防火墙的技术与应用-选购和应用(9)
天网是大家常用的防火墙软件,有许多人撰文提议安装天网,一时间天网防火墙成了菜鸟、高手必备工具。这样做当然好,至少说明了大家的网络安全意识提高了许多。但万事都有个“度”,超过这个“度”就不好了。现在有许多人对天网的迷信达到了痴迷的程度,认为安装了天网就高枕无忧了,他们在上网时只是打开天网,至于天网运行得怎么样就不管了。其实,就在此时你危险了!
堡垒往往是从内部被攻破的,这话一点都不假。远在古希腊时代,坚固的城墙没有保护住特洛伊人的家园,被一个小小的木马所攻破,在今天这个道理依然应验。
1.用黑毒克星或NoSkyNet
目前的天网防火墙可谓树大招风,天网也逐渐成为了黑客们攻击的主要对象!针对它的黑客工具也层出不穷,黑毒克星和NoSkyNet就是其中之一。这两个软件共同的特点之一就是小巧隐蔽,另一个特点就是它们将天网破坏殆尽后,居然还能让天网防火墙在任务栏正常显示图标!具有极大的危害性和欺骗性。
虽然黑毒克星和NoSkyNet必须被运行它们才有机会破坏天网防火墙,但百密难免一疏,对于仅几k大小的黑毒克星、NoSkyNet,真的很难保证不会中招(黑客们当然不会那么傻,他们会把黑毒克星、NoSkyNet改名,如改为系统优化或微软补丁之类的名称,这样如果你运行了这些“优化补丁”,你的天网就完了!),对付它们只能自己小心了。
2.用黑洞2001
黑洞2001是个木马程序,具有出色的多进程监控功能。随着大家安全意识的不断提高,大多数人都安装了网络防火墙,木马们的生存空间越来越小,为生存计,木马开发者想出了一个办法,他让木马服务端定时刷新进程,如果发现其中的进程名称与其事先定义好的相符合,就将这个进程关闭,如果这个被关闭的进程恰巧就是防火墙,那你的网络大门就完全敞开了,监控端就可为所欲为了。
事实上这个功能就是针对防火墙出现的,一切堡垒都是从内部被攻破的在此得到了充分的体现。其实在黑洞2000中就有了这样的功能,只不过黑洞2000只能关闭天网防火墙,对其它防火墙没有任何作用。黑洞2001则可以定义长达99个英文字符号,完全可以将您可能会用到的防火墙都定义到其中,从而可将这些防火墙全部关闭!
对于黑洞2001的多进程监控功能,让我们作一个小测试。首先,在客户端作配置。点击“修改远程服务器端设置”按钮,再点击其中的“智能监控”标签,出现如图所示画面(如图1)。
图1
在“进程监控”栏中添入“墙,毒,LOCK”,选中“使用进程监控”,然后点击“修改配置”保存设置。在服务端运行天网防火墙、金山毒霸、Lockdown、PC-Cillin等软件,一分钟后这些软件被自动关闭!由上可以看出如果你中了黑洞2001,那么你的防火墙就全成了聋子的耳朵——摆设!
3.利用“反弹端口”型木马
国内第一个“反弹端口”型木马“网络神偷”就可以突破天网防线,使天网失效。“正常”木马是由客户端主动连接服务端的,通俗的说就是下木马方要主动连接中木马的机子,这样很容易让防火墙发现;而反弹端口型木马与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口,当要建立连接时,由客户端通过 FTP 主页空间告诉服务端:“现在开始连接我吧!”,并进入监听状态,服务端收到通知后,就会开始连接客户端。为了隐蔽起见,客户端的监听端口一般开在80,这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似“TCP 服务端的IP地址:1026 客户端的IP地址:80 ESTABLISHED”的情况,稍微疏忽一点你就会以为是自己在浏览网页。(防火墙也会这么认为的,我想大概没有哪个防火墙会不给用户向外连接80端口吧)。因此这类木马可以突破几乎所有的防火墙(包括代理防火墙及过滤型防火墙)!