而从内到外. 的这一本地端口. 事实是,一个都没封. 所以,基本上不存上服务开不了问题!
可以做测试的!!
这个不影响任何程序使用的. 因为.本人从七月吧. 就开始就卡巴7.0KIS.
一直是使用的这个规则包. 期间,没出过任何问题.
机子上面, 常用的有: QQ. IE. 迅雷(这个速度方面完全没影响). IIS.
差不多. 就这些了. 这个规则包的思路,是不同于, 其它防火墙的.
其它很多防火墙, 根本,就没区分. 出站流,和入站流.. 所以, 一封, 就会导致问题不断.
但, 卡巴和ZA 它们是区分出站流和入站流. 可以对, 出站流和入站流, 设置两个规则包.
互不影响!
设置的理论就是: 从外到内, 本地可全封. 从内到外. 外网除常用端口外. 也可全封. 本地不能封.
这样, 就有两种规则包了. 往往,本地运行的程序, 是不受"从外到内" 这个规则包的影响的!
也就是,不受1-10000 这个,本地,TCP 端口,全封的影响!! 这个从外到内的作用, 事实上,也就只有,
单纯的防攻击而己. 并不会,对本机,造成什么影响!! 它就起个防攻击功能.
[[i] 本帖最后由 xqiafl 于 2007-10-17 23:32 编辑 [/i]] 学习了
[:11:] [:11:] 又学到了很多东西 LZ,你只要试验一下emule就知道了……
为什么迅雷没有影响?因为迅雷自身协议是无关出站的,上传的多少与下载毫无关系,所以你测试迅雷毫无问题。而emule的积分机制关系到了只有高上传才能有下载,你的规则包必然把emule的出站流都给挡了,怎么可能下到东西呢?
而且,你这个规则包,只能防御一下小白型的工具黑客——那种不懂得设置端口的小白,只要改改反弹连接的端口,你这个什么规则包就废掉了,不是我打击你,用这样子的包过滤武装KIS与画蛇添足无异了……
能够拥有突破KIS主动防御+防火墙的木马同时又会白到不懂得改反弹端口的黑客……呃,碰上了这个你该去买彩票了
[[i] 本帖最后由 7sumetai 于 2007-10-17 23:51 编辑 [/i]] 不错,学习一下教程。
回复 64楼 7sumetai 的帖子
我已经写的很清楚.这个规则的盲区, 就在于80, 443 21 . 这种端口上面!
其它的, 黑客改一个, 也是在封的范围, 改两个,还是在封的范围.
迅雷之所, 没被拦截. 是因为. 本人把迅雷服务端的端口. 过滤掉了!
这个emule 也许如你如说, 被拦截了. 但,我前面已经说过了.
使用其它程序,请更据,自身的情况, 去重新更改外网端口.
你仔细看看,本人封的外网端口. 本人就是想到了,黑客会改端口.
所以, 才会把外网端口.批量封杀.. 目的,就是为了防这个! 飘过,又学到些好东西.[:05:]
回复 59楼 xqiafl 的帖子
额,这样的阿卡巴的防火墙其实用单纯的包过滤会有很大的效率和实用性的问题。
你的规则的确可以防止外联的探测,不过,卡巴默认的隐藏模式已经可以做到这点了。
其实,你可以倒过来做,就是把出去的端口做一些小小的控制,
正如大家知道的那样,木马是随机端口的,其实很多浏览器和qq也是随机端口的,所以封闭一些比较高位的端口是没有关系的(ff/opera/qq/都可以自己找空闲端口开)。
不过,要真的做到有效率,外联才是重要的,这就要做单独程序的规则了,做完后开到高安全。这样就防止莫名其妙的程序访问外端口(钩子或注入获权的反弹木马可以用卡巴自带的主动防御和文件完整性弥补)
对于网站的一般扫描测试,其实这个规则只是把隐藏模式的内容量化,属于重复操作了
另外,之前提到的那个icmp规则上的标示错误希望修改一下。
[:xi5:]
这些建议
希望对楼主在其他防火墙上的应用也有所帮助
[[i] 本帖最后由 ALEXBLAIR 于 2007-10-18 11:44 编辑 [/i]] 让暴风雨来得更猛烈些吧![:21:] 看了下,有点迷糊,看来得多看几遍 支持的挖。` *** 作者被禁止或删除 内容自动屏蔽 ***
回复 68楼 ALEXBLAIR 的帖子
唉!! 真是亲人啊!!总算找到一个实货的.
[quote]不过,卡巴默认的隐藏模式已经可以做到这点了。 [/quote]
是的. 如你所说, 如果,你所说的外网,指的是. 从外到内的,入站流!
那么, 卡巴自身,就可以做到. 我这个规则(封本地1-10000),说实话, 是有点多
余. 卡巴默认就可以做的很好!
不过, 加进去,又没害处!
[quote]正如大家知道的那样,木马是随机端口的,其实很多浏览器和qq也是随机端口的,所以封闭一些比较高位的端口是没有关系的(ff/opera/qq/都可以自己找空闲端口开)。[/quote]
在这里,本人要说明一下子. 虽然.本人封了本地所有端口. 但本地程序,在本地
开端口时. 并不会受到影响! 这也是出站流的效果.
[quote]不过,要真的做到有效率,外联才是重要的,这就要做单独程序的规则了,做完后开到高安全。这样就防止莫名其妙的程序访问外端口(钩子或注入获权的反弹木马可以用卡巴自带的主动防御和文件完整性弥补)
对于网站的一般扫描测试,其实这个规则只是把隐藏模式的内容量化,属于重复操作了
[/quote]
这个地方, 你跟本人,想的完全一样. 本人在用卡巴时.
防火墙就是开的最高级! 规则是死的. 人是活的.
要根据.每个人的情况, 设置好, 出站流规则包.
本人.认为. 这个规则,要改也是改"出站流"
81-99, 150-442, 444-999, 1000-2120, 2122-3075, 3077-3898, 3900-5199, 5201-6199, 6201-7999, 8000-9999
这个地方, 为了防止,木马的控制端,改端口. 所以把TCP中的端口.几本上全封!
目的,很明确. 就是为了防止反弹木马.
为什么说, 要改也只需改出站流规则包??
原因很简单! WEB服务在远程,开的是多少?? 80端口吧!
如果,你在上面那个端口规则中,把80加进去,效果会如何??
很明显, 你将不能上网.
而在本地. 入站流规则包!
[quote][PacketRule]
Name=禁止本地UDP端口
Enable=1
Allow=0
Log=0
Warning=0
Protocol=UDP
Direction=InboundStream
LocalPort=10000-65535
[PacketRule]
Name=禁止本地TCP端口
Enable=1
Allow=0
Log=0
Warning=0
Protocol=TCP
Direction=InboundStream
LocalPort=1-10000
[/quote]
这个地方,之所以,本人不改. 是因为.根本不必要改.
因为. 这个规则,对于本地运行的程序,是形同虚拟的.它不会对本地运行的任何程序造成,任何实质性影响.
换句话说.这个入站流规则包,看视,已把本地端口全封. 其实,这对于本地运行的程序而言.根本不起任何作用.
因为它是入站包. 不是出站包,
而真正影响程序运行.是下面一些外网端口.
也就是:[quote]81-99, 150-442, 444-999, 1000-2120, 2122-3075, 3077-3898, 3900-5199, 5201-6199, 6201-7999, 8000-9999 [/quote]
这些端口.才是影响程序运的关键! 所以, 本人所说,要根据自身实际情况,对于出站规则包,进行修改.
也是指,这些端口了. 因为.你本地运行的某些程序,也许,远程开放的端口.就在本人封杀范围之内!
这将导致你不能正常运行那个程序. 所以. 要进行合适的修改!!
[b][color=red]为什么,本人会说,这是最强的规则包呢??[/color][/b]
其实,这个规则包,从某种意义上来讲,并没太多东西. 总共加起来,也才四个规则,
可以说,少的可怜. 但,为什么说最强?? 强在哪里??
本人制作这个规则包,出发点,就是"远程控制软件". 我主要针对的就是这种工具.
而,这种工具,往往就是防火墙的死穴. 基本上,从理论上来讲,是防不胜防的!
但,事实上. 你们也知道, 这种程序,它是分服务端,和控制端.
服务端: 也就是运行了木马的机子.
控制端: 也就是运行了鸽子这个主程序的机子.
而,这个里面,木马所谓的开端口. 改端口. 它是改的是什么端口??
对了!! 它是改的相对于服务端而言的外网端口. 并非本地端口. 所以,
一般,防火墙,才防不胜防. 但,是不是就不能防??
答案是否定的. 我们在这里,已经知道,它的上线端口. 是开在了"远程端口" 这个上面!
那么,试问. 远程控制软件,还会是防火墙的死穴吗??
显然从某种程序上来讲, 是不可能的. 虽不能百分之百封. 但也可封掉一大部份.
原理:
数据流:出站流!
协议: TCP 阻止.
端口: 外网端口:8000.
就这样一个简单的设置. 如果,对方的鸽子上线端口是8000.[b][color=red] 那么,你还会被控制吗?
答案是否定的. 不可能再被控制.
[/color][/b]
试问:81-99, 150-442, 444-999, 1000-2120, 2122-3075, 3077-3898, 3900-5199, 5201-6199, 6201-7999, 8000-9999
我把8000,改成了.上面那些端口了.
[b][color=red]请问: 对方,控制你的可能性还会有多少???[/color][/b]
[b][color=#ff0000][quote][/color][/b]
[b][color=#ff0000][/color][/b]
[b][color=#ff0000]有位兄弟,总是要我去看别人写的防火墙文章,什么,所有防火墙都很弱.之类的![/color][/b]
[b][color=#ff0000][/color][/b]
[b][color=#ff0000]之所以,本人不去看,不是.本人装精. 而是,根本就没必要看.因为.使用本规则,[/color][/b]
[b][color=#ff0000][/color][/b]
[b][color=#ff0000]再配程序规则,那么.这将是史上最强大的防火墙! [/color][/b]
[b][color=#ff0000][/color][/b]
[b][color=#ff0000]相信,本人这样解释.大家应该都[/color][/b][b][color=#ff0000]明白了吧![/color][/b]
[b][color=#ff0000][/quote][/color][/b]
[b][color=#ff0000][/color][/b]
[[i] 本帖最后由 xqiafl 于 2007-10-18 23:23 编辑 [/i]] 利用反弹TCP80端口,将Executor、RingZero注入到IE 端口,就玩完了,呵呵!
回复 74楼 金苑 的帖子
注入到80. 这个地方,没人能防的住的.只能靠程序规则! 现在利用反弹TCP80端口的东西多得要命,象楼主的所谓最强只能是等做肉鸡吧,呵呵。
回复 76楼 金苑 的帖子
这位兄弟!!程序规则不是吃大便的!!
防火墙中默认开80端口的程序,完全可以去掉它的所有外网端口.
另外,再将防火墙安全级别开到最高!这样,可以解决这一问题.
再说,一个程序想要通过卡7KIS. 谈合容易. 只要做好时间保护.
基本上不可能被干掉.
你也许,会说, 有木马可以干掉KIS主动防卸.但不好意思,本人运行这种木马后.马上就蓝屏了!
实在不好意思. 本人的字典中,没有做别人肉鸡.这一概念. 你能够想到突破防火墙的东西,
本人基本上也想到了.
因为.本人.安全很强!
[[i] 本帖最后由 xqiafl 于 2007-10-18 23:28 编辑 [/i]] [quote]原帖由 [i]xqiafl[/i] 于 2007-10-18 23:25 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=1915264&ptid=144028][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
这位兄弟!!
程序规则不是吃大便的!!
[/quote]
你才是吃大便的!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1 没想到还真会闹腾的如此热闹。。。
9楼我就说了,这种帖子54就是了
LZ分明就是井底中一个认死理的可爱青蛙 整帖收藏,谢谢搂主了。