遭受网络暴力英语_我注定会受到网络攻击英语

hacker|
149

谁能给我一份防火墙的英文翻译么,要中文,英语都要,急需

一、防火墙的基本分类

1.包过滤防火墙

第一代防火墙和最基本形式防火墙检查每一个通过的网络包,或者丢弃,或者放行,取决于所建立的一套规则。这称为包过滤防火墙。

本质上,包过滤防火墙是多址的,表明它有两个或两个以上网络适配器或接口。例如,作为防火墙的设备可能有两块网卡(NIC),一块连到内部网络,一块连到公共的Internet。防火墙的任务,就是作为“通信警察”,指引包和截住那些有危害的包。

包过滤防火墙检查每一个传入包,查看包中可用的基本信息(源地址和目的地址、端口号、协议等)。然后,将这些信息与设立的规则相比较。如果已经设立了阻断telnet连接,而包的目的端口是23的话,那么该包就会被丢弃。如果允许传入Web连接,而目的端口为80,则包就会被放行。

多个复杂规则的组合也是可行的。如果允许Web连接,但只针对特定的服务器,目的端口和目的地址二者必须与规则相匹配,才可以让该包通过。

最后,可以确定当一个包到达时,如果对该包没有规则被定义,接下来将会发生什么事情了。通常,为了安全起见,与传入规则不匹配的包就被丢弃了。如果有理由让该包通过,就要建立规则来处理它。

建立包过滤防火墙规则的例子如下:

对来自专用网络的包,只允许来自内部地址的包通过,因为其他包包含不正确的包头部信息。这条规则可以防止网络内部的任何人通过欺骗性的源地址发起攻击。而且,如果黑客对专用网络内部的机器具有了不知从何得来的访问权,这种过滤方式可以阻止黑客从网络内部发起攻击。

在公共网络,只允许目的地址为80端口的包通过。这条规则只允许传入的连接为Web连接。这条规则也允许与Web连接使用相同端口的连接,所以它并不是十分安全。

丢弃从公共网络传入的包,而这些包都有你的网络内的源地址,从而减少IP欺骗性的攻击。

丢弃包含源路由信息的包,以减少源路由攻击。要记住,在源路由攻击中,传入的包包含路由信息,它覆盖了包通过网络应采取得正常路由,可能会绕过已有的安全程序。通过忽略源路2.状态/动态检测防火墙

状态/动态检测防火墙,试图跟踪通过防火墙的网络连接和包,这样防火墙就可以使用一组附加的标准,以确定是否允许和拒绝通信。它是在使用了基本包过滤防火墙的通信上应用一些技术来做到这点的。

当包过滤防火墙见到一个网络包,包是孤立存在的。它没有防火墙所关心的历史或未来。允许和拒绝包的决定完全取决于包自身所包含的信息,如源地址、目的地址、端口号等。包中没有包含任何描述它在信息流中的位置的信息,则该包被认为是无状态的;它仅是存在而已。

一个有状态包检查防火墙跟踪的不仅是包中包含的信息。为了跟踪包的状态,防火墙还记录有用的信息以帮助识别包,例如已有的网络连接、数据的传出请求等。

例如,如果传入的包包含视频数据流,而防火墙可能已经记录了有关信息,是关于位于特定IP地址的应用程序最近向发出包的源地址请求视频信号的信息。如果传入的包是要传给发出请求的相同系统,防火墙进行匹配,包就可以被允许通过。

一个状态/动态检测防火墙可截断所有传入的通信,而允许所有传出的通信。因为防火墙跟踪内部出去的请求,所有按要求传入的数据被允许通过,直到连接被关闭为止。只有未被请求的传入通信被截断。

如果在防火墙内正运行一台服务器,配置就会变得稍微复杂一些,但状态包检查是很有力和适应性的技术。例如,可以将防火墙配置成只允许从特定端口进入的通信,只可传到特定服务器。如果正在运行Web服务器,防火墙只将80端口传入的通信发到指定的Web服务器。

状态/动态检测防火墙可提供的其他一些额外的服务有:

将某些类型的连接重定向到审核服务中去。例如,到专用Web服务器的连接,在Web服务器连接被允许之前,可能被发到SecutID服务器(用一次性口令来使用)。

拒绝携带某些数据的网络通信,如带有附加可执行程序的传入电子消息,或包含ActiveX程序的Web页面。

跟踪连接状态的方式取决于包通过防火墙的类型:

TCP包。当建立起一个TCP连接时,通过的第一个包被标有包的SYN标志。通常情况下,防火墙丢弃所有外部的连接企图,除非已经建立起某条特定规则来处理它们。对内部的连接试图连到外部主机,防火墙注明连接包,允许响应及随后再两个系统之间的包,直到连接结束为止。在这种方式下,传入的包只有在它是响应一个已建立的连接时,才会被允许通过。

UDP包。UDP包比TCP包简单,因为它们不包含任何连接或序列信息。它们只包含源地址、目的地址、校验和携带的数据。这种信息的缺乏使得防火墙确定包的合法性很困难,因为没有打开的连接可利用,以测试传入的包是否应被允许通过。可是,如果防火墙跟踪包的状态,就可以确定。对传入的包,若它所使用的地址和UDP包携带的协议与传出的连接请求匹配,该包就被允许通过。和TCP包一样,没有传入的UDP包会被允许通过,除非它是响应传出的请求或已经建立了指定的规则来处理它。对其他种类的包,情况和UDP包类似。防火墙仔细地跟踪传出的请求,记录下所使用的地址、协议和包的类型,然后对照保存过的信息核对传入的包,以确保这些包是被请求的。

由信息,防火墙可以减少这种方式的攻击。

3.应用程序代理防火墙

应用程序代理防火墙实际上并不允许在它连接的网络之间直接通信。相反,它是接受来自内部网络特定用户应用程序的通信,然后建立于公共网络服务器单独的连接。网络内部的用户不直接与外部的服务器通信,所以服务器不能直接访问内部网的任何一部分。

另外,如果不为特定的应用程序安装代理程序代码,这种服务是不会被支持的,不能建立任何连接。这种建立方式拒绝任何没有明确配置的连接,从而提供了额外的安全性和控制性。

例如,一个用户的Web浏览器可能在80端口,但也经常可能是在1080端口,连接到了内部网络的HTTP代理防火墙。防火墙然后会接受这个连接请求,并把它转到所请求的Web服务器。

这种连接和转移对该用户来说是透明的,因为它完全是由代理防火墙自动处理的。

代理防火墙通常支持的一些常见的应用程序有:

HTTP

HTTPS/SSL

SMTP

POP3

IMAP

NNTP

TELNET

FTP

IRC

应用程序代理防火墙可以配置成允许来自内部网络的任何连接,它也可以配置成要求用户认证后才建立连接。要求认证的方式由只为已知的用户建立连接的这种限制,为安全性提供了额外的保证。如果网络受到危害,这个特征使得从内部发动攻击的可能性大大减少。

4.NAT

讨论到防火墙的主题,就一定要提到有一种路由器,尽管从技术上讲它根本不是防火墙。网络地址转换(NAT)协议将内部网络的多个IP地址转换到一个公共地址发到Internet上。

NAT经常用于小型办公室、家庭等网络,多个用户分享单一的IP地址,并为Internet连接提供一些安全机制。

当内部用户与一个公共主机通信时,NAT追踪是哪一个用户作的请求,修改传出的包,这样包就像是来自单一的公共IP地址,然后再打开连接。一旦建立了连接,在内部计算机和Web站点之间来回流动的通信就都是透明的了。

当从公共网络传来一个未经请求的传入连接时,NAT有一套规则来决定如何处理它。如果没有事先定义好的规则,NAT只是简单的丢弃所有未经请求的传入连接,就像包过滤防火墙所做的那样。

可是,就像对包过滤防火墙一样,你可以将NAT配置为接受某些特定端口传来的传入连接,并将它们送到一个特定的主机地址。

5.个人防火墙

现在网络上流传着很多的个人防火墙软件,它是应用程序级的。个人防火墙是一种能够保护个人计算机系统安全的软件,它可以直接在用户的计算机上运行,使用与状态/动态检测防火墙相同的方式,保护一台计算机免受攻击。通常,这些防火墙是安装在计算机网络接口的较低级别上,使得它们可以监视传入传出网卡的所有网络通信。

一旦安装上个人防火墙,就可以把它设置成“学习模式”,这样的话,对遇到的每一种新的网络通信,个人防火墙都会提示用户一次,询问如何处理那种通信。然后个人防火墙便记住响应方式,并应用于以后遇到的相同那种网络通信。

例如,如果用户已经安装了一台个人Web服务器,个人防火墙可能将第一个传入的Web连接作上标志,并询问用户是否允许它通过。用户可能允许所有的Web连接、来自某些特定IP地址范围的连接等,个人防火墙然后把这条规则应用于所有传入的Web连接。

基本上,你可以将个人防火墙想象成在用户计算机上建立了一个虚拟网络接口。不再是计算机的操作系统直接通过网卡进行通信,而是以操作系统通过和个人防火墙对话,仔细检查网络通信,然后再通过网卡通信。

二、各类防火墙的优缺点

1.包过滤防火墙

使用包过滤防火墙的优点包括:

防火墙对每条传入和传出网络的包实行低水平控制。

每个IP包的字段都被检查,例如源地址、目的地址、协议、端口等。防火墙将基于这些信息应用过滤规则。

防火墙可以识别和丢弃带欺骗性源IP地址的包。

包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙,绕过是困难的。

包过滤通常被包含在路由器数据包中,所以不必额外的系统来处理这个特征。

使用包过滤防火墙的缺点包括:

配置困难。因为包过滤防火墙很复杂,人们经常会忽略建立一些必要的规则,或者错误配置了已有的规则,在防火墙上留下漏洞。然而,在市场上,许多新版本的防火墙对这个缺点正在作改进,如开发者实现了基于图形化用户界面(GUI)的配置和更直接的规则定义。

为特定服务开放的端口存在着危险,可能会被用于其他传输。例如,Web服务器默认端口为80,而计算机上又安装了RealPlayer,那么它会搜寻可以允许连接到RealAudio服务器的端口,而不管这个端口是否被其他协议所使用,RealPlayer正好是使用80端口而搜寻的。就这样无意中,RealPlayer就利用了Web服务器的端口。

可能还有其他方法绕过防火墙进入网络,例如拨入连接。但这个并不是防火墙自身的缺点,而是不应该在网络安全上单纯依赖防火墙的原因。

2.状态/动态检测防火墙

状态/动态检测防火墙的优点有:

检查IP包的每个字段的能力,并遵从基于包中信息的过滤规则。

识别带有欺骗性源IP地址包的能力。

包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙,绕过是困难的。

基于应用程序信息验证一个包的状态的能力, 例如基于一个已经建立的FTP连接,允许返回的FTP包通过。

基于应用程序信息验证一个包状态的能力,例如允许一个先前认证过的连接继续与被授予的服务通信。

记录有关通过的每个包的详细信息的能力。基本上,防火墙用来确定包状态的所有信息都可以被记录,包括应用程序对包的请求,连接的持续时间,内部和外部系统所做的连接请求等。

状态/动态检测防火墙的缺点:

状态/动态检测防火墙唯一的缺点就是所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞,特别是在同时有许多连接激活的时候,或者是有大量的过滤网络通信的规则存在时。可是,硬件速度越快,这个问题就越不易察觉,而且防火墙的制造商一直致力于提高他们产品的速度。

3.应用程序代理防火墙

使用应用程序代理防火墙的优点有:

指定对连接的控制,例如允许或拒绝基于服务器IP地址的访问,或者是允许或拒绝基于用户所请求连接的IP地址的访问。

通过限制某些协议的传出请求,来减少网络中不必要的服务。

大多数代理防火墙能够记录所有的连接,包括地址和持续时间。这些信息对追踪攻击和发生的未授权访问的事件事很有用的。

使用应用程序代理防火墙的缺点有:

必须在一定范围内定制用户的系统,这取决于所用的应用程序。

一些应用程序可能根本不支持代理连接。

4.NAT

使用NAT的优点有:

所有内部的IP地址对外面的人来说是隐蔽的。因为这个原因,网络之外没有人可以通过指定IP地址的方式直接对网络内的任何一台特定的计算机发起攻击。

如果因为某种原因公共IP地址资源比较短缺的话,NAT可以使整个内部网络共享一个IP地址。

可以启用基本的包过滤防火墙安全机制,因为所有传入的包如果没有专门指定配置到NAT,那么就会被丢弃。内部网络的计算机就不可能直接访问外部网络。

使用NAT的缺点:

NAT的缺点和包过滤防火墙的缺点是一样的。虽然可以保障内部网络的安全,但它也是一些类似的局限。而且内网可以利用现流传比较广泛的木马程序可以通过NAT做外部连接,就像它可以穿过包过滤防火墙一样的容易。

注意:现在有很多厂商开发的防火墙,特别是状态/动态检测防火墙,除了它们应该具有的功能之外也提供了NAT的功能。

5.个人防火墙

个人防火墙的优点有:

增加了保护级别,不需要额外的硬件资源。

个人防火墙除了可以抵挡外来攻击的同时,还可以抵挡内部的攻击。

个人防火墙是对公共网络中的单个系统提供了保护。例如一个家庭用户使用的是Modem或ISDN/ADSL上网,可能一个硬件防火墙对于他来说实在是太昂贵了,或者说是太麻烦了。而个人防火墙已经能够为用户隐蔽暴露在网络上的信息,比如IP地址之类的信息等。

个人防火墙的缺点:

个人防火墙主要的缺点就是对公共网络只有一个物理接口。要记住,真正的防火墙应当监视并控制两

个或更多的网络接口之间的通信。这样一来的话,个人防火墙本身可能会容易受到威胁,或者说是具有这样一个弱点,网络通信可以绕过防火墙的规则。

好了,在上面我们已经介绍了几类防火墙,并讨论了每种防火墙的优缺点。要记住,任何一种防火墙只是为网络通信或者是数据传输提供了更有保障的安全性,但是我们也不能完全依赖于防火墙。除了靠防火墙来保障安全的同时,我们也要加固系统的安全性,提高自身的安全意识。这样一来,数据和通信以及Web站点就会更有安全保障。

我的网络受到攻击了,怎么办?

一、用高级设置法预防Ping

默认情况下,所有Internet控制消息协议(ICMP)选项均被禁用。如果启用ICMP选项,您的网络将在 Internet 中是可视的,因而易于受到攻击。

如果要启用ICMP,必须以管理员或Administrators 组成员身份登录计算机,右击“网上邻居”,在弹出的快捷菜单中选择“属性”即打开了“网络连接”,选定已启用Internet连接防火墙的连接,打开其属性窗口,并切换到“高级”选项页,点击下方的“设置”,这样就出现了“高级设置”对话窗口,在“ICMP”选项卡上,勾选希望您的计算机响应的请求信息类型,旁边的复选框即表启用此类型请求,如要禁用请清除相应请求信息类型即可。

二、用网络防火墙阻隔Ping

使用防火墙来阻隔Ping是最简单有效的方法,现在基本上所有的防火墙在默认情况下都启用了ICMP过滤的功能。在此,以金山网镖2003和天网防火墙2.50版为蓝本来说明。

对于使用金山网镖2003的网友,请用鼠标右击系统托盘中的金山网镖2003图标,在弹出的快捷菜单中选择“实用工具”中的“自定义IP规则编辑器”,在出现的窗口中选中“防御ICMP类型攻击”规则,消除“允许别人用ping命令探测本机”规则,保存应用后就发挥效应。

如果您用的是天网防火墙,在其主界面点击“自定义IP规则”,然后不勾选“防止别人用ping命令探测”规则,勾选“防御ICMP攻击”规则,然后点击“保存/应用”使IP规则生效。

三、启用IP安全策略防Ping

IP安全机制(IP Security)即IPSec 策略,用来配置 IPSec 安全服务。这些策略可为多数现有网络中的多数通信类型提供各种级别的保护。您可配置 IPSec 策略以满足计算机、应用程序、组织单位、域、站点或全局企业的安全需要。可使用 Windows XP 中提供的“IP 安全策略”管理单元来为 Active Directory 中的计算机(对于域成员)或本地计算机(对于不属于域的计算机)定义 IPSec 策略。

在此以WINDOWS XP为例,通过“控制面板”—“管理工具”来打开“本地安全策略”,选择IP安全策略,在这里,我们可以定义自己的IP安全策略。一个IP安全过滤器由两个部分组成:过滤策略和过滤操作。要新建IP安全过滤器,必须新建自己的过滤策略和过滤操作,右击窗口左侧的“IP安全策略,在本地机器”,在弹出的快捷菜单中选择“创建IP安全策略”,单击“下一步”,然后输入策略名称和策略描述。单击“下一步”,选中“激活默认响应规则”复选项,单击“下一步”。开始设置响应规则身份验证方式,选中“此字符串用来保护密钥交换(预共享密钥)”选项,然后随便输入一些字符(后面还会用到这些字符的),单击“下一步”,就会提示已完成IP安全策略,确认选中了“编辑属性”复选框,单击“完成”按钮,会打开其属性对话框。

接下来就要进行此新建安全策略的配置。在“Goodbye Ping 属性”对话窗口的“规则”选项页中单击“添加”按钮,并在打开安全规则向导中单击“下一步”进行隧道终结设置,在这里选择“此规则不指定隧道”。单击“下一步”,并选择“所有网络连接”以保证所有的计算机都Ping不通。单击“下一步”,设置身份验证方式,与上面一样选择第三个选项“此字符串用来保护密钥交换(预共享密钥)”并填入与刚才上面相同的内容。单击“下一步”即打开“IP筛选器列表”窗口,在“IP筛选器列表”中选择“新IP筛选器列表”,单击右侧的“编辑”,在出现的窗口中点击“添加”,单击“下一步”,设置“源地址”为“我的IP地址”,单击“下一步”,设置“目标地址”为“任何IP地址”,单击“下一步”,选择协议类型为ICMP,单击“完成”后再点“确定”返回如图9的窗口,单击“下一步”,选择筛选器操作为“要求安全”选项,然后依次点击“下一步”、“完成”、“确定”、“关闭”按钮保存相关的设置返回管理控制台。

最后在“本地安全设置”中右击配置好的“Goodbye Ping”策略,在弹出的快捷菜单中选择“指派”命令使配置生效。

经过上面的设置,当其他计算机再Ping该计算机时,就不再Ping通了。但如果自己Ping本地计算机,仍可Ping通。在Windows 2000中操作基本相同。

四、修改TTL值防Ping

许多入侵者喜欢用TTL值来判断操作系统,他们首先会Ping一下你的机子,如看到TTL值为128就认为你的系统为Windows NT/2000,如果TTL值为32则认为目标主机操作系统为Windows 95/98,如果为TTL值为255/64就认为是UNIX/Linux操作系统。既然入侵者相信TTL值所反应出来的结果,那么我们不妨修改TTL值来欺骗入侵者,达到保护系统的目的。方法如下:

打开Windows自带的“记事本”程序,编写如下所示的批处理命令:

@echo REGEDIT4ChangeTTL.reg

@echo.ChangeTTL.reg

@echo [HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpipParameters]ChangeTTL.reg

@echo DefaultTTL=dword:000000ffChangeTTL.reg

@REGEDIT /S /C ChangeTTL.reg

另存为以.bat为扩展名的批处理文件,点击这个文件,你的操作系统的缺省TTL值就会被修改为ff,即十进制的255,即把你的操作系统人为地改为UNIX系统了!

DefaultTTL=dword:000000ff是用来设置系统缺省TTL值的,如果你想将自己的操作系统的TTL值改为其它操作系统的ICMP回显应答值,请改变DefaultTTL的键值,要注意它的键值为16进制。

如何禁止别人ping自己的主机(2000自带)

我的电脑-控制面板-管理工具-本地安全策略-ip安全策略

这是2000给我们的配置ip管理的工具,我这里只说一下如何禁止别人ping我的主机。

共有四个步骤:

1。建立禁ping 规则

2。建立禁止/允许规则

3。把这两个规则联系在一起

4。指派

详细:

1。右击ip安全策略-管理ip筛选器表和筛选器操作-ip筛选器列表-添加:名称:ping;描述:ping;(勾选“使用添加向导”),---添加-下一步:指定源/目的ip ,协议类型(icmp),下一步直至完成,关闭此对话框。

2。管理ip筛选器表和筛选器操作-管理筛选器操作-添加(勾选“使用添加向导”)-下一步:名称:refuse;描述:refuse--下一步:阻止-下一步直至完成。

3。右击ip安全策略-创建ip安全策略-下一步:名称:禁止ping;--下一步:取消激活默认响应规则-下一步:选中选中“编辑属性“-完成。然后再“禁止ping属性“上-添加(勾选“使用添加向导”)-下一步直至“身份验证方法”;选第三项,输入共享字串-下一步:在ip筛选器列表里选“ping--下一步:选“refuse-下一步到完成。

这是你在“本地安全设置“右侧会看到“禁止ping“这条规则,但是现在他还没有起作用。

4。右击“禁止ping“--指派。

这回一条禁止别人ping自己的机器的ip策略完成了。

赶快找个机器试试,自己的机器不行。会提示:请求超时(timeout).

以上只是一条小得的ip过滤。你可以自己制作其他的ip策略。

为什么我的IP地址会受到网络攻击,该怎么预防???

你是不是通过局域网的交换机上网的?如果是,那么是你的IP与其他端口有冲突。所以就会,我以前也出现过。先把网络断开,再修改内网IP,再连接网络,可以解决该问题。

如果不是内网,同意小狼说法。

请问用无线网络会不会遭到网络攻击

以下仅供参考,也许不适合你,可以自己搜索文章来看……

无线网络安全更要注意

对于家庭中是无线上网的用户,无线网络比有线网络更容易受到入侵,因为被攻击端的电脑与攻击端的电脑并不需要网线设备上的连接,他只要在你无线宽带路由器或无线AP的有效范围内,就可以进入你的内部网络,访问你的资源。下面,让我们来看看有哪些安全措施来保护我们的无线网络。

1、修改默认的服务区标识符(SSID)

通常每个无线网络都有一个服务区标识符(SSID),无线客户端需要加入该网络的时候需要有一个相同的SSID,否则将被“拒之门外”。通常设备制造商都在他们的产品中设了一个默认的相同的SSID。例如linksys设备的SSID通常是“linksys”。如果一个网络,不为其指定一个 SSID或者只使用默认SSID的话,那么任何无线客户端都可以进入该网络。无疑这为黑客的入侵网络打开了方便之门。

2、禁止SSID广播

在无线网络中,各路由设备有个很重要的功能,那就是服务区标识符广播,即SSID广播。最初,这个功能主要是为那些无线网络客户端流动量特别大的商业无线网络而设计的。开启了SSID广播的无线网络,其路由设备会自动向其有效范围内的无线网络客户端广播自己的SSID号,无线网络客户端接收到这个SSID号后,利用这个SSID号才可以使用这个网络。

但是,这个功能却存在极大的安全隐患,就好象它自动地为想进入该网络的黑客打开了门户。在商业网络里,由于为了满足经常变动的无线网络接入端,必定要牺牲安全性来开启这项功能,但是作为家庭无线网络来讲,网络成员相对固定,所以没必要开启这项功能。

3、设置MAC地址过滤

众所周知,基本上每一个网络接点设备都有一个独一无二的标识称之为物理地址或MAC地址,当然无线网络设备也不例外。所有设备都会跟踪所有经过他们的数据包源MAC地址。通常,许多这类设备都提供对MAC地址的操作,这样我们可以通过建立我们自己的准通过MAC地址列表,来防止非法设备(主机等)接入网络。但是值得一提的是,该方法并不是绝对的有效的,因为我们很容易修改自己电脑网卡的MAC地址。

4、为你的网络设备分配静态IP

由于DHCP服务越来越容易建立,很多家庭无线网络都使用DHCP服务来为网络中的客户端动态分配IP。这导致了另外一个安全隐患,那就是接入网络的攻击端很容易就通过DHCP服务来得到一个合法的IP。然而在成员很固定的家庭网络中,我们可以通过为网络成员设备分配固定的IP地址,然后再再路由器上设定允许接入设备IP地址列表,从而可以有效地防止非法入侵,保护你的网络。

为何一上网就受到lovesan的网络攻击?

蠕虫病毒 Worm.W32.Lovsan 正以其惊人的速度和破坏力在互联网上蔓延

全球著名数据安全公司 Kaspersky Labs 公司最新宣布:一种名为" Worm.W32.Lovsan "的

互联网蠕虫病毒正在迅速传播,该病毒的危险性极大。仅数小时,"Lovesan"病毒已迅速攀

升到恶性流行病毒排行榜的三甲位置。Kaspersky Labs 病毒专家强烈建议广大用户立即从

微软网站下载相关 补丁程序,尽快阻止69、135、4444端口。

Lovesan是利用微软的DCOM RPC漏洞(具体描述请参考MS Security Bulletin MS03-026)

进行传播的网络蠕虫病毒。

Lovesan用C语言编写,利用LCC编译,是Windows PE 可执行文件,大小约为6KB(用UPX压

缩工具,解压后为11KB)。

Lovesan企图去下载安装msblast.exe文件,该文件有以下的文本

I just want to say LOVE YOU SAN!!

billy gates why do you make this possible? Stop making money and fix your soft

ware!!

被感染后的征兆:

· 在Windows system32文件夹中有MSBLAST.Exe文件

· 提示错误信息:RPC服务失败,系统重启。

传 播

Lovesan会在系统每次重启后,在系统注册表中注册以下键值:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

windows auto update="msblast.exe"

该蠕虫会扫描网络中的其它机器,企图感染有此漏洞的PC,它随机选择任意的20个IP地址

,然后在间隔1.8秒后再去感染它任意选择的另外20个IP地址,Lovesan以以下的方式选择

要扫描IP地址:

1约3/5概率,Lovesan会对IP地址(A.B.C.D)各个位置分别置值,A、B、C的数值在0-255

之间随机选择,D段置零。

2. 约2/5概率,Lovesan会扫描感染机器上的本网段的IP地址。A和B的值与本网段相同,D

值设为0,C的值以以下的方式产生:

如果本网络的C值小于20,那么lovesan不修改这个值,如,现在本网段的IP地址是20

7.46.14.1,则该蠕虫将扫描从207.46.14.0开始的网段。

如果C值大于20,那么Lovesan则在1-19之间选择一个数值,如,本网段被感染机器的

IP地址是207.46.134.191,那么该蠕虫将在207.46.{115-134}.0之间扫描。

Lovesan将通过TCP 135端口发送造成对方计算机缓冲区溢出的请求,被感染的计算机将开

放TCP 4444端口,打开相应的command 界面。

Lovesan对开放4444端口的计算机强行运行FTP的'get'请求,这样从感染的计算机上就下载

了蠕虫病毒,如此,有漏洞的PC也随之感染。

其它信息

一旦感染上Lovesan,它将发送RPC服务失败的信息并重新启动计算机。

到2003年8月13日,Lovesan将对Windowsupdate.com网站发起DDOS攻击。

==================================================================

Worm.Win32.lovesan 病毒解决方案

病毒名称:Worm.Win32.lovesan

发作时间:随机

病毒类型:蠕虫病毒

传播途径:网络/RPC漏洞

依赖系统: WINDOWS 2000/XP/2003

病毒尺寸:6,176 字节

病毒发作现象:

Worm.win32.lovesan 病毒是利用微软公司在7月21日公布的RPC漏洞进行传播的,只要是计

算机上有RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞(RPC DCOM缓冲溢出漏洞的

详细信息, 请访问以下微软网页:

technet/security/bulletin/MS03-026.asp),具体涉及的操作系统是:Windows2000、XP

、Server 2003。该病毒感染系统后,会使计算机产生下列现象:系统资源被大量占用,有

时会弹出RPC服务终止的对话框,并且系统反复重启, 不能收发邮件、不能正常复制文件、

无法正常浏览网页,复制粘贴等操作受到严重影响,DNS和IIS服务遭到非法拒绝等。

下面是弹出RPC服务终止的对话框的现象:

病毒详细说明:

1. 病毒运行时会将自身复制到window目录下,并命名为: msblast.exe。

2. 病毒运行时会在系统中建立一个名为:"BILLY"的互斥量,目的是病毒只保证在内存中

有一份病毒体,为了避免用户发现。

3. 病毒运行时会在内存中建立一个名为:"msblast.exe"的进程,该进程就是活的病毒体

4. 病毒会修改注册表,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVe

rsion\Run中添加以下键值:"windows auto update"="msblast.exe",以便每次启动系统

时,病毒都会运行。

5. 病毒体内隐藏有一段文本信息:I just want to say LOVE YOU SAN!!billy gates wh

y do you make this possible ? Stop making money and fix your software!!

6. 病毒会以20秒为间隔,每20秒检测一次网络状态,当网络可用时,病毒会在本地的UDP

/69端口上建立一个tftp服务器,并启动一个攻击传播线程,不断地随机生成攻击地址,进

行攻击,另外该病毒攻击时,会首先搜索子网的IP地址,以便就近攻击。

7. 当病毒扫描到计算机后,就会向目标计算机的TCP/135端口发送攻击数据。

8. 当病毒攻击成功后,便会监听目标计算机的TCP/4444端口作为后门,并绑定cmd.exe。

然后蠕虫会连接到这个端口,发送tftp命令,回连到发起进攻的主机,将msblast.exe传到

目标计算机上并运行。

9. 当病毒攻击失败时,可能会造成没有打补丁的Windows系统RPC服务崩溃,Windows XP系

统可能会自动重启计算机。该蠕虫不能成功攻击Windows Server2003,但是可以造成Wind

ows Server2003系统的RPC服务崩溃,默认情况下是系统反复重启。

10. 病毒检测到当前系统月份是8月之后或者日期是15日之后,就会向微软的更新站点"wi

ndowsupdate.com"发动拒绝服务攻击,使微软网站的更新站点无法为用户提供服务。

清除步骤 :

1. 删除注册表中的自启动项目

删除注册表中的自启动项目可以阻止恶意程序在系统启动时运行

●单击 开始运行, 输入 Regedit, 然后按 Enter 键打开注册表管理器

●在左边的列表中双击以下项目:

HKEY_LOCAL_MACHINESoftwareMicrosoft

WindowsCurrentVersionRun

●在右边的列表中查找并删除以下项目

Windows auto update" = MSBLAST.EXE

● 关闭注册表编辑器.

2. 应用补丁

1. 建议所有受影响的用户安装微软在以下连接发布的补丁程序:

-026.asp

(注:在打此补丁程序前,请确认该计算机系统已打补丁到SP2以上,否则无法安装)

3. 终止恶意程序

此步骤用于中止内存中运行的恶意程序进程。

●打开Windows任务管理器

CTRL+SHIFT+ESC,然后单击进程选项卡

●在运行的程序清单中*, 查找如下进程:

MSBLAST.EXE

●选择恶意程序进程,然后按"终止任务"或是"中止进程"按钮。

●为确认恶意程序进程是否中止,请关闭任务管理器并再次打开

● 关闭任务管理器

(如果无法终止恶意进程,请在打好系统补丁后重新启动系统)

4.升级您的病毒软件,全面扫描磁盘文件,清除病毒。

问答:

1. Lovesan, Lovsan, Blaster, Msblast and Poza这些病毒有何区别?

没有任何区别-以上这些名称是同一病毒的不同名字,Kaspersky Labs反病毒专家统一将其

命名为Win32.worm.Lovesan,目前Lovesan病毒有三个变种,一些病毒厂商将其分别标识为

'a'、'b'、'c'。

2. 如何判断我的计算机已感染了Lovesan病毒?

可以从以下的现象看到端倪:

o 在系统目录(通常是在C:\Windows\Systems32\)中看到以下文件Msblast.exe, Teekid

s.exe or Penis32.exe

o 机器异常地频繁重启

o 使用Word、Excel或Outlook出现一些问题或错误提示

o Svchost.exe文件错误提示信息

o RPC服务失败调用的信息(如下图所示)

3. Lovesan病毒会对我的计算机造成什么样的破坏?

Lovesan不会对个人计算机造成致命的破坏,它即不删除也不改变或窃取入侵计算机的数据

,Lovesan的破坏性主要在于通过大量的病毒复制,造成全球信息流的拥塞,及WWW服务的

降低。

Lovesan会造成计算机负载增加,并在8月16日对Windowsupdate.com网站发起DdoS攻击,这

样,用户将丧失从微软升级站点下载补丁的机会。

Kaspersky Labs继续强烈建议用户在8月16日之前下载微软提供的相关补丁。

4. Lovesan会攻击那些版本的Windows操作系统?

Lovesan会攻击 Windows NT, 2000 and XP以下版本:

a) Windows NT 4.0 Server

b) Windows NT 4.0 Terminal Server Edition

c) Windows 2000

d) Windows XP 32 bit Edition

e) Windows XP 64 bit Edition

f) Windows Server 2003 32 bit Edition

g) Windows Server 2003 64 bit Edition

5. 我怎么样才能保护我的计算机免受病毒的破坏?

按以下步骤操作可加固你的计算机:

a) 升级病毒数据库并保证在访问互联网时它处于实时监控状态

b) 阻止防火墙69、135、4444 这三个端口

c) 下载安装微软修补DCOM RPC漏洞的补丁

注意:安装微软的补丁是至关重要的,它可以保护你的计算机抵抗所有有关DCOM RPC漏洞

而发起的攻击。

6. 对于Lovesan病毒,防火墙能做什么?

防火墙能过滤恶意程序并阻止未授权的访问,对于网关级的防火墙请关闭135、69、4444端

口,对于使用个人版防火墙的用户也要采取类似的配置。

7. 因为我的计算机频繁地重启,所以无法下载微软的补丁,怎么办?

如果你的计算机频繁重启,及有可能已感染了Lovesan病毒,在这种情况下你需要将系统目

录(通常是c:\Windows\System32\)下的T文件重命名,并检查Windows\System32

\dllcache文件无误,在下载安装完微软的相关补丁后,需将已改名的T恢复到原来

的名字。

8. 如果我的计算机已经感染了Lovesan病毒,我该怎么做?

首先你需要运行反病毒程序,并确保现在的病毒数据库可以查杀Lovesan病毒。

Kaspersky Labs提供专杀工具,它即能删除本地硬盘,也能删除网络驱动器中的病毒文件

,同时它完全删除系统注册表中的病毒更改的键值,一旦清除Lovesan病毒后,系统重启。

并在重启后请随即启动反病毒保护。

从以下链接下载专杀工具:

· Zipped 版:

· 解压版:

· 工具说明:

9. 我使用Lovesan的专杀工具,但是我的计算机又重复被感染,为什么?

这个工具仅仅能清除Lovesan病毒,但是它不能保护你的计算机会再次遭受到类似的攻击,

如何长期有效避免,请参考第5条FAQ。

--

当你的电脑被病毒或者木马侵害的时候,请到virus版。

如果你受益于virus版,那么今后就请你帮助你的病友们,因为你深知他们所处的境地。

如果virus版未能如你所愿,那么也请你为了他们,将后来跟病毒斗争的经验告诉他们。

当你对病毒反病毒技术感兴趣的时候,请到virus版。共同提高、共同关心计算机安全。

virus版需要每一位网友的支持!

我已经打全了补丁为什么还是老受到攻击????????

如何关闭上面说的69、135、4444这几个端口???

网络攻击有什么危害

网络攻击对社会及个人造成的危害如下:

1、首先是经济损失和业务损失。黑客的攻击会导致受害者业务中断、数据泄露;严重时,可以让一家公司的年利润化为了泡影。

2、其次,人身安全。云时代,甚至未来的IOT时代,安全将影响每个人的生命安全。例如,黑客利用漏洞,查看病人信息,入侵医疗设备。无人驾驶汽车和机场的航线监控系统。每漏掉一次极其危险的威胁,在未来都有可能影响到人身安全和社会安全。

3、最后是对整个互联网环境的破坏。当黑客攻击一台服务器时,很可能会将这台服务器变成“傀儡机”,帮助它攻击其它的主机。如果服务器上有重要的用户数据,如银行、信用卡、个人隐私、医疗信息等,就会流入黑产的交易链中——这些只是网络攻击危害的几个缩影,如果防御者们不行动,攻击者就会屡屡再犯,长此以往,网络安全的环境会变得越来越糟糕。

0条大神的评论

发表评论