一切都围绕comodo防火墙展开

伯夷叔齐

主菜之前，先上一道开胃甜品

关闭comodo防火墙（系统墙已禁止）

通过GRC防火墙测试网站对0-1055端口的测试结果如图：


关闭防火墙后，还保持隐藏的端口有：135-139，445，593

想表达的就是，windows7相比XP，很优秀。

主餐介绍

测试者系统为windows7，如有出入，请多分析方法。此帖不是一个规则贴，仅仅是一个方法论。就不赘言了，三个目的：

1、把除TCP、UDP、（ICMP）之外的协议调出来，让大家讨论；更好的提高网络通讯的安全和稳定；

2、对个别程序进行严格设置以提高安全性；

3、和大家讨论一下各种协议在网络环境中的作用，以及让大家对查看网络日志时，对一些“奇怪的”数据包有一个认识，而不至于造成担心。

一、提取规则，挖出ICMPv6与“IP细节”所隐藏着什么玄机

（一）前期准备

1、保证本地连接和宽带连接都加载了IPv6驱动


2、防火墙行为设置中勾选“启用IPv6过滤”，并确定（为了激活IPv6过滤机制）


并把防火墙警告级别设置为最高，原因如图中右边红色所示，目的就是产生最细致的规则

3、在“端口隐藏”向导中，激活或再次激活第二项（为了激活IPv6过滤机制）


这个时候，看到P2P全局规则里，多了一条“阻止IP入从任何到MAC任何当协议是ICMPv6”。看来，comodo还没有为IPv6时代的到来做好充分准备。


4、下图是comodo安装后默认的防火墙程序网络控制部分的规则。如图：


它们是从D+的程序规则中由comodo安装后自动导入到防火墙程序控制部分。紫色框定的就是防火墙程序控制部分的三个程序组；红色框定的是经常进行网络通讯的程序或服务。如图：



先别冒进，摸着石头过河，系统程序是最容易“出状况”的地方，那么把默认的防火墙网络规则里的“Windows系统升级程序”、“windows系统程序”的网络规则修改为询问IP出入站。如图：



（二）启动进入系统，介绍提示框

准备工作已就绪，要做的就是重新直接重新启动系统。

1、再次进入系统时，跳出询问框
主程序：Svchost.exe
ADSL拨号上网的外网用户，禁止该通讯，内网应该允许通讯。

这个过程就是通过DHCP协议（动态主机配置协议）自动获取内网服务器动态分配的IP，前提是需要有一个局域网，如家庭内部网络。源IP为0.0.0.0 或 :: 这两个分属于IPv4与IPv6的地址表示，此时本机局域网地址未获得分配，它们地址不是真正意义上的IP地址。而这里的IP:255.255.255.255和ff02::1:2的地址是限制广播地址，网内所有主机的意思，而并不是具体远程地址。
端口号68对应546 67对应547，系统没有加载IPv6，就不会有第二个提示框，一次启动电脑到关机过程，只会有一个提示框出现，这里拿出来，仅作对比。
ff02::1:2  =   ff02:0:0:0:0:0:1:2    =   255.255.255.255(私有广播地址)  


2、主程序：Svchost.exe
没有加载IPv6协议驱动，不会有第二个提示框。一次启动电脑到关机过程，只会有一个提示框出现，这里拿出来，仅作对比。
内网的朋友，需要允许此两项

上面两个提示框显示通过UDP协议访问IP224.0.0.252的5355端口，这是一个通过链路多播的名称解析（Link-local Multicast Name Resolution），协议允许IPv4和IPv6主机，执行在同一个本地连接的主机名称解析。相当于局域网中IPv4与IPv6之间的地址解析的"DNS"，不同的就是“多播”与"单播"的区别。图中分别是IPv6和IPv4的地址。该通讯的作用也仅限于内网。

ff02::1:3  =   ff02:0:0:0:0:0:1:3    =   224.0.0.252(组播协议地址)

3、主程序：Svchost.exe
路由器内网用户需要允许

可以从图中看到mcast（多播）一词，本地管理组的范围是239.0.0.0 - 239.255.255.255，用于私人组播领域，而239.255.255.250就属其中。

P2P下载时，会为客户端自动映射端口，UPNP协议规则基础上的PC 机和智能设备常见对等网络连接的体系结构，尤其是在家庭中。比如：支持upnp的路由器和Wi-Fi 和802.11B无线网络的连接等，应用范围太广泛。功能上的强大和安全上的虚弱共存，可以通过在系统“服务”中禁止SSDP服务和Universal Plug and Play Device Host两项服务，以关闭1900端口，但那样，就会无法搜索到upnp设备，以后随着即插即用和家庭智能产品用户大幅增加，可能随口就让用户关闭此两项服务的说法将叫停，就如现在看若干年前随口建议用户“关闭防火墙”、关闭”QoS数据包计划程序“、”关闭桌面视觉效果，以提升系统性能“那样搞笑。


4、系统服务：System
内网禁止System出站的朋友，需要添加此项规则

IGMP代表internet组管理协议，处于在网络层和链路层工作状态。该协议被IPv4系统用于向邻接的多播路由器报告组成员的关系。224.0.0.22代表所有的IGMP路由器。

禁止该项就禁止了IGMP在内网的实现该组协议对邻接IGMP路由器的报文。当然，不代表关闭IGMP对其他网络下的其他种类路由器和主机的报文，当然，除非电脑处于复杂的网络环境，面对不同的网络、路由器等条件下。

为什么不代表关闭整个IGMP工作状态？举个例，如图：

此图中，能够说IP细节阻止了192.168.0.88-192.168.0.254的局域网IP范围的TCP通讯，就是阻止了整个TCP协议的通讯吗。显然不能这样看。

话分两头说，如果浏览器阻止通过TCP协议访问web服务器80、443端口呢。它当然没有禁止浏览器全部功能，那就只有与web服务器之外的如FTP等主机建立通讯（很多浏览器的功能都扩展），那么浏览器就要改名字了。

所以作为一般路由器内网的用户，当禁止system通过IGMP协议与ICMPv6协议通过224.0.0.22协议地址向网内的IGMP路由器报文，那么在内网的组管理功能就基本丧失了。

（三）连接互联网介绍提示框

1、系统服务：System
IP细节是否允许该组播协议。尽管是ADSL拨号后产生的提示框，但只是用于内网，因为该组播协议地址显示的是ff02::16，“翻译”成IPv4地址也就是224.0.0.22，属于只支持内网的组协议范围。内网限制出站的朋友需要添加该规则。阻止它就关闭了ICMPv6协议的IGMP（Internet组管理协议）对所有IGMP路由器的报文功能。同时，也要看IGMP协议是否能够代替ICMPv6在224.0.0.22组协议下的全部工作。当然，除非你处在不同网络不同类型路由器等条件下。问题同上。

注意看，该图与再上一图中的组播地址协议都是显示的224.0.0.22，因为新的ICMPv6中嵌入了对IPv4协议中IGMP的支持。也能够工作在网络层和链路层之间。
ff02::16   =   ff02:0:0:0:0:0:0:16  =   224.0.0.22（组播地址）
[ff02::16]这个地址是IPv6协议下的地址格式也就是IPv4中的224.0.0.22 ，16进制中的16就是10进制的22


2、程序：Svchost.exe
穿隧协议是最基本IPv4资源和IPv6资源进行通信所必需的协议。激活了ICMPv6的朋友，不需阻止，如果规则设置过严，最好把其加入到规则。当然，现在的windows7都有对IPv6 IPv4两个协议的支持；XP系统如果装有IPv6协议驱动，最好允许用穿隧协议访问IPv6资源。

但这里需要介绍一下：

为了连通 IPv6 互联网，一个孤立主机或网络需要使用现存 IPv4 的基础设施来携带 IPv6 封包。这可由将 IPv6 封包装入 IPv4 封包的穿隧协议来完成，实际上就是将 IPv4 当成 IPv6 的链接层。

IP 协议号码的 41 号用来标示将 IPv6 数据讯框直接装入 IPv4 封包。IPv6 亦能将入 UDP 封包，如为了跨过一些会阻挡协议 41 交通的路由器或 NAT 设备。其它流行的封装机制则有AYIYA和GRE（IP细节识别号为47）。

而IP:192.88.99.1是IANA（国际互联网代-理成员管理局）规定的保留地址6to4隧道地址（范围是192.88.99.0-192.88.99.255），就如同国际互联网组织规定的0-1023（保留）端口一样。

3、下图是刚才允许上述提示框后产生的规则，svchost.exe与system“脱离组织”，单独生成两个规则组。

4、在ICMPv6协议中，IPv4 组成员协议（IGMP）的多点传送控制功能也嵌入到 ICMPv6 中。那么就很有可能IP地址通过映射本机链路层MAC来控制internet环境中的对数据传输和消息的控制和报文。那么建议用户在防火墙设置中对ICMPv6以及IGMP的通讯绑定MAC物理地址。下面，就来做下验证：

之前出现的“IP细节为ICMPv6，是否加入224.0.0.22的组协议”的提示框出现后，产生了规则，把该规则的源地址改为MAC物理地址。如图：

断网，再拨号连接网络。然后进入日志选择性查看。通过下图，可以看出，在绑定MAC地址后，测试顺利通过。

由此看来，ICMPv6工作在网络层并可以到链路层映射物理地址，至少嵌入的IGMP协议部分，可以去到链路层映射物理地址（不能说工作在链路层，除非硬墙，本身就工作在链路层）。ICMPv6在控制消息报文中，是否首先就通过对宽带IP地址或本地连接IP地址的报文，出现地址差错或地址欺骗，再去映射物理地址（如ARP协议），还是首先就直接通过这两个地址去映射MAC物理地址。如果是后者，那么证明了ICMPv6的安全性，对ICMPv6和IGMP是否需要绑定就值得商榷。

如果是前者呢！那将是以上规则提取的最大实用价值所在！在搞不清状况的前提下，用户自己通过comodo做一下MAC物理地址的绑定，看来还是很有必要的。这里也印证规则设置里MAC物理地址选项存在的和合理性。

当然，组协议不仅仅针对内网，而是整个互联网这个大框架，但在一个拓扑网络结构中，有无数不同类型的网关、路由器、主机作为网络传输的节点，IGMP更多出现在这样的使用环境中，几乎绝大多数内网外网的组播协议地址，可能不是我们处于网络架构中最边缘的一般adsl拨号用户和内网用户所能碰到的。

5、这下知道了一个程序规则中，简单的“允许或禁止IP出入”里，竟有那么多问题，“内有乾坤”。那么，上面的一切提示框中对ICMPv6、IGMP的显现，仅仅只是发生在system和svchost.exe以及“windows系统程”序身上吗，还有其他程序呢。（当然，这样的情况一般不会发生，这里只做验证、思路和方法）

把刚才“windows系统升级程序”和“Windows系统程序”的规则由询问所有IP出入并记忆规则，修改为询问所有TCP/UDP出入，并记录。

把在D+文件夹文件保护的组中把所有程序（*）添加到防火墙程序规则中，移动到规则最上方，并添加进除TCP、UDP、TCP/UDP、ICMP之外的所有“IP细节”，如ICMPv6、IGMP、GRE等，规则都选记录日志。并可临时作为防火墙程序网络控制部分在不同网络环境收集不同协议的开关。单一的网络，根据自己的路由器类型和主机，收集完并建立规则后，可以关闭。
如图：



6、一会单播广播、一会多播组播，绕得人脑子有点乱。这里来理清一下思路：

拷贝一段

单播是：有具体目标地址的帧从源到达目标地址的过程。比如你对小月喊“小月”，那么只有小月答应你  

多播（组播）：就是帧送往定义在一组内的地址。比如你喊：“是男人都过来一人发一百块钱”。哪么男的都会过来女的就不会过来因为没有钱发她不会理你  

广播：就是把帧发往所有能到达的地址。比如学校的广播中喊“今天放假”。哪么全校的同学都会响应，大叫爽死了。  
==========================================================
“单播”（Unicast）、“多播”（Multicast）和“广播”（Broadcast）这三个术语都是用来描述网络节点之间通讯方式的术语。那么这些术语究竟是什么意思？区别何在？

——★单播★——  

网络节点之间的通信就好像是人们之间的对话一样。如果一个人对另外一个人说话，那么用网络技术的术语来描述就是“单播”，此时信息的接收和传递只在两个节点之间进行。

单播：一对一  

单播在网络中得到了广泛的应用，网络上绝大部分的数据都是以单播的形式传输的，例如，你在收发电子邮件、浏览网页时，必须与邮件服务器、Web服务器建立连接，此时使用的就是单播数据传输方式。但是通常使用“点对点通信”（Point to Point）代替“单播”，因为“单播”一般与“多播”和“广播”相对应使用。  

——★多播★——  

“多播”可以理解为一个人向多个人（但不是在场的所有人）说话，这样能够提高通话的效率。如果你要通知特定的某些人同一件事情，但是又不想让其他人知道，使用电话一个一个地通知就非常麻烦，而使用日常生活的大喇叭进行广播通知，就达不到只通知个别人的目的了，此时使用“多播”来实现就会非常方便快捷，但是现实生活中多播设备非常少。  

广播和多播仅应用于UDP，它们对需将报文同时传往多个接收者的应用来说十分重要。TCP是一个面向连接的协议，它意味着分别运行于两主机（由IP地址确定）内的两进程（由端口号确定）间存在一条连接。  
考虑包含多个主机的共享信道网络如以太网。每个以太网帧包含源主机和目的主机的以太网地址（48 bit）。通常每个以太网帧仅发往单个目的主机，目的地址指明单个接收接口，因而称为单播(unicast)。在这种方式下，任意两个主机的通信不会干扰网内其他主机（可能引起争夺共享信道的情况除外）。  
然而，有时一个主机要向网上的所有其他主机发送帧，这就是广播。通过ARP和RARP可以看到这一过程。多播(multicast) 处于单播和广播之间：帧仅传送给属于多播组的多个主机。  
为了弄清广播和多播，需要了解主机对由信道传送过来帧的过滤过程。

本地链接地址：224.0.0.0～224.0.0.255，用于局域网，路由器不转发属于此范围的IP包
预留组播地址：224.0.1.0～238.255.255.255，用于全球范围或网络协议
管理权限地址：239.0.0.0～239.255.255.255，组织内部使用，用于限制组播范围

224.0.0.0 － Base address
224.0.0.1 － 网段中所有支持多播的主机
224.0.0.2 － 网段中所有支持多播的路由器
224.0.0.4 － 网段中所有的DVMRP路由器
224.0.0.5 － 所有的OSPF路由器
224.0.0.6 － 所有的OSPF指派路由器
224.0.0.7 － 所有的ST路由器
224.0.0.8 － 所有的ST主机
224.0.0.9 － 所有RIPv2路由器
224.0.0.10 － 网段中所有支的路由器
224.0.0.11 － Mobile-Agents
224.0.0.12 － DHCP server / relay agent.
224.0.0.13 － 所有的PIM路由器
224.0.0.22 － 所有的IGMP路由器
224.0.0.251 － 所有的支持组播的DNS服务器

由上所述，得出结论，不同类型的路由器、主机类型、以及网络环境，对应了不同的组播协议地址，通过对这些主机和路由器之间报文，协议组内所有主机，按协议组通过组播（组内的多播）的形式发来所需的数据。

这是组播地址列表http://jujiong.blog.163.com/blog/static/737072822010425103559449/

二、如法炮制，继续提取

（一）通过扫描测试，看看系统作为客户端是否存在隐患

1、分析检查系统

看看哪些是需要提供服务的程序。以管理员身份运行cmd.exe命令提示符，输入netstat -abn（通过查找监听端口和后台服务，以做到有的放矢）


看看哪些系统程序开放了哪些相对应的监听端口以及服务。启用这些监听端口的程序分别是：

wininit.exe(49152)
svchost.exe的eventlog服务(49153)
svchost.exe调用的schedule计划任务服务（49154）
lsass.exe(49156)、
services.exe(49157)
svchost.exe(135)
无法获取所有权信息的某个程序（445）
迅雷网络诊断程序XLDoctor.exe（33673）——》看，这个程序调用svchost.exe执行，如果是木马呢！后面我们再耍耍。


2、采取策略
把防火墙行为中的“警告提示”设置为中级。

上述程序可以手工添加到规则，并设置其TCP/UDP规则，但这样有点麻烦，接下来，就进入PCflank防火墙测试网站我或GRC测试网站，针对上图中的监听端口进行扫描，并在扫描过程中，提示框提示入站请求时选择阻止并记忆，阻止是为了不让电脑通过TCP/UDP连入被作为服务端。

这就是防火墙扫描测试过程中跳出的提示框。跳出提示框的还有wininit.exe、system、svchost.exe、lsass.exe、services.exe

提示：作为单机外网用户，当防火墙提示框出现“××程序  通过TCP或UDP端口正试图接收来自INTERNET的连接”的提示时，有两层表述：（1）就是告诉你你是否需要把电脑作为服务端而开放某项服务给对方作为共享；（2）就是看安全提示和文件名字，看是不是你所熟悉的程序，如果不熟悉，拦截！

再看这个例子，入站时，windows operating system本身就代表了无法探测连接背后的真正进程，并作为非法数据包的统称，代表已被过滤掉。但当报windows operating system出站时，就要相对警惕一下了，这层意思就是程序连出时，防火墙连建立连接的发起程序都查不到！
从文本框的提示来看，嗅探器不是本机的嗅探器软件而是木马，那就相当凶险了。如图：



3、下图是网站防火墙测试后阻止记忆产生的规则。



4、对以上程序禁止连网（单机）

现在把刚才除svchost.exe、system除外的其他系统文件lsm.exe、lsass.exe、service.exe、explorer.exe、wininit.exe、taskhost.exe这几个文件在D+的“文件夹文件保护”里分组，再在防火墙规则中导入，禁止TCP/UDP协议入站。把刚才除svchost.exe、system除外，其他程序产生的规则删除。



（二）防火墙全局规则里的设置

1、以上工作做完后，可以考虑全局规则中添加进这些协议的规则，起到简化规则的作用；更方便做全局统筹安排；一定程度的加强系统安全性，比如对于ICMP协议的类型和代码，除了程序发起的那一刻能够控制，比如ICMP回显请求消息（类型为8，代码为0），也许还有时间戳请求（13，0）、信息请求（15，0）、掩码请求（17，0）等，但不知道用到这样请求的都有哪些程序，我想黑客程序有很多在干这事。一旦允许，ICMP在程序控制部分是控制不了的，只有在全局进行过滤。

下面就来做这个工作，就上面那条ICMPv6提示框和规则，就不仅仅是system需要，dwm.exe也同样需要，如果有更多的程序需要发起ICMPv6和IGMP协议对IGMP路由器报文时，就完全有理由把“IP细节”为ICMPv6 通过本地MAC物理地址 访问“远程” IP224.0.0.22或[ff02::16]添加到全局规则里去。并在程序控制部分里删除该规则，并恢复“允许所有IP出”，甚至恢复程序控制部分的初始状态。如图：


下图是网络OSI 7层模型


到这里，关于所有IP出入背后的故事就暂时告一段落。


三、增加系统安全性相关杂谈

（一）对Svchost.exe采取“双规”

svchost.exe需要严格限制一下，我现在有点发觉，她就像个婊子，哪个都在用。
那就陪它耍耍。（摘自《让子弹飞》）

1、限制

这个程序网络功能主要是在于升级，时间同步，如果有其他的举动，一般默认设置条件下，是很难发现问题的。要让其访问升级服务器，如果不指向微软升级资源，那么木马也很可能利用80、443端口把数据传送到黑客那儿。
以下就来对这个程序进行一些限制。（单机 32位windows7）


上图中，我只让它更新系统和时间同步

2、指向访问主机和IP范围的技巧

关于微软更新主机，和IP范围如何找到呢。根据不同ISP服务商，也许部分资源IP范围不同，我仅仅只能说出方法。

如图：


这里是修改的内容，和以前稍微有点不同，升级主机名如何找到的呢。当禁止svchost.exe对80、443端口的访问时，会出现故障报告，提示如下：




下面红色框定的就是更新指定主机所需要收集的主机名



ww w.update.microsoft.com是若干*.update.microsoft.com中的一个主机名，comodo需给定具体主机名，后者加入规则将无效，而前者是有效主机名。图中的download.windowsupdate.com是必填项，效果很明显。

而下面的一些IP段，根据更新的稳定自己选择取舍，这些IP段是通过升级中遇到的问题和阻止访问80端口的日志中，提出来然后到IP WHOIS查询中找到的IP范围。升级资源的这些地址，都是联通一些其他省市分公司的资源服务器里的。应该是联通或微软采取了“内容分发服务”（CDS），让客户在访问站点和下载资源时，首先访问网络延迟时间最小的缓存服务器，从而得到最快的响应。

从上面说到的内容分发服务性质来看，这样的IP段不用收集多了，只要能够保证短时间寻找到升级资源并成功下载，就可以了。
WHOIS查询网站如下：
http://tool.chinaz.com/ipWhois/  IP段查询
http://ip.chinaz.com/IP物理地址查询
里面说到的时间同步主机，可以从控制面板中的时间日期里找到



把这些资源主机名和IP范围编到组里后，在规则里通过网络区域导入就可以了。

（二）拦截区域的困惑

上面提到主机名，就想起了一个问题，很多朋友说区域拦截里添加了网页，但还是能进入那个web页面。

这里要说的是，网页和主机名根本就不是一回事。纯粹的个人防火墙，过滤的依据是：源IP地址、目标IP地址（通过域名和主机名查找）、源端口、目标端口、协议、方向、程序。

而网页是一个资源定位符（url），也称为网址，它可以存在于任何人的电脑或纸张里，和IP根本就是两码事。URL主体由三部分组成：协议类型，主机名和路径及文件名。当然还有很多参数和具体路径等。主机名和IP如果是某大厦，资源定位符就如同访问者资料薄上所记录的该大厦具体楼层具体房间去做具体的事，以及大厦的进入方式。

举个简单的例子 http:// www. baidu. com/，这里的http：//表示通过http协议访问该资源；www .baidu. com就表示主机，这个才是我们要填入区域拦截里的东西。

涉及到同一资源定位符（网页），大家可以去“百度”。

freepatch

沙发之。抱歉，占楼太快

威尔士王子

坐等楼主写完

伯夷叔齐

看看还有什么问题。

mxf147

不错的教程，慢慢学习

建议把一些结论性的文字高亮一下，比如：
1、再次进入系统时，跳出询问框
图片中显示本机（通过68端口）访问远程255.255.255.255的67端口，这个过程就是通过DHCP协议（动态主机配置协议）自动获取内网服务器动态分配的IP，前提是需要有一个局域网，如家庭内部网络。此时本机局域网地址未获得分配，IP:0.0.0.0（记忆为规则就可以看到，提示框不会显示）这个地址不是真正意义上的IP地址。而这里的IP:255.255.255.255地址是限制广播地址，网内所有主机的意思。
ADSL拨号上网的外网用户，禁止该通讯，局域网应该允许通讯。

f176712667

伯夷叔齐 发表于 2011-4-20 12:28
主菜之前，先上一道开胃甜品
关闭comodo防火墙（系统墙已禁止）

必须顶起

无聊

复习了一下计算机网络，不错

zxzy

好帖， 慢慢看

mxf147

回复 8楼 zxzy 的帖子

我看了3遍，值得琢磨

伯夷叔齐

mxf147 发表于 2011-4-21 19:22
回复 8楼 zxzy 的帖子

我看了3遍，值得琢磨

如果版主在网络环境复杂的内网环境下玩三遍，那才更有意思。很早就想写这个东西了，但一直苦于我是单机，只好作罢。