所属分类: 网络安全 整理: FengNet.Com 更新日期:2006/6/7 9:25:12 阅读次数:5299

入侵检测系统逃避技术和对策的介绍


在网络蓬勃发展的几天,网络安全问题日益突出。网络上的黑、白两道在网络安全的各个领域都展开了激烈的竞争。黑帽社团不断推出躲避或者越过网络入侵检测系统(Network Intrusion Detection System,NIDS)的新技术,而NIDS的开发者不断地在自己的产品中加入对这些技术的检测。但是,由于NIDS本身的局限性,胜利的天平正在向黑帽子倾斜。本文将讨论一些基本的IDS躲避技术,以及如何识破这些技术。

1.字符串匹配的弱点

针对基本字符串匹配弱点的IDS躲避技术是最早被提出和实现的。一些基于特征码的入侵检测设备几乎完全依赖于字符串匹配算法,而对于一个编写很差的特征码,攻击者可以轻松地破坏对其的字符串匹配。虽然不是所有的入侵检测系统都是纯粹基于特征码检测的,但是绝大多数对字符串匹配算法有很大的依赖。这里,我们将使用开放源码工具snort的特征码来进行讨论。

在UNIX系统中,/etc/passwd是一个重要的文件,它包含用户名、组成员关系和为用户分配的shell等信息。我们就从监视对/etc/passwd文件的访问开始,下面是用于检测的snort检测规则:

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-MISC /etc/passwd";

flags: A+; content:"/etc/passwd"; nocase; classtype:attempted-recon; sid:1122;rev:1)

snort使用字符串匹配算法对包含特征码(/etc/passwd)的HTTP请求进行检测。但是,这个规则的特征码过于简单了,攻击者修改攻击字 符串可以很轻松地逃过检测(我们暂时不考虑攻击请求是通过HTTP发出的)。例如,把攻击请求由GET/etc/passwd改为GET /etc//\// passwd,或者GET /etc/rc.d/.././\passwd,修改方式简直不计其数。这是最基本的娶亲检测逃避技术,对这种技术的检测也相对容易一些,只要在编写特征码时能够仔细考虑一下攻击可能出现的变体。目前大多数流行入侵检测系统都有非常强大的字符串匹配能力,足以检测此类攻击的大多数变体。不过,仍然有些编写不太好的特征码可以给攻击者以可乘之机。

攻击者还可以在此基础上再加以变化,几乎不费吹灰之力就可以加大入侵检测系统的防御难度。例如在telnet之类的交互会话中,攻击者企图读取/etc/passwd文件。通常,入侵检测系统中存在很多特征码一些误用操作和后门等,但是这些特征码一般只包含黑客工具名、文件名和程序名。在获得/etc/passwd文件的内容时,我们不直接输入cat/etc/passwd等命令行,而是通过一个命令解释器(例如:perl)来实现我们的目的:

badguy@host$Content$nbsp;perl -e

‘$foo=pack(“C11”,47,101,116,99,47,112,97,115,115,119,100);

@bam=`/bin/cat/ $foo`; print”@bam\n”;’

从这个命令中,入侵检测系统根本就不会重组出/etc/passwd这些字符。显然,防御这种攻击就很困难了,因为这要求入侵检测系统必须能够理解这种解释器如何收到的命令,这恐怕不太现实。当然,入侵检测系统也可以对使用解释器的可疑行为进行报警,但是它很难对攻击行为进行精确的监视。

通过把字符串处理技术和字符替换技术结合到一起,我们可疑实现更复杂的字符串伪装。对于WEB请求,我们不必使用命令解释器,在我们的请求中使用16进制的URL即可,以下的请求可以被目标WEB服务器解释为/etc/passwd:

GET %65%74%63/%70%61%73%73%77%64或者

GET %65%74%63/%70a%73%73%77d

为了捕获这一个字符串的所有变体,你可能需要1000个以上的特征码进行字符串匹配,这还没有考虑UNICODE。UNICODE提供了另一 种字符表达方式。有关UNICODE的IDS欺骗技术细节,本文将不多做讨论。如果想了解更多细节请参考SecurityFocus的IDS Evasion with Unicode。除此之外,RainForestPuppy在他的HTTP扫描工具Whisker中采用了另外一些IDS欺骗技术:

-I 1 IDS-evasive mode 1 (URL编码)

-I 2 IDS-evasive mode 2 (/./目录插入)

-I 3 IDS-evasive mode 3 (过早结束URL)

-I 4 IDS-evasive mode 4 (长URL)

-I 5 IDS-evasive mode 5 (伪造参数)

-I 6 IDS-evasive mode 6 (TAB分割) (not NT/IIS)

-I 7 IDS-evasive mode 7 (大小写敏感)

-I 8 IDS-evasive mode 8 (Windows分割符)

-I 9 IDS-evasive mode 9 (会话拼接) (slow)

-I 0 IDS-evasive mode 0 (NULL方法)

如果想了解上面这些方法的技术细节,可以参考A Look At Whisker’s Anti-IDS Tactics。需要特别说明的是,rfp把whisker采用的anti-ids技术 单独放到了libwhisker(使用perl编写的)库中,为其它的程序采用这些技术提供了很大的便利。另外,nessus和babelweb等扫描工具都有自己的应用层入侵检测躲避技术。

现在,IDS开发人员对各种网络协议有了更深入的理解,并且入侵检测设备在对数据包的负载进行字符串匹配之前会进行必要的协议分析,因此现在的IDS已经能够很好地处理上述的欺骗技术了。但是多余的字符转换又提高了入侵检测系统的负载,有时是得不偿失。为了减小这个跗面影响,开发人员可以使入侵检测系统只在特定的端口进行字符转换。

2.多变shell代码(polymorphic shell code)

多变shell代码(polymorphic shell code)技术由K2开发的,设计思想来源于病毒逃避(virus evasion)技术。使用这种技术重新构造的shell代码更为危险,入侵检测设备非常难以检测到。这种技术只用于缓冲区溢出攻击,对付基于特征码的检测系统非常有效,而对于智能化的或者基于协议分析的检测系统的效果要差很多。为了便于讨论,我们以SSH CRC32缓冲区为例。我们先看以下snort检测规则:

alert tcp $EXTERNAL_NET any -> $HOME_NET 22 (msg:"EXPLOIT ssh CRC32

overflow /bin/sh"; flags:A+; content:"/bin/sh"; reference:bugtraq,2347;

reference:cve,CVE-2001-0144; classtype:shellcode-detect; sid:1324; rev:1;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 22 (msg:"EXPLOIT ssh CRC32

overflow NOOP"; flags:A+; content:" 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90)

上面的第一条规则简单地检查从外部到$HOME_NET,目标端口是22的数据包,搜索里面是否包含字符串/bin/sh。第二条规则是检查是否 包含x86空操作字符(0x90)。多变shell代码(polymorphic shell code)使用很多方法逃避字符串匹配系统的检测。首先(以x86架构为例), 使用其它的字符代替0x90执行无操作(no-op)指令。对于X86架构,有55种替代方式,其它的要少一些。这些替代方式以一种伪随机的 方式结合到一块,建立缓冲区溢出shell代码包含无操作(no-op)指令的部分。想了解无操作(no-op)指令的所有替代字符可以参考http:// cansecwest.com/noplist-v1-1.txt。除此之外,shell代码本身也采用XOR机制编码。通过这种方式建立的缓冲区溢出shell代码被重组后不会包含以上的特征码,从而能够逃过字符串匹配检测。

多变shell代码检测对基于特征码检测的IDS是一个很大的挑战。Next Generation Security Technologie公司的技术白皮书Polymorphic Shellcodes vs. Application IDSs中提出了一些检测多变shell代码的设想。通过搜索无操作(no-op)字符的一个特定长度的正则表达式,可以实现对多变 shell代码的精确检测。最近,Dragos Ruiu发布了一个用于检测多变shell代码的snort预处理插件spp_fnord,这个插件采用了和上面相似的 检测技术。这个预处理插件有端口和长度两个配置选项。例如,如果某个人在配置时设置了80、21、23和53等端口,它就只对这几个 端口的数据流量进行多变shell代码的检测,而不会对其它端口(例如:22)进行检测。
3.会话拼接(session splicing,叫会话分割更合适一些)

上面讨论的这些方法都是属于攻击数据在一个数据包中的情况,没有涉及攻击数据和会话通过多个数据包投递的情况。RFP在Whisker 中实现了一种IDS逃避技术叫作会话拼接(session splicing),就是把会话数据放到多个数据包中发出,例如:

+-------------------------+

  packet number   content  

 ---------------+--------- 

  1   G  

 ---------------+--------- 

  2   E  

 ---------------+--------- 

  3   T  

 ---------------+--------- 

  4   20 

 ---------------+--------- 

  5   /  

 ---------------+--------- 

  6   H  

+---------------+---------+

通过这种方式,每次只投递几个字节的数据,就可能避开字符串匹配入侵检测系统的监视。要监视这种攻击,需要入侵检测系统或者 能够理解、监视网络会话(即使IDS有这种能力,攻击者也可以通过其它的凡是避开监视),或者采用其它的技术监视这种攻击。snort使 用以下规则来监视会话拼接:

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-MISC whisker

space splice attack"; content:" 20 "; flags:A+; dsize:1;

reference:arachnids,296; classtype:attempted-recon; reference)

这条规则使snort检测目标为$HTTP_SERVERS 80端口的ACK报文的负载长度是否等于1以及是否包含空格(16进制的20)。使用这条规则可以精确地检测出whisker,但是攻击者只要稍加修改就可以避开这个检测。为了能够检测可能出现的会话拼接攻击,可以对上面这条 snort规则进行扩展,使其检查负载很短的HTTP请求。但是,这样做的副作用是提高了误报警数量,而且在某些情况下攻击者还是能 够避开监视。为了真正有效地检测这种攻击,需要入侵检测系统能够完整地理解网络会话,不过这是非常困难的。应该注意的是目前 大多数系统能够重组会话,在所有的会话数据到达之前,它们会等待一些时间。而等待时间的长短与程序有关。例如,Apache/RedHat 的会话超时时间是6分钟,IIS/Win2K等待的时间非常长。因此,攻击者完全可以每15分钟发送一个字节的会话数据,而IIS还会认为是有效的会话。最新版本的snort能够监视长期的会话和网络层欺骗,例如:小TTL值。

4.碎片攻击

碎片攻击和会话拼接(session splicing)有点类似。直到最近,很多入侵检测系统在进行字符串匹配之前不能准确地重组碎片。现在这种 情况有了改观,所有的入侵检测系统都能够进行某些重组。不过,还是有很多方法可以避开入侵检测系统的监视。碎片重组的问题是 在进行字符串匹配以前,入侵检测系统必须在内存中缓存所有的碎片,然后进行重组。而且,他还需要直到、碎片在目的主机会如何 重组。Thomas Ptacek and Timoth Newsham于1998年写的Insertion,Evasion and Denial of Service: Eluding Network Intrusion Detection描述了许多基于网络的碎片躲避和其它类型的躲避技术。碎片攻击包括:碎片覆盖、碎片重写、碎片超时和针对网络拓扑的碎片技术(例如使用小的 TTL)等。下面,我们将详细讨论。

4.1.碎片覆盖

所谓碎片覆盖就是发送碎片覆盖先前碎片中的数据。例如:

碎片1 GET x.idd

碎片2 a.?(缓冲区溢出数据)

第二个碎片的第一个字符覆盖第一个碎片最后一个字符,这两个碎片被重组之后就变成了GET x.ida?(缓冲区溢出数据)。实际情况远非这么简单。

4.2.碎片数据覆盖

这种方法和上面的碎片覆盖有些类似,只不过是覆盖全部的碎片数据,例如:

碎片1 GET x.id

碎片2 一些随机的字符

碎片3 a.?(缓冲区溢出数据)

这些碎片在经过目标系统的重组之后,碎片3将完全覆盖碎片2,重组之后的数据变成GET x.ida?(缓冲区溢出数据)。如果入侵检测系统的重组方式和目标系统不同,就无法重组出“GET x.ida?(缓冲区溢出数据)”,因此就检测不出这个攻击。

4.3.碎片超时

这种攻击依赖于入侵检测系统在丢弃碎片之前会保存多少时间。大多数系统会在60秒之后将丢弃不完整的碎片流(从收到第一个碎片开 始计时)。如果入侵检测系统保存碎片的时间小于60秒,就会漏掉某些攻击。例如:

碎片1(设置了MF位) GET foo.id

碎片2(59秒之后发出) a?(缓冲区溢出数据)

如果IDS保存起始碎片的时间不到60秒,就会漏过攻击。幸运的是,如果配置没有错误,现在的网络入侵检测系统能够检测此类攻击。

这种技术结合其它的网络技术(例如:TTL值)将更有威胁。如果入侵检测系统和被监视的系统不在同一个网段,攻击者就可以在TTL上做手脚。有的单位由于经费的限制,不能在自己的每个子网都部署IDS节点,只在网络的出入口部署一套IDS,监视所有的网络流量。这种情况下,如果被攻击的主机在其它的子网,攻击数据包到目标系统的跳数就大于到IDS的跳数。攻击者可以伪造碎片的TTL,使某些碎片刚好能够到达,而无法到达目标系统,例如:碎片序号 负载 TTL(假设攻击者到目标的跳数是5,到IDS的跳数是3)

1 GET foo.id 5

2 evasion.html 3

3 a?(缓冲区溢出数据) 5

从这些碎片中,IDS重组的数据是“GET foo.idevasion.html a?(缓冲区溢出数据)”或者“GET foo.idevasion.html”(如果IDS的超时时间小于60秒)。通过这种方式,攻击者成功地在IDS中插入了垃圾数据。

5.碎片和snort特征码

下面我们把上述攻击和某些snort特征码进行比较。对于.ida缓冲区溢出攻击,默认的snort特征码几乎无法捕获任何通过碎片发动的攻击(如果使用了frag2预处理模块,snort可以截获碎片超时攻击)。下面是针对.ida缓冲区溢出攻击的snort检测规则:

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-IIS ISAPI

.ida attempt"; uricontent:".ida?"; nocase; dsize:>239; flags:A+;

reference:arachnids,552; classtype:web-application-attack;

reference:cve,CAN-2000-0071;sid:1243;rev:2;)

另外,snort还有一条检测小碎片的规则,一旦发现太小的碎片,就会触发这条规则:

alert ip $EXTERNAL_NET any -> $HOME_NET any (msg:"MISC Tiny

Fragments";fragbits:M;dsize: < 25; classtype:bad-unknown;sid:522)

但是,这样还是不能检测某些攻击。还是以ida缓冲区溢出为例,这个攻击实际上和请求的URI无关,因此攻击者可以在前面加入一些垃圾数据以避免触发碎片检测规则。

碎片1 GET reallylongstringtoevadedetect.i

碎片2 da?(缓冲区溢出数据)

这些技术并非只针对snort。Cisco Secure IDS也能够进行碎片重组,并且能够对上述碎片攻击进行报警。

实际上,碎片攻击要复杂的多,尤其是涉及到TTL和碎片覆盖。如果想更为深入地了解这方面技术,请参考Network Intrusion Detection: Evasion, Traffic Normalization, and End-to-End Protocol Semantics。

检测碎片攻击也非常困难。使IDS的碎片超时时间至少为60秒,增加对异常碎片的报警,最重要的是系统管理人员要对碎片攻击的潜在威胁有清醒的认识。2002年四月,Dug Song发布了Fragroute,引发了不小的震动。很快,snort社团发布了能够对碎片攻击进行更好检测的snort1.8.6版。

6.拒绝服务

还有一种比较野蛮的方法就是拒绝服务。拒绝服务可以针对检测设备本身和管理设备。Stick、snot和其它一些测试工具能够是入侵检测设备产生大量的报警。使用这些工具,可以达成如下目标:

消耗检测设备的处理能力,是真正的攻击逃过检测。

塞满硬盘空间,使检测设备无法记录日志。

使检测设备产生超出其处理能力的报警。

使系统管理人员无法研究所有的报警。

挂掉检测设备。

对IDS来说,这类工具无迹可寻,因此非常难以对付。

结论

本文我们讨论了一些常用的IDS躲避技术及其对策。其中有些技术需要攻击者具有熟练的攻击技巧,而有写技术却无需太多的技巧。而fragroute之类的工具出现,大大降低了攻击者采用某些技术的难度,使防御的一方总是处于被动。

--------------------------------------------------------------------------------

相关文章
Linux内核参数调优 2015/10/9 10:58:10
查看Linux系统是否使用RAID阵列信息 2015/10/9 10:49:58
Mac 常用应用推荐.输入法篇 2012/9/4 10:46:58
Mac 常用应用推荐下载工具篇 2012/9/4 10:46:21
Web安全工具大汇聚 2012/3/20 9:27:50
防恶意扫描 PortSentry保护Linux服务器 2011/10/23 13:08:21
POSTFIX邮局系统搭建全过程 2011/10/22 9:33:19
云计算环境中的入侵检测 2010/6/23 8:52:59
Linux对Windows系统进行DDOS攻击的方法 2010/4/26 14:49:29
安全审计自己动手 2010/4/14 11:12:19
服务器被入侵后的紧急补救方法 2009/12/16 13:18:59
如何准备网络硬件安全升级 2009/11/30 16:18:59
网络流量控制对管理起到的作用 2009/11/28 14:34:26
思科IOS文件管理命令 2009/3/13 21:15:53
OSI第五层安全:会话劫持 2008/8/21 13:04:25
HP小型机的信息的命令集 2008/5/15 18:26:59
vsftpd架设匿名FTP,本地用户和虚拟用户mysql登录 2008/4/27 8:23:51
wu-ftpd服务器配置手册 2008/4/27 8:16:31
vsftp配置大全---完整版 2008/4/27 8:13:22
用rsync实现网站镜像和备份 2007/5/17 17:43:10
Cisco IOS Cookbook 中文精简版第二十七章安全 2007/5/9 10:09:28
基于FreeBSD5.4全能服务器安装 2007/2/1 17:19:40
UNIX应急响应攻略 2006/12/14 13:41:20
网站服务器通用和专用保护方法比较分析 2006/12/14 13:31:38
信息安全呼唤理论创新 2006/12/8 12:36:44
应对Linux服务器四种级别攻击 2006/12/4 16:44:54
新一代网络安全接入技术对比分析 2006/12/4 16:40:41
Catalyst 4006交换机的配置实例 2006/10/28 9:56:03
抵御DDoS攻击 2006/10/28 9:46:05
在交换机上实现存储安全 2006/10/27 10:02:36
IOS Naming 2006/9/14 8:36:42
Catalyst 4006交换机的配置实例 2006/8/9 17:01:46
网络路由安全攻防对策分析及实践 2006/8/8 18:55:12
信息安全事件管理 2006/8/4 18:45:28
信息技术安全管理平台产品安全检验规范 2006/7/29 8:08:47
信息技术入侵防御产品安全检验规范 2006/7/29 7:44:11
安装SCSI硬盘 安装、启动、设置篇 2006/7/24 10:03:13
80端口web服务攻击痕迹 2006/7/22 17:19:31
路由器默认密码 2006/6/28 23:05:49
用snort和空IP做一个安全的log纪录服务器 2006/6/17 11:09:10
VSFTP—安全与效能兼备的ftp 服务器 2006/6/15 19:20:08
Linux下软件RAID的实现 2006/6/14 19:20:39
网络安全讲座之七:IDS系统 2006/5/24 19:45:52
Solaris基本安全配置规范 2006/5/24 11:14:30
用Cisco产品和功能构建安全的网络 2006/5/10 10:37:05
vsftp配置大全 2006/5/6 18:17:32
建立一个带宽、线程可控的下载型WEB网站 2006/4/30 13:53:11
分级防御对Linux服务器的攻击 2006/4/30 13:28:03
网络分析监听技术之原理、应用与防范 2006/4/6 19:22:39
利用Catalyst交换机防范蠕虫病毒 2006/3/28 13:00:21
Cisco产品采用的网络协议总结 2006/1/12 14:15:24
交换机网络安全策略全方位解析 2006/1/8 16:25:52
HP小型机的信息的命令集 2006/1/6 14:33:13
用Cisco产品和功能构建安全的网络 2006/1/4 13:46:58
基于网络IDS的典型配置 2005/12/14 8:46:10
思科IOS 12.3新特性 2005/11/21 9:32:14
强审计:亟待深耕的沃土 2005/11/21 9:05:12
Sniff网络基础原理和软件实现技巧详解 2005/11/5 21:15:12
剖析入侵检测系统的安全性 2005/10/11 10:41:45
Win2000 Server入侵监测 2005/10/11 10:36:19
在RedHat9上构建小型的入侵检测系统 2005/9/20 14:14:17
解析入侵检测系统的性能的辨别方法 2005/9/14 10:51:07
安全防护-入侵检测实战之全面问答(下) 2005/9/14 10:47:29
安全防护-入侵检测实战之全面问答(上) 2005/9/14 10:46:03
邮件发送退信分析大全 2005/9/1 17:29:35
利用网络漏洞扫描系统保障系统与网络的安全 2005/8/16 17:46:26
信息安全需要技术保障 2005/8/16 17:34:40
交换机里的安全因子 2005/8/16 17:32:10
如何利用Catalyst交换机及时发现、追踪和缓解蠕虫病毒的入侵? 2005/8/4 13:31:23
利用Catalyst交换机防范蠕虫病毒的入侵 2005/7/8 8:32:43
[网工]入侵检测系统FAQ(全) 2005/7/6 21:01:49
网络杀虫经验谈:防虫手段和安全应用 2005/6/10 20:54:13
系统故障的超级解决方法 2005/6/8 9:10:26
vsftpd架设匿名FTP,本地用户和虚拟用户mysql登录 2005/6/3 12:12:34
Solaris 系统管理命令及相关技术中英文对照 2005/4/13 10:36:48
基于网络IDS的典型配置 2005/3/24 9:01:23
恢复Windows2000/XP 管理员密码 2004/11/24 8:38:12
插翅难逃 根据Web服务器的记录来追踪黑客 2004/9/17 8:56:49
[Linux命令]进程查看 2004/9/9 9:47:05
关于Sniffer 2004/7/26 8:47:20
网闸40问 2004/7/26 8:43:18
恢复Windows2000/XP 管理员密码 2004/7/22 14:21:55
linux环境下发现并阻止系统攻击 2004/7/1 13:37:59
理解接口类型 2004/6/10 16:50:57
Port Reporter 工具的可用性和说明 2004/5/13 7:52:22
Win2000 Server入侵监测 2004/3/31 14:32:37
WEB安全工具 2004/2/20 13:51:23
Linux实现简单而有效的IDS系统 2004/2/20 13:45:34
网络端口及其详解分页 2004/2/17 9:03:12
Snort 中文手册 2004/1/29 11:53:10
sudoers中文man文档 (特别推荐) 2004/1/24 19:22:56
安全的log纪录服务器 2004/1/24 19:17:43
TCPDUMP中文手册 2004/1/8 9:25:54
Linux教程-进程查看 2003/12/31 20:12:18
Win2000 Server入侵监测 2003/11/27 9:13:06
续(二)Solaris高级系统管理员指南!(公司内部培训教材) 2003/11/26 10:37:19
最佳的75个安全工具 2003/9/5 15:18:38
常见端口表汇总 2003/9/1 10:31:24
Linux服务器的一些基本应用 2003/8/15 12:11:07
网络入侵检测系统的实现 2003/8/12 8:43:51
Debian GNU/Linux下的入侵检测系统 2003/8/12 8:41:10
快速建立一个入侵检测系统 2003/8/12 8:39:47
Linux系统下的扫描器及防范 2003/7/30 17:26:42
构建小型的入侵检测系统(RedHat9) 2003/7/30 16:50:32
系统平台安装操作手册 SUN Fire 280安装配置手册 2003/7/15 8:36:18
redhat linux 9.0 VSFTP配置大权(转载) 2003/7/13 18:13:25
理解 Linux 配置文件 2003/7/4 9:25:55
redhat linux 9.0 VSFTP配置大权 2003/6/10 10:22:56
Linux 组网入门 2003/5/25 20:56:32
近期常见蠕虫、木马的检测方法 2003/5/23 20:22:42
解剖WIN2K下的空会话 2003/5/23 19:54:32
TCPDUMP中文手册 2003/5/5 13:34:53
Sniffer的一些资料 2003/4/9 9:34:08
Linux服务器的一些基本应用 2003/3/24 10:43:09
proftpd 安装手记 2003/3/17 15:27:56
ProFtpd快速指南 2003/3/17 15:27:03
ProFTPD 详解 2003/3/17 15:25:06
Linux简明系统维护手册 2003/3/11 18:35:40
Netfilter的高级使用 2003/2/24 13:25:49
简易防火墙建置与流量统计之五 2003/2/22 14:45:12
Linux环境下发现并阻止系统攻击 2003/2/22 14:12:24
unix日志文件安全小议 2003/2/21 22:06:40
Linux简明系统维护手册5 2003/2/18 19:48:03
简易防火墙建置与流量统计 2003/2/18 14:54:01
Netfilter/Iptables的防火墙功能介绍 4 2003/1/12 16:21:46
Netfilter/Iptables的防火墙功能介绍 1 2003/1/12 16:18:20
Netfilter的高级使用 2003/1/12 16:00:27
理解防火墙及防火墙实例系列: 第二部分 unix 下的防火墙软件 ipfilter 2003/1/12 15:47:31
理解防火墙及防火墙实例系列: 第一部分 防火墙基本类型、概念以及各类防火墙的主要优缺点 2003/1/12 15:45:24
考研英语作文范文 2002/11/18 14:03:52
校园尴尬事(超级搞笑)(10)(史上最强贴) 2002/11/11 9:45:01


感性空间
设计&运维
网络技术
休闲娱乐
NetFilter
linux&Unix
网络安全
程序空间
软件考试
RFC&ISO
规划&规范
虚拟&存储
Apple技巧
云计算&大数据



文章搜索



站内搜索