瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【定期更新】计算机安全大丰收——计算机安全杂烩汤

123   1  /  3  页   跳转

【定期更新】计算机安全大丰收——计算机安全杂烩汤

【定期更新】计算机安全大丰收——计算机安全杂烩汤


                     
软件与病毒的“畸形儿”

    不久前,有网友在论坛上投诉自己遭到了“技术绑架”,起因是,他试用了某文件夹加密软件后,在试用期过后,文件夹内所有文件不翼而飞,迫于无奈,他只有联系 
加密软件的作者,但对方却要求他付款之后,才能解密恢复原来的文件,该网友怒斥其为无赖行为。

        而软件作者一方也振振有词:“你过了试用期就应该购买,我是在保护自己的合法权益。”实际上,目前网络上类似的事件已是频频发生,不少安全公司都收到过类似的投诉。这其中包括软件安装强制弹出广告,而且无法卸载;偷偷搜集用户的个人信息,提供给广告商以获取商业利益;用各种手段锁定用户的电脑程序,以达到注册收费的目的等。这些软件虽然不是病毒,但也大大影响了用户的正常使用,成为一类不可忽视的安全问题。

        信息安全专家表示,从技术上讲,恶意广告软件、间谍软件、恶意共享软件等都处在合法商业软件和电脑病毒之间的灰色地带。它们既不属于正规商业软件,也不属于真正的病毒;既有一定的实用价值,也会给用户带来种种干扰。北京市计算机病毒防范服务中心有关人士透露,目前这类软件在法律上并没有明确界定。

        这种软件与病毒的“畸形儿”也令很多杀毒厂商头疼,因为它本身往往会提供某些实用功能,而且并不像大多数病毒一样自我复制并传播,因此在分析和界定上存在很大困扰,目前大多数反病毒软件也不能对其进行查杀。但另一方面,它却和病毒一样,给用户造成了危害和损失,有时甚至更为严重。

        除了让用户牢记“天下没有免费的午餐”,对这类软件敬而远之外,我们的安全产业,是不是有责任拿出更好的解决之道呢?
最后编辑2005-07-05 16:33:46
分享到:
gototop
 

[技术资料]

避免死机的烦恼 从14大方面预防电脑死机

如今的计算机已经接近全面普及的程度了,它给人们在工作和学习上提供了极大的方便。不过,计算机的“死机”对于普通的计算机用户来说,却成为了一个解不开、挣不脱的烦恼。那么,怎么做才能避免计算机“死机”的烦恼呢?

  1.保证正确的Bios设置。Bios里面的设置一定要合适,错误的Bios设置会使你在运行Windows的时候死机。

  2.经常检查电脑配件接触情况。在板卡接触不良的情况下运行会引起系统死机,因此在更换电脑配件时,一定要使板卡与主机板充分接触。

  3.定期清洁机箱。灰尘太多会使板卡之间接触不良,引起系统在运行中死机,因此机箱要随时清洁,不要让太多的灰尘积存在机箱中。

  4.坚持认真查杀病毒。对来历不明的光盘或软盘,不要轻易使用,对邮件中的附件,要先用杀毒软件检查后再打开。

  5.按正确的操作顺序关机。在应用软件未正常结束运行前,别关闭电源,否则会造成系统文件损坏或丢失,引起在启动或运行中死机。

  6.避免多任务同时进行。在执行磁盘整理或用杀毒软件检查硬盘期间,不要运行其他软件,否则会造成死机。

  7.勿过分求新。各种硬件的驱动不一定要随时更新,因为才开发的驱动程序往往里面有bug,会对系统造成损害,引起系统死机,最新的不一定是最好的。

  8.在卸载软件时,用自带的反安装程序或Windows里面的安装/卸载方式,不要直接删除程序文件夹,因为某些文件可能被其他程序共享,一旦删除这些共享文件,会造成应用软件无法使用而死机。

  9.设置硬件设备时,最好检查有无保留中断(IRQ),不要让其他设备使用该中断号,以免引起中断冲突,造成系统死机。

  10.在上网冲浪的时候,不要打开太多的浏览器窗口,否则会导致系统资源不足,引起系统死机。

  11.如果你的机器内存不是很大,千万不要运行占用内存较大的程序,如Photoshop,否则运行时容易死机。

  12.对于系统文件或重要的文件,最好使用隐含属性,这样才不至于因错误操作删除这些文件,引起系统死机。

  13.修改硬盘主引导记录时,最好先保存原来的记录,防止因修改失败而无法恢复原来的引导记录。

  14.CPU、显卡等配件一般不要超频,若确实需要超,要注意超频后板卡的温度,CPU、显卡等长期在非正常频率和温度下工作轻则自动重启或死机,重者烧毁CPU、显卡、主板。

gototop
 

[技术资料]

精解系统非法操作原因及解决方法

大家都用过Windows,想必都经历过“非法操作”。一般的“非法操作”有两个选项:“关闭”和“详细资料”。可是“详细资料”里面的内容大多数人都看不明白,只好草草的关闭了。现在不用怕了,我来给大家讲解一下非法操作的每个详细资料的具体含义。

  1.停止错误编号:0x0000000A

  说明文字:IRQL-NOT-LESS-OR-EQUAL

  通常的原因:驱动程序使用了不正确的内存地址.

  解决方法:如果无法登陆,则重新启动计算机.当出现可用的作系统列表时,按F8键.在Windows高级选项菜单屏幕上,选择"最后一次正确的配置",然后按回车键.

  检查是否正确安装了所有的新硬件或软件.如果这是一次全新安装,请与硬件或软件的制造商联系,获得可能需要的任何Windows更新或驱动程序.

  运行由计算机制造商提供的所有的系统诊断软件,尤其是内存检查.

  禁用或卸掉新近安装的硬件(RAM,适配器,硬盘,调制解调器等等),驱动程序或软件.

  确保硬件设备驱动程序和系统BIOS都是最新的版本.

  确保制造商可帮助你是否具有最新版本,也可帮助你获得这些硬件.

  禁用BIOS内存选项,例如cache或shadow.

  2.停止错误编号:0x0000001E

  说明文字:KMODE-EXPTION-NOT-HANDLED

  通常的原因:内核模式进程试图执行一个非法或未知的处理器指令.

  解决方法:确保有足够的空间,尤其是在执行一次新安装的时候.

  如果停止错误消息指出了某个特定的驱动程序,那么禁用他.如果无法启动计算机.应试着用安全模式启动,以便删除或禁用该驱动程序.

  如果有非Microsoft支持的视频驱动程序,尽量切换到标准的VGA驱动程序或Windows提供的适当驱动程序.

  禁用所有新近安装的驱动程序.

  确保有最新版本的系统BIOS.硬件制造商可帮助确定你是否具有最新版本,也可以帮助你获得他.

  BIOS内存选项,例如cache,shadow.

  3.停止错误编号:0x00000023或0x00000024

  说明文字:FAT-FILE-SYSTEM或MTFS-FILE-SYSTEM

  通常原因:问题出现在Ntfs.sys(允许系统读写NTFS驱动器的驱动程序文件)内.

  解决方法:运行由计算机制造商提供的系统诊断软件,尤其是硬件诊断软件..

  禁用或卸载所有的反病毒软件,磁盘碎片整理程序或备份程序.

  通过在命令提示符下运行Chkdsk /f命令检查硬盘驱动器是否损坏,然后重新启动计算机

  4.停止编号:0x0000002E

  说明文字ATA-BUS-ERROR

  通常的原因:系统内存奇偶校验出错,通常由硬件问题导致.

  解决方法:卸掉所有新近安装的硬件(RAM.适配器.硬盘.调制解调器等等).

  运行由计算机制造商提供的系统诊断软件,尤其是硬件诊断软件.

  确保硬件设备驱动程序和系统BIOS都是最新版本.

  使用硬件供应商提供的系统诊断,运行内存检查来查找故障或不匹配的内存.

  禁用BIOS内存选项,例如cache或shadow.

  在启动后出现可用作系统列表时,按F8.在Windows高级选项菜单屏幕上,选择"启动VGA模式:.然后按回车键.如果这样做还不能解决问题,可能需要更换不同的视频适配器列表,有关支持的视频适配器列表,请参阅硬件兼容性列表.

 5.停止编号:0x0000003F

  说明文字:NO-MOR-SYSTEM-PTES

  通常的原因:每哟正确清理驱动程序.

  解决方法:禁用或卸载所有的反病毒软件,磁盘碎片处理程序或备份程序.

  6:停止错误编号:0x00000058

  说明文字:FTDISK-INTERN-ERROR   

  通常的原因:容错集内的某个主驱动器发生故障.

  解决方法:使用Windows安装盘启动计算机,从镜象(第2)系统驱动器引导.有关如何编辑Boot.ini文件以指向镜象系统驱动器的指导,可在MIcrosoft支持服务Web站点搜索"Edit ARC path".

  7.停止错误编号:0x0000007B

  说明文字:INACCESSI-BLE-BOOT-DEVICE

  通常原因:初始化I/O系统(通常是指引导设备或文件系统)失败.

  解决方法:引导扇区病毒通常会导致这种停止错误.是用反病毒软件的最新版本,检查计算机上是否有存在病毒.如果找到病毒,则必须执行必要的不找把他从计算机上清除掉,请参阅反病毒软件文档了解如何执行这些步骤.

  卸下所有新近安装的硬件(RAM,适配器,调制解调器等等).

  核对MIcrosoft硬件兼容性列表以确保所有的硬件和驱动程序都与Windows兼容.

  如果使用的适SCSI适配器,可以从硬件供应商除获得最新WINDOWS驱动程序,禁用SCSI设备的同步协商,检查该SCSI链是否终结,并核对这些设备的SCSI ID,如果无法确定如何执行能够这些步骤,可参考硬件设备的文档.

  如果你用的是IDE设备,将板上的IDE端口定义为唯一的主端口.核对IDE设备的主/从/唯一设置.卸掉除硬盘之外的所有IDE设备.如果无法确认如何执行这些不找,可参考硬件文档.

  如果计算机已使用NTFS文件系统格式化,可重新启动计算机,然后在该系统分区上运行Chkdsk /f/r命令.如果由于错误而无法启动系统,那么使用命令控制台,并运行Chkdsk /r命令.

  运行Chkdsk /f命令以确定文件系统是否损坏.如果Windows不能运行Chkdsk命令,将驱动器移动到其他运行Windows的计算机上,然后从这台计算机上对该驱动器运行Chkdsk命令.

  8.停止错误编号:0x0000007F

  说明文字:UNEXPECTED-KERNEL-MODE-TRAP

  通常的原因:通常是由于硬件或软件问题导致,但一般都由硬件故障引起的..

  解决方法:核对Microsoft硬件兼容性列表以确保所有的硬件和驱动程序都与Windows兼容.如果计算机主板不兼容就会产生这个问题.

  卸掉所由新近安装的硬件.

  运行由计算机制造商提供的所有系统诊断软件,尤其是内存检查.

  禁用BIOS内存选项,例如cache或shadow.

  9.停止错误编号:0x00000050

  说明文字:PAGE-FAULT-IN-NONPAGED-AREA

  通常的原因:内存错误(数据不能使用分页文件交换到磁盘中).

  解决方法:卸掉所有的新近安装的硬件.

  运行由计算机制造商提供的所有系统诊断软件.尤其是内存检查.

  检查是否正确安装了所有新硬件或软件,如果这是一次全新安装,请与硬件或软件制造商联系,获得可能需要的任何Windows更新或驱动程序.

  禁用或卸载所有的反病毒程序.

  禁用BIOS内存选项,例如cache或shadow.

  10.停止错误编号:0x0000007

  说明文字:KERNEL-STEL-STACK-INPAGE-ERROR

  通常的原因:无法从分页文件将内核数据所需的页面读取到内存中。

  解决方法:使用反病毒软件的最新版本,检查计算机上是否有病毒。如果找到病毒,则执行必要的步骤把他从计算机上清除掉。请参阅制造商提供的所有系统诊断软件,尤其是内存检查。

  禁用BIOS内存选项,例如cache,shadow.

  11.停止错误编号:0x00000079

  说明文字:MISMATCHED-HAL

  通常的原因:硬件抽象层与内核或机器类型不匹配(通常发生在单处理器和多处理器配置文件混合在同一系统的情况下)。

  解决方法:要解决本错误,可使用命令控制台替换计算机上错误的系统文件。

  单处理器系统的内核文件是Ntoskml.exe,而多处理器系统的内核文件是Ntkrnlmp.exe,但是,这些文件要与安装媒体上的文件相对应;在安装完Windows2000和,不论使用的是哪个原文件,都会被重命名为Ntoskrnl.exe文件。HAL文件在安装之后也使用名称Hal.dll但是在安装媒体,但是在安装媒体上却有若干个可能的HAL文件。

  12.停止错误编号:0x0000007A

  说明文字:KERNEL-DATA-INPAGE-ERROR

  通常的原因:无法从分页文件将内核数据所需的页面读取到内存中。(通常是由于分页文件上的故障,病毒,磁盘控制器错误或由故障的RAM引起的)。

  解决方法:使用反病毒软件的最新版本,检查计算机上是否存在病毒。如果找到病毒。则执行必要的步骤把他从计算机上清除掉,请参阅犯病度软件文档了解如何执行这些步骤。

  如果计算机已使用NTFS文件系统格式化。可重新启动计算机,然后在该系统分区上运行Chkdsk /f/r命令。如果由于错误而无法启动命令,那么使用命令控制台,并运行Chkdsk /r命令。

  运行由计算机制造商提供的所有的系统在很端软件,尤其是内存检查。

  13.停止错误编号:0xC000021A

  说明文字:STATUS-SYSTEM-PROCESS-TERMINATED

  通常的原因:用户模式子系统,例如Winlogon或客户服务器运行时子系统(CSRSS)已被损坏,所以无法再保证安全性。

  解决方法:卸掉所有新近安装的硬件。

  如果无法登陆,则重新启动计算机。当出现可用的作系统列表时按F8。在Windows2000高级选项菜单屏幕上,选择:“最后一次正确的配置”。然后按会车。

  运行故障恢复台,并允许系统修复任何检测到的错误。

  14.停止错误编号:0xC0000221

  说明文字:STATUS-IMAGE-CHECKISU7M-MISMATCH

  通常的原因:驱动程序或系统DLL已经被损坏。

  解决方法:运行故障复控台,并且允许系统修复任何检测到的错误。

  如果在RAM添加到计算机之后,立即发生错误,那么可能是分页文件损坏,或者新RAM由故障或不兼容。删除Pagefile.sys并将系统返回到原来的RAM配置。

gototop
 

[技术资料]
系统进程问答集锦

在系统中如果需要打开一个软件,系统便会在后台加载相应的进程,它控制着程序的各个方面,起着尤为重要的作用,正是它具有这种特性,所以它也经常受到“侵犯”,比如有些病毒就伪装成为系统进程搞破坏,另外由于进程众多,不少读者很难分清楚各个进程到底起到什么作用、是否可以禁止等,所以笔者在这里整理几个关于进程的问题,希望对大家有所帮助。

  问:我使用的是Windows XP系统,现在启动电脑都会弹出错误窗口:“Windows\Svchosts.exe出错”,“Svchosts.exe”文件好像是系统中一个进程,然后我到进程中也发现了有“Svchosts”这个进程,请问如何恢复它?

  答:请注意,进程中的那个叫“Svchost”,并不是“Svchosts”,多出了一个“S”,要看清楚哦,你电脑上的“Svchosts”是一个病毒,一般是一些木马程序,它和“Explorer”绑定,无法结束进程。首先到注册表中的“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Currentversion\Winlogon”下找到Shell键值,打开它,在键值处将除“Explorer.exe”文件以外的所有文件全部删除,然后到“C:\Windows”文件下找到 “Svchosts.exe”(找不到可以用文件搜索功能),找到后将其删除即可。

  问:我的电脑中了某种病毒,听别人说要结束进程中的“Explorer”进程,然后再进行杀毒。但我结束了“Explorer”进程后发现系统桌面和任务栏都消失了,桌面上一片空白,请问如何恢复呢?

  答:因为“Explorer”进程是用于控制Windows图形窗口的外观,这其中包括了开始菜单、任务栏、桌面和文件管理,你结束了它,当然会出现那种状况了。想恢复时,只要按“Ctrl+Alt+Del”调出任务管理器,然后选择“文件→新建任务运行”,输入“Explorer”,即重新加载该进程即可。

  问:电脑中安装了Serv-U后,进程中多出了一个“ServUDaemon”进程,因为暂时不想用Serv-U,所以不想删除,但进程中总有这个进程,感觉不舒服,而且还占用资源,结束它时却提示拒绝访问,请问如何结束该进程并让它以后不运行呢?

  答:如果想在不删除软件的情况下终结该进程,可以到计算机管理中的服务查看一下是否有一个关于serv-u的服务项,这个服务是安装Serv-U软件后产生的,“ServUDaemon”进程无法结束就是因为有这个服务在后台一直运行所造成的,将该服务关闭即可终止进程了。另外大家如果遇到无法结束的进程时,也可以到服务中查看一下是否有相关的服务在运行。

  问:我的电脑进程中四个“Svchost.exe”进程,请问 “Svchost.exe”进程起到什么作用?是否正常呢?

  答:“Svchost”属于共享进程,随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由“Svchost.exe”进程来启动。“Svchost.exe”是以Windows NT为核心系统的重要进程。一般来说,Windows 2000有两个“Svchost”进程,Windows XP中则有四个或四个以上的“Svchost”进程,但有些病毒也会借“Svchost”迷惑我们,大家只要记住正常的“Svchost”文件一般只会保存在“C:\Windows\System32”下,如果有“Svchost”文件保存在其他文件夹下就可能是病毒了,大家可以通过进程的执行文件路径查看到保存位置。


gototop
 

[风云人物]
永远的冰河


曾有一段时间“黑客”在中国被人这样曲解定义:“黑客就是会用‘冰河’黑别人电脑的人!”一听便知这是外行笑话,但引起这场误会的却是“冰河”这个在国内网络安全圈从知名度到装机量都位列前茅的软件,这确是款颇具争议的优秀网络工具,争议的核心是它即可为黑客所用当作植入被攻击端的木马,也可成为网管及个人正当的网络远程管理利器。 “冰河”既是软件名也是其作者黄鑫的化名,这条奔涌的“冰河”已流经大半中国,不计其数的“菜鸟”们从这一流域步入更为广阔的网络安全技术天地。公平地讲,“冰河”及其开发者黄鑫的名字在中国网络安全技术发展史上占有重要的地位。今天就让我们一起走进黄鑫,涉入“冰河”。
印象中自然界的“冰河”何等肃杀与寒气彻骨,而坐在我面前的程序员黄鑫是如此热情如火,谈笑风生,在北京盛夏一个雨后清爽怡人的傍晚,我的思绪随着他的回忆,沿“冰河”逆流而上,追溯源头:

“冰河”的起源

话题从黄鑫与电脑的第一次亲密接触开始,1996年的“黄鑫”还是一位西安电子科技大学的大三学生,说来难以置信在大一大二的时侯,他还没怎么接触PC,用他自己的话说是“有一天和宿舍最要好的同学突然觉得应该弄台电脑玩玩了,便两人凑钱买回了台‘486’。”但电脑在使用时受到了“晚上十一点就全面断电”的校规限制,于是小哥儿俩再次凑钱到校外租了间小房子,玩电脑开始的日子非常之“爽”,他们经常在学校机房与个人“机房”之间以三寸软盘传递信息,但不多几日,“病毒”也开始在其间滋生漫延,学校机房成了“病毒乐园”,那时的黄鑫还是个不折不扣的初级小菜鸟,自己电脑中了病毒仍浑然不知,还乐此不疲地考贝着“NDD、PCTOOLS”以及当时流行的小游戏,直到一天电脑不再正常启动,这下他抓了瞎,自己不懂,就找来那个要好的“购机合伙人”求救,“高手”好友看后送他一句话:“你中了‘秋水’病毒了!”,虽然到现在黄鑫仍无从考证当时好友判断的正误,但在他当时白纸般简单的计算机知识“内存”中永久存储下了“秋水”这两个字,所谓知耻而后勇,此后黄鑫“师从”好友,从如何用KV300、KILL等杀毒软件清除病毒开始了计算机知识的全面涉猎。那台“486”老爷车只能跑DOS,若硬跑起WINDOWS95来则需要足够的耐心,但黄鑫与伙伴仍抵挡不住单机版”红色警报”的诱惑,为了可以顺畅地把游戏玩爽,为了再遇故障和病毒可以自己解决,黄鑫决心把电脑知识学深学透!他首先从KV300恢复主引导区的概念受到启发,以研究DOS磁盘引导区入手,从文件分配表到55AA扇区开始一步步把原本看似神秘的东西搞清。回忆那时的经历,黄鑫说:“正是‘病毒’的存在才让我感到电脑的趣味无穷!”如果不是这份兴趣,他恐怕不会将才智和精力全部投入其中,也就不会有日后“冰河”这一影响他人更影响他自己一生的“作品”的诞生。
没过几日,已是“中级菜鸟”的黄鑫不再满足于用现成的软件按个F‘x’功能键对系统进行自动修复了,他开始使用DEBUG,开始涉及汇编语言,很快就能不再借助任何第三方工具而手工恢复引导扇区,不久后又将这一手工过程通过一个自编的汇编小程序自动实现,首偿胜果的他小有成就感,至此,黄鑫只用短短数月便完成了由“初级小菜鸟”到“初级专家”的质的转变。此时在计算机求知路上的黄鑫已是脱缰的野马,任何成绩的取得都不能放慢他向更高技术层次进取的脚步,正好大三下学期开设了C语言课程,C语言可实现的那些汇编语言所无法比拟的强大功能深深吸引了黄鑫,在同班一位极具编程天赋的同学的鼓动下,他开始了自己编程研究的一个重要转型,主攻C语言,可以想见,对于汇编语言已烂熟于心的他,再学C语言可谓触类傍通,很快便也轻松上手了。但每想到潜心修得的一身汇编硬功就此“废弃”,黄鑫的惋惜之情溢于言表!用他自己当年和那位编程高手好友的话讲“若不是WINDOWS对DOS的取代,你我早已‘出徒’了!DOS都差不多学透了!”黄鑫清楚地记得当时有一本技术难度较高的《DOS5.0未公开调用大全》都已难不倒他俩了,但由此也让黄鑫深刻认识到计算机知识的更新何止是“与时具进”,速度之快让其求知者不得喘息。从大三开始对计算机知识如饥似渴的吸取,为黄鑫日后成为开发出“冰河”这样经典软件的优秀程序员奠定了坚实的基础,应该说“冰河”今天的一泻千里得益于当年的厚积薄发,大学时代知识的点滴积累就是成汹涌“冰河”源头的涓涓细流。


初出茅庐,小试锋芒

大三后半学期开始黄鑫与那位擅长编程的同学联系到一家咸阳市的公司作一份没有报酬的“兼职”,为的是在实践中检验自己的平日所学,丰富自己的实际开发经验。两人每个周末从西安跑咸阳一趟,为该公司开发一个数控机床的工控机软件,这项开发也充分发挥了他在DOS与汇编方面的特长,两个人连续数日挑灯夜战,效率极高,原开发单位一个月没有完成的工作转到他俩手中仅用四天就将一个在DOS下访问WINDOWS的界面框架构建完毕,接着只用两周时间全部开发工作顺利完成。虽说这只是一个很小的开发项目,与日后黄鑫参与的大型开发任务无法相比,但毕竟是自己的首次工作实践,人生每一个有意义的“第一次”都是值得永远记取的。不久后他俩从公司得知这套工控机软件已销往全国,很受欢迎,两个没有拿到一分钱物质奖励的大学生却由衷地感到自豪与成就感。该公司发现了人才自然希望留住,但长时间在西安与咸阳间往返奔波毕竟不便,黄鑫决定在母校“西电”附近的几家软件公司寻找机会,可每次面试对方刚听完他的自荐便主观判定这个未出校门的毛头小伙子既无工作经验更不可能身怀绝技,对他曾荣获“星火科技大赛奖”的一套多媒体安装向导开发作品也不以为然,甚至还对一个学生的工作责任心表示怀疑,这令黄鑫非常不快也挺寒心,最后他以一种无所谓的心态在一位本校教师开的一家名叫“创富”的小软件公司与这位老师面谈,当再次被问到类似问题时,他明确地告诉对方“我其实只是想有一个试用的机会,你如果试用我一两个月说出我什么地方不行,我马上心服口服地走人,但如果连个考察的机会都不给,那未免太主观了吧。”这位老师觉得有理,就拿出一个别人用Delphi编得不很完善的程序让他修改,黄鑫用了不到半个小时就轻松搞掂,很自然地他被聘用了。而这份兼职在他日后的职业发展道路上起到了重要作用,他出众的开发能力很快受到这位老师极度赏识,便在黄鑫毕业后将他推荐到在深圳的“中国科技开发院”工作,不久后黄鑫得知老总曾是昔日“西电”散打队的一员,说到两人的友情,黄鑫话很多,两个年纪相差整一轮,既是校友、上下级更是忘年至交。“他完全是一位老大哥,在我多次处境困难的时侯无私地帮助过我。”黄鑫一脸真诚地说。而除了感激,黄鑫对他更多的是发自内心的敬佩,敬佩他的人格魅力、事业心、驾驭企业发展和管理水平、市场运作能力特别是洞悉判断人的锐利慧眼。大四下半学期,早已完成毕业设计的黄鑫已开始在“开发院”上班了,在其后一年多的时间里他的研发水平不断提高,2001黄鑫因家庭生活的一点变故以及个人职业发展的长远考虑,面对上海一家公司开出的明显优厚的待遇条件,做出第一次跳槽的决定,当时黄鑫父母退休在家,收入微薄,家庭开销主要依靠他一个人,钱对他是一个很实际的问题,但公司的现状和他自己的做人原则都决定了不可能向公司提什么条件,那等于为难“校友老大哥”,与“老大哥”谈及此事,对方虽感惋惜却表示了极大的理解,黄鑫一再强调个人原因的同时非常真诚地表达了对老总本人和公司的感谢与不舍,时至今日,这两位忘年交仍保持着不减当年的真挚友情与密切联系。
他到上海那家公司后工作一度还算顺心,公司先前许诺的待遇条件都兑现了,但天有不测风云,刚巧又过了三个月,公司上层决定放弃黄鑫参与开发的这个项目,更糟的是公司对整个行业前景不再看好而决定转向,这便意味黄鑫注定将再次跳槽,于是“冰河”首次来到了北京,其实若不是上海这家公司的介入,离开深圳时他就想去北京,这里有全国最好的网络安全研发环境。他现在就职的北京思乐技术公司也是深圳思乐公司所属的分支机构,看来黄鑫与深圳还是很有缘。还是在上海的时候他对北京华泰网安这家公司很感兴趣,那里也有他很多的朋友,但思乐已先一步诚邀他加盟,双方已基本达成意向,以黄鑫的作人原则,诚信是最重要的,先答应好的事一定要履行,所以他到了思乐,说来凑巧,今年年初思乐对华泰实施了收购合并,他便又可与好友们为伍,落个皆大欢喜。从西安大学毕业到深圳再到上海,这条不安分的“冰河” 从西到南再向东最后流到了北,程序员黄鑫算是在北京相对地稳定了下来,这期间在社会闯荡的经历以及在研发技术上的磨砺提高,使他在做人与技术上都走向成熟,今日的黄鑫早已不再是当年校园学步的“小菜鸟”,而已是圈内闻名的“大侠”,而这一切的转变不过短短数年。

gototop
 

[风云人物]

上接《永远的冰河》

“木马冰河入梦来”

大四后期早早就完成毕业设计,又有一身编程绝技在身不愁工作去向,黄鑫显得比同学要轻松自在许多,于是学校附近的网吧经常可以看到他的身影,已在单机上把加解密之类的东西玩熟玩透了的他有一天便萌发了在网上大搞“隐身术与百变秘籍”的想法,通过接触当时很流行的“BO”以及“netspy”等后门程序更激发他将这一想法付诸实施,因为他发现这些程序在功能实现上也有局限,黄鑫强烈感到自己完全有能力开发出比其功能更强大完善的工具来,这也是丰富提高自己网络编程水平的好机会,因为以前缺少必要的网络测试环境,象winsock以前从未涉及,正好就此进行一番“恶补”,这时Delphi强大的控件功能派上了用场,其中自然不乏winsock控件,在开发建立网络连接模块时大大节省了时间提高了效率,开发的前期还比较顺利,网络编程对他这样一个汇编与C语言高手来说自然不是什么难事,偶遇生僻费解的问题,他就去请教那位编程水平很高的同学,很快,作为“冰河”雏形的一个可执行文件终于问世,还来不及起名字就先在宿舍同学之间进行测试,大家普遍反应不错,事情至此也就告一段落了,软件只是在同学中传着玩,当时的黄鑫从没想过把这个开发动机很单纯的软件发布出去以求名利双收,但事情在其后一个偶然的机会里发生了改变,在不久后那次去作“南宁百货”的招标项目时,开发组中一位南宁当地的技术人员用过这个“冰河测试版”后也大加赞赏,由于他接触国际互联网时侯较早,对互联网广泛的影响力体会很深,就强烈建议黄鑫将这个软件在网上发布,比起网上众多很“菜”很不入流的“共享软件”这个软件定会大受欢迎,一番话将黄鑫说动了,决定一试,突然想起还没给软件正式命名,于是大伙儿开动脑筋想,后来采取的方式是把金山词霸打开随机地敲入一个拼音字母看出来什么字和什么联想词,最后在“流沙”、“冰河”等词儿中选中了“冰河”,这个日后广为传播的“酷名”就是这么随意“瞎起”的。接下来的问题就是选哪个网站上传发布,那位南宁的同事先推荐了一个名为“PCHOME”(电脑之家)的网站,黄鑫自己又在网上找到了一个“中国程序员网站”,于是两个站点都放上去发布。
“冰河”发布后果然反响热烈,北方工业大学的两位研究生最先给黄鑫发来EMAIL,在对“冰河”大加称赞的同时还提出了交友以便共同交流提高的要求,后来又有大批的企业网管给他写信,请教与探讨技术细节,无意中黄鑫也交到了很多朋友。“冰河”从黄鑫在校时开发其雏形到1.0测试版正式发布一直是英文版的,一心想着尽快做出这个软件的他完全没有考虑语言支持问题,但一经对外发布问题就来了,一位英文不好的网友给他发信指出:“你作为‘冰河’开发者是中国人,面向的也主要是中国用户,为什么不写‘中文版’?难道中国人自己的软件还要中国人来汉化吗?”一席话真给黄鑫提了醒,没想到自己完全忽略了这个重要问题,仅仅一周后就完成发布了“冰河”1.1中文版,再后来还有人指出“冰河”操作界面比较简陋应加以改善,这些来信让黄鑫在感到“众口难调”的同时更感到“冰河”的大受欢迎,在一点没有影响工作进度的情况下他将“冰河”升级到了1.2版,上述问题都得以改进, “冰河”2.0在整个程序结构特别是操作界面的变化很大,不再是以前版上的简单升级而是不再与旧版兼容,其后的“冰河”2.1、2.2则都是对2.0不足之处的改进完善。
身为这款被很多人视作著名“木马”软件的开发者,黄鑫自己从未用它“搞”过任何一台别人的电脑,从初次开发到每次升级后的测试都是在属于自己学习或工作的网络环境中进行的,而在互联网上不足十次的测试都是通过OICQ向在线好友发出请求,经对方同意后在其电脑上进行的。其实黄鑫本质上就是一个技艺高深的程序员,他关注的是技术本身,当看到自己以单纯动机开发出来的软件被他人用于实现不好的目的也只能深感无奈。事实上,他知道什么是一个真正的优秀程序员应有的道德准则和社会责任。但情况越来越不对劲了,在朋友帮忙制作的“木马冰河”黄鑫个人主页的技术论坛上到处充斥着“‘冰河’黑机大法”的教学贴子,有的贴子还直奔“‘冰河’万能密码”的主题,黄鑫眼看着自己以技术提高为良好初衷建立起来的网站正在变成一个“‘木马’黑机的交流园地”,促使他不得不继终止“冰河”升级开发后又关闭了“木马冰河”个人站点。
停止“冰河”的开发后,黄鑫将完成公司本职工作之外的精力都用于知名扫描器“XSCAN”的升级开发以及著名网络安全网站“安全焦点(XFOCUS.org)的建设维护”,可以说XSCAN是继“冰河”后黄鑫的又一代表作。现在黄鑫一面继续着XSCAN的版本升级,一面正主攻他在“安全焦点”的一个重要研发任务,就是被形象地称为“黑客陷阱”的引诱攻击继而对其跟踪检测分析的“HONEYPOT”(蜜罐)系统,将它暴露于网上,所有端口与服务洞开无遗,攻击者一扫描到它便会误以为这是一台毫不设防的“肉鸡”,就会发起攻击,这便掉入了空城陷阱,其攻击行为和手段的每一步每个细节都被“HONEYPOT”系统监视得一览无余并一一记录在案进行分析,“HONEYPOT”只是基于单机系统,它研发的终极目的是组成一个“HONYNET”,即构建成一个完善的陷阱侦测网络,建一个“HONYNET”的成本是很高的,黄鑫现在做的就是开发一个“HONEYPOT”单机版模似环境,与开发“冰河”“XSCAN”所不同的是,“HONEYPOT”的开发意义在于扩大其在国内技术领域的认知度,以吸引更多的人加入这一技术的研讨。
从“冰河”到“XSCAN”再到“HONEYPOT”,黄鑫在程序开发的技术探索上步步为营,现在的黄鑫,应该说正值一名优秀程序员的黄金年龄,集锐气与成熟于一身,人们有理由期待他超越当年“冰河”的辉煌。

程序员黄鑫

黄鑫是广东人,这很容易从他的相貌特征上找到答案,由于父母长期在山西太原工作,黄鑫就出生在这里并一直生活到高中,除短短几年的南方学习与工作经历,26岁的他在北方生活了二十余年。生活中的黄金喜交友重义气,初次接触就容易让人消除陌生感,不知长年的北方生活对他豪爽直率、热情健谈的气质有无潜移默化的影响。
父母都是知识分子,严格的家教使黄鑫从小学直到高中的一年级都是听话的好学生,学习成绩使终名列前茅,但父母的严教也有些偏颇,要求黄鑫将全部时间精力用在学校书本知识上,课外一切正当的兴趣爱好都不培养和鼓励黄鑫去尝试。他幻想着有“解放”的那一天,终于到高中一年级时父母因工作调动先回了湛江,暂时“没人管”的黄鑫那压抑已久的男孩淘气贪玩儿的天性在几个一直淘气贪玩儿同学的带动下释放了出来,校内球场、校外花鸟市场随见他尽情玩耍的身影,打架也成家常便饭,当然放纵的结果是高一第一学期考试全班倒数第三名,这种低靡况态持续到回湛江上高三前,在父母恢复严管与高考的重压下,学习成绩才又上来,并顺利地考上大学。
高考时黄鑫的第一志愿报的是公安,他从小就想当警察,这是典型和常见的男孩心理特点的理想。他清楚地记得年幼时最喜欢戴“警察帽”,高考分数与体检都过了录取标准线,无奈报名且过线的人远远多于招收名额,又无特殊关系,最终与这个理想失之交臂,但黄鑫至今认为如果当年能被录取自己会是个出色的警察,至少不会比现在当程序员做得差,也许当年的阴错阳差注定黄鑫终将是一个优秀的程序员而非警员,现在所取得的成绩已足以说明他的大脑就是为计算机技术而生,其实一切早已命里注定。
黄鑫因“冰河”一举成名,他坦承“冰河”给他的生活带来许多的改变,有名气以及因名气间接带来的物质收益,但最让他看中的还是以“冰河”为媒结交的圈内外一大批志同道和的朋友,酷爱金庸作品的黄鑫很认同“网络安全界形同武林界”的观点,同样的高手如林、山外有山;同样的艺无止境、学海无涯;同样的人在江湖、义薄云天。
“冰河”也给黄鑫的生活带来很多意想不到的小烦恼和小幽默,网友们因“冰河”而对他很敬佩,更有的把他当成了“神仙”,在QQ上他就同一个网友有过这样的对话:网友:“你就是大名鼎鼎的‘冰河’?”,黄鑫:“是的。”网友:“那你是不是现在就能进到我的电脑里?”黄鑫看罢几乎要“晕倒”!另一次,黄鑫电脑的个人防火墙有段时间经常报警显示有人对其进行扫描,一看端口正是“冰河”的默认端口7626,开始他没多介意,但时间久了难免烦人,于是开了一个TELENT客户端口,然后跟对方说:“请你TELNET到xxx.xxx.xxx.xxx咱们聊聊!”这下对方终于知道遇到了“真人”,没有一个人敢上来应答。
现在的黄鑫很少谈“冰河”,甚至不喜欢谈“冰河”,因为在他看来再谈一切与“冰河”相关的话题就是犯了“好汉不提当年勇”的大忌,这对于他是不能容忍的,对一个程序员意味着创造与想象力的枯竭,他现在最希望的就是人们忘记“冰河”或说忘记“冰河”与他的关系,他不希望现在甚至多年以后一提黄鑫这个名字人们记住的还只是“冰河”,就如作家不希望人们只记住他的成名作,没有进取与创新,不再能超越自我对他们来说是最大的失败,年轻的黄鑫也不可能只开发一条“冰河”。谁也不知道 “金庸迷”的黄鑫“大侠”何时会“收山封刀,淡出江湖”。



gototop
 

[技术资料]

被入侵计算机系统恢复指南

A.准备工作
  1.商讨安全策略
  如果你的组织没有自己的安全策略,那么需要按照以下步骤建立自己的安全策略。

  1.1.和管理人员协商

  将入侵事故通知管理人员,可能在有的组织中很重要。在be aware进行事故恢复的时候,网络管理人员能够得到内部各部门的配合。也应该明白入侵可能引起传媒的注意。

  1.2.和法律顾问协商

  在开始你的恢复工作之前,你的组织需要决定是否进行法律调查。

  注意CERT(Computer Emergency Response Team)只提供技术方面的帮助和提高网络主机对安全事件的反应速度。它们不会提出法律方面的建议。所以,对于法律方面的问题建议你咨询自己的法律顾问。你的法律顾问能够告诉你入侵者应该承担的法律责任(民事的或者是刑事的),以及有关的法律程序。

  现在,是你决定如何处理这起事故的时候了,你可以加强自己系统的安全或者选择报警。

  如果你想找出入侵者是谁,建议你与管理人员协商并咨询法律顾问,看看入侵者是否触犯了地方或者全国的法律。根据这些,你可以报案,看看警方是否愿意对此进行调查。

  针对与入侵事件,你应该与管理人员和法律顾问讨论以下问题:

  如果你要追踪入侵者或者跟踪网络连接,是否会触犯法律。

  如果你的站点已经意识到入侵但是没有采取措施阻止,要承担什么法律责任。

  入侵者是否触犯了全国或者本地的法律。

  是否需要进行调查。

  是否应该报警。

  1.3.报警

  通常,如果你想进行任何类型的调查或者起诉入侵者,最好先跟管理人员和法律顾问商量以下。然后通知有关执法机构。

  一定要记住,除非执法部门的参与,否则你对入侵者进行的一切跟踪都可能是非法的。

  1.4.知会其他有关人员

  除了管理者和法律顾问之外,你还需要通知你的恢复工作可能影响到的人员,例如其他网络管理人员和用户。

  2.记录恢复过程中所有的步骤

  毫不夸张地讲,记录恢复过程中你采取的每一步措施,是非常重要的。恢复一个被侵入的系统是一件很麻烦的事,要耗费大量的时间,因此经常会使人作出一些草率的决定。记录自己所做的每一步可以帮助你避免作出草率的决定,还可以留作以后的参考。记录还可能对法律调查提供帮助。

  A.准备工作

  1.商讨安全策略

  如果你的组织没有自己的安全策略,那么需要按照以下步骤建立自己的安全策略。

  1.1.和管理人员协商

  将入侵事故通知管理人员,可能在有的组织中很重要。在be aware进行事故恢复的时候,网络管理人员能够得到内部各部门的配合。也应该明白入侵可能引起传媒的注意。

  1.2.和法律顾问协商

  在开始你的恢复工作之前,你的组织需要决定是否进行法律调查。

  注意CERT(Computer Emergency Response Team)只提供技术方面的帮助和提高网络主机对安全事件的反应速度。它们不会提出法律方面的建议。所以,对于法律方面的问题建议你咨询自己的法律顾问。你的法律顾问能够告诉你入侵者应该承担的法律责任(民事的或者是刑事的),以及有关的法律程序。

  现在,是你决定如何处理这起事故的时候了,你可以加强自己系统的安全或者选择报警。

  如果你想找出入侵者是谁,建议你与管理人员协商并咨询法律顾问,看看入侵者是否触犯了地方或者全国的法律。根据这些,你可以报案,看看警方是否愿意对此进行调查。

  针对与入侵事件,你应该与管理人员和法律顾问讨论以下问题:

  如果你要追踪入侵者或者跟踪网络连接,是否会触犯法律。

  如果你的站点已经意识到入侵但是没有采取措施阻止,要承担什么法律责任。

  入侵者是否触犯了全国或者本地的法律。

  是否需要进行调查。

  是否应该报警。

  1.3.报警

  通常,如果你想进行任何类型的调查或者起诉入侵者,最好先跟管理人员和法律顾问商量以下。然后通知有关执法机构。

  一定要记住,除非执法部门的参与,否则你对入侵者进行的一切跟踪都可能是非法的。

  1.4.知会其他有关人员

  除了管理者和法律顾问之外,你还需要通知你的恢复工作可能影响到的人员,例如其他网络管理人员和用户。

  2.记录恢复过程中所有的步骤

  毫不夸张地讲,记录恢复过程中你采取的每一步措施,是非常重要的。恢复一个被侵入的系统是一件很麻烦的事,要耗费大量的时间,因此经常会使人作出一些草率的决定。记录自己所做的每一步可以帮助你避免作出草率的决定,还可以留作以后的参考。记录还可能对法律调查提供帮助



gototop
 

[技术资料]

教你如何防范自己的IP泄漏

在正式进行各种“黑客行为”之前,黑客会采取各种手段,探测(也可以说“侦察”)对方的主机信息,以便决定使用何种最有效的方法达到自己的目的。来看看黑客是如何获知最基本的网络信息——对方的IP地址;以及用户如何防范自己的IP泄漏。

获取IP

“IP”作为Net用户的重要标示,是黑客首先需要了解的。获取的方法较多,黑客也会因不同的网络情况采取不同的方法,如:在局域网内使用Ping指令,Ping对方在网络中的名称而获得IP;在Internet上使用IP版的QQ直接显示。而最“牛”,也是最有效的办法是截获并分析对方的网络数据包。这是用Windows 2003的网络监视器捕获的网络数据包,可能一般的用户比较难看懂这些16进制的代码,而对于了解网络知识的黑客,他们可以找到并直接通过软件解析截获后的数据包的IP包头信息,再根据这些信息了解具体的IP。

隐藏IP

虽然侦察IP的方法多样,但用户可以隐藏IP的方法同样多样。就拿对付最有效的“数据包分析方法”而言,就可以安装能够自动去掉发送数据包包头IP信息的一些软件。不过使用这些软件有些缺点,譬如:它耗费资源严重,降低计算机性能;在访问一些论坛或者网站时会受影响;不适合网吧用户使用等等。现在的个人用户采用最普及隐藏IP的方法应该是使用代理,由于使用代理服务器后,“转址服务”会对发送出去的数据包有所修改,致使“数据包分析”的方法失效。一些容易泄漏用户IP的网络软件(QQ、MSN、IE等)都支持使用代理方式连接Internet,特别是QQ使用“ezProxy”等代理软件连接后,IP版的QQ都无法显示该IP地址。这里笔者介绍一款比较适合个人用户的简易代理软件——网络新手IP隐藏器(如图2),只要在“代理服务器”和“代理服务器端”填入正确的代理服务器地址和端口,即可对http使用代理,比较适合由于IE和QQ泄漏IP的情况。

不过使用代理服务器,同样有一些缺点,如:会影响网络通讯的速度;需要网络上的一台能够提供代理能力的计算机,如果用户无法找到这样的代理服务器就不能使用代理(查找代理服务器时,可以使用“代理猎手”等工具软件扫描网络上的代理服务器)。

虽然代理可以有效地隐藏用户IP,但高深的黑客亦可以绕过代理,查找到对方的真实IP地址,用户在何种情况下使用何种方法隐藏IP,也要因情况而论。



gototop
 

[安全防范]

“蜜罐技术”能消除防火墙局限和脆弱

防火墙是网络上使用最多的安全设备,是网络安全的重要基石。防火墙厂商为了占领市场,对防火墙的宣传越来越多,市场出现了很多错误的东西。其中一个典型的错误,是把防火墙万能化。但2002年8月的《计算机安全》中指出,防火墙的攻破率已经超过47%。正确认识和使用防火墙,确保网络的安全使用,研究防火墙的局限性和脆弱性已经十分必要。

防火墙十大局限性

一、防火墙不能防范不经过防火墙的攻击。没有经过防火墙的数据,防火墙无法检查。

二、防火墙不能解决来自内部网络的攻击和安全问题。防火墙可以设计为既防外也防内,谁都不可信,但绝大多数单位因为不方便,不要求防火墙防内。

三、防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙是一个被动的安全策略执行设备,就像门卫一样,要根据政策规定来执行安全,而不能自作主张。

四、防火墙不能防止可接触的人为或自然的破坏。防火墙是一个安全设备,但防火墙本身必须存在于一个安全的地方。

五、防火墙不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙准许某些标准网络协议,防火墙不能防止利用该协议中的缺陷进行的攻击。

六、防火墙不能防止利用服务器系统漏洞所进行的攻击。黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击,防火墙不能防止。

七、防火墙不能防止受病毒感染的文件的传输。防火墙本身并不具备查杀病毒的功能,即使集成了第三方的防病毒的软件,也没有一种软件可以查杀所有的病毒。

八、防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时,可能会发生数据驱动式的攻击。

九、防火墙不能防止内部的泄密行为。防火墙内部的一个合法用户主动泄密,防火墙是无能为力的。

十、防火墙不能防止本身的安全漏洞的威胁。防火墙保护别人有时却无法保护自己,目前还没有厂商绝对保证防火墙不会存在安全漏洞。因此对防火墙也必须提供某种安全保护。

防火墙十大脆弱性

一、防火墙的操作系统不能保证没有漏洞。目前还没有一家防火墙厂商说,其防火墙没有操作系统。有操作系统就不能绝对保证没有安全漏洞。

二、防火墙的硬件不能保证不失效。所有的硬件都有一个生命周期,都会老化,总有失效的一天。

三、防火墙软件不能保证没有漏洞。防火墙软件也是软件,是软件就会有漏洞。

四、防火墙无法解决TCP/IP等协议的漏洞。防火墙本身就是基于TCP/IP等协议来实现的,就无法解决TCP/IP操作的漏洞。

五、防火墙无法区分恶意命令还是善意命令。有很多命令对管理员而言,是一项合法命令,而在黑客手里就可能是一个危险的命令。

六、防火墙无法区分恶意流量和善意流量。一个用户使用PING命令,用作网络诊断和网络攻击,从流量上是没有差异的。

七、防火墙的安全性与多功能成反比。多功能与防火墙的安全原则是背道而驰的。因此,除非确信需要某些功能,否则,应该功能最小化。

八、防火墙的安全性和速度成反比。防火墙的安全性是建立在对数据的检查之上,检查越细越安全,但检查越细速度越慢。

九、防火墙的多功能与速度成反比。防火墙的功能越多,对CPU和内存的消耗越大,功能越多,检查的越多,速度越慢。

十、防火墙无法保证准许服务的安全性。防火墙准许某项服务,却不能保证该服务的安全性。准许服务的安全性问题必须由应用安全来解决。

市场需要新一代防火墙

在计算机网络日益普及的今天,市场需要新一代防火墙来改变目前的不安全局面。

新一代防火墙定位于解决以下问题:1.协议的安全性问题;2.病毒产生的攻击的问题;3.可信与不可信的问题;4.防火墙自身的安全性问题等。

随着网络安全技术的不断发展,像物理隔离网闸(GAP)、防泄密系统(Anti-Disclosure)、防病毒网关(Anti-Virus Gateway)、抗攻击网关(Anti-DDOS Gateway)、入侵检测防御(IDP)等技术,大大弥补了防火墙技术的不足,从而构成了更加安全的网络防御体系。

你是不是疲于防范黑客?现在你应该采取攻势了。至少这是所谓的蜜罐(honeypot)蕴含的思想。蜜罐是指目的在于吸引攻击者、然后记录下一举一动的计算机系统。

蜜罐技术的实现

蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对贵公司服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。

设置蜜罐并不难,只要在外部因特网上有一台计算机运行没有打上补丁的微软Windows或者Red Hat Linux即行。因为黑客可能会设陷阱,以获取计算机的日志和审查功能,你就要在计算机和因特网连接之间安置一套网络监控系统,以便悄悄记录下进出计算机的所有流量。然后只要坐下来,等待攻击者自投罗网。

不过,设置蜜罐并不是说没有风险。这是因为,大部分安全遭到危及的系统会被黑客用来攻击其它系统。这就是下游责任(downstream liability),由此引出了蜜网(honeynet)这一话题。

蜜网是指另外采用了技术的蜜罐,从而以合理方式记录下黑客的行动,同时尽量减小或排除对因特网上其它系统造成的风险。建立在反向防火墙后面的蜜罐就是一个例子。防火墙的目的不是防止入站连接,而是防止蜜罐建立出站连接。不过,虽然这种方法使蜜罐不会破坏其它系统,但同时很容易被黑客发现。

数据收集是设置蜜罐的另一项技术挑战。蜜罐监控者只要记录下进出系统的每个数据包,就能够对黑客的所作所为一清二楚。蜜罐本身上面的日志文件也是很好的数据来源。但日志文件很容易被攻击者删除,所以通常的办法就是让蜜罐向在同一网络上但防御机制较完善的远程系统日志服务器发送日志备份。(务必同时监控日志服务器。如果攻击者用新手法闯入了服务器,那么蜜罐无疑会证明其价值。)

近年来,由于黑帽子群体越来越多地使用加密技术,数据收集任务的难度大大增强。如今,他们接受了众多计算机安全专业人士的建议,改而采用SSH等密码协议,确保网络监控对自己的通讯无能为力。蜜网对付密码的计算就是修改目标计算机的操作系统,以便所有敲入的字符、传输的文件及其它信息都记录到另一个监控系统的日志里面。因为攻击者可能会发现这类日志,蜜网计划采用了一种隐蔽技术。譬如说,把敲入字符隐藏到NetBIOS广播数据包里面。

蜜罐技术的优势

蜜罐系统的优点之一就是它们大大减少了所要分析的数据。对于通常的网站或邮件服务器,攻击流量通常会被合法流量所淹没。而蜜罐进出的数据大部分是攻击流量。因而,浏览数据、查明攻击者的实际行为也就容易多了。

自1999年启动以来,蜜网计划已经收集到了大量信息,你可以在www.honeynet.org上找到。部分发现结果包括:攻击率在过去一年增加了一倍;攻击者越来越多地使用能够堵住漏洞的自动点击工具(如果发现新漏洞,工具很容易更新);尽管虚张声势,但很少有黑客采用新的攻击手法。

蜜罐主要是一种研究工具,但同样有着真正的商业应用。把蜜罐设置在与公司的Web或邮件服务器相邻的IP地址上,你就可以了解它所遭受到的攻击。

当然,蜜罐和蜜网不是什么“射后不理”(fire and forget)的安全设备。据蜜网计划声称,要真正弄清楚攻击者在短短30分钟内造成的破坏,通常需要分析30到40个小时。系统还需要认真维护及测试。有了蜜罐,你要不断与黑客斗智斗勇。可以这么说:你选择的是战场,而对手选择的是较量时机。因而,你必须时时保持警惕。

蜜罐领域最让人兴奋的发展成果之一就是出现了虚拟蜜网。虚拟计算机网络运行在使用VMware或User-Mode Linux等虚拟计算机系统的单一机器之上。虚拟系统使你可以在单一主机系统上运行几台虚拟计算机(通常是4到10台)。虚拟蜜网大大降低了成本、机器占用空间以及管理蜜罐的难度。此外,虚拟系统通常支持“悬挂”和“恢复”功能,这样你就可以冻结安全受危及的计算机,分析攻击方法,然后打开TCP/IP连接及系统上面的其它服务。

对大组织的首席安全官(CSO)来说,运行蜜网最充分的理由之一就是可以发现内部不怀好意的人。

蜜罐技术的法律问题

出乎意料的是,监控蜜罐也要承担相应的法律后果,譬如说,有可能违反《反窃听法》。虽然目前没有判例法,但熟悉这方面法律的人士大多数认为,双方同意的标语是出路所在。也就是说,给每个蜜罐打上这样的标语:“使用该系统的任何人同意自己的行为受到监控,并透露给其他人,包括执法人员。”

gototop
 

[防火墙技术]

防火墙面临结构升级

作者:刘兵、毕学尧、张海涛 文章来源:中国计算机报 网络与通信

经过若干年的讨论后,对于防火墙的存在形式,人们已经有了统一认识——还是硬件防火墙性价比高。

基于ASIC的防火墙依靠其优异性能成为目前公认的最好的防火墙。

但是,由于种种原因,这种技术并不适合于国内厂商发展。

那么,国产的防火墙该靠什么来崛起呢?有人提出,要靠最新的网络处理器(NP)技术。

目前,国内外各种品牌的防火墙在功能上大同小异,而且随着Intel X86CPU性能的快速提高,基于Intel X86架构的防火墙在100Mbps带宽下的性能也可以满足用户的需求。但是,随着千兆网络的建设或升级,新的问题又摆在防火墙厂商和用户的面前,带宽提高了9倍,可是系统总线、接口没变,CPU的处理能力却不可能提高9倍,对于要完成包括包过滤、代理、NAT、防攻击等多项任务的防火墙来说,原有的硬件和结构不可能满足千兆环境的性能要求。这就决定了在下一阶段,性能将成为防火墙产品的竞争焦点,也是国内外厂商、用户关注的热点。

软硬结合一直是防火墙设计和实现的主要方法,对于提高性能来说,硬件技术是关键。高速网络环境下千兆防火墙产品的数据处理包括过滤、内容检查、高速交换、加解密等诸多方面,没有高性能的硬件就不能保证千兆以上的线速处理,而缺乏灵活性就不能满足千兆防火墙产品对网络协议进行二到七层处理的需求。这就需要使用具有高性能、高灵活性以及高可靠性的专用网络设备。网络处理器以其杰出的包处理性能及可编程性成为构筑网络转发引擎不可替代的核心,它已经成为新一代网络设备的核心处理器,是未来网络设备的发展趋势。

网络处理器比工控机、ASIC更适于千兆

网络处理器顾名思义即专为网络数据处理而设计的芯片或芯片组,能够直接完成网络数据处理的一般性任务,如TCP/IP数据的校验和计算、包分类、路由查找等,同时,硬件体系结构的设计也弥补了传统IA体系的不足,它们大多采用高速的接口技术和总线规范,具有较高的I/O能力,这样,基于网络处理器的网络设备的包处理能力得到了很大提升,很多需要高性能的领域,如千兆交换机、防火墙、路由器的设计都可以采用网络处理器来实现。

千兆防火墙的硬件实现技术主要有三种:Intel X86架构工控机、ASIC硬件加速技术和网络处理器加速技术。Intel X86架构的硬件以其高灵活性和扩展性一直受到防火墙厂商的青睐。在百兆防火墙比较容易地获得成功后,很多开发商对千兆防火墙产品的开发也很乐观,认为通过提高CPU主频,扩大内存、用最好的千兆服务器网卡等手段就能直接满足千兆环境的需求,但实际情况却并非如此,其中最主要的问题就表现在性能上。

由于采用PCI总线接口,Intel X86架构的硬件虽然理论上能达到接近2Gbps的吞吐量,但实际应用中,尤其是在小包情况下,远远达不到标称性能,通用CPU的处理能力也很有限。而且,由于X86 CPU的广泛应用,很多网络攻击,尤其是溢出攻击很容易实现,设备自身的安全性较低。而网络处理器不但处理性能高,由于采用了ARM、PowerPC或 MIPS CPU,能防范大多数的溢出攻击,提高了自身的安全性。不过,对于性能和安全要求不太高的用户来说,基于Intel X86架构的防火墙基本可以满足需求。

国外有部分厂商的防火墙产品采用了ASIC专用硬件加速,如NetScreen的高端防火墙。这样做可以明显提升防火墙的吞吐性能,但对于升级维护的灵活性和扩展性不够,而且开发费用高,开发周期长,一般需要两年以上的时间,不利于公司快速推出满足用户不断变化需求的防火墙产品。网络处理器是一种非基于ASIC的IC或IC芯片组,利用软件编程,网络处理器可以像ASIC那样快速地处理数据包。同时可以通过升级芯片上的固件增加新的功能。其固件既可以由网络设备厂商编写,也可由第三方加载到处理器中。一般而言,网络处理器比基于ASIC的设计解决方案能缩短上市时间,并能节约几百万美元的资金。同时,由于知识产权包含在软件而不是硬件中,因此,网络设备制造商可以很方便地重复应用他们的秘密,从而使下一代产品的设计成本进一步减少,使上市时间更短。

两种可用的网络处理器结构

在开发基于网络处理器的防火墙之前,最重要的工作莫过于选择何种网络处理器,因为这在功能、性能以及软件支持方面具有较大的差异,不但会影响防火墙的功能和性能,对上市时间也有很大影响,用户在选择千兆防火墙之前也应该考虑这一点。目前,网络处理器都是由国外厂商设计制造的,从体系结构上主要分为两大类:一类是以Intel 的IXP系列产品为代表,分为控制和处理(或称数据)两个平面,如Intel公司的IXP1200,控制平面是一个ARM CORE,负责维护系统信息和协调处理部分工作,处理平面由多个微引擎(Micro Engine)和其他专用硬件组成,负责利用控制平面下发的微代码和命令,直接处理网络数据。这类产品在对数据包进行简单过滤时性能较好,但是由于体系结构限制,尤其是微代码的开发相对复杂,导致灵活性较差,难以满足复杂多变的市场需求,一般适合3层(IP层)及以下网络数据的处理。另一类产品以SiByte 的Mercurian系列产品为代表,它基于MIPS CPU设计,如SB1250。它一方面保持了基于通用CPU设计的灵活性,另一方面通过SOC(System On Chip)的方式消除了传统CPU、总线、设备之间带宽的瓶颈问题。这类产品灵活性较强,易于开发、升级和维护,适于构建速度可与专用ASIC相媲美的、完全可编程的网络处理平台。一般来说,单用吞吐量来评价防火墙性能是很不够的,更应考虑到它能够支持哪些应用以及支持新应用的可扩展性,有人曾说过:“网络处理器应用于实际的商用产品开发的一个必要条件是,网络处理器需要有完美的可塑性。”从这个角度来看,后一类网络处理器产品是值得考虑的。

目前,网络处理器的发展速度非常快,Intel公司的IXP系列最新型号的产品IXP2800,已经能够处理10Gbps的网络数据,IBM公司的NP4GS3能够处理2.5Gbps的网络数据,这两款产品可以用于开发QoS服务器、高端交换机、骨干路由器等产品。不过由于供货时间的关系,目前大规模应用的Intel网络处理器还是以IXP1200为主,高端产品可能要今年晚些时候才能供货。采用IXP网络处理器的开发费用不是很高,但是由于IXP1200单片的处理性能较低,一般需要多片并行工作才能满足千兆需求,还需要其他协处理芯片配合,对硬件设计能力要求较高,也导致其最终产品价格不可能太低。SiByte公司的SB1250作为宽带网络处理器现在已经非常成熟,它内部集成了多个MAC控制器,能直接计算TCP/IP数据包的校验和,可处理2.5Gbps全双工的网络数据,而且开发费用相对小得多,是开发高端千兆防火墙的较好选择。

国内厂商寄厚望于网络处理器

现在国内外有很多防火墙厂商已经意识到了,利用网络处理器作为下一代千兆防火墙是大势所趋,部分厂商也已经开始了这方面的探索和努力,如美国的ServerGate防火墙,它采用多片IXP1200结合高速包分类芯片设计,在进行多路测试情况下,其吞吐量可达到800Mbps左右(64bytes包)。另外,据“赛迪网”报道(http://www.ccidnet.com/news/enterpriseperson/2002/08/22/95_72651.html),国内的华堂公司正在利用网络处理器进行千兆防火墙的开发,它采用的是IXP1200。采用SiByte公司的SB1250进行千兆防火墙开发的公司在国内也开始出现。据预测,大多数国内外厂商会在2003年三四季度发布基于网络处理器的防火墙产品。

我们认为,在传统Intel X86架构上开发高端网络安全产品灵活性强,可扩充能力好,但性能无法满足千兆需求。同时,开发专用于网络处理的ASIC芯片费用高、时间长而且灵活性较差。在这种情况下,利用网络处理器开发下一代高速网络安全产品是一个必然趋势,特别是对国内防火墙厂商而言,采用网络处理器可以快速缩短和国外厂商的差距,填补国内产品在高端市场上的空白,提高我国网络安全防护的整体水平。不过我们需要注意的是,在千兆防火墙的设计中,只有根据用户需求选择合适的网络处理器,才可能在下阶段竞争中取得主动。



gototop
 
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT