巧妙利用Linux系统IP伪装抵住黑客攻击

转载 2007年09月25日 02:26:00
原贴:http://bbs.51cto.com/thread-5003-1-1.html

巧妙利用Linux系统IP伪装抵住黑客攻击
<上一帖 |
  防火墙可分为几种不同的安全等级。在Linux中,由于有许多不同的防火墙软件可供选择,安全性可低可高,最复杂的软件可提供几乎无法渗透的保护能 力。不过,Linux核心本身内建了一种称作“伪装”的简单机制,除了最专门的黑客攻击外,可以抵挡住绝大部分的攻击行动。
  
  当我们拨号接连上Internet后,我们的计算机会被赋给一个IP地址,可让网上的其他人回传资料到我们的计算机。黑客就是用你的IP来存取你计算 机上的资料。Linux所用的“IP伪装”法,就是把你的IP藏起来,不让网络上的其他人看到。有几组IP地址是特别保留给本地网络使用的, Internet骨干路由器并不能识别。像作者计算机的IP是192.168.1.127,但如果你把这个地址输入到你的浏览器中,相信什么也收不到,这 是因为Internet骨干是不认得192.168.X.X这组IP的。在其他Intranet上有数不清的计算机,也是用同样的IP,由于你根本不能存 取,当然不能侵入或破解了。
  
  那么,解决Internet上的安全问题,看来似乎是一件简单的事,只要为你的计算机选一个别人无法存取的IP地址,就什么都解决了。错!因为当你浏 览Internet时,同样也需要服务器将资料回传给你,否则你在屏幕上什么也看不到,而服务器只能将资料回传给在Internet骨干上登记的合法IP 地址。
  
  “IP伪装”就是用来解决此两难困境的技术。当你有一部安装Linux的计算机,设定要使用“IP伪装”时,它会将内部与外部两个网络桥接起来,并自动解译由内往外或由外至内的IP地址,通常这个动作称为网络地址转换。
  
  实际上的"IP伪装"要比上述的还要复杂一些。基本上,“IP伪装”服务器架设在两个网络之间。如果你用模拟的拨号调制解调器来存取Internet 上的资料,这便是其中一个网络;你的内部网络通常会对应到一张以太网卡,这就是第二个网络。若你使用的是DSL调制解调器或缆线调制解调器(Cable Modem),那么系统中将会有第二张以太网卡,代替了模拟调制解调器。而Linux可以管理这些网络的每一个IP地址,因此,如果你有一部安装 Windows的计算机(IP为192.168.1.25),位于第二个网络上(Ethernet eth1)的话,要存取位于Internet(Ethernet eth0)上的缆线调制解调器(207.176.253.15)时,Linux的“IP伪装”就会拦截从你的浏览器所发出的所有TCP/IP封包,抽出原 本的本地地址(192.168.1.25),再以真实地址(207.176.253.15)取代。接着,当服务器回传资料到207.176.253.15 时,Linux也会自动拦截回传封包,并填回正确的本地地址(192.168.1.25)。
  
  Linux可管理数台本地计算机(如Linux的“IP伪装”示意图中的192.168.1.25与192.168.1.34),并处理每一个封包, 而不致发生混淆。作者有一部安装SlackWare Linux的老486计算机,可同时处理由四部计算机送往缆线调制解调器的封包,而且速度不减少。
  
  在第二版核心前,“IP伪装”是以IP发送管理模块(IPFWADM,IP fw adm)来管理。第二版核心虽然提供了更快、也更复杂的IPCHAINS,但仍旧提供了IPFWADM wrapper来保持向下兼容性,因此,作者在本文中会以IPFWADM为例,来解说如何设定“IP伪装”(您可至http: //metalab.unc.edu/mdw/HOWTO/IPCHAINS-HOWTO.html查询使用IPCHAINS的方法,该页并有“IP伪 装”更详尽的说明)。
  
  另外,某些应用程序如RealAudio与CU-SeeME所用的非标准封包,则需要特殊的模块,您同样可从上述网站得到相关信息。
  
  作者的服务器有两张以太网卡,在核心激活过程中,分别被设定在eth0与eth1。这两张卡均为SN2000式无跳脚的ISA适配卡,而且绝大多数的Linux都认得这两张卡。作者的以太网络初始化步骤在rc.inet1中设定,指令如下:
  
  IPADDR="207.175.253.15"
  
  #换成您缆线调制解调器的IP地址。
  
  NETMASK="255.255.255.0"
  
  #换成您的网络屏蔽。
  
  NETWORK="207.175.253.0"
  
  #换成您的网络地址。
  
  BROADCAST="207.175.253.255"
  
  #换成您的广播地址。
  
  GATEWAY="207.175.253.254"
  
  #换成您的网关地址。
  
  #用以上的宏来设定您的缆线调制解调器以太网卡
  
  /sbin/ifconfig eth0 ${IPADDR} broadcast $ {BROADCAST} netmask ${NETMASK}
  
  #设定IP路由表
  
  /sbin/route add -net ${NETWORK} netmask $ {NETMASK} eth0
  
  #设定intranet以太网络卡eth1,不使用宏指令
  
  /sbin/ifconfig eth1 192.168.1.254 broadcast 192.168.1.255 netmask 255.255.255.0
  
  /sbin/route add -net 192.168.1.0 netmask 255.255.255.0 eth1
  
  #接着设定IP fw adm初始化
  
  /sbin/ipfwadm -F -p deny #拒绝以下位置之外的存取 #打开来自192.168.1.X的传送需求
  
  /sbin/ipfwadm -F -a m -S 192.168.1.0/24 -D 0.0.0.0/0
  
  /sbin/ipfwadm -M -s 600 30 120
  
  就是这样!您系统的"IP伪装"现在应该可以正常工作了。如果您想得到更详细的信息,可以参考上面所提到的HOWTO,或是至http: //albali.aquanet.com.br/howtos/Bridge+Firewall-4.html参考MINI HOWTO。另外关于安全性更高的防火墙技术,则可在ftp: //sunsite.unc.edu/pub/Linux/docs/HOWTO/Firewall-HOWTO中找到资料。
  
  半年来,56K模拟数据卡的价格突然跌降了不少。不过,大多数新的数据卡,其实是拿掉了板子上的控制用微处理器,因此会对系统的主CPU造成额外的负 荷,而Linux并不支持这些“WinModem”卡。虽然Linux核心高手们,还是有能力为WinModem卡撰写驱动程序,但他们也很明白,为了省 10元美金而对系统效能造成影响,绝对不是明智之举。
  
  请确定您所使用的Modem卡,有跳脚可用来设定COM1、COM2、COM3与COM4,如此一来,这些数据卡才可在Linux下正常工作。您可在 http://www.o2.net/~gromitkc/winmodem.html中找到与Linux兼容的数据卡的完整列表。
  
  当作者在撰写本篇文章时,曾花了点时间测试各种不同的数据卡。Linux支持即插即用装置,所以我买了一块由Amjet生产的无跳脚数据卡,才又发现另一个令人困扰的问题。
  
  作者测试用的PC是一部老旧的486,用的是1994年版的AMI BIOS。在插上这块即插即用数据卡后,计算机便无法开机了,画面上出现的是“主硬盘发生故障”(Primary hard disk failure)。经检查,发现即插即用的BIOS居然将原应保留给硬盘控制器的15号中断,配给了数据卡。最后作者放弃了在旧计算机上使用即插即用产 品,因为不值得为这些事花时间。所以,请您注意在购买数据卡之前,先看清楚是否有调整COM1到COM4的跳脚。
  
  在作者的布告板(http://trevormarshall.com/BYTE/)上,看到有几位朋友询问是否可以用多条拨号线来改善 Internet的上网速度。这里最好的例子是128K ISDN,它同时运用两条56K通道,以达到128K的速度。当ISP提供这样的服务时,其实会配置两条独立的线路连到同一个IP上。
  
  您可以看到,虽然Linux上有EQL这类模块,可让您在计算机上同时使用两块数据卡,但除非ISP对两组拨号连线提供同一个IP,否则这两块数据卡也只是对送出资料有帮助而已。
  
  如果您拨接的是一般的ISP PPP线路,那么您会得到一个IP地址,从服务器回传的封包才能在数百万台计算机中找到您;而您每次拨入ISP时,都会得到一个不同的IP地址。
  
  你的浏览器所送出的封包中,也包含供服务器资料回传的本地IP地址。EQL可将这些外传的封包,分散到不同的ISP线路上,但当资料回传时,却只能通 过一个IP地址接收,也就是浏览器认为正在使用的那个地址。若是使用ISDN,那么ISP会处理这个问题;一些ISP会为多组线路的拨号接入提供相应的 IP地址,但价钱非常昂贵。
  
  在追求速度时,请别忽略了Linux防火墙的效率。在作者办公室有六位使用者通过“IP伪装”防火墙,去存取一部56K模拟调制解调器,工作情况十分 良好,只有在有人下载大文件时速度才会变慢。在您决定要加装多条ISP拨号线之前,可以先架设一部"IP伪装"服务器试试。Windows处理多重IP的 方式并非十分有效率,而将Windows网络与调制解调器隔开,效能的增进将会让您惊讶不已。
  
  简而言之,Linux所用的“IP伪装”法,就是把你的IP藏起来,不让网络上的其他人看到。

Google Play遭遇黑客攻击 系统两次崩溃

近日,一名黑客攻击了Google Play的应用程序发布系统,导致该系统被封锁,不能上传和更新应用程序。 周一,一名黑客攻击了Google Play(谷歌商店)的应用程序发布系统,导致该...

希拉里团队电脑系统疑遭俄黑客攻击 安全部门调查

据外媒报道,美国民主党总统候选人希拉里竞选团队的电脑系统遭到黑客攻击。调查人员披露,此次入侵事件是由获得俄罗斯政府支持的精英黑客发动的。知情者消息称,遭袭的是希拉里竞选团队用来分析数据的系统。此前,民...
  • jlangqi
  • jlangqi
  • 2016年08月03日 14:25
  • 116

C#.NET 大型企业信息化系统 - 防黑客攻击 - SSO系统加固优化经验分享

好久没写文章了,突然间也不知道写什么好了一样,好多人可能以为我死了,写个文章分享一下、证明一下自己还在,很好的活着吧,刷个存在感。    放弃了很多娱乐、休闲、旅游、写文章、看书、陪伴家人,静心默默...

TCP漏洞引来黑客对Linux系统的攻击

TCP漏洞引来黑客对Linux系统的攻击 互联网工程任务组研发了规格RFC 5961,旨在抵抗TCP的盲窗攻击,但它同时也引入了新的漏洞,且将会对安卓版智能手机以及所有Linux计算机产生威胁。 ...

如何伪装Linux系统 给黑客设置系统假象

  网络上的计算机很容易被黑客利用工具或其它手段进行扫描,以寻找系统中的漏洞,然后再针对漏洞进行攻击。   通过伪装Linux系统,给黑客设置系统假象,可以加大黑客对系统的分析难度,引诱他们步入...
  • okfei
  • okfei
  • 2011年01月28日 03:46
  • 341

Linux系统防CC攻击自动拉黑IP增强版Shell脚本

前天没事写了一个防CC攻击的Shell脚本,没想到这么快就要用上了,原因是因为360网站卫士的缓存黑名单突然无法过滤后台,导致WordPress无法登录!虽然,可以通过修改本地hosts文件来解决这个...

正在用无线键盘的你得小心了,它可能会被黑客攻击

无线键盘用起来虽然方便,但是小心它也会成为黑客攻击的目标。 一家监测网络安全公司 Bastille Network 提醒称黑客可以黑进基于无线电连接的无线键盘。 今年二月,这家公司曾发...
  • jlangqi
  • jlangqi
  • 2016年07月30日 16:42
  • 131

51CTO技术沙龙第四期:如何快速定位黑客攻击

51CTO技术沙龙第三期:关于企业安全运维的那些事儿     网络安全问题一直都是人们所关注的。我们要处理从终端到网 络的各种安全问题,谁都希望自己看看报纸喝喝茶就可以搞定所有问题。但现实可能是你...

【转帖】中新网遭黑客攻击,主域名疑被人抢注

摘要                [超级乌龙]中新网遭黑客攻击,主域名疑被人抢注 业内人士分析称,这次中新网域名有可能被其他机构抢注,之前网易服务器宕机、支付宝故障、携程瘫痪一系列窘境,让国内信...

深入理解黑客攻击-直接修改可执行文件

先给一段代码 #include int main() { int i=1; if(i!=2)  { printf("您购买的是盗版!!!\n"); return; } printf("您购买的是正...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:巧妙利用Linux系统IP伪装抵住黑客攻击
举报原因:
原因补充:

(最多只允许输入30个字)