|
|
|||||||
| 論壇說明 |
|
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
|
主題工具 | 顯示模式 |
2003-08-17, 12:12 AM
|
#1 |
|
榮譽會員
 
|
MSBlast蠕蟲快速解決方案
MSBlast蠕蟲快速解決方案
0. MSBlast蠕蟲 別名: W32/Lovsan.worm.a(NAI), W32.Blaster.Worm (Symantec), Win32.Poza (CA), WORM_MSBLAST.A (Trend) 影響系統: Windows 2000 (SP1-SP4) Windows XP (SP0-SP1) Windows 2003 1. 現象 1.在C:\winnt\system32目錄下存在msblast.exe文件; 2.在註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中存在以下鍵值: "windows auto update"="msblast.exe" 3.使用netstat -na可以看到本級開放udp 69(tftp)連接阜 和 tcp 4444(cmd.exe後門)連接阜; 4.系統崩潰,顯示藍色或自動重啟,並可以看到""字樣。 5.網路資料流量忽然變大,並可以發現大量有本機發出的tcp 135/4444連接阜和udp 69連接阜流量。 2. 原因 在Microsoft Windows系統中有一個核心服務RPC/DCOM服務,監聽在TCP 135連接阜,這個服務中存在一個遠端 緩衝區溢出漏洞,可以被攻擊者利用遠端以SYSTEM權限執行一條指令。詳細請參見M$安全公告M$ 03-026: http://www.microsoft.com/technet/tre...n/MS03-026.asp msblast蠕蟲就是利用這個漏洞進行傳播,所有未打修正檔的2000和XP系統都會被感染,由於程式碼工作不穩定, Windows 2003和一部分XP系統會顯示藍色和自動重啟。蠕蟲首先攻擊目標系統的rpc服務,成功之後會在目標系統上 開放4444連接阜並且綁定cmd.exe作為後門;然後通過遠端執行指令下載病毒主體msblast.exe,存放在%systemro ot%\system32目錄下;並且增加兩個註冊表鍵值使病毒每次啟動後會自動執行;其後病毒在被攻擊主機上啟動msblast 程序,並按照隨機位址需對其他主機發起攻擊和傳播;當滿足一定條件時(1-8月的15日以後和9-12月每天)會對微軟 在線昇級站點(windowsupdate.microsoft.com)進行持續的拒絕服務攻擊。 目前此蠕蟲已經出現多個變體,危害將會持續擴大。在手動查殺的程序中也需要加以注意。 teekids.exe (5,360 bytes) penis32.exe (7,200 bytes) 3. 處理步驟 3.1 搜尋 本文假設當您看到這篇文章時已經或正在受到蠕蟲的危害,因此把分析網路中的傳播路徑和主機作為第一步驟。 在主機數量不多的情況下,可以依次使用3.2節說明的單機查殺工具進行查殺,或者採用手動搜尋和殺除的方法。 但是如果企業網路規模巨大,主機和伺服器數量眾多的話,手工搜尋顯然是相當不明智的,因為蠕蟲的攻擊和傳播 都會通過網路進行這時候可以採用網路監聽分析的方法進行大規模的分析和搜尋。 3.1.1 網路分析搜尋 在大規模的網路環境中,一台台的作主機檢查是一件工作量相當可觀的工作,我們可以通過網路分析的方法快速 得出目前網路中蠕蟲分佈的概況,採用的工具為各種網路分析工具,嗅探器,或網路IDS。 3.1.2 網路環境設定 在共享以太網環境(HUB)中,我們可以簡單的通過網路分析搜尋出目前網路中蠕蟲的分佈狀況;在交換式以太網中 (使用交換機),我們需要對交換機做一些設定,開啟SPAN(Monitor)功能,把所有的資料量鏡像到一台主機中作 分析。這裡只給出幾種一般交換機的配置方法: Cisco IOS(12.0, 2900/3500XL): == interface dest_mod/dest_port port monitor src_mod/src_port == Cisco IOS(12.1,2950/3550): == monitor session 1 source interface fastEthernet dest_mod/dest_port monitor session 1 destination interface fastEthernet dest_mod/dest_port == Cisco CatOS(6.x,2948G/4000/5000/6000): == set span <src_mod/src_ports...|src_vlans...|sc0> <dest_mod/dest_port> [rx|tx|both] == 3COM: == feature (或system) => analyzer => add 源連接阜 => add 目標連接阜 => start == Foundry servIron: == mirror-port ethernet dest_mod/dest_port interface ethernet src_mod/src_port monitor both == 3.1.3 分析工具 如果設定好了上面所需的網路分析環境,我們就可以很簡單的使用Nai Sniffer Pro或WildPackets EtherPeek NX進行蠕蟲路徑和當前感染狀態分析。(分析軟體需要安裝在網關或中心交換機上) 我們已經準備好了SnifferPro和EtherPeek的msblast蠕蟲過濾規則,只要在分析工具中匯入filter, 然後針對這條規則開啟抓包分析功能,當前網路中的所有感染主機源和被感染主機都會被自動分析提取出來, 並且在軟體的expert系統中進行報警,在Matrix狀態圖中也可以看到。 3.1.3.1 Sniffer Pro分析 Sniffer Pro MSBlast Filter下載位址: http://www.freedemon.org/network/msb...fer.Filter.rar 在SnifferPro Filter定義功能表中選項匯入filter,然後新增一個分析工作,選項blast filter,進 行抓包分析。當前的感染情況可以在Matrix圖版中看到,再expert系統中可以看到詳細的主機位址報警情 況。 3.1.3.2 EtherPeek 分析 EtherPeek NX 下載位址: http://www.freedemon.org/network/msb/etherpeek.nx2.rar EtherPeek NX MSBlast Filter下載位址: http://www.freedemon.org/network/msb...eek.filter.rar 在EtherPeek NX的View->Filter功能表中開啟filter定義視圖,選項import filter匯入msblast filter 注意不要選項刪除以前的filter;然後新增分析工作,開始抓包分析。同樣可以在Matrix中看到網路狀態,在 expert 面版 和 log視窗中可以看到攻擊信息的報警。 3.1.3.3 tcpdump簡單分析 如果你使用Linux/BSD或其他Unix平台作為分析平台,或者你有一個Linux/Unix平台的防火牆/網關,可以 使用TCPdump做一個簡單的分析。在你安裝了tcpdump和libpcap的情況下,使用如下指令: # tcpdump udp dst port 69 or dst port 135 or tcp dst port 4444 [附]可以使用tcpdump -w filename將捕獲的資料包儲存到文件中,然後在windows下使用etherpeek工具集 進行轉換和分析。 3.1.3.4 使用IDS系統進行分析 目前很多入侵檢測系統(IDS)已經能夠準確檢測msblast攻擊和蠕蟲傳播,可以使用這些網路IDS系統進行網路的 監控和預警。 3.2 殺除 當前各大殺毒軟體廠商基本上都已經在最新的病毒特徵程式碼庫中納入了MSBlast當前版本的查殺功能,可以 通過把殺毒軟體再現昇級到最新版本,然後進行本機查殺。如果Internet網路連接不能使用的話,(症狀為IE 瀏覽器無法開啟頁面)我們首先需要恢復系統RPC/DCOM服務,方法為 開始選單->執行->services.msc , 執行之後,將會彈出windows系統服務配置管理器,找到Remote Procedure Call (RPC)一行,重新啟動這 個服務。 NAI/McAfee用戶昇級到最新的4080程式碼庫後,McAfee AntiVirus/NetShield可以查殺msblast蠕蟲; TrendMicro用戶可以在如下位址下載msblast專殺工具(必須安裝TrendMicro產品,或使用附加元件); http://www.trendmicro.com.cn/vinfo/v...WORM_MSBLAST.A 3.2.1 這裡推薦使用Symantec的msblast專殺工具,可以在多種系統下很好的清除當前版本的msblast.a病毒。 下載位址: http://securityresponse.symantec.com...r/FixBlast.exe 在我們的msb應急恢復包中也有一份存檔,下載位址: http://www.freedemon.org/network/msb/fixblast.rar 使用方法: 下載之後可以直接在本機執行(必須以Administrator或等同身份登入),然後點擊start開始查殺,執行之 後將會終止W32.Blaster.Worm蠕蟲工作,刪除病毒主文件和註冊表鍵值。查殺之前建議先中斷連線網路連接, 並且進行本機查殺,不建議通過網路共享殺除。 其他選項: /HELP, /H, /? 顯示說明 信息; /NOFIXREG 不修復註冊表; /SILENT, /S 靜默模式; /LOG=<th name> 信息記錄日誌; /MAPPED 映射網路驅動器進行查殺; /START 強制自動啟動查殺工作; /EXCLUDE=<th> 排除搜尋路徑; [附]手工清除辦法 如果由於條件所限無法使用工具清除的話,可以採用如下步驟手工清除: 在工作管理器中強制停止msblast.exe; 刪除%systemroot%\system32目錄下的msblast.exe文件; 刪除註冊表鍵值: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ="windows auto update"="msblast.exe" 下載並安裝MS最新修正檔http://www.microsoft.com/technet/sec...n/MS03-026.asp 3.3 補救和預防 由於msblast蠕蟲傳播的根本途徑是通過網路對系統缺陷進行攻擊進行的,所以要預防msblast蠕蟲也不是 什麼難事,我們可以從網路和主機防護兩個方面入手進行預防。 3.3.1 單機預防 蠕蟲針對的缺陷是微軟windows平台RPC/DCOM服務遠端緩衝區溢出漏洞,這個漏洞影響windows nt體系的 所有平台,堪稱電腦歷史上(到目前為止)危害最大的漏洞,修補方法有兩種: 3.3.1.1 通過網路防火牆/個人防火牆或者系統自身的ip包過濾功能進行連接阜訪問禁止。在win2000/xp/2003系統 中,除了各種商用防火牆和個人防火牆以外,系統自身的幾種資料過濾方法也可以很好的實現這種效果。 (TCP/IP篩選,IPSEC原則和RSAS訪問原則都可以很好的實現。)考慮到通用性,易用性和安全性等各個方面 我們在這裡推薦使用IPSEC原則進行連接阜過濾。IPSEC過濾規則可以在系統本機安全原則編輯器secpol.msc 中進行定義,這裡我們使用MS的一個指令行工具進行方便的定制。 從http://www.freedemon.org/network/msb/ipsecpol.rar下載一個工具包,並且把所有文件解壓到 %systemroot%\system32 (一般是 C:\winnt\system32\) 目錄下,然後執行入下指令: IPSecPol -w REG -p "secuDEMO" IPSecPol -x -w REG -p "secuDEMO" -r "Block 593/TCP" -n BLOCK -f *:*+0:593:TCP IPSecPol -x -w REG -p "secuDEMO" -r "Block 445/TCP" -n BLOCK -f *:*+0:445:TCP IPSecPol -x -w REG -p "secuDEMO" -r "Block 445/UDP" -n BLOCK -f *:*+0:445:UDP IPSecPol -x -w REG -p "secuDEMO" -r "Block 139/TCP" -n BLOCK -f *:*+0:139:TCP IPSecPol -x -w REG -p "secuDEMO" -r "Block 139/TCP" -n BLOCK -f *:*+0:139:UDP IPSecPol -x -w REG -p "secuDEMO" -r "Block 137/UDP" -n BLOCK -f *:*+0:137:UDP IPSecPol -x -w REG -p "secuDEMO" -r "Block 135/TCP" -n BLOCK -f *:*+0:135:TCP IPSecPol -x -w REG -p "secuDEMO" -r "Block 135/UDP" -n BLOCK -f *:*+0:135:UDP 重新啟動系統之後,就可以匯入IPSEC連接阜防護規則,本規則集將禁止遠端主機連接135/139/445/593等連接阜, 這些均是可能遭受RPC/DCOM遠端溢出攻擊的危險連接阜。使用上面的規則之後就可以防止MSBlast蠕蟲感染本主 機,但是這種方法有一個缺點,就是同時你的所有網路共享也將失效。 [副作用]無法使用網路共享。 3.3.1.2 一個更為合理的解決方案就是安裝微軟的最新安全修正檔MS 03-026,可以在如下位址下載,或通過在線昇級 進行安裝。重新啟動系統之後生效。 MS03-026: [url]http://www.microsoft.com/technet/security/bulletin/MS03-026.asp︴/url]^ 下載位址: Windows NT 4.0 Server: http://microsoft.com/downloads/detai...displaylang=en Windows NT 4.0 Terminal Server Edition : http://microsoft.com/downloads/detai...displaylang=en Windows 2000: http://microsoft.com/downloads/detai...displaylang=en Windows XP 32 bit Edition: http://microsoft.com/downloads/detai...displaylang=en Windows XP 64 bit Edition: http://microsoft.com/downloads/detai...displaylang=en Windows Server 2003 32 bit Edition: http://microsoft.com/downloads/detai...displaylang=en Windows Server 2003 64 bit Edition: http://microsoft.com/downloads/detai...displaylang=en [副作用]當前修正檔並沒有修復這一系列漏洞中的全部,可能需要1中的方法進行輔助防護,並且等待以後安裝更新修正檔。 3.4 網路防護 我們可以在企業網路的邊緣進行連接阜過濾,阻止蠕蟲和其他攻擊者對上述具有危險性的網路連接阜進行訪問, 控制手段可以採用個人防火牆(針對撥號和寬帶個人用戶),企業防火牆(企業和團體用戶)或者路由器訪問 控制列表(沒有防火牆保護的企業用戶)。 大部分的商用防火牆都具有良好的圖形界面和規則配置方法,只要在防火牆中增加規則 禁止 訪問如下連接阜 就可以了: TCP/135 UDP/135 TCP/139 UDP/139 TCP/445 UDP/445 TCP/593 UDP/593 UDP/137 UDP/138 TCP/4444 UDP/69 這裡給出兩個範例,分別是Linux iptables和Cisco Router IOS Access-List: ==Linux Iptables Deny MSBlast== # iptables -A INPUT -p tcp --dport 135 -j REJECT # iptables -A INPUT -p udp --dport 135 -j REJECT # iptables -A INPUT -p tcp --dport 139 -j REJECT # iptables -A INPUT -p udp --dport 139 -j REJECT # iptables -A INPUT -p tcp --dport 445 -j REJECT # iptables -A INPUT -p udp --dport 445 -j REJECT # iptables -A INPUT -p tcp --dport 593 -j REJECT # iptables -A INPUT -p udp --dport 593 -j REJECT # iptables -A INPUT -p udp --dport 137 -j REJECT # iptables -A INPUT -p udp --dport 138 -j REJECT # iptables -A INPUT -p udp --dport 69 -j REJECT # iptables -A INPUT -p tcp --dport 4444 -j REJECT ==Linux Iptables Deny MSBlast== [注意] Linux Iptable可以使用-i ethx參數指定只在外部網路接頭上過濾,提高規則的準確性。 ==Cisco ACL Deny MSBlast== # access-list 101 deny tcp any any range 135 139 # access-list 101 deny udp any any range 135 139 # access-list 101 deny tcp any any eq 445 # access-list 101 deny udp any any eq 445 # access-list 101 deny tcp any any eq 593 # access-list 101 deny udp any any eq 593 # access-list 101 deny tcp any any eq 4444 ==Cisco ACL Deny MSBlast== [注意] Cisco Router不能deny udp/69 TFTP連接阜,否則會造成一定的管理風險。 =============: 補: Faint 啦,竟然有人說我這不是快速解決方案! :================ =============: 補: Faint 啦,竟然有人說我這不是快速解決方案! :================ 自己看了看,是有點冗長,好吧,學學獨孤老兒,提煉一下,看劍。 抓: 所謂抓,就是你的網路已經掛了,要快速找到已經感染了蠕蟲的機器,怎樣最快呢?前面說了每台 登入搜尋是不現實的,而採用網路掃瞄等方法來搜尋,除了被攻擊之後的主機DCOM服務停止無法 回應導致嚴重誤報之外,病毒傳播和二次攻擊導致的流量堵塞也成為主動搜尋的一個制約因素,因此 這裡推薦的大規模搜尋方法就是通過監聽(網路分析)進行搜尋,原理很簡單,通過交換機的SPAN功 能分析和過濾網路上的所有蠕蟲傳播流量,當然了最大的局限性就是你的網路太便宜機種---很多的交換 機是不支持SPAN功能的,或者只是有限支持(在上面列出的幾種都可以很好的完全支持)。這個之後 只能在企業邊緣網關上作分析,但是準確度會大大降低。 又說了很多廢話,開始。 *劍一: 網路設定 首先你得找到一個合適的點,能夠監聽到網路中所有流量的地方,比如核心交換或者企業網關等等, 然後開啟SPAN等功能,或者通過tap之類的設備作資料分流,或者乾脆就串一個HUB吧。 *劍二: 分析軟體 推薦使用Nai Sniffer Pro Portable 4.7或者EtherPeek NX 2.0,兩個具有強大分析功能的 軟體,具體使用不細述了。簡單說就是找到filter功能表,匯入filter定義,然後只載入這個filter 規則,做網路分析。最後在兩個軟體matrix和expert系統中顯示出來的,就是網路中的蠕蟲傳播事件。 *劍三: 忘了,直接轉入下一段。:P 通過上面的步驟,你應該已經知道目前那些機器感染病毒了(至少大概的),那就進入下一部分工作吧。 救: 既然掛了,就得趕緊救治,救治麼,起碼就分為救和治兩部分,看下面的。 *劍四: 緊急搶救 如果感染了蠕蟲,很可能由於DCOM服務已經停止,所以你的網路連接也是無法使用的,那麼首先要恢復 網路連接,可以如3.2中所說的方法重新開啟網路功能。 然後你就可以先把本機查殺工具和修正檔等文件 先拷貝到本機,然後中斷連線網路開始查殺。(或者你也可以乾脆直接中斷連線網路,然後通過CDROM等其他物理 介質匯入這些文件) 準備工作做好之後,就可以很簡單的執行Symantec查殺工具進行本機殺毒了,注意之前一定要中斷連線網路。 *劍五: 根治 目前的根治辦法就是打修正檔,到這裡假設你的相應版本的修正檔已經在本機上了,那麼就不多說,執行然 後重啟。 *劍六: 其它 前面說了,目前的修正檔是不完全的,因此如果你覺得不夠放心的話,可以採用ipsec或者個人防火牆等 方法做進一步防護。 其它工作,無非是進一步的搜尋後門,安裝殺毒軟體等工作了。如果以前沒有進行過任何安全措施的話 那麼就從這一天開始吧。 防: 如果到目前為止你的網路還沒有出現任何異狀(網路和主機方面的),那麼恭喜你。但是也決不能掉以輕心 因為你還是在危險之中的,即使現在的蠕蟲沒有感染,也很快會出現其他更厲害的變種,或者蓄意的黑客 攻擊,所以我們還是需要一個快速的預防解決方案。 *劍七: 自宮... 欲練神功,必先...呃...預防黑客和病毒攻擊的最好方法就是自己先攻擊一遍...這裡有一個RPC/DCOM 漏洞的掃瞄器,可以快速的分析出當前網路中那些主機有漏洞並且沒有打修正檔的。 http://www.freedemon.org/Network/msb...OM.scanner.rar 執行,然後被顯示"VULNERABLE"的就是,得注意趕緊打修正檔啦。 *劍八: 修正檔,又見修正檔 乘著蟲子還沒來,趕緊把3.3.1.2中的那些修正檔乖乖的打上吧,還有殺毒軟體個人防火牆,有的也趕快裝好 昇級了。 *劍九: 網管的工作 總的來說,還是上面哪些,防火牆規則啦,提醒用戶打修正檔或者強制安全原則啦,其他各方個面的安全工作 和安全意識的提高啦......虛了,再說又說到15408什麼的了,又要被人罵我是"心中無劍手中也無劍"...... 完了。 |
|
送花文章: 3,
|
|
2003-08-17, 02:01 AM
|
#3 (permalink) |
|
註冊會員
|
謝謝 psac
此次事件 肇因於NT系統的漏洞 漏洞還未補齊 防火牆有其需要 我使用的是最難用的 TINY FIREWALL PRO. 因不適合個人為介紹給大家 就TINY FIREWALL PRO 使用心得規則與大家分享 下列是原則 個別需要在另外開PORT RULE 1: Description: Loopback Protocol: TCP and UDP Direction: Both Local Port: Any Local App.: Any Remote Address Type: Single Host address: 127.0.0.1 Port type: Any Action PERMIT = = = = = = = = = = = = = = = = RULE 2: Description: Block Inbound NetBIOS TCP UDP (Notify) Protocol: TCP and UDP Direction: Incoming Port type: Port/Range First Port: 137 Last Port: 139 Local App.: Any Remote Address Type: Any Port type: Any Action DENY = = = = = = = = = = = = = = = = RULE 3: Description: Block Outbound NetBIOS TCP UDP (Notify) Protocol: TCP and UDP Direction: Outgoing Local Port: Any Local App.: Any Remote Address Type: Any Port type: Port/Range First Port: 137 Last Port: 139 Action DENY = = = = = = = = = = = = = = = = RULE 4: Description: ISP Domain Name Server Any App UDP Protocol: UDP Direction: Both Local Port: Any Local App.: Any Remote Address Type: Single Host address: (Your ISP DNS) IP number Port type: Single Port number: 53 Action PERMIT = = = = = = = = = = = = = = = = RULE 5: Description: Other DNS Protocol: TCP and UDP Direction: Both Local Port: Any Local App.: Any Remote Address Type: Any Port type: Single Port number: 53 Action DENY = = = = = = = = = = = = = = = = RULE 6: Description: Out Needed To Ping And TraceRoute Others Protocol: ICMP Direction: Outgoing ICMP Type: Echo Remote Endpoint: Any Action PERMIT = = = = = = = = = = = = = = = = RULE 7: Description: In Needed To Ping And TraceRoute Others Protocol: ICMP Direction: Incoming ICMP Type: Echo Reply, Destination Unreachable, Time Exceeded Remote Endpoint: Any Action PERMIT = = = = = = = = = = = = = = = = RULE 8: Description: In Block Ping and TraceRoute ICMP (Notify) Protocol: ICMP Direction: Incoming ICMP Type: Echo Remote Endpoint: Any Action DENY = = = = = = = = = = = = = = = = RULE 9: Description: Out Block Ping and TraceRoute ICMP (Notify) Protocol: ICMP Direction: Outgoing ICMP Type: Echo Reply, Destination Unreachable, Time Exceeded Remote Endpoint: Any Action DENY = = = = = = = = = = = = = = = = RULE 10: Description: Block ICMP (Logged) Protocol: ICMP Direction: Both ICMP Type: Echo Reply, Destination Unreachable, Source Quench, Redirect, Echo, Time Exceeded, Parameter Prob, Time Stamp, Time StampReply, Info Request, Info Reply, Address, Address Reply, Router Advertisement, Router Solicitation (ALL) Remote Endpoint: Any Action DENY = = = = = = = = = = = = = = = = RULE 11: Description: Block Common Ports (Logged) Protocol: TCP and UDP Direction: Incoming Port type: List of Ports Local App.: Any List of Ports: 113,79,21,80,443,8080,143,110,25,23,22,42,53,98 Remote Address Type: Any Port type: Any Action DENY = = = = = = = = = = = = = = = = RULE 12: Description: Back Orifice Block (Logged) Protocol: TCP and UDP Direction: Incoming Port type: List of Ports Local App.: Any List of Ports: 54320,54321,31337 Remote Address Type: Any Port type: Any Action DENY = = = = = = = = = = = = = = = = RULE 13: Description: Netbus Block (Logged) Protocol: TCP Direction: Incoming Port type: List of Ports Local App.: Any List of Ports: 12456,12345,12346,20034 Remote Address Type: Any Port type: Any Action DENY = = = = = = = = = = = = = = = = RULE 14: Description: Bootpc (Logged) Protocol: TCP and UDP Direction: Incoming Port type: Single port Local App.: Any Port number: 68 Remote Address Type: Any Port type: Any Action DENY = = = = = = = = = = = = = = = = RULE 15: Description: RPCSS (Logged) Protocol: UDP Direction: Incoming Port type: Single port Local App.: Any Port number: 135 Remote Address Type: Any Port type: Any Action DENY = = = = = = = = = = = = = = = = RULE 16: Description: Block Low Trojan Ports TCP UDP (Notify) Protocol: TCP and UDP Direction: Both Port type: Port/range Local App.: Any First port number: 1 Last port number: 79 Remote Address Type: Any Port type: Any Action DENY = = = = = = = = = = = = = = = = RULE 17: Description: Block High Trojan Ports TCP UDP (Notify) Protocol: TCP and UDP Direction: Both Port type: Port/range Local App.: Any First port number: 5000 Last port number: 65535 Remote Address Type: Any Port type: Any Action DENY = = = = = = = = = = = = = = = = RULE 18: Description: Internet Explorer-Web browsing Protocol: TCP Direction: Outgoing Port type: Any Local App.: Only selected below => iexplore.exe Remote Address Type: Any Port type: Any Action PERMIT = = = = = = = = = = = = = = = = RULE 19: Description: Outlook Express Protocol: TCP Direction: Outgoing Port type: Any Local App.: Only selected below => msimn.exe Remote Address Type: Any Port type: List of ports List of ports: 25,110,119,143 Action PERMIT = = = = = = = = = = = = = = = = RULE 20: Description: ICQ Web Access Block Protocol: TCP and UDP Direction: Outgoing Port type: Any Local App.: Only selected below => icq.exe Remote Address Type: Any Port type: Single port List of ports: 80 Action DENY = = = = = = = = = = = = = = = = RULE 21: Description: ICQ Application Protocol: TCP Direction: Outgoing Port type: Any Local App.: Only selected below => icq.exe Remote Address Type: Any Port type: Single port List of ports: 5190 Action PERMIT = = = = = = = = = = = = = = = = RULE 22: Description: Block Outbound Unauthorized Apps TCP UDP (Notify) Protocol: TCP and UDP Direction: Outgoing Port type: Any Local App.: Any Remote Address Type: Any Port type: Any Action DENY = = = = = = = = = = = = = = = = RULE 23: Description: Block Inbound Unknown Apps TCP UDP (Notify) Protocol: TCP and UDP Port type: Any Local App.: Any Remote Address Type: Any Port type: Any Action DENY If you are on a LAN you might need to allow NetBIOS to and from computers on your LAN. You should insert two rules before rule 2 and 3: RULE 2a: Description: Trusted Inbound NetBIOS TCP UDP Protocol: TCP and UDP Direction: Incoming Port type: Port/Range First Port: 137 Last Port: 139 Local App.: Any Remote Address Type: Trusted Address Group Port type: Any Action PERMIT = = = = = = = = = = = = = = = = RULE 3b: Description: Trusted Outbound NetBIOS TCP UDP Protocol: TCP and UDP Direction: Outgoing Local Port: Any Local App.: Any Remote Address Type: Trusted Address Group Port type: Port/Range First Port: 137 Last Port: 139 Action PERMIT |
|
|
送花文章: 0,
|
平板模式
