『壹』 那個高手幫我解釋下防火牆的機制
檢索 拒絕 隔離 可疑文件
什麼是防火牆?防火牆就是一種過濾塞(目前你這么理解不算錯),你可以讓你喜歡的東西通過這個塞子,別的玩意都統統過濾掉。在網路的世界裡,要由防火牆過濾的就是承載通信數據的通信包。
天下的防火牆至少都會說兩個詞:Yes或者No。直接說就是接受或者拒絕。最簡單的防火牆是乙太網橋。但幾乎沒有人會認為這種原始防火牆能管多大用。大多數防火牆採用的技術和標准可謂五花八門。這些防火牆的形式多種多樣:有的取代系統上已經裝備的TCP/IP協議棧;有的在已有的協議棧上建立自己的軟體模塊;有的乾脆就是獨立的一套操作系統。還有一些應用型的防火牆只對特定類型的網路連接提供保護(比如SMTP或者HTTP協議等)。還有一些基於硬體的防火牆產品其實應該歸入安全路由器一類。以上的產品都可以叫做防火牆,因為他們的工作方式都是一樣的:分析出入防火牆的數據包,決定放行還是把他們扔到一邊。
所有的防火牆都具有IP地址過濾功能。這項任務要檢查IP包頭,根據其IP源地址和目標地址作出放行/丟棄決定。看看下面這張圖,兩個網段之間隔了一個防火牆,防火牆的一端有台UNIX計算機,另一邊的網段則擺了台PC客戶機。
當PC客戶機向UNIX計算機發起telnet請求時,PC的telnet客戶程序就產生一個TCP包並把它傳給本地的協議棧准備發送。接下來,協議棧將這個TCP包「塞」到一個IP包里,然後通過PC機的TCP/IP棧所定義的路徑將它發送給UNIX計算機。在這個例子里,這個IP包必須經過橫在PC和UNIX計算機中的防火牆才能到達UNIX計算機。
現在我們「命令」(用專業術語來說就是配製)防火牆把所有發給UNIX計算機的數據包都給拒了,完成這項工作以後,「心腸」比較好的防火牆還會通知客戶程序一聲呢!既然發向目標的IP數據沒法轉發,那麼只有和UNIX計算機同在一個網段的用戶才能訪問UNIX計算機了。
還有一種情況,你可以命令防火牆專給那台可憐的PC機找茬,別人的數據包都讓過就它不行。這正是防火牆最基本的功能:根據IP地址做轉發判斷。但要上了大場面這種小伎倆就玩不轉了,由於黑客們可以採用IP地址欺騙技術,偽裝成合法地址的計算機就可以穿越信任這個地址的防火牆了。不過根據地址的轉發決策機制還是最基本和必需的。另外要注意的一點是,不要用DNS主機名建立過濾表,對DNS的偽造比IP地址欺騙要容易多了。
伺服器TCP/UDP 埠過濾
僅僅依靠地址進行數據過濾在實際運用中是不可行的,還有個原因就是目標主機上往往運行著多種通信服務,比方說,我們不想讓用戶採用 telnet的方式連到系統,但這絕不等於我們非得同時禁止他們使用SMTP/POP郵件伺服器吧?所以說,在地址之外我們還要對伺服器的TCP/ UDP埠進行過濾。
比如,默認的telnet服務連接埠號是23。假如我們不許PC客戶機建立對UNIX計算機(在這時我們當它是伺服器)的telnet連接,那麼我們只需命令防火牆檢查發送目標是UNIX伺服器的數據包,把其中具有23目標埠號的包過濾就行了。這樣,我們把IP地址和目標伺服器TCP/UDP埠結合起來不就可以作為過濾標准來實現相當可靠的防火牆了嗎?不,沒這么簡單。
客戶機也有TCP/UDP埠
TCP/IP是一種端對端協議,每個網路節點都具有唯一的地址。網路節點的應用層也是這樣,處於應用層的每個應用程序和服務都具有自己的對應「地址」,也就是埠號。地址和埠都具備了才能建立客戶機和伺服器的各種應用之間的有效通信聯系。比如,telnet伺服器在埠23偵聽入站連接。同時telnet客戶機也有一個埠號,否則客戶機的IP棧怎麼知道某個數據包是屬於哪個應用程序的呢?
由於歷史的原因,幾乎所有的TCP/IP客戶程序都使用大於1023的隨機分配埠號。只有UNIX計算機上的root用戶才可以訪問1024以下的埠,而這些埠還保留為伺服器上的服務所用。所以,除非我們讓所有具有大於1023埠號的數據包進入網路,否則各種網路連接都沒法正常工作。
這對防火牆而言可就麻煩了,如果阻塞入站的全部埠,那麼所有的客戶機都沒法使用網路資源。因為伺服器發出響應外部連接請求的入站(就是進入防火牆的意思)數據包都沒法經過防火牆的入站過濾。反過來,打開所有高於1023的埠就可行了嗎?也不盡然。由於很多服務使用的埠都大於1023,比如X client、基於RPC的NFS服務以及為數眾多的非UNIX IP產品等(NetWare/IP)就是這樣的。那麼讓達到1023埠標準的數據包都進入網路的話網路還能說是安全的嗎?連這些客戶程序都不敢說自己是足夠安全的。
雙向過濾
OK,咱們換個思路。我們給防火牆這樣下命令:已知服務的數據包可以進來,其他的全部擋在防火牆之外。比如,如果你知道用戶要訪問Web伺服器,那就只讓具有源埠號80的數據包進入網路:
不過新問題又出現了。首先,你怎麼知道你要訪問的伺服器具有哪些正在運行的埠號呢? 象HTTP這樣的伺服器本來就是可以任意配置的,所採用的埠也可以隨意配置。如果你這樣設置防火牆,你就沒法訪問哪些沒採用標准埠號的的網路站點了!反過來,你也沒法保證進入網路的數據包中具有埠號80的就一定來自Web伺服器。有些黑客就是利用這一點製作自己的入侵工具,並讓其運行在本機的80埠!
檢查ACK位
源地址我們不相信,源埠也信不得了,這個不得不與黑客共舞的瘋狂世界上還有什麼值得我們信任呢?還好,事情還沒到走投無路的地步。對策還是有的,不過這個辦法只能用於TCP協議。
TCP是一種可靠的通信協議,「可靠」這個詞意味著協議具有包括糾錯機制在內的一些特殊性質。為了實現其可靠性,每個TCP連接都要先經過一個「握手」過程來交換連接參數。還有,每個發送出去的包在後續的其他包被發送出去之前必須獲得一個確認響應。但並不是對每個TCP包都非要採用專門的ACK包來響應,實際上僅僅在TCP包頭上設置一個專門的位就可以完成這個功能了。所以,只要產生了響應包就要設置ACK位。連接會話的第一個包不用於確認,所以它就沒有設置ACK位,後續會話交換的TCP包就要設置ACK位了。
舉個例子,PC向遠端的Web伺服器發起一個連接,它生成一個沒有設置ACK位的連接請求包。當伺服器響應該請求時,伺服器就發回一個設置了ACK位的數據包,同時在包里標記從客戶機所收到的位元組數。然後客戶機就用自己的響應包再響應該數據包,這個數據包也設置了ACK位並標記了從伺服器收到的位元組數。通過監視ACK位,我們就可以將進入網路的數據限制在響應包的范圍之內。於是,遠程系統根本無法發起TCP連接但卻能響應收到的數據包了。
這套機制還不能算是無懈可擊,簡單地舉個例子,假設我們有台內部Web伺服器,那麼埠80就不得不被打開以便外部請求可以進入網路。還有,對UDP包而言就沒法監視ACK位了,因為UDP包壓根就沒有ACK位。還有一些TCP應用程序,比如FTP,連接就必須由這些伺服器程序自己發起。
FTP帶來的困難
一般的Internet服務對所有的通信都只使用一對埠號,FTP程序在連接期間則使用兩對埠號。第一對埠號用於FTP的「命令通道」提供登錄和執行命令的通信鏈路,而另一對埠號則用於FTP的「數據通道」提供客戶機和伺服器之間的文件傳送。
在通常的FTP會話過程中,客戶機首先向伺服器的埠21(命令通道)發送一個TCP連接請求,然後執行LOGIN、DIR等各種命令。一旦用戶請求伺服器發送數據,FTP伺服器就用其20埠 (數據通道)向客戶的數據埠發起連接。問題來了,如果伺服器向客戶機發起傳送數據的連接,那麼它就會發送沒有設置ACK位的數據包,防火牆則按照剛才的規則拒絕該數據包同時也就意味著數據傳送沒戲了。通常只有高級的、也就是夠聰明的防火牆才能看出客戶機剛才告訴伺服器的埠,然後才許可對該埠的入站連接。
UDP埠過濾
好了,現在我們回過頭來看看怎麼解決UDP問題。剛才說了,UDP包沒有ACK位所以不能進行ACK位過濾。UDP 是發出去不管的「不可靠」通信,這種類型的服務通常用於廣播、路由、多媒體等廣播形式的通信任務。NFS、DNS、WINS、NetBIOS-over-TCP/IP和 NetWare/IP都使用UDP。
看來最簡單的可行辦法就是不允許建立入站UDP連接。防火牆設置為只許轉發來自內部介面的UDP包,來自外部介面的UDP包則不轉發。現在的問題是,比方說,DNS名稱解析請求就使用UDP,如果你提供DNS服務,至少得允許一些內部請求穿越防火牆。還有IRC這樣的客戶程序也使用UDP,如果要讓你的用戶使用它,就同樣要讓他們的UDP包進入網路。我們能做的就是對那些從本地到可信任站點之間的連接進行限制。但是,什麼叫可信任!如果黑客採取地址欺騙的方法不又回到老路上去了嗎?
有些新型路由器可以通過「記憶」出站UDP包來解決這個問題:如果入站UDP包匹配最近出站UDP包的目標地址和埠號就讓它進來。如果在內存中找不到匹配的UDP包就只好拒絕它了!但是,我們如何確信產生數據包的外部主機就是內部客戶機希望通信的伺服器呢?如果黑客詐稱DNS伺服器的地址,那麼他在理論上當然可以從附著DNS的UDP埠發起攻擊。只要你允許DNS查詢和反饋包進入網路這個問題就必然存在。辦法是採用代理伺服器。
所謂代理伺服器,顧名思義就是代表你的網路和外界打交道的伺服器。代理伺服器不允許存在任何網路內外的直接連接。它本身就提供公共和專用的DNS、郵件伺服器等多種功能。代理伺服器重寫數據包而不是簡單地將其轉發了事。給人的感覺就是網路內部的主機都站在了網路的邊緣,但實際上他們都躲在代理的後面,露面的不過是代理這個假面具。
小結
IP地址可能是假的,這是由於IP協議的源路有機制所帶來的,這種機制告訴路由器不要為數據包採用正常的路徑,而是按照包頭內的路徑傳送數據包。於是黑客就可以使用系統的IP地址獲得返回的數據包。有些高級防火牆可以讓用戶禁止源路由。通常我們的網路都通過一條路徑連接ISP,然後再進入Internet。這時禁用源路由就會迫使數據包必須沿著正常的路徑返回。
還有,我們需要了解防火牆在拒絕數據包的時候還做了哪些其他工作。比如,防火牆是否向連接發起系統發回了「主機不可到達」的ICMP消息?或者防火牆真沒再做其他事?這些問題都可能存在安全隱患。ICMP「主機不可達」消息會告訴黑客「防火牆專門阻塞了某些埠」,黑客立即就可以從這個消息中聞到一點什麼氣味。如果ICMP「主機不可達」是通信中發生的錯誤,那麼老實的系統可能就真的什麼也不發送了。反過來,什麼響應都沒有卻會使發起通信的系統不斷地嘗試建立連接直到應用程序或者協議棧超時,結果最終用戶只能得到一個錯誤信息。當然這種方式會讓黑客無法判斷某埠到底是關閉了還是沒有使用。
『貳』 怎樣屏蔽udp埠怎樣操作
一樓說的更放屁沒區別啊,不懂裝懂,bs中
在網上鄰居按右鍵----屬性-----本地連接按右鍵----屬性---- 高級-----選項----雙擊tcp/ip篩選----udp埠選「只允許」,可以在裡面輸入你允許的埠號,比如qq的4000,你如果不在裡面輸入埠號的話,就是一個都不允許。
不懂的話,pm我。
『叄』 如何在路由封殺udp 埠,我要詳細步驟
先下載一個名叫「E—QLive」的封殺軟體,然後將它放入QQLive中,OK不只是屏蔽一個8000的問題,,QQ上線有好幾種方式
QQ不僅僅通過UDP方式登錄伺服器,還能夠以TCP方式登錄。QQ在連接時首先向以下七個伺服器的8000埠發送udp包。
sz.tencent.com 61.144.238.145
sz2.tencent.com 61.144.238.146
sz3.tencent.com 202.104.129.251
sz4.tencent.com 202.104.129.254
sz5.tencent.com 61.141.194.203
sz6.tencent.com 202.104.129.252
sz7.tencent.com 202.104.129.253
在阻斷8000埠的連接後,QQ還會通過udp的8001和tcp的8000、8001埠進行連接。所以可以基於埠來作阻斷規則。
在用防火牆阻斷以上埠的數據包後,發現QQ還會通過tcp的80和443埠進行連接。如果針對這兩個埠作阻斷規則,會影響用戶的正常上網,所以只能對伺服器的ip地址來作規則。通過試驗發現了以下可通過80和443埠建立連接的QQ伺服器:
218.17.217.106
219.133.40.95
219.133.40.97,
219.133.40.157,
219.133.40.177,
219.133.40.73,
219.133.40.189
218.18.95.153
218.17.209.23
202.104.129.253
218.17.209.42
在針對這些IP作阻斷規則後,QQ已基本無法登錄。
在試驗中還發現,QQ安裝目錄下的Config.db文件,其中記錄了QQ伺服器的地址,與我們上面找到的完全符合。
因此,在用防火牆阻止用戶使用QQ上網時,除了阻止tcp和udp的8000、8001埠外,還需阻斷與QQ伺服器的連接。下面列舉了在試驗中找到的和在網上查到的QQ伺服器IP:
61.141.194.203
61.144.238.145/146/149/155
61.172.249.135
65.54.229.253
202.96.170.164
202.104.129.151/251/252/253/254
211.157.38.38
218.17.209.23/42
218.17.217.106
218.18.95.153/165
219.133.40. 21/73/89/90/92/95/97/157/177/189(這個網段的伺服器地址較多,可以考慮阻斷整個網段)
雖然以上方法可以起到阻斷QQ連接的作用,但如果騰訊增加新的QQ伺服器,QQ也還是可以登錄的。
另外,用第三方的代理軟體如NEC E-BORDER等,支持Anonymous的Socks5?代理還是可能繞過去,登陸使用QQ。
『肆』 如何使用wireshark抓包分析udp
開始界面
wireshark是捕獲機器上的某一塊網卡的網路包,當你的機器上有多塊網卡的時候,你需要選擇一個網卡。
點擊Caputre->Interfaces.. 出現下面對話框,選擇正確的網卡。然後點擊"Start"按鈕, 開始抓包
Wireshark 窗口介紹
WireShark 主要分為這幾個界面
1. Display Filter(顯示過濾器), 用於過濾
2. Packet List Pane(封包列表), 顯示捕獲到的封包, 有源地址和目標地址,埠號。 顏色不同,代表
3. Packet Details Pane(封包詳細信息), 顯示封包中的欄位
4. Dissector Pane(16進制數據)
5. Miscellanous(地址欄,雜項)
Wireshark 顯示過濾
使用過濾是非常重要的, 初學者使用wireshark時,將會得到大量的冗餘信息,在幾千甚至幾萬條記錄中,以至於很難找到自己需要的部分。搞得暈頭轉向。
過濾器會幫助我們在大量的數據中迅速找到我們需要的信息。
過濾器有兩種,
一種是顯示過濾器,就是主界面上那個,用來在捕獲的記錄中找到所需要的記錄
一種是捕獲過濾器,用來過濾捕獲的封包,以免捕獲太多的記錄。 在Capture -> Capture Filters 中設置
保存過濾
在Filter欄上,填好Filter的表達式後,點擊Save按鈕, 取個名字。比如"Filter 102",
Filter欄上就多了個"Filter 102" 的按鈕。
過濾表達式的規則
表達式規則
1. 協議過濾
比如TCP,只顯示TCP協議。
2. IP 過濾
比如 ip.src ==192.168.1.102 顯示源地址為192.168.1.102,
ip.dst==192.168.1.102, 目標地址為192.168.1.102
3. 埠過濾
tcp.port ==80, 埠為80的
tcp.srcport == 80, 只顯示TCP協議的願埠為80的。
4. Http模式過濾
http.request.method=="GET", 只顯示HTTP GET方法的。
5. 邏輯運算符為 AND/ OR
常用的過濾表達式
過濾表達式 用途
http 只查看HTTP協議的記錄
ip.src ==192.168.1.102 or ip.dst==192.168.1.102 源地址或者目標地址是192.168.1.102
封包列表(Packet List Pane)
封包列表的面板中顯示,編號,時間戳,源地址,目標地址,協議,長度,以及封包信息。 你可以看到不同的協議用了不同的顏色顯示。
你也可以修改這些顯示顏色的規則, View ->Coloring Rules.
封包詳細信息 (Packet Details Pane)
這個面板是我們最重要的,用來查看協議中的每一個欄位。
各行信息分別為
Frame: 物理層的數據幀概況
Ethernet II: 數據鏈路層乙太網幀頭部信息
Internet Protocol Version 4: 互聯網層IP包頭部信息
Transmission Control Protocol: 傳輸層T的數據段頭部信息,此處是TCP
Hypertext Transfer Protocol: 應用層的信息,此處是HTTP協議
wireshark與對應的OSI七層模型
TCP包的具體內容
從下圖可以看到wireshark捕獲到的TCP包中的每個欄位。
實例分析TCP三次握手過程
看到這, 基本上對wireshak有了初步了解, 現在我們看一個TCP三次握手的實例
三次握手過程為
這圖我都看過很多遍了, 這次我們用wireshark實際分析下三次握手的過程。
打開wireshark, 打開瀏覽器輸入 http://www.cnblogs.com/tankxiao
在wireshark中輸入http過濾, 然後選中GET /tankxiao HTTP/1.1的那條記錄,右鍵然後點擊"Follow TCP Stream",
這樣做的目的是為了得到與瀏覽器打開網站相關的數據包,將得到如下圖
圖中可以看到wireshark截獲到了三次握手的三個數據包。第四個包才是HTTP的, 這說明HTTP的確是使用TCP建立連接的。
第一次握手數據包
客戶端發送一個TCP,標志位為SYN,序列號為0, 代表客戶端請求建立連接。 如下圖
第二次握手的數據包
伺服器發回確認包, 標志位為 SYN,ACK. 將確認序號(Acknowledgement Number)設置為客戶的I S N加1以.即0+1=1, 如下圖
第三次握手的數據包
客戶端再次發送確認包(ACK) SYN標志位為0,ACK標志位為1.並且把伺服器發來ACK的序號欄位+1,放在確定欄位中發送給對方.並且在數據段放寫ISN的+1, 如下圖:
就這樣通過了TCP三次握手,建立了連接
『伍』 如何在TPLink 路由器上禁止UDP埠1024-65534
現在很多軟體不僅僅通過TCP 方式進行通訊,還能夠通過UDP方式進行通訊。所以我們在使用超級嗅探狗網路監控軟體對網路進行管理的時候還要結合路由器或者防火牆封堵UDP埠。為什麼旁路模式不能封堵UDP埠?
1. 首先登陸路由器,在「安全設置- - >防火牆設置」裡面對防火牆進行設置,
(1)首先需要勾選「開啟防火牆」和「開啟IP地址過濾」。
(2)在「預設過濾規則」當中,一定要選擇「凡是不符合已設IP地址過濾規則的數據包,允許通過本路由器」。
2.接下來打開「安全設置-- >IP地址過濾」配置需要禁止的UDP埠,
3. 配置好之後,如果有多條規則,要注意將UDP的規則移動到4. 接下來可以打開超級嗅探狗「當前在線- - >所有在線聊天」如果禁止生效第一條,否則可能不能生效,
『陸』 如何編寫snort的檢測規則
snort是一個強大的輕量級的網路入侵檢測系統。它具有實時數據流量分析和日誌IP網路數據包的能力,能夠進行協議分析,對內容進行搜索/匹配。它能夠檢測各種不同的攻擊方式,對攻擊進行實時報警。此外,snort具有很好的擴展性和可移植性。本文將講述如何開發snort規則。
1.基礎
snort使用一種簡單的規則描述語言,這種描述語言易於擴展,功能也比較強大。下面是一些最基本的東西:
snort的每條規則必須在一行中,它的規則解釋器無法對跨行的規則進行解析。注意:由於排版的原因本文的例子有的分為兩行。
snort的每條規則都可以分成邏輯上的兩個部分:規則頭和規則選項。規則頭包括:規則行為(rule's action)、協議(protocol)、源/目的IP地址、子網掩碼以及源/目的埠。規則選項包含報警信息和異常包的信息(特徵碼,signature),使用這些特徵碼來決定是否採取規則規定的行動。
這是一個例子:
alert tcp any any -> 192.168.1.0/24 111(content:"|00 01 86 a5|";msg:"mountd access";)
表1.一條簡單的snort規則
從開頭到最左邊的括弧屬於規則頭部分,括弧內的部分屬於規則選項。規則選項中冒號前面的詞叫做選項關鍵詞(option keywords)。注意對於每條規則來說規則選項不是必需的,它們是為了更加詳細地定義應該收集或者報警的數據包。只有匹配所有選項的數據包,snort才會執行其規則行為。如果許多選項組合在一起,它們之間是邏輯與的關系。讓我們從規則頭開始。
1.1 include
snort使用的規則文件在命令行中指定,include關鍵詞使這個規則文件可以包含其它規則文件中的規則,非常類似與C語言中的#include。snort會從被包含的文件讀出其內容,取代include關鍵詞。
格式:
include <文件路徑/文件名>
注意:行尾沒有分號。
1.2 varriables
在snort規則文件中可以定義變數。
格式:
var
例子:
var MY_NET 192.168.1.0/24,10.1.1.0/24] $MY_NET any (flags:S;msg:'SYNMETA packet";)
表2.變數的定義和使用
規則變數名可以使用多種方式來修改,你可以使用$操作符來定義元變數(meta-variables)。這些修改方式可以結合變數修改操作符:?和-來使用。
$var:定義元變數
$(var):以變數var的內容作為變數名
$(var:-default):以變數var的內容作為變數名,如果var沒有定義就使用default作為變數名
$(var:?message):使用變數var的內容作為變數名,如果不成功就列印錯誤信息message並退出。
例如:
var MY_NET $(MYU_NET:-192.168.1.0/24) tcp any any -> $(MY_NET:?MY_NET is undefined!) 23
表3.高級變數應用
2.規則頭(Rule Headers)
2.1 Rule Action
規則頭包含一些信息,這些信息包括:哪些數據包、數據包的來源、什麼類型的數據包,以及對匹配的數據包如何處理。每條規則的第一項就是規則行為(rule action)。規則行為告訴snort當發現匹配的數據包時,應該如何處理。在snort中,有五種默認的處理方式:alert、log、pass、activate和dynamic。
alert:使用選定的報警方法產生報警信息,並且記錄數據包
log:記錄數據包
pass:忽略數據包
activate:報警,接著打開其它的dynamic規則
dynamic:保持空閑狀態,直到被activete規則激活,作為一條log規則
你也可以定義自己的規則類型,把它們和一個或者幾個輸出插件聯系在一起。然後你就可以在snort規則中使用這些規則類型了。
這個例子將建立一個類型,它將只以tcpmp格式輸出日誌:
ruletype suspicious
{
type log
output log_tcpmp: suspocious.log
}
下面這個例子將建立一個類型,把日誌發送到syslog和MySql資料庫:
ruletype redalert
{
type alert
output alert_syslog:LOG_AUTH LOG_ALERT
output database:log,user=snort dbname=snort host=localhost
}
2.2 協議
每條規則的第二項就是協議項。當前,snort能夠分析的協議是:TCP、UDP和ICMP。將來,可能提供對ARP、ICRP、GRE、OSPF、RIP、IPX等協議的支持。
2.3 IP地址
規則頭下面的部分就是IP地址和埠信息。關鍵詞any可以用來定義任意的IP地址。snort不支持對主機名的解析。所以地址只能使用數字/CIDR的形式。/24表示一個C類網路;/16表示一個B類網路;而/32表示一台特定的主機地址。例如:192.168.1.0/24表示從192.168.1.1到192.168.1.255的地址。
在規則中,可以使用使用否定操作符(negation operator)對IP地址進行操作。它告訴snort除了列出的IP地址外,匹配所有的IP地址。否定操作符使用!表示。例如,使用否定操作符可以很輕松地對表1的規則進行改寫,使其對從外部網路向內的數據報警。
alert tcp !192.168.1.0/24 any -> 192.168.1.0/24 111(content:"|00 01 86 a5|";msg:"external mountd access";)
表4.使用IP地址否定操作符的規則
上面這條規則中的IP地址表示:所有IP源地址不是內部網路的地址,而目的地址是內部網路地址。
你也可以定義一個IP地址列表(IP list)。IP地址列表的格式如下:
[IP地址1/CIDR,IP地址/CIDR,....]
注意每個IP地址之間不能有空格。例如:
alert tcp ![192.168.1.0/24,10.1.1.1.0/24] any ->[192.168.1.0/24,10.1.1.0/24] 111 (content:"|00 01 86 a5|";msg:"external mountd access";)
2.4 埠號
在規則中,可以有幾種方式來指定埠號,包括:any、靜態埠號(static port)定義、埠范圍,以及使用非操作定義。any表示任意合法的埠號;靜態埠號表示單個的埠號,例如:111(portmapper)、23(telnet)、80(http)等。使用范圍操作符:可以指定埠號范圍。有幾種方式來使用范圍操作符:達到不同的目的,例如:
log udp any any -> 192.168.1.0/24 1:1024
記錄來自任何埠,其目的埠號在1到1024之間的UDP數據包
log tcp any any -> 192.168.1.0/24 :600
記錄來自任何埠,其目的埠號小於或者等於6000的TCP數據包
log tcp any :1024 -> 192.168.1.0/24 500:
記錄源埠號小於等於1024,目的埠號大於等於500的TCP數據包
表5.埠范圍示例
你還可以使用邏輯非操作符!對埠進行非邏輯操作(port negation)。邏輯非操作符可以用於其它的規則類型(除了any類型,道理很簡單)。例如,你如果要日誌除了X-window系統埠之外的所有埠,可以使用下面的規則:
log tcp any any -> 192.168.1.0/24 !6000:60 10
表6.對埠進行邏輯非操作
2.5 方向操作符(direction operator)
方向操作符->表示數據包的流向。它左邊是數據包的源地址和源埠,右邊是目的地址和埠。此外,還有一個雙向操作符<>,它使snort對這條規則中,兩個IP地址/埠之間雙向的數據傳輸進行記錄/分析,例如telnet或者POP3對話。下面的規則表示對一個telnet對話的雙向數據傳輸進行記錄:
log !192.168.1.0/24 any <> 192.168.1.0/24 23
表7.使用雙向操作符的snort規則
activate/dynamic規則
activate/dynamic規則對擴展了snort功能。使用activate/dynamic規則對,你能夠使用一條規則激活另一條規則。當一條特定的規則啟動,如果你想要snort接著對符合條件的數據包進行記錄時,使用activate/dynamic規則對非常方便。除了一個必需的選項activates外,激活規則(activate rule)非常類似於報警規則(alert rule)。動態規則(dynamic rule)和日誌規則(log rule)也很相似,不過它需要一個選項:activated_by。動態規則還需要另一個選項:count。當一個激活規則啟動,它就打開由activate/activated_by選項之後的數字指示的動態規則,記錄count個數據包。
下面是一條activate/dynamic規則對的規則:
activate tcp !$HOME_NET any -> $HOME_NET 143 (flags:PA;content:"|E8C0FFFFFF|in|;activates:1;
表8.activate/dynamic規則對
這個規則使snort在檢測到IMAP緩沖區溢出時發出報警,並且記錄後續的50個從$HOME_NET之外,發往$HOME_NET的143號埠的數據包。如果緩沖區溢出成功,那麼接下來50個發送到這個網路同一個服務埠(這個例子中是143號埠)的數據包中,會有很重要的數據,這些數據對以後的分析很有用處。
3.規則選項
規則選項構成了snort入侵檢測引擎的核心,它們非常容易使用,同時又很強大和容易擴展。在每條snort規則中,選項之間使用分號進行分割。規則選項關鍵詞和其參數之間使用冒號分割。截止到寫本文為止(snort 1.7版),snort有23個規則選項關鍵詞:
msg:在報警和日誌中列印的消息
logto:把日誌記錄到一個用戶指定的文件,而不是輸出到標準的輸出文件
ttl:測試IP包頭的TTL域的值
tos:測試IP包頭的TOS域的值
id:測試IP分組標志符(fragment ID)域是否是一個特定的值
ipoption:查看IP選項(IP option)域
fragbits:測試IP包頭的分片位(fragmentation bit)
dsize:測試數據包包數據段的大小
flags:測試TCP標志(flag)是否是某個值
seq:測試TCP包的序列號是否是某個值
ack:測試TCP包的確認(acknowledgement)域是否為某個值
itype:測試ICMP數據包的類型(type)域
icode:測試ICMP數據包的編碼(code)域
icmp_id:測試ICMP回送包的標志符(ICMP ECHO ID)是否為某個值
content:在數據包的數據段中搜索模式(pattern)
content-list:在數據包的數據段中搜索模式清單
offset:設置開始搜索的偏移量
depth:設置搜索最大深度
nocase:大小寫不敏感匹配內容字元串
session:剝離一個對話的應用層信息
rpc:觀察RPC服務對特定應用程序的調用
resp:激活反應措施(斷開連接等)
react:激活反應措施(阻塞WEB站點)
3.1 msg
msg規則選項告訴日誌引擎在復制包時同時列印的信息,以及讓報警引擎輸出的警告消息。它只是一個簡單的文本字元串,使用作為轉義符。
格式:
msg:"";
3.2 logto
logto選項告訴snort把觸發某條規則所有的數據包都記錄到指定的文件。使用這個選項,對處理來自nmap掃描、HTTP CGI掃描的數據非常方便。注意如果使用二進制日誌模式,這個選項會失效。
格式:
logto:"<文件名>";
3.3 ttl
這個選項設置要測試的生命周期(time-to-live)值。只有數據包的TTL和這個選項設置的值精確匹配,測試才會成功。這個選項主要用來檢測路由企圖。
格式:
ttl:"";
3.4 tos
你可以使用tos關鍵詞檢查IP包頭的TOS(type of service)域是否是一個特定的值。也是只有在被檢測包TOS域的值和給定的值精確匹配時,這個測試才會成功。
格式:
tos:"";
3.5 ID
這個選項關鍵詞用來測試IP分片包頭的ID域。一些黑客工具為了不同的目的把這個域設置為特殊的值,例如:31337是在一些黑客中比較流行的值。使用這個選項就可以阻止這種攻擊。
格式:
id: "";
3.6 lpoption
如果IP包中有選項域,可以使用這個規則選項搜索IP包頭的特定選項,例如源路由。這個規則選項可以使用的參數如下:
rr:路由記錄
eof:End of list
nop:無操作
ts:時間戳
sec:IP安全選項
lsrr:寬松源路由(loose source routing)
ssrr:嚴格源路由(strict source roution)
satid:流標識符
最常被注意的IP選項是loose&strict source routing,不過在Internet上廣泛使用的任何應用程序中都沒使用這兩個選項。每條規則中只能設定一個IP規則。
格式:
ipopts: ;
3.7 fragbits
使用這個規則選項可以觀察IP包頭的分片位和保留位。它們在IP包頭的標識域,共有3位,分別是:保留為(reserved bit,RB)、還有分組片位(more fragments,MF)、不可分片(dont fragment,DF)。這些位可以以各種方式組合檢查,使用下面的值指定:
R:保留位
D:DF位
M:MF位
你也可以使用修飾符號對特定的位進行邏輯組合:
+--ALL標志,指定的位加上任何其它的位為真
*--ANY標志,指定的任何位為真
!--NOT標志,指定的位不為真
格式:
fragbits: ;
例子:
alert tcp !$HOME_NET any -> $HOME_NET any (fragbits:R+;msg:"Reserverd IP bit set!";)
『柒』 登陸UT需要開啟UDP埠4000-6000 9000-16000 ,怎麼開>
本機直接上網的話在本機防火牆設置裡面允許埠就可。如果是通過路由器上網的話要在路由器防火牆設置埠轉換(NAT,Port Forwarding),填入相關埠即可。
『捌』 禁用了TCP/UDP 8000 TCP 8001 TCP 443 UDP 1429 UDP 6000-6004 還是可以打開QQ還要禁用80埠這是怎麼回事
因為QQ不僅使用了這幾個埠啊,除非你把它使用的埠都封掉才行,但也有副作用,因為其他使用對應埠的伺服器就一起被禁了。像你如果禁了80埠,應該都上不了網了,因為HTTP的常用埠也是80。
『玖』 udp疑似被過濾怎麼解決
到網站下載HTTP-tunnel軟體。
下載後安裝,把受限制的應用軟體的代理IP和埠改成127.0.0.1:1080,打開軟體點擊USE FREE SERVICE默認這個軟體免費版最多隻能支持40K/S左右的速度。這樣就能繞過防火牆的過濾,直接和外網主機通訊了。
Internet 協議集支持一個無連接的傳輸協議,該協議稱為用戶數據報協議(UDP,User Datagram Protocol)。UDP 為應用程序提供了一種無需建立連接就可以發送封裝的 IP 數據包的方法。