ARP反向追踪!!!!!!
运行CMD C:ARP -A找到攻击者给你的假信息和攻击者的MAC码 局域网中ARP欺骗的一个主要特点就是使用了伪造的IP地址和MAC地址,我们所看到的地址都是由攻击软件精心构造出来的虚假地址,因而无法从捕捉的数据包中识别出攻击者的真正来源。尽管如此,但一个有经验的 *** 管理员仍然能通过查找交换机的端口来定位攻击者的来源,因为IP地址和MAC地址可以伪造,但攻击者连接到交换机的那个端口却无法伪造,利用“MAC地址-IP地址-PORT”三者之间的联系,我们就可以准确而快速地定位攻击者来源,这就是追踪ARP欺骗攻击源的基本依据。那么,如何才能发现“MAC地址-IP地址-PORT”之间的关系呢?
在交换式局域网里,由于交换机可以自动记住连接到每一个端口上面的计算机的MAC地址,因此,无论攻击者使用什么样的计算机和操作系统,只要一开机,计算机的MAC地址和端口之间的关系就被自动记录到交换机的内存中,这是正常情况下的关联;如果攻击者在他的计算机上面发起一次ARP欺骗,那么交换机就会捕捉到这个ARP欺骗包,通过拆包检查,交换机就能记住在这个端口上又出现了一个新的MAC地址,这是ARP欺骗状态下的关联。此时,交换机的内存中就会出现同一个端口对应了两个不同的MAC地址的情况:一个是攻击者真实的MAC地址,另一个则是其伪造的MAC地址。
计算机被黑客攻击,如何反向追踪IP原始攻击地址?
如果在受攻击前,安装了 *** 侦测软件,那么在遭到攻击时可以直接显示黑客IP。除此之外,基本上就只能依靠防火墙了。
购买一个硬件防火墙并安装,如果遭到攻击,硬件防火墙不但会自动拦截,还可以查看连接日志找出对方IP。
软件防火墙现在大多也提供了在检测到遭到攻击时自动屏蔽 *** 连接、自动“隐身”的功能,并且自动给出对方IP。
不过需要注意的一点是,现在很多黑客都采用了动态/伪装IP来逃避追踪,因此追踪到IP之后一定要及时利用,可能片刻之后就会失效了。
ZoneAlarm怎么 用
zonealarm设置全攻略
易于使用但功能强大的ZoneAlarm是一个集成5种安全服务技术的个人防火墙软件,它把防火墙、应用程序控制、Internet锁定、动态安全级别及域分配有机地整结在一起。
易于使用是ZoneAlarm一贯的特点,虽然对中国人来说英文界面看起来不舒服,但是,ZoneAlarm使用 *** 如此简单,即使是刚刚出道的新手也能够很容易得就掌握它的使用。功能强大是ZoneAlarm的另一个特点,ZoneAlarm不再是一个简单的 *** 防火墙,而是一款综合防火墙软件。除了防火墙外,它还包括一些个人隐私保护工具以及弹出广告屏蔽工具,同时还具有一个高级邮件监视器,它将会监视每一个有可能是由于病毒导致的可疑行为,如果你是家长不希望孩子浏览暴力网站,它具备网页过滤功能,另外,它还将会对 *** 入侵者的行动进行汇报。新版ZoneAlarm Pro 5.0.556.003 Beta增强了AlertAdvisor,具有自动的策略建议;更新了反病毒监测(Antivirus Monitoring); 全新的警报查看器功能。ZoneAlarm支持在线智能升级和人工升级。ZoneAlarm还有网关管理功能,通过专家级的规则制定,它能够让高级用户自由控制上网资源。专家级的规则制定功能也存在于其它防火墙中,但是,ZoneAlarm专家级的规则制定功能更强大,体现在可以对组操作(避免重复操作)、间控制和可以控制到MAC级别,这正是网管需要的功能,好戏在后面。
一、安装与界面
目前可以看到的ZoneAlarm版本有多个:ZoneAlarm Pro 、 ZoneAlarm Plus 、 ZoneAlarm 和ZoneAlarm with Antivirus等,笔者使用的是ZoneAlarm Pro with Web Filtering版。它们对系统的要求很低,Windows 98SE/Me/2000/XP, 233 MHz Pentium or higher, 10MB of available hard disk space, Internet access. Minimum system RAM: 48MB (98SE/ME), 64MB (2000 Pro), 128MB (XP)就足够了,无论全新安装还是升级安装都能轻松完成。与其它软件不同,ZoneAlarm Pro 4.5以后的版本为你提供了一项选择:你可以选择下载免费的ZoneAlarm 4.5,并且以后再也不会被产品购买提示所打扰,也可以选择ZoneAlarm Pro有效期为30天的免费试用版。在30天的免费试用期满后,如果你还是决定暂时不支付50美元来购买ZoneAlarm Pro,则该软件会自动转变成ZoneAlarm 4.5,无需任何重新安装的操作,你也不会看到任何变成灰色而无法使用的功能。无论你选择哪一个版本,在软件的安装过程中,ZoneAlarm都会提供有一个无需你做太多思考的向导,它会询问你几个简单的问题,并带领你完成所有的配置。对于大多数用户来说,最为适合的也许就是一路点击“下一步”,使用该软件的默认配置来为自己的计算机提供安全保护。而且,在任何时候你都可以对这些配置随意的进行修改。
ZoneAlarm的主界面是那种漂亮、同时对任何人来说都足够简单的外观。这种设计看起来和Windows XP极其相似,导航条标签位于屏幕的左侧,当你点击它们的时候会详细的显示出每一项设置的内容(如图1)。
图 1
导航条中包括ZoneAlarm的主要功能:
Overview .................常规状态
Firewall................. 防火墙保护 *** 安全
Program control.......... 应用程序控制
Antivirus monitoring..... 反病毒监测
E-mail protection ........高级邮件管理
Privacy ..................保护隐私信息
Web Filtering............ 网页过滤
ID Lock.................. 逆向追踪黑客的来源
Alerts and Logs.......... 警报和日志查看器
最小化窗口dashboard
点击“缩放”按纽可以将整个窗口最小化,只显示出“停止”和“锁定”键(图2),它们分别可以用来屏蔽一切 *** 连接和取消保护。“停止”是相对一切 *** 通讯而言的,比如遭 *** (冲击波/高波病毒等)攻击时使用它屏蔽一切 *** 连接;“锁定”功能是对应用程序而言,被标记为信任的应用程序仍然可以通讯,而其它应用程序的通讯被中断,笔者使用VNC远程控制连接就要用到这个功能,把VNC标记为可信任服务就可以了,总的来说,这个软件的外观体现了简洁又漂亮的特点。 dashboard中间显示的是当前可用的 *** 连接,比如有2块网卡分别连接2个不同的 *** ,当鼠标指向 *** 仪表板上相应的 *** 参数就显示出来了。
二、强劲功能逐个数
ZoneAlarm Pro 的核心部分,还是它的个人防火墙,它能够确保任何入侵者都无法通过互联网进入到你的计算机中。同时还具有一个能够捕捉到可能会群发邮件的病毒或者蠕虫的电子邮件监视器、一个cookie管理器、一个弹出或者广告屏蔽器,以及一个ActiveX和JavaScript防御工具。
常规设置(Overview):
ZoneAlarm的Overview能够很快的让你了解到最近所遭受到的入侵攻击,包括一些常规详细和设置。
版本信息和自动升级
Overview中的product info显示当前的版本信息和版权信息,如果Licensing中显示还有XX天,你注意要及时注册呀,如果不是最新的版本可以通过Overview菜单-preference(参数)选项卡-check for updates(检查最新版本信息)来设置自动更新或手工更新。
开机自动运行
在安装中,ZoneAlarm 能够进行自我配置,以便能够与你默认的浏览器相兼容。默认设置下次开机时ZoneAlarm 自动运行,ZoneAlarm 占资源不大,这样的设置保证了计算机开机后立即得到保护,如果要关闭开机自动运行,在Overview菜单-preference(参数)选项卡-general(常规)中取消选择“Load Zone Labs security software at startup ”就可以了。
密码保护和参数备份
密码保护用来保护ZoneAlarm 不被意外停止和恶意修改参数,在Overview菜单-preference(参数)选项卡-password中点击set password设置保护密码(如图3)。
参数备份是备份系统自我配置和用户配置的参数,一般来说由于不同的计算机 *** 和应用环境差别很大,不同用户的参数设置不同,不能互用。备份时点击Overview菜单-preference(参数)选项卡-Backing up and restoring security settings 中的backup/Restore完成备份/恢复,是一个XML文件。
图 3
防火墙保护(Firewall)
功能介绍
ZoneAlarm 的防火墙(图4)具有三个安全级别(高、中和低),并将其安全分成三个区域(锁定、本地和 Internet)。ZoneAlarm创造了域的管理方式,使得用户管理更简单:把对象简单的分为3个域,可以信赖的对象组成的域---Trusted Zone 、绝对不可以信任的对象组成的域--Blocked Zone 和不能确定是否能信赖的对象组成的域--Internet Zone。域的对象可以是一个网段,一个主机,一个网址等。
图 4
对所有的 Internet 活动,Zone Lab 推荐使用“高”安全级别设置,这样的设置将锁定每一活动,直到您作出明确授权为止。这是 ZoneAlarm 仍未能用于批量安装的原因之一,因为每一安装都不得不这样做。ZoneAlarm 也使用秘密模式,这种模式对端口状态请求(如端口扫描期间遇到的请求)不做出响应,将已授权程序没有使用的所有端口隐藏起来。
安全设置“中”更好留给本地(Trusted Zone)使用,此设置实施用户设置的所有应用程序特权,但允许本地 *** 访问 Windows 服务、共享文件和驱动器。用户必须定义在本地区域中允许使用的资源。这些资源可以包括机器自己的适配器(用于循环回路和其他服务)以及其他计算机。幸运的是有了域的分配,您不必为每台计算机输入 IP 地址,因为 ZoneAlarm 允许您输入主机/网站名称、单一 IP 地址、范围或子网归于域。最后,如果您在 *** 内部运行服务器,则安全设置“低”为更好的选择(图5)。此情况下最有可能的安装将是基于硬件的防火墙后的文件和打印服务器的安装。
图 5
操作步骤:
在FireWall功能页面下,我们可以通过“add”按钮来将指定的计算机或者 *** 设置为信任主机或者受保护的区域(图6),例如将那些需要进行共享的计算机或者我们进行需要使用ping命令来测试的计算机设置为信任主机时,单击“add”按钮,然后再选择是通过“Add ip address”命令添加指定的主机IP地址还是通过“Add ip range”命令添加局域网中的ip地址范围,或者是添加子网掩码,让ZoneAlarm把局域网和Internet分开来管理。如果要取消信任主机或者受保护的 *** 区域,只要先在该界面的列表上选中指定目标,再单击一下“remove”按钮就可以了,如果要对这些内容进行编辑,只要单击edit按钮就行了,设置好后单击“apply”按钮就开始生效了。
图 6
用户要做的就是编辑域成员和设置域的安全级别,域成员角色的转换也很方便,域安全级别的设置对所有域成员都起作用,真是太方便了。 内外有别保护不同网段
ZoneAlarm其核心的个人防火墙可以保护您的电脑不受互联网上非法用户的入侵,同时还能够自动检测局域 *** 的设置,确保来自内部 *** 的通信不受影响。比如,你上互联网的同时还有一个办公网,内部需要交流文件或打印共享,可以把内部 *** 归为Trusted Zone域而把互联网归到Internet Zone域,ZoneAlarm对不同的域实施不同的防火墙规则,这样上网办公两不误,而且都受到防火墙的保护。
用域对付恶意网站
把恶意网站的网址输入Blocked Zone就可以达到不能访问恶意网站的目的(图7),网上关于恶意网站的网址很多,都归于Blocked Zone域,你感染恶意网页的机会就小多了,如果已经感染恶意网页,也可以把它归于Blocked Zone域,隔离断了它的后路,然后清除。用域封已经感染的恶意网页的 *** 是:
Firewall|Zones|Add|Host/Site(...)|Blocked|OK。增添对话框设置如图8,其中ZONE(域类型)、Host name(恶意网址)、Description(描述)。
图 8
拒绝内部恶意 *** 攻击
如今的病毒太可恶,如果内部 *** 有一台计算机感染病毒,其它计算机就有被感染的可能,防火墙虽然可以阻挡已知的 *** 攻击,但是对新病毒的攻击未必有效,通过分析ZoneAlarm的日志可以确定是谁攻击你,把它的IP(或者它所在的IP段)指定为Blocked Zone域,接上网线,你的正常工作可以继续做而不用担心被感染了。
应用程序控制(Program control)
应用程序控制包括应用程序管理、自动的策略建议和自动锁定功能。
功能介绍
对应用程序控制有4个安全级别,分别对应应用程序(Program)和组件(components) 的进行管理,设置为“低”级别时应用程序和组件可以直接访问 *** ;“中”级别适合应用程序需要确认才能访问 *** ,组件可以直接访问 *** 的情况;而“高”级别对应用程序和组件都需要确认才可以访问 *** 。自动的策略建议也是很实用的功能,用应用程图访问 *** 时,它会给出策略建议。如果您选中“Automatic Lock”(自动锁定)中的ON选项,那么你可以在指定时间或屏幕保护时锁定 *** 。
操作 ***
如果Zone Alarm 在运行过程中碰到一个新程序需要和 *** 连接的话,它就会跳出一个确认对话框,问你是否允许该程序访问 *** 。选择允许或不允许后可以到Program control-Program 中设权限(图9)。应用程序的权限包括访问权限和服务权限,访问权限和服务权限含义是不同的,对外而言,访问权限(Access Permissions)是控制是否可以主动访问外部对象,服务权限(Server Permissions)是控制是否允许开启服务端口提供外人连接,区别是发起连接的对象个别是自己和对方。
该设置界面列出了所有可能访问Internet 的程序,并且提供程序名、是否允许连接、是否允许使用服务器、是否允许通过锁定应用程序控制功能等控制信息;其中是否允许连接又分为对本地和Internet 的两种连接方式,绿色的“√”为允许连接而无须询问;红色的“×”为禁止连接;问号则是在每次出现连接企图时都会先提出询问。另外应用程序控制功能允许你决定哪个软件可以或者不能使用Internet ,可以确保欺骗程序(或者说是盗贼程序)不能发送你的敏感信息给那些不法分子。在这里,我们可以通过鼠标的右键功能,来选择是允许程序和 *** 连接、禁止和 *** 连接、询问后再连接等3种状态(图10)。
如果选中“Automatic Lock”(自动锁定)中的ON选项,弹出自动锁定对话框,其中之一个选项是用来设置在停止操作以后多长时间启动锁定功能,程序默认为10分钟;第二个选项确定是否在运行屏幕保护程序的时候启动锁定功能。下面还有两项设置内容;其中之一项是在锁定状态下是否允许一些仍然处于激活状态下的程序如Email程序保持与INTERNET的联系,例如检查是否有新的邮件到来;第二项是停止所有的与INTERNET相关的操作,单击“Stop”按纽可以在锁定和解锁状态之间切换。
图 10
PASS LOCK(激活)的设置 *** (图11):
图 11
组件控制可能是其它防火墙所没有的功能(图12),它将禁止一个程序去控制另外一个应用程序的能力。因为某个程序可能利用了了一个称为DLL(动态链结库)的程序的可再度使用部分,使得因特网浏览器让程序发送数据。只有在高级安全模式才启用组件控制功能。
图 12
其它功能介绍
反病毒监测(Antivirus monitoring) 不是 *** 防火墙的强项,但是病毒和防火墙的关系越来越亲密,有了用户的需要,ZoneAlarm就有了反病毒功能,如果安装的是ZoneAlarm with Antivirus 那么就具备了反病毒功能(图13),笔者安装的是Norton Antivirus 2004,ZoneAlarm 依然可以实现反病毒监测功能。
高级邮件管理(E-mail protection) 通过电子邮件传播病毒已经是一个严重的 *** 问题,ZoneAlarm包含一个邮件监视器,它能够对所有接受的和发出的电子邮件都进行监控,以便于能够及时制止那些群发邮件病毒的可疑行为(以前的版本只能够对所受到的邮件进行监控)。在侦测到有病毒在进行自我复制后开始向外群发邮件时,它会自动关闭掉你的电子邮件客户端。MailSafe功能扫描所有电子邮件中出现的 Visual Basic 脚本附件(如臭名昭著的 ILOVEYOU“我爱您”病毒)。如果发现此类附件,MailSafe 会将其隔离,并在您试图运行该附件时发出警告。尽管在默认情况下MailSafe 处于活动状态,但可以通过安全面板禁用它(图14)。
保护隐私信息(Privacy protection) ZoneAlarm具备智能管理Cookie能力,Cookie是网站保存到用户硬盘,记录用户冲浪和购买习惯的文本文件。这些数据一般用于根据您的网上习惯有针对性地给您发广告,通常是无害的。但是这些数据可能会落入不怀好意的人之手,因此,您也许要考虑一下使用Cookie管理工具了。 像Cookie Crushera这样的程序能让您自己控制哪个网站可保存Cookie。
图 14
ZoneAlarm广告拦(AD BLOCKING)截能力也是很强的,启用AD BLOCKING后,网站的广告基本上都被成功拦截了,而在安装防火墙以前只有使用第三方软件才能达到广告拦截效果
图 15
ZoneAlarm具备拦截Java和ActiveX的能力(MobileCode)(图16)。具备破坏性的代码通过网页和电子邮件不断的被下载,而ZoneAlarm具备拦截Java和ActiveX的分析和拦截能力,保护的上网更安全。
图 16
一个缓冲区清理工具(CacheClean)(图17),它能够将保存在你计算机上的 *** 临时文件、浏览器历史纪录,以及cookie全都删掉,平时需要多个步骤才能完成的功能,现在点击鼠标就可以轻松完成了
图 17
逆向追踪黑客的来源(ID Lock) 在遭到攻击后,可以逆向追踪黑客的来源,另外,ZoneAlarm还新增加了一个汇报工具。以前,Hacker ID功能只能够在受到攻击后向你报告那些入侵者的地址(IP地址或者物理方位)(不用担心,在追踪任何可疑的入侵者的时候,ZoneAlarm会自动遮蔽掉你的IP地址)。不过现在,Zone Labs公司会自动收集这些追踪报告,并将它们发给相应的ISP厂商。不过好像用不上。
警报和日志查看器(Alerts and Logs)
弹出警报是用户和ZoneAlarm交流的方式,比如有新的应用程序需要访问 *** 就弹出警报(图18),如果关闭了警报功能,ZoneAlarm使用智能策略实施权限配置,以避免分散用户的注意力,简化用户配置难度。日志记录的是 *** 通信和应用程序通讯的过程,通过分析日志可以发现木马或受到的攻击极其来源以及应用程序访问 *** 的情况,而是否记录到日志可以通过面板设置。
图 18
网页过滤(Web Filtering) 网页中包括暴力色情等内容时(图19),Web Filtering过滤这些不健康的内容,用户要做的就是选择过滤哪些敏感内容,然后启动Web Filtering功能。
图19
专家级的规则设定
防火墙自定义规则并不是ZoneAlarm的“专利”,但是新版本中专家级的规则设定具有独特的功能(图20),突出特点表现在3个方面:定义组、时间控制和控制到数据链路层。到目前为止,控制到数据链路层只有ZoneAlarm可以作到。而且,ZoneAlarm可以工作在ICS/NAT的网关计算机上,针对内部计算机,ZoneAlarm根据设置决定是否对NAT数据包进行过滤,默认设置对所有本地数据包进行过滤,而对NAT转发的数据不做过滤,自定义规则可以针对外部和内部发起的通讯分别控制。
图 20
组的对象可以按照主机、协议和时间分类。主机类可以是HOST/SITE(网址)、IP(地址)、IP RANG(地址段)、SUBNET(子网)、TRUST ZONE(信赖域)、INTERNET ZONE(INTERNET域)、ANY(任意)、GATEWAY(物理地址)等,协议类对象包括TCP、UDP、TCPUDP、ICMP、IGMP、CUSTOM定制等,而对有相同时间要求的对象归于同一个时间组。把类功能要求相同的对象归与一组,显然减少了重复劳动,管理也更有条理。
时间控制功能对需要精确控制通讯时间的用户非常有用,比如所有IM是一个组,而这个组不能在上班时间使用IM及时通讯软件。而小朋友可以在星期天上网游戏或看动画片,其它时间禁止上网,这都可以用时间控制功能来实现。
对MAC的识别意味着可以捆绑IP和MAC,而MAC是网卡的身份证,允许或限制某台计算机使用上网资源也就不难了,这是其它防火墙不具备的功能,而这正是网管可能需要的东西(图21)。严厉的网管可以这样设置,屏蔽所有内部 *** 访问互联网的权限但允许使用内网资源,而对要求上网的用户设置IP和MAC捆绑并赋予访问外网的权限,即使有用户擅自修改IP或MAC也没用,而在一个LAN内部相同IP会报告IP冲突。
图 21
三、对比NIS(Norton Internet Security 2004)
ZoneAlarm可以在 *** OSI模型中的上6层中工作,控制功能强大但是操作容易,充分体现了出一个优秀软件的特色。占用资源少也是NIS不能比拟的,特别是在配置较底的计算机上ZoneAlarm更显优势。
就专家级设定方式而言,NIS更早推出自定义规则功能,但是,ZoneAlarm软件十分体贴用户,独特的组的概念、时间控制和控制到数据链路层都体现了开发者的独具匠心,可以通过安全级别的选择简单配置防火墙规则,也可以通过高级选项详细设置各项功能。
ZoneAlarm 对应用程序的控制要比 NIS(Norton Internet Security) 更安全。对于 NIS 来说,如果一个 *** 访问匹配了系统范围的策略配置,将不再进行应用程序扫描和检查,如果配置了非常宽松的访问策略,恶意应用程序入木马将不能被发现;对于 ZoneAlarm 来说,也是先检查系统范围的策略配置,如果被策略拒绝,可以选择弹出警告或者忽略,如果策略允许通过,也要检查应用程序设置,如果没有相应的应用程序访问控制,则弹出配置对话框。显然ZoneAlarm的这种工作模式更加安全,当然也需要更多次的交互。
除了没有中文版本外,ZoneAlarm Pro没有多少毛病可挑。 ZoneAlarm已经注意到不同国家用户的使用需要,目前已经推出了德文、法语和日语的版本,说不定哪天就有中文的ZoneAlarm下载。
0条大神的评论