一切都围绕comodo防火墙展开

一切都围绕comodo防火墙展开 http://bbs.kafan.cn/thread-965154-5-1.html 关闭 comodo 防火墙（系统墙已禁止） 通过GRC防火墙测试网站对 0-1055 端口的测试结果如图： 关闭防火墙后，还保持隐藏的端口有：135-139，445，593 有兴趣的朋友可以关闭防火墙去扫描一下，看看是否一致，我们再来一起耍耍。 主餐介绍 此帖不是一个规则贴，仅仅是一个 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 论。就不赘言了，三个目的： 1、把除 TCP、UDP、（ICMP）之外的协议调出来，让大家讨论；更好的提高网 络通讯的安全和稳定； 2、对个别程序进行严格设置以提高安全性； 3、和大家讨论一下各种协议在网络环境中的作用，以及让大家对查看网络日志 时，对一些“奇怪的”数据包有一个认识，而不至于造成担心。 一、提取规则，挖出 ICMPv6 与“IP 细节”所隐藏着什么玄机 （一）前期准备 1、保证本地连接和宽带连接都加载了 IPv6 驱动 2、防火墙行为设置中勾选“启用 IPv6 过滤”，并确定（为了激活 IPv6 过滤机制） 并把防火墙警告级别设置为最高，原因如图中右边红色所示，目的就是产生最细 致的规则 3、在“端口隐藏”向导中，激活或再次激活第二项（为了激活 IPv6 过滤机制） 这个时候，看到 P2P 全局规则里，多了一条“阻止 IP 入从任何到 MAC 任何当协 议是 ICMPv6”。看来，comodo 还没有为 IPv6 时代的到来做好充分准备。 4、下图是 comodo 安装后默认的防火墙程序网络控制部分的规则。如图： 它们是从 D+的程序规则中由 comodo 安装后自动导入到防火墙程序控制部分。 紫色框定的就是防火墙程序控制部分的三个程序组；红色框定的是经常进行网络 通讯的程序或服务。如图： 先别冒进，摸着石头过河，系统程序是最容易“出状况”的地方，那么把默认的防 火墙网络规则里的“Windows 系统升级程序”、“windows 系统程序”的网络规则修 改为询问 IP 出入站。如图： （二）启动进入系统，介绍提示框 准备工作已就绪，要做的就是重新直接重新启动系统。 1、再次进入系统时，跳出询问框 主程序：Svchost.exe ADSL 拨号上网的外网用户，禁止该通讯，内网应该允许通讯。 这个过程就是通过 DHCP 协议（动态主机配置协议）自动获取内网服务器动态 分配的 IP，前提是需要有一个局域网，如家庭内部网络。源 IP 为 0.0.0.0 或 :: 这 两个分属于 IPv4 与 IPv6 的地址表示，此时本机局域网地址未获得分配，它们地 址不是真正意义上的 IP 地址。而这里的 IP:255.255.255.255 和 ff02::1:2 的地址是 限制广播地址，网内所有主机的意思，而并不是具体远程地址。 端口号 68 对应 546 67 对应 547，系统没有加载 IPv6，就不会有第二个提示框， 一次启动电脑到关机过程，只会有一个提示框出现，这里拿出来，仅作对比。 ff02::1:2 = ff02:0:0:0:0:0:1:2 = 255.255.255.255(私有广播地址) 2、主程序：Svchost.exe 没有加载 IPv6 协议驱动，不会有第二个提示框。一次启动电脑到关机过程，只 会有一个提示框出现，这里拿出来，仅作对比。 内网的朋友，需要允许此两项 上面两个提示框显示通过 UDP 协议访问 IP224.0.0.252 的 5355 端口，这是一个 通过链路多播的名称解析（Link-local Multicast Name Resolution），协议允许 IPv4 和 IPv6 主机，执行在同一个本地连接的主机名称解析。相当于局域网中 IPv4 与 IPv6 之间的地址解析的"DNS"，不同的就是“多播”与"单播"的区别。图中分别是 IPv6 和 IPv4 的地址。该通讯的作用也仅限于内网。 ff02::1:3 = ff02:0:0:0:0:0:1:3 = 224.0.0.252(组播协议地址) 3、主程序：Svchost.exe 路由器内网用户需要允许 可以从图中看到 mcast（多播）一词，本地管理组的范围是 239.0.0.0 - 239.255.255.255，用于私人组播领域，而 239.255.255.250 就属其中。 P2P 下载时，会为客户端自动映射端口，UPNP 协议规则基础上的 PC 机和智能 设备常见对等网络连接的体系结构，尤其是在家庭中。比如：支持 upnp 的路由 器和 Wi-Fi 和 802.11B 无线网络的连接等，应用范围太广泛。功能上的强大和安 全上的虚弱共存，可以通过在系统“服务”中禁止 SSDP 服务和 Universal Plug and Play Device Host 两项服务， 以关闭 1900 端口，但那样，就会无法搜索到 upnp 设备，以后随着即插即用和家庭智能产品用户大幅增加，可能随口就让用户关闭 此两项服务的说法将叫停， 就如现在看若干年前随口建议用户“关闭防火墙”、 关闭”QoS 数据包 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 程序“、”关闭桌面视觉效果，以提升系统性能“那样搞笑。 4、系统服务：System 内网禁止 System 出站的朋友，需要添加此项规则 IGMP 代表 internet 组管理协议，处于在网络层和链路层工作状态。该协议被 IPv4 系统用于向邻接的多播路由器 报告 软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载 组成员的关系。224.0.0.22 代表所有的 IGMP 路由器。 禁止该项就禁止了 IGMP 在内网的实现该组协议对邻接 IGMP 路由器的报文。当 然，不代表关闭 IGMP 对其他网络下的其他种类路由器和主机的报文，当然，除 非电脑处于复杂的网络环境，面对不同的网络、路由器等条件下。 为什么不代表关闭整个 IGMP 工作状态？举个例，如图： 此图中，能够说 IP细节阻止了 192.168.0.88-192.168.0.254的局域网 IP范围的TCP 通讯，就是阻止了整个 TCP 协议的通讯吗。显然不能这样看。 话分两头说，如果浏览器阻止通过 TCP 协议访问 web 服务器 80、443 端口呢。 它当然没有禁止浏览器全部功能，那就只有与 web 服务器之外的如 FTP 等主机 建立通讯（很多浏览器的功能都扩展），那么浏览器就要改名字了。 所以作为一般路由器内网的用户，当禁止 system 通过 IGMP 协议与 ICMPv6 协 议通过 224.0.0.22 协议地址向网内的 IGMP 路由器报文，那么在内网的组管理功 能就基本丧失了。 （三）连接互联网介绍提示框 1、系统服务：System IP 细节是否允许该组播协议。尽管是 ADSL 拨号后产生的提示框，但只是用于 内网，因为该组播协议地址显示的是 ff02::16，“ 翻译 阿房宫赋翻译下载德汉翻译pdf阿房宫赋翻译下载阿房宫赋翻译下载翻译理论.doc ”成 IPv4 地址也就是 224.0.0.22，属于只支持内网的组协议范围。内网限制出站的朋友需要添加该规 则。阻止它就关闭了 ICMPv6 协议的 IGMP（Internet 组管理协议）对所有 IGMP 路由器的报文功能。同时，也要看 IGMP 协议是否能够代替 ICMPv6 在 224.0.0.22 组协议下的全部工作。当然，除非你处在不同网络不同类型路由器等条件下。问 题同上。 注意看，该图与再上一图中的组播地址协议都是显示的 224.0.0.22，因为新的 ICMPv6 中嵌入了对 IPv4 协议中 IGMP 的支持。也能够工作在网络层和链路层之 间。 ff02::16 = ff02:0:0:0:0:0:0:16 = 224.0.0.22（组播地址） [ff02::16]这个地址是 IPv6 协议下的地址格式也就是 IPv4 中的 224.0.0.22 ，16 进 制中的 16 就是 10 进制的 22 2、程序：Svchost.exe 穿隧协议是最基本 IPv4资源和 IPv6资源进行通信所必需的协议。激活了 ICMPv6 的朋友，不需阻止，如果规则设置过严，最好把其加入到规则。当然，现在的 windows7 都有对 IPv6 IPv4 两个协议的支持；XP 系统（如果没有装 IPv6 协议驱动） 需要用穿隧协议访问 IPv6 资源。 但这里需要介绍一下： 为了连通 IPv6 互联网，一个孤立主机或网络需要使用现存 IPv4 的基础设施来携带 IPv6 封包。这可由将 IPv6 封包装入 IPv4 封包的穿隧协议来完成，实际上就是将 IPv4 当成 IPv6 的链接层。 IP 协议号码的 41 号用来标示将 IPv6 数据讯框直接装入 IPv4 封包。IPv6 亦能将入 UDP 封包，如为了跨过一些会阻挡协议 41 交通的路由器或 NAT 设备。其它流行的封装 机制则有 AYIYA 和 GRE（IP 细节识别号为 47）。 而 IP:192.88.99.1 是 IANA（国际互联网代-理成员管理局）规定的保留地址 6to4 隧道地 址（范围是 192.88.99.0-192.88.99.255），就如同国际互联网组织规定的 0-1023（保 留）端口一样。 估计很多朋友（包括我）经常看到阻止 ICMP 细节"端口不可达"（类型为 3，代码为 3）,出现这样日志的其中一部分原因就是因为阻止了该协议。 3、下图是刚才允许上述提示框后产生的规则，svchost.exe 与 system“脱离组织”，单 独生成两个规则组。 4、在 ICMPv6 协议中，IPv4 组成员协议（IGMP）的多点传送控制功能也嵌入到 ICMPv6 中。 那么就很有可能 IP 地址通过映射本机链路层 MAC 来控制 internet 环境中的对数据传输和消 息的控制和报文。那么建议用户在防火墙设置中对 ICMPv6 以及 IGMP 的通讯绑定 MAC 物 理地址。下面，就来做下验证： 之前出现的“IP 细节为 ICMPv6，是否加入 224.0.0.22 的组协议”的提示框出现后，产生了规 则，把该规则的源地址改为 MAC 物理地址。如图： 断网，再拨号连接网络。然后进入日志选择性查看。通过下图，可以看出，在绑定 MAC 地 址后，测试顺利通过。 由此看来，ICMPv6 是工作在网络层和链路层，至少嵌入的 IGMP 协议部分，是 工作在网络层与链路层。ICMPv6 在控制消息报文中，是否首先就通过对宽带 IP 地址或本地连接 IP 地址的报文，出现地址差错或地址欺骗，再去映射物理地址 （如 ARP 协议），还是首先就直接 通过这两个地址去映射 MAC 物理地址。如 果是后者，那么证明了 ICMPv6 的安全性，对 ICMPv6 和 IGMP 是否需要绑定就 值得商榷。 如果是前者呢！那将是以上规则提取的最大实用价值所在！在搞不清状况的前提 下，用户自己通过 comodo 做一下 MAC 物理地址的绑定，看来还是很有必要的。 这里也印证规则设置里 MAC 物理地址选项存在的和合理性。 当然，组协议不仅仅针对内网，而是整个互联网这个大框架，但在一个拓扑网络 结构中，有无数不同类型的网关、 路由器、主机作为网络传输的节点，IGMP 更多出现在这样的使用环境中，几乎绝大多数内网外网的组播协议地址，可能不 是我们处于网络架构中最边缘的一般 adsl 拨号用户和内网用户所能碰到的。 5、这下知道了一个程序规则中，简单的“允许或禁止 IP 出入”里，竟有那么多问 题，“内有乾坤”。那么，上 面的一切提示框中对 ICMPv6、IGMP 的显现，仅仅 只是发生在 system 和 svchost.exe 以及“windows 系统程”序身上吗，还有其他 程 序呢。（当然，这样的情况一般不会发生，这里只做验证、思路和方法） 把刚才“windows 系统升级程序”和“Windows 系统程序”的规则由询问所有 IP 出 入并记忆规则，修改为询问所有 TCP/UDP 出入，并记录。 把在 D+文件夹文件保护的组中把所有程序（*）添加到防火墙程序规则中，移动 到规则最下方， 并添加进除 TCP、UDP、TCP/UDP、ICMP 之外的所有“IP 细节”， 如 ICMPv6、IGMP、GRE 等，规则都选记录日志。并可临时作为防火 墙程序网 络控制部分在不同网络环境收集不同协议的开关。单一的网络，根据自己的路由 器类型和主机，收集完并建立规则后，可以关闭。 如图： 6、一会单播广播、一会多播组播，绕得人脑子有点乱。这里来理清一下思路： 拷贝一段 单播是：有具体目标地址的帧从源到达目标地址的过程。比如你对小月喊“小月”， 那么只有小月答应你 多播（组播）：就是帧送往定义在一组内的地址。比如你喊：“是男人都过来一 人发一百块钱”。哪么男的都会过来女的就不会过来因为没有钱发她不会理你 广播：就是把帧发往所有能到达的地址。比如学校的广播中喊“今天放假”。哪么 全校的同学都会响应，大叫爽死了。 ========================================================== “单播”（Unicast）、“多播”（Multicast）和“广播”（Broadcast）这三个术语都是 用来描述网络节点之间通讯方式的术语。那么这些术语究竟是什么意思？区别何 在？ ——★单播★—— 网络节点之间的通信就好像是人们之间的对话一样。如果一个人对另外一个人说 话，那么用网络技术的术语来描述就是“单播”，此时信息的接收和传递只在两个 节点之间进行。 单播：一对一 单播在网络中得到了广泛的应用，网络上绝大部分的数据都是以单播的形式传输 的，例如，你在收发电子邮件、浏览网页时，必须与邮件服务器、Web 服务器 建立 连接，此时使用的就是单播数据传输方式。但是通常使用“点对点通信” （Point to Point）代替“单播”，因为“单播”一般与“多播”和“广播”相对应使用。 ——★多播★—— “多播”可以理解为一个人向多个人（但不是在场的所有人）说话，这样能够提高 通话的效率。如果你要通知特定的某些人同一件事情，但是又不想让其他人知道， 使用电话一个一个地通知就非常麻烦，而使用日常生活的大喇叭进行广播通知， 就达不到只通知个别人的目的了，此时使用“多播”来实现就会非常方便快捷，但 是 现实生活中多播设备非常少。 广播和多播仅应用于 UDP，它们对需将报文同时传往多个接收者的应用来说十 分重要。TCP 是一个面向连接的协议，它意味着分别运行于两主机（由 IP 地址 确定）内的两进程（由端口号确定）间存在一条连接。 考虑包含多个主机的共享信道网络如以太网。每个以太网帧包含源主机和目的主 机的以太网地址（48 bit）。通常每个以太网帧仅发往单个目的主机，目的地址 指明单个接收接口，因而称为单播(unicast)。在这种方式下，任意两个主机的通 信不会干扰 网内其他主机（可能引起争夺共享信道的情况除外）。 然而，有时一个主机要向网上的所有其他主机发送帧，这就是广播。通过 ARP 和 RARP 可以看到这一过程。多播(multicast) 处于单播和广播之间：帧仅传送给 属于多播组的多个主机。 为了弄清广播和多播，需要了解主机对由信道传送过来帧的过滤过程。 本地链接地址：224.0.0.0～224.0.0.255，用于局域网，路由器不转发属于此范围 的 IP 包 预留组播地址：224.0.1.0～238.255.255.255，用于全球范围或网络协议 管理权限地址：239.0.0.0～239.255.255.255，组织内部使用，用于限制组播范围 224.0.0.0 － Base address 224.0.0.1 － 网段中所有支持多播的主机 224.0.0.2 － 网段中所有支持多播的路由器 224.0.0.4 － 网段中所有的 DVMRP 路由器 224.0.0.5 － 所有的 OSPF 路由器 224.0.0.6 － 所有的 OSPF 指派路由器 224.0.0.7 － 所有的 ST 路由器 224.0.0.8 － 所有的 ST 主机 224.0.0.9 － 所有 RIPv2 路由器 224.0.0.10 － 网段中所有支的路由器 224.0.0.11 － Mobile-Agents 224.0.0.12 － DHCP server / relay agent. 224.0.0.13 － 所有的 PIM 路由器 224.0.0.22 － 所有的 IGMP 路由器 224.0.0.251 － 所有的支持组播的 DNS 服务器 由上所述，得出结论，不同类型的路由器、主机类型、以及网络环境，对应了不 同的组播协议地址，通过对这些主机和路由器之间报文，协议组内主机，按协议 组通过组播（组内的多播）的形式发来所需的数据。 这是组播地址列表 http://jujiong.blog.163.com/blog/static/737072822010425103559449/ 二、如法炮制，继续提取 （一）通过扫描测试，看看系统作为客户端是否存在隐患 1、 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 检查系统 看看哪些是需要提供服务的程序。以管理员身份运行cmd.exe命令提示符，输入 netstat -abn（通过查找监听端口和后台服务，以做到有的放矢） 看看哪些系统程序开放了哪些相对应的监听端口以及服务。启用这些监听端口的 程序分别是： wininit.exe(49152) svchost.exe的eventlog服务(49153) svchost.exe调用的schedule计划任务服务（49154） lsass.exe(49156)、 services.exe(49157) svchost.exe(135) 无法获取所有权信息的某个程序（445） 迅雷网络诊断程序XLDoctor.exe（33673）——》看，这个程序调用svchost.exe 执行，如果是木马呢！后面我们再耍耍。 2、采取策略 把防火墙行为中的“警告提示”设置为中级。 上述程序可以手工添加到规则，并设置其TCP/UDP规则，但这样有点麻烦，接 下来，就进入PCflank防火墙测试网站我或GRC测试网站，针对上图中的监听端 口进行扫描，并在扫描过程中，提示框提示入站请求时选择阻止并记忆，阻止是 为了不让电脑通过TCP/UDP连入被作为服务端。 这就是防火墙扫描测试过程中跳出的提示框。跳出提示框的还有wininit.exe、 system、svchost.exe、lsass.exe、services.exe 提示：作为单机外网用户，当防火墙提示框出现“××程序 正试图接收来自 INTERNET 的连接”的提示时，有两层表述：（1）就是告诉你你是否需要把电脑 作为服务端而开放某项服务给对方作为共享；（2）就是看安全提示和文件名字， 看是不是你所熟悉的程序，如果不熟悉，拦截！ 再看这个例子，入站时，windows operating system 本身就代表了无法探测连接背 后的真正进程，并作为非法数据包的统称，代表已被过滤掉。但当报 windows operating system 出站时，就要相对警惕一下了，这层意思就是防火墙连出时， 连建立连接的发起程序都查不到！ 从文本框的提示来看，嗅探器不是本机的嗅探器软件而是木马，那就相当凶险了。 如图： 3、下图是网站防火墙测试后阻止记忆产生的规则。 4、对以上程序禁止连网（单机） 现在把刚才除 svchost.exe、system 除外的其他系统文件 lsm.exe、lsass.exe、 service.exe、 explorer.exe、wininit.exe、taskhost.exe 这几个文件在 D+的“文件夹 文件保护”里分组，再在防火墙规则中导入，禁止 TCP/UDP 协议入站。把刚才 除 svchost.exe、system 除外，其他程序产生的规则删除。 （二）防火墙全局规则里的设置 1、以上工作做完后，可以考虑全局规则中添加进这些协议的规则，起到简化规 则的作用；更方便做全局统筹安排；一定程度的加强系统安全性，比如对于 ICMP 协议的类型和代码，除了程序发起的那一刻能够控制，比如 ICMP 回显请求消息 （类型为 8，代码为 0），也许还有时间戳请求（13，0）、信息请求（15， 0）、 掩码请求（17，0）等，但不知道用到这样请求的都有哪些程序，我想黑客程序 有很多在干这事。一旦允许，ICMP 在程序控制部分是控制不了的，只有 在全 局进行过滤。 下面就来做这个工作，就上面那条 ICMPv6 提示框和规则，就不仅仅是 system 需要，dwm.exe 也同样需要，如果有更多的程序需要发起 ICMPv6 和 IGMP 协议 对 IGMP 路由器报文时，就完全有理由把“IP 细节”为 ICMPv6 通过本地 MAC 物 理地址 访问“远程” IP224.0.0.22 或[ff02::16]添加到全局规则里去。并在程序控制 部分里删除该规则，并恢复“允许所有 IP 出”，甚至恢复程序控制部分的 初始状 态。如图： 下图是网络 OSI 7 层模型 到这里，关于所有 IP 出入背后的故事就暂时告一段落。 三、增加系统安全性相关杂谈 （一）对 Svchost.exe 采取“双规” svchost.exe 需要严格限制一下，我现在有点发觉，她就像个婊子，哪个都在用。 那就陪它耍耍。（摘自《让子弹飞》） 1、限制 这个程序网络功能主要是在于升级，时间同步，如果有其他的举动，一般默认设 置条件下，是很难发现问题的。要让其访问升级服务器，如果不指向微软升级资 源，那么木马也很可能利用 80、443 端口把数据传送到黑客那儿。 以下就来对这个程序进行一些限制。（单机 32 位 windows7） 上图中，我只让它更新系统和时间同步 2、指向访问主机和 IP 范围的技巧 关于微软更新主机，和 IP 范围如何找到呢。根据不同 ISP 服务商，也许部分资 源 IP 范围不同，我仅仅只能说出方法。 如图： 升级主机中，www .microsoft.com与 www.update.microsoft.com是必须的。 而下面的一些IP段，是通过升级中遇到的问题和阻止访问 80 端口的日志中，提 出来然后到IP WHOIS查询中找到的IP范围。升级资源的这些地址，都是联通一 些其他省市分公司的资源服务器里的。（有点奇怪！） WHOIS查询网站如下： http://tool.chinaz.com/ 里面说到的时间同步主机，可以从控制面板中的时间日期里找到 把这些资源主机名和 IP 范围编到组里后，在规则里通过网络区域导入就可以了。 （二）拦截区域的困惑 上面提到主机名，就想起了一个问题，很多朋友说区域拦截里添加了网页，但还 是能进入那个 web 页面。 这里要说的是，网页和主机名根本就不是一回事。纯粹的个人防火墙，过滤的依 据是：源 IP 地址、目标 IP 地址（域名查找）、源端口、目标端口、协议、方向、 程序。 而网页是一个资源定位符（url），也称为网址，它也许在一个 IP 对应的百度 web 服务器里，也可能在我的硬盘里，和 IP 根本就是两码事。URL 主体由三部分组 成：协议类型，主机名和路径及文件名。当然还有很多参数和具体路径等。 举个简单的例子 http:// www. baidu. com/，这里的 http：//表示通过 http 协议访问 该资源；www .baidu. com 就表示主机，这个才是我们要填入区域拦截里的东西。 涉及到同一资源定位符（网页），大家可以去“百度”。 一切都围绕comodo防火墙展开