.磁盘对磁盘拷贝

  图形界面: Disk To Disk

  参数例子: ghost -clone,mode=copy,src=1,dst=2 -sure -fx

  参数功能: 拷贝磁盘一的全部内容到磁盘二,不必询问,完成后退出Ghost。

  2.把磁盘上的所有内容备份成映像文件

  图形界面: Disk To Image

  参数例子: ghost -clone,mode=dump,src=1,dst=d:Win98sys.gho -z3 -sure -fx

  参数功能: 备份机器第一块硬盘上的全部内容到另一台硬盘d:Win98sys.gho文件中,高压缩,不必询问,完成后退出Ghost。

  3.从备份的映像文件复原到磁盘

  图形界面: Disk From Image

  参数例子: ghost -clone,mode=load,src=d:Win98sys.gho,dst=1 -sure -fx

  参数功能: 从备份在另一块硬盘d:Win98sys.gho的映像文件复原到第一块硬盘上,不必询问,完成后退出Ghost。

  4.分区对分区拷贝

  图形界面: Partition To Partition

  参数例子: ghost -clone,mode=pcopy,src=1:1,dst=2:1 -sure -fx

  参数功能: 拷贝第一块硬盘第一个分区上的所有内容到第二块硬盘的第一个分区上,不必询问,完成后退出Ghost。

  5.把分区内容备份成映像文件

  图形界面: Partition To Image

  参数例子: ghost -clone,mode=pdump,src=1:1,dst=d:Win98sys.gho -z9 -sure -fx

  参数功能: 备份第一块硬盘第一分区到d:Win98sys.gho,采用最高压缩率,不必询问,完成后退出Ghost。

 6.从备份的映像文件克隆到分区

  图形界面: Partition From Image

  参数例子: ghost -clone,mode=pload,src=d:Win98sys.gho:1,dst=1:1 -sure -fx

  参数功能: 把d:Win98sys.gho中的第一个分区内存克隆到第一块硬盘第一分区上,不必询问,完成后退出Ghost。

  7.平行端口电缆线直接连接电脑客户机

  图形界面: LPT/Slave

  参数例子: ghost -lps

  参数功能: 启动客户机 (两台电脑必须同时执行Ghost)。

  8.平行端口电缆线直接连接服务机

  图形界面: LPT/Master

  参数例子: ghost -lpm -clone,mode=dump,src=1,dst=c:Win98sys.gho -sure -fx

  参数功能: 将服务机第一块硬盘上的内容备份到客户机c:Win98sys.gho文件中,不必询问,完成后退出Ghost。

  9.硬盘间直接克隆

  参数例子:ghost -clone,mode=copy,src=1,dst=2 -sure

  参数功能:在内部模式拷贝第一块硬盘到第二块硬盘,无需提示,直接克隆。

  10.网络备份

  参数例子:ghost -nbm -clone,mode=dump,src=2,dst=c:xxxx.gho

  参数功能:由NetBIOS模式连接到正在进行ghostslave的网络远程个人电脑并备份本机第二块硬盘到远程硬盘C:xxxx.gho成一映像压缩文件。

  小提示

  该远程客户机必须使用ghost -nbs命令来启动。

11.将映像文件克隆到硬盘

  参数例子:ghost -clone,mode=load,src=e:savdsk.gho,dst=1

  参数功能:读入E:SAVEDSK.gho文件,并把它克隆到第一块硬盘上。

  12.将第二个分区备份为映像文件(还原)

  参数例子:ghost -clone,mode=pdump,src=1:2,dst=g:imgspart2.gho

  参数功能:备份第一块硬盘的第二分区到g:imgspart2.gho映像文件。

  参数例子:ghost -clone,mode=pload,src=g:imgspart2.gho:2,dst=1:2

  参数功能:载入(恢复)映像文件内的第二分区到内部硬盘第一块硬盘的第二分区。

  13.不同硬盘不同分区复制

  参数例子:ghost -clone,mode=pcopy,src=1:2,dst=2:1

  参数功能:拷贝第一块硬盘的第二分区到第二块硬盘的第一分区。

  14.还原到第二块硬盘并调整分区大小

  参数例子:ghost -clone,mode=load,src=g:imgs2prtdisk.gho,dst=2,sze1=60P,sze2=40P

  参数功能:克隆g:imgs2prtdisk.gho映像文件到第二块硬盘, 并重整按60%和40%大小分配分区大小。
15.还原到第一块硬盘并调整分区大小

  参数例子:ghost -clone,mode=load,src=e:imgs3prtdisk.gho,dst=1,sze1=450M,sze2=1599M,sze3=2047M

  参数功能:克隆e:imgs3prtdisk.gho映像文件到第一块硬盘, 并重整分区大小为: 第一分区450MB,第二分区1599MB,第三分区2047MB。

  16.保留第一分区,其他不分配

  参数例子:ghost -clone,mode=copy,src=1,dst=2,sze1=F,sze2=V,sze3=V

  参数功能:拷贝有三个分区的第一块硬盘到第二块硬盘并保持第一分区与来源大小相同,但是其他分区所剩余空间保留不予分配。

  17.还原到最后的分区并调整分区大小

  参数例子:ghost -clone,mode=load,src=g:imgs2prtdisk.gho,dst=1,szeL

  参数功能:载入映像文件到磁盘最后的分区并按照容量重整其大小,第一分区则利用剩余的空间。

  18.从参数文件读取

  参数例子:GHOST.EXE @(参数文件)

  参数功能:GHOST命令行参数可从参数文件读取并执行(注意参数文件是文本格式的)。

  小提示

  参数文件中可以以文本格式编写包含任何Ghost命令行参数,除了-AFILE=和-DFILE= 参数外。

  19.备份并自动分割

  参数例子:ghost -sure -clone,mode=pdump,src=1:1,dst=system.gho -span -split=630

  参数功能:它的作用是把第一块硬盘第一分区信息备份到当前文件夹下的system.gho中,如果生成的system.gho大于630MB,则会分割生成的GHO文件,这个参数在备份大的分区,并把它们烧录到650MB的CD-R上时非常有用。

  20.备份并加密

  参数例子:ghost -sure -pwd,666888 -clone,mode=pdump,src=1:1,dst=system.gho

  参数功能:该语句的作用是把第一块硬盘第一分区信息备份到当前文件夹下的system.gho中,并且以666888作为生成后GHO文件的密码,以便加密。以后用Ghost恢复system.gho文件,或者用Ghost Explorer来释放其中的文件时,都必须输入密码,否则无法恢复或释放文件,从而起到了保密的作用。如果输入ghost -sure -pwd -clone,mode=pdump,src=1:1,dst=system.gho,即-pwd后面不带密码,则Ghost在制作GHO文件前会询问用户加密GHO的密码,你必须记牢。给GHO文件加密后,别人就无法随意查看或恢复我们的文件了。

推荐日志 补丁管理全过程

[ 2007-03-25 03:52:53 | 作者: sun ]
传统的补丁管理,存在着可控性差、无法评估实施效果等问题。系统管理员往往只能将需要更新的补丁连接通知用户,至于用户是否打了补丁、补丁应用成功与否则很难控制。在这种情况下,企业IT系统仍然会存在很多漏洞,成为病毒和黑客程序攻击的目标。要提升补丁管理的水平,首先要分析补丁管理过程中的各个环节,然后利用相关的管理工具最大限度地降低管理员的工作量和工作难度。

一般来说,主动的补丁管理过程应该包括以下几个环节:

* 调查环境 首先需要了解网络中所有的设备并获得这些设备的基本信息,只有对网络环境的资产信息进行集中管理,才能够针对不同的平台和对象采用不同的应用策略。

* 研究和调查漏洞 对最新的漏洞信息,应该能够收集完整的描述信息,包括漏洞的发布时间、平台相关性、严重级别、内容描述等,根据这些信息管理员可以确认漏洞的重要程度。

* 威胁评估 收集整个网络中每台设备上详细的漏洞状况,即针对每台设备上存在哪些漏洞。

* 下载和测试补丁 系统管理员需要下载相应的补丁,同一个漏洞在不同的操作系统上需要应用不同的补丁,这些补丁的可靠性必须经过严格的试。

* 部署补丁 系统员需要快速给有的系统打补丁。

* 结果评估 系统管理员需要得到补丁应用结果的详细统计信息,针对没有打上补丁的系统,管理员需要采取必要的措施。

补丁管理方案必备功能

针对以上六个步骤,我们不难看出,一个好的补丁管理解决方案应该具有以下特点:

* 具有完整的资产收集功能,能够收集到所有终端节点的设备名称、IP地址、操作系统平台、语言版本等信息。

* 同步更新操作系统漏洞信息,系统管理员能够从控制台上随时了解完整的漏洞信息。

* 收集客户端当前漏洞状态,该漏洞状态是自动应用补丁的基础。

* 自动下载补丁。针对管理员需要弥补的一个或多个漏洞,自动下载所有对应的补丁,补丁的来源必须是可靠的并且经过检验。

* 自动分发并安装补丁。能够自动向需要打补丁的客户端分发并安装补丁,该过程对客户端是透明的,不需要客户干预。

* 自动评估效果。补丁应用策略实施后,自动评估补丁应用的效果,形成修复报告。