我把我遇到的一些問題說出來好了,實在很悶,腦子一堆疑問,實在不知哪裏出問題,希望有一線生機 :'(
不是學電腦的相關科系,都自已東看西看,有些不知精確的講法,請見諒
我現在的電腦用法是
以Xubuntu來說,灌好電腦後
刪除ntpdate和su
建一個管理者帳號
然後建一個平常用的帳號
有需要用root時例如安裝軟體時就從普通使用者登出切換到管理者帳號用sudo來操作
管理帳號只做更新和更改iptables,不逛網頁,和去網路的其它地方
把所有服務都關掉
root的密碼不解開鎖,連我自己也不知密碼
進入security,編輯limit.conf,然後設成這台電腦一次只能一個帳號能登入
設定hosts.deny ALL:ALL
設定hosts.allow ALL:127.0.0.1
設定sysctl.conf
把一些icmp之類的都disable掉
然後設定iptables,以下是我的iptables-restore檔規則(我知道滿拙劣的,自己東看西看拼湊出來的,抱歉,我也覺得貼的很不好意思)
我有讀過小洲老師寫的iptables簡介,知道對外預設政策不用設DROP
可是我一直無法理解為何對外不用設限,再加上有一次我去games.yahoo.com玩game
它的網頁好像被人駭了,結果電腦自己向外的主機的19XXX埠送syn訊號,整個網頁當掉
後來過了半天再去一次就正常
所以一直對對外預設政策不用設DROP這點有疑惑
*filter
:INPUT DROP [0:0]
:OUTPUT DROP [0:0]
:FORWARD DROP [0:0]
-A INPUT -i lo -j ACCEPT
#-A INPUT -p udp -m state --state NEW -j DROP
#-A INPUT -m state --state RELATED -j ACCEPT
-A INPUT -p tcp --syn -m state --state NEW -j DROP
-A INPUT -p icmp -j DROP
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m addrtype --dst-type MULTICAST -j DROP
-A INPUT -m addrtype --dst-type BROADCAST -j DROP
-A INPUT -s 224.0.0.0/4 -j DROP
-A INPUT -d 224.0.0.0/4 -j DROP
-A INPUT -s 10.0.0.0/8 -j DROP
-A INPUT -d 10.0.0.0/8 -j DROP
-A INPUT -s 172.16.0.0/12 -j DROP
-A INPUT -d 172.16.0.0/12 -j DROP
-A INPUT -s 192.168.0.0/16 -j DROP
-A INPUT -d 192.168.0.0/16 -j DROP
-A INPUT -m conntrack --ctstate ESTABLISHED -s 168.95.1.1 -p udp --sport 53 -j ACCEPT
-A INPUT -m conntrack --ctstate ESTABLISHED -s 168.95.192.1 -p udp --sport 53 -j ACCEPT
-A INPUT -m conntrack --ctstate ESTABLISHED -s 168.95.1.1 -p tcp --sport 53 -j ACCEPT
-A INPUT -m conntrack --ctstate ESTABLISHED -s 168.95.192.1 -p tcp --sport 53 -j ACCEPT
-A INPUT -m conntrack --ctstate ESTABLISHED -p tcp --sport 80 -j ACCEPT
-A INPUT -m conntrack --ctstate ESTABLISHED -p tcp --sport 443 -j ACCEPT
-A INPUT -m conntrack --ctstate ESTABLISHED -p tcp --sport 21 -j ACCEPT
-A INPUT -m conntrack --ctstate ESTABLISHED -p tcp --sport 23 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -p ALL -j DROP
-A FORWARD -p tcp --syn -m state --state NEW -j DROP
-A FORWARD -p ALL -j DROP
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A OUTPUT -o lo -j ACCEPT
#-A OUTPUT -m state --state RELATED -j ACCEPT
-A OUTPUT -p icmp -j DROP
-A OUTPUT -m conntrack --ctstate INVALID -j DROP
-A OUTPUT -m addrtype --dst-type MULTICAST -j DROP
-A OUTPUT -m addrtype --dst-type BROADCAST -j DROP
-A OUTPUT -s 224.0.0.0/4 -j DROP
-A OUTPUT -d 224.0.0.0/4 -j DROP
-A OUTPUT -d 10.0.0.0/8 -j DROP
-A OUTPUT -s 10.0.0.0/8 -j DROP
-A OUTPUT -d 172.16.0.0/12 -j DROP
-A OUTPUT -s 172.16.0.0/12 -j DROP
-A OUTPUT -d 192.168.0.0/16 -j DROP
-A OUTPUT -s 192.168.0.0/16 -j DROP
-A OUTPUT -m conntrack --ctstate NEW,ESTABLISHED -d 168.95.1.1 -p udp --dport 53 -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW,ESTABLISHED -d 168.95.192.1 -p udp --dport 53 -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW,ESTABLISHED -d 168.95.1.1 -p tcp --dport 53 -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW,ESTABLISHED -d 168.95.192.1 -p tcp --dport 53 -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW,ESTABLISHED -p tcp --dport 80 -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW,ESTABLISHED -p tcp --dport 443 -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW,ESTABLISHED -p tcp --dport 21 -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW,ESTABLISHED -p tcp --dport 23 -j ACCEPT
-A OUTPUT -j DROP
COMMIT
然後設完iptables後就上網更新
這時我用iptraf看,非常奇怪,每次重灌都一樣
一上網還沒啟動更新管理員,就有來自不同的IP的電腦,向我的電腦送syn和udp連線
有時還多達4000多個IP
我明明是重灌了呀,這些電腦怎麼會知道我的位置,實在搞不懂
更新完之後才切去普通使用者帳號
接著普通的使用者帳號
我在firefox 的about:config中
設定以下兩行
network.http.sendSecureXSiteReferrer;false
network.http.sendRefererHeader;0
然後才上網
然後前一陣子都用代理伺服器上網
可是很奇怪,仍然會從不是proxy伺服器的ip位置送syn之類奇奇怪怪的連線到我的電腦來
所以我就放棄了用代理伺服器上網
之前還有用IP分享器做防火牆和DMZ
然後就被入侵了,ip分享器被入侵者抓走,入侵者好像變成我的DHCP伺服
我想可能這個IP分享器有點舊了所以有漏洞
但是我奇怪的地方是雖然有設一台DMZ的電腦可是這些奇奇怪怪對我連線的電腦好像無視DMZ的存在
然後我如果上網抓檔案,很奇怪連線的速率都會跑來跑去
例如這一秒是200K下一秒就變198K又變170K然後又跑回來200K,就都跑來跑去
實在很怪異,有時又很正常
我是用pppoe方式上網
所以我的疑問是
1-為什麼連外不用設限?
2-為什麼我重灌後,這些奇怪的連線仍然知道我電腦在哪。
3-為什麼代理伺服器會沒作用?
4-DMZ為何沒用?
5-為什麼連線速率會跑來跑去?
還有我要拜訪的網站有時會被換成很怪的網頁,一看就知不正常不是我要去的網頁,可以用不知所云,和莫名奇妙來形容
我也不逛奇怪和大陸的網站,平常最大的興趣也只是抓遊戲的DEMO用WINE跑跑看
會動到用root才能安裝的檔案也幾乎都不安裝
所以我到底要怎麼防護自己的電腦?到底是怎麼入侵的,真的滿困惑的
發問方式有沒注意到的地方,請原諒