值得庆幸的是那毕竟是电影现实还是人类的天下天空依旧很蓝阳光依旧灿烂。我现在期望的是高度智能化的机器网络永远不要出现但是核战争的威胁却是时刻存在的。说不定哪天我起床看到的就是和黑客帝国里面描述的核战争以后的地球。当然我也就从此解脱了不用再这么早就爬起来上班也不用这么晚才回家也不用看着还算过去的的薪水自嘲所谓的IT白领却连五环边上的经济适用房都买不起。现在不是提倡回归自然吗最彻底的就是回到原始社会石器时代就不错。

　　大约是黑客帝国中的特工 Smith 太强大、太恶毒了，所以我对 Smith 的形象非常憎恶，包括他自以为很酷的墨镜以及自以为很帅的发型以及自以为很幽默的语言以及自以为很得体的西装。甚至我想如果有机会我会把他的牙全部打掉以教训他不要动不动就把他自以为很整齐却有烟垢的牙齿露出来严重影响我LP的视觉如果我能把自己升级到 The One 10.0 的话。

　　现在我经常和处于萌芽状态的 Smith 斗争，就是那些感染 IE 、动不动就把我的 IE 改得面目全非的网站。经过长期反复的战斗，我对这样的事情已经出离愤怒。那些把自己的快感建立在别人的痛苦的基础之上并随时都在意yin的恶意网站的站长们，我只想竖起中指然后对它们说：“鄙视你”。

　　1、恶意代码逐一批斗

　　说起恶意代码，大家都不陌生，但是又都不很清楚，大部分都是根据自己的亲身经历来感受。所以我把常见的恶意代码的表现形式大概整理了一下，逐一批斗：

　　(1) IE 浏览器相关

　　·篡改IE标题为恶意网站的名字或者吸引人的内容 (这是为了吸引您的眼球，一般色情网站用得最多，此处省略有关举例词汇15000字)

　　·篡改IE首页为恶意网站，强迫您每次打开 IE 都要先去它的网站溜达一圈(这是为了增加他网站的访问量，严重的还屏蔽了“使用默认页”、“使用空白页”这几个按钮，并且不允许您进入注册表编辑器 regedit 改正过来)

　　·篡改IE默认的搜索引擎为他的网站(当您点击 IE 的“搜索”按钮，输入关键词进行搜索时，也会跑到它的网站。属于阶级斗争新动向)

　　·禁止IE的Internet选项(这是为了防止您修复被他篡改的选项)

　　·禁止IE的右键菜单弹出(这是为了防止别人使用右键菜单的“查看源文件”功能，通常也同时禁止了“文件->使用xx编辑”菜单项和工具栏上的“编辑”按钮)

　　·禁止IE查看源文件(同上。这对于喜欢参考学习别人网站的朋友来说实在是太不爽了)

　　·强行在IE收藏夹中加上恶意网站的链接地址(这是为了方便您进入他的网站，至于是否真的方便，只有天知地知你知他知了)

　　·强行在IE右键菜单中加上恶意网站的名称(同上)

　　·强行在IE工具栏中加上恶意网站的链接按钮(同上)

　　(2) 注册表相关

　　·禁止使用注册表编辑器 regedit(防止您手工恢复 IE 设置。没有人性)

　　·禁止导入注册表文件(*.reg)(防止您用备份的 *.reg 文件还原注册表以恢复 IE 设置。没有人性，too)

　　·隐藏开始菜单中的“注销”、“运行”、“关闭”项和“我的电脑”(纯粹是为了炫耀武力)

　　·篡改“我的电脑”属性中的“注册用户名”和“组织”(典型的无聊+恶作剧+弱智)

　　·篡改文件创建日期和系统时间(这种损人不利己的事情，也只有BT才想得出来)

　　·禁止使用“控制面板”(同上)

　　·禁止使用“网上邻居”(同上)

　　(3) 其他

　　·开机后IE被重新感染(这说明了斗争的残酷性、持续性和不可预见性，“道高一尺，魔高一丈”，古之人不余欺也)

　　·开机后弹出对话框(想出这个功能的人绝对是一个暴露狂，别人都把自己的形迹藏了又藏，它却生怕别人不知道)

　　看看，恶意网站的罪行真是罄竹难书啊！我可怜的IE和Windows系统，竟然是如此的弱不禁风，象软柿子一样被恶意网站随意捏来捏去，“微软”这个名字真是名副其实啊！

　　2、修复IE浏览器

　　为了修复 IE，我用过了许多小工具软件，算是“阅软无数”。当然萝卜白菜各有所爱，我个人觉得比较顺手的，3721上网助手算一个。其实也不过就是看中了它的能从IE中点一个按钮就能修复IE的快捷之处，虽然它的修复功能的确不错。(安装方法：进入上网助手网站 assistant.3721.com，在弹出的对话框中点“是”。)

　　(1) 快速修复

　　用3721上网助手，通过如下2个步骤即可快速修复IE浏览器：

　　① 点击IE工具栏上的上网助手图标旁边的箭头，出现下拉菜单，点击“修复系统...”菜单项

　　② 程序提供了一些默认设置(如图2)，对于大多数人来说，已经足够。点击“立即修复”按钮，完成操作：

　　(2) 详细选项

　　上网助手提供了许多详细的选项供我们设置(页面中淡蓝色的区域部分)：

　　① 详细修复IE，包括：

　　·恢复IE浏览器标题为空白

　　·恢复IE浏览器首页为空白页、默认地址为系统默认页

　　·修复IE浏览器的Internet选项为可用

　　·修复IE浏览器右键菜单不能弹出的问题

　　·修复IE浏览器查看源文件功能

　　·恢复IE浏览器链接栏名称

　　·修复重新开机后IE浏览器又被感染的问题(例如自动弹出IE窗口)

　　·恢复IE浏览器默认的搜索引擎

　　·恢复IE为默认浏览器

　　② 详细修复注册表，包括：

　　·修复被非法改写的文件创建日期和系统时间

　　·修复开始菜单中"注销"、"运行"、"关闭"项消失和"我的电脑"中硬盘被隐藏的问题

　　·修复开机后弹出对话框的问题

　　·修复注册表编辑器为可用

　　·修复注册表文件不能导入问题

　　·取消对"控制面板"的非法限制

　　·取消对"网上邻居"的非法限制

　　通过设置，我们可以非常细致入微地对系统进行修复。不过一般情况下没有必要进行详细的选择，上网助手默认的设置已经很够用了。

　　3、清除多余内容

　　一些软件会在 IE 的工具栏和右键菜单上，添加一些快捷方式，以方便我们的使用。但是恶意网站也看到了这一点，并充分发挥到了极致，使得自己并不太倩的身影无处不在。对于这些内容，我们也可以进行有效地清除。

　　在图2中，点击“清理IE右键菜单”或者“清理IE工具栏”，可以进入相关功能

　　选择其下面的某个或多个项，点击“立即清除”，相应的内容就会被清除了。

　　4、保护IE浏览器、屏蔽恶意网站

　　修复浏览器，只是事后诸葛亮。进攻才是最好的防守。但是显然我们一般人无法对恶意网站实施报复(虽然我很想这样做)，但是如果我们能把IE保护起来，免受恶意网站的攻击，那么效果也要比被攻击以后再来修复要好得多，正所谓“拒敌于千里之外”是也。

　　(1) 即时保护IE

　　① 在图2所在的页面顶端，点击“安全防护”->“即时保护IE”，看到如下内容

　　② 点击“立即设置”按钮，生效。

　　提示：在图1中，点击“即时保护IE”，不用上网就能保护 IE。这个小功能很实用。

　　(2) 惩戒恶意网站

　　既然那些恶意网站如此可恶，为什么不屏蔽它们、让它们根本无法接近我的IE？呵呵，英雄所见略同。3721上网助手就提供了屏蔽恶意网站的功能。在图4中，点击“屏蔽恶意网站”，然后点击“立刻设置”，就会生效。

　　上网助手提供了如下两种方式屏蔽恶意网站：

　　·根据上网助手内置的恶意网站特征码(每天自动更新)进行屏蔽

　　·屏蔽自己定义的恶意网站列表

　　因此，如果您有其他的网站需要屏蔽，可以在这里一并添加。

　　但是正如我前面提到的，“道高一尺，魔高一丈”，恶意网站也是在不断升级的。所以如果您发现了新的恶意网站，或者上网助手无法修复您的 IE 了，说明您遇到了新的恶意代码。遇到这种情况，请到 assistant.3721.com ，点击“举报恶意网站”链接，输入该网站的网址和症状，过不了多久，上网助手就会推出新的对付恶意网站的代码。

　　恶意网站的受害者们，团结起来，为了我们的共同安全，请一起来举报这些恶意网站！虽然我们无法直接打击它们，但是只要它们被列入了上网助手的恶意网站列表，它们的好日子就到头了。据说有的恶意网站被屏蔽以后，访问量从每天几十万(就是通过篡改你我的IE、强迫我们去访问他的网站而巧取豪夺得来的)下降到不到1万(原因是上网助手的覆盖量太大了，而很多人都启用了屏蔽恶意网站的功能)，真是恶有恶报，大快人心。这对那些恶意网站来说，绝对能起到很好的惩戒作用。当然如果我们一起把这篇文章传播出去，就能起到杀鸡骇猴的作用。

　　这里也建议还没有安装上网助手的朋友，请尽快安装上网助手，启用屏蔽恶意网站的功能，就不用担心受到它们的伤害了。

　　5、一键修复

　　如果您觉得上网助手默认的修复功能已经够用了，那么可以用一键修复的功能，快速解决问题，方法是在IE工具栏上点击上网助手一键修复的按钮

　　这就是我喜欢上网助手的真正原因。一键搞定，爽！

　　别了，恶意网站们。

    安全性是一大难题。它不会一成不变，而且很难知道它需要扩展到多大程度：如果您不小心的话，当您的老板真正想要的是不让看门人看到他的年度预算时，您才会最终相信他需要理解安全性的好处。

    不管在计算安全性的所有方面跟上潮流是多么的具有挑战性，毕竟有几个领域已经足够成熟，值得进行系统地学习。对于任何使用 Linux 服务器 的人，我建议他学习的第一个领域是帐户管理。

注意您的用户

    在第一批专门介绍 Linux 管理和编程的书籍中，许多都包括关于“用户管理”或“帐户管理”的一章。它们的意思非常明确：如何为使用您主机的人设置和维护计算帐户和组关系。

    在那时，“使用”必然意味着“登录”。帐户管理的全部工作就是：使用诸如 useradd 、 chsh 等命令来配置 Linux 帐户，以便于由同部门开发人员占多数的用户群使用。/etc/passwd 及其 API 是 Linux 专家的关注重点。

    那个时代早已成为过去，我对大多数 服务器 提出的第一个建议就是清除 /etc/passwd 的大部分内容。我的意思是：由于历史原因，大多数电子邮件 服务器 、Web 服务器 、文件 服务器 等，都用 /etc/passwd 管理它们的用户访问。我认为这通常都是一个错误。在早些时候，当可能有十几个或二十几个工程师共享一台高端工作站时，这是一种明智方式。但是，当一台电子邮件 服务器 可能要处理几万名用户（他们中的大多数只是把计算当成和饮水器或电话系统一样的公用设施）的 邮箱 时，传统的 /etc/passwd 方式就是一个错误。

    依靠 /etc/passwd 当然是可能的。它经历了足够的修补和调整，足以应付令人惊讶的工作量。但不是必须如此。如果您将用户帐户移到专门的数据存储，如 LDAP（轻量级目录访问协议）甚至 RDBMS（关系数据库管理系统）数据存储，您可以在可伸缩性、安全性和维护方面受益。将 /etc/passwd 限制为只供少数真正需要登录的开发人员和管理员使用。

    这一实践在安全性方面有很大好处，因为服务（电子邮件和 Web 等）用户的忙闲度与开发人员的完全不同。一旦您已设置好了一台新的 服务器 ，它的 /etc/passwd 就不应经常更改。监控它是否被更新 — 特别是篡改 — 是一项简单的任务。但是，如果您正在运行一个较大的 服务器 ，那么每天都会有几个新的和过期的电子邮件帐户更改。需要将这些帐户从 /etc/passwd 赋予的更大的访问权隔离开来。

    构建一个替代性帐户数据存储是一个认真而严肃的建议吗？的确如此，这确实令人惊讶。为了使由无需登录的用户占多数的非常庞大的 /etc/passwds 正常工作，过去几年已经投入了大量的工作。如果您确实决定编写自己的帐户认证，并且依靠象 sendmail 这样的传统电子邮件程序，那么您很可能发现自己正在为 SMTP、POP3 和 IMAP4 服务器 编写更改。

    那些障碍常常使开发人员倾向于使用现成的软件。我的习惯是使用别人已编写好而我可以重用的解决方案。但是，与这些业界使用的 服务器 不同的一点在于：我还是常常需要定制它们 — 例如，设置特殊消息目录、日志记录信息或使用记帐。对我来说最重要的一点是使安全性考虑事项模块化。我希望能够将开发人员和管理员帐户与最终用户服务完全分开地加以管理。通过将后者从 /etc/passwd 清除，我可以很容易地锁定一方而不会影响另一方。

使策略自动化

    和将开发人员帐户与用户服务分开几乎同样重要的是使策略自动化。为创建和删除帐户 — 既包括开发人员（/etc/passwd）的也包括最终用户（电子邮件、Web 和数据库等）的 — 建立明确而详细的过程。尽管将这些纳入可执行文件是很好的规定，但并不完全有必要。重要的是过程是可理解的和明确的。不小心的帐户创建和删除 总是会留下安全性 漏洞 。应当与人力资源、客户支持或其它相关部门一起检查您的过程。如果不亲身体验替代方案，那么您很难认识到这是多么关键。 当您没有为添加和除去用户帐号编写过程时，则总会出现这样的结果：假定新员工周一报到，那么他或她可能到周五仍不能访问其公司文件。或者，某人辞职，在假日聚会做了道别，可在二月份开始时仍在检索特殊用途的公司资产。

    帐户自动化一个附带的好处是它鼓励更加彻底的验证。如果开发人员没有用不同特性配置帐户的方便办法，他们很可能不会执行那些预计将使配置发生变化的应用程序。

    我最近亲身经历了这样的情况。我因某个紧急事件而被召来，当时实现小组实际上在“正确地”允许经理查看雇员业绩评审 — 甚至包括那些不属于他们管理的雇员！尽管听起来可笑，但这是典型的安全性问题。它甚至在分析和设计评审期间被指出过几次。虽然每次都向决策者反映了这个问题，但由于它是巨大而混乱的问题集合的一部分，所以它每次都在没有明确决议的情况下被忽略。

    只有当一位支持专家最终建立起一个一般实例的具体示例（在该示例中有几位经理，每位经理有多份雇员报告）时，错误才得到应有的注意。不要临阵磨枪；要定期对所有种类的用户帐户的配置进行彻底的测试。

保持警觉

    安全性最困难的部分，至少对我们中的许多人而言，是如何避免犯错。安全性是属于“最弱环节”事件之一，一个 漏洞 就可以使您目前的所有投资（不管多么庞大、计划多么周详）一钱不值。要做好安全性工作，您必须对原本不会考虑的事情保持警觉。

    美国政府网站常常是证明那种挑战的严重程度的最好例子。常在有关“反恐”的安全问题 新闻 中出现的某联邦机构维护一个网站，在那里用户密码在用于更改用户首选项的页面上公开地显示。相当多的组织解决频繁发生的丢失密码问题的方法是：根据或多或少的公共信息 指定密码（例如，“您的密码是您出生地的头四个字母，加上您出生年份的后两位数字”）。

    如何能避免这样的灾难性错误？遗憾的是，几乎没有系统的方法能“聪明地”成功实现这样的抽象目标。但是，在需要采取的有用步骤中，对 RISKS 文摘的研究和严格的工程检查是有用的步骤之一。

    RISKS 是 Peter G. Neumann 自 1985 年就一直在编辑的在线时事通讯（请参阅下面的 参考资料）。在思考事情（特别是 Linux 服务器 上的安全性）的出错原因方面，阅读它是个很好的习惯。Neumann 使该文摘易读而且有趣，当然偶尔会令人恐怖。

    您还应该养成让其他人试验您的想法的习惯。您可能认为“软件检查”不过是找出开发人员的源代码中放错地方的标点符号的一种方法，但它实际上是非常有趣和高效的实践。特别是，检查是对需求文档、网站和所有其它产品的同行评审进行组织的极佳方法。请进行检查。通过别人的眼睛查看您的工作。您将有可能了解许多关于您 服务器 的安全或不安全性的信息。

DoS（Denial of Service拒绝服务）和DDoS（Distributed Denial of Service分布式拒绝服务）攻击是大型网站和网络服务器的安全威胁之一。2000年2月，Yahoo、亚马逊、CNN被攻击等事例，曾被刻在重大安全事件的历史中。SYN Flood由于其攻击效果好，已经成为目前最流行的DoS和DDoS攻击手段。

SYN Flood利用TCP协议缺陷，发送了大量伪造的TCP连接请求，使得被攻击方资源耗尽，无法及时回应或处理正常的服务请求。一个正常的TCP连接需要三次握手，首先客户端发送一个包含SYN标志的数据包，其后服务器返回一个SYN/ACK的应答包，表示客户端的请求被接受，最后客户端再返回一个确认包ACK，这样才完成TCP连接。在服务器端发送应答包后，如果客户端不发出确认，服务器会等待到超时，期间这些半连接状态都保存在一个空间有限的缓存队列中；如果大量的SYN包发到服务器端后没有应答，就会使服务器端的TCP资源迅速耗尽，导致正常的连接不能进入，甚至会导致服务器的系统崩溃。

防火墙通常用于保护内部网络不受外部网络的非授权访问，它位于客户端和服务器之间，因此利用防火墙来阻止DoS攻击能有效地保护内部的服务器。针对SYN Flood，防火墙通常有三种防护方式：SYN网关、被动式SYN网关和SYN中继。

SYN网关 防火墙收到客户端的SYN包时，直接转发给服务器；防火墙收到服务器的SYN/ACK包后，一方面将SYN/ACK包转发给客户端，另一方面以客户端的名义给服务器回送一个ACK包，完成TCP的三次握手，让服务器端由半连接状态进入连接状态。当客户端真正的ACK包到达时，有数据则转发给服务器，否则丢弃该包。由于服务器能承受连接状态要比半连接状态高得多，所以这种方法能有效地减轻对服务器的攻击。

被动式SYN网关 设置防火墙的SYN请求超时参数，让它远小于服务器的超时期限。防火墙负责转发客户端发往服务器的SYN包，服务器发往客户端的SYN/ACK包、以及客户端发往服务器的ACK包。这样，如果客户端在防火墙计时器到期时还没发送ACK包，防火墙则往服务器发送RST包，以使服务器从队列中删去该半连接。由于防火墙的超时参数远小于服务器的超时期限，因此这样能有效防止SYN Flood攻击。

SYN中继 SYN中继防火墙在收到客户端的SYN包后，并不向服务器转发而是记录该状态信息然后主动给客户端回送SYN/ACK包，如果收到客户端的ACK包，表明是正常访问，由防火墙向服务器发送SYN包并完成三次握手。这样由防火墙做为代理来实现客户端和服务器端的连接，可以完全过滤不可用连接发往服务器。