ZT 惊心动魂的网络攻防--我的故事

llhh9221

我的故事从网络开始，我叫al，出生在nhsc。同学父亲从事机密行业，读书的时候便浅浅的知道了一些风语，直到看了电影《风语者》才对风语有了比较的了解。



网络觉得被人攻击了，我想找个防火墙防住，于是测试了主流的能下载的防火墙，看到za觉得还可以，系统程序留下svchost非服务可过其他都拦住，应用程序非服务可过，是个还可以的防守方法。不过一阵子下来还是觉得被人攻击了，za好是好不过离我的要求还有差距。



世界第一的墙也不过如此，于是寻思着用其他的防火墙。于是又一款防火墙出现了，就是现在大名鼎鼎的comodo。既然用防火墙当然第一时间设置网络。做为一般上网的机器当然不用服务，而且一般的网络攻击是陌生ip发起，在想了很长的时间后有了第一个天才的想法，那就是网络数据只出不进。



早就知道443，445端口可以不要，系统进程一般只要个dns，其他应用程序都放行，很好工作正常。



还有没有更好的方法，又经过一段时间，第二个天才的想法来了，只放用的dns的udp数据到53号端口。



好像还在被攻击，既然用了comodo，试试defense+。起初怎么调都没什么用，防住了这里防不住那里，只到有一天把防守降了个档次，勾上了不可识别的程序为阻止，没签名的程序启动不了了，这是又一个很好的想法。



在接下来的时间里，偶然看到了大量的公司签名，于是又有了一个想法，只有我要用的程序的签名，其他的签名不用。



别人攻击已经很困难了，烦人的网络攻击总算被我挡住了，可喜可贺。



exe,dll,sys这种攻击显然已经被我挡住。



然而，时间并没有持续特别长的时间，网络攻击又来了，我意识到了国家网络攻击的存在，他的名字叫心。



偶尔在网上瞎逛，看到了个cab，想想exe可以运行，cab其实也可以运行，只是攻击特别难制造，但一但成功，应该就是不要签名的，先防住在说，于是有了一条核规则*.cab。



魔兽世界新版本开始了，叫icc，什么叫icc?直觉告诉我这里面有什么，取了个后缀icc的文件，能打开，果然有什么，在看看魔兽世界的故事，应该就是美国的攻击了，故事也很合，杀了巫妖王得无敌。



当然不玩魔兽已经好几年了。偶而在望上看看逆流，想想我的53号端口是不是就这么被攻破的。



又在网上看到了补丁的事，想想53号端口打上补丁不就防住了么。于是有了应用层过滤的想法。攻击确实好像能防住，不过还有更厉害攻击。不过我懂了一件事，攻击过不了严格的过滤，于是有了个惊人的想法，简单网络协议家过滤，当这个想法是远程口控制的时候，它就成了梦，我在电脑上留下了言，我知道有人能看到而我要实现它能力时间有差距，现在就成了宣传的中国梦。



单机配置容易改，有明显的缺陷，又有了个很新的想法，前端一个硬件猫或路由，后面一个客户端，这样路由就可以永远不动了，既安全又可靠。



客户端当然用类comodo，当然非win的会更好，在电脑上写下了我的设计。一段时间过去了，美国似乎攻击不下来了，又过了阵美国似乎拿下来了，正当我在想美国怎么拿下来的时候，白宫的外墙告诉了我答案。



插个故事，有阵子在想对称加密做弊的问题，想到的方法是降低到可以接受的时间破解，接着看了电影《模仿游戏》，在看到主人公破解了密码的时候，一个突发奇想要当时加密的结果在加密次，当时还能不能破解出来。



当然，做为我来说，对网络的不安全有特别的理解，也不喜欢被网络攻击被人看，自然是不会用网络支付的。



《模仿游戏》也不是与故事完全没有关系，是因为发现传输明文不太好，想到了加密整个数据段。



看了电影《盗梦空间》，有了个很好的设计，数据在网络上多转几圈，梦中梦，别人更难找到。



密钥固定有个很不好的地方，就是一但密钥被别人知道，整个都要换，于是在内网引进了密钥分配中心，对了一个至少是个小超级计算机的超算。



因为内网有很多机器，为了防止内网攻击，加入了数据校验，全部重新定义协议，路由器的规则是内网机器只能到外网不能到其他机器或路由器和直接上网的机器。



内网绝对不能攻击密钥分配中心，于是安全的路由在密钥分配中心和内网之间运用，还有一点，密钥分配中心最好不要直接分配密钥出去，经过客户机最好。



客户机有了改进，变成了瘦客户端，主系统是个锁住的U盘系统，需要的话再加更多的锁住或者没锁住的U盘。



为了方便管理，密钥分配中心负责对用户进行验证，保证不被授权上不了网。



设计的故事讲完了，按着设计去做会比较安全。不过要知道主流的开源系统全部有后门，买的硬件都有无线，就算找到没无线的机器，也被厂家做了手脚的，还有美国的特工会想尽一切办法弄到源码植入后门。这只是个设计，还有太多的问题。