简捷实用的防黑手段康帕斯(中国)国际信息服务有限公司 马文骞 |
| 01-7-6 下午 02:00:55 |
| 当我们担心被黑客攻击或怀疑电脑被植入木马时,我们往往求助于防火墙。其实,避免用宰牛刀的手段有很多,本文即通过实时监控全部 TCP连接的方法来实现防黑。 |
| 一、监控 TCP连接 |
| 黑客程序或木马程序的本质是实现数据传输。TCP和UDP(用户数据文报协议)是两个最常用的数据传输协议,它们都使用设置监听端口的方法来完成数据传输。 |
| 实时监控所有端口的连接情况、及时对异常连接发出警告并提示用户删除异常连接,就可以有效地达到防黑目的。 |
| 使用微软的IP助手库函数(iphlpapi.dll)是一个捷径。其中的 GetTcpTable函数能返回当前系统中全部有效的 TCP连接。其定义为: |
| DWORD GetTcpTable( |
| PMIB_TCPTABLE pTcpTable, // buffer for the connection table |
| PDWORD pdwSize, // size of the buffer |
| BOOL bOrder // sort the table? |
| ); |
| 其中参数一是 TCP连接表缓冲区的指针,参数二是缓冲区大小(当缓冲区不够大时,该参数返回实际需要的大小),参数三指示连接表是否需要按“Local IP”、“Localport”、“Remote IP”、“Remote port”依次进行排序。 |
| 对于监控 UDP连接表,可使用 GetUdpTable函数完成。由于在使用上完全类似,这里略去讨论(后面的实例程序中也相应地略去了对 UDP的监控)。 |
| 二、异常警告及删除连接 |
| 通过定时比较前后两个 TCP连接表,我们可以立即发现异常并发出警告。后面的实例程序用声音和报警标志提醒用户注意可能的外界入侵。 |
| 收到警告信号后,我们应首先将可疑连接删除掉,然后再仔细查找系统中是否有安全漏洞或有可疑进程在工作。IP助手库函数中的 SetTcpEntry函数可以帮助我们删除可疑连接。其定义为: |
| DWORD SetTcpEntry( |
| PMIB_TCPROW pTcpRow // pointer to struct. with new state info |
| ); |
| 在调用此函数之前,应将欲删连接的状态置为 MIB_TCP_STATE_DELETE_TCB(删除)。MIB_TCP_STATE_DELETE_TCB也是目前唯一可在运行时设置的状态。 |
| 三、实例程序及其运行情况< |
最低0.47元/天 解锁文章
1414
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
