哪位老大给写个adsl下管svchost的规则?

伯夷叔齐

伯夷叔齐 你设置的那些allow没有任何必要！！！

当网卡请求出站时，需要打开相应的端口和利用到的协议会根据网卡的请求而自动打开并传输。。。
你这样设置后反而会产生一个隐患，就是当程序关闭后，相关的数据仍然继续被充许出站，而不是随程序的关闭而立刻关闭！

只用一条block ip in from any to any......
无论浏览网站、提交表单、升级更新等等，还没发现任何问题（另外，IE只设置一条TCP out就可以）。。。。

fsdfsdf.jpg (23.47 KB)
2008-5-14 00:15

1、先从DNS说起吧。比如：百度，我们当要访问百度主页时，输入 www.baidu.com给域名服务器，程序就会通过UDP协议通过直接访问远程DNS服务器 或 SVCHOST.EXE递归访问DNS服务器的方式，去发送解析请求，询问百度的具体IP，DNS服务器就会通过自己的DNS缓存找出IP 220.181.37.55这个地址给客户，然后程序访问上面这个百度的地址，通讯就建立，这个时候，你的本机DNS缓存也会记录下这个域名的IP。如果不先去解析百度的DNS，那么与百度的通讯的建立就根本不可能，除非以前到DNS服务器解析过，你的本机DNS解析缓存里还有这个域名的具体IP记录。

2、个人PC主机也有自己的DNS解析缓存，当用户主机的解析缓存以前没有记录你现在需要访问的具体域名的IP时，那么程序再通过SVCHOST.EXE访问DNS服务器，如果直接提供解析的DNS服务器不知道这个域名的IP，那么它就会去连接其他DNS服务器以查找，再次，到根域名服务器的镜像去查找（最上级就是全世界的那13个根域名服务器，12个在美国，1个在日本）...........这个过程就是递归解析。那么通过你的浏览器和SVCHOST.EXE的网络规则可以分析出，你COMODO的D+部分是允许了DNS客户服务项的，所以你的浏览器先是进入本机的DNS缓存里去找以前的解析记录，你的DNS缓存包含了部分你经常访问的站点的域名的IP，所以你访问网络感觉很正常，但当你需要访问陌生的新的站点时，或在缓存定时清空后，你就会发现问题的存在。程序在D+里禁用DNS客户端服务，访问具体站点就会直接到DNS远程服务器解析，而不访问本机解析缓存，当然，这种直接解析的方式在得到具体IP地址后，也不会存到本机解析缓存，供其他需要SVCHOST.EXE递归访问的程序调用，这样，就建立了进一步的安全性。

ipconfig /displaydns  查看本机DNS解析缓存都有哪些记录
ipconfig /flushdns  清空本机解析缓存。在清空解析缓存之后，再启动一下电脑，你这个规则前提下，IE浏览器是否还能够正常访问网络，SVCHOST.EXE是否会跳出访问远程53端口的提示，你阻止后会发生什么！

所以在浏览器不直接访问远程DNS服务器，而用SVCHOST.EXE通过递归DNS解析去查找本机解析缓存，你的SVCHOST.EXE在解析缓存没有新站点记录情况下，肯定会建立允许访问远程53端口的规则的。

3、我之所以要建立以上的若干允许，其实目的就是更严格的控制程序对外部网络的访问，在需要范围内，把允许范围的规则做得更窄，局限得更死。我的规则，你看到的更多的是允许，眼睛所看到的和实际所发生的，往往会不同。如果你真正了解COMODO这款个人防火墙，并理解我的设置意图，就会明白我更多的是在阻止，难道不是吗？！！SVCHOST.EXE最后一条阻止规则就是禁止除上述5条允许规则外的所有通讯，在前面允许范围那么狭窄的前提下，最后这条阻止规则的阻止范围当然就更大了，成反比的。

结合到你上面的截图规则，如果访问新站点，或者解析缓存自动清空的前提下，你的SVCHOST.EXE不建立对远程DNS服务器53端口的访问是不可能的，与其在COMODO默认规则条件下，SVCHOST.EXE会要求建立允许所有IP出站到所有IP，我们为什么不根据需要，更多限定它的出站允许访问范围呢？！！（就依你上述的安全隐患的观点，当然，这肯定是共识）

4、“你这样设置后反而会产生一个隐患，就是当程序关闭后，相关的数据仍然继续被充许出站，而不是随程序的关闭而立刻关闭”————正确的话引用到错误的地方。

（1）建立允许规则仅仅是提供程序一个信息：你只能走哪儿，只能去实现你的具体哪个目的，而不是建立允许规则后，防火墙主动控制程序去外连，那样就不是防火墙了，而是木马了；只要你需要正常访问DNS缓存里没有的IP解析记录，你肯定要允许，即使允许后不生成规则，但此次连接通讯已经产生了。即使出现你说的短时间内继续被允许出站，那么唯一的办法只有去动态连接表里去中断连接；所以你这个问题不是什么问题，我感觉很好笑；

（2）这个时候，因为根据用户的网络特定的访问需要，我们不可能去阻止它的一切出站，就拿你截图中IE浏览器和SVCHOST.EXE程序规则的综合结果来说，当浏览器有DNS解析访问需要时，防火墙一样会提示，并需要你建立允许规则，所以这正是我一直强调程序尽量用直接访问远程DNS服务器，而不用svchost.exe递归连接的原因，这样就尽量减少此进程的安全隐患。svchost.exe是一个功能很强的进程，同时也是一个很脆弱的服务。————递归攻击就是利用了很多程序利用递归解析的毛病，制造IP地址欺骗。更别说浏览器这样的在恶劣网络环境中工作的程序类型了；

（3）“相关的数据仍然继续被充许出站”————出站的隐患的根源是在本机程序行为和网络出站访问行为上，这正是我们需要加强HIPS控制和防火墙出站行为控制的原因。所以安装COMODO时，它就强调，“请确信系统是干净的”，否则，它会在安装完毕后，生成一个HIPS的SAFE MODE模式，以触发机制让报警陡然增多。

5、无论浏览网站、提交表单、升级更新等等，还没发现任何问题（另外，IE只设置一条TCP out就可以）————这个不用多说了吧，这些服务都用到的TCP协议，解析问题就不敷述了。

最后总结陈词就是：你把浏览网页时，在本机DNS缓存调取解析出的IP地址，认为是浏览器去远程DNS服务器解析。当你看到SVCHOST.EXE没有连出到53端口的报警，就以为那条连接DNS服务器53端口的规则是多余的，甚至会造成安全隐患的结论，匆匆回帖，闹了一个不大不小的笑话。

[ 本帖最后由 伯夷叔齐 于 2008-5-18 01:19 编辑 ]

呵哈哈

谢谢伯哥详细的解答,可惜功力不足,理解起来不太容易

呵哈哈

原帖由 伯夷叔齐 于 2008-5-12 21:58 发表
3、Allow UDP Out From IP Any To IP 当地电信DNS服务器1 Where Source Port Is In [1024-5000] And Destination Port Is 53---------------会解析域名，否则访问网络时，电脑可能要犯晕；同时，其他程序如果不是直接通过自己访问指定53端口，而是通过递归网络方式访问DNS，那么也会用到SVCHOST.EXE去访问DNS服务器的53端口，但其他程序尽量少通过SVCHOST.EXE去访问DNS服务器

都有点不好意思问,当地电信服务器1和2的IP在哪可以看到?

huai168an

在“运行”中输入CMD   在打命令 ipconfig/all 就有信息了，看DNS

呵哈哈

收到

呵哈哈

Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.

C:\Documents and Settings\new>ipconfig/all

Windows IP Configuration

        Host Name . . . . . . . . . . . . : A4161BF973C14E6
        Primary Dns Suffix  . . . . . . . :
        Node Type . . . . . . . . . . . . : Unknown
        IP Routing Enabled. . . . . . . . : No
        WINS Proxy Enabled. . . . . . . . : No

Ethernet adapter 本地连接:

        Connection-specific DNS Suffix  . :
        Description . . . . . . . . . . . : SiS190 100/10 Ethernet Device
        Physical Address. . . . . . . . . : 00-17-31-33-2D-AC
        Dhcp Enabled. . . . . . . . . . . : No
        IP Address. . . . . . . . . . . . : 192.168.0.123
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . :
        DNS Servers . . . . . . . . . . . : 208.67.222.222
                                            208.67.220.220
        NetBIOS over Tcpip. . . . . . . . : Disabled

PPP adapter PPPoE_SiS190 100_10 Ethernet Device - 数据包计划程序微型端口:

        Connection-specific DNS Suffix  . :
        Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
        Physical Address. . . . . . . . . : 00-53-45-00-00-00
        Dhcp Enabled. . . . . . . . . . . : No
        IP Address. . . . . . . . . . . . : 60.20.63.218
        Subnet Mask . . . . . . . . . . . : 255.255.255.255
        Default Gateway . . . . . . . . . : 60.20.63.218
        DNS Servers . . . . . . . . . . . : 202.96.69.38
                                            202.96.64.68
        NetBIOS over Tcpip. . . . . . . . : Disabled

哪个电信服务器1和2,是208开头的那对还是202开头的?

491866227

限制的这么详细。
做服务器呢？

huai168an

DNS Servers . . . . . . . . . . . : 202.96.69.38
                                            202.96.64.68
将202.96.69.38设置DNS_1  
202.96.64.68设置DNS_2

不行的话就换成上面两个

[ 本帖最后由 huai168an 于 2008-5-20 12:43 编辑 ]

呵哈哈

谢谢楼上的,选了202这组了,也不懂什么叫行什么叫不行,呵呵,不知道上边那组叫什么,谁看到了可以帮我扫扫盲[:26:]

伯夷叔齐

原帖由 huai168an 于 2008-5-20 12:42 发表
DNS Servers . . . . . . . . . . . : 202.96.69.38
                                            202.96.64.68
将202.96.69.38设置DNS_1  
202.96.64.68设置DNS_2

不行的话就换成上面两个

不是这样，当然了，不设置也没有好大男女关系，无非就是规则看上去多一条而已。如果非要设置，在MY NETWORK ZONE里去组建组，把这两个地址添加到组里。再在防火墙规则中找到SVCHOST.EXE的那个DNS规则，导入这个目标地址组就可以了。当然，这样设置也是为了以后其他程序添加的方便。

[ 本帖最后由 伯夷叔齐 于 2008-5-20 13:07 编辑 ]