防火墙的技术与应用-选购和应用(10)

　　注：由于网络神偷使用了VxD技术，因此该软件无法在Windows2000/NT下使用，非Windows2000/NT下的朋友就要小心它了！

　　其实，只要能够加以注意，或不是那么“菜”的话，那么上面所说的从内部攻破的方法就会失效(可惜许多人就是不够小心)，此时就只有强攻这一条路了。虽然天网对各类IP炸弹的攻击保护等不错，但仍有空子可钻，有四种方法攻破它，请看：

1.使装天网的系统死机的简单方法

　　推荐工具：PortScan和IGMP Nuke

　　(1)得到对方的IP
　　要查对方IP最简单的方法是打开网络防火墙，如天网，然后点击“安全规则设置”，在弹出的对话框中把“UDP数据包监视”前面的多选框内打上“√”，然后保存设置。现在，在QQ中给那个人发个消息，再来点击天网中的“日志”按钮，从中你就会发现对方的IP。有了IP，他想跑可就难了，哈哈。

　　(2)开始攻击
　　打开两个或两个以上PortScan，在“Scan:”栏中填入对方的IP，在“Send Port:”栏中填入1，在“Stop Port:”栏中填入65536，这样就配置完毕，可以攻击了！现在按“START”按钮，然后你就可以忙你的别的事吧！扫描的事教给PortScan就可以了。

　　(3)攻击原理
　　天网防火墙有个习惯，它对任何外来的不明数据包都会拦截，当一个时间段内有大量的 “各种不同类型的”数据包涌过来，天网会对之进行一一拦截，还要分析和解析这是什么数据包，一秒钟要解析几十次以上，由于数据包太多，会造成系统的资源逐渐耗掉，对方机子上的应用程序会越来越慢，最终……呵呵！由于PortScan占用系统资源不多，因此本机的速度不会变慢多少。

　　(4)攻击深入
　　如果该用户发现是由于天网的过多拦截才造成死机，那他就会关闭天网。此时IGMP Nuke就会发挥作用了：你可以每隔一段时间就对着目标IP运行一下IGMP Nuke，用默认设置就可以。结果，没有了天网的对方当然是蓝屏啦！真是有天网也烦，没天网也烦呀！

　　(5)攻击时自身防范
　　本方法有一个缺点，就是对方能知道你的IP(天网中会记录下来的)，因此你最好能使用代理服务器免得暴露自己。

2.利用天网小BUG

　　天网有个小BUG（也许不能算作BUG），它只能记录6万多条攻击记录。那如果有多出来的的记录会怎么样呢？这正是攻击者经常利用的一点。攻击者使用ICMP或IGMP包进行攻击，当攻击6万多次以后，天网就会不断弹出错误对话框，直到耗尽内存而当机！尽管手段不够漂亮，但的确使装有天网的主机死机了！简单实用就是这个方法的最大特点！

3.不断发送二进制的0字节流到

　　不停地发送二进制的0字节流到装有天网主机的特定端口（用TCP或UDP都可以），使装天网的主机当机。简单的测试方法如下：在Linux中通过netcat输入/dev/zero内容，命令如下：

　　TCP的测试命令为: nc 目标主机 端口 < /dev/zero
　　举例：nc 127.0.0.1 7 < /dev/zero 其中“127.0.0.1”为装有天网主机的IP，“7”为目标主机端口。

　　UDP的测试命令为：nc -u 目标主机 端口 < /dev/zero
　　举例：nc -u 127.0.0.1 53 < /dev/zero 其中“127.0.0.1”为装有天网主机的IP，“53”为目标主机端口。

　　TCP ports：7 9 21 23 7778等都是TCP端口。
　　UDP ports：53 67 68 135 137 500 1812 1813 2535 3456等都是UDP端口。

　　在本文即将撰稿完毕之际，天网又推出了新的测试版本，新增了一个非常好的功能：天网防火墙增加了对应用程序数据包进行底层分析拦截功能（如图2）

图2

　　它可以控制应用程序发送和接收数据包的类型、通讯端口，并且决定拦截还是通过，这是目前其以前版本所不具有的功能。如果能很好的利用该功能，可以有效防止利用“反弹端口”型木马如“网络神偷”等程序悄悄连接客户端，但遗憾的是许多人嫌该功能太烦人（不管哪个程序启动运行，天网都会向您询问是否运行），因此将某些程序设置为“始终允许”，此时就给木马程序提供了机会——木马也可能被您设置为“始终允许”！就这样天网精心构筑的防线被您轻易的打开了！从这个角度上来说，世上只有愚蠢的人，而没有愚蠢的防火墙！

　　1.不要到小站点下载软件，更不要运行“好心”的大虾提供的补丁之类的软件，当心被别有用心的人利用！如此一来，可以防止木马及黑毒克星、NoSkyNet之类的软件被运行。

　　2.保持警惕性，对不熟悉的人发来的E-Mail不要轻易打开，带有附件就更要小心了。另外算就是熟人发来的E-Mail，对其中的附件也要小心，您的朋友也许会无意中害了您（他的电脑被感染了木马，但他有可能自己并不知道）。

　　3.安装杀毒反黑软件，下载软件运行前用杀毒反黑软件检查，如金山毒霸就可以识别出黑毒克星、NoSkyNet和上面说的黑洞2001，而反黑软件如“木马克星”可以查出网络神偷。

　　4.注意注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下，所有以“Run”开头的键值名，其下有没有可疑的文件名。如果有，就需要删除相应的键值，再删除相应的应用程序。

　　5.启动组和Win.ini以及System.ini也是木马们喜欢的隐蔽场所，要注意检查这些地方。

　　6.最好通过代理服务器上网，只有这样才能真正隐藏自己的IP，那些通过得知你的IP来攻击你的人就会失去目标了。

　　7.千万不要嫌天网“烦”，天网是有些像大话西游中的唐僧，但你既然选择了它，就要忍受它的“罗嗦”，其实所谓的“罗嗦”正是天网在不厌其烦的提醒你、保护你，所以要看仔细了，到底是什么程序要连线运行。

　　8.注意自己在网上的言语，尽量不得罪人，真正的黑客是不会无缘无故的攻击你的。只有那些“灰”客才乱攻击，对付他们请用方法6。

　　本文的目的是希望大家不要太迷信防火墙，注意提高自身素质，加强自己的网络安全意识。如果能达到这个目的，吾愿足矣！