社区应用 最新帖子 精华区 社区服务 会员列表 统计排行 社区论坛任务 迷你宠物
  • 2977阅读
  • 2回复

主题:感受天网2006(雅典娜篇)

级别: 店掌柜
发帖
5692
铜板
103378
人品值
1520
贡献值
26
交易币
0
好评度
5373
信誉值
0
金币
0
所在楼道

  Gr)G-zE  
作者:ubuntu ka ;=%*7T  
版权声明:本文采用
创作共用协议遵守创作共用协议,非商用,非盈利 以及保留作者和版权声明的前提下,您可以任意转载本文。将本文用于商业用途请先联系作者,以获得授权。作者不对读者使用本文中软件造成的损失承担任何责任。 #b:YY^{g_  
本文作者保留对违反本声明的行为进行法律诉讼的权利。 j{2 0  
nt-_)4Fm  
我对天网不是很熟,有争议的地方,大家可以提出来,合理的我会改正。 0 z]H=  
先回答好些人关心的程序校验,一个字:。证据: YktZXc?iI<  
1.运行IE,勾上“以后按照这次的操作进行”,备份IE目录。把Opera的路径改成IE的,Opera.exe改为IEXPLORE.EXE,再运行,雅典娜没反应。 $/5\Hg1  
2.升级Opera,再运行,雅典娜没反应。 ~-uf%=  
结论:雅典娜只认路径,不认识MD5,SHA256之类的。 jvD_{r  
安装卸载 (!J;g|58  
雅典娜没以前那么霸道,已经安装其他防火墙的情况下,再装雅典娜,居然没蓝屏,可以一起胡搞瞎搞啦。使用前,记得先备份安装目录下的Rules,先看看自带的帮助。卸载后,非即插即用设备里的 SKNFW.sys和以前一样还是没删除。 suW|hh1/Ya  
雅典娜的默认界面是系统设置 `L[q`r7  
I&gd"F _v}  
发现安装VMware后,自动检测的局域网IP不对,是虚拟网卡的。好在不影响使用。 I|>.&nb  
饿滴神啊,雅典娜的新技能:入侵检测 Tp.]{*  
不过我运气不好,一直米碰到入侵的朋友。 iQT0%WaHl  
6gO(  8  
应用程序规则 1@|%{c&+9  
默认IE的,太松了,这谁负责的,该扣。。。。。。 m']$)Iqw  
C!9mygI  
查了下帮助,是错的,这谁写的,直接开了吧,不用扣。。。。。。 Bt5 P][<  
T<b* =i  
TCP/UDP协议服务是服务端,带服务两字的是服务端,发送信息的是客户端,OK! $>uUn3hSx\  
强化以后的IE规则 A{k1MA<F6  
Z]bG"K3l  
IE根本不需要提供TCP服务,也没必要发送UDP信息。至于允许UDP服务,是为了loopback,和远程无关,你也可以不允许,不影响上网浏览。 W/WP }QM  
e6tU8`z  
TCP可访问的远程端口不能搞全部。80,443,21,其它自己根据情况加入。 (: k n)  
Iw)m9h  
FF,Maxthon和IE一样,端口也一样。NOD32升级和IE一样,端口只有80。 T5e#Ll/  
rz-61A) _  
Opera不需要loopback K`uPPyv  
Nq\)o{<1  
P2P就不限制啦 `.3.n8V  
&y|PseH"  
svchost允许Windows Update自动更新 8g-Z~~0W1  
v<)&JlR  
应用程序网络状态 *zDDi(@vtK  
TCP 在XXX端口监听 就是TCP服务,已连接XXX端口就是客户端 /-m)  
UDP 在XXX端口监听 就是UDP服务 c;-N RvVb  
自定义IP规则 *B{]  
整个规则包是发送不限制。接收用规则限制。 0T#z"l<L  
不使用局域网的,把和局域网有关的规则的勾去掉。 ,_w}\'?L  
规则不能混排,要按顺序IP,ICMP,IGMP,TCP,UDP,狂晕中。好在顺序是自上而下,否则我就看不懂了。 *P]]7DR  
ICMP部分,没什么NB的,老一套。允许ICMP In 0,3,11,局域网8,禁止ICMP Ping In 8,最后是防御ICMP攻击,拒绝所有ICMP数据包。对发送ICMP,没限制,建议加入允许发送的ICMP规则,然后禁止发送其它ICMP。 .d$Q5Qae  
官方ICMP,IGMP规则 '@w'(}3!3R  
f}4A ,%:1  
IGMP部分,建议用不到IGMP的由接收改为双向。 =2DK?]K;  
TCP部分,防御XMAS攻击移动到TCP数据包监视下面。 '+j;g  
我以前以为弄一堆木马规则是噱头,真正设计良好的防火墙,根本不需要。待我仔细把雅典娜的规则看一遍,发现在雅典娜的架构下,你必须加入这些木马规则。 llh +r?  
下面是一条TCP木马规则 |M t2  
V>Xg\9B_  
下面是一条禁止所有人连接的规则 k\*?<g  
n5BD0q  
你会发现禁止所有人连接的规则包括了任何所谓的TCP木马规则,真正设计良好的防火墙只需要禁止所有人连接的规则,而不需要所谓的TCP木马规则。为什么,雅典娜需要呢?因为还有这样一条规则:允许已经授权程序打开的端口。为什么有这条规则,是为不会修改规则的人制定的。 PNo:vRtsq  
Y}s6__  
但凡是前面程序规则里授权打开的服务端口,允许远程连接。前面我说了,雅典娜只认路径,应用程序控制几乎为0,一个恶意程序可以轻易的利用已经授权程序打开的端口做它该做的。 ,L~aa?Nb-  
解决的办法:在IP规则里将允许已经授权程序打开的端口放在所有木马规则之下。官方规则是这么干的。 8y_(Iu|:  
在程序规则里,禁止不必要的服务访问网络。我前面讲过。 c9Cc%EK  
安装SSM,GSS,PG之类的加强程序控制。
xx7&y !_  
雅典娜对TCP数据包的过滤可以通过TCP标志位(TCP Flag)进行控制,应该说很不错,比大多数防火墙的可控性要强。但是为什么只有XMAS一条,防止标志位攻击的规则还有很多,比如FIN ScanNULL Scan,希望官方能加进去,充分发挥雅典娜的优势。 k$8Zg*)  
NG:4Q.G1g  
UDP部分,允许DNS(域名解释)应该把本地端口限制到1024-5000,复制成两条,一般上网都是两个DNS。并且应该指导用户将对方IP改为ISP指定的DNS IP。然后加入一条阻止接收其它IP UDP 53的规则。而不是像现在,允许接收所有IP UDP 53的数据包。 @OUBo;/  
 iycceZ  
允许已经授权程序打开的端口 应该在木马规则之下,不知道为什么包括官方在内的各种规则包都在木马规则之上? OT=1doDp  
[网络服务]开放 时间同步 服务 不管用户是否使用也应该将对方IP固定207.46.232.189,207.46.130.100,对方端口123。 ?MmQ'1N  
总体上看,自定义规则的质量一般,不如LNS的EnhancedRulesSet,更别提Phant0m啦,有待提高。 )p>p3b g  
资讯通,没什么好讲的。希望负责资讯通的,不要像做帮助那帮人学。 u>agVB4\F  
提醒一下,应用程序过滤刻不容缓,入侵检测和它比94那花瓶。有空换肤,不如把修改规则的界面人性化点,本地端口和对方端口能不能也像对方IP地址弄个下拉列表,可以选择单个端口,端口范围,所有端口。从0到0,从80到80是在是别扭。自定义规则还需要强化。另外日志里应该提示是被那条规则拦截的,以方便修改规则是否进行日志记录。 8\:>;XG6f  
普通用户选择雅典娜无可厚非,但是要想办法弥补它在应用程序过滤的缺陷。 7t}s5}Z 4  
评价一下你浏览此帖子的感受

精彩

感动

搞笑

开心

愤怒

无聊

灌水

简单生活
执著追求
别笑我浅溥,天真的以为用一腔真诚就能感动这个冷漠的世界。
也别说我幼稚,竟想用不长的人生去诠释繁杂的红尘。
然而除了真诚,我还能给你什么,的确我真的一无所有!

级别: 店掌柜
发帖
5692
铜板
103378
人品值
1520
贡献值
26
交易币
0
好评度
5373
信誉值
0
金币
0
所在楼道

只看该作者 1 发表于: 2006-07-25
软件就不多介绍了,有需要的朋友自行下载~~~ QfPw50N;  
aj .7t =^  
原版下载:http://pfw.sky.net.cn/downloads/SkynetPFW_Retail_Release_v3.0_Build0710.EXE
[ 此贴被■§卫§■在2006-07-25 15:20重新编辑 ]
附件: CrAcK[1].part1.rar (994 K) 下载次数:3
附件: CrAcK[1].part2.rar (994 K) 下载次数:4
附件: CrAcK[1].part3.rar (994 K) 下载次数:5
附件: CrAcK[1].part4.rar (151 K) 下载次数:5

简单生活
执著追求
别笑我浅溥,天真的以为用一腔真诚就能感动这个冷漠的世界。
也别说我幼稚,竟想用不长的人生去诠释繁杂的红尘。
然而除了真诚,我还能给你什么,的确我真的一无所有!

级别: 终身会员
发帖
3743
铜板
8
人品值
493
贡献值
9
交易币
0
好评度
3746
信誉值
0
金币
0
所在楼道
只看该作者 2 发表于: 2006-07-30
顶~~~~~~我只用自带的防火墙~~~~~~~我就喜欢自己中木马 然后在反入侵比较好玩~~
描述
快速回复

您目前还是游客,请 登录注册
温馨提示:欢迎交流讨论,请勿纯表情、纯引用!
认证码:
验证问题:
3+5=?,请输入中文答案:八 正确答案:八