blackhat 发表于 2011年11月14日 11时56分 星期一
wmr 写道: “中国工程院与南京市政府于2011年11月11日在南京紫峰大厦宴会厅共同主办“2011中国未来网络发展与创新论坛”。会上工程院院士方滨兴畅谈了未来网络的安全问题。
方院士指出一国的网络应可独立存在,而现在的体系则受制于美国。要想实现独立网络,应成立一个类似于联合国的根域名解析组织,各国对该组织有同等发言权。 另一个建立独立网络的方式就是考虑类似路由机制建立分布式名字服务系统,各国的名字服务系统不受制于任何国家以及任何国际组织。方院士还提出本国网络要拥 有对网络攻击的自卫能力,一定要拥有隔离能力。网络具备发现非授权接入网络的能力,对网络的接入要能够事后终止,对于不服从管理业务应该具有停止服务的能力。”
一堵墙,像一把刀
把一个城市切成两半
一半在东方
一半在西方
墙有多高?
有多厚?
有多长?
再高、再厚、再长
也不可能比中国的长城
更高、更厚、更长
它也只是历史的陈迹
民族的创伤
谁也不喜欢这样的墙
三米高算得了什么
五十厘米厚算得了什么
四十五公里长算得了什么
再高一千倍
再长一千倍
又怎能阻挡
天上的云彩、风、雨和阳光?
又怎能阻挡
飞鸟的翅膀和夜鶯的歌唱?
又怎能阻挡
流动的水与空气?
又怎能阻挡
千百万人的
比风更自由的思想?
比土地更深厚的意志?
比时间更漫长的愿望? Continue reading »
核心提示:美国正在研制并在全球范围内部署多种可以免受独裁政府监控或关闭的”影子”互联网和手机通讯系统。《纽约时报》披露了这一计划的详情。
原文:U.S. Underwrites Internet Detour Around Censors
作者:JAMES GLANZ and JOHN MARKOFF
发表:2011年6月12日
本文由”译者”志愿者翻译并校对
奥巴马政府正在带头开展一项全球计划,建立起”影子”互联网和无线电话系统,异议者可以以此来削弱专制政府,不会因为审查体制或关闭通讯网络就被消音。
这一计划包括在数个国家创建独立手机网络的秘密项目, Continue reading »
设定规则 iptables -p INPUT DROP
iptables -p OUTPUT ACCEPT
iptables -p FORWARD DROP
1、防止外网用内网IP欺骗
iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.0/8 -j DROP
iptables -t nat -A PREROUTING -i eth0 -s 172.16.0.0/12 -j DROP
iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/16 -j DROP
查看nat规则
iptables -t nat -L
2、如果想取消上面所加的规则:
iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat
3、阻止一个IP连接本机
iptables -t filter -A INPUT -s 192.168.1.5 -i eth0 -j DROP Continue reading »
虚拟主机服务商在运营过程中可能会受到黑客攻击,常见的攻击方式有SYN,DDOS等。通过更换IP,查找被攻击的站点可能避开攻击,但是中断服务的时间比较长。比较彻底的解决方法是添置硬件防火墙。不过,硬件防火墙价格比较昂贵。可以考虑利用Linux 系统本身提供的防火墙功能来防御。
抵御SYN SYN攻击是利用TCP/IP协议3次握手的原理,发送大量的建立连接的网络包,但不实际建立连接,最终导致被攻击服务器的网络队列被占满,无法被正常用户访问。
Linux内核提供了若干SYN相关的配置,用命令: sysctl -a | grep syn 看到:
net.ipv4.tcp_max_syn_backlog = 1024 net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5 net.ipv4.tcp_syn_retries = 5
tcp_max_syn_backlog是SYN队列的长度,tcp_syncookies是一个开关,是否打开SYN Cookie 功能,该功能可以防止部分SYN攻击。tcp_synack_retries和tcp_syn_retries定义SYN 的重试次数。加大SYN队列长度可以容纳更多等待连接的网络连接数,打开SYN Cookie功能可以阻止部分 SYN攻击,降低重试次数也有一定效果。 Continue reading »
一般LINUX防火墙(iptalbes)的运用无非是用nat 表(PREROUTING、OUTPUT、POSTROUTING)和filter表(FORWARD、INPUT、OUTPUT)。我们只有知道了数据的流向才能正确的配置防火墙。现用一个相对比较直观的图形解释数据的走向。
(此处只作最基本的iptables数据流走向说明。)
上图是你的家,蓝色的圈是你家院子,有两扇大门①⑥进出,你家有两个房间,分别为eth0和 eth1房间,每个房间有两个门可以进出②③④⑤。旁边是张三和李四的家,张三家和李四家之间的往返必须要过你家院子。
现假设,eth0网卡IP为:192.168.5.1链接内网,eth1网卡IP为:218.100.100.111链接互连网。
再假设,“张三家”为一个局域网,“李四家”为互连网。进我家院子用PREROUTING,出我家院子用FORWARD,进我家门用INPUT,出我家门用OUTPUT。(当我们的操作是征对服务器本身而言的话,如SSH操作,此时肯定会用到PREROUTING、INPUT和OUTPUT,当数据只是通过服务器去访问别的机器时会用到PREROUTING和FORWARD。) Continue reading »
问题描述:
1. 在启用firewall的情况下, 程序第一次使用cmnet上网后,不能使用wifi来上网; 程序第一次使用wifi上网后,不能使用cmnet来上网.
2. 关闭firewall后才可以上. 黑莓自带浏览器不受影响.Goonuu不受影响.
3. 现象,不能连接时提示: The application has attempted to open a connection to a location inside the firewall and outside the firewall.
原因剖析:
1. 在黑莓出厂的默认设置中, 为保持手持设备的网络安全,禁止了第三方程序的private和public两种类型连接方式的共存,以保护内部网络数据不被第三方程序传送到public网络. 例如黑莓企业服务器的MDS输入private类型,而wap和cmnet属于public类型.
2. 此项控制是通过手机IT Policy中 “ALLOW_SPLIT_PIPE_CONNECTIONS” 这一条策略来调整,出厂默认为False.需将其设置为True才可以使用多种类型上网方式.
解决方法:… Continue reading »
近日,我国具有完全自主知识产权的曙光龙芯防火墙在国家战略部门安全产品采购中不断取得突破,获得了有关国家战略部门安全产品的最高级别认证,并通过了国税总局的入围验证测试。国家重要部门一直是我国信息安全防范的要害部门,随着信息已成为国家和社会发展的重要资源,信息安全尤其是国家战略部门的信息安全关乎民生、经济、军事、企业等各个方面的安全,对其进行安全防范已是刻不容缓。
如何做好自身安全防范,如何避免国家机密信息的泄漏,正成为政府最关注的问题。而要构建中国的信息安全体系,则核心技术必须掌握在中国自己的手中。
据悉,国家战略部门对信息安全有着特殊要求,对安全产品的关注点与其他国家机构有所不同,往往要求使用的安全产品必须满足“产品的核心技术、关键部件具有我国自主知识产权”,“产品研制没有故意设置漏洞、后门、木马”。但目前市场上的安全产品,其硬件平台的核心部件大都采用国外CPU,隐藏着很大的安全隐患,大都难以满足有关国家战略部门需求。
据介绍,曙光的天罗防火墙采用国产龙芯CPU以及自主知识产权的安全操作系统DSOS,真正实现了从软件到硬件、从系统到芯片具有完全自主知识产权。此外,该防火墙功能全面,集防火墙、VPN、入侵防御IPS、高级路由、内容过滤、网络管理于一身。它具有较强的网络接入控制、安全管理功能、极强的抗缓冲区溢出攻击性能,还具有丰富的流量控制、P2P过滤、高级路由、日志审计、VPN等增强功能。整合了软硬件之后的曙光天罗防火墙,性能强大,达到了工业控制级标准。 Continue reading »