IP炸弹的防范 周建军 2000年 第39期   不知道你是否有过这样的经历,在聊天室聊天时,忽然莫名其妙地发生蓝屏死机现象,如果排除硬件的原因,很可能是受到IP炸弹的攻击了。   目前网上的IP炸弹一般都是针对Windows 9X制作的,比如IGMPNuke、WinNuke之类。它发送一些特殊的数据对Windows系统的漏洞进行攻击,造成Windows的蓝屏死机。这种炸弹之所以称为IP炸弹,是因为黑客只要知道我们的IP地址就可以攻击,而使用的方法非常简单,就是填入对方的IP地址,按下“轰炸”按钮即可达到目的。因为在聊天室中或者在使用ICQ、OICQ时IP地址最容易被查到,所以这里最容易受到攻击。   对付IP炸弹,我们可以采取下载补丁程序堵住Windows漏洞的办法,但这决不是一劳永逸的办法,谁知道下一个IP炸弹是什么样子呢?最好的解决方案应该是安装一套个人防火墙系统。   个人防火墙与专业防火墙不同,它只是一套程序,这个程序能够对所有进出计算机的数据进行分析,拦截炸弹的攻击,切断未经允许的联接。个人防火墙产品很多,比如著名的LockDown 2000、Atguard等(详见1999年《电脑报合订本》上册第273页和今年《电脑报》第12期44版),这里我再介绍两款简单易用的防火墙产品,BlackICE和天网防火墙。 #1 1.BlackICE(黑冰)   下载地址:http:∥www.newhua.com/BlackICEDefender.htm   软件大小:2886KB   BlackICE不仅拥有强大的检测、分析及防护功能,而且非常易于使用。需要提醒大家注意的是:在安装过程中,会提示我们输入“License”号码,在它的程序包里有一个名为Fosi.nfo的文件,那里面有这个号码,我们只须根据提示输入即可。另外这个软件还有一个汉化包,我们也不妨一并下载,毕竟中文看起来要比英文容易得多。   BlackICE在安装后会随系统启动而启动,同时在任务栏托盘里生成一个小图标。当检测到有非常用户请求接入或者遭受炸弹攻击时,它就会根据情况闪烁。如果闪烁时为黄色,只是表示怀疑受到进攻。如果为深红色闪烁,则表示是恶意进攻,需要引起我们的注意。   右击托盘内的图标,选择“查看BlackICE攻击”即可显示软件的主界面,在这里我们可以看到四个标签页,在“攻击”里反映的是攻击时间、攻击方式、攻击者、攻击次数等信息(^39040306a^1)。如果选中一个攻击记录,按下右下角的“忠告”则可以连接到相应的网站上对这次攻击做一评价(而不是像有些人所说的给入侵者一个忠告)。右击入侵记录,我们可以选择“忽略攻击”或者“拦截入侵者”,可以选择拦截一个小时、一天、一个月或者永远对它进行拦截。对于局域网内的合法访问,则可以选择“信任入侵者”,对它不加拦截。在“入侵者”卡片页中可以反映出攻击者的一些信息,而在“历史”卡片页里则以图表形式详细记载了网络信息和攻击信息(^39040306b^2)。   要使BlackICE更好地看好我们的门户,必须对它进行合理设置。选择主菜单上的“编辑BlackICE设置”则可以对软件进行必要的配置。在“保护”卡片里可以选择保护的级别,软件共提供了四个级别的保护方案,最低的是“信任”,允许所有信息出入,这当然不是我们所希望的;较高的级别是“谨慎”,这也是软件默认的保护方案,在这种方案下能够拦截一些未经允许进入的数据;再高一点的保护级别是“担忧”,拦截大部分未经允许进入的信息;最高的保护级别称之为“偏执狂”,这是对一点自信心都没有的人准备的,它将把所有未经允许的请求全部拦截,其实这也是最安全的。这款软件还能够隐藏本机的各种端口,使别人不能确定我们是否在网上。要想使用这个功能,要在“保护”卡片里取消下面的允许“Internet文件分享”和“允许NetBIOS邻居”两个复选框。在主菜单“工具”下的“参数选择”里还可以设置图标提示的类型和是否开启声音提示等。 #1 2.天网防火墙   下载地址:http:∥www.sky.net.cn   天网防火墙是天网工作室推出的个人防火墙产品,它也能够有效地阻挡黑客的进攻。由于是中文软件,不存在语言障碍,所以使用起来更加得心应手。这里我们以天网防火墙2.0测试版为例进行介绍。   该软件需要到天网安全工作室主页www.sky.net.cn上进行免费注册,注册后会给我们一个注册码。在软件安装完成重新启动计算机后,第一次启动软件时会要求我们输入用户名及注册码,我们按提示输入即可。   天网防火墙个人版的使用非常简单,我们只对它做一下简要介绍。在主界面上(^39040306c^3),我们可以看到有8个快捷按钮,从左到右依次是系统设置、安全规则设置、日志、接通/断开网络、打开/关闭防火墙、打开/关闭声音报警、关于和退出。我们要注意区分“接通/断开网络”和“打开/关闭防火墙”这两项功能,如果选择“断开网络”,则和下线一样,我们不可以再对网络进行访问,而“关闭防火墙”则是关闭防火墙的防护功能,千万不要弄错了。“系统设置”是对软件进行一些简单的设置,“安全规则设置”是防火墙的规则设置。如果我们对TCP/IP协议非常熟悉的话,也可以自己定义防火墙的规则。“日志”是攻击记录,天网防火墙已经把规则配置好了,即使我们不做任何改动软件也可以正常完成其功能,只要启动软件即可完成防火墙的功能。它也能把各种攻击记录下来,这样使用一些IP查询工具就可以查到是谁在攻击我们了。另外,防火墙的规则还可以到天网安全工作室主页上进行下载。   为了检验防火墙的“防火”功能,我们可以在其他计算机上对这台计算机进行模拟攻击,如果没有这个条件,也可以连接到天网安全阵线www.sky.net.cn上进行安全检测。天网安全阵线上提供了四种类型的检测:信息泄露检查;系统安全性检测;网络探测检查;DDoS Slave扫描。我们可以看到,安装了BlackICE或者天网防火墙的计算机都能安全通过检测。在第一项检测中,网站无法通过计算机上的漏洞连接到我们的计算机上,在第二项检测中不会出现蓝屏死机现象,在网络探测检查中报告各种端口都为隐形状态。也就是说安装了BlackICE或者天网防火墙的计算机是比较安全的。如果我们关闭防火墙的防护功能,然后再进行检测,其结果会令你吃惊,你会发现,我们的计算机是多么脆弱,多么容易受到攻击。   通过对防火墙的介绍我们不难看出,它不仅能够防范各种IP炸弹,还能够切断未经允许的各种联接,所以防火墙还是防御木马的好工具。因为即使我们不小心中了木马程序,如果安装了合适的防火墙,由于它的拦截作用,木马程序也不能再与外界进行通信,能够有效地避免信息的泄露和黑客的入侵。   个人防火墙只能抵挡一些初级黑客的进攻,对于一些千里挑一的绝顶高手而言,连美国五角大楼都能出入自如,我们怎能防得住呢?但一般说来,这样的黑客是不会进攻我们这些个人用户的。攻击拨号上网用户的恰恰是那些初级黑客,有的甚至连黑客都不是,他们只会拿着一些三岁小孩都会用的黑客软件到处捣乱而已。目前,随着一些黑客图书在国内的畅销,这类“黑客”也越来越多,如果不采取任何防范措施,就很有可能成为这些人练手的活靶子。