史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 多媒體影音轉檔燒錄技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2003-08-17, 12:12 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 MSBlast蠕蟲快速解決方案

MSBlast蠕蟲快速解決方案

0. MSBlast蠕蟲
別名: W32/Lovsan.worm.a(NAI), W32.Blaster.Worm (Symantec), Win32.Poza (CA),
WORM_MSBLAST.A (Trend)
影響系統:
Windows 2000 (SP1-SP4)
Windows XP (SP0-SP1)
Windows 2003

1. 現象
1.在C:\winnt\system32目錄下存在msblast.exe文件;
2.在註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中存在以下鍵值:
"windows auto update"="msblast.exe"
3.使用netstat -na可以看到本級開放udp 69(tftp)連接阜 和 tcp 4444(cmd.exe後門)連接阜;
4.系統崩潰,顯示藍色或自動重啟,並可以看到""字樣。
5.網路資料流量忽然變大,並可以發現大量有本機發出的tcp 135/4444連接阜和udp 69連接阜流量。

2. 原因
在Microsoft Windows系統中有一個核心服務RPC/DCOM服務,監聽在TCP 135連接阜,這個服務中存在一個遠端
緩衝區溢出漏洞,可以被攻擊者利用遠端以SYSTEM權限執行一條指令。詳細請參見M$安全公告M$ 03-026:
http://www.microsoft.com/technet/tre...n/MS03-026.asp

msblast蠕蟲就是利用這個漏洞進行傳播,所有未打修正檔的2000和XP系統都會被感染,由於程式碼工作不穩定,
Windows 2003和一部分XP系統會顯示藍色和自動重啟。蠕蟲首先攻擊目標系統的rpc服務,成功之後會在目標系統上
開放4444連接阜並且綁定cmd.exe作為後門;然後通過遠端執行指令下載病毒主體msblast.exe,存放在%systemro
ot%\system32目錄下;並且增加兩個註冊表鍵值使病毒每次啟動後會自動執行;其後病毒在被攻擊主機上啟動msblast
程序,並按照隨機位址需對其他主機發起攻擊和傳播;當滿足一定條件時(1-8月的15日以後和9-12月每天)會對微軟
在線昇級站點(windowsupdate.microsoft.com)進行持續的拒絕服務攻擊。

目前此蠕蟲已經出現多個變體,危害將會持續擴大。在手動查殺的程序中也需要加以注意。
teekids.exe (5,360 bytes)
penis32.exe (7,200 bytes)


3. 處理步驟
3.1 搜尋
本文假設當您看到這篇文章時已經或正在受到蠕蟲的危害,因此把分析網路中的傳播路徑和主機作為第一步驟。
在主機數量不多的情況下,可以依次使用3.2節說明的單機查殺工具進行查殺,或者採用手動搜尋和殺除的方法。
但是如果企業網路規模巨大,主機和伺服器數量眾多的話,手工搜尋顯然是相當不明智的,因為蠕蟲的攻擊和傳播
都會通過網路進行這時候可以採用網路監聽分析的方法進行大規模的分析和搜尋。

3.1.1 網路分析搜尋
在大規模的網路環境中,一台台的作主機檢查是一件工作量相當可觀的工作,我們可以通過網路分析的方法快速
得出目前網路中蠕蟲分佈的概況,採用的工具為各種網路分析工具,嗅探器,或網路IDS。

3.1.2 網路環境設定
在共享以太網環境(HUB)中,我們可以簡單的通過網路分析搜尋出目前網路中蠕蟲的分佈狀況;在交換式以太網中
(使用交換機),我們需要對交換機做一些設定,開啟SPAN(Monitor)功能,把所有的資料量鏡像到一台主機中作
分析。這裡只給出幾種一般交換機的配置方法:

Cisco IOS(12.0, 2900/3500XL):
==
interface dest_mod/dest_port
port monitor src_mod/src_port
==

Cisco IOS(12.1,2950/3550):
==
monitor session 1 source interface fastEthernet dest_mod/dest_port
monitor session 1 destination interface fastEthernet dest_mod/dest_port
==

Cisco CatOS(6.x,2948G/4000/5000/6000):
==
set span <src_mod/src_ports...|src_vlans...|sc0> <dest_mod/dest_port> [rx|tx|both]
==

3COM:
==
feature (或system)
=> analyzer
=> add 源連接阜
=> add 目標連接阜
=> start
==

Foundry servIron:
==
mirror-port ethernet dest_mod/dest_port
interface ethernet src_mod/src_port
monitor both
==


3.1.3 分析工具
如果設定好了上面所需的網路分析環境,我們就可以很簡單的使用Nai Sniffer Pro或WildPackets
EtherPeek NX進行蠕蟲路徑和當前感染狀態分析。(分析軟體需要安裝在網關或中心交換機上)
我們已經準備好了SnifferPro和EtherPeek的msblast蠕蟲過濾規則,只要在分析工具中匯入filter,
然後針對這條規則開啟抓包分析功能,當前網路中的所有感染主機源和被感染主機都會被自動分析提取出來,
並且在軟體的expert系統中進行報警,在Matrix狀態圖中也可以看到。

3.1.3.1 Sniffer Pro分析
Sniffer Pro MSBlast Filter下載位址:
http://www.freedemon.org/network/msb...fer.Filter.rar

在SnifferPro Filter定義功能表中選項匯入filter,然後新增一個分析工作,選項blast filter,進
行抓包分析。當前的感染情況可以在Matrix圖版中看到,再expert系統中可以看到詳細的主機位址報警情
況。

3.1.3.2 EtherPeek 分析
EtherPeek NX 下載位址:
http://www.freedemon.org/network/msb/etherpeek.nx2.rar
EtherPeek NX MSBlast Filter下載位址:
http://www.freedemon.org/network/msb...eek.filter.rar

在EtherPeek NX的View->Filter功能表中開啟filter定義視圖,選項import filter匯入msblast filter
注意不要選項刪除以前的filter;然後新增分析工作,開始抓包分析。同樣可以在Matrix中看到網路狀態,在
expert 面版 和 log視窗中可以看到攻擊信息的報警。

3.1.3.3 tcpdump簡單分析
如果你使用Linux/BSD或其他Unix平台作為分析平台,或者你有一個Linux/Unix平台的防火牆/網關,可以
使用TCPdump做一個簡單的分析。在你安裝了tcpdump和libpcap的情況下,使用如下指令:

# tcpdump udp dst port 69 or dst port 135 or tcp dst port 4444

[附]可以使用tcpdump -w filename將捕獲的資料包儲存到文件中,然後在windows下使用etherpeek工具集
進行轉換和分析。

3.1.3.4 使用IDS系統進行分析
目前很多入侵檢測系統(IDS)已經能夠準確檢測msblast攻擊和蠕蟲傳播,可以使用這些網路IDS系統進行網路的
監控和預警。


3.2 殺除
當前各大殺毒軟體廠商基本上都已經在最新的病毒特徵程式碼庫中納入了MSBlast當前版本的查殺功能,可以
通過把殺毒軟體再現昇級到最新版本,然後進行本機查殺。如果Internet網路連接不能使用的話,(症狀為IE
瀏覽器無法開啟頁面)我們首先需要恢復系統RPC/DCOM服務,方法為 開始選單->執行->services.msc ,
執行之後,將會彈出windows系統服務配置管理器,找到Remote Procedure Call (RPC)一行,重新啟動這
個服務。

NAI/McAfee用戶昇級到最新的4080程式碼庫後,McAfee AntiVirus/NetShield可以查殺msblast蠕蟲;
TrendMicro用戶可以在如下位址下載msblast專殺工具(必須安裝TrendMicro產品,或使用附加元件);
http://www.trendmicro.com.cn/vinfo/v...WORM_MSBLAST.A


3.2.1 這裡推薦使用Symantec的msblast專殺工具,可以在多種系統下很好的清除當前版本的msblast.a病毒。

下載位址:
http://securityresponse.symantec.com...r/FixBlast.exe
在我們的msb應急恢復包中也有一份存檔,下載位址:
http://www.freedemon.org/network/msb/fixblast.rar

使用方法:
下載之後可以直接在本機執行(必須以Administrator或等同身份登入),然後點擊start開始查殺,執行之
後將會終止W32.Blaster.Worm蠕蟲工作,刪除病毒主文件和註冊表鍵值。查殺之前建議先中斷連線網路連接,
並且進行本機查殺,不建議通過網路共享殺除。

其他選項:
/HELP, /H, /? 顯示說明 信息;
/NOFIXREG 不修復註冊表;
/SILENT, /S 靜默模式;
/LOG=<th name> 信息記錄日誌;
/MAPPED 映射網路驅動器進行查殺;
/START 強制自動啟動查殺工作;
/EXCLUDE=<th> 排除搜尋路徑;

[附]手工清除辦法
如果由於條件所限無法使用工具清除的話,可以採用如下步驟手工清除:
在工作管理器中強制停止msblast.exe;
刪除%systemroot%\system32目錄下的msblast.exe文件;
刪除註冊表鍵值: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
="windows auto update"="msblast.exe"
下載並安裝MS最新修正檔http://www.microsoft.com/technet/sec...n/MS03-026.asp


3.3 補救和預防
由於msblast蠕蟲傳播的根本途徑是通過網路對系統缺陷進行攻擊進行的,所以要預防msblast蠕蟲也不是
什麼難事,我們可以從網路和主機防護兩個方面入手進行預防。

3.3.1 單機預防
蠕蟲針對的缺陷是微軟windows平台RPC/DCOM服務遠端緩衝區溢出漏洞,這個漏洞影響windows nt體系的
所有平台,堪稱電腦歷史上(到目前為止)危害最大的漏洞,修補方法有兩種:

3.3.1.1 通過網路防火牆/個人防火牆或者系統自身的ip包過濾功能進行連接阜訪問禁止。在win2000/xp/2003系統
中,除了各種商用防火牆和個人防火牆以外,系統自身的幾種資料過濾方法也可以很好的實現這種效果。
(TCP/IP篩選,IPSEC原則和RSAS訪問原則都可以很好的實現。)考慮到通用性,易用性和安全性等各個方面
我們在這裡推薦使用IPSEC原則進行連接阜過濾。IPSEC過濾規則可以在系統本機安全原則編輯器secpol.msc
中進行定義,這裡我們使用MS的一個指令行工具進行方便的定制。

從http://www.freedemon.org/network/msb/ipsecpol.rar下載一個工具包,並且把所有文件解壓到
%systemroot%\system32 (一般是 C:\winnt\system32\) 目錄下,然後執行入下指令:

IPSecPol -w REG -p "secuDEMO"
IPSecPol -x -w REG -p "secuDEMO" -r "Block 593/TCP" -n BLOCK -f *:*+0:593:TCP
IPSecPol -x -w REG -p "secuDEMO" -r "Block 445/TCP" -n BLOCK -f *:*+0:445:TCP
IPSecPol -x -w REG -p "secuDEMO" -r "Block 445/UDP" -n BLOCK -f *:*+0:445:UDP
IPSecPol -x -w REG -p "secuDEMO" -r "Block 139/TCP" -n BLOCK -f *:*+0:139:TCP
IPSecPol -x -w REG -p "secuDEMO" -r "Block 139/TCP" -n BLOCK -f *:*+0:139:UDP
IPSecPol -x -w REG -p "secuDEMO" -r "Block 137/UDP" -n BLOCK -f *:*+0:137:UDP
IPSecPol -x -w REG -p "secuDEMO" -r "Block 135/TCP" -n BLOCK -f *:*+0:135:TCP
IPSecPol -x -w REG -p "secuDEMO" -r "Block 135/UDP" -n BLOCK -f *:*+0:135:UDP

重新啟動系統之後,就可以匯入IPSEC連接阜防護規則,本規則集將禁止遠端主機連接135/139/445/593等連接阜,
這些均是可能遭受RPC/DCOM遠端溢出攻擊的危險連接阜。使用上面的規則之後就可以防止MSBlast蠕蟲感染本主
機,但是這種方法有一個缺點,就是同時你的所有網路共享也將失效。

[副作用]無法使用網路共享。


3.3.1.2 一個更為合理的解決方案就是安裝微軟的最新安全修正檔MS 03-026,可以在如下位址下載,或通過在線昇級
進行安裝。重新啟動系統之後生效。

MS03-026:
[url]http://www.microsoft.com/technet/security/bulletin/MS03-026.asp︴/url]^

下載位址:
Windows NT 4.0 Server:
http://microsoft.com/downloads/detai...displaylang=en

Windows NT 4.0 Terminal Server Edition :
http://microsoft.com/downloads/detai...displaylang=en

Windows 2000:
http://microsoft.com/downloads/detai...displaylang=en

Windows XP 32 bit Edition:
http://microsoft.com/downloads/detai...displaylang=en

Windows XP 64 bit Edition:
http://microsoft.com/downloads/detai...displaylang=en

Windows Server 2003 32 bit Edition:
http://microsoft.com/downloads/detai...displaylang=en

Windows Server 2003 64 bit Edition:
http://microsoft.com/downloads/detai...displaylang=en

[副作用]當前修正檔並沒有修復這一系列漏洞中的全部,可能需要1中的方法進行輔助防護,並且等待以後安裝更新修正檔。

3.4 網路防護
我們可以在企業網路的邊緣進行連接阜過濾,阻止蠕蟲和其他攻擊者對上述具有危險性的網路連接阜進行訪問,
控制手段可以採用個人防火牆(針對撥號和寬帶個人用戶),企業防火牆(企業和團體用戶)或者路由器訪問
控制列表(沒有防火牆保護的企業用戶)。

大部分的商用防火牆都具有良好的圖形界面和規則配置方法,只要在防火牆中增加規則 禁止 訪問如下連接阜
就可以了:
TCP/135
UDP/135
TCP/139
UDP/139
TCP/445
UDP/445
TCP/593
UDP/593
UDP/137
UDP/138
TCP/4444
UDP/69

這裡給出兩個範例,分別是Linux iptables和Cisco Router IOS Access-List:
==Linux Iptables Deny MSBlast==
# iptables -A INPUT -p tcp --dport 135 -j REJECT
# iptables -A INPUT -p udp --dport 135 -j REJECT
# iptables -A INPUT -p tcp --dport 139 -j REJECT
# iptables -A INPUT -p udp --dport 139 -j REJECT
# iptables -A INPUT -p tcp --dport 445 -j REJECT
# iptables -A INPUT -p udp --dport 445 -j REJECT
# iptables -A INPUT -p tcp --dport 593 -j REJECT
# iptables -A INPUT -p udp --dport 593 -j REJECT
# iptables -A INPUT -p udp --dport 137 -j REJECT
# iptables -A INPUT -p udp --dport 138 -j REJECT
# iptables -A INPUT -p udp --dport 69 -j REJECT
# iptables -A INPUT -p tcp --dport 4444 -j REJECT
==Linux Iptables Deny MSBlast==
[注意] Linux Iptable可以使用-i ethx參數指定只在外部網路接頭上過濾,提高規則的準確性。

==Cisco ACL Deny MSBlast==

# access-list 101 deny tcp any any range 135 139
# access-list 101 deny udp any any range 135 139
# access-list 101 deny tcp any any eq 445
# access-list 101 deny udp any any eq 445
# access-list 101 deny tcp any any eq 593
# access-list 101 deny udp any any eq 593
# access-list 101 deny tcp any any eq 4444

==Cisco ACL Deny MSBlast==
[注意] Cisco Router不能deny udp/69 TFTP連接阜,否則會造成一定的管理風險。


=============: 補: Faint 啦,竟然有人說我這不是快速解決方案! :================
=============: 補: Faint 啦,竟然有人說我這不是快速解決方案! :================

自己看了看,是有點冗長,好吧,學學獨孤老兒,提煉一下,看劍。

抓:
所謂抓,就是你的網路已經掛了,要快速找到已經感染了蠕蟲的機器,怎樣最快呢?前面說了每台
登入搜尋是不現實的,而採用網路掃瞄等方法來搜尋,除了被攻擊之後的主機DCOM服務停止無法
回應導致嚴重誤報之外,病毒傳播和二次攻擊導致的流量堵塞也成為主動搜尋的一個制約因素,因此
這裡推薦的大規模搜尋方法就是通過監聽(網路分析)進行搜尋,原理很簡單,通過交換機的SPAN功
能分析和過濾網路上的所有蠕蟲傳播流量,當然了最大的局限性就是你的網路太便宜機種---很多的交換
機是不支持SPAN功能的,或者只是有限支持(在上面列出的幾種都可以很好的完全支持)。這個之後
只能在企業邊緣網關上作分析,但是準確度會大大降低。

又說了很多廢話,開始。
*劍一: 網路設定
首先你得找到一個合適的點,能夠監聽到網路中所有流量的地方,比如核心交換或者企業網關等等,
然後開啟SPAN等功能,或者通過tap之類的設備作資料分流,或者乾脆就串一個HUB吧。

*劍二: 分析軟體
推薦使用Nai Sniffer Pro Portable 4.7或者EtherPeek NX 2.0,兩個具有強大分析功能的
軟體,具體使用不細述了。簡單說就是找到filter功能表,匯入filter定義,然後只載入這個filter
規則,做網路分析。最後在兩個軟體matrix和expert系統中顯示出來的,就是網路中的蠕蟲傳播事件。

*劍三: 忘了,直接轉入下一段。:P
通過上面的步驟,你應該已經知道目前那些機器感染病毒了(至少大概的),那就進入下一部分工作吧。


救:
既然掛了,就得趕緊救治,救治麼,起碼就分為救和治兩部分,看下面的。

*劍四: 緊急搶救
如果感染了蠕蟲,很可能由於DCOM服務已經停止,所以你的網路連接也是無法使用的,那麼首先要恢復
網路連接,可以如3.2中所說的方法重新開啟網路功能。 然後你就可以先把本機查殺工具和修正檔等文件
先拷貝到本機,然後中斷連線網路開始查殺。(或者你也可以乾脆直接中斷連線網路,然後通過CDROM等其他物理
介質匯入這些文件)
準備工作做好之後,就可以很簡單的執行Symantec查殺工具進行本機殺毒了,注意之前一定要中斷連線網路。

*劍五: 根治
目前的根治辦法就是打修正檔,到這裡假設你的相應版本的修正檔已經在本機上了,那麼就不多說,執行然
後重啟。

*劍六: 其它
前面說了,目前的修正檔是不完全的,因此如果你覺得不夠放心的話,可以採用ipsec或者個人防火牆等
方法做進一步防護。
其它工作,無非是進一步的搜尋後門,安裝殺毒軟體等工作了。如果以前沒有進行過任何安全措施的話
那麼就從這一天開始吧。


防:
如果到目前為止你的網路還沒有出現任何異狀(網路和主機方面的),那麼恭喜你。但是也決不能掉以輕心
因為你還是在危險之中的,即使現在的蠕蟲沒有感染,也很快會出現其他更厲害的變種,或者蓄意的黑客
攻擊,所以我們還是需要一個快速的預防解決方案。

*劍七: 自宮...
欲練神功,必先...呃...預防黑客和病毒攻擊的最好方法就是自己先攻擊一遍...這裡有一個RPC/DCOM
漏洞的掃瞄器,可以快速的分析出當前網路中那些主機有漏洞並且沒有打修正檔的。
http://www.freedemon.org/Network/msb...OM.scanner.rar
執行,然後被顯示"VULNERABLE"的就是,得注意趕緊打修正檔啦。

*劍八: 修正檔,又見修正檔
乘著蟲子還沒來,趕緊把3.3.1.2中的那些修正檔乖乖的打上吧,還有殺毒軟體個人防火牆,有的也趕快裝好
昇級了。

*劍九: 網管的工作
總的來說,還是上面哪些,防火牆規則啦,提醒用戶打修正檔或者強制安全原則啦,其他各方個面的安全工作
和安全意識的提高啦......虛了,再說又說到15408什麼的了,又要被人罵我是"心中無劍手中也無劍"......

完了。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2003-08-17, 12:43 AM   #2 (permalink)
bs911
榮譽勳章

勳章總數
UID -
在線等級:
文章: n/a
精華:
預設

雖然沒中毒
但是謝謝你的文章
真是受益良多
 
送花文章: 0, 收花文章: 0 篇, 收花: 0 次
舊 2003-08-17, 02:01 AM   #3 (permalink)
註冊會員
榮譽勳章
UID - 10509
在線等級: 級別:5 | 在線時長:50小時 | 升級還需:10小時級別:5 | 在線時長:50小時 | 升級還需:10小時級別:5 | 在線時長:50小時 | 升級還需:10小時級別:5 | 在線時長:50小時 | 升級還需:10小時級別:5 | 在線時長:50小時 | 升級還需:10小時
註冊日期: 2002-12-12
VIP期限: 2010-06
住址: 天堂
文章: 252
精華: 0
現金: 6621 金幣
資產: 11621 金幣
預設

謝謝 psac
此次事件 肇因於NT系統的漏洞 漏洞還未補齊 防火牆有其需要 我使用的是最難用的 TINY FIREWALL PRO. 因不適合個人為介紹給大家 就TINY FIREWALL PRO 使用心得規則與大家分享 下列是原則 個別需要在另外開PORT

RULE 1:

Description: Loopback
Protocol: TCP and UDP
Direction: Both
Local Port: Any
Local App.: Any
Remote Address Type: Single
Host address: 127.0.0.1
Port type: Any
Action PERMIT

= = = = = = = = = = = = = = = =
RULE 2:

Description: Block Inbound NetBIOS TCP UDP (Notify)
Protocol: TCP and UDP
Direction: Incoming
Port type: Port/Range
First Port: 137
Last Port: 139
Local App.: Any
Remote Address Type: Any
Port type: Any
Action DENY

= = = = = = = = = = = = = = = =
RULE 3:

Description: Block Outbound NetBIOS TCP UDP (Notify)
Protocol: TCP and UDP
Direction: Outgoing
Local Port: Any
Local App.: Any
Remote Address Type: Any
Port type: Port/Range
First Port: 137
Last Port: 139
Action DENY

= = = = = = = = = = = = = = = =
RULE 4:

Description: ISP Domain Name Server Any App UDP
Protocol: UDP
Direction: Both
Local Port: Any
Local App.: Any
Remote Address Type: Single
Host address: (Your ISP DNS) IP number
Port type: Single
Port number: 53
Action PERMIT

= = = = = = = = = = = = = = = =
RULE 5:

Description: Other DNS
Protocol: TCP and UDP
Direction: Both
Local Port: Any
Local App.: Any
Remote Address Type: Any
Port type: Single
Port number: 53
Action DENY

= = = = = = = = = = = = = = = =
RULE 6:

Description: Out Needed To Ping And TraceRoute Others
Protocol: ICMP
Direction: Outgoing
ICMP Type: Echo
Remote Endpoint: Any
Action PERMIT

= = = = = = = = = = = = = = = =
RULE 7:

Description: In Needed To Ping And TraceRoute Others
Protocol: ICMP
Direction: Incoming
ICMP Type: Echo Reply, Destination Unreachable, Time
Exceeded
Remote Endpoint: Any
Action PERMIT

= = = = = = = = = = = = = = = =
RULE 8:

Description: In Block Ping and TraceRoute ICMP
(Notify)
Protocol: ICMP
Direction: Incoming
ICMP Type: Echo
Remote Endpoint: Any
Action DENY

= = = = = = = = = = = = = = = =
RULE 9:

Description: Out Block Ping and TraceRoute ICMP
(Notify)
Protocol: ICMP
Direction: Outgoing
ICMP Type: Echo Reply, Destination Unreachable, Time
Exceeded
Remote Endpoint: Any
Action DENY

= = = = = = = = = = = = = = = =
RULE 10:

Description: Block ICMP (Logged)
Protocol: ICMP
Direction: Both
ICMP Type: Echo Reply, Destination Unreachable, Source
Quench, Redirect,
Echo, Time Exceeded, Parameter Prob, Time Stamp, Time
StampReply, Info
Request, Info Reply, Address, Address Reply, Router
Advertisement, Router
Solicitation (ALL)
Remote Endpoint: Any
Action DENY

= = = = = = = = = = = = = = = =
RULE 11:

Description: Block Common Ports (Logged)
Protocol: TCP and UDP
Direction: Incoming
Port type: List of Ports
Local App.: Any
List of Ports:
113,79,21,80,443,8080,143,110,25,23,22,42,53,98
Remote Address Type: Any
Port type: Any
Action DENY

= = = = = = = = = = = = = = = =
RULE 12:

Description: Back Orifice Block (Logged)
Protocol: TCP and UDP
Direction: Incoming
Port type: List of Ports
Local App.: Any
List of Ports: 54320,54321,31337
Remote Address Type: Any
Port type: Any
Action DENY

= = = = = = = = = = = = = = = =
RULE 13:

Description: Netbus Block (Logged)
Protocol: TCP
Direction: Incoming
Port type: List of Ports
Local App.: Any
List of Ports: 12456,12345,12346,20034
Remote Address Type: Any
Port type: Any
Action DENY

= = = = = = = = = = = = = = = =
RULE 14:

Description: Bootpc (Logged)
Protocol: TCP and UDP
Direction: Incoming
Port type: Single port
Local App.: Any
Port number: 68
Remote Address Type: Any
Port type: Any
Action DENY

= = = = = = = = = = = = = = = =
RULE 15:

Description: RPCSS (Logged)
Protocol: UDP
Direction: Incoming
Port type: Single port
Local App.: Any
Port number: 135
Remote Address Type: Any
Port type: Any
Action DENY

= = = = = = = = = = = = = = = =
RULE 16:

Description: Block Low Trojan Ports TCP UDP (Notify)
Protocol: TCP and UDP
Direction: Both
Port type: Port/range
Local App.: Any
First port number: 1
Last port number: 79
Remote Address Type: Any
Port type: Any
Action DENY

= = = = = = = = = = = = = = = =
RULE 17:

Description: Block High Trojan Ports TCP UDP (Notify)
Protocol: TCP and UDP
Direction: Both
Port type: Port/range
Local App.: Any
First port number: 5000
Last port number: 65535
Remote Address Type: Any
Port type: Any
Action DENY

= = = = = = = = = = = = = = = =
RULE 18:

Description: Internet Explorer-Web browsing
Protocol: TCP
Direction: Outgoing
Port type: Any
Local App.: Only selected below => iexplore.exe
Remote Address Type: Any
Port type: Any
Action PERMIT

= = = = = = = = = = = = = = = =
RULE 19:

Description: Outlook Express
Protocol: TCP
Direction: Outgoing
Port type: Any
Local App.: Only selected below => msimn.exe
Remote Address Type: Any
Port type: List of ports
List of ports: 25,110,119,143
Action PERMIT

= = = = = = = = = = = = = = = =
RULE 20:

Description: ICQ Web Access Block
Protocol: TCP and UDP
Direction: Outgoing
Port type: Any
Local App.: Only selected below => icq.exe
Remote Address Type: Any
Port type: Single port
List of ports: 80
Action DENY

= = = = = = = = = = = = = = = =
RULE 21:

Description: ICQ Application
Protocol: TCP
Direction: Outgoing
Port type: Any
Local App.: Only selected below => icq.exe
Remote Address Type: Any
Port type: Single port
List of ports: 5190
Action PERMIT

= = = = = = = = = = = = = = = =
RULE 22:

Description: Block Outbound Unauthorized Apps TCP UDP
(Notify)
Protocol: TCP and UDP
Direction: Outgoing
Port type: Any
Local App.: Any
Remote Address Type: Any
Port type: Any
Action DENY

= = = = = = = = = = = = = = = =
RULE 23:

Description: Block Inbound Unknown Apps TCP UDP
(Notify)
Protocol: TCP and UDP
Port type: Any
Local App.: Any
Remote Address Type: Any
Port type: Any
Action DENY

If you are on a LAN you might need to allow NetBIOS to and from computers on
your LAN. You should insert two rules before rule 2 and 3:

RULE 2a:

Description: Trusted Inbound NetBIOS TCP UDP
Protocol: TCP and UDP
Direction: Incoming
Port type: Port/Range
First Port: 137
Last Port: 139
Local App.: Any
Remote Address Type: Trusted Address Group
Port type: Any
Action PERMIT

= = = = = = = = = = = = = = = =
RULE 3b:

Description: Trusted Outbound NetBIOS TCP UDP
Protocol: TCP and UDP
Direction: Outgoing
Local Port: Any
Local App.: Any
Remote Address Type: Trusted Address Group
Port type: Port/Range
First Port: 137
Last Port: 139
Action PERMIT
babayu 目前離線  
送花文章: 0, 收花文章: 2 篇, 收花: 2 次
舊 2003-08-17, 03:32 AM   #4 (permalink)
註冊會員
 
花葬 的頭像
榮譽勳章
UID - 76660
在線等級: 級別:19 | 在線時長:476小時 | 升級還需:4小時級別:19 | 在線時長:476小時 | 升級還需:4小時級別:19 | 在線時長:476小時 | 升級還需:4小時級別:19 | 在線時長:476小時 | 升級還需:4小時
註冊日期: 2003-06-12
VIP期限: 2010-10
住址: 紐約市,紐約州
文章: 801
精華: 0
現金: 126 金幣
資產: 160158 金幣
預設

受益良多...
感謝分享
花葬 目前離線  
送花文章: 504, 收花文章: 145 篇, 收花: 586 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 06:07 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2022, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1