近期有些用户反映服务器上所有网站被插入了病毒代码,但是这些病毒代码 　　在服务器的源文件上并不能找到,因此,网管想清理病毒也无从下手,这是什 　　么原因造成的呢? 　　答：这是近期流行的ARP病毒造成的。 　　　　具体地说，就是您的服务器所在的机房有上百台服务器，其中有一台服 　　　　务器被人入侵并安装了ARP病毒，虽然并不是您自己的服务器被入侵， 　　　　但也会严重影响到其他服务器包括您自己的服务器。 　　　　例如：机房只要有其中一台带毒的服务器被入侵后，它就会向同一个机 　　　　　　　房其它的服务器广播这样的欺...

IDS要有效地捕捉入侵行为，必须拥有一个强大的入侵特征数据库，这就如同公安部门必须拥有健全的罪犯信息库一样。但是，IDS一般所带的特征数据库都比较死板，遇到“变脸”的入侵行为往往相逢不相识。因此，管理员有必要学会如何创建满足实际需要的特征数据样板，做到万变应万变！本文将对入侵特征的概念、种类以及如何创建特征进行介绍，希望能帮助读者尽快掌握对付“变脸”的方法。  　　一、特征（signature）的基本概念  　　IDS中的特征就是指用于判别通讯信息种类的样板数据，通常分为多种，以下是一些典型情况及识别方法：  　　来自保留IP地址的连...

发布原因,主要是因为国内某安全软件长期存在的引擎问题.希望本文可以让其做实质性更新.安全软件,要给用户,使用者以安全,而不是麻烦.具体引擎问题表现,是扫描文件,创建一拷贝,再扫描这个拷贝的文件.即使象AVP这种杀壳专家,见到壳也不会通通脱掉.也有很大的可能直接在壳中提取病毒定义.源代码如下,有部分删节,因本文并不是让所有的人都来写扫描器,且此引擎亦不再使用. const  cBuf_Size = 65536;var fintbuffer:pbytearray; procedure CheckInternalBuff...

　　防火墙已经被用户普遍接受，而且正在成为一种主要的网络安全设备。防火墙圈定一个保护的范围，并假定防火墙是唯一的出口，然后防火墙来决定是放行还是封锁进出的包。传统的防火墙有一个重大的理论假设—如果防火墙拒绝某些数据包的通过，则一定是安全的，因为这些包已经被丢弃。但实际上防火墙并不保证准许通过的数据包是安全的，防火墙无法判断一个正常的数据包和一个恶意的数据包有什么不同，而是要求管理员来保证该包是安全的。管理员必须告诉防火墙准许通过什么，防火墙则依据设置的规则来准许该包通过，这样管理员就必须承担策略错误的安全责任。然而，传统防火墙的这种假设对网络安全是不恰当的，安全效果也不好。把安全责任交给安全管...