目前不用客户端的方法是... <- 中国开发网

CNDEV.ORG

当前在线

论坛

CBD
- 程序员情感CBD
- 程序员见面交流会
CBD开发区
- Java/J2ME
- .NET/C#
- 数据库
- Delphi/BCB
- Visual C
其它
情感
游戏
- CNDEV-CS/WOW
- 浩宇长空
生活
论坛系统

bigshrimp：目前不用客户端的方法是...

[阅读: 526] 2004-12-12 08:31:36

通常是通过内网某台管理机向每一台机器发送一个源地址为伪造成外网警报器地址的TCP SYN | FIN | URG 包,如果通常主机会发送一个 RST | ACK 应答,而这时如果外网警报器收到来源为非网络网关地址的应答,那么可以确定有外联行为...

但在被检测机器装有个人防火墙的情况下,不一定有效...(这是最麻烦的)

相关信息:

大家讨论一下内外网的隔离办法和经验 (空) (oxygen [583] 2004-12-12 00:16)
- 关键还是在应用协议级别/层次上作文章 (68字) (haitao [560] 2004-12-12 00:19)
  - 你是说做端口限制？ (空) (oxygen [575] 2004-12-12 00:22)
    - maybe (空) (坏鼠标 [477] 2004-12-12 00:23)
    - 仅端口太宽松了，数据库连接已经是端口加用户名、密码了，不还是担心嘛 (22字) (haitao [626] 2004-12-12 00:28)
      - 怎么防家贼 (空) (坏鼠标 [511] 2004-12-12 00:30)
        是防病毒 (空) (oxygen [411] 2004-12-12 00:31)
        为什么要防病毒 (8字) (坏鼠标 [525] 2004-12-12 00:32)
        也是，没事养几个病毒玩玩，领导才知道做技术的重要性 (空) (oxygen [499] 2004-12-12 00:36)
        本来就是嘛，没了问题领导养着你们干嘛啊 (空) (坏鼠标 [391] 2004-12-12 00:37)
        2说 (47字) (haitao [405] 2004-12-12 00:39)
      - 端口识别是最简单的，再复杂了就得砌墙了 (空) (oxygen [516] 2004-12-12 00:31)
        防火墙？那只能防到端口吧 (15字) (haitao [419] 2004-12-12 00:44)
        可以识别一些特征码 (空) (oxygen [506] 2004-12-12 00:46)
        那应该都是很简单的特征码 (22字) (haitao [455] 2004-12-12 00:48)
        no,新一代的防火墙是可以做到第四层的协议解析的,甚至支持自定义新的应用协议, (50字) (bigshrimp [622] 2004-12-12 09:55)
        你是做网络安全的？ (空) (oxygen [422] 2004-12-12 10:06)
        oxygen的要求是某个程序可以访问核心数据库，其它的一律杜绝 (93字) (haitao [536] 2004-12-12 10:08)
        我们先不要讨论内部的人员搞木马的问题，先讨论一下病毒的问题 (50字) (oxygen [494] 2004-12-12 10:13)
        病毒和木马的界限不是很明确,但肯定从外边进来有几个渠道. (393字) (bigshrimp [632] 2004-12-12 10:48)
- 把网线拔了？ (空) (Yxd [453] 2004-12-12 01:42)
- 通常是防火墙或简单的NAT来隔离,问题仍有几个 (101字) (bigshrimp [552] 2004-12-12 10:00)
  - 防火墙和nat对于不严格的隔离来说可以满足 (52字) (oxygen [495] 2004-12-12 10:04)
    - 是啊.所以工作在第七层的IDS,内容访问控制,病毒网关和防火墙网关的连动可能就是最好的解决办法了. (空) (bigshrimp [672] 2004-12-12 10:33)
      - 能不能说具体一点，有没有比较成功的案例 (空) (oxygen [441] 2004-12-12 10:35)
        CA 有一套比较好的解决方案,但我没用过,只是看它的概念还不错...但这整个用下来,费用高效率会低... (空) (bigshrimp [419] 2004-12-12 10:49)
  - 我对我单位的实施办法 (143字) (UnKnow365 [541] 2004-12-12 11:24)
    - 怎么限制乱改IP (44字) (小东 [705] 2004-12-12 11:32)
      - 我不用DHCP，IP与MAC绑定，一发现IP与MAC不符就发消息警告并限制上网 (空) (UnKnow365 [1205] 2004-12-12 12:28)
        总得有机器控制吧,要不然每个机器都装客户端 (空) (小东 [510] 2004-12-12 12:49)
        跟客户端没关系，是在网络边界上做的，比如说交换机或防火墙 (空) (玉楼 [497] 2004-12-12 13:05)
        描述不大准确，准确的说是不存在客户端，是在网络边界设备上做限制的 (空) (玉楼 [602] 2004-12-12 13:06)
        有没有资料，给个链接吧 (空) (小东 [463] 2004-12-12 13:29)
        3种方式,1.嗅探检查或交换机镜像端口 2.arp广播轮询 3.网关检查 (78字) (bigshrimp [962] 2004-12-12 15:42)
- 应着重讨论一下管理员对客户机私装网络设备(网卡,大小猫)的预防 (10字) (茗人 [496] 2004-12-12 15:06)
  - 这个没有很好的解决办法,最好是通过在每个client上装客户端来检查.... (空) (bigshrimp [506] 2004-12-12 15:44)
  - 目前不用客户端的方法是... (163字) (bigshrimp [525] 2004-12-12 16:31)
    - 这种方法有什么具体实现工具呢？或者是具体实现方法？ (14字) (zhong [440] 2004-12-12 16:59)
      - sendip,如果在windows下的话,最好是自己做,winpcap或rawsocket的,不过有一点,构造伪来源ip地址的包在XP SP2下Rawsocket是行不通的 (空) (bigshrimp [1031] 2004-12-13 09:14)

欢迎光临本社区，您还没有登录，不能发贴子。请在这里登录

页面内容处理时间: 0.010 - 509968