當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

Linux防火墻偽裝抗黑客惡意攻擊

http://www.yibo1263.com　2009-12-11 9:41:50 　來源:東北IT網(wǎng) 　編輯:葉子

　　防火墻可分為幾種不同的安全等級。在Linux中，由于有許多不同的防火墻軟件可供選擇，安全性可低可高，最復(fù)雜的軟件可提供幾乎無法滲透的保護(hù)能力。不過，Linux核心本身內(nèi)建了一種稱作”偽裝”的簡單機(jī)制，除了最專門的黑客攻擊外，可以抵擋住絕大部分的攻擊行動。

　　當(dāng)我們撥號接連上Internet后，我們的計(jì)算機(jī)會被賦給一個IP地址，可讓網(wǎng)上的其他人回傳資料到我們的計(jì)算機(jī)。黑客就是用你的IP來存取你計(jì)算機(jī)上的資料。Linux所用的”IP偽裝”法，就是把你的IP藏起來，不讓網(wǎng)絡(luò)上的其他人看到。有幾組IP地址是特別保留給本地網(wǎng)絡(luò)使用的，Internet骨干路由器并不能識別。像作者計(jì)算機(jī)的IP是192.168.1.127，但如果你把這個地址輸入到你的瀏覽器中，相信什么也收不到，這是因?yàn)镮nternet骨干是不認(rèn)得192.168.X.X這組IP的。在其他Intranet上有數(shù)不清的計(jì)算機(jī)，也是用同樣的IP，由于你根本不能存取，當(dāng)然不能侵入或破解了。

　　那么，解決Internet上的安全問題，看來似乎是一件簡單的事，只要為你的計(jì)算機(jī)選一個別人無法存取的IP地址，就什么都解決了。錯！因?yàn)楫?dāng)你瀏覽Internet時，同樣也需要服務(wù)器將資料回傳給你，否則你在屏幕上什么也看不到，而服務(wù)器只能將資料回傳給在Internet骨干上登記的合法IP地址。

　　”IP偽裝”就是用來解決此兩難困境的技術(shù)。當(dāng)你有一部安裝Linux的計(jì)算機(jī)，設(shè)定要使用”IP偽裝”時，它會將內(nèi)部與外部兩個網(wǎng)絡(luò)橋接起來，并自動解譯由內(nèi)往外或由外至內(nèi)的IP地址，通常這個動作稱為網(wǎng)絡(luò)地址轉(zhuǎn)換。

　　實(shí)際上的”IP偽裝”要比上述的還要復(fù)雜一些�；旧希盜P偽裝”服務(wù)器架設(shè)在兩個網(wǎng)絡(luò)之間。如果你用模擬的撥號調(diào)制解調(diào)器來存取Internet上的資料，這便是其中一個網(wǎng)絡(luò)；你的內(nèi)部網(wǎng)絡(luò)通常會對應(yīng)到一張以太網(wǎng)卡，這就是第二個網(wǎng)絡(luò)。若你使用的是DSL調(diào)制解調(diào)器或纜線調(diào)制解調(diào)器(CableModem)，那么系統(tǒng)中將會有第二張以太網(wǎng)卡，代替了模擬調(diào)制解調(diào)器。而Linux可以管理這些網(wǎng)絡(luò)的每一個IP地址，因此，如果你有一部安裝windows的計(jì)算機(jī)（IP為192.168.1.25），位于第二個網(wǎng)絡(luò)上（Etherneteth1）的話，要存取位于Internet（Etherneteth0）上的纜線調(diào)制解調(diào)器（207.176.253.15）時，Linux的”IP偽裝”就會攔截從你的瀏覽器所發(fā)出的所有TCP/IP封包，抽出原本的本地地址（192.168.1.25），再以真實(shí)地址（207.176.253.15）取代。接著，當(dāng)服務(wù)器回傳資料到207.176.253.15時，Linux也會自動攔截回傳封包，并填回正確的本地地址（192.168.1.25）。

　　Linux可管理數(shù)臺本地計(jì)算機(jī)（如Linux的”IP偽裝”示意圖中的192.168.1.25與192.168.1.34），并處理每一個封包，而不致發(fā)生混淆。作者有一部安裝SlackWareLinux的老486計(jì)算機(jī)，可同時處理由四部計(jì)算機(jī)送往纜線調(diào)制解調(diào)器的封包，而且速度不減少。

　　在第二版核心前，”IP偽裝”是以IP發(fā)送管理模塊（IPFWADM，IPfwadm）來管理。第二版核心雖然提供了更快、也更復(fù)雜的IPCHAINS，但仍舊提供了IPFWADMwrapper來保持向下兼容性，因此，作者在本文中會以IPFWADM為例，來解說如何設(shè)定”IP偽裝”（您可至http：//metalab.unc.edu/mdw/HOWTO/IPCHAINS－HOWTO.html查詢使用IPCHAINS的方法，該頁并有”IP偽裝”更詳盡的說明）。

　　另外，某些應(yīng)用程序如RealAudio與CU－SeeME所用的非標(biāo)準(zhǔn)封包，則需要特殊的模塊，您同樣可從上述網(wǎng)站得到相關(guān)信息。

　　就是這樣！您系統(tǒng)的”IP偽裝”現(xiàn)在應(yīng)該可以正常工作了。如果您想得到更詳細(xì)的信息，可以參考上面所提到的HOWTO，或是至http：//albali.aquanet.com.br/howtos/Bridge＋Firewall－4.html參考MINIHOWTO。另外關(guān)于安全性更高的防火墻技術(shù)，則可在ftp：//sunsite.unc.edu/pub/Linux/docs/HOWTO/Firewall－HOWTO中找到資料。

　　半年來，56K模擬數(shù)據(jù)卡的價格突然跌降了不少。不過，大多數(shù)新的數(shù)據(jù)卡，其實(shí)是拿掉了板子上的控制用微處理器，因此會對系統(tǒng)的主CPU造成額外的負(fù)荷，而Linux并不支持這些”WinModem”卡。雖然Linux核心高手們，還是有能力為WinModem卡撰寫驅(qū)動程序，但他們也很明白，為了省10元美金而對系統(tǒng)效能造成影響，絕對不是明智之舉。

本新聞共2頁,當(dāng)前在第1頁 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·思科ASA防火墻精華配置總結(jié)

·Linux防火墻偽裝機(jī)制抵抗黑客攻擊

·探秘Windows 7系統(tǒng)自帶的防火墻

·防火墻基于策略路由的配置技巧

·防火墻功能分類及其局限性分析

·企業(yè)級防火墻應(yīng)做到的十件事

·用防火墻端口掃描和路徑追蹤防入侵

·防火墻設(shè)定路由訪存表防止黑客入侵

·簡單介紹Linux內(nèi)核安全入侵偵察系統(tǒng)

·使用國外Linux主機(jī)做網(wǎng)站要注意2點(diǎn)

·大企業(yè)后端使用Linux十大常見方式

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费