Linux防火墙伪装机制抵抗黑客攻击

        Pangolin是一款助你渗透测试人员举行Sql注入测试的安全工具Li,攻击。 所谓的SQL注入测试就是通过使用目标网站的某个页面缺少对用户传递参数控制或者控制的不够好的情况下出现的漏洞，从而达到获取、改正、删除数据，甚至　　Linux系统防火墙的伪装　　防火墙可分为几种差别的安全等级Li,攻击。在Linux中，由于有许多差别的防火墙软件可供选择，安全性可低可高，最复杂的软件可提供几乎无法渗透的保护能力。所以，请您细致在购买数据卡之前，先看清楚是否有调整COM1到COM4的跳脚。
　　当大家拨号接连上Internet后，大家的计算机会被赋给一个IP地址，可让网上的其他人回传资料到大家的计算机。黑客就是用你的IP来存取你计算机上的资料。Linux所用的”IP伪装”法，就是把你的IP藏起来，不让网络上的其他人看到。有几组IP地址是另外保留给本地网络使用的，Internet骨干路由器并不能识别。像作者计算机的IP是192.168.1.127，但如果你把这个地址输入到你的欣赏器中，相信什么也收不到，这是因为Internet骨干是不认得192.168.X.X这组IP的。

”，而以病毒为武器的其它攻击方式则不在这次统计分析范围之内。
　　那么，解决Internet上的安全问题，看来似乎是一件简单的事，只要为你的计算机选一个别人无法存取的IP地址，就什么都解决了。错！因为当你欣赏Internet时，同样也需要服务器将资料回传给你，否则你在屏幕上什么也看不到，而服务器只能将资料回传给在Internet骨干上登记的合法IP地址。
　　”IP伪装”就是用来解决此两难困境的技能。当你有一部安装Linux的计算机，设定要使用”IP伪装”时，它会将内部与外部两个网络桥接起来，并自动解译由内往外或由外至内的IP地址，通常这个动作称为网络地址转换。
　　实际上的”IP伪装”要比上述的还要复杂一些。根本上，”IP伪装”服务器架设在两个网络之间。如果你用模拟的拨号调制解调器来存取Internet上的资料，这便是此中一个网络；你的内部网络通常会对应到一张以太网卡，这就是第二个网络。若你使用的是DSL调制解调器或缆线调制解调器(CableModem)，那么系统中将会有第二张以太网卡，代替了模拟调制解调器。而Linux可以治理这些网络的每一个IP地址，因此，如果你有一部安装windows的计算机（IP为192.168.1.25），位于第二个网络上（Etherneteth1）的话，要存取位于Internet（Etherneteth0）上的缆线调制解调器（207.176.253.15）时，Linux的”IP伪装”就会拦截从你的欣赏器所发出的全部TCP/IP封包，抽出原本的本地地址（192.168.1.25），再以真实地址（207.176.253.15）取代。接着，当服务器回传资料到207.176.253.15时，Linux也会自动拦截回传封包，并填回精确的本地地址（192.168.1.25）。
　　Linux可治理数台本地计算机（如Linux的”IP伪装”示意图中的192.168.1.25与192.168.1.34），并处置惩罚每一个封包，而不致发生殽杂。作者有一部安装SlackWareLinux的老486计算机，可同时处置惩罚由四部计算机送往缆线调制解调器的封包，而且速度不减少。在其他Intranet上有数不清的计算机，也是用同样的IP，由于你基础不能存取，当然不能侵入或破解了。第二版核心即使提供了更快、也更复杂的IPCHAINS，但仍旧提供了IPFWADMwrapper来保持向下兼容性，因此，作者在本文中会以IPFWADM为例，来解说怎样设定”IP伪装”（您可至http：//metalab.unc.edu/mdw/HOWTO/IPCHAINS－HOWTO.html查询使用IPCHAINS的要领，该页并有”IP伪装”更细致的说明）。
　　另外，某些应用程序如RealAudio与CU－SeeME所用的非准则封包，则需要特殊的模块，您同样可从上述网站得到相关资讯。
　　就是如此！您系统的”IP伪装”现在应该可以正常工作了。如果您想得到更详细的资讯，可以参考上面所提到的HOWTO，或是至http：//albali.aquanet.com.br/howtos/Bridge＋Firewall－4.html参考MINIHOWTO。另外关于安全性更高的防火墙技能，则可在ftp：//sunsite.unc.edu/pub/Linux/docs/HOWTO/Firewall－HOWTO中找到资料。
　　半年来，56K模拟数据卡的价格突然跌降了不少。不过，大多数新的数据卡，其实是拿掉了板子上的控制用微处置惩罚器，因此会对系统的主CPU造成额外的负荷，而Linux并不支持这些”WinModem”卡。即使Linux核心高手们，还是有能力为WinModem卡撰写驱动程序，但他们也很明确，为了省10元美金而对系统效能造成影响，绝对不是明智之举。
　　请确定您所使用的Modem卡，有跳脚可用来设定COM1、COM2、COM3与COM4，如此一来，这些数据卡才可在Linux下正常工作。您可在http：//www.o2.net/～gromitkc/winmodem.html中找到与Linux兼容的数据卡的完整列表。
　　当作者在撰写本篇文章时，曾花了点时间测试各种差别的数据卡Li,攻击。Linux支持即插即用装置，所以我买了一块由Amjet生产的无跳脚数据卡，才又发明另一个令人困扰的问题。
[ Linux受攻击次数高于Windows ]　　作者测试用的PC是一部老旧的486，用的是1994年版的AMIBIOS。在插上这块即插即用数据卡后，计算机便无法开机了，画面上出现的是”主硬盘发生故障”（Primaryharddiskfailure）。经检查，发明即插即用的BIOS居然将原应保留给硬盘控制器的15号中断，配给了数据卡。最后作者放弃了在旧计算机上使用即插即用产品，因为不值得为这些事花时间。不过，Linux核心本身内建了一种称作”伪装”的简单机制，除了最专门的黑客攻击外，可以反抗住绝大部分的攻击行动。
　　在作者的布告板（http：//trevormarshall.com/BYTE/）上，看到有几位朋友询问是否可以用多条拨号线来改进Internet的上网速度。这里最好的例子是128KISDN，它同时运用两条56K通道，以达到128K的速度。当ISP提供如此的服务时，其实会配置两条独立的线路连到同一个IP上。
　　您可以看到，即使Linux上有EQL这类模块，可让您在计算机上同时使用两块数据卡，但除非ISP对两组拨号连线提供同一个IP，否则这两块数据卡也只是对送出资料有助你而已。
　　如果您拨接的是一般的ISPPPP线路，那么您会得到一个IP地址，从服务器回传的封包才能在数百万台计算机中找到您；而您每次拨入ISP时，都会得到一个差别的IP地址。
　　你的欣赏器所送出的封包中，也包含供服务器资料回传的本地IP地址。EQL可将这些外传的封包，疏散到差别的ISP线路上，但当资料回传时，却只能通过一个IP地址吸收，也就是欣赏器认为正在使用的谁人地址。若是使用ISDN，那么ISP会处置惩罚这个问题；一些ISP会为多组线路的拨号接入提供相应的IP地址，但价钱非常昂贵。
　　在追求速度时，请别忽略了Linux防火墙的效率。在作者办公室有六位使用者通过”IP伪装”防火墙，去存取一部56K模拟调制解调器，工作情况十分良好，只有在有人下载大文件时速度才会变慢。在您决定要加装多条ISP拨号线之前，可以先架设一部”IP伪装”服务器试试。windows处置惩罚多重IP的方式并非十分有效率，而将Windows网络与调制解调器隔开，效能的增进将会让您惊讶不已。
　　简而言之，Linux所用的”IP伪装”法，就是把你的IP藏起来，不让网络上的其他人看到。机制抵抗恶意黑客攻击