天網是大家常用的防火牆軟件，有許多人撰文提議安裝天網，一時間天網防火牆成了菜鳥、高手必備工具。這樣做當然好，至少說明了大家的網絡安全意識提高了許多。但萬事都有個“度”，超過這個“度”就不好了。現在有許多人對天網的迷信達到了癡迷的程度，認爲安裝了天網就高枕無憂了，他們在上網時只是打開天網，至於天網運行得怎麼樣就不管了。其實，就在此時你危險了！

　　一、堡壘往往是從內部被攻破的

　　堡壘往往是從內部被攻破的，這話一點都不假。遠在古希臘時代，堅固的城牆沒有保護住特洛伊人的家園，被一個小小的木馬所攻破，在今天這個道理依然應驗。

　　1.用黑毒剋星或NoSkyNet

　　目前的天網防火牆可謂樹大招風，天網也逐漸成爲了黑客們攻擊的主要對象！針對它的黑客工具也層出不窮，黑毒剋星和NoSkyNet就是其中之一。這兩個軟件共同的特點之一就是小巧隱蔽，另一個特點就是它們將天網破壞殆盡後，居然還能讓天網防火牆在任務欄正常顯示圖標！具有極大的危害性和欺騙性。

　　雖然黑毒剋星和NoSkyNet必須被運行它們纔有機會破壞天網防火牆，但百密難免一疏，對於僅幾k大小的黑毒剋星、NoSkyNet，真的很難保證不會中招(黑客們當然不會那麼傻，他們會把黑毒剋星、NoSkyNet改名，如改爲系統優化或微軟補丁之類的名稱，這樣如果你運行了這些“優化補丁”，你的天網就完了！)，對付它們只能自己小心了。

　　2.用黑洞2001

　　黑洞2001是個木馬程序，具有出色的多進程監控功能。隨着大家安全意識的不斷提高，大多數人都安裝了網絡防火牆，木馬們的生存空間越來越小，爲生存計，木馬開發者想出了一個辦法，他讓木馬服務端定時刷新進程，如果發現其中的進程名稱與其事先定義好的相符合，就將這個進程關閉，如果這個被關閉的進程恰巧就是防火牆，那你的網絡大門就完全敞開了，監控端就可爲所欲爲了。

　　事實上這個功能就是針對防火牆出現的，一切堡壘都是從內部被攻破的在此得到了充分的體現。其實在黑洞2000中就有了這樣的功能，只不過黑洞2000只能關閉天網防火牆，對其它防火牆沒有任何作用。黑洞2001則可以定義長達99個英文字符號，完全可以將您可能會用到的防火牆都定義到其中，從而可將這些防火牆全部關閉！對於黑洞2001的多進程監控功能，讓我們作一個小測試。首先，在客戶端作配置。點擊“修改遠程服務器端設置”按鈕，再點擊其中的“智能監控”標籤。

　　在“進程監控”欄中添入“牆，毒，LOCK”，選中“使用進程監控”，然後點擊“修改配置”保存設置。在服務端運行天網防火牆、金山毒霸、Lockdown、PC-Cillin等軟件，一分鐘後這些軟件被自動關閉！由上可以看出如果你中了黑洞2001，那麼你的防火牆就全成了聾子的耳朵——擺設！

　　3.利用“反彈端口”型木馬

　　國內第一個“反彈端口”型木馬“網絡神偷”就可以突破天網防線，使天網失效。“正常”木馬是由客戶端主動連接服務端的，通俗的說就是下木馬方要主動連接中木馬的機子，這樣很容易讓防火牆發現；而反彈端口型木馬與一般的木馬相反，反彈端口型木馬的服務端(被控制端)使用主動端口，客戶端(控制端)使用被動端口，當要建立連接時，由客戶端通過FTP主頁空間告訴服務端：“現在開始連接我吧！”，並進入監聽狀態，服務端收到通知後，就會開始連接客戶端。爲了隱蔽起見，客戶端的監聽端口一般開在80，這樣，即使用戶使用端口掃描軟件檢查自己的端口，發現的也是類似“TCP服務端的IP地址:1026客戶端的IP地址:80 ESTABLISHED”的情況，稍微疏忽一點你就會以爲是自己在瀏覽網頁。(防火牆也會這麼認爲的，我想大概沒有哪個防火牆會不給用戶向外連接80端口吧)。因此這類木馬可以突破幾乎所有的防火牆(包括代理防火牆及過濾型防火牆)！在我用“網絡神偷”試驗過程中，在天網設置成默認規則的情況下，服務端連接成功並進行文件訪問，服務端主機上的天網毫無反應！天網就這樣被突破了！“反彈端口”型木馬由於是由服務端主動連接客戶端的，所以天網規則裏的“禁止所有人連接”對它是一點用也沒有，只要“允許FTP的數據通道”開啓和“TCP數據包監視”關閉(默認設置正是這樣)，天網就不會有任何反應的，這可比黑洞等木馬一上來就關閉天網要危險多了！

　　注：由於網絡神偷使用了VxD技術，因此該軟件無法在Windows2000/NT下使用，非Windows2000/NT下的朋友就要小心它了！

　　二、強攻也可突破天網的保護

　　其實，只要能夠加以注意，或不是那麼“菜”的話，那麼上面所說的從內部攻破的方法就會失效(可惜許多人就是不夠小心)，此時就只有強攻這一條路了。雖然天網對各類IP炸彈的攻擊保護等不錯，但仍有空子可鑽，有四種方法攻破它，請看：

　　1.使裝天網的系統死機的簡單方法

　　推薦工具：PortScan和IGMP Nuke

　　(1)得到對方的IP

　　要查對方IP最簡單的方法是打開網絡防火牆，如天網，然後點擊“安全規則設置”，在彈出的對話框中把“UDP數據包監視”前面的多選框內打上“√”，然後保存設置。現在，在QQ中給那個人發個消息，再來點擊天網中的“日誌”按鈕，從中你就會發現對方的IP。有了IP，他想跑可就難了，哈哈。

　　(2)開始攻擊

　　打開兩個或兩個以上PortScan，在“Scan:”欄中填入對方的IP，在“Send Port:”欄中填入1，在“Stop Port:”欄中填入65536，這樣就配置完畢，可以攻擊了！現在按“START”按鈕，然後你就可以忙你的別的事吧！掃描的事教給PortScan就可以了。

　　(3)攻擊原理

　　天網防火牆有個習慣，它對任何外來的不明數據包都會攔截，當一個時間段內有大量的“各種不同類型的”數據包涌過來，天網會對之進行一一攔截，還要分析和解析這是什麼數據包，一秒鐘要解析幾十次以上，由於數據包太多，會造成系統的資源逐漸耗掉，對方機子上的應用程序會越來越慢，最終……呵呵！由於PortScan佔用系統資源不多，因此本機的速度不會變慢多少4)攻擊深入

　　如果該用戶發現是由於天網的過多攔截才造成死機，那他就會關閉天網。此時IGMP Nuke就會發揮作用了：你可以每隔一段時間就對着目標IP運行一下IGMP Nuke，用默認設置就可以。結果，沒有了天網的對方當然是藍屏啦！真是有天網也煩，沒天網也煩呀！

　　(5)攻擊時自身防範

　　本方法有一個缺點，就是對方能知道你的IP(天網中會記錄下來的)，因此你最好能使用代理服務器免得暴露自己。

　　2.利用天網小BUG

　　天網有個小BUG(也許不能算作BUG)，它只能記錄6萬多條攻擊記錄。那如果有多出來的的記錄會怎麼樣呢？這正是攻擊者經常利用的一點。攻擊者使用ICMP或IGMP包進行攻擊，當攻擊6萬多次以後，天網就會不斷彈出錯誤對話框，直到耗盡內存而當機！儘管手段不夠漂亮，但的確使裝有天網的主機死機了！簡單實用就是這個方法的最大特點！

　　3.不斷髮送二進制的0字節流到

　　不停地發送二進制的0字節流到裝有天網主機的特定端口(用TCP或UDP都可以)，使裝天網的主機當機。簡單的測試方法如下：在Linux中通過netcat輸入/dev/zero內容，命令如下：

　　TCP的測試命令爲: nc目標主機端口< /dev/zero

　　舉例：nc 127.0.0.1 7 < /dev/zero其中“127.0.0.1”爲裝有天網主機的IP，“7”爲目標主機端口。

　　UDP的測試命令爲：nc -u目標主機端口< /dev/zero

　　舉例：nc -u 127.0.0.1 53 < /dev/zero其中“127.0.0.1”爲裝有天網主機的IP，“53”爲目標主機端口。

　　TCP ports：7 9 21 23 7778等都是TCP端口。

　　UDP ports：53 67 68 135 137 500 1812 1813 2535 3456等都是UDP端口。

　　在本文即將撰稿完畢之際，天網又推出了新的測試版本，新增了一個非常好的功能：天網防火牆增加了對應用程序數據包進行底層分析攔截功能它可以控制應用程序發送和接收數據包的類型、通訊端口，並且決定攔截還是通過，這是目前其以前版本所不具有的功能。如果能很好的利用該功能，可以有效防止利用“反彈端口”型木馬如“網絡神偷”等程序悄悄連接客戶端，但遺憾的是許多人嫌該功能太煩人(不管哪個程序啓動運行，天網都會向您詢問是否運行)，因此將某些程序設置爲“始終允許”，此時就給木馬程序提供了機會——木馬也可能被您設置爲“始終允許”！就這樣天網精心構築的防線被您輕易的打開了！從這個角度上來說，世上只有愚蠢的人，而沒有愚蠢的防火牆！

　　解決辦法

　　1.不要到小站點下載軟件，更不要運行“好心”的大蝦提供的補丁之類的軟件，當心被別有用心的人利用！如此一來，可以防止木馬及黑毒剋星、NoSkyNet之類的軟件被運行。

　　2.保持警惕性，對不熟悉的人發來的E-Mail不要輕易打開，帶有附件就更要小心了。另外算就是熟人發來的E-Mail，對其中的附件也要小心，您的朋友也許會無意中害了您(他的電腦被感染了木馬，但他有可能自己並不知道)。

　　3.安裝殺毒反黑軟件，下載軟件運行前用殺毒反黑軟件檢查，如金山毒霸就可以識別出黑毒剋星、NoSkyNet和上面說的黑洞2001，而反黑軟件如“木馬克星”可以查出網絡神偷。

　　4.注意註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下，所有以“Run”開頭的鍵值名，其下有沒有可疑的文件名。如果有，就需要刪除相應的鍵值，再刪除相應的應用程序。

　　5.啓動組和Win.ini以及System.ini也是木馬們喜歡的隱蔽場所，要注意檢查這些地方。

　　6.最好通過代理服務器上網，只有這樣才能真正隱藏自己的IP，那些通過得知你的IP來攻擊你的人就會失去目標了。

　　7.千萬不要嫌天網“煩”，天網是有些像大話西遊中的唐僧，但你既然選擇了它，就要忍受它的“羅嗦”，其實所謂的“羅嗦”正是天網在不厭其煩的提醒你、保護你，所以要看仔細了，到底是什麼程序要連線運行。

　　8.注意自己在網上的言語，儘量不得罪人，真正的黑客是不會無緣無故的攻擊你的。只有那些“灰”客才亂攻擊，對付他們請用方法6。

　　本文的目的是希望大家不要太迷信防火牆，注意提高自身素質，加強自己的網絡安全意識。如果能達到這個目的，吾願足矣！