Archive for category 网络和安全

上次说过Vista已经将ipv6设置为默认，看来ipv6的部署已经迫在眉睫了，这些天我几乎从头开始，恶补了一下基础知识。

我们知道，IPv4地址是类似 A.B.C.D 的格式，它是32位，用"."分成四段，用10进制表示；而IPv6地址类似X:X:X:X:X:X:X:X的格式，它是128位的，用":"分成8段， 用16进制表示；可见，IPv6地址空间相对于IPv4地址有了极大的扩充

RFC2373中详细定义了IPv6地址，按照定义，一个完整的IPv6地址的表示法：xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx
例如：2031:0000:1F1F:0000:0000:0100:11A0:ADDF

　　为了简化其表示法，rfc2373提出每段中前面的0可以省略，连续的0可省略为"::"，但只能出现一次。例如：

1080:0:0:0:8:800:200C:417A
FF01:0:0:0:0:0:0:101
0:0:0:0:0:0:0:1
0:0:0:0:0:0:0:0

　　上述地址可简写为：
1080::8:800:200C:417A
FF01::101
::1
::

　　类似于IPv4中的CDIR表示法，IPv6用前缀来表示网络地址空间，比如：
2001:250:6000::/48 表示前缀为48位的地址空间，其后的80位可分配给网络中的主机，共有2的80次方个地址

ok，下面解释一些常见的IPv6地址或者前缀：

::/128      即0:0:0:0:0:0:0:0，只能作为尚未获得正式地址的主机的源地址，不能作为目的地址，不能分配给真实的网络接口
::1/128     即0:0:0:0:0:0:0:1，回环地址，相当于ipv4中的localhost（127.0.0.1），ping locahost可得到此地址

2001::/16     全球可聚合地址，由 IANA 按地域和ISP进行分配，是最常用的IPv6地址
2002::/16     6 to 4 地址，用于6to4自动构造隧道技术的地址
3ffe::/16     早期开始的IPv6 6bone试验网地址
注：上面三类属于单播地址，都是目前互联网上广泛应用的IPv6地址

　　fe80::/10     本地链路地址，用于单一链路，适用于自动配置、邻机发现等，路由器不转发
ff00::/8      组播地址

　　::A.B.C.D          其中<A.B.C.D>代表ipv4地址，兼容IPv4的IPv6地址。自动将IPv6包以隧道方式在IPv4网络中传送的IPv4/IPv6节点将使用这些地址
::FFFF:A.B.C.D     其中<A.B.C.D>代表ipv4地址，例如 ::ffff:202.120.2.30 ，是IPv4映射过来的IPv6地址，它是在不支持IPv6的网上用于表示IPv4节点

“熊猫烧香”病毒红了，在它三根香的虔诚祈祷下，不到数月便红遍了整个中国，上了CCTV，也让自己的大名摆在了瑞星，江民，金山以及各大信息安全论坛和各类电脑技术交流网站的“头版头条”，就连我们的国宝大熊猫也未曾在IT界有过这等“殊荣”，显示出一派“满城尽烧熊猫香”的壮观场景。

如果抛开法律和道德层面，单从技术角度来分析的话。“熊猫烧香”真乃我国信息安全界的一大“国宝”，从另一个角度来说,它至少让大家明白了中国网民的网络安全和反病毒的基础知识和意识有待提高,也让各大病毒厂商从自己吹捧的各项专利技术和各种“国际领先水平”的头衔中彻底醒悟了过来。拥有众多的反病毒专利技术和“国际领先水平”的杀毒软件在可爱的“熊猫”面前是如此地不堪一击，往往总是在病毒出尽了风头，危害了数十万用户之后，“专杀工具”才终于姗姗来迟。有人说是“非典”成就了如今一整套的完善卫生预警体系。那么我们可不可以类似地说，正是因为“熊猫烧香”、“威金”，“魔波”等一系列病毒，才使得脆弱的网络变得更加的坚固，才使得人们的防范意识和防范常识更加的深入人心。况且“熊猫烧香”在目前看来，并不是为了经济利益，与各种金钱至上所驱使的流氓软件，诈骗的QQ尾巴相比，或许它烧香只是为了祈祷人们更好的防范网络的安全。

“熊猫烧香”本身

“熊猫烧香”是一个传染型的DownLoad，使用Delphi编写，从技术上来说它并没有什么创新之处，却借鉴很多经典病毒，木马甚至是流氓软件的技术优点。综合成了一个拥有可爱的图标却让人闻之色变的病毒。任何一个技术单一拿出来杀毒软件都能应付，但是综合到一起这只“熊猫”却反过来让众多杀毒软件成了它“烧香”时的拜忌品。它的运行原理并不复杂，无非是“复制文件到系统目录和根目录”，” 添加注册表启动项“，“利用微软自动播放功能运行”，“针对计算机本身攻击弱口令”，“利用IE浏览器漏洞在网页文件中添加脚本代码”等等一些并不算“最新先进”的技术。但就是这些“不算最新”的技术却在全国上下揭起了一股“烧香”热潮。由此说明，我们有大部分网民缺乏最基本的网络安全防范知识，也缺少良好的上网习惯。如果用户能及早打好系统补丁，为系统管理帐户设置复杂无规律的密码，关掉一些不需用到却存在安全隐患（如139，445等）的端口，，同时关闭非“系统必须”的“自动播放”功能。对.gho 的系统备份文件设置为“只读”，那么“熊猫烧香”也不至于流传这么广，这么快，也不至于很多企事业单位整个局域网电脑都集体“烧香”

再来看看我们的各大杀毒软件厂商

在这个“金钱至上”的年代，“熊猫烧香”成了众杀毒软件的卖点，或者说成了它促销的一个工具，自身的反病毒技术没有突破性的进步，却大肆鼓吹用户升级病毒库去购买正版，鼓吹企业购买企业版网络级杀毒软件。结果是：“熊猫烧香”流行了，用户受损失了，而杀毒软件厂商却笑了：“今年的利润指标可以提前完成了……”防病毒厂商受经济利益所驱使的升级鼓吹，在这只可爱的熊猫图标面前终于漏出了本来的面目。

最后来谈谈“熊猫烧香”的主人-病毒的作者

单从技术角度而言，可称得上是一个真正的顶级黑客，对网络，系统，程序设计等知识的综合运用已达到炉火纯青。与此相对比的是，很多无知的人整天开着别人开发出来的扫描工具，一阵乱扫，偶尔扫到了一二个漏洞，控制了一二台肉鸡或破坏了某网站上的一二个网页，就在论坛上高调的宣扬自己的“战果”，动不动就以黑客自居。更有甚者，为了宣扬自己在“网络江湖”中的威望，弄出一大堆的“黑客排行榜”或“顶级黑客一览表”来，然后把自己也位列其中……我想这类人在“熊猫烧香”的技术含量面前应该感到汗颜和反思。

后记：据说“熊猫烧香”的作者决定以后不再对它进行更新了。至于“熊猫”虔诚地“烧香”所代表真正含义，或许只有它的作者知道，或许是在祈祷，或许……如果还有或许的话…

公司里同事的一台机器今天出了问题：访问局域网的每台机器都没有问题，唯独无法访问internet。怎么设置均没有反应，最后他用了绝招——重装系统，新系统安装好了，故障依旧。

既然排除了系统的问题，网络问题也可以排除，只能从网关上找问题。正巧由于新装的XP只能从DHCP获得IP，DHCP的纪录网卡MAC竟然是00000000！该网卡是板载的VIA网卡，估计由于故障导致MAC丢失，路由器正好又无法对于这种MAC响应。正好手头上有块闲置的8139，更换后，问题解决。

估计如果通过软件更换MAC也能达到修复的效果。

使用以下命令配置以太网络
1、 ifconfig
可以使用ifconfig命令来配置并查看网络接口的配置情况。
例如：
（1） 配置eth0的IP地址， 同时激活该设备。
#ifconfig eth0 192.168.1.10 netmask 255.255.255.0 up
（2） 配置eth0别名设备eth0:1的IP地址，并添加路由。
#ifconfig eth0:1 192.168.1.3
#route add –host 192.168.1.3 dev eth0:1
（3） 激活设备。
#ifconfig eth0:1 up
（4） 禁用设备。
#ifconfig eth0:down
（5） 查看指定的网络接口的配置。
#ifconfig eth0
（6） 查看所有的网络接口配置。
#ifconfig
2、 route
可以使用route命令来配置并查看内核路由表的配置情况。
例如：
（1） 添加到主机的路由。
#route add –host 192.168.1.2 dev eth0:0
#route add –host 10.20.30.148 gw 10.20.30.40
（2） 添加到网络的路由。
#route add –net 10.20.30.40 netmask 255.255.255.248 eth0
#route add –net 10.20.30.48 netmask 255.255.255.248 gw 10.20.30.41
#route add –net 192.168.1.0/24 eth1
（3） 添加默认网关。
#route add default gw 192.168.1.1
（4） 查看内核路由表的配置。
#route
（5）删除路由。
#route del –host 192.168.1.2 dev eth0:0
#route del –host 10.20.30.148 gw 10.20.30.40
#route del –net 10.20.30.40 netmask 255.255.255.248 eth0
#route del –net 10.20.30.48 netmask 255.255.255.248 gw 10.20.30.41
#route del –net 192.168.1.0/24 eth1
#route del default gw 192.168.1.1
对于1和2两点可使用下面的语句实现：
Ifconfig eth0 172.16.19.71 netmask 255.255.255.0
Route 0.0.0.0 gw 172.16.19.254
Service network restart
3、 traceroute
可以使用traceroute命令显示数据包到达目的主机所经过的路由。
例如：
#traceroute www.sina.com.cn
4、 ping
可以使用ping 命令来测试网络的连通性。
例如：
#ping www.sina.com.cn
#ping –c 4 192.168.1.12
5、 netstat
可以使用netstat命令来显示网络状态信息。
例如：
（1） 显示网络接口状态信息。
#netstat –i
（2） 显示所有监控中的服务器的Socket和正使用Socket的程序信息。
#netstat –lpe
（3） 显示内核路由表信息。
#netstat –r
#netstat –nr
（4） 显示TCP/UDP传输协议的连接状态。
#netstat –t
#netstat –u
6、 hostname
可以使用hostname命令来更改主机名。例如；
#hostname myhost
7、 arp
可以使用arp命令来配置并查看arp缓存。例如：
（1） 查看arp缓存。
#arp
（2） 添加一个IP地址和MAC地址的对应记录。
#arp –s 192.168.33.15 00:60:08:27:CE:B2
（3） 删除一个IP地址和MAC地址的对应缓存记录。
#arp –d192.168.33.15

一台Centos的主机，最近dmesg了一下，出现如下报错。

TCP: Treason uncloaked! Peer 196.29.40.33:11810/80 shrinks window 2455808217:2455808218. Repaired.

用11810端口连接Http收缩窗口，原先为2455808218 bit 现在为2455808217 bit 。（？）
类似的报错我是第一次看到。奇怪的是196.29.40.33这个IP竟然是来自于南非的，怀疑是某种利用TCP漏洞的攻击方式。呵呵但让我想到的却是曼德拉，想到了Ubuntu。。。。

既然是dmesg的报错，报错代码应该可以在kernel的代码里找到，find了一下，找到这样的一段

net/ipv4/tcp_timer.c
….
if (net_ratelimit()) {
struct inet_sock *inet = inet_sk(sk);
printk(KERN_DEBUG “TCP: Treason uncloaked! Peer %u.%u.%u.%u:%u/%u shrinks window %u:%u. Repaired.
“,
NIPQUAD(inet->daddr), htons(inet->dport),
inet->num, tp->snd_una, tp->snd_nxt);
}
….

报错来自 net_ratelimit()函数的”true”返回，从字面上看，应该是“网络速度限制”之类的毛病，感觉有点挨不上。有国外的网友分析为一类”tar-pit” ——使用歧变的数据封包引发内存溢出。

个人综合了一下，感觉上原理就是：使用了存在故障的网络设备，或者根本就是故意设置了一个非常小的初始数据窗口大小并禁止其移动，如果对方机器有更多的请求时才会发送一个确认信息（ACK）。从表面上看是速度受到了限制，实际上正是这个ACK有一定概率会被对方识别为歧变的数据包而导致内核的TCP模块溢出。

仅代表个人理解，希望各位发表高见！