DalianSky's Blog

网易科技于昨日发表了题为《暴风影音理应为断网事故负责!》的评论文章,网民反应激烈.上千名网友在文章后跟贴,谴责暴风影音在软件中留后门,要求严惩暴风,并呼吁政府出台相关措施,对此类软件进行规范,以防大规模断网事件重演.在跟贴中,多位网友描述了自己的电脑安装暴风影音后,在不启用软件的时候仍然有进程在后台运行的情况,而这些进程则是造成此次全国大规模断网的元凶.也有网友在跟贴中表示,暴风影音应该站出来为这次断网事件道歉,并修改软件的“后门”程序.

来自广州的网友称,希望应该对此类软件加强管理,来自天津的网友呼吁相关部门“应该立法,对这些流氓软件实行惩罚”.

截至5月24日00:11,共有大约7000名网友参与了网易科技发起的“你认为暴风影音是否应该为断网事故负责?”的调查,其中88%的网友认为,暴风应该对断网事件负责.

2009年5月19日晚,全国部份城市互联网络一度瘫痪,而中国电信第一时间公布的数据显示,在导致网络瘫痪的巨大域名解析诉求的流量中,来自一款名为暴 风影音的软件占据高达40%的流量.但暴风影音很快发表声明“暴风也是受害者”划清事件关系,并将责任推到一个提供DNS免费解析服务的DNSpod公司 身上.

但随着整个事情越来越清晰,暴风影音的“受害者”身份受到广大网民的质疑.事实上,暴风影音不仅不是受害者,反而是事件的罪魁祸首.

“像这类黑客的攻击几乎每天都有发生,但如果没有暴风影音,根本不会发生这种全国大城市的网络瘫痪.”一位资深从业人士对网易科技透露,他表示:“如果暴 风影音真的像正常软件那样,在需要的时候连接互联网,也不会发生这个事故.然而核心在于,所有只要安装暴风软件的用户,不论是否使用,都会有进程在后台悄 悄运行,并不断地尝试与网络服务器交换数据,正是因为这一点,才导致大规模断网.”

事实上,暴风影音软件在被用户安装时,会强制随机启动一项名为stormliv.exe的进程.这种后门程序,使得只要用户安装了暴风影音,即使开机没有 运行该软件,也会自动运行 stormliv.exe进程并不断连接暴风影音的网站,下载广告或升级;在关闭暴风影音主程序后,该进程也不会终止.

暴风影音这个开机即运行的进程,使所有安装暴风影音软件并且当时上网的用户的电脑在那一时刻实质成了“肉鸡”,这一批“肉鸡”不断向电信DNS服务器发送数据,最终导致了大规模断网.

也有网友在跟贴里为暴风伸冤,称“其实几乎每一款软件都有后门.只是这次事件让暴风影音摊上了.软件自动更新功能也就是一个后门.”不过这个说法很快被其 他网友反驳,“核心区别在于后门程序是否是在使用软件的时候发生,很多软件是必须打开软件才能实现升级,然而暴风是即使不开这个软件都会在后台执行,这是 多么恐怖的一件事啊.”

截止发稿时,暴风影音公司尚未宣布就此事承担责任.

5月19日,中国15个省市数以亿计的网民遭遇了罕见的“网络塞车”.当然,一群来历不明的肇事者黑客难辞其咎,但网易科技更认为:暴风影音却应该站出来对此事负责.
据报道,2009年5月19日晚,一个游戏”私服”的网站打算对它的竞争对手发动攻击,黑客从域名下手对国内最大的免费域名服务商DNSpod的服务器进行了狂轰滥炸,史无前例的大流量攻击导致了DNSpod的服务器瘫痪,运行在DNSPod免费服务器上的10万个域名无法解析.

然而,遭到攻击瘫痪的服务器正好也是在为暴风影音的某项服务提供域名解析.于是,号称2.8亿用户的暴风影音客户端,通过其安插在用户电脑里的后台进程悄悄访问暴风网站出现无法连接之后,便自动开始向电信的域名服务器疯狂提交查询,海量的数据信息最终导致了服务器资源的耗尽,也引发全国网络出现大范围瘫痪.

在这个意义上,暴风影音的一个后台进程竟然成功做到了很多黑客们想都不敢想的疯狂事情.

那么,暴风影音又为何会具有如此大的能量,足以让中国互联网出现全国性故障呢?

“暴风影音”原本是一款打包国外播放器源代码并将其汉化的本地媒体播放软件,因为支持了市面上所能看到的绝大部分媒体格式,深得中国网民的喜爱,进而凭借其良好口碑以及各种电脑入门杂志、网站的推荐,成功占领了全国近半数网民的桌面.

但随着其装机量的不断增长,面对庞大的用户规模,暴风影音不再甘心只做一个本地的播放软件.随着一些自动启动、自动弹窗、甚至隐蔽进程等“新特性”的加入,暴风开始不厌其烦的通过其后台进程与暴风网站进行通信,下载广告并把广告等内容即时推送到用户桌面.由于其强悍的后台进程设计,大多数用户也越来越难以将其彻底卸载,客观上甚至还形成了更大规模的用户群.

回顾本次事故,也正是因为暴风影音在用户不知情的情况下安装运行的自动联网的后台进程,在数以亿计用户规模的放大之下,才最终促成了这起罕见的网络故障的发生.

网易科技认为,暴风影音作为一款拥有庞大用户资源、甚至足以左右国内网络通信稳定的商业软件,更应该加强自律和自省.对于这起事故而言,即使是有意为之还是无心之过,都理应懂得为其软件缺陷(或是“有意留的后门”)承担起责任来,而不是继续以受害者自居躲在公众疑问的背后.

文/网易科技

现网站和外挂经常带arp和ddos攻击,本来用ros做网吧路由器顶不住ddos，只能换FB6.2+pf,前几天用FB6.1+PF，人多时出watchdog timeout,老大说用FB6.2可能不会出了，那就装起测测看，下面是安装步骤，操作一个写一个，

cd /usr/src/sys/i386/conf
cp GERENIC PFOK
ee FFOK

修改并加入下面东东
复制内容到剪贴板代码:
ident PFOK
device pf
device pflog
device pfsync
options ALTQ
options ALTQ_CBQ
options ALTQ_RED
options ALTQ_RIO
options ALTQ_HFSC
options ALTQ_PRIQ
options ALTQ_NOPCC
options PANIC_REBOOT_WAIT_TIME=0
options DEVICE_POLLING
options HZ=2000
options IPSTEALTH
# options RANDOM_IP_ID
options TCP_DROP_SYNFIN
config PFOK
cd /usr/src/sys/i386/compile/PFOK
make depend
make
make install
reboot

ee /etc/sysctl.conf

net.inet.ip.forwarding=1
net.inet.ip.fastforwarding=1
net.inet.tcp.drop_synfin=1
net.inet.tcp.sendspace=65536
net.inet.tcp.recvspace=65536
#net.inet.udp.sendspace=65535
net.inet.udp.maxdgram=65535
net.local.stream.sendspace=65535
net.inet.tcp.rfc1323=1
#net.inet.tcp.rfc1644=1
net.inet.tcp.rfc3042=1
net.inet.tcp.rfc3390=1
kern.ipc.maxsockbuf=2097152
kern.maxfiles=65536
kern.maxfilesperproc=32768
kern.polling.enable=1
kern.polling.burst_max=500
kern.ipc.somaxconn=2048
kern.ipc.nmbclusters=32768
net.inet.tcp.delayed_ack=0
net.inet.icmp.icmplim=100
net.inet.icmp.icmplim_output=0
net.inet.tcp.drop_synfin=1

ee /boot/loader.conf
autobootdelay=”2″

ee /etc/rc.conf
sendmail_enable=”NONE”
sendmail_submit_enable=”NO”
sendmail_outbound_enable=”NO”
sendmail_msp_queue_enable=”NO”
clear_tmp_enable=”YES”
update_motd=”NO”
tcp_drop_synfin=”YES”
#icmp_drop_redirect=”YES”
#icmp_log_redirect=”YES”
#log_in_vain=”YES”
#accounting_enable=”YES”
pf_enable=”YES”
pf_rules=”/etc/pf.conf”
pf_flags=”"
#pflog_enable=”YES”
#pflog_logfile=”/var/log/pflog”
这里我就加了句pf_enable=”YES”

uname -a
FreeBSD pf.com 6.2-RC1 FreeBSD 6.2-RC1 #0: Thu Nov 23 04:20:46 CST 2006sshpf@pf.com:/usr/src/sys/i386/compile/PFOK i386

我的pf.conf

#pfctl -e -F all -f /etc/pf.conf

#只重新load过滤规则
#pfctl -F rules -Rf /etc/pf.conf

#pfctl -f /etc/pf.conf # 重新加载pf.conf 设定档
#pfctl -nf /etc/pf.conf # 确认语法有无符合，但不载入
#pfctl -Nf /etc/pf.conf # 只加载 NAT 的设定档
#pfctl -Rf /etc/pf.conf # 只加载防火墙的过滤设定档

#pfctl -sn # 显示现阶段 NAT 的规则
#pfctl -sr # 显示现阶段过滤的规则
#pfctl -ss # 显示现阶段封包运作状态
#pfctl -si # 显示现阶段过滤封包的统计资料
#pfctl -sa # 显示现阶段所有统计的数据
复制内容到剪贴板代码:
ext_if=”rl0″
#edu_if=”"
int_if=”fxp0″

ext_addr=”192.168.1.51″

int_net=”172.16.0.0/16″
ext_net = “192.168.0.0/16″
loop = “{lo0, 127.0.0.1}”
OpenPorts = “{21, 22, 80, 88, 4899}”
InsideManagerIPs = “{172.16.0.100}”
InsiteManagerOpenPorts = “{21, 22, 23, 24, 25, 80, 4899}”
priv_nets = “{ 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12}” # 定义符合 RFC 1918 私有IP 部份
tcp_services = “{ 22, 88, 4899, 123 }” # 定义对外服务的端口
icmp_types = “echoreq” # 定义icmp类型

## down inactive connection quickly
set optimization aggressive

# Normalization: reassemble fragments and resolve or reduce traffic ambiguities.
scrub in all

nat on $ext_if from $int_net to any -> ($ext_if)
#nat on $ext_if from $int_net to $ext_net -> ($ext_if)

#web server map
#rdr pass on $ext_if proto tcp from any to $ext_if port {www,3389,4899,7745} -> $web_server

#—————————-以下防DOS攻击——————————–
#每个IP最大可以有120个非并发的连接（为局域网用户访问本站考虑）
#每个IP最大连接建立的速率小于每秒8个
#单个IP的最大持续连接数 30
#违反以上规则，把这个ip添加到<abusive_hosts>表中
table <abusive_hosts> persist #维持一个持续的表
block in quick from <abusive_hosts> #阻止表中的ip
pass in on $int_if inet proto tcp from any to $int_if flags S/SA keep state \
(source-track rule,max-src-conn 100, max-src-conn-rate 15/3,max-src-states 30,overload <abusive_hosts> flush, src.track 1)

LSassVirusPort = “{445, 135, 139, 593, 512, 5554, 9996, 9995}”
block quick on $int_if inet proto tcp from any to any port $LSassVirusPort

BitTorrentPort= “{ 512, 2049, 4662, 6880, 6881, 6882, 6883, 6884, 6885, 6886, 6887, 6888, 6889, \
6890, 8880, 8881, 8882, 8883, 8884, 8885, 8886, 8887, 8888, 8889, 8890, 6969, 10700, 21881}”
block quick on $int_if inet proto tcp from any to any port $BitTorrentPort
block quick on $int_if inet proto tcp from any port $BitTorrentPort to any
block quick on $ext_if inet proto tcp from any to any port $BitTorrentPort
block quick on $ext_if inet proto tcp from any port $BitTorrentPort to any

#gameClientPorts = “{4002, 2000, 3838, 4410, 4210, 4230, 5005, 4290, 10010 }”
#GameDenyClients =”{192.168.128.0/24, 192.168.132.0/24}”
#GameServerIps = “{204.251.15.167, 61.152.93.145}”
#block quick on $int_if inet proto tcp from $GameDenyClients to any port $gameClientPorts
#block quick on $ext_if from $GameServerIps to $GameDenyClients
#block quick on $int_if from $GameDenyClients to $GameServerIps

denyserverips = “{202.108.193.21}”
block quick on $int_if from any to $denyserverips

#LSassVirusIp =”{192.168.1.194}”
#block quick on $int_if from $LSassVirusIp to any