A. 关于别人用软件限制我电脑宽带~!高手进来..
1.桌面漏洞
Internet
Explorer、Firefox和Windows操作系统中包含很多可以被黑客利用的漏洞,特别是在用户经常不及时安装补丁的情况下。黑客会利用这些漏洞在不经用户同意的情况下自动下载恶意软件代码――也称作隐藏式下载。
2.服务器漏洞
由于存在漏洞和服务器管理配置错误,Internet Information Server(IIS)和Apache网络服务器经常被黑客用来攻击。
3.Web服务器虚拟托管
同时托管几个甚至数千个网站的服务器也是恶意攻击的目标。
4.显性/开放式代理
被黑客控制的计算机可以被设置为代理服务器,躲避URL过滤对通信的控制,进行匿名上网或者充当非法网站数据流的中间人。
5.HTML可以从网页内完全不同的服务器嵌入对象
用户可以从特定网站请求浏览网页,只自动地从Google分析服务器等合法网站下载对象;广告服务器;恶意软件下载网站;或者被重新导向至恶意软件网站。
6.普通用户对安全状况不了解
多数用户不了解三种SSL浏览器检查的原因;不了解如何验证所下载程序的合法性;不了解计算机是否不正常;在家庭网络内不使用防火墙;也不知道如何区分钓鱼网页和合法网页。
7.移动代码在网站上被广泛使用
在浏览器中禁用JavaScript、Java
applets、.NET应用、Flash或ActiveX似乎是个好主意,因为它们都会在您的计算机上自动执行脚本或代码,但是如果禁用这些功能,很多网站可能无法浏览。这为编码糟糕的Web应用开启了大门,它们接受用户输入并使用Cookies,就像在跨站点脚本(XSS)中一样。在这种情况下,某些需要访问与其他开放页面的数据(Cookies)Web应用会出现混乱。任何接受用户输入的Web应用(博客、Wikis、评论部分)可能会在无意中接受恶意代码,而这些恶意代码可以被返回给其他用户,除非用户的输入被检查确认为恶意代码。
8.全天候高速宽带互联网接入的广泛采用
多数企业网络都受防火墙的保护,而无网络地址转换(NAT)防火墙的家庭用户很容易受到攻击而丢失个人信息;充当分布式拒绝访问服务(DDOS)的僵尸计算机;安装托管恶意代码的Web服务器――家庭用户可能不会对这些状况有任何怀疑。
9.对HTTP和HTTPS的普遍访问
访问互联网必须使用Web,所有计算机都可以通过防火墙访问HTTP和HTTPS(TCP端口80和443)。可以假定所有计算机都能够访问外部网络。很多程序都通过HTTP访问互联网,例如IM和P2P软件。此外,这些被劫持的软件打开了发送僵尸网络命令的通道。
10.在邮件中采用嵌入式HTML
由于SMTP电子邮件网关会在一定程度上限制可以邮件的发送,黑客已经不经常在电子邮件中发送恶意代码。相反,电子邮件中的HTML被用于从Web上获取恶意软件代码,而用户可能根本不知道已经向可以网站发送了请求。
6.安装反病毒软件并保持更新
自引导区病毒出现之日起,安装反病毒软件已经成为标准的程序,用来检查进入的文件、扫描内存和当前文件。任何运行Windows的计算机都应当安装最新的反病毒软件。如果“坏东西”已经突破所有其他网络保护,这就是最后的防线。此外,反病毒软件可以很好地抵御通过非网络方法传播的恶意软件,例如光盘或USB闪存。
7.只访问通过所有浏览器检查的HTTPS网站
多数用户不了解三种SSL浏览器检查的重要性,或者不理解不要访问未通过所有三项检查的网站。SSL检查是过期证书;不值得信任的发布者;以及证书与所请求URL之间的主机名不匹配。
8.只从值得信任的网站下载可执行程序
社会工程在互联网上非常活跃!一种发布恶意软件的有效方式是把其捆绑到看似有用的程序中。执行以后,恶意软件就会为所欲为。这种攻击类型也称作特洛伊木马攻击。
9.不要访问把IP地址用作服务器的网站
最近的攻击越来越多地利用安装有简单Web服务器的家用计算机。受害者的机器通常通过IP地址而不是DNS主机名被导向新的家庭计算机服务器。合法网站的URL会使用主机名。
10.仔细地输入网址避免错误
用户永远不要试图访问恶意软件网站,但意外总是有可能发生。错误地输入网址通常会登录某些坐等您上门的网站。如果您的浏览器未安装所有补丁,您很可能在下载过程中下载到恶意软件。
注: 保护Web网关,阻止恶意软件
通过Web网关保护,您可以阻挡很多Web攻击。确保您的安全Web网关提供:
-> URL过滤功能,用于防止恶意软件下载,电话交易和错误输入
-> 恶意软件扫描功能,扫描病毒、间谍软件、恶意移动代码(MMC)、有害的软件、木马、僵尸网络、蠕虫等。
-> 针对HTTPS网络通信的保护,而不仅仅是HTTP和FTP
-> 为真实文件类型检查有效载荷,而不是信任文件扩展名或其他为了躲避检查而进行的文件修改
-> SSL浏览器检查的强化
-> 阻止访问采用IP地址而不是主机名的URL
-> 只允许来自可信网站的可执行和移动代码
-> 允许有选择性地访问用户(例如IT管理员)的可执行文件灰色列表中的文件
-> 自动定期地一天多次从可信的反恶意软件提供商那里下载更新
-> 为网络通信优化的可扩展扫描,因为用户对延迟非常敏感
• 避免重新扫描重复的流量
• 反常的大型网络下载(>200kb),不要削弱常规网络通信扫描的性能
• 不要浪费资源来维护大量的活跃TCP连接(在流行的网络搜索引擎上进行安全搜索,尽量避免被导向恶意软件服务器
-> 提供扫描引擎选择,更好地补充您的桌面扫描
-> 不要相信通过IP地址访问网页
-> 可以识别无限数据流,例如互联网电台广播,这些数据流永不停止,从不会被扫描
B. 为什么内网的人用网络管理软件可以禁止我上网,这是通过什么原理进行的,如何阻止
反击网络执法官
作为管理软件的“网络执法官”已经流行一段时间了,对于深受其害的小菜们一定对他非常痛恨,今天我们以网管及被管理者的身份说说该软件的执法过程、突破过程。首先我们先看一下网络上对“网络执法官”的描述:可以在局域网中任意一台机器上运行网络执法官的主程,它可以穿透防火墙、实时监控、记录整个局域网用户上线情况,可限制各用户上线时所用的IP、时段,并可将非法用户踢下局域网。该软件适用范围为局域网内部,不能对网关或路由器外的机器进行监视或管理!
因为在网络上传闻它可以穿透防火墙,真是吓了我一大跳,但在软件方有没有这种说法,我就不清楚了,可能是一些拥护者把他神圣化了,于是俺开始研究他如何穿透防火墙的。读完此文您也就知道“穿透防火墙是怎么实现的”。
其实“络网执法官”是通过ARP欺骗来达到管理目的,网络关于ARP欺骗的文章很多,不太清楚的可以去搜索一下。其实“络网执法官”只不过是一个很普通的管理软件,其功能虽说更全面、更稳定但也和其它软件没有什么本质上的分别。要想知道他是怎么管理所在网段而不让所管理的工作站上网,这还要追寻到网络通信原理上面。因为此软件主要特性是建立在数据链路层,所以其它我就将他简化了,图表一是IOS七层参考模型主要功能。
网络基础:物理层、数据链路层、网络层
使用者方面:传输、会话、表示及应用层
我们知道,我们的通信是和网络的七层协议密切相关的,以下我们虚拟一个局域网,来讲解网络通信过程及“网络执法官”的管理过程。当我们在七层协议最上层,主机A想和其它主机通信,比如telnet到主机B,各层都为数据打包后在封装自己能识别的数据标签,我们只说四层以下的通信过程,如图二。
1、当数据包到达传输层,由于telnet使用TCP协议,传输层将上层传过来的数据不变在封装TCP的包头以便目标主机可以正确解包,继续向下层(网络层)传递。
2、网络层同样不会改变之前的数据包,当然也包括之前的任何头文件,首先主机A要对目标主机作判断,他会用自己的IP地址和自己的子网掩码进行与运算结果是172.16.12.0,然后在拿自己的掩码和主机B的IP地址作与运算,结果是172.16.12.0,这个时候他知道他们在同一网段内,这时他会封装自己的IP及目标的IP地址,同上层传下来的数据一下向下传。
3、数据链路层其实包括两个子层,一是LLC子层另一个是MAC子层。我们知道在以太网中通信是物理寻址的,在这层中会封装自己的MAC地址及对方的MAC地址。当然用户是没有通知他MAC地址是多少的,这时主机会查自己的缓存表,看有没有主机B的MAC地址,如果有就封装,否则他会发一个ARP的地址解析广播包,该包只会存活在该网段并且以打了标签,虽说所有的主机都可以收到该广播包,但只会传递到该主机的数据链路层,更确切的说传递到了数据链路层的高层就给丢弃了。
4、接着该数据会从我们的网线等传输介质传出去,主机B当收到数据的时候进行相同的工作但是作相反的操作,我相信不用解释太多您能明白,如图三所示。
以上是简单的描述了一下两台主机的数据传输过程,说了半天也没说到“络网执法官”是怎么可以不让我们上网的,其实我们局域网的工作站想通过代理服务器上公网的数据包和以上就有点不同了,其实明白了上面的我们就很容易了解工作站去公网的数据包是怎么走的了。
话说主机A想去黑X官方网站,数据在传输到网络层的时候在这个时候呢他会用自己的IP和自己的子网掩码进行与结果是172.16.12.0,然后在拿自己的掩码和黑X官方网站的IP与运算(黑X的IP地址由DNS得到),结果为61.152.251.0发现不在同一个网段,注意:这时也是用自己IP和目标IP进行封装,然后向下层传递。在数据链路层这时就不会封装黑X的MAC地址,他也不知道MAC地址是什么,这时他会封装网关的MAC地址,而让网关将数据转发出去。同时在网关收到数据时候,他会查看目标IP地址,当然不是他自己的IP地址了,所以他知道这个数据发是要由他路由出去的,然后把数据包发给了他的邻居或网络运营商的路由器上去,重复以上动作,在TTL值为0之前将数据传递给黑X官方网站,数据传递成功!
至于“网络执法官”为什么可以根据网卡的MAC剥夺我们上网的权力呢!由于“网络执法官”利用ARP欺骗的原理,他会持续不断的发低速的ARP广播包,他主要是欺骗该PC机的第二层设备,使得该主机迷失正确的MAC地址,使第二层功能失效。该软件管理有如下症状:
1、主机无法访问internet,而局域网功能没问题,是由于ARP歪曲的通告一个伪网关MAC地址,使用户机器无法找到真正网关的MAC地址,当然在数据链路层就封装错误了。
2、无法访问internet、无法使用局域网功能(一般网管不会这么做,只会对付受限制用户的手法),这种情况是运行“网络执法官”的主机欺骗了所有局域网中同网段主机,使所有主机歪曲的记录了被管理的主机的MAC地址,同样被管理的主机也会错误的记录到其它主机的MAC地址,导致如上结果。
3、无法访问internet、无法使用局域网功能、桌面上常常弹出“IP地址冲突”的字样(一般受限制用户也不会有此待遇),这种是一个典型的“IP地址争夺游戏”。
在针对这种以MAC地址+IP地址来管理我们的网络管理软件,在对付第一种限制时,局域网无限制。网上有种方法就是用http、sock代理,就是给同网段一台机器上安装相应的软件,起到可以上网的办法!但是您说这种方法可行吗?图四给你结论,当网管发现后会继续封杀!一般网管不用发现该方法也是不可行的,比如:你看到一件事物是假的,你用看到的事物在去思考当然也是假的。
还有一种方法,就是改MAC地址,当然,这种方法是从原理上把这种软件控制功能给搞定了,但是您别忘了这个公司除了网络管理软件还有网管本人呢!他会根据您的IP地址及计算机名继续封杀。小菜问了:“我改了计算机名、IP地址、MAC地址那不就OK了吗?”常理说这种方法是一定行的,但是一个合理规划的网络是不会让你随意更改以上各种设置的。比如公司30台主机,网关的设置是192.168.1.1/27,看你怎么改,当网管工作不认真的时候告诉您,你暂时胜了,要是遇到我哈哈……。如果网管也是个小菜完全可以用这个方法以达到上网的目的,但是这个时候在“网络络执法官”的主界面中会多出一个用户来。
在网络上呼声最高的一种,暴力解决,拿个比管理软件频率更高的ARP软件和网管(频率达到几千个Frame/秒)对攻,更有甚者提倡用网络执法官VS网络执法官,这种方法是最可笑的,因为软件设计中为了保护网管不被攻击而设置了“友邻用户”他们可以相互发现但不能相互管理,这是我说为什么这种方法可笑的原因。另外在“日志”中可以查到友邻用户的记录,如果被网管查到是你在搞鬼,我相信你的这个月的奖金没了!
静态MAC地址突破管理,arp –d、arp –s等命令把ARP高速缓存改成ARP静态缓存,这种对于只限制了internet的功能,并且网络执法官是安装在网关上是行之有效的,如果软件没有安装在网关上嘿嘿……还是不行。(小菜:那么我们就没办法上网了吗?)当然不是,一种方法只能保证TCP连接可以通信,就是自己用静态ARP缓存,并且不断的向网关及其它主机发送正确自己的MAC地址信息,可以保证上internet的TCP正常连接,注:TCP有错误检测机制,可以重传!当然,如果网管是一个非常狡猾而且卑鄙的话,还会在一分钟内把你踢出局!
看网络执法官很厉害吧!大家一定以为我在为这款软件作广告,其实是想告诉大家不同的管理方法我们要用不同的对策,攻防中才有进步嘛!我在来看看他的管理范围如图四,他的管理%