2。排除的IP段:这里设定的IP地址将不受规则限制。它用了省略方式来写的,10标识10.*.*.*的地址。
3。插件:打√才会启用。RAW规则就是用的PluginEditRawRule.DLL来支持的。
4。DLL:如果启用了DLL过滤,某个程序调用某个DLL访问网络也将受限制,不过控制很简单:允许/拦截,记不记
录日志。启用了DLL检测后LNS会自动发现哪些DLL并询问后自动添加进去。
Ⅶ。规则编辑和创建
也不是传说中的那样难,只需明白下面几点:
1。程序访问网络是有本机发出信息→目标(出站),以及目标传回信息→本机(入站)的。
2。程序访问网络是靠IP地址和端口来的。当然就有源地址端口和目标地址端口之分了。
3。协议分ARP、IP(包括TCP、UDP、ICMP、IGMP)。IPV4和IPV6都是IP协议,IPV6现在国内好像还没开始用,
不用管,一般选IP或IPV4即可。至于TCP管什么、UDP管什么一般不用了解,一切看日志。
4。MAC地址,那是比IP地址更原始的东西,每个网卡都有且只有一个世界上唯一的MAC地址。MAC其实和IP地址差
不多,当成IP地址那样来编辑规则即可。
Ⅶ-1。规则编辑举例1。
光说是比较难的,编辑个规则来熟悉更简单。就IE访问网页来说,来制定一个允许访问网页的全局规则:
首先要知道访问网页是 本机IP地址使用TCP协议的系统常用的1024~5000之间的端口传至网页地址的80端口,然后
对方使用TCP协议的80传送信息给本机原先使用的1024~5000间的某个端口,另外,不可能只访问一个网站吧,所以目
标的IP地址是不能确定的,简写下来就是:TCP,本机:常用←→任何IP地址:80
1。添加一条规则。如图:
2。规则名随便。描述随便。
3。因为访问网站使用的是TCP协议,所以上面选IP(也可以选IPV4),下面选TCP(也可以选TCP/UDP,不过那样
就会允许UDP了,不好)。
4。来源IP地址:因为是本机→网站,所以这里IP地址选择“等于本机”(LNS会自动套用本机的IP地址)。
5。来源端口:因为访问网站都是本机用1024~5000端口范围内的空闲端口来访问,且不定,所以这里直接选“本地
常用内”。
6。目标IP地址:除非你想只能访问一个网站。
7。目标端口:大多数网站都是80,所以这里填80。
8。方向:因为是双向的,且IP地址和端口都没变,所以选“出站和入站”。
注意:
1)。当方向是出站时,来源方指发起端,一般是本机。入站时来源也是发起端,但是是从外传进来的,本机是接
收,所以目的端一般才是本机。当双向时,来源方想成都是本机即可。
2)。新添加的规则默认是拦截,所以建该规则后需点击图标改成放行。
3)。新添加的规则都是在最上面,应根据规则性质移动到合适位置,上面那条是TCP协议,放在TCP协议那一堆规
则中,且应在拦截所有TCP数据这条规则的上面(不然TCP的都拦截了,下面放行的TCP规则有何用)。再应用即可。
4)。对于加密网站(网址是以https开头,比如工行网站),他们的端口是443,而不是80,可以将上面那条规则延
伸一下,目的端口设置成“等于 或”,下方填入80和443即可。
Ⅶ-2。规则编辑举例2。
再来看一条规则,该规则是实现局网文件共享功能其中的一条规则:
该规则建立之初是根据日志来的,当访问局网共享时,没成功,查看日志发现拦截了很多137和138的东东,一个个添加
后得到得局网共享需要放行的规则,下面是其中的一条:
1。允许 UDP,192.168.1.56:137→192.168.1.77:137 的数据进入本机。
2。允许 UDP,192.168.1.56:137→192.168.1.255:137 的数据进入本机。
3。允许 UDP,192.168.1.56:138→192.168.1.255:138 的数据进入本机。
其中,192.168.1.56是局网共享的那台计算机的IP地址。192.168.1.77是本机IP地址。192.168.1.255是局网范围内
的一个广播地址,如果发出的数据目的地址是它,在局网中的其它所有计算机都可以接收到该数据。以上3条可合并后就
成为:允许,进入,IPV4,UDP,来源=局网机IP地址:137或138,目的=本机、广播:137或138。
以上只是举一个例子,上面那样设定后会多出来允许局网137或138访问本机138,这里只是因为在制定局网共享的规
则,所以有那样的漏洞也是允许的,如果是其它规则应注意漏洞对于安全的影响。
Ⅶ-3。关于 ETH地址(MAC地址)和IP地址:
两个不能同时填,会造成规则无效。比如想只允许一个数据中附带了网关MAC同时带了网关IP地址的数据进出,用LNS默
认的规则编辑器是不行的。这个时候只能依靠RAW编辑器了。但是也可以做两条规则来实现,第一条允许MAC到MAC,
第二条允许IP到IP,然后将第一条的那个黄色↓带一横的图标点掉,就可以了(数据需接受第一条的检查后还必须接受第二
条的检查),这也正体现了LNS的精细。
Ⅶ-4。关于RAW编辑器:
LNS默认一条规则只能同意2个独立的端口或一个端口范围,IP也一样,MAC和IP不能同时指定,不能对数据包进行过滤
(想防范碎片攻击)这些功能要想实现必须依靠LNS的插件:RAW编辑器。后面再说RAW。
Ⅷ。关于安装:
安装时注意如果系统提示什么的按允许确定即可,安装完先不重启,复制插件文件和汉化文件覆盖原文件后再重启,已重
启的就退出LNS,复制后再打开。用算号器算出注册码直接填进序列号窗口,按验证后如果验证按钮变灰了就表示注册成
功了(注册码是与本机绑定的,只能自己用)。
如果上不了网,取消程序过滤的√和网络过滤的√,然后就可以上网了则是规则原因,还是不能上网则手工选网卡看
看。确定是规则的原因后打开网络过滤,把禁止的都打上允许日志,然后查看日志查找原因,或者直接依次点“添加”
“确定”“取消禁止图标”“允许日志”,建立出一个全允许规则,再慢慢找原因。网上提供的那些规则一般都需要自己
更改与网关有关的规则的。
Ⅸ。关于RAW编辑模式。
RAW编辑需要LNS的一个插件,复制PluginEditRawRule.DLL文件到LNS安装到的文件夹中,点开LNS的高级选项的插件
设置,勾选它,即可在网络过滤规则界面的添加和编辑中多一个“>”出来,可选用RAW来编辑规则了。为了方便说明,
举一个例子,用RAW建立一个包含4个端口的规则(见下图描述),首先创建一个如图的规则,见图:
然后用RAW来编辑,如果不作修改,那下方的RAW规则和上方的普通规则是完全一样的:
“允许,拦截,记录”3个可以在全局规则中选择,其它嘛一旦用RAW更改了就只能用RAW来更改,RAW使用字段的方
式来设置各个不同的值,字段本身无意义,字段的值才有意义。
如图,字段2和字段3设置的是本机IP和端口,由于LNS可以直接选择本机IP和常用端口,所以右上的字段值没有显示,无
需手工设置。
注意红色框内的信息,如图字段4,21、80明显就是我们设置的目的端口,字段5中,未应用,表示该字段没有使用,其
后的也都是这个,也就是说这条RAW规则只设置了0~4字段。
我们现在来修改,使之达到4个端口的目的,见图:
先修改4,注意蓝色部分,把“字段检查标准”更改成“值1值2或掩码”,使之可以在“字段值”中设置3个值(这里说
明一下,这里的值1值2或掩码,其实那个掩码的意思是值3)。然后再在掩码框中填入第3个端口号,那第4个8080端口又
怎么办呢?直接增加一个字段即可,也就是说将字段5设置出来。
字段5的设置中,偏移量和IP类型、字段大小参见字段4设置,字段检查标准影响能设设置几个字段值,这里只需设置
一个8080,所以选择等于值1即可,再在字段值中填上8080。到这里差不多了。还有些需要注意的。
因字段4和字段5在逻辑上是:目的端口=21或80或443或8080,所以这里需要修改一下字段4的“与下一个字段的运
算符”(意思就是本字段与下一个字段的关系),更改成“或”。字段5后面没有了,所以不用更改成或。
然后确定即可,在网络过滤中看不出来的,不过已经是用RAW编辑过的了,现在这条规则就是本机:常用←→网站的
21、80、443、8080了。
Ⅸ-2。再来细说RAW编辑中各个按钮的意思。
1。RAW规则是基于检查数据包内容的规则,它会按照规则一一检查数据中指定位置的数据与规则中是否相同,全部
相同才符合该规则,允许或拦截。某一个不同则不符合该规则,数据交由下一个网络过滤中的规则检查。这和普通规则是
一样的。
2。字段:因为一条规则可能要检查IP地址、端口等很多条件,一个字段表示一个条件。
3。方向:和普通规则一样,一个规则只能有一个方向,而不是一个字段设定一个方向。
4。偏移量类型:分为ETH、IP、TCP,这里不是普通规则中的那些ETH、IP、TCP,他们是不同的,等以后我说数据
包结构的时候再说这个。
5。入站和出站:这里填的数字代表位置,单位是字节。上面说了RAW是检查数据来看规则的,比如本机发送了一个
数据包,内容是98BFA2B0D3577F2E98BFA2B0D3577F2E,规则中说要看目的端口是不是80,那检查哪里呢?就由这
里来指定位置。因每个网络中传输的数据都有固定格式,这里填6,则代表检查出站或入站数据的第6字节开始的数据是否
等于80,这里只是指定了从何位置开始,何位置结束是由下方的字段大小来指定的。至于哪个位置是端口、哪个位置是IP
地址,以后再说。
6。字段大小:比如这里指定成2,配合上方就是从数据第6字节开始的2个字节范围内(第6、7字节中的内容),如
果是80,则符合该条件。端口都是2字节,IP地址是4字节,MAC地址是6字节。
7。IPV4、IPV6、任意:一般不用管,如果非要管的话,就编辑规则时,IP地址那里都选IPV4,其余都选任意。
8。“与”和“或”:假设都是与,则每个条件都必须符合,如果是或,则设置了“或”的条件和下一个条件可以任
意一个符合即可,其它条件还是都必须符合。或是优先的,比如A与B与C或D与F或G或H与I,设置出来就是:A与B与(C
或D)与(F或G或H)与I,不能达到这样的目的:(A与B)或(C与D)。
9。值显示模式:这只是为了方便设置,不影响实际值,除非你选择了16进制而又输入的是十进制看到的值,比如端
口80,都是10进制,如果选择16进制字节分隔来输入个80,那其实你输入的是128。再比如192.168.1.1,那是10进制字
节分隔看到的样子,MAC地址,则是16进制字节分隔看到的样子。所以为了避免输入错误,输入前确认一下是不是选对
了的。
10。SPF:这个是另外一个插件提供的。这里暂时不讲(其实是我还没明白SPF模式,嘿嘿)。
Ⅸ-3。其它说明:
1。字段间的顺序:没有关系,不过应保证逻辑性,以便日后修改和查看。另外,如果修改一个规则,将某一个字段
修改成未使用,保存后,其它字段会自动靠前。
2。本机IP和本机MAC地址可以不用设置字段值,但好像有个问题,反正编辑时注意就行了,就是选择有关本机IP和
MAC时,应先选择字段大小,因为一旦选择了后字段大小就不能更改了,好像如果没更改,生成的规则就有问题,实际是
不是这样我没心思去试。
3。一旦选择本机IP和MAC后就不能再在本字段设置其它IP和MAC了,想并列的就使用“或”吧。
4。入站出站位置在选择了单方向后好像另外一个就不起作用了。不过一般的设置方法都是将另外一个设置成一样。
当然如果选择的是两者则必须两个单独设置。具体的方法以后再说。
5。掩码。其实这个和IP地址的掩码是一样的,掩码的计算需要把设置值翻译成2进制来看才行,以后再说。
Ⅹ。从数据包的角度来理解RAW模式。
一个发送到网络中的数据格式是有规定的,哪个位置应该填端口哪个位置是IP地址都是固定了的(见附表《数据包格
式》):
一个发送出去或进来的网络数据,是由上面表格中各个位置的数据组合而成的,正因他们的格式都是固定的,所以我
们才可以通过检查某个位置的数据与设置的是否相同从而得出此数据是否符合规则,LNS因有了RAW而变的异常强大。
比如一个访问网页的数据,都是由上面ETH+IP+TCP段构成,这里可以简单的理解成直接是将他们按次序凑在一
起。EHT段负责MAC地址,IP段负责IP地址等,TCP段负责端口以及实际数据内容等。比如本机发送出这一段数据(我乱
写的):
98BFA2B0D3577F2ED2D29F8F0800F997456FC……478905678905C0A8013745678567……
|------------||------------||---|…… ……|-------||-------|
接收方MAC 发送方MAC 类型 来源IP 目标IP ……
将上面那串数字对应位置翻译出来就是(还好有计算器帮忙):
接收方MAC地址=98BFA2B0D357=98.BF.A2.B0.D3.57
发送方MAC地址=7F2ED2D29F8F=7F.2E.D2.D2.9F.8F
类型=0800=2048=类型是IP
来源IP地址=C0A80137=192.168.1.55
目标IP地址=45678567=69.103.133.103
如果想允许本机发送上面那条数据出去,则创建规则如下:
1。检查类型是否为IP,因本数据所在位置属于ETH段,所以字段偏移量类型选ETH,出站位置对照数据包格式ETH图是在
12字节开始,它的大小是2字节,所以字段大小=2,字段值等于值1=2048(十进制)
2。检查发送方MAC是否为本机,字段偏移量是在ETH数据段,出站6,大小6,等于本机MAC。
3。检查接收方MAC,ETH,出站0,大小6,等于98.BF.A2.B0.D3.57(十六进制字节分隔)
4。检查来源IP是否为本机,本数据所在位置属于IP数据段了,所以字段偏移量选IP,出站12,大小4字节,等于本机IP。
5。检查目标IP,IP段,出站***小4,等于值1=69.103.133.103。
6。以上都要检查,所以“与下一字段的运算符”都是“与”。
嘿嘿,是不是很简单啊。理论上来说,检查的越多,则规则越严密,不过我们制定规则并不需要每一个位置的数据都
检查,通常来说如果是ARP数据,则只检查ETH段的3项以及ARP中的来源以及目的MAC和IP地址(防ARP攻击),UDP
和TCP数据则只检查ETH段中的类型,以及IP段中的IP地址,TCP或UDP中的端口即可。即上表中深绿色的部分,浅绿色
的用的比较少。
关于方向,如果是两者,因为有出有进,在出的时候,假设如上来源是本机MAC,则出站位置是6,而当对方送回信
息时,本机MAC成为目的地址,即为0,所以本机MAC在两者时入站0出站6。
Ⅹ-2。关于各个数据段中的类型。
我没去找相关资料来看,不过照我的理解是指下一段数据的类型,比如ETH段中,如果类型值是2048(即IP),则接着的数据段是IP段,IP段中的类型如果是TCP,则接着的数据段就是TCP数据。如果ETH中类型指定是ARP,则不会接着的是IP数据段,除非是非法数据包攻击。
也就是说ARP数据只有ETH+ARP,而TCP数据则是ETH+IP+TCP,UDP则是ETH+IP+UDP。他们之间是组合来的,至于组合之间有没有其它数据这个我没去研究啦。。。制定规则时应正确指定字段偏移量中的类型,否则出错哦。
Ⅺ。关于规则的合并。
在制定LNS规则时,特别是用RAW时,可以将多条规则合并成一条,只要不出现特别严重的漏洞。网上说防ARP的规则必须有2条,经过俺多次实验,将两条ARP规则合并成了一条,ARP规则原理如下:
1。本机MAC→广播MAC地址(用于查询网关)
2。网关MAC→广播MAC地址(用于查询局网机子)
3。本机MAC→网关MAC地址(用于本机与网关通迅)
4。网关MAC→本机MAC地址(用于本机与网关通迅)
网上的方法是将1、3合并成1条,2、4合并成一条,其实我们可以这样看2和4:2:广播←网关MAC;4:本机←网关MAC。
也就是说,其实可以将以上规则合并成一条:本机、广播←→网关、广播。这样做的漏洞只有:广播→网关,广播→广播,广播→本机。来源为广播地址的是否对本机有害我不知道,如果有害,可以将来源为广播地址的这条规则与来源是本机MAC地址的规则合并即可。
Ⅻ。关于掩码。
在P大的规则包中关于防御碎片攻击的,有几个涉及到掩码,其实掩码的计算很简单,用IP地址来举例,一个允许的计算机IP地址中使用了掩码方式:192.168.1.0,掩码255.255.255.0,将这些十进制的数字转换成二进制,并上下对齐,则是:
地址:11000000.10101000.00000001.00000000
掩码:11111111.11111111.11111111.00000000
允许的IP地址是凡是掩码为1的地方必须与上面的地址相同,掩码为0的地方可以不同,则允许的计算机IP地址范围就是:192.168.1.0~192.168.1.255
如果掩码是255.255.255.192呢?则结果不同,前三段肯定是必须相同的了,我们只看最后一段:
00000000
11000000
则允许的只能是000000~111111的IP地址范围,翻译出来结果就是192.168.1.0~192.168.1.63。192.168.1.64的IP地址中64翻译出来是1000000,对照掩码来看:
01000000
11000000
64这个地址掩码比照后第7位所处位置与提供的地址第7位数字不同,前面要求的第7位必须是0,而这里第7位是1,即表示64这个地址不包括在这个范围内了,当然及其以后的IP地址肯定也不在这个范围内了。有兴趣的可以用此方法来验证一下P大的规则中关于保留位的掩码为什么设置成4032。
(二进制就是逢2进1,和逢10进1是一样的,1+1肯定就是10了)
13。使用SPF。
SPF的作用:
SPF提供了一个很特殊的功能,可以这样来理解SPF的功能:
自己打电话给某个客户,拨号后,在2秒后与对方接通,然后开始交流,这一个过程就算完成了。假设拨号后,一直没人接,直到等了1分钟后,提示无人接听,自己才挂了电话,这个过程才算完成。如果在拨号后,等了30秒,一个外人跑过去接了那个电话,那个人假冒是那个客户,于是乎……。如果我们对自己加一个限制,在拨号后如果10秒无人接就挂电话,那就不会发生刚才的情况。
SPF就是基于那样的设置,如果本机发出了一个信息后,在设定时间内没有收到相应的信息那就认为后续进来的数据不符合规则(像上面那个假冒的打电话过来就不行)。比如,一个SPF设置本机发出一条数据中包含了本机、网关的信息,如果0.5秒后没有收到包含本机、网关的数据则网关再发过来的数据都不符合ARP查询的规则,哪怕0.6秒后网关发出了一条应答本机的消息,也会被拦截。
数据检查过程:
一个数据发出→接受LNS规则检查→发现符合规则A→该规则设置了SPF“添加”,序列号为10→SPF记录下有个数据符合规则,设置其序列号为10→发送出去。
收到一个数据→接受LNS规则检查→发现符合规则B→该规则设置了SPF“检查”,序列号为10→检查有没有序列号为10的“添加”记录→有,检查是否符合“添加”中的条件→符合→根据其设置,删除10的“添加”记录→接收数据。
收到一个数据→接受LNS规则检查→发现符合规则B→该规则设置了SPF“检查”,序列号为10→检查有没有序列号为10的“添加”记录→无(上面删了)→拦截!
SPF设置:(同时参考数据包结构图和RAW来理解)
添加条目配置:大多数应该用在检查发出去的数据包的规则上。比如ping,那以下的设置就应该在ping发出的规则中设置。
激活:就是使用SPF,不√就没用。
参考:就是序列号。任意。可以假设整个LNS所有规则中的SPF都记录在一个地方,所有不相关的SPF规则要设置不同的序列号。
超时:单位毫秒。这就是上边举例中的那个挂电话限制时间。一个数据符合SPF时被记录下来,等到了此设定时间该记录就被删除。
字段数量:就是检查几个条件,比如想检查来源IP和来源端口,那就需要2个字段。最多4个。
直接添加:一个ping会发送4个数据包,如果用直接添加,SPF就记4个记录,除非超时,收1个应答包删1个记录,收4个才删完。
尚未存在时添加:不管有几个符合SPF条件的数据发出,都只记录1个。比如开机时本机发出的局域网查询广播,那有十来个,不能都记录下来吧~~,再说,收到得回应数据包只有那两三台机子发出得,其它记录得就只有等到超时自动删除了~~。
字段:根据字段数量而定这里可以填几列的条件,一列是一个条件,从左到右共4列可设置4个条件。
偏移量类型:和RAW规则中的字段偏移量类型一样,只是那里直接是ETH、IP、TCP,这里改成了数字,ETH=0,IP=1,TCP=2。(ARP同样=1,UDP同样=2)。
第一个数据包偏移量:和RAW中的入站出站类似,这里填你要检查的数据在哪个位置,比如TCP(上面偏移量类型为1)的来源端口,这里就填0。
匹配条件数据包偏移量:就是应答数据包中“第一个数据包偏移量”中的值出现在该应答数据包哪个位置。本机发出去时本机端口在0,收到时本机端口是目的端口那这里就应该是2。
大小:和RAW的字段大小一样,即该数据好长。要检查MAC地址就是6,IP就是4,端口就是2。
检查条目配置:应该用在接收数据包的规则上。比如ping,那以下设置应该在接受ping回显的规则上编辑。
激活:就是启用。不启用就没用。
参考:应该和相关的那个规则中的参考序列号一样。比如在ping第一条规则中那里设置为11,这里也要设置11。SPF检查时才会与记录中的11号数据来匹配检查。
移除条目:一个数据符合时就删除SPF中记录的该序列号的“一条”记录。
保留条目:即使符合也不删除。像上面说的那个局网查询广播,就可以这样。添加中设置为尚未存在时添加,那就只有1条记录,然后这里选这个,就可以让很多个应答包进来。然后等到超时自动删除记录。
举例:(就ping命令来说)
发出时:来源IP=本机IP,目的IP=目的IP
接收时:本机IP=目的IP,来源IP=目的IP。
对第一条PING命令添加SPF设置,首先用RAW打开,然后点击SPF(V4):
1。激活:肯定要了三。
2。参考:这是我们整个LNS规则中的第一条SPF规则,设置为1即可。
3。超时:PING命令默认4000毫秒超时,而一般情况下ping一个网站几十毫秒就能收到对方回应,这里填1000足够了。
4。字段数量:我们要检查2个条件,1出去的和进来的有没有本机IP,2有没有目标IP,所以这里选2字段。
5。直接添加:只4个数据包,不多,所以选这个。
6。偏移量类型:看RAW就知道了,本机IP是在IP段,这里当然填1。当然也可以看数据包结构图。
7。第一个数据包偏移量:看RAW就知道了,本机IP在出站为12,这里填12。
8。匹配数据包偏移量:即 对方应答本机的数据中上面第一个数据包偏移量的那个值在这里的位置,上面是填的是本机IP,在应答数据包本机IP肯定是在目的地IP的位置,即16。
9。字段大小:IP地址长度为4。
10。第二列的偏移量类型:同样为IP,为1。
11。第一个…:发出时的目的IP,位置为16。
12。匹配…:上面目的IP回来时位置为14。
13。字段大小:4。
14。确定。保存。
对第二条PING命令添加SPF设置,用RAW打开然后SPF:
1。检查条目下方的激活:√。
2。参考:就是第一条SPF中的序列号,1。
3。移除或保留:当然选移除,因为上面我们选的是4个都记录,每收到一个就应该删除1条记录,留着这些记录也没啥用。
4。确定。保存。
其它:
1。SPF是RAW插件中的一个功能,要使用SPF必须使用RAW编辑规则。
2。关于字段大小的猜想:像ARP中,来源MAC和IP,目的MAC和IP是连在一起的,那这里就可以填10罗?嘿嘿。不过作用不大,4个字段已经足够用了,而且像这种连在一起的也比较少,再者ARP中来源MAC、IP并非就一定和目的MAC、IP相匹配。大家当没看见这段话哈(其实是我嫌关于SPF写的太少,充数来着^-^)。
3。关于一条双向规则:要想使用SPF,必须2条(我试验了在一条中同时设置添加和检查,无效)。我把一条复制成另一条,然后一条设置添加一条设置检查,可以了,但不知道有没有负面影响~~~。希望下一个版本可以允许双向规则的SPF。
4。关于超时:这个只能查相关资料了,最好的办法就是查看日志,比如一个DNS查询,如果日志中显示的都是在同一秒内就收到了应答包,那设置成1000应该就可以了。
5。SPF用在什么地方:什么地方都可以用啊。^_^,其实我也不知道用哪里好啊~~~
