反黑客装置_黑客揭秘与反黑实战

200分 最近闲的无聊 请电影达人介绍几部电影

第五元素 机械公敌 异形大战铁血战士 世界末日 木乃伊系列 恶灵骑士 地狱男爵 地狱神探 都是经典的电影而且都比较科幻

gta5赌场豪劫骇入设备在哪

赌场前置任务的骇入设备在银行ATM处，寻找方法如下：

操作设备：戴尔电脑

操作系统：win10

操作软件：侠盗猎车手5

1、侠盗猎车手5的线上骇入设备在银行ATM处，位置就是下图地图上紫色标记处，如下图所示：

2、来到紫色标记处后就可以看到银行的正门，如下图所示：

3、进入银行之后可以使用ATM进行存取钱，线上骇入设备也是在这里操作，如下图所示：

4、也可以在地图任意地点的ATM机操作线上骇入设备，如下图所示：

什么是黑客？

黑客的身影已经存在了一个多世纪。最早的黑客可以追溯到19世纪70年代的几个青少年，他们用破坏新注册的电话系统的行为挑战权威。下面就让我们来看一看最近35年来黑客们的忙碌身影。

本世纪60年代初

装备有巨型计算机的大学校园，比如MIT的人工智能实验室，开始成为黑客们施展拳脚的舞台。最开始，黑客(hacker)这个词只是指那些可以随心所欲编写计算机程序实现自己意图的计算机高手，没有任何贬义。

70年代初

John Draper发现通过在孩子们用的一种饼干盒里发出哨声，可以制造出精确的音频输入话筒让电话系统开启线路，从而可以借此进行免费的长途通话。Draper后来赢得了"嘎扎上尉"的绰号。整个70年代，Draper因盗用电话线路而多次被捕。

雅皮士社会运动发起了YIPL/TAP杂志（青年国际阵营联盟/技术协助计划）来帮助电话黑客（称为"phreaks"，即电话线路盗用者）进行免费的长途通话。

加利福尼亚Homebrew电脑俱乐部的两名成员开始制做"蓝盒子"，并用这种装置侵入电话系统。这两名成员一个绰号"伯克利蓝"（即Steve Jobs），另一个绰号"橡树皮"（即Steve Wozniak），他们后来创建了苹果电脑。

80年代初

作家William Gibson在一部名叫巫师（Neuromancer）的科幻小说中创造了"电脑空间"一词。

美国联邦调查局开始逮捕犯罪的黑客。在最初的几起黑客罪案中，名为Milwaukee-based 414s的黑客小组（用当地的分区代码取名）颇引人注目，其成员被指控参与了60起计算机侵入案，被侵对象包括纪念Sloan-Kettering癌症中心甚至洛斯阿莫斯国家实验室。

新颁布的综合犯罪控制法案，赋予联邦经济情报局以法律权限打击信用卡和电脑欺诈犯罪。

两个黑客团体相继成立，他们是美国的"末日军团"和德国的"混沌电脑俱乐部"。"黑客季刊"创刊，用于电话黑客和电脑黑客交流秘密信息。

80年代末

新颁布电脑欺骗和滥用法案，赋予联邦政府更多的权利。美国国防部为此成立了计算机紧急应对小组，设在匹兹堡的卡耐基-梅隆大学，它的任务是调查日益增长的计算机网络犯罪。

25岁，经验丰富的黑客Kevin Mitnick秘密监控负责MCI和数字设备安全的政府官员的往来电子邮件。Kevin Mitnick因破坏计算机和盗取软件被判入狱一年。

芝加哥第一国家银行成为一桩7000万美元的电脑抢劫案的受害者。

一个绰号"Fry Guy"的印第安那州的黑客因侵入麦当劳系统，被警方强行搜捕。在亚特兰大，警方同样搜捕了"末日军团"的三名黑客成员，其绰号分别为"Prophet"，"Leftist"和"Urvile"。

90年代早期

由于ATT的长途服务系统在马丁路德金纪念日崩溃，美国开始实施全面打击黑客的行动。联邦政府逮捕了圣路易斯的"Knight Lightning"。在纽约抓获了"欺骗大师"的三剑客"Phiber Optik"，"Acid Phreak"和"Scorpion"。独立黑客"Eric Bloodaxe"则在德克萨斯被捕。

由联邦经济情报局和亚里桑那打击有组织犯罪单位的成员成立了一个取名Operation Sundevil的特殊小组在包括迈阿密在内的12个主要城市进行了大搜捕，这个持续17周的亚里桑那大调查，最后以捕获黑客Kevin Lee Poulsen，绰号"黑色但丁"宣告终结。"黑色但丁"被指控偷取了军事文件。

黑客成功侵入格里菲思空军基地，然后又袭击了美国航空航天管理局（NASA）以及韩国原子研究所的计算机。伦敦警察厅抓获一个化名"数据流"的16岁英格兰少年，该少年被捕时像一个婴儿一样蜷曲着身体。 德州AM的一名教授不断收到一个从校园外登录到其计算机的黑客发出的死亡威胁，该教授被迫用其互联网址发送了2万多封种族主义内容的电子邮件。

Kevin Mitnick再次被抓获，这一次是在纽约的Raleigh，他被圣迭哥超级计算中心的Tsutomu Shimomura追踪并截获。公众媒体大量报道此事。

90年代末

美国联邦网站大量被黑，包括美国司法部，美国空军，中央情报局和美国航空航天管理局等。

美国审计总局的报告表明仅仅1995年美国国防部就遭到黑客侵袭达25万次之多。

一个加拿大的黑客组织"男孩时代"，因对其成员受错误指控非常愤怒，而侵入了加拿大广播公司的网站并留下一条信息称"媒体是骗子"。该组织的黑客被媒体指控对加拿大的某个家庭进行电子追踪，但稍后的调查表明该家庭15岁的儿子才是进行电子追踪的真正元凶。

黑客们成功穿透了微软的NT操作系统的安全屏障，并大肆描述其缺陷。

流行的电子搜索引擎Yahoo!被黑客袭击，黑客声称如果Kevin Mitnick不被释放，一个"逻辑炸弹"将于1997年圣诞节，在所有Yahoo!用户的电脑中爆发。而Yahoo!的发言人Diane Hunt则声称Yahoo!没有病毒。

1998年

反黑客的广告开始在电视频道Super Bowl XXXII上播出，这是互联网协会的一则30秒的广告，花费130万美元。广告的内容是两个俄罗斯导弹发射基地的工作人员担心黑客通过计算机发出发射导弹的指令，他们认为黑客可能以任何方式决定这个世界的毁灭。 一月，联邦劳动统计局连续几天被成千上万条虚假请求信息所淹没，这种黑客攻击方式名为"spamming"。

黑客们侵入美国儿童基金会网站，并威胁如不释放Kevin Mitnick将会有大屠杀。

黑客声称已经侵入五角大楼局域网，并窃取了一个军事卫星系统软件。黑客们威胁将把软件卖给恐怖分子。

美国司法部宣布国家基础设施保护中心的使命是保护国家通讯，科技和交通系统免遭黑客侵犯。

黑客组织L0pht在美国国会听证会上警告说，它可以在30分钟内关闭全国范围内的所有进出互联网的通道。该组织敦促更强有力的网络安全检查。

黑客历史面面观

20世纪70年代早期

最初，"黑客"（HACKER）是一个褒义词，指的是那些尽力挖掘计算机程序的最大潜力的电脑精英。

1983年

美国联邦调查局首次逮捕6名少年黑客（因其所住地区电话区号为-414-，又被称作"414"黑客）。6名少年侵入60多台电脑，其中包括斯洛恩-凯特林癌症纪念中心和诺斯阿拉莫国家实验室。

1984年

艾里克-克力在美国在美国创办黑客杂志《2600：黑客季刊》，成为黑客交换信息的重要场所。

1985年

地下记者"塔兰王"和"闪电骑士"创办电子杂志《弗里克》-Phrack，专门介绍攻击计算机的知识。

1987年

17岁的高中学生赫尔伯特-齐恩（又称"影子鹰"）承认侵入美国电话电报局新泽西州电脑网络。齐恩是美国被判有罪的第一位黑客。

1988年

美国康奈尔大学学生罗伯特-莫里斯（22岁）向互连网上传了一只"蠕虫"。这个程序为攻击UNIX系统而设计，侵入其他电脑并自我繁衍，占用大量系统资源，使当时近1/10互连网陷入瘫痪。

1989年

美国加利福尼亚大学系统管理员克利弗-斯托尔发现了5名西德电脑间谍入侵美国政府和大学网络。5名西德人最终因间谍罪被逮捕起诉。

1990年

美国一个黑客组织--"末日军团"中四名成员因盗窃南方贝尔公司911紧急电话网络的技术秘密而被逮捕。同年，美国联邦特工处发动"阳光罪恶行动"对黑客进行严打。

1994年

美国宇宙航天局的电脑网络受到两名黑客的攻击。

1995年

俄罗斯黑客列文（30岁）在英国被捕。他被控用笔记本电脑从纽约花期银行非法转移至少371万美圆到世界各地由他和他的同伙控制的帐户。

1996年

一位代号Johnny的黑客向全球大约40位政治家、企业领导人和其他个人发送邮件炸弹，一个周末便制造了高达2万条邮件垃圾。--当然在现在这不算什么啦！！！

1998年

美国国防部宣布黑客向五角大楼网站发动了"有史以来最大规模、最系统性的攻击行动"，打入了许多政府非保密性的敏感电脑网络，查询并修改了工资报表和人员数据。

1999年5月-6月

美国参议院、白宫和美国陆军网络以及数十个政府网站都被黑客攻陷。黑客在美国新闻署网站留下的信息最引人注目"水晶，我爱你。"署名为：Zyklon。

1999年11月

挪威黑客组织"反编译工程大师"破解了DVD版权保护的解码密钥并公布在互连网上，引起震惊！

2000年2月

在三天的时间里，黑客组织使全球顶级互连网站--雅虎、亚马逊、电子港湾、CNN等陷入瘫痪。黑客使用了一种叫作"拒绝服务式"攻击手段，即用大量无用信息阻塞网站的服务器，使其不能提供正常服务。

2000年6月

黑客对YAHOO进行了攻击，盗走了用户的密码并查看了一些用户的资料。这次黑客进攻的方法是：把一个木马程序用邮件的形式传给YAHOO的一名职员，而这个职员不小心运行了程序，最终导致了一场灾难。

开放沙盒世界的工厂在哪

沙盒模拟器兵工厂在位于B1最北面，距离C1地堡较近。

开放世界沙盒模拟器内置功能菜单游戏攻略

一、三个黑客碎片在哪

第一个碎片

1、首先第一个它这个碎片在警察局。

2、开车来到警察局。

3、警察局左边这个门，会有一个像电话一样的东西，然后一拾取就可以找到一个黑客碎片了。

第二个碎片

1、我相信第二个应该有很多小伙伴找到，沙漠工厂我也不知道那里，找了好久，在下面地图上的标点这三个大油桶这。

2、开车过去，就可以看到在大油桶这。

第三个碎片

1、其实就在出生点，然后这个白色的房盖。它是一个二层小楼，它就在二楼里。

2、开车过去，进去上二楼就可以找到。

二、黑客装置在哪儿

1、警察局；警察局左边的门，会有一个像电话一样的东西，然后一拾取就可以找到一个黑客装置了。

2、沙漠工厂；玩家开车过去，就可以看到在大油桶这。

3、出生点；玩家进入出生点白色的房盖，一个二层小楼，黑客装置就在二楼里。

三、干草帮在哪

在沙雕模拟器手游中，干草帮就在农场的旁边，前往农场后会看到几个不断跪下作揖的人，这几个就是干草帮的，在领任务点的地方，玩家可以直走，就可以看到。

四、怎么抢银行

可以直接去游戏里银行抢，游戏画面非常出色，在游戏中简洁的风格让你耳目一新，体验非常不错，各位玩家们赶快去下载体验吧。

五、马特的电池在哪得

1、沙雕模拟器中马特的电池隐藏在超市里面，西瓜标志的建筑就是超市。

2、进入超市以后在货架和游戏机这左转。

3、就能找到两节马特的电池了。

六、怎么把里奇给救出来

1、首先游戏玩家可以打开游戏点击右下方的开始；

2、然后点击骑士进入；

3、然后进入正常剧情任务；

4、最后界面跳转到里奇的监狱，并记住监狱号，并和警察交涉最后解除通缉就可以救里奇了。

七、怎么解锁的三个人

1、沙雕模拟器不能解锁三个人，沙雕模拟器最多只有两个人。

2、首先我们先去到警察局，然后接受警察局任务。

3、完成任务之后就解锁第二个人物了。

防火墙的工作原理是什么！

防火墙的工作原理是什么！

:itcso./news/20060324/1044465098-2.s

防火墙的原理是指设定在不同网路（如可信任的企业内部网和不可信的公共网）或网路安全域之间的一系列部件的组合。它是不同网路或网路安全域之间资讯的唯一出入口，通过监测、限制、更改跨越防火墙的资料流，尽可能地对外部遮蔽网路内部的资讯、结构和执行状况，有选择地接受外部访问，对内部强化装置监管、控制对伺服器与外部网路的访问，在被保护网路和外部网路之间架起一道屏障，以防止发生不可预测的、潜在的破坏性侵入。防火墙有两种，硬体防火墙和软体防火墙，他们都能起到保护作用并筛选出网路上的攻击者，防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务，包过滤技术是一种简单、有效的安全控制技术，它通过在网路间相互连线的装置上载入允许、禁止来自某些特定的源地址、目的地址、TCP埠号等规则，对通过装置的资料包进行检查，限制资料包进出内部网路。包过滤的最大优点是对使用者透明，传输效能高。但由于安全控制层次在网路层、传输层，安全控制的力度也只限于源地址、目的地址和埠号，因而只能进行较为初步的安全控制，对于恶意的拥塞攻击、记忆体覆盖攻击或病毒等高层次的攻击手段，则无能为力。

状态检测是比包过滤更为有效的安全控制方法。对新建的应用连线，状态检测检查预先设定的安全规则，允许符合规则的连线通过，并在记忆体中记录下该连线的相关资讯，生成状态表。对该连线的后续资料包，只要符合状态表，就可以通过。这种方式的好处在于：由于不需要对每个资料包进行规则检查，而是一个连线的后续资料包（通常是大量的资料包）通过杂凑演算法，直接进行状态检查，从而使得效能得到了较大提高；而且，由于状态表是动态的，因而可以有选择地、动态地开通1024号以上的埠，使得安全性得到进一步地提高，希望回答可以帮到你。

防火墙的工作原理?

防火墙主要用语对付黑客用的。可以降低中毒机率。要防毒还得靠防毒软体

防火墙能增强机构内部网路的安全性。防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的资料通过，而且防火墙本身也必须能够免于渗透。

防火墙的五大功能

一般来说，防火墙具有以下几种功能：

1．允许网路管理员定义一个中心点来防止非法使用者进入内部网路。

2．可以很方便地监视网路的安全性，并报警。

3．可以作为部署NAT（Neork Address Translation，网路地址变换）的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题。

4．是审计和记录Inter使用费用的一个最佳地点。网路管理员可以在此向管理部门提供Inter连线的费用情况，查出潜在的频宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费。

计算机防火墙的工作原理是什么

在计算机和你网路间 插入一个过滤系统

这个过滤系统 可以认为定义一些 规则，那些是好的流量那些事违规的流量，好的就转发，或者违规的就丢掉。

定义一些资料包的行为，那些包的行为师攻击行为，该做出是那么样的防范。

这么一些个系统就叫做防火墙。

arp防火墙的工作原理

比如说有一个盲人，他的孙子只要从他面前走过，他总会给孙子一块糖吃，于了有一些捣乱的小孩子就会反复的从他面前走过，装孙子，骗糖吃，这个盲人不高兴了，他就养了一条狗，这个狗可以看得见，可以记得谁是真的孙子，谁是装孙子，以后谁要再来装孙子就会被狗咬了，ARP防火墙有点像那条狗的作用，分出谁是真的，谁是假的。对于一般使用者，就是记得正确有闸道器MAC地址。

防火墙的工作原理事什么

网路层防火墙可视为一种 IP 封包过滤器，运作在底层的 TCP/IP 协议堆叠上。我们可以以列举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙（病毒除外，防火墙不能防止病毒侵入）。这些规则通常可以经由管理员定义或修改，不过某些防火墙装置可能只能套用内建的规则。

我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。现在的作业系统及网路装置大多已内建防火墙功能。

较新的防火墙能利用封包的多样属性来进行过滤，例如：来源 IP 地址、来源埠号、目的 IP 地址或埠号、服务型别(如 或是 FTP)。也能经由通讯协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。

防火墙的基本工作原理是什么

任何计算机病毒实际上都是计算机程式程式码，是一段程式，是一串数字的排列组合。就像每个指纹具有的其他人没有的特征一样，病毒程式中必然有独有的、其它程式所不具备的排列方式。称为病毒特征码。

病毒软体公司的一个基本工作就是发现新病毒，并找出其特征码。我们升级病毒库，就是把特征码存在计算机 *** 防火墙和防毒软体使用。

病毒防火墙的功能，就是在资料流动的位置，用毒特征码和资料流中的资料对比，一旦发现和 病毒特征码相同的资料，就认为是发现病毒，采取相应措施。（防毒软体是和硬碟及记忆体中的资料比对，防火墙只管进出计算机的资料流）

由于病毒有上万种，计算机中的资料流动途径也有多种，所以如何比对，在那个位置比对，以达到又快又不出错，是考验各种防火墙技术水平的。

另外从什么途径获得病毒特征码也很重要。大多防毒商都会共享资料，但如果某一家老是不能发现新病毒，并找出其特征码的能力，大家就会“不带它玩”

请教防火墙的工作原理

防火墙就是一种过滤塞（目前你这么理解不算错），你可以让你喜欢的东西通过这个塞子，别的玩意都统统过滤掉。在网路的世界里，要由防火墙过滤的就是承载通讯资料的通讯包。

天下的防火墙至少都会说两个词：Yes或者No。直接说就是接受或者拒绝。最简单的防火墙是乙太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样：有的取代系统上已经装备的T CP/IP协议栈；有的在已有的协议栈上建立自己的软体模组；有的干脆就是独立的一套作业系统。还有一些应用型的防火墙只对特定型别的网路连线提供保护（比如S MTP或者HTTP协议等）。还有一些基于硬体的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙，因为他们的工作方式都是一样的：分析出入防火墙的资料包，决定放行还是把他们扔到一边。

所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头，根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图，两个网段之间隔了一个防火墙，防火墙的一端有台U NIX计算机，另一边的网段则摆了台PC客户机。

防火墙的工作原理? 怎么工作的啊》》？

什么是防火墙?

防火墙就是一种过滤塞(目前你这么理解不算错)，你可以让你喜欢的东西通过这个塞子，别的玩意都统统过滤掉。在网路的世界里，要由防火墙过滤的就是承载通讯资料的通讯包。

天下的防火墙至少都会说两个词：Yes或者No。直接说就是接受或者拒绝。最简单的防火墙是乙太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样：有的取代系统上已经装备的TCP/IP协议栈;

有的在已有的协议栈上建立自己的软体模组;有的干脆就是独立的一套作业系统。还有一些应用型的防火墙只对特定型别的网路连线提供保护(比如 SMTP或者HTTP协议等)。还有一些基于硬体的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙，因为他们的工作方式都是一样的：分析出入防火墙的资料包，决定放行还是把他们扔到一边。

所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头，根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图，两个网段之间隔了一个防火墙，防火墙的一端有台UNIX计算机，另一边的网段则摆了台PC客户机。

防火墙说明

当PC客户机向UNIX计算机发起tel请求时，PC的tel客户程式就产生一个TCP包并把它传给本地的协议栈准备传送。接下来，协议栈将这个TCP包“塞”到一个IP包里，然后通过PC机的TCP/IP栈所定义的路径将它传送给UNIX计算机。在这个例子里，这个IP包必须经过横在PC和UNIX计算机中的防火墙才能到达UNIX计算机。

现在我们“命令”(用专业术语来说就是配制)防火墙把所有发给UNIX计算机的资料包都给拒了，完成这项工作以后，“心肠”比较好的防火墙还会通知客户程式一声呢!既然发向目标的IP资料没法转发，那么只有和UNIX计算机同在一个网段的使用者才能访问UNIX计算机了。

防火墙说明2

还有一种情况，你可以命令防火墙专给那台可怜的PC机找茬，别人的资料包都让过就它不行。这正是防火墙最基本的功能：根据IP地址做转发判断。但要上了大场面这种小伎俩就玩不转了，由于黑客们可以采用IP地址欺骗技术，伪装成合法地址的计算机就可以穿越信任这个地址的防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是，不要用DNS主机名建立过滤表，对DNS的伪造比IP地址欺骗要容易多了

伺服器TCP/UDP 埠过滤

仅仅依靠地址进行资料过滤在实际运用中是不可行的，还有个原因就是目标主机上往往执行着多种通讯服务，比方说，我们不想让使用者采用 tel的方式连到系统，但这绝不等于我们非得同时禁止他们使用SMTP/POP邮件伺服器吧?所以说，在地址之外我们还要对伺服器的TCP/ UDP埠进行过滤。

防火墙3

比如，预设的tel服务连线埠号是23。假如我们不许PC客户机建立对UNIX计算机(在这时我们当它是伺服器)的tel连线，那么我们只需命令防火墙检查传送目标是UNIX伺服器的资料包，把其中具有23目标埠号的包过滤就行了。这样，我们把IP地址和目标伺服器 TCP/UDP埠结合起来不就可以作为过滤标准来实现相当可靠的防火墙了吗?不，没这么简单。

客户机也有TCP/UDP埠

TCP/IP是一种端对端协议，每个网路节点都具有唯一的地址。网路节点的应用层也是这样，处于应用层的每个应用程式和服务都具有自己的对应 “地址”，也就是埠号。地址和埠都具备了才能建立客户机和伺服器的各种应用之间的有效通讯联络。比如，tel伺服器在埠23侦听入站连线。同时tel客户机也有一个埠号，否则客户机的IP栈怎么知道某个资料包是属于哪个应用程式的呢?

由于历史的原因，几乎所有的TCP/IP客户程式都使用大于1023的随机分配埠号。只有UNIX计算机上的root使用者才可以访问1024 以下的埠，而这些埠还保留为伺服器上的服务所用。所以，除非我们让所有具有大于1023埠号的资料包进入网路，否则各种网路连线都没法正常工作。

这对防火墙而言可就麻烦了，如果阻塞入站的全部埠，那么所有的客户机都没法使用网路资源。因为伺服器发出响应外部连线请求的入站(就是进入防火墙的意思)资料包都没法经过防火墙的入站过滤。反过来，开启所有高于1023的埠就可行了吗?也不尽然。由于很多服务使用的埠都大于1023，比如 X client、基于RPC的NFS服务以及为数众多的非UNIX IP产品等(NetWare/IP)就是这样的。那么让达到1023埠标准的资料包都进入网路的话网路还能说是安全的吗?连这些客户程式都不敢说自己是足够安全的。

防火墙4

双向过滤

OK，咱们换个思路。我们给防火墙这样下命令：已知服务的资料包可以进来，其他的全部挡在防火墙之外。比如，如果你知道使用者要访问Web伺服器，那就只让具有源埠号80的资料包进入网路：

防火墙5

不过新问题又出现了。首先，你怎么知道你要访问的伺服器具有哪些正在执行的埠号呢? 象HTTP这样的伺服器本来就是可以任意配置的，所采用的埠也可以随意配置。如果你这样设定防火墙，你就没法访问哪些没采用标准埠号的的网路站点了! 反过来，你也没法保证进入网路的资料包中具有埠号80的就一定来自Web伺服器。有些黑客就是利用这一点制作自己的入侵工具，并让其执行在本机的80埠!

检查ACK位

源地址我们不相信，源埠也信不得了，这个不得不与黑客共舞的疯狂世界上还有什么值得我们信任呢?还好，事情还没到走投无路的地步。对策还是有的，不过这个办法只能用于TCP协议。

TCP是一种可靠的通讯协议，“可靠”这个词意味着协议具有包括纠错机制在内的一些特殊性质。为了实现其可靠性，每个TCP连线都要先经过一个 “握手”过程来交换连线引数。还有，每个传送出去的包在后续的其他包被发送出去之前必须获得一个确认响应。但并不是对每个TCP包都非要采用专门的ACK 包来响应，实际上仅仅在TCP包头上设定一个专门的位就可以完成这个功能了。所以，只要产生了响应包就要设定ACK位。连线会话的第一个包不用于确认，所以它就没有设定ACK位，后续会话交换的TCP包就要设定ACK位了。

防火墙6

举个例子，PC向远端的Web伺服器发起一个连线，它生成一个没有设定ACK位的连线请求包。当伺服器响应该请求时，伺服器就发回一个设定了 ACK位的资料包，同时在包里标记从客户机所收到的位元组数。然后客户机就用自己的响应包再响应该资料包，这个资料包也设定了ACK位并标记了从伺服器收到的位元组数。通过监视ACK位，我们就可以将进入网路的资料限制在响应包的范围之内。于是，远端系统根本无法发起TCP连线但却能响应收到的资料包了。

这套机制还不能算是无懈可击，简单地举个例子，假设我们有台内部Web伺服器，那么埠80就不得不被开启以便外部请求可以进入网路。还有，对 UDP包而言就没法监视ACK位了，因为UDP包压根就没有ACK位。还有一些TCP应用程式，比如FTP，连线就必须由这些伺服器程式自己发起。

FTP带来的困难

一般的Inter服务对所有的通讯都只使用一对埠号，FTP程式在连线期间则使用两对埠号。第一对埠号用于FTP的“命令通道”提供登入和执行命令的通讯链路，而另一对埠号则用于FTP的“资料通道”提供客户机和伺服器之间的档案传送。

在通常的FTP会话过程中，客户机首先向伺服器的埠21(命令通道)传送一个TCP连线请求，然后执行LOGIN、DIR等各种命令。一旦使用者请求伺服器传送资料，FTP伺服器就用其20埠(资料通道)向客户的资料埠发起连线。问题来了，如果伺服器向客户机发起传送资料的连线，那么它就会发送没有设定ACK位的资料包，防火墙则按照刚才的规则拒绝该资料包同时也就意味着资料传送没戏了。通常只有高阶的、也就是够聪明的防火墙才能看出客户机刚才告诉伺服器的埠，然后才许可对该埠的入站连线。

UDP埠过滤

好了，现在我们回过头来看看怎么解决UDP问题。刚才说了，UDP包没有ACK位所以不能进行ACK位过滤。UDP 是发出去不管的“不可靠”通讯，这种型别的服务通常用于广播、路由、多媒体等广播形式的通讯任务。NFS、DNS、WINS、NetBIOS-over- TCP/IP和 NetWare/IP都使用UDP。

看来最简单的可行办法就是不允许建立入站UDP连线。防火墙设定为只许转发来自内部介面的UDP包，来自外部介面的UDP包则不转发。现在的问题是，比方说，DNS名称解析请求就使用UDP，如果你提供DNS服务，至少得允许一些内部请求穿越防火墙。还有IRC这样的客户程式也使用UDP，如果要让你的使用者使用它，就同样要让他们的UDP包进入网路。我们能做的就是对那些从本地到可信任站点之间的连线进行限制。但是，什么叫可信任!如果黑客采取地址欺骗的方法不又回到老路上去了吗?

有些新型路由器可以通过“记忆”出站UDP包来解决这个问题：如果入站UDP包匹配最近出站UDP包的目标地址和埠号就让它进来。如果在记忆体中找不到匹配的UDP包就只好拒绝它了!但是，我们如何确信产生资料包的外部主机就是内部客户机希望通讯的伺服器呢?如果黑客诈称DNS伺服器的地址，那么他在理论上当然可以从附着DNS的UDP埠发起攻击。只要你允许DNS查询和反馈包进入网路这个问题就必然存在。办法是采用代理伺服器。

所谓代理伺服器，顾名思义就是代表你的网路和外界打交道的伺服器。代理伺服器不允许存在任何网路内外的直接连线。它本身就提供公共和专用的 DNS、邮件伺服器等多种功能。代理伺服器重写资料包而不是简单地将其转发了事。给人的感觉就是网路内部的主机都站在了网路的边缘，但实际上他们都躲在代理的后面，露面的不过是代理这个假面具。

小结

IP地址可能是假的，这是由于IP协议的源路有机制所带来的，这种机制告诉路由器不要为资料包采用正常的路径，而是按照包头内的路径传送资料包。于是黑客就可以使用系统的IP地址获得返回的资料包。有些高阶防火墙可以让使用者禁止源路由。通常我们的网路都通过一条路径连线ISP，然后再进入 Inter。这时禁用源路由就会迫使资料包必须沿着正常的路径返回。

还有，我们需要了解防火墙在拒绝资料包的时候还做了哪些其他工作。比如，防火墙是否向连线发起系统发回了“主机不可到达”的ICMP讯息?或者防火墙真没再做其他事?这些问题都可能存在安全隐患。ICMP“主机不可达”讯息会告诉黑客“防火墙专门阻塞了某些埠”，黑客立即就可以从这个讯息中闻到一点什么气味。如果ICMP“主机不可达”是通讯中发生的错误，那么老实的系统可能就真的什么也不传送了。反过来，什么响应都没有却会使发起通讯的系统不断地尝试建立连线直到应用程式或者协议栈超时，结果终端使用者只能得到一个错误资讯。当然这种方式会让黑客无法判断某埠到底是关闭了还是没有使用。

标签：反黑客装置