据日前公布的一份安全报告显示，在刚刚过去的2005年，微软MSN即时通信系统所遭到的攻击最为频繁，市场占有率高达57％。
    该报告显示，2005年MSN的被攻击率最高，达到了57％；紧随其后的是AOL的AIM，所遭攻击率为37％；而Yahoo Messenger的被攻击率最小，只有6％。
    尽管如此，通过IM（即时信息系统）进行攻击的比例远远小于电子邮件。在去年第四季度，共有778起电子邮件攻击事件，而IM攻击事件仅有59起。
    但是，与电子邮件相比，通过IM进行攻击的速度是望尘莫及的。因此，对于企业IT安全人员而言，要解决IM攻击问题相对困难。
    该报告指出，2004年，AIM所遭遇的攻击次数最多。但到了2005年，随着MSN的日益普及，越来越的攻击目标开始向MSN转移。（转自《天天安全网》）

                                                                                   <<<< 回到本期导读

    微软在周二发布了两个定性为“严重”级的补丁，修补其软件产品中有可能被攻击者借以控制用户电脑的缺陷。
    微软表示，其中一个补丁用来修补Windows中一个和字形相关一个漏洞。如果上网用户受骗浏览一个恶意网站或打开一封带有恶意代码的电子邮件，攻击者就可以利用这个漏洞来控制用户联网的电脑。该补丁适用于Windows 2000及其之后所有当前的版本。
    另一个补丁修补微软Outlook和Exchange Server软件中存在的一个漏洞，该漏洞和这两款软件解码某种电子邮件信息的方式有关。当Exchange处理或Outlook查看带有恶意信息的电子邮件时，易受攻击的系统就有可能受到威胁。
    在发布这两个补丁之前，微软已与上周提前发布了另一个严重级别的补丁，用以修复Windows中和浏览图片相关的一个漏洞。微软呼吁用户尽可能早地安装这些补丁。

                                                                                                   <<<< 回到本期导读

    由于网络和各种存储设备的飞速发展，使得病毒传播的几率也大大的增加了。虽然可以通过安装防病毒软件和网络防火墙来保护你的系统，但是由于病毒技术的发展势头十分迅猛，甚至许多网页中都包含了很多恶意代码，如果用户的防范意识不强的话，即使安装了防病毒软件也很容易“中招”。笔者经过查阅微软资料以及个人的使用经验，总结出一套防范病毒的方法，希望能对大家有所帮助。
    如果大家使用的是Windows2000/XP或2003 操作系统的话，那么你可以尝试一下以下的方法——从源头上让你的系统可以对病毒免疫。
    首先全新安装的操作系统--或者你能确认你当前使用的系统是无毒的，立即就打开：}
    “开始→程序→管理工具→计算机管理→本地用户和组→用户” ，把超级管理员密码更改成十位数以上，并且尽量使用数字和大小写字母相结合的密码。然后再建立一个用户，把它的密码也设置成十位以上并且提升为超级管理员。这样做的目的是为了双保险：如果你忘记了其中一个密码，还有使用另一个超管密码登陆来挽回的余地，免得你被拒绝于系统之外；再者就是网上的黑客无法再通过猜测你系统超管密码的方式远程获得你系统的控制权而进行破坏。接着再添加两个用户，比如用户名分别为:nyh1、nyh2；并且指定他们属于user组，好了，准备工作到这里就全部完成了，以后你除了必要的维护计算机外就不要使用超级管理员和nyh2登陆了。只使用nyh1登陆就可以了。

不过总有疏忽的时候，万一不小心接收了别人发来的病毒文件，或者从邮件中收到病毒文件，一个不小心中毒了怎么办？
    不用担心，现在我们就可以来尽情的表演金蝉脱壳的技术了！

　　开始金蝉脱壳：

　　重新启动计算机，使用超级管理员登陆——进入系统后什么程序都不要运行。
    你会惊奇的发现在的系统竟然表现的完全无毒，那就再好不过了，现在就立即就打开：
    “开始→程序→管理工具→计算机管理→本地用户和组→用户” 吧！
    把里面的nyh1和nyh2两个用户全删掉吧，你只需要这么轻轻的一删就可以了，那么以前随着这两个用户而存在的病毒也就跟随着这两个用户的消失而一起去长眠了——好象是陪葬，呵呵。这么做过之后我保证你的Windows 就象新装的一个样，任何系统文件和系统进程里都完全是没有病毒的！
    现在再重复开始的步骤从新建立nyh1和nyh2两个用户，让他们复活吧。他们复活是复活了，但是曾跟随了他们的病毒却是没这机会了，因为WINXP重新建立用户的时候会重新分配给他们全新的配置，而这个配置是全新的也是不可能包含病毒的！建立完成之后立即注销超级管理员，转如使用nyh1登陆，继续你象做的事吧，你会发现你的系统如同全新了！以上方法可以周而复始的用，再加上经常的去打微软的补丁，几乎可以永远保证你的操作系统是无毒状态！只要你能遵循以下两条规则：
    一、任何时间都不以超级管理员的身份登陆系统——除非你要进行系统级更新和维护、需要使用超级管理员身份的时候或是你需要添加和删除用户的时候。
    二、必须使用超级管理员登陆的时候，保证不使用和运行任何除了操作系统自带的工具和程序之外的任何东西，而且所有维护都只通过开始菜单里的选项来完成，甚至连使用资源管理器去浏览硬盘都不！只做做用户和系统的管理和维护就立即退出，而决不多做逗留！(这也是微软的要求，微软最了解自己的东东，他的建议是正确的。浏览硬盘的事，在其他用户身份下你有大把的机会，在超级管理员的身份下还是不要了！！这应该事能完全作到的)。

　　总结

　　通过以上的方法应该能保证你的系统是安全的了，但是计算机技术的发展速度太快，系统和病毒的运行方式可能随时都会革新，所以以上的方法也不能保证100%的绝对防毒。所以使用这个方法的同时还是要提高自身防毒意识，让我们的计算机过一个没有病毒侵扰的春节！
                                                                                    <<<< 回到本期导读

内容提要

用户对网络带宽日益增涨的需求与通信线路的扩容的永远是一对矛盾，需求增加导致带宽紧张，带宽扩容又加剧了需求的增长。刚进行不久的网络扩容改造，用户“爽”的感觉尚未延续多时，网上传输的速度又逐渐地变慢下来。如何在此消彼涨的矛盾中去寻找平衡点，是网络管理者思考的问题。本文旨在从网络管理员的视角去认识网络系统流量的运行规律，探索网络环境优化和管理的办法。

一、网络流量管理问题的由来

伴随着计算机网络运用的不断深入，各种类型的网络服务争先涌现。如网上的许多应用软件都采用Web浏览的图形界面方式，还有视频会议系统等，这些实时的应用要消耗掉大量的网络带宽资源，对网络传输时延、延时抖动等特性较为敏感，当网络上有突发性高的FTP或者含有图像文件的HTTP等文件传输业务时，实时业务就会受到很大影响；另一方面，多媒体业务占去了大量的带宽，这样，现有网络要保证的关键业务就难以得到可靠的传输。反映到网络用户的桌面上的最直接感受就是速度慢，难以忍受，一个文件半天打不开。网上较流行的P2P下载，如BT、eMule、eDonkey等由于是双向传输，也相当消耗网络带宽资源。仅单靠增加网络带宽已经不能够完全解决问题，所增加的带宽永远不能够满足消耗的增长，并且极大地提高了网络运行成本。

    二、目前通常采取的主要做法

    网络的管理者从交通管理部门在有限道路资源的条件下不断挖掘潜力，提高道路通过能力的做法受到启发，如画线分道行驶、以保证车辆的有序流动；开辟公交专用通道，对特种车辆象消防车、救护车予以优先通过等办法，来保证有限道路资源的效益最大化。网络对数据传输流量的管理被称做QoS，QoS是指IP的服务质量,也是指IP数据流通过网络时的性能。它的目的就是向用户提供端到端的服务质量保证。它有一套度量指标,包括业务可用性、延迟、可变延迟、吞吐量和丢包率：
    ①、业务可用性：用户到IP业务之间连接的可靠性。
    ②、延迟：也称为时延（Latency），指两个参照点之间发送和接收数据包的时间间隔。
    ③、可变延迟：也称为抖动（Jitter），指在同一条路径上发送的一组数据流中数据包之间的时间差异。
    ④、吞吐量：网络中发送数据包的速率，可用平均速率或峰值速率表示。
    ⑤、丢包率：在网络中传输数据包时丢弃数据包的最高比率。数据包丢失一般是由网络拥塞引起的。
    为了提高在网络数据传输中的上述几个性能指标，国际电信标准化组织提出了几种解决的参考模型，其中比较有代表性的是：综合业务/RSVP模型（IntServ）和区别业务模型（DiffServ）
    综合业务/RSVP模型（IntServ）的思想是使用资源预留（RSVP）协议，它的特点是在路由器、交换机等传输设备中对于特殊的数据流预留有一定的带宽信道资源，所预留资源数量与其所消耗的大体平衡，从而保证数据传输的质量。
    区别业务模型（DiffServ）定义了数据包头结构，每个数据包被赋予了不同的标记，按照各自标记得到对应的服务级别。这实际上是相对优先级排队的处理方式。因此它并不能保证所有的数据包公平地获得网络资源。

     三、我们的流量管理方面的探索

我单位现阶段通信线路的带宽为分别是2M和8M线路，线路之间流量负载均衡，互为备份。如果不进行任何数据流量的管理，那么任意时间内的数据包在100M本地局域网尚能快速转发的，在进入通过城域网这两条线路时完全是随机的无序状态，就象行驶在宽阔的主干道上的汽车，突然拐进小胡同，在这道口上便极容易拥塞形成瓶颈。由于单位业务的流量具有不均衡性的特点，常常在瞬间会有较大的跳变。此时这些突发性的重要数据传送常常会被非业务的次要数据将信道挤占，网络并不能发挥出应有的效率。为了改善这种状况，我们在分析了网上数据流作用的基础上在2M线上采用了优先级排队（PQ）；在8M线上采用了对IP数据包的分类和限速。具体做法是：
    ①、充分利用思科7507路由器对数据的排队和整形功能，将重要的数据包单独划分出来，在同等条件下重要数据得到优先处理。数据划分的依据是根据数据包目的地的IP地址，凡是访问主业务的小型机、服务器的数据流均被认做是重要数据，建立访问控制列表access-list 100，位于列表内的数据流量会优于正常数据被处理。
    ② 、在8M线路上实现基本的IP限速，即在8M线路上预留了3M带宽资源，有资格使用这部分资源的必须是关键数据。具体做法是在线路的汇聚点思科4507交换机上建立访问控制列表，建立一个类class，实现访问控制列表和class-map的相互映射。对于关键重要数据确保获得不低于3M线路带宽，而对非重要数据最多也只能分得5M带宽。
    ③ 、将以上流量管理策略分别在对应的接口上进行绑定。
    以下是具体配置命令：
    在2M线路上实现优先级队列
    。。。。（配置参数略）
    我单位的网络改造项目完成一年多以来，主节点至各分支节点的主备线路运行稳定，数据传输顺畅有序，由于网络数据拥塞（非线路本身质量）的原因而造成业务中断的情况没有发生，保证了税收征管、数据集中等主要软件的可靠运行，说明以上做法是有效的。进行了网络流量的QoS配置以后，对于一般的非关键业务数据传输而言，它分配的带宽被限制成5M，这已经从流量的统计图表中得到验证。但是这样划分仍然是较粗糙的，尚有很大潜力可挖。

    四、今后的打算

网络的数据流量拥塞在一定时期内是制约网络健康发展的顽症，值得引起我们足够重视与应对。引起流量拥塞的原因从表面看来是由于带宽的不足，在局域网内即使不进行任何的流量管理，也不大可能会引起拥堵。但是在广域网范围内情况不同了，在二者的边界处数据吞吐量形成的落差是造成流量拥塞的根本原因。而片面追求高带宽则必然带来高资金投入使用户难以承受。基于以上认识，笔者认为除了重视对网络流量的管理外，要创造和满足以下几个条件才能有效地实施管理。
    要广泛地全方位地收集网络的各种流量信息，包括内外网的、不同流向的、不同应用的、不同状态的数据流，以及这些数据流所使用的协议和端口。把握这些数据流的历史和现状规律。
    要对网上传输的各种信息流进行准确细腻的分类。因为一但要控制谁都会认为自己是最重要的。那么如何区分，怎样区分。怎样准确识别信息类别。我们曾经有过一个案例。某一个设备的端口被业界普遍认为会被病毒所利用，于是我们在网上封闭此端口，结果有单位立即反映他们的程序不能运行了，结果只好重新放开。
    充分利用网络流量管理设备。使用先进的流量管理设备对于网络的管理无疑能取得事半功倍的效果。
    总之，随着我们对网络流量运行客观规律认识的不断深入，在对网络带宽的控管能力上取得更大的主动权以后，网络的资源优势就能更完全体现出来。

南京市国家税务局信息中心 许建明
<<<< 回到本期导读

   
    PORT命令包含了客户端用什么端口（19，138）接收数据。在传送数据的时候，服务器端通过自己的TCP 20端口发送数据。 如图2所示为二进制解码：
　

    客户端接收数据所使用的端口为5002（19×256＋138）。FTP server必须和客户端建立一个新的连接用来传送数据。
 被动模式
    Passive模式在建立控制通道的时候和Standard模式类似，当客户端通过这个通道发送PASV 命令的时候。如图1所示被动模式建立连接的会话过程：

    FTP server打开一个位于1024和5000之间的随机端口并且通知客户端在这个端口上传送数据的请求，然后FTP server 将通过这个端口进行数据的传送，这个时候FTP server不再需要建立一个新的和客户端之间的连接。 如图2，3所示：

2、在过滤该端口的规则中选择内容过滤中的FTP过滤，如下图
　

3、设置好后包过滤规则中将增加如下规则
　

在做出以上配置后客户端就可以正常与服务器端建立连接了。

                  工程师信箱：service@ultratech.com.cn   欢迎大家与我一起交流技术方面的问题。
                                                                                   <<<< 回到本期导读

    F-Secure警告Windows再次出现一个0day漏洞，该漏洞与Windows图形渲染引擎有关, Windows在处理特殊WMF文件(也就是图元文件)时存在问题,可以导致远程代码执行，如果用户使用Windows图片传真查看程序打开恶意WMF文件，甚至在资源管理器中预览恶意WMF时，也都存在代码执行漏洞。完全补丁版Windows XP SP2电脑也无法幸免。目前已经出现利用该漏洞的木马程序，如：
　　IE用户打开包含病毒代码的图形文件时将自动被感染，而Firefox用户如果选择运行或下载该图形文件也将中毒。这是微软Windows图形渲染引擎第二次被发现存在漏洞。前一次是在11月份，微软发布当月唯一最高严重等级安全公告MS05-053，称其图形渲染引擎中存在漏洞，可能允许远程执行代码 (896424)。目前受影响的操作系统包括WINDOWS2000以上的所有操作系统，最新的64位版本操作系统也未能幸免。
　　这是6个星期内的第2个微软0-day漏洞，上一次是IE浏览器window()函数远程代码执行漏洞，于2005年11月22日被发现。
　　目前F-Secure Anti-Virus的2005-12-28_01更新已经可以识别这类有害WMF文件并将这种威胁命名为W32/PFV-Exploit。希望微软尽快发布修复该漏洞的安全补丁。 计算机世界日报 　(2005-12-30)

                       谭博士信箱：txy@ultratech.com.cn    欢迎大家与我共同探讨安全问题
                                                                                   <<<< 回到本期导读