qq3250845

随着SQL注入攻击日益消沉，由于Web业务的代码编写人员不严谨的字符限制而导致的XSS漏洞出现，XSS攻击成为了一种新的安全挑战。

　　1.什么是XSS(跨站脚本)攻击？

　　XSS攻击：跨站脚本攻击(Cross Site Scripting)，为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。XSS是一种经常出现在Web应用中的计算机安全漏洞，它允许恶意Web用户将代码植入到提供给其它用户使用的页面中，比如HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被骇客用来编写危害性更大的phishing攻击而变得广为人知。对于跨站脚本攻击，黑客界共识是：跨站脚本攻击是新型的“缓冲区溢出攻击”，而JavaScript是新型的“ShellCode”。

　　XSS攻击和前段时间甚嚣尘上的SQL注入攻击一样，都是由于Web业务的代码编写人员不严谨的字符限制而导致的：当某个站点允许用户提交java script脚本(这在Web2.0年代非常普遍)，而又没有对这些脚本进行严格分析，就有可能存在XSS漏洞。这就决定了XSS漏洞的独特性：任何允许提交脚本的页面都可能存在XSS漏洞，而且这些漏洞可能各不相同。

　　2.如何防御XSS攻击？

　　业内对XSS漏洞的防御一般有两种方式。

　　第一种方式就是代码修改，对用户所有提交内容进行验证，包括URL、查询关键字、HTTP头、POST数据等，仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交，对其它的一律过滤。接下来就是实现Session标记(session tokens)、CAPTCHA系统或者HTTP引用头检查，以防功能被第三方网站所执行。最后一步就是确认接收的的内容被妥善的规范化，仅包含最小的、安全的Tag(没有javascript)，去掉任何对远程内容的引用(尤其是样式表和javascript)，使用HTTP only的cookie。

　　但这种方法将降低Web业务的交互能力，用户仅能提交少量指定的字符，不适应那些交互性要求较高的业务系统。而且Web业务的编码人员很少有受过正规的安全培训，即便是专业的安全公司，由于侧重点的不同，也很难完全避免XSS攻击：2008年1月，xssed.com的一份报告指出McAfee、Symantec、VeriSign这三家安全公司的官方站点存在约30个XSS漏洞。

　　第二种方式就是部署专业的防御设备，目前较为流行的有入侵防御产品，利用的就是入侵防御产品对应用层攻击的检测防御能力。用户在选择相应的产品之前，最好先了解一下相关产品的XSS、SQL注入等Web威胁的检测方式，有一些入侵防御产品采用的还是传统的特征匹配方法，如对经典的XSS攻击来说，就是定义“javascript”这个关键字进行检索，一旦发现提交信息中包含“javascript”，就认定为XSS攻击。这种模式匹配的方法缺点显而易见：通过编码或插入TAB键方式可以轻易躲避，而且还存在极大的误报可能，如“;这样一个URL，由于包含了关键字“javascript”，也将会触发报警。

　　比较好的方式是选择那些基于攻击手法或者说基于攻击原理检测的入侵防御产品。启明星辰公司于近期发布天清入侵防御系统的新版本，没有采用传统的特征匹配方式，而是采用了行为特征分析方式，通过分析XSS所有可能的攻击手法，建立一个XSS攻击行为库来分析判断XSS攻击。采用了这种方法的入侵防御产品可以避免传统安全产品在XSS攻击检测上的漏报和误报，实现精确阻断，为面临XSS威胁的广大网络管理员提供一个很好的选择。

qq3250845

众所周知，asp.net mvc程序在浏览器运行是产生标准的Html标签，包括浏览器要发送的关键数据等内容都在html内容里面。听起来不错，但是假如我们伪造类似的html内容，更改里面的关键数据，在浏览器运行起来会怎么样了？下面我们就做这样一个例子。

　　CSRF攻击例子：

　　控制器代码：

　　//初始页面      

　　// GET: /Person/Edit/5      

　　public ActionResult Edit(int id)      

　　{         

　　return View();      

　　}      

　　//修改方法      

　　// POST: /Person/Edit/5      

　　[HttpPost]      

　　public ActionResult Edit(int id, Person person)      

　　{            try         

　　{               

　　// 数据库操作代码               

　　return RedirectToAction("Success",person);           

　　}           

　　catch           

　　{               

　　return View();         

　　}      

　　}

　　视图代码：

　　@model MvcApplication.Models.Person

　　@{

　　ViewBag.Title = "修改人员";

　　Layout = "~/Views/Shared/_Layout.cshtml";

　　}

　　<h2>修改人员</h2>

　　<script src="@Url.Content("~/Scripts/jquery.validate.min.js")" type="text/javascript"></script>

　　<script src="@Url.Content("~/Scripts/jquery.validate.unobtrusive.min.js")" type="text/javascript"></script>

　　@using (Html.BeginForm())

　　{

　　@Html.ValidationSummary(true)

　　<fieldset>

　　<legend>人员信息</legend>

　　@Html.HiddenFor(model => model.ID)

　　<div class="editor-label">

　　@Html.LabelFor(model => model.Name)

　　</div>

　　<div class="editor-field">

　　@Html.EditorFor(model => model.Name)

　　@Html.ValidationMessageFor(model => model.Name)

　　</div>

　　<div class="editor-label">

　　@Html.LabelFor(model => model.Age)

　　</div>

　　<div class="editor-field">

　　@Html.EditorFor(model => model.Age)

　　@Html.ValidationMessageFor(model => model.Age)

　　</div>

　　<p>

　　<input type="submit" value="保存"/>

　　</p>

　　</fieldset>

　　}

　　<div>

　　@Html.ActionLink("返回列表", "Index")

　　</div>

　　实现CSRF攻击：

　　打开记事本，写入以下代码：

　　<body document.getElementById('fm1').submit()">

　　<form id="fm1" action="http://localhost:5132/person/Edit/1001" method="post"><

　　input name="name" value="张三"/>

　　<input name="age" value="21"/>

　　</form>

　　</body>

　　然后另存为html文件，双击文件运行。显示一样。这个就叫CSRF攻击。

　　什么是CSRF攻击？

　　CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。

　　因为在ASP.NET程序中，我们的用户信息都是存在与cookies里面的，此时在用户自己来说，程序已经可以算是裸奔了。正因为如此，Web程序接受的正常客户端请求一般来自用户的点击链接和表单提交等行为。可是恶意攻击者却可以依靠脚本和浏览器的安全缺陷来劫持客户端会话、伪造客户端请求。攻击者盗用了你的身份，以你的名义发送恶意请求，以你名义发送邮件，发消息，盗取你的账号，甚至于购买商品，虚拟货币转账......造成的问题包括：个人隐私泄露以及财产安全。这就是CSRF攻击。

　　CSRF漏洞的攻击一般分为站内和站外两种类型：

　　CSRF站内类型的漏洞在一定程度上是由于程序员滥用$_REQUEST类变量造成的，一些敏感的操作本来是要求用户从表单提交发起POST请求传参给程序，但是由于使用了$_REQUEST等变量，程序也接收GET请求传参，这样就给攻击者使用CSRF攻击创造了条件，一般攻击者只要把预测好的请求参数放在站内一个贴子或者留言的图片链接里，受害者浏览了这样的页面就会被强迫发起请求。

　　CSRF站外类型的漏洞其实就是传统意义上的外部提交数据问题，一般程序员会考虑给一些留言评论等的表单加上水印以防止SPAM问题，但是为了用户的体验性，一些操作可能没有做任何限制，所以攻击者可以先预测好请求的参数，在站外的Web页面里编写javascript脚本伪造文件请求或和自动提交的表单来实现GET、POST请求，用户在会话状态下点击链接访问站外的Web页面，客户端就被强迫发起请求。

　　浏览器的安全缺陷

　　现在的Web应用程序几乎都是使用Cookie来识别用户身份以及保存会话状态，但是所有的浏览器在最初加入Cookie功能时并没有考虑安全因素，从WEB页面产生的文件请求都会带上COOKIE

　　MVC中防止CSRF攻击

　　使用AntiForgeryToken令牌，在ASP.NET的核心中为我们提供了一个用来检测和组织CSRF攻击的令牌。

　　只要在Html表单里面使用了@Html.AntiForgeryToken()就可以阻止CSRF攻击。

　　@model MvcApplication.Models.Person

　　@{

　　ViewBag.Title = "修改人员";

　　Layout = "~/Views/Shared/_Layout.cshtml";

　　}

　　<h2>

　　修改人员</h2>

　　<script src="@Url.Content("~/Scripts/jquery.validate.min.js")" type="text/javascript"></script>

　　<script src="@Url.Content("~/Scripts/jquery.validate.unobtrusive.min.js")" type="text/javascript"></script>

　　@using (Html.BeginForm())

　　{

　　@Html.AntiForgeryToken()

　　@Html.ValidationSummary(true)

　　<fieldset>

　　<legend>人员信息</legend>

　　@Html.HiddenFor(model => model.ID)

　　<div class="editor-label">

　　@Html.LabelFor(model => model.Name)

　　</div>

　　<div class="editor-field">

　　@Html.EditorFor(model => model.Name)

　　@Html.ValidationMessageFor(model => model.Name)

　　</div>

　　<div class="editor-label">

　　@Html.LabelFor(model => model.Age)

　　</div>

　　<div class="editor-field">

　　@Html.EditorFor(model => model.Age)

　　@Html.ValidationMessageFor(model => model.Age)

　　</div>

　　<p>

　　<input type="submit" value="保存"/>

　　</p>

　　</fieldset>

　　}

　　<div>

　　@Html.ActionLink("返回列表", "Index")

　　</div>

　　相应的我们要在Controller中也要加入[ValidateAntiForgeryToken]过滤特性。

　　该特性表示检测服务器请求是否被篡改。

　　注意：该特性只能用于post请求，get请求无效。

　　//修改方法

　　// POST: /Person/Edit/5

　　[ValidateAntiForgeryToken]

　　[HttpPost]

　　public ActionResult Edit(int id, Person person)

　　{

　　try

　　{

　　// 数据库操作代码

　　return RedirectToAction("Success",person);

　　}

　　catch

　　{

　　return View();

　　}

　　}

　　然后在和上面一样把页面代码复制保存为html文件运行，就会出错了。

　　使用Salt值加强保护

　　为了保证我们的AntiForgeryToken阻止在程序中唯一，更好的加密AntiForgeryToken，我们可以为AntiForgeryToken设置Salt值。

　　这样，即使攻击者设法得到了令牌，但是如果Salt值不匹配也不能进行post操作。

　　//修改方法
　　        // POST: /Person/Edit/5

　　[ValidateAntiForgeryToken(Salt ="aa")]

　　[HttpPost]

　　public ActionResult Edit(int id, Person person)

　　{

　　try

　　{

　　// 数据库操作代码

　　return RedirectToAction("Success",person);

　　}

　　catch

　　{

　　return View();

　　}

　　}

　　可以看到加入Salt值后即使是MVC程序本身的页面都无法请求，更别说攻击者了，除非他能猜到我们的Salt值。

　　我们修改view代码

　　@Html.AntiForgeryToken("aa")

　　可以看到在view中加入Salt值后，阻止就变的有目的性了。

　　总结

　　浏览器的会话安全特性 ：

　　我们参照Set-Cookie的标准格式

　　Set-Cookie: <name>=<value>[; <name>=<value>] [; expires=<date>][; domain=<domain_name>] [; path=<some_path>][; secure][; HttpOnly]

　　浏览器支持的cookie实际上分为两种形式：

　　一种是内存COOKIE，在没有设定COOKIE值的expires参数，也就是没有设置COOKIE的失效时间情况下，这个COOKIE在关闭浏览器后将失效，并且不会保存在本地。另外一种是本地保存COOKIE，也就是设置了expires参数，COOKIE的值指定了失效时间，那么这个COOKIE会保存在本地，关闭浏览器后再访问网站，在COOKIE有效时间内所有的请求都会带上这个本地保存COOKIE。

　　Internet Explorer有一个隐私报告功能，其实这是一个安全功能，它会阻挡所有的第三方COOKIE，比如A域Web页面嵌入了B域的文件，客户端浏览器访问了A域的Web页面后对B域所发起的文件请求所带上的COOKIE会被IE拦截。除开文件请求情况，A域的Web页面如果使用IFRAME帧包含B域的Web页面，访问A域的Web页面后，B域的Web页面里的所有请求包括文件请求带上的COOKIE同样会被IE拦截。不过Internet Explorer的这个安全功能有两个特性，一是不会拦截内存COOKIE，二是在网站设置了P3P头的情况下，会允许跨域访问COOKIE，隐私报告功能就不会起作用了。

　　所以在Internet Explorer的这个安全特性的前提下，攻击者要进行站外的CSRF攻击使用文件请求来伪造GET请求的话，受害者必须在使用内存COOKIE也就是没有保存登陆的会话状态下才可能成功。而Firefox浏览器并没有考虑使用这样的功能，站外的CSRF攻击完全没有限制。

　　关于Javascript劫持技术 ：

　　近年来的web程序频繁使用Ajax技术，JSON也开始取代XML做为AJAX的数据传输格式，JSON实际上就是一段javascript，大部分都是定义的数组格式。fortify公司的三位安全人员在2007年提出了Javascript劫持技术，这是一种针对JSON动态数据的攻击方式，实际上这也是一种变相的CSRF攻击。攻击者从站外调用一个script标签包含站内的一个JSON动态数据接口，因为<script src=”>这种脚本标签的文件请求会带上COOKIE，用户访问后相当于被迫从站外发起了一个带有身份认证COOKIE的GET请求，web程序马上返回了用户相关的JSON数据，攻击者就可以取得这些关键的JSON数据加以利用，整个过程相当于一个站外类型的CSRF攻击。

　　WEB应用中的JSON数据大部分使用在个人资料、好友列表等隐私功能里，这类数据一般是web蠕虫最重要的传播功能所需要的数据，而CSRF攻击结合Javascript劫持技术完全可以分析这类数据制作自动传播的web蠕虫，在一定情况下这种web蠕虫比网站出现跨站脚本漏洞制作的web蠕虫更具威胁性，几乎不受网站架构的限制，因为攻击者利用的不是传统的Web漏洞而是网站自身正常的功能，如果出现这类CSRF蠕虫，对网站的打击将是灾难性的。

　　安全提醒 ：

　　各个大型社区类网站必须警惕CSRF攻击和相关web蠕虫的爆发,并且针对这类web攻击制定有效的应急措施。同建议程序员不要滥用$_REQUEST类变量，在必要的情况下给某些敏感的操作加上水印，考虑使用类似DISCUZ论坛的formhash技术提高黑客预测请求参数的难度，注意JSON数据接口的安全问题等。最后希望大家全面的考虑客户端和服务端整体的安全，注意Internet Explorer等客户端浏览器一些安全缺陷和安全特性，防止客户端程序的安全问题影响整个Web应用程序。

美星网络-小萍

不是我吹牛，在这四海八荒，你有什么事，报我的名字。

基本没什么用。
但是，
如果你说：我想 租服务器！！！
OK！妥了。我们故事就开始了......

风里雨里我在IDC研究中心等你 ！
我们不放假不休息，我在QQ上等你！
群内不回，详情加QQ：3174798421

qq3250845

Linux主机被入侵后的工作

qq3250845

姜太公钓鱼，愿者上钩。在诈骗者眼中，所有人都是他们要钓的“鱼”，当然钓的不是你本身，而是你口袋中的钞票。网络钓鱼（Phishing）在网络上为你设下圈套，通过处心积虑的技术手段伪造出假可乱真的网站、E-Mail、短信等信息，诱惑你“自愿”交出重要信息（如银行账户密码）。网络钓鱼并不是一种新的入侵方法，但是它的危害范围却在逐渐扩大，成为最具威胁的网络安全事件。

　　2010年3月30日，中国互联网络信息中心（CNNIC）和国家互联网应急中心（CNCERT）在京联合发布《2009年中国网民网络信息安全状况调查系列报告》。《报告》数据显示，2009年，52%的网民曾遭遇过网络安全事件，网民处理安全事件所支出的相关服务费用共计153亿元人民币。

　　中国反钓鱼网站联盟刚刚发布的最新月报显示，联盟受理并暂停域名解析的钓鱼网站为1785个，较3月增长70%，约有4500万网民因网络钓鱼蒙受损失。



图一：2010年4月中国反钓鱼网站联盟处理钓鱼网站的域名分类情况



图二：2010年4月中国反钓鱼网站联盟处理钓鱼网站的行业分类情况

　　2010年4月29日，EMC信息安全事业部RSA发布的《2010年全球网上消费者安全调查》结果显示：在接受调查的全球22个国家中，中国用户对强网站身份认证最积极，达到96.92%。

　　许多网络交易就被这一个个以假乱真的交易页面骗走了钱财，这种不愉快的经历让那些上当受骗的用户，对网络购物望而怯步。不仅如此，网络欺诈除了给网民带来经济损失，也给企业带来品牌形象损伤。严重地影响了在线金融服务、电子商务的发展，危害公众利益，影响公众应用互联网的信心。

　　网络骗术揭秘1：伪造金融网站、电子邮件 守株待兔网上“垂钓”

　　针对行业：银行业、证券业

　　【案例重现】

　　2010年3月11日，小何到公司后打开自己电子邮箱，发现收到“招商银行”为了加强账户安全升级系统的邮件通知，请客户尽快重新设置账户密码，邮件末尾还给出了设置密码的URL链接，小何不敢怠慢，立刻点击进入更改密码，而后泡上一杯咖啡便开始工作，下午下班到家，再次登陆网上银行却发现卡内3200元现金不翼而飞，卡内余额仅剩利息零头。

　　【骗术揭秘】

　　骗术揭秘：诈骗者一般都以银行、公安局等名义向公众散发短信、电子邮件等，急切要求你对某些关系到个人切身重大利益的事迅速做判断，很多人下意识地按照对方提示进行操作以致受骗，诈骗者则通过邮件中的“钓鱼网站”窃取受害者隐私。

　　伪造网站的域名和真正的银行网站差别很小，可能仅仅是一个字母的差别。真正网站的网址是，而伪造的网站域名则为：，仅是“i”和“1”的差别。受害者通过伪造网站“更改密码”时账号和密码就发送到了幕后的“垂钓者”手上，然后“垂钓者”登录上真正的网络银行改了受害者设置的密码，并将银行账户里的存款转移走。

　　网络骗术揭秘2：网络购物“鱼龙混杂” 正规电子商务网站购物也遭黑

　　针对行业：B2B、B2C等电子商务类网站

　　【案例重现】

　　2010年4月9日，接到女友购买陈奕迅演唱会门票的指示，陈先生登录淘宝网找到一家票价低于市场价近一半的卖家，交谈时卖家谎称旺旺有问题，提出通过QQ联络，以此避开了淘宝对交易过程的监控。耐心的帮助陈先生选择座位达成交易后，卖家又称自己另有一家网店并发来商品链接，希望陈先生通过新店的链接拍下门票，帮忙增加信用。陈先生毫无怀疑的支付货款后，卖家借口送票下线。但直到晚上9点，还没收到票，陈先生拨打骗子留下的电话是空号，马上登录淘宝发现账户内钱款已被盗。

　　【骗术揭秘】

　　低价骗诱法：诈骗者的商品标价往往比市场价格低将近一半，并以海关罚没、走私、朋友赠送等借口骗取信任。

　　拒绝安全支付法：以种种理由拒绝使用网站提供的第三方安全支付工具，比如谎称“账户最近出故障”等。

　　冒充公司销售法：诈骗者称自己是公司经营，然后找来多人多次与买家联系。比如有人打来电话说是该公司的财务，告知公司账号;有人说是经理，谈价格;有人说是公司的发货员，编造产品的发货流程等。其实，这都是为了骗取买家的信任。

　　伪造网站交易法：伪造与真实网站相似的假冒网站，并在交易**假网站链接发送给买家，诱导买家在假网站页面输入交易密码，以窃取账户信息及钱财。

　　收取定金骗钱法：诈骗者要求先付10%左右的“定金或是保证金”，然后发货，之后，还会以种种看似合理的理由，诱使买家追加定金。

　　网络骗术揭秘3：网页挂马、植入病毒 窃取用户信息及钱财

　　针对行业：个人用户

　　【案例重现】

　　2010年4月29日，网店卖家小**往店里上传货品，一个买家通过QQ发来链接，问小韩该款商品有没有货，小韩毫无防备的打开了链接，看到是自己刚刚上传到店内的商品，就告诉买家新到的货，颜色非常齐全，可以放心购买。二十分钟后，见此人还没有拍下商品，小韩为争取做成这笔生意，便询问买家是否需要帮忙，买家留下一句“余额不够，充值后再买”便下线，此后小韩在自己的QQ好友再也找不到该买家的身影。某日因为要从网上进货，小韩习惯性的查看银行卡时发现余额为零。精通电脑的朋友告诉小韩，他的电脑中被植入了木马，时间正是与那个买家交谈的当天。

　　【骗术揭秘】

　　目前的网银盗号木马及其变种数以千计，诈骗者针对互联网用户进行特殊的设计，直接将网友访问的页面劫持到伪造的“钓鱼”页面并通过植入木马程序劫持用户访问网银页面时的浏览器数据，并记录键盘操作。一旦诈骗者“记录”下了密码，便可通过大众版网银以小额支付或转账的方式窃取钱财。目前，不法分子盗取网银的诈骗行为特别活跃，很多用户反馈自己被蒙蔽，造成的损失通常在上千元人民币。

　　网络骗术揭秘4：即时通讯工具散布中奖信息 诈骗高额钱财

　　针对行业：即时通讯工具用户

　　【案例重现】

　　2010年5月13日，周末没课的大二学生小周在宿舍上网，突然收到来自“腾讯客服”的“中奖”信息，被选为二等奖幸运用户，奖金2万元，另有一台数码相机。通过对方发来的网站链接，小周进入了“腾讯官方网站的活动专题页面”，页面醒目位置还链接到了“深圳市公证处”的官方网站，里面还公布了“颁奖照片”。小周按照网站提供的操作步骤，小周输入了验证码、真实姓名、身份证号、银行卡号、详细住址、联系方式等信息。一个月后小周不但没有收到“奖品”，更是连银行卡中的钱也无了踪影。

　　【骗术揭秘】

　　诈骗者冒充客服人员，发送大量的中奖通知，骗取网友的银行卡及个人身份信息，达到盗取银行存款的目的，或以个税等各类名义要求汇款，收到汇款后拖延时间要求再次汇款，直至销声匿迹。

　　诈骗者通过制作各类假冒的官方网站，引诱用户并骗取用户的信任。

　　诈骗者通过即时通讯工具，花言巧语诱使用户拨打声讯业务电话激活某项服务或听取网友留言，从而诈取用户高额通信费用。

　　【十大网络防骗术】

　　一、域名实名制从源头杜绝违法犯罪。域名实名制要求用户注册域名时，填写真实、准确、完整的注册信息。管理机构对域名申请单位的营业执照，法人代表，具体地址，经营规模是否真实可靠进行实质性的审查，并在相关行政机关备案。域名是互联网上的具有唯一性的标识，每一个域名的注册都是独一无二、不可重复的。实施了域名实名制之后，使得对互联网上的违法行为的监管变得更加容易，从源头上有效遏制了网络犯罪。

　　二、通过第三方网站身份诚信认证辨别网站真实性。目前不少网站已经在网站首页底部安装了第三方网站身份诚信认证，网民应首先通过第三方权威机构的网站资质信息(企业登记信息、网站域名注册信息等)来判断网站的真实身份，以规避网络风险。网民在应用电子商务网站时应养成查看网站身份信息的使用习惯。

　　三、使用数字证书。金融机构都为网上银行用户开通了数字证书服务，这些数字证书所具备的安全性，可以较好地保护银行用户的安全。这类的网站的网址都是“https”开头的。网民在网站输入自己的身份信息、银行帐号密码时候，如果发现网站地址不是“https”开头的，应谨慎对待，最好终止填写信息。

　　四、使用安全锁(即U盾)。在登录网上银行时，需将U盾插入电脑USB端口并输入U盾密码，如不小心泄露了网上银行用户名和密码，只要U盾仍然掌握在自己手中，或者连U盾也丢失但U盾的密码仍然掌握在自己手中，他人都无法登录你的网上银行。

　　五、如果您的网络账户中存在财产或重要的隐私信息，请在输入账号和密码前注意确认所在网站是否为官方网站。

　　六、对于网上出售的商品价格明显低于市场售价的应多加小心，更不要轻易打开对方发来的链接地址。拍下物品后不要立刻付款，关闭交易窗口，打开“已买到的宝贝”页面，确认购买成功后再付款。网上交易务必使用第三方支付平台，使用中应仔细核对网址是否正确。若实在无法使用第三方支付平台付款，最好选择货到付款。

　　七、安装正版安全软件，并定期打补丁和查杀，封堵住木马入侵的通道，以确保自己的电脑中没有木马。

　　八、勿轻信“中奖”消息——利用“中奖”骗取汇款是最常用的网络骗术。

　　九、不轻易拨打声讯业务的电话号码。如果欺诈者留下手机号码或者电话号码，可通过搜索引擎查询该号码的相关信息：如果号码属地与标示公司地距离太大的，就值得怀疑;如果同一号码的主人在网络上公布信息有天壤之别，就要小心;如果有网友公布的受骗记录中出现该号码，就很可能是网络欺诈。

　　十、发现受骗，要马上报警。妥善保管交易流水单等物证，为有关部门追查网络诈骗创造最佳时机。

56-主机网

美国服务器高防 10G DDOS防御 中国专线 速度更快更稳定

更多配置:http://www.56dr.com/server/us/
本月热销型
CPU        内存        硬盘        流量        带宽        IP数        价格(元/月)        购买
至强e3-1230 2 x 3.3GH         4GB        250G SATA        10TB        100M        5        480       
至强e3-1230 2 x 3.3GH        8GB        120GB SSD        10TB        100M        5        750       
至强e3-1270 2 x 3.5GHz        8GB        500G SATA        10TB        100M        5        850       
至强e3-1270 2 x 3.5GHz        8GB        250GB SSD        10TB        100M        5        950       
双至强e5-2620v3 4 x 2.4GHz        16GB        1TB SATA        10TB        100M        5        1280       
双至强e5-2620v34 x 2.4GHz        16GB        500GB SSD        10TB        100M        5        1380       
高级配置
CPU        内存        硬盘        流量        带宽        IP数        价格(元/月)        购买
Xeon E3-1245v5 8 x 3.5GHz        16GB        120GB SSD        30TB        100M        5        1500       
Xeon E3-1275v5 8 x 3.6GHz        32GB        240GB SSD        30TB        100M        5        1800       
高性能配置
CPU        内存        硬盘        流量        带宽        IP数        价格(元/月)        购买
Dual E5-2620v4 16 x 2.1GHz        64GB        240GB SSD        40TB        100M        5        2500       
Dual E5-2620v4 16 x 2.1GHz        128GB        240GB SSD        40TB        100M        5        3500       
机房信息与相关说明
上架时间：        1至3小时，缺货除外        业务续费：        须提前两天完成
测试文件        1000MB 测试文件        测试IP：        IPv4: 199.231.208.77 | IPv6: 2605:f700:c0::c7e7:d006|
硬件升级：        2G内存 200元/月        流量升级：        5T流量=100元
增加IP：        5IP：100元/月　13IP：260元/月　29IP：580元/月　61IP：900元/月
操作系统：        免费Windows2012 R2/ 2008 R2、CentOS、Redhat、FreeBSD等系统。
售后范围：        重启和重装系统、配置环境、一次性安全设置、常用软件安装和重装、网络故障排除。
注意事项：        禁止放置成人，侵犯知识产权内容，请勿进行垃圾邮件、端口扫描、钓鱼等行为。
DDOS保护：        提供免费10G防御，独立服务器都会被我们的最高层级的DDOS清洗系统保护。
IPMI访问：        提供IPMI访问可以远程给服务器重装系统，控制服务器电源的开机，关键和重启

qq3250845

移动网络的安全状况并未随数据网络本身的增长而相应演进。值得注意的是，就安全而言，许多移动及固定无线网络运营商似乎仅具备与8到10年前有线运营商之状况相近的保护能力。

    根据Arbor公司2010年度全球互联网基础设施安全报告，就网络的可见性和控制，以及保护自身和客户免受攻击的整体能力而言，发展最迅速的手机和固网的无线网络运营服务可能是互联网服务提供商（ISP）中缺乏充分准备的一环。手机和固网的无线网络运营商都表示对其网络上的数据流量几乎没有可见性。

    有近60%的受访者表示对其无线分组核心的流量缺乏可见性或受限。

    有46%的受访者表示在年报调查时段内经历过因网络安全事故造成的客户使用瘫痪事件。根据前面提到的网络可见性的欠缺情况，我们认为这个46%的比例可能是低估了。

    从某种意义上讲，移动运营商在某程度上已成为ISP了。在短短几年中，他们已将其投资从语音转向移动数据和视频业务。支撑这些投资的最基本要素是网络和服务本身的可用性。随着其业务变成以数据为中心，并且转为全IP网络，移动运营商正在变成数据中心运营商。互联网数据中心可用性的头号威胁是分布式拒绝服务（DDoS）攻击，而行动营运商也正在面对同样的威胁。

    多户环境（如IDC）是DDoS攻击的首要目标，因为这种环境有可能连带破坏多位客户的资料联机。另一方面，攻击的变化也很快，从基于数量的直接压跨数据连接，变成针对特定服务的更复杂的应用层DDoS攻击。应用层DDoS攻击不是大带宽的，因而难于识别，但它却能威胁到众多的服务。相当多的移动网络运营商表示，他们遭遇过直接针对其支持附属基础设施要素的应用层DDoS攻击。这些要素包括DNS服务器、门户网站服务器、SMTP服务器、Diameter服务器，甚至GTP通道和SMS网关。

    有56%的受访者表示其附属支持基础设施（如门户网站服务器、DNS和其它相关服务）在12 个月的年度调查期间遭受DDoS攻击的不利影响。

    有44%的受访者表示移动电话或具备无线连接的终端用户计算机遭受DDoS攻击的影响。

    有50%的受访者表示他们观察到源于受影响用户节点的向外/跨界DDoS攻击。假设如前所述，网络的可见性处于缺失状态，我们认为这个统计数据可能也低估了。

    大约22%的受访者表示其网络上基于状态检测的防火墙和/或NAT设备在调查期间遭受DDoS攻击的不利影响。

    电脑黑客在寻找机会，他们看到移动网络上的大量内容，从基础设施本身，到无处不在的接入设备，以及利用这些设备装载各种形式的个人信息的用户。正如2010年度互联网基础设施安全报告所述，移动营运商是在快步追赶。他们缺乏监视网络上恶意数据流量的能力，缺乏采取措施的能力。他们正在使用的网络带宽不断增加，脆弱的基础设施，很少的网络控制点，但他们却要与无限的网络僵尸攻击抗争。从安全角度看，移动网络数据的增长将改变游戏规则

qq3250845

如果有太多要记录的东西

我的防火墙所连接到的网络上还连着DHCP服务器。如果用上面的记录方法的话，每个DHCP包都得记录。由于DHCP传输，网络非常忙碌，因此它会让记录里有很多不必要的信息。因此，在规定记录规则前，我插入了如下规则：

iptables -A INPUT -i $IF_PUB -p udp --sport bootps -j DROP
这句使系统丢弃所有来自DHCP源端口的UDP传输。在记录前加上这条规则，可以将DHCP传输从记录范围内除去。如果还有其他传输干扰你的记录，并且与你要监听的东西毫无关联，那么就在记录规则前添加类似规则。

应用策略之前

我的脚本的下一段反映了我上面所说的哲学问题。如果不再添加规则，那么剩余的数据包就会满足过滤链的策略，因而全部被丢弃。但是我已经打开了路由器上的端口，因此即使放弃剩余数据包，也不会影响整个过程。这也是我允许ping的一部分原因。因此，我也选择做个好的TCP顺民：

iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
余下的任何TCP协议的数据包都将被拒绝，发送方会收到一条TCP重置消息（RST）。这是连接到一个没有listening服务的端口时，TCP协议的正常反应。

这样之后，剩余的所有包都由策略来处理以及丢弃。我还应当添加一条规则来以类似的标准方法处理UDP：返回一个ICMP端口无法到达的消息。

拦截特殊的问题源

你也许会发现你的防火墙或其他记录显示，你的主机正被一些主机以不被允许的方式反复访问。例如，也许有个主机用你的主机不具备的请求来刺探你的网络服务器。邮件过滤可以处理很多来自某个源头的未被请求的传输。可以说，你能用NetFilter将它们都拦截下来。这样做的代价是这些源就无法正常使用你的服务了。我觉得这个代价可以忍受，毕竟这些源是试图攻击我的。

我在规则链的最顶端放置拦截规则。这样即使有对这种传输不起作用的规则也不会有什么问题了，在他们能处理之前，拦截规则过滤掉的传输会最先被丢弃。另外，拦截规则的优先级要足够高，这样它们就不会被其他能够识别传输并改道发送它们的规则所扰乱。例如，它拦截所有来自特定IP地址的传输，而比它高优先级的规则却以另一种理由接受同一个传输（比如，smtp认可）。

我的防火墙上有3套拦截规则。一个是针对协议的，一个针对源网络而最后一个是针对源主机的。我最后加的针对协议的这个规则是用来拒绝那些已知的被恶意利用的协议。例如，我完全屏蔽了IRC，因为它频繁地被用来控制僵尸网络，而且我现在也用不上IRC：

iptables -A INPUT -p tcp --dport irc -j DROP
iptables -A INPUT -p udp --dport irc -j DROP
iptables -A INPUT -p tcp --dport irc-serv -j DROP
iptables -A INPUT -p udp --dport irc-serv -j DROP
iptables -A INPUT -p tcp --dport ircs -j DROP
iptables -A INPUT -p udp --dport ircs -j DROP
以上语句拒绝TCP，UDP IRC，IRC服务器以及源IRC传输。

以下是一个拦截特定IP地址的主机的规则：

iptables -A INPUT -i $IF_PUB -s 10.220.231.236 -j REJECT --reject-with icmp-host-prohibited
这条规则拒绝那些到达公网接口的、来自IP地址10.220.231.236的传输。我是通过回应说主机被封锁了来拒绝这些传输，你也可以只是丢弃这些数据包，对问题主机不做回应。

拦截网络也是类似的：

iptables -A INPUT -i $IF_PUB -s 10.67.232.0/24 -j REJECT --reject-with icmp-net-prohibited
这条规则拒绝到达公网接口的、源地址为10.67.232.0/24的网络。这次该传输的发送方会收到一条ICMP网络禁止的消息。
监视NetFilter防火墙

现在防火墙配置好了，我们得考虑下怎样监视它以防止出现问题。我已经提到记录日志是个方法，但是iptables可以用来批量统计各种各样的规则：

iptables -L -v
iptables -t nat -L -v
第一条命令提供（默认）过滤表里每条链中规则的详细列表。该列表提供了那些规则要点以及容量。第二条命令则提供的NAT表中的相同内容。以下是过滤表中输出的范例：

Chain INPUT (policy DROP 2707 packets, 1083K bytes)
pkts bytes target  prot opt in   out  source         destination         
    0     0 DROP    tcp  --  any  any  anywhere       anywhere       tcp dpt:irc
    0     0 DROP    udp  --  any  any  anywhere       anywhere       udp dpt:irc
    0     0 DROP    tcp  --  any  any  anywhere       anywhere       tcp dpt:irc-serv
    0     0 DROP    udp  --  any  any  anywhere       anywhere       udp dpt:irc-serv
    0     0 DROP    tcp  --  any  any  anywhere       anywhere       tcp dpt:ircs
    0     0 DROP    udp  --  any  any  anywhere       anywhere       udp dpt:ircs
    0     0 REJECT  all  --  eth1 any  10.67.232.0/24 anywhere       reject-with icmp-net-
prohibited
    0     0 REJECT  all  --  eth1 any  10.220.231.236 anywhere       reject-with icmp-
host-prohibited
2169  524K ACCEPT  all  --  lo   any  anywhere       anywhere            
226K   38M ACCEPT  all  --  eth0 any  192.168.1.0/24 anywhere            
224K   26M ACCEPT  all  --  eth1 any  anywhere       anywhere       state RELATED,ESTABLISHED
    0     0 ACCEPT  icmp --  any  any  anywhere       anywhere       icmp echo-reply
    0     0 ACCEPT  icmp --  any  any  anywhere       anywhere       icmp destination-
unreachable
    0     0 ACCEPT  icmp --  any  any  anywhere       anywhere       icmp time-exceeded
14647  640K ACCEPT  icmp --  any  any  anywhere       anywhere       icmp echo-request
limit: avg 1/sec burst 5
    9   432 ACCEPT  tcp  --  eth1 any  anywhere       10.0.0.1       tcp dpt:2202
4350 1459K DROP    udp  --  eth1 any  anywhere       anywhere       udp spt:bootps
3576 1103K LOG     all  --  eth1 any  anywhere       anywhere       LOG level warning
prefix `INPUT   '
  950 47785 REJECT  tcp  --  any  any  anywhere       anywhere       reject-with tcp-
reset

Chain FORWARD (policy DROP 7 packets, 1400 bytes)
pkts bytes target  prot opt in   out  source         destination      
1302K  681M ACCEPT  all  --  eth1 eth0 anywhere       anywhere       state
RELATED,ESTABLISHED
1229K  253M ACCEPT  all  --  eth0 eth1 anywhere       anywhere            
  411 21920 ACCEPT  tcp  --  eth1 any  anywhere       anywhere       state
NEW,RELATED,ESTABLISHED tcp dpt:smtp
    1    48 ACCEPT  tcp  --  eth1 any  anywhere       anywhere       state
NEW,RELATED,ESTABLISHED tcp dpt:pop3
  681 39308 ACCEPT  tcp  --  eth1 any  anywhere       anywhere       state
NEW,RELATED,ESTABLISHED tcp dpt:http
    0     0 LOG     all  --  any  any  anywhere       anywhere       LOG level warning
prefix `FORWARD '

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target  prot opt in   out  source         destination         
2169  524K ACCEPT  all  --  any  lo   anywhere       anywhere            
246K   23M ACCEPT  all  --  any  eth0 anywhere       192.168.1.0/24     
220K   43M ACCEPT  all  --  any  eth1 anywhere       anywhere            
    0     0 LOG     all  --  any  eth1 anywhere       anywhere       LOG level warning
prefix `OUTPUT  '
以下是NAT表的输出范例：

Chain PREROUTING (policy ACCEPT 238K packets, 25M bytes)
pkts bytes target  prot opt in   out  source         destination         
  407 21724 DNAT    tcp  --  eth1 any  anywhere       10.0.0.1 tcp   dpt:smtp
to:192.168.1.254
    1    48 DNAT    tcp  --  eth1 any  anywhere       10.0.0.1 tcp   dpt:pop3
to:192.168.1.254
  681 39308 DNAT    tcp  --  eth1 any  anywhere       10.0.0.1 tcp   dptpolicy ACCEPT 74279 packets, 5074K bytes)
pkts bytes target  prot opt in   out  source         destination         
16058  979K SNAT    all  --  any  eth1 192.168.1.0/24 anywhere to:10.0.0.1

Chain OUTPUT (policy ACCEPT 57342 packets, 4244K bytes)
pkts bytes target  prot opt in   out  source         destination
你可以看到符合策略的数据包的数量以及容量，还有符合每个表里每个链的每个规则的数据包的数量以及容量。我们可以找些重点，看看能不能将某些规则再优化一下。防火墙已经观测到你的内网转发了253M的传输，还有由内网发起建立的会话引入的681M传输。输出/输入的比率如此高，挺有趣的。你可能本来以为大多数出站请求的传输应该是小容量的，而入站响应应当是大容量的。这是由于我的邮件和网络服务器不会引起很多传输的注意。

看看我引进的拒绝DHCP规则多么有效。它丢弃了4350个数据包。如果没有这个规则或者它在记录规则之后的话，我就得多看4350行没用的记录。

剩余项

我们可以用iptables来建立在某一端口接收输入并将其转入到另一端口的规则：

iptables -t nat -A PREROUTING -i $IF_PUB -d $IP_PUB -p tcp --dport
444 -j DNAT --to 192.168.1.254:443
iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -o $IF_PRV -p tcp --dport
443 -j ACCEPT
假设192.168.1.254上的mail服务器有个SSL网络接口。而你已经在防火墙上使用了443端口，用来允许对192.168.1.253上网络服务的SSL访问。那么，我们可以用iptables来让防火墙的公共端444端口来把传输转到mail服务器的http端口。现在我们就可以访问网络邮件了。

完整脚本

那么这就是上面所讲的用SuSE Linux版本配置的防火墙的init完整脚本了。创建/etc/init.d/firewall并将如下的文本粘贴进取并保存。将文件类型改为可执行文件，并用chkconfig firewall on来在init时间使该脚本生效（/etc/init.d/firewall开始现在开始启动脚本）。使用这个脚本时，务必确保已经关掉了其他防火墙脚本。

#! /bin/bash
# Copyright (c) 2005
#
# Author: David Mair
#
# /etc/init.d/firewall
#
### BEGIN INIT INFO
# Provides: firewall
# Required-Start: $network syslog
# Required-Stop:
# Should-Stop:
# Default-Start: 3 4 5
# Default-Stop: 0 1 2 6
# Short-Description: Firewall configuration
### END INIT INFO


##############################################################################
# DEFAULT POLICY
SetDefaultPolicy() {
# Drop everything
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
}


##############################################################################
# FLUSH TABLES
FlushTables() {
iptables -F -t nat
iptables -F -t mangle
iptables -F -t filter
iptables -X
}


##############################################################################
# ROUTING
EnableRouting() {
echo 1 > /proc/sys/net/ipv4/ip_forward
}

DisableRouting() {
echo 0 > /proc/sys/net/ipv4/ip_forward
}


##############################################################################
# FORWARDING
SetForwardingRules() {
iptables -A FORWARD -i $IF_PUB -o $IF_PRV -m state --state ESTABLISHED,RELATED -
j ACCEPT
iptables -A FORWARD -i $IF_PRV -o $IF_PUB -j ACCEPT
}


##############################################################################
# LOOPBACK
SetLoopbackRules() {
# Allow everything
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
}


##############################################################################
# PRIVATE INTERFACES
SetPrivateInterfaceRules() {
# Allow everything
iptables -A INPUT -i $IF_PRV -s $NET_PRV -j ACCEPT
iptables -A OUTPUT -o $IF_PRV -d $NET_PRV -j ACCEPT
}


#############################################################################
# PUBLIC INTERFACES
SetPublicInterfaceRules() {
iptables -A INPUT -i $IF_PUB -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o $IF_PUB -j ACCEPT
}


##############################################################################
# SOURCE NAT
EnableSourceNAT() {
# Then source NAT everything else
iptables -t nat -A POSTROUTING -s $NET_PRV -o $IF_PUB -j SNAT --to $IP_PUB
}


# Various ICMP
SetICMP_Open() {
iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 11 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -m limit --limit 1/second -j ACCEPT
}


# SSH (on a non-standard port)
SetSSH_Open() {
iptables -A INPUT -i $IF_PUB -p tcp -d $IP_PUB --dport 2202 -j ACCEPT
}


##############################################################################
# Destination NAT

# smtp
SetSMTP_DNAT() {
iptables -t nat -A PREROUTING -i $IF_PUB -d $IP_PUB -p tcp --dport smtp -j
DNAT --to 192.168.1.254
iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -i $IF_PUB -p tcp -
-dport smtp -j ACCEPT
}


# pop3
SetPOP3_DNAT() {
iptables -t nat -A PREROUTING -i $IF_PUB -d $IP_PUB -p tcp --dport pop3 -j
DNAT --to 192.168.10.254
iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -i $IF_PUB -p tcp -
-dport pop3 -j ACCEPT
}


# Webmail (444->443)
SetWebmail_DNAT() {
iptables -t nat -A PREROUTING -i $IF_PUB -d $IP_PUB -p tcp --dport 444 -j DNAT -
-to 192.168.10.254:443
iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -o $IF_PRV -p tcp -
-dport 443 -j ACCEPT
}


# http
SetHTTP_DNAT() {
iptables -t nat -A PREROUTING -i $IF_PUB -d $IP_PUB -p tcp --dport ,ESTABLISHED,RELATED -i $IF_PUB -p tcp -
-dport http -j ACCEPT
}


# Blocked protocols
SetBlockedProtocols() {
# Block all normal irc (used by botnets)
iptables -A INPUT -p tcp --dport irc -j DROP
iptables -A INPUT -p udp --dport irc -j DROP
iptables -A INPUT -p tcp --dport irc-serv -j DROP
iptables -A INPUT -p udp --dport irc-serv -j DROP
iptables -A INPUT -p tcp --dport ircs -j DROP
iptables -A INPUT -p udp --dport ircs -j DROP
}

# Blocked hosts
SetBlockedHosts() {
iptables -A INPUT -i $IF_PUB -s 10.220.231.236 -j REJECT --reject-with icmp-
host-prohibited
iptables -A FORWARD -i $IF_PUB -s 10.220.231.236 -j REJECT --reject-with icmp-
host-prohibited
}


# Blocked networks
SetBlockedNetworks() {
iptables -A INPUT -i $IF_PUB -s 10.220.232.0/24 -j REJECT --reject-with icmp-
net-prohibited
iptables -A FORWARD -i $IF_PUB -d $IP_PUB -s 10.220.232.0/24 -j REJECT --reject-
with icmp-net-prohibited
}


# Specify things to drop before logging
SetPrelogDropRules() {
# DHCP
iptables -A INPUT -i $IF_PUB -p udp --sport bootps -j DROP
}


# Log those on the public interface
SetLoggingRules() {
iptables -A INPUT -i $IF_PUB -j LOG --log-prefix="INPUT   "
iptables -A OUTPUT -o $IF_PUB -j LOG --log-prefix="OUTPUT  "
iptables -A FORWARD -j LOG --log-prefix="FORWARD "
#iptables -t nat -A PREROUTING -i $IF_PUB -j LOG --log-prefix="nPre    "
#iptables -t nat -A POSTROUTING -o $IF_PUB -j LOG --log-prefix="nPost   "
#iptables -t nat -A OUTPUT -o $IF_PUB -j LOG --log-prefix="NAT OUT "
}


# Drop them all
SetDropRules() {
# Reset tcp connection attempts on all other ports
# This is the standard TCP behaviour for a closed port. Reading
# suggests there is no value in stealthing ports and since some are
# open on this host it doesn't seem to matter. Therefore, let's be a
# good TCP citizen
iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
}


##############################################################################
# SCRIPT ENTRY POINT

echo -n "Firewall configuration..."
echo $1

##############################################################################
# ENVIRONMENT

# Private interface
IF_PRV=eth0
IP_PRV=192.168.1.1
NET_PRV=192.168.1.0/24

# Public interface
IF_PUB=eth1
IP_PUB=10.0.0.1
NET_PUB=10.0.0.0/24

# Others
ANYWHERE=0.0.0.0/0

. /etc/rc.status
rc_reset


##############################################################################
# COMMAND LINE

case "$1" in
start)
SetDefaultPolicy
FlushTables

EnableRouting

SetBlockedProtocols
SetBlockedNetworks
SetBlockedHosts

SetForwardingRules

SetLoopbackRules
SetPrivateInterfaceRules
SetPublicInterfaceRules

EnableSourceNAT

SetICMP_Open
SetSSH_Open

SetSMTP_DNAT
SetPOP3_DNAT
SetWebmail_DNAT
SetHTTP_DNAT

SetPrelogDropRules
SetLoggingRules

;;

stop)
SetDefaultPolicy
FlushTables

SetPrivateInterfaceRules
SetPublicInterfaceRules
;;

restart)
$0 stop
$0 start
;;

*)
;;
esac

rc_exit

qq3250845

HONEYPOT（蜜罐）技术 什么是蜜罐 蜜罐（Honeypot）是一种在互联网上运行的计算 机系统。它是专门为吸引并诱骗那些试图非法闯 入他人计算机系统的人（如电脑黑客）而设计的，蜜 罐系统是一个包含漏洞的诱骗系统，它通过模拟 一个或多个易受攻击的主机，给攻击者提供一个 容易攻击的目标。由于蜜罐并没有向外界提供真 正有价值的服务，因此所有对蜜罐尝试都被视为 可疑的。蜜罐的另一个用途是拖延攻击者对真正 目标的攻击，让攻击者在蜜罐上浪费时间。简单 点一说：蜜罐就是诱捕攻击者的一个陷阱。

　　一、初接触HoneyPot

　　Defnet HoneyPot就是一款非常有名的蜜罐软件，它能够虚拟出各种常见的系统漏洞，从而等着黑客们上钩。

　　首先该软件。由于这是一款绿色软件，将下载后的文件直接解压即可运行。软件运行后，可以看到其界面还是比较简单的，其中左侧主要区域就是记录黑客攻击时的信息，而右侧则是相应的配置按钮。下面我们就对其进行必要的配置，使其成为一个完美的诱捕陷阱。

　　二、开启虚拟漏洞

　　单击软件主界面上的“HoneyPot”按钮打开程序配置窗口，首先在窗口左侧是常见的Web、FTP等伪装服务。例如我们要伪装成一台Web服务器，那么就可以在C盘根目录下创建一个wwwrood文件夹，然后在里面新建一个index.htm文件，同时还可以复制一个普通的文本文件放置到该目录下，以便用于伪装FTP服务器。

　　做好准备工作之后，我们就可以分别选中“Web Server”选项，同时在“Port”中输入“80”即虚拟80端口，同时在“Directory”中填入“C:wwwroot”目录；同理可以选中“FTP Server”虚拟FTP服务器，如果选中“Full Access”即指该虚拟FTP开放所有权限。

　　除了伪装常见的服务之外，我们还可以伪装本地磁盘。选中右下角的“Telnet Server”，然后单击“Advanced”按钮，在打开的窗口中分别设置驱动器盘符“Drive”、卷标“Volume”、可用空间“Free Space in bytes”等详细信息，以使虚拟的系统更加真实可靠。

　　设置好这些信息之后，返回软件主界面，单击“Monitore”按钮，这样程序即开始工作。

　　当黑客开始扫描我们的计算机时，他发现的所有漏洞都是由蜜罐提供的虚拟漏洞，而这一切黑客并不知情，或许还在为自己的成功侵入而暗自高兴呢，其实此时我们完全可以从主界面上看到黑客们所进行的一举一洞了。

　　三、远程查看数据

　　由于蜜罐一般都是布置在服务器上，作为管理员不可能随时都坐在服务器前。对此，我们可以使用邮件来接收蜜罐的诱捕记录。

　　单击主界面上的“Options”按钮，然后选中“Send logs by e-mail”项，并在“Your e-mail”处填写接收的邮件地址，在“Server”处填写邮件服务器地址，同时在“For”处填写发送地址，最后在“Authentication required”处填写邮箱的用户名和密码，这样保存设置之后程序即可按照预定的设置将黑客们攻击而留下的日志发送到指定信箱了。

　　布置好了蜜罐，我们就可以对黑客们的入侵采集下证据，而且保证了计算机的安全。如果你饱受黑客攻击，那么赶紧布置一个“甜蜜的罐子”来诱捕黑客吧

qq3250845

详解DDoS攻击技术的方法 续