ARP协议及ARP欺骗详解

  我们知道,当我们在浏览器里面输入网址时,DNS服务器会自动把它解析为IP地址,浏览器实际上查找的是IP地址而不是网址。那么IP地址是如何转换为第二层物理地址(即MAC地址)的呢?在局域网中,这是通过ARP协议来完成的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。所以网管们应深入理解ARP协议。

一、什么是ARP协议

  在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的
  我们以主机A(192.168.1.5)向主机B(192.168.1.1)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.1.1的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。
  ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
  ARP攻击主要是存在于局域网网络中,局域网中若有一个人感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。

RARP的工作原理:
  1. 发送主机发送一个本地的RARP广播,在此广播包中,声明自己的MAC地址并且请求任何收到此请求的RARP服务器分配一个IP地址;
  2. 本地网段上的RARP服务器收到此请求后,检查其RARP列表,查找该MAC地址对应的IP地址;
  3. 如果存在,RARP服务器就给源主机发送一个响应数据包并将此IP地址提供给对方主机使用;
  4. 如果不存在,RARP服务器对此不做任何的响应;
  5. 源主机收到从RARP服务器的响应信息,就利用得到的IP地址进行通讯;如果一直没有收到RARP服务器的响应信息,表示初始化失败。

三.ARP和RARP报头结构

ARP和RARP使用相同的报头结构,如图所示。
[img]attachments/month_0808/v2008811165120.jpg[/img]
硬件类型字段:指明了发送方想知道的硬件接口类型,以太网的值为1;
协议类型字段:指明了发送方提供的高层协议类型,IP为0800(16进制);
硬件地址长度和协议长度:指明了硬件地址和高层协议地址的长度,这样ARP报文就可以在任意硬件和任意协议的网络中使用;
操作字段:用来表示这个报文的类型,ARP请求为1,ARP响应为2,RARP请求为3,RARP响应为4;
发送方的硬件地址(0-3字节):源主机硬件地址的前3个字节;
发送方的硬件地址(4-5字节):源主机硬件地址的后3个字节;
发送方IP(0-1字节):源主机硬件地址的前2个字节;
发送方IP(2-3字节):源主机硬件地址的后2个字节;
目的硬件地址(0-1字节):目的主机硬件地址的前2个字节;
目的硬件地址(2-5字节):目的主机硬件地址的后4个字节;
目的IP(0-3字节):目的主机的IP地址。

四、如何查看ARP缓存表

  ARP缓存表是可以查看的,也可以添加和修改。在命令提示符下,输入“arp -a”就可以查看ARP缓存表中的内容了。

用“arp -d”命令可以删除ARP表中所有的内容;
用“arp -d +空格+ <指定ip地址>” 可以删除指定ip所在行的内容
用“arp -s”可以手动在ARP表中指定IP地址与MAC地址的对应,类型为static(静态),此项存在硬盘中,而不是缓存表,计算机重新启动后仍然存在,且遵循静态优于动态的原则,所以这个设置不对,可能导致无法上网

五、ARP欺骗

其实,此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首,是网吧老板和网管员的心腹大患。

从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。

  第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。

  一般来说,ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。有些网管员对此不甚了解,出现故障时,认为PC没有问题,交换机没掉线的“本事”,电信也不承认宽带故障。而且如果第一种ARP欺骗发生时,只要重启路由器,网络就能全面恢复,那问题一定是在路由器了。为此,宽带路由器背了不少“黑锅”。

  作为网吧路由器的厂家,对防范ARP欺骗不得已做了不少份内、份外的工作。一、在宽带路由器中把所有PC的IP-MAC输入到一个静态表中,这叫路由器IP-MAC绑定。二、力劝网管员在内网所有PC上设置网关的静态ARP信息,这叫PC机IP-MAC绑定。一般厂家要求两个工作都要做,称其为IP-MAC双向绑定。

  显示和修改“地址解析协议”(ARP) 所使用的到以太网的 IP 或令牌环物理地址翻译表。该命令只有在安装了 TCP/IP 协议之后才可用。

arp -a [inet_addr] [-N [if_addr]
arp -d inet_addr [if_addr]
arp -s inet_addr ether_addr [if_addr]

参数

-a
通过询问 TCP/IP 显示当前 ARP 项。如果指定了 inet_addr,则只显示指定计算机的 IP 和物理地址。

-g
与 -a 相同。

inet_addr
以加点的十进制标记指定 IP 地址。

-N
显示由 if_addr 指定的网络界面 ARP 项。

if_addr
指定需要修改其地址转换表接口的 IP 地址(如果有的话)。如果不存在,将使用第一个可适用的接口。

-d
删除由 inet_addr 指定的项。

-s
在 ARP 缓存中添加项,将 IP 地址 inet_addr 和物理地址 ether_addr 关联。物理地址由以连字符分隔的6 个十六进制字节给定。使用带点的十进制标记指定 IP 地址。项是永久性的,即在超时到期后项自动从缓存删除。

ether_addr
指定物理地址。

六、遭受ARP攻击后现象

  ARP欺骗木马的中毒现象表现为:使用局域网时会突然掉线,过一段时间后又会恢复正常。比如客户端状态频频变红,用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启机器或在MS-DOS窗口下运行命令arp -d后,又可恢复上网。
  ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。

七、常用的维护方法

  搜索网上,目前对于ARP攻击防护问题出现最多是绑定IP和MAC和使用ARP防护软件,也出现了具有ARP防护功能的路由器。呵呵,我们来了解下这三种方法。
3.1 静态绑定
  最常用的方法就是做IP和MAC静态绑定,在网内把主机和网关都做IP和MAC绑定。
  欺骗是通过ARP的动态实时的规则欺骗内网机器,所以我们把ARP全部设置为静态可以解决对内网PC的欺骗,同时在网关也要进行IP和MAC的静态绑定,这样双向绑定才比较保险。
方法:
对每台主机进行IP和MAC地址静态绑定。
通过命令,arp -s可以实现 “arp –s IP MAC地址 ”。
例如:“arp –s 192.168.10.1 AA-AA-AA-AA-AA-AA”。
如果设置成功会在PC上面通过执行 arp -a 可以看到相关的提示:

Internet Address Physical Address Type
192.168.10.1 AA-AA-AA-AA-AA-AA static(静态)

一般不绑定,在动态的情况下:

Internet Address Physical Address Type
192.168.10.1 AA-AA-AA-AA-AA-AA dynamic(动态)

  说明:对于网络中有很多主机,500台,1000台…,如果我们这样每一台都去做静态绑定,工作量是非常大的。。。。,这种静态绑定,在电脑每次重起后,都必须重新在绑定,虽然也可以做一个批处理文件,但是还是比较麻烦的!

3.2 使用ARP防护软件
  目前关于ARP类的防护软件出的比较多了,大家使用比较常用的ARP工具主要是欣向ARP工具,Antiarp等。它们除了本身来检测出ARP攻击外,防护的工作原理是一定频率向网络广播正确的ARP信息。我们还是来简单说下这两个小工具。

3.2.1 欣向ARP工具
它有5个功能:

A. IP/MAC清单
  选择网卡。如果是单网卡不需要设置。如果是多网卡需要设置连接内网的那块网卡。
  IP/MAC扫描。这里会扫描目前网络中所有的机器的IP与MAC地址。请在内网运行正常时扫描,因为这个表格将作为对之后ARP的参照。
  之后的功能都需要这个表格的支持,如果出现提示无法获取IP或MAC时,就说明这里的表格里面没有相应的数据。

B. ARP欺骗检测
  这个功能会一直检测内网是否有PC冒充表格内的IP。你可以把主要的IP设到检测表格里面,例如,路由器,电影服务器,等需要内网机器访问的机器IP。
(补充)“ARP欺骗记录”表如何理解:
“Time”:发现问题时的时间;
“sender”:发送欺骗信息的IP或MAC;
“Repeat”:欺诈信息发送的次数;
“ARP info”:是指发送欺骗信息的具体内容.如下面例子:
time sender Repeat ARP info 22:22:22 192.168.1.22 1433 192.168.1.1 is at 00:0e:03:22:02:e8
这条信息的意思是:在22:22:22的时间,检测到由192.168.1.22发出的欺骗信息,已经发送了1433次,他发送的欺骗信息的内容是:192.168.1.1的MAC地址是00:0e:03:22:02:e8。
打开检测功能,如果出现针对表内IP的欺骗,会出现提示。可以按照提示查到内网的ARP欺骗的根源。提示一句,任何机器都可以冒充其他机器发送IP与MAC,所以即使提示出某个IP或MAC在发送欺骗信息,也未必是100%的准确。所有请不要以暴力解决某些问题。

C. 主动维护
  这个功能可以直接解决ARP欺骗的掉线问题,但是并不是理想方法。他的原理就在网络内不停的广播制定的IP的正确的MAC地址。
  “制定维护对象”的表格里面就是设置需要保护的IP。发包频率就是每秒发送多少个正确的包给网络内所有机器。强烈建议尽量少的广播IP,尽量少的广播频率。一般设置1次就可以,如果没有绑定IP的情况下,出现ARP欺骗,可以设置到50-100次,如果还有掉线可以设置更高,即可以实现快速解决ARP欺骗的问题。但是想真正解决ARP问题,还是请参照上面绑定方法。

D. 欣向路由器日志
收集欣向路由器的系统日志,等功能。

E. 抓
类似于网络分析软件的抓包,保存格式是.cap。

3.2.1 Antiarp
  这个软件界面比较简单,以下为我收集该软件的使用方法。
A. 填入网关IP地址,点击[获取网关地址]将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。注意:如出现ARP欺骗提示,这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包,如果您想追踪攻击来源请记住攻击者的MAC地址,利用MAC地址扫描器可以找出IP 对应的MAC地址。
B. IP地址冲突
如频繁的出现IP地址冲突,这说明攻击者频繁发送ARP欺骗数据包,才会出现IP冲突的警告,利用Anti ARP Sniffer可以防止此类攻击。
C. 您需要知道冲突的MAC地址,Windows会记录这些错误。查看具体方法如下:
右击[我的电脑]–[管理]–点击[事件查看器]–点击[系统]–查看来源为[TcpIP]—双击事件可以看到显示地址发生冲突,并记录了该MAC地址,请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-),输入完成之后点击[防护地址冲突],为了使MAC地址生效请禁用本地网卡然后再启用网卡,在CMD命令行中输入Ipconfig /all,查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符,如果更改失败请与我联系。如果成功将不再会显示地址冲突。
注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡。
3.3 具有ARP防护功能的路由器
  这类路由器以前听说的很少,对于这类路由器中提到的ARP防护功能,其实它的原理就是定期的发送自己正确的ARP信息。但是路由器的这种功能对于真正意义上的攻击,是不能解决的。
  遭受ARP攻击的最常见的特征就是掉线,一般情况下不需要处理一定时间内可以回复正常上网,因为ARP欺骗是有老化时间的,过了老化时间就会自动的回复正常。现在大多数路由器都会在很短时间内不停广播自己的正确ARP信息,使受骗的主机回复正常。但是如果出现攻击性ARP欺骗(其实就是时间很短的量很大的欺骗ARP,1秒有个几百上千的),它是不断的发起ARP欺骗包来阻止内网机器上网,即使路由器不断广播正确的包也会被他大量的错误信息给淹没。
  可能你会有疑问:我们也可以发送比欺骗者更多更快正确的ARP信息啊?如果攻击者每秒发送1000个ARP欺骗包,那我们就每秒发送1500个正确的ARP信息!
  面对上面的疑问,我们仔细想想,如果网络拓扑很大,网络中接了很多网络设备和主机,大量的设备都去处理这些广播信息,那网络使用起来好不爽,再说了会影响到我们工作和学习。ARP广播会造成网络资源的浪费和占用。如果该网络出了问题,我们抓包分析,数据包中也会出现很多这类ARP广播包,对分析也会造成一定的影响。

Google提供的奥运免费短信提醒服务

奥运就要开始了,大家都很关注,都想及时知道相关信息。
Google提供了一个免费短信提醒服务,可以选择感兴趣的内容,获得免费短信提醒,包括:奖牌榜、主办城市天气(发送频率:每天1次 – 下午发送)及中国赛况简讯(发送频率:每天最多6次 – 赛事结束2小时内发送结果)。
网址如下:[url=http://www.google.com/sms/alerts]http://www.google.com/sms/alerts[/url]

特定域名下所有页面301转向到另一域名相应页面

  去年乘cn域名大推广,注册了好多个域名,其中www.lee.zj.cn也是绑定到此网站。据说,多域名同网站会被认为内容重复,不利于搜索引擎中的排名。比较好的做法是,指定一个主域名,其它域名都转向到此域名。
  前几天,为了增强本站的SEO,着手把另一个域名:www.lee.zj.cn下的所有页面301转向到www.biglee.cn下。
  由于本站目前只有一个博客,于是从博客上入手。
  思路很简单,获取当前浏览页面的域名,如果是需要转向的域名,再替换域名部分,做为新地址来301转向。
  代码如下:[code]<%
Dim toDomain,fromDomain,curDomain,q,p,url
toDomain=”www.biglee.cn”
fromDomain=”lee.zj.cn”
curDomain=Request.ServerVariables(“HTTP_HOST”)

if instr(curDomain,fromDomain)>0 then
q=Request.ServerVariables(“QUERY_STRING”)
p=Request.ServerVariables(“URL”)
url=”http://”&toDomain&p&”?furl=zj.cn”
if q<>”” then url=url&”&”&q

Response.Status=”301 Moved Permanently”
Response.AddHeader “Location”,url
Response.end()
End If
%>[/code]
  特意在url上加了个参数,是为了记录有多少个访问是从这个域名访问的。
  将此文件保存成asp文件,包含任一要跳转的ASP页面中即可。
  博客中,都有调用公用数据库连接文件conn.asp,我就在conn.asp中包含此文件,搞定。

缓存引起的Ajax中的onreadystatechange无值的问题

  前几天在帮别人改一个网站,要实现用Ajax去进行无刷新的点评功能。
  忙活了半天,终于把功能做出来了。最后一步就是做最终测试了。测试的时候,发现了一个奇怪的问题:在FireFox下没有任何问题,在Maxthon或者IE6下,首次打开页面,一切正常,刷新一下就不执行任何操作了。其中关键的代码如下(加了我的调试代码):[code]FCKXml.prototype.request = function( url , postString , fmethod , asyncFunctionPointer , funcParam )
{
var C = this.getTransport();
C.open( fmethod , url , true );
if(fmethod==”post”)
C.setRequestHeader( 'Content-Type' , 'application/x-www-form-urlencoded' );
C.send( postString );
alert(“start loading”);//用来检测是否执行到了这一步,每次都有,说明有执行到这
C.onreadystatechange = function ()
{alert(C.readyState)//显示状态值,以便清楚地知道状态有没有改变,IE下刷新后没反应
if( C.readyState == 4 )
{
if(asyncFunctionPointer)
{
if ( C.status==200 || C.status==304 )
{
asyncFunctionPointer( C );
}
}
}
}
}[/code]
  经过测试发现,原来是onreadystatechange状态无任何变化。但不知道是什么原因引起的。无奈之中跑到CSDN上提问,一个朋友的回答提醒了我,于是我去测试了下C.responseText发现刷新后是直接有值了。这下我恍然大悟,看来是缓存惹的祸,直接从缓存里读取数据,没有向服务器提交查询的过程,当然就不会有状态的改变了。为了验证我的想法,我把用来处理查询并返回值的页面做了禁止缓存处理。再一调试,一切正常。
  问题是解决了,但不知道为什么在FF下不会直接读取缓存,难道FF已经针对Ajax做了处理?最近比较忙,此疑问待有时间后再来研究。也欢迎各位朋友提出看法。

重回图书馆

  很早就想办一张温州图书馆的读者证。由于各种原因,一拖再拖,拖到现在。
  前几天和QQ上一朋友聊到图书馆,而且,现在住的地方离图书馆很近,于是,办证事件又提上了我的日常议程。
  前天,去温图网站下载申请单,了解办证要求,填写好表单。今天早上一早就带着证件直奔图书馆。到了那,发现已经有几个人在排除办理办证年审等事项。一切顺利,半小时不到就拿到了我期盼已久的读者证。
  拿到证后,看了下工作人员给的外借指南及一些规定,然后就去检索台查了下我想借的书,得知在四楼。上到四楼后,正好前面也有个人要进外借室,我就按他的做法,刷卡,拿代书牌。由于还要上班,只好匆匆选了本书。然后到前台办理外借手续,发现还有自助借书平台,第一次用这玩意,在扫描书时,不知道操作要点,半天没扫描好,后来在工作人员的指点下,终于完成了。
  自从出校后,已经没去过图书馆了,今天重回图书馆,感觉真好。
  以后我会继续发扬在学校里泡图书馆的精神,好好学习,天天向上。

CSS定位中Position的absolute及Relative等的研究

  用Div+CSS进行网站布局时,做一些浮动层等特殊特殊效果时要考虑到定位问题。这就要用到Positoin属性等。
  [b]Position[/b]属性有四个值: static、fixed、absolute和relative,后面两个在布局中的定位里是经常用到的,顾名思义,[b]absolute[/b]是指绝对定位,即将对象从文档流中拖出,使用left,right,top,bottom等属性进行绝对定位,而其层叠通过z-index属性定义。此时对象不具有边距,但仍有补白和边框。[b]ralative[/b]是指相对定位,就是依据left,right,top,bottom等属性在正常文档流中偏移位置。
  但是,怎么个绝对法,又怎么个相对法呢?以前我一直没有仔细去研究它,到具体应用时有时会有点迷糊,我相信很多朋友也会有这样的问题。今天我特意测试了一下,得出了以下结论:

[b]1、当Position属性值为Relative时[/b]
[color=Red]对象原来占有的位置保留,其后面的对象按原来文档流仍然保持原来的位置[/color]
Top的值表示对象相对原位置向下偏移的距离
bottom的值表示对象相对原位置向上偏移的距离
两者同时存在时,只有Top起作用。

left的值表示对象相对原位置向右偏移的距离
right的值表示对象相对原位置向左偏移的距离
两者同时存在时,只有left起作用。

[b]2、当Position属性值为absolute时[/b]
[color=Red]对象从文档流中抽取出来,原占有的位置被后面的对象顶替上来[/color]
Top的值表示对象上边框与浏览器窗口顶部的距离
bottom的值表示对象下边框与浏览器窗口底部的距离
[color=Blue]两者同时存在时,只有Top起作用;如果两者都未指定,则其顶端将与原文档流位置一致,即垂直保持位置不变。[/color]

left的值表示对象左边框与浏览器窗口左边的距离
right的值表示对象右边框与浏览器窗口右边的距离
[color=Blue]两者同时存在时,只有left起作用;如果两者都未指定,则其左边将与原文档流位置一致,即水平保持位置不变。[/color]

  [color=Red]在Position属性值为absolute的同时,如果有一级父对象(无论是父对象还是祖父对象,或者再高的辈分,一视同仁,^_^)的有Positoin属性时,则上述的相对浏览器窗口定位将会变成相对与其最近的一个定位的父对象定位,这对精确定位是很有帮助的。[/color]
  更多有关CSS的说明请参考手册:http://www.biglee.cn/books/css/

  辛苦了半天得出的结论,希望对大家有用。如果有疏忽之处,还请指正。

CSS中文手册外加树形折叠菜单

  鉴于有时要用到CSS手册,为了方便随时随地可用,今天花了点时间整理了一下别人做好的,同时练练写JS脚本,用JS写了左侧导航的折叠与展开效果的树形菜单。
  这是通用于UL与LI菜单的折叠与展开脚本,免去了给各对象编ID的麻烦。不过,为了达到展开一个节点,另一个已经展开节点同时关闭的效果,我就编了两个ID来初始化已经展开节点。
  JS脚本代码如下:[code]
[/code]
  页面代码如下:[code]


[/code]
  废话不多说,有兴趣的,看效果:[url=http://www.biglee.cn/books/css/]http://www.biglee.cn/books/css/[/url]
  最后声明:此手册版权归苏沈小雨所有。

用老电脑和老U盘Diy硬件防火墙

  我们经常在讨论着到底哪一款防火墙功能最强,对系统保护最安全。耳中听到的常常是&ldquo;天网&rdquo;、&ldquo;瑞星防火墙&rdquo;、&ldquo;金山防火墙&rdquo;等,其实真正功能强大而安全的往往是一些硬件防火墙。不过硬件防火墙对于普通用户来说,几乎是可望而不可即的。那么真的就没有办法用上硬件防火墙了吗?
  老机配老U盘,发挥潜力
  所谓的硬件防火墙,也不过是在一些硬件设备上面,写入了防火墙程序而已,将防火墙的功能执行转由硬件设备上的芯片执行而已,因此可以实现极为强大的运算过滤功能。其实只要我们拥有因此的硬件设备和防火墙程序,也同样可以打造出自己的硬件防火墙。
  普通用户能有这样的设备吗?其实,只需要一张U盘或光盘,一台淘汰的旧电脑就可以了。硬件要求非常低,古董级的486都可以,只要有CPU、显卡、内存、2张网卡就足够了,什么声卡、显示器、硬盘之类的都不需要!
  至于安装在硬件设备上的防火墙软件,可以使用一个叫做m0n0wall的软件
&nbsp; &nbsp; M0n0wall简介及安装
&nbsp; &nbsp; M0n0wall其实是一个基于FreeBsd内核开发的免费软件防火墙。m0n0wall提供基于web的配置管理、提供VPN功能、支持DHCP Server、DNS转发、动态DNS、lpsec、流量控制、无线网络支持等功能。我们可以将这个软件直接写入可引导的光盘或U盘等设备中,直接由这些设备引导系统,提供硬件防火墙的支持。
&nbsp; &nbsp; 首先,我们需要下载M0n0wall系统(下载地址:http://m0n0.ch/wall/download.php?file=net48xx-1.3b11.img)和physdiskwrite工具(下载地址:http://www.m0n0.ch/wall/downloads/physdiskwrire-0.5.zip),将两个文件解压后放在&ldquo;c:m0n0&rdquo;目录下。将U盘接上电脑,硬盘不需要有多大的空间,只要8MB以上就可以了。然后打开命令提示符窗口,执行如下命令:
cd c:m0n0
physdiskwrite.exe-u net48xx-1.3b11.img
&nbsp; &nbsp; 命令执行后,自动检测当前系统中的硬盘及移动存储设备,并显示出所有存储设备的序号及相关参数。一般来说,如果新机上只有一个硬盘,那么接上的U盘序号就为&ldquo;PhysicalDrive 1&rdquo;;如果系统中有两块硬盘,则U盘序号就为&ldquo;PhysicalDrive2&rdquo;,以此类推。
&nbsp; &nbsp; 在命令行窗口中会提示&ldquo;Which disk do you want to write?(0..1)&rdquo;,询问要选择写入哪个磁盘,因为这里有两个硬盘,U盘的序号为2,所以选择2。确定后,开始写入程序,屏幕显示&ldquo;6291456/6291456 bytes written in total&rdquo;,则说明m0n0wall系统已经安装到U盘中了。
&nbsp; &nbsp; 小提示:注意不要选错设备序列号,否则相应硬盘中的数据将全部被清除!另外,我们也可以将m0n0wall写入硬盘或光盘中,写入硬盘的方法与写入U盘一样,只要选择相应的序列号就可以了。写入光盘的话,则需要下载光盘片M0n0wall系统(下载地址:http://m0n0.ch/wall/download.php?file=cdrom-1.3b11.iso),将其记录到光盘上即可。
&nbsp; &nbsp; 设置网络连接
&nbsp; &nbsp; 写入M0n1wall系统后,取下U盘,将其接入旧电脑上。然后需要设置旧电脑的网络连接。要求旧电脑机有两张网卡,设置方法很简单:
&nbsp; &nbsp; 从ADSL猫的输出口,将网线连接到旧电脑的一张网卡上,再从另一张网卡与交换机或集线器的WAN端口就可以了。也就是说,仅仅是在原来的网关出口前加上了旧电脑。
&nbsp; &nbsp; 启动硬件防火墙
&nbsp; &nbsp; 启动旧电脑,设置为U盘引导系统,如果是写入其它硬盘或光盘上,则设置为相应的设备来引导系统。
&nbsp; &nbsp; 小提示:旧电脑可以没有显示器,引导系统进行设置时,可以将新电脑的显示器接上,设置完后取下来,以后不用显示器即可启动硬件防火墙。
&nbsp; &nbsp; 系统菜单
&nbsp; &nbsp; 系统启动后,将会引导入linux系统,M0n0wall会自动检测网络环境和设备,并出现网络设置菜单。下面对菜单进行简单介绍:
&nbsp; &nbsp; 第1项&ldquo;lnterfaces: assignnetwork ports&rdquo;(网卡:指定网络端口),用于指定安装的网卡,用哪一块连接WAN,哪一块连接LAN:
&nbsp; &nbsp; 第2项&ldquo;Set UP LAN IP Address&rdquo;(设定LAN网卡的IP地址),该项用于设置网络中访问防火墙的IP地址;
&nbsp; &nbsp; 第3项&ldquo;Reset WebGui Password&rdquo;(重设Webgui密码为Mono),该项用于恢复防火墙配置密码;
&nbsp; &nbsp; 第4项&ldquo;Reset to factory defaults&rdquo;(恢复成出厂设置),表示恢复所有设置项为默认值。
&nbsp; &nbsp; 设置网络端口
&nbsp; &nbsp; 这里我们首先要设置网卡端口,输入&ldquo;1&rdquo;并回车,系统检测到两张网卡,并显示其设备名。这里两张网卡的设备名分别为&ldquo;Lnc0&rdquo;和&ldquo;Lnc1&rdquo;,注意是数字&ldquo;1&rdquo;,而不是字母&ldquo;I&rdquo;。系统提示是否设置对VLAN(虚拟局域网)的支持,回答N。然后系统接着提示:&ldquo;Enter the LAN interface name or&lsquo;a&rsquo;for auto-detection:&rdquo;(输入LAN网卡名称或输入a自动检测),在这里输入&ldquo;IncO&rdquo;,回车后系统再提示&ldquo;Enter the WAN interface name or&lsquo;a&rsquo;for auto-detection:&rdquo;,要求输入WAN网卡名称,这里输入&ldquo;Inc1&rdquo;。
&nbsp; &nbsp; 回车后系统再提示&ldquo;Enter the Option 1 i&hellip;&hellip;&rdquo;,按回车键后,系统将显示当前的配置,这里为:
LAN&mdash;&mdash;Inc0
WAN&mdash;&mdash;lnc1
&nbsp; &nbsp; 正确的显示了LAN和WAN配置,说明设置成功。系统提示&ldquo;The firewall will reboot after saving the changes&hellip;&hellip;&rdquo;,输入y,自动保存设置后,系统将重新启动。
&nbsp; &nbsp; 小提示:在要求输入的网卡名称时,不同品牌的网卡的名称是不一样的,例如RTL8139系列网卡提示为&ldquo;rtlx&rdquo;,530tx网卡提示为&ldquo;dfex&rdquo;,Intel网卡提示为&ldquo;fxpx&rdquo;。本文中显示的是Lnc,实现过程中,需要根据屏幕显示输入。
&nbsp; &nbsp; 设置WEB管理IP地址
&nbsp; &nbsp; 重启后进入系统菜单,输入&ldquo;2&rdquo;进行LAN IP设置。然后提示要求输入IP地址,默认地址是&ldquo;192.168.1.1&rdquo;。一般来说,因为网络中还有其它的设备,比如ADSL MODEM和路由等,它们出厂默认IP也是&ldquo;192.168.1.1&rdquo;,因此可将硬件防火墙的IP地址改变&ldquo;192.168.1.2&rdquo;等。然后要求设置子网掩码,一般的子网掩码就是&ldquo;255.255.255.O&rdquo;之类的,直接输入代码24就可以了。回车后,要求设置是否启用DHCP动态IP分配,一般无需启用,输入n,回车后即可完成配置。
&nbsp; &nbsp; 防火墙设置
&nbsp; &nbsp; 重启后,现在旧电脑已经变成一个硬件防火墙了,它的执行效率可远远比在自己的电脑上运行防火墙高得多,而且防火墙本身的功能也非常强。
&nbsp; &nbsp; 登录防火墙设置界面
&nbsp; &nbsp; 在局域网中的其它电脑上,打开浏览器,在浏览器的地址栏中输入防火墙默认的WEB管理IP地址&ldquo;http://192.168.1.2&rdquo;,回车后要求输入用户名和密码。登录的默认用户名为&ldquo;admin&rdquo;,密码为&ldquo;mono&rdquo;(英文字母o,非数字0),确定后就可以登录WEB管理界面了。
&nbsp; &nbsp; 应用实例:流量控制
&nbsp; &nbsp; m0n0wall具有强大流量控制功能,可以对基于IP地址、mac地址、网段、p2p软件、协议等方式来实现对上传下载速度的控制。例如要求限制IP地址为&ldquo;192.168.1.20&rdquo;的计算机下载速度不得超过&ldquo;20Kbit/S&rdquo;,可进行如下操作:点击&ldquo;防火墙&rdquo;&rarr;&ldquo;流量管理&rdquo;,勾选&ldquo;启用流量管理&rdquo;项,点击&ldquo;保存&rdquo;按钮进行保存。然后点击左侧的&ldquo;规则&rdquo;&rarr;&ldquo;管道&rdquo;项,在右边的&ldquo;Bandwidth&rdquo;(带宽)处输入&ldquo;20&rdquo;,&ldquo;Description&rdquo;描述处随意输入一些说明,其它设置不可以不设。然后在规则中,设置&ldquo;address&rdquo;处为要控制的IP地址,其他设置一般可以不设,最后保存设置即可控制指定IP的流量了。
&nbsp; &nbsp; m0n0wall的功能非常强大,比一般的软件防火墒强上无数倍!可以设置界面中进行各种防火墙安全设置,此外,m0n0wall本身还具备路由功能,可以充当路由器,大可以省下共享上网买路由器的钱了!也就是说,我们现在有了一个免费的路由器和防火墙结合的产品!

&nbsp;
具体的配置
  用写好的DOM或硬盘启动之后,屏幕上会显示如下图:
  按数据键&ldquo;1&rdquo;,出现下图:
  这里是设置VLAN的,我们不需要,所以就按&ldquo;n&rdquo;出现下图:
  

  这是设置用于内网的网卡,这儿根据图上黄框圈出的2个名字里选择一个作为内网,我这里选择的是lnc0
  写好lnc0之后,按回车,出现如下图:
  这是选择外网网卡,这里我输入另外一块网卡lnc1,之后按回车。出现如下图:
  这里是设置Optional口的,我们没有,所以直接回车结束。出现如下图:
  它询问我们是否继续进行,我们选&ldquo;y&rdquo;回车之后,系统会马上自动重新启动,等它启动之后,出现如下的画面:
  如果黄色框里的LAN和WAN的名字都是刚才我们设置好的名字,那就说明已经成功了!这时候,我们就可以通过客户端用WEB浏览器进行配置了。
在Windows中的配置
  我们现在需要把WINDOWS的客户机的IP设置为192.168.1.X,这里的X可以是从2开始到254;子网掩码:255.255.255.0,网关为:192.168.1.1;DNS服务器可以设置为你当地ISP的DNS服务器地址,我是苏州电信的用户,所以我设置的2个DNS服务器是:61.177.7.1备用DNS为:221.228.255.1,设置如下图:

多平台免费虚拟机软件VirtualBox

  对于 VMWare、Virtual PC 这些虚拟机软件,可能大家都比较熟悉。这里介绍的是另一个虚拟机软件—VirtualBox。
  VirtualBox是一款功能强大的虚拟机软件,它不仅具有丰富的特色,而且性能也很优异。更可喜的是,VirtualBox于数日前走向开源,成为了一个发布在GPL许可之下的自由软件。

VirtualBox支持简体中文界面。

  VirtualBox 不仅具有丰富的特色,而且性能也很优异。VirtualBox 可以在 Linux 和 Windows 主机中运行,并支持在其中安装 Windows (NT 4.0、2000、XP、Server 2003、Vista)、DOS/Windows 3.x、Linux (2.4 和 2.6)、OpenBSD 等系列的客户操作系统。

  假如你曾经有用过虚拟机软件的经历的话,相信使用VirtualBox不在话下。即便你是一个新手,也没有关系。VirtualBox 提供了详细的文档,可以助你在短期内入门。

  VirtualBox 独到之处包括 Remote Desktop Protocol (RDP远程桌面)、iSCSI 及 USB 的支持,VirtualBox 在客户机操作系统上已可以支持 USB 2.0 的硬件装置了。

  相对VMWare、Virtual PC 来说,VirtualBox 具有体积小巧(才20多M),运行速度快的优点。

  VirtualBox 官方网站:http://www.virtualbox.org

  各版本下载:
  [url=http://down1.tech.sina.com.cn/download/down_contents/1182614400/35861.shtml]VirtualBox for Windows 1.6.2[/url],[url=http://down1.tech.sina.com.cn/download/down_contents/1182614400/35863.shtml]VirtualBox for Linux 1.6.2[/url],[url=http://down1.tech.sina.com.cn/download/down_contents/1182614400/35862.shtml]VirtualBox for MAC OS X(Intel) 1.6.2[/url],[url=http://www.virtualbox.org/wiki/Downloads]官方下载[/url]

免费杀毒软件:德国小红伞AntiVir 个人版

  AntiVir被称作德国小红伞,就如同的德国给人的一贯印象一样,没有华丽的界面,没有耍噱头而无用的多余项目,有的就只是高品质的防毒功能。目前其个人版是免费的杀毒软件,为个人电脑免受到电脑病毒的侵害提供全方位防护,支持检测、杀除超过70,000种流行病毒、宏病毒、引导区病毒等等,其可靠性经过多次对比试验和独立的商业纪录证明。

  AntiVir仅供私人使用情况下才可免费合法使用,而且不可使用于商业用途。免费版的病毒库仅次于 BD,居世界第二,它还另有一套付费版本,病毒库世界第一,它们彼此可以共用病毒码,所以完全不用担心支援上的问题。只要保持在线更新,就可以让病毒码永远处于最新状态。它的启动和升级速度之快,让许多同类软件望尘莫及。
  个人版有两个版本,一个是完全免费的Classic,另一个是收费的Premiun。据说这款软件有60万以上的病毒库,不知道是不是真的,看不出来~~~不过查杀那个病毒测试包,杀出了3千7百多个病毒,是目前我见过最多的,当然这并不说明它就比卡巴强~~内存占用适中,三个进程大概10M左右。
如果要说缺点,那就是小红伞不能对下载的压缩文件自动扫描。
(注意,免费版是不用key直接升级的,以前那个所谓申请的 key是用在小型企业版的)

免费版和收费版的病毒库一致

主要区别为

专业版版增加:
Adware/Spyware detection 侦察Adware/Spyware
Fully automated update 完全自动更新
POP3-Scanner POP3 扫描仪
Exclusive download server 专用的更新服务器
New graphic surface 新图表界面
Scan function for directories 能够扫描
License Management 注册许可管理

工作站版增加:
Comprehensive protection 全面的保护
Full security 完全安全
Network-wide administration 网络管理
有 Avira AntiVir Security Management Center (SMC) 安全管理中心
Automated update procedure 自动更新程序
Multiplatform support 支持多种操作平台

可以看出和免费版差别不大
需要防Adware/Spyware安装个EWIDO即可
邮件监控因为实时监控会检测写入硬盘文件所以可有可无(我是从来不开邮件监控的)

推荐开启默认的macrovirus启发式,关闭win 32启发式。误报情况明显改善。

推荐用小红伞的朋友只用默认设置,如果需要排除的,可以开启专家模式设置一下例外的文件夹和程序,其它的最好用默认的。

但AntiVir不支持中文版,不懂英文的朋友要用的话可能要费些脑筋了。

下载站点:http://download.enet.com.cn/html/030202005121601.htm