Hosts反黑辅助：IP安全策略 [更新日期:2009/3/30][增强兼容性]

高度⊙⊙近视

Hosts反黑辅助：IP安全策略 [更新日期:2009/3/30][增强兼容性] - 死性不改's Blog~
http://www.clxp.net.cn/article.asp?id=732

禁止IP列表已于2009/2/2重新整理，删除无效IP。请大家使用新的禁止IP列表！


代码已于2009/3/24升级代码增加兼容性，此次升级不是必要性的。请查看代码升级历史记录！

1.为什么叫做HOSTS反黑辅助策略呢?
由于HOSTS文件不支持封IP.而有时候遇到的病毒域名是N个域名都在同一个主机上(IP上).这时如果封域名无疑是杯水车薪.所以直接封掉该服务器IP就可以了.但是有些低级路由器或者家庭用户的路由器没有封IP的功能,所以研究了使用IP安全策略来封IP的脚本,来弥补HOSTS不能封IP的不足之处.
如果您的路由器有封IP功能.您也可以使用路由的封IP功能,效果都是一样的.

2.常见问题.

2.1系统内没有IPSEC Services服务.
没有IPSEC Services服务可以把以下代码保存为批处理运行,也可以加到开机脚本中.


程序代码
sc create PolicyAgent binpath= "C:\WINDOWS\system32\lsass.exe" type= share start= auto displayname= "IPSEC Services" depend= RPCSS/IPSec
sc description PolicyAgent "提供 TCP/IP 网络上客户端和服务器之间端对端的安全。如果此服务被停用，网络上客户端和服务器之间的 TCP/IP 安全将不稳定。如果此服务被禁用，任何依赖它的服务将无法启动。"

2.2运行代码提示"'ipseccmd'不是内部或外部命令，也不是可运行的程序或批处理文件。"
这是因为您的系统内没有ipseccmd.exe文件,此文件系统并没有自行安装,需要您手动下载.
下载ipseccmd.exe和winipsec.dll文件
引用内容 ipseccmd.exe版本:5.1.2600.2180;文件大小:104KB　winipsec.dll版本:5.1.2600.2180;文件大小:32.0KB
===============================================================
ipseccmd.exe版本:5.1.2600.0;文件大小:70.0KB　winipsec.dll版本:5.1.2600.2180;文件大小:32.0KB

2.3如何测试策略是否生效?
测试封IP是否生效:用IE直接访问封锁过的IP地址,如果访问不到则表明策略生效了.
测试封端口是否生效:在A机运行策略.到B机使用telnet A机IP地址 端口 这样的命令来测试.
例:A机IP为192.168.0.100端口135.
在B机CMD下运行telnet 192.168.0.100 135
如果显示"不能打开到主机的连接， 在端口 135: 连接失败"则表示策略生效了.

2.4为什么策略生效了.但是封不住IP也封不了端口???
2.4.1 经过代码作者LZ-MyST和各位热心博友的多次测试.发现策略生效但封不住IP或端口的原因就是ipseccmd.exe和winipsec.dll的版本不匹配.系统默认是有winipsec.dll的.查看该文件版本.然后下载对应的ipseccmd.exe即可.以下为对应关系.
winipsec.dll版本:5.2.3790.1830  对应 ipseccmd.exe版本:5.1.2600.2180
winipsec.dll版本:5.1.2600.2180  对应 ipseccmd.exe版本:5.1.2600.0

2.4.2 IP列表有重复
  如果大家发现IP列表有重复，请留言报告。
  因您的参与，网络更安全！

2.5 ipseccmd.exe 不能用于2000系统

3.网吧系统内没有ipseccmd.exe的.可以使用开机通道进行复制ipseccmd.exe..程序代码如下:

Copy code to clipboard程序代码copy \\服务器共享路径\共享目录名$\ipseccmd.exe %windir%\system32 /y

4.注意事项.

4.1代码保存.

直接把代码保存为批处理...另外编码方式要选择.保存为ANSI格式..因为本博客使用的是UTF-8编码方式,所以您复制回去后可能会出现乱码情况,只要把批处理的编码方式选为ANSI格式就可以了!



4.2.错封IP.
不必担心，直接在列表里把IP整行删掉即可
LZ-MyST(8450919) 03:15:30
经过测试，可以确定
在策略名和筛选器列表不变的情况下，ipseccmd会把同名策略、同名筛选器列表下的所有筛选先删除然后再添加-f指定的筛选器

4.3关于筛选器[假设筛选器操作为阻止]
禁止IP列表.txt的格式：
源IP/子网掩码:端口=目标IP/子网掩码:端口:协议
可以用+号替换=号
注解1：+号表示镜像，即同时作用于反向通讯；=号表示源IP到目标IP的通讯，是单向的
注解2：子网掩码是可选的，用于指明子网范围，指定IP时缺省默认是255.255.255.255，用*代替所有IP时缺省默认是0.0.0.0
注解3：端口和协议都是可选的，如果选择了协议，必须跟在目标IP的端口之后(用冒号与端口隔开)，且目标IP端口前的冒号不能省略(省略端口时看起来就是双冒号)；源IP和目标IP同时或之一选择了端口，协议必须同时选择。
注解4：源IP和目标IP之间的通讯，是有方向性的。举例说明：
例1：
0:135=*::tcp
自己的135端口-->所有IP的所有端口，基于tcp协议
这条筛选器指明了阻止自己的135端口向所有人发送数据，但是不阻止别人发送数据到自己的135端口，即是说自己的135端口不能发送但可以接收数据包
例2：
0:135+*::tcp
自己135端口-->目标任意端口，基于tcp协议
自己135端口<--目标任意端口，基于tcp协议
这条筛选器指明了阻止自己的135端口向别人发送数据，同时阻止别人任意端口发送的数据进入自己的135端口，即是说自己的135端口不能发送也不能接收数据包。
注解5：镜像表明通讯方向是双向的，通讯两边的端口不变。
注解6：可以用0代表自己的IP，用*代表所有IP但不能用空代表所有IP，端口和协议可以用空代表所有端口和协议(源IP省略端口时可以连冒号一起省略，目标IP后跟有协议时，端口可以省略但冒号不能省略，此时目标IP后有双冒号连着协议)，端口和协议同时省略代表所有端口所有协议
注解7：源和目标，是指通讯的发起和目标，方向是源-->目标，不要以为源就是自己

4.4关于“只允许访问 特定IP 其他所有全部禁止
建议在路由做通行规则，如果使用m0n0的话，可以象下图建立规则即可：



5.策略代码优化历史:
代码优化历史记录：
5.1、2008-X-X：
目的：减少开机维护通道执行脚本所需时间
原理：所有筛选器一次性添加到一个筛选器列表里
5.2、2008-X-X：
目的：避免开机通道添加IP安全策略失败
原理：添加策略和指派策略分开执行，避免服务未启动造成的添加策略失败，服务是否启动只影响策略有效性，服务启动后，已经指派的策略即时生效。
5.3、2008-4-2：
目的：增加添加筛选器的灵活性
新方法：筛选器放到列表里配置，筛选器的规则完全自定义
原方法：for里使用0代表筛选器的源IP和端口，目标IP和端口放在列表里配置
5.4、2008-4-7
目的：让策略修改后马上生效(针对已有策略)
原理：先把策略不指派，然后再激活
5.5、2008-4-7
目的：让策略修改后马上生效(针对已有策略)
原理：先把策略不指派，然后再激活
老方法：在使用-y参数使指定策略无效后，马上再使用-x参数激活策略，根据热心会员“老李”的实际测试，此法没有达到目的
新方法：在添加策略之前，先-y使策略无效，在添加策略后再使用-x激活
原因：可能是两个命令是连接的，系统没有及时反应，使得目的没有达到，现在使两个命令隔开，应该可以达到目的
PS：之所以我没有实际测试，是因为我的客户机系统原来没有使用IP安全策略，所以开机后添加策略后，只要服务启动即时生效，测试环境不一样。更主要的原因是，偶觉得大家一起参与进来，大家都会受益。再次感谢所有参与的人。
5.6、2008-4-7
目的：修改策略检查更改间隔时间为1分钟。
方法：在策略名后用冒号隔开时间，单位：分钟[整数]
5.7、2008-4-12
目的：检测IP安全策略所需的PolicyAgent服务是否存在，如果不存在则使用"sc create"命令创建服务
方法：使用命令"sc query"检索PolicyAgent服务，检索结果通过管道命令"|"传给find命令，find命令分析检索结果里是否存在特定字符，如果不存在特定字符，find命令会置系统变量%errorlevel%为1，判断%errorlevel%的值即可知道PolicyAgent服务是否存在
5.8、2009-2-7
目的：避免出现“超出字符长度”的错误导致IP安全策略添加失败
方法：当IP条目达到386条时，自动增加筛选器列表
代码已在XP sp3上测试通过
测试用的ipseccmd.exe和winipsec.dll版本分别为：

5.9、2009-2-18
目的：BUG修复
原因：如果此代码和其它代码放在同一批处理，有可能导致变量出现预料外的值。
方法：在使用变量前先初始化变量值
5.10/2009-3-1
目的：BUG修复
原因：如果禁止IP列表使用了"="这个符号，在call :_ipsec后传递变量时会丢失掉=后的字符
方法：传递变量时，用引号括起来，传递后再去掉引号
5.11、2009-3-24
目的：升级代码增加兼容性
原因：如果代码放到其它批处理的中间而不是最后，将导致其它批处理的部分代码得不到执行
方法：增加跳转标签，以便跳转到本代码的结尾处，不会导致其它批处理的代码没有执行就直接退出批处理
【6.策略代码】

注意:代码内红色部分.改成您的"禁止IP列表.txt"的路径.
程序代码
@echo off
title HOSTS反黑之辅助策略,禁止本机访问指定IP脚本
::code by LZ-MyST  为开机通道优化代码
sc query PolicyAgent|find /i &quotolicyAgent"
if %errorlevel% == 1 (
  sc create PolicyAgent binpath= "%windir%\system32\lsass.exe" type= share start= auto displayname= "IPSEC Services" depend= RPCSS/IPSec
  ping 127.1
)
sc config PolicyAgent start= auto 1>nul
ipseccmd -w reg -p Block -y
set "a=0"
set "b="
set "list="
FOR /f "skip=1 delims= " %%i IN (\\服务器共享路径\共享目录名$\禁止IP列表.txt) DO call :_ipsec "%%i"
if %a% leq 386 ipseccmd -w reg -p Block:1 -r filterlist%b% -f %list% -n BLOCK
ipseccmd -w reg -p Block -x

goto _next
:_ipsec
set /a a+=1
set list=%list% %~1
if %a% gtr 386 (
  ipseccmd -w reg -p Block:1 -r filterlist%b% -f %list% -n BLOCK
  set "list="
  set "a=0"
  set /a b+=1
)
goto :eof
:_next



引用内容为了满足大家用ROS封IP的要求,我已经弄了个脚本供大家使用!

使用说明:
先把本站的IP地址列表"除端口部分"全部保存为"禁止IP列表.txt"与本脚本存放在同一目录并执行脚本,脚本执行完毕会生成fw.rsc文件,把fw.rsc文件传到ROS里,用im fw激活!
如果不想要注释部分,把comment="%%k"中的%%k删除即可!

虽然要求达到了,但是希望大家尽量不要用ROS封太多IP.否则会影响路由处理速度,不过如果路由配置比较高的话,就无所谓了！

注意:只在ROS2.9.27上测试通过!不保证其他版本ROS有能正常使用!

[url=http://www.clxp.net.cn/]程序代码请使用空格隔开注释，本行不可少
*+0:135:tcp #封TCP协议的135端口
*+0:135:udp #封UDP协议的135端口
*+0:139:tcp #封TCP协议的139端口，可有效防御MS08-067溢出攻击。
*+0:139:udp #封UDP协议的139端口，可有效防御MS08-067溢出攻击。
*+0:445:tcp #封TCP协议的445端口，可有效防御MS08-067溢出攻击。
*+0:445:udp #封UDP协议的445端口，可有效防御MS08-067溢出攻击。
*+0:1443:tcp #禁止远程连接本机1443端口。
*+0:1443:udp #禁止远程连接本机1443端口。
*+0:1444:tcp #禁止远程连接本机1444端口。
*+0:1444:udp #禁止远程连接本机1444端口。
222.173.188.2+0
219.150.86.3+0
219.129.239.165+0
121.10.107.166+0
218.3.53.188+0
211.115.112.76+0
122.102.6.88+0
218.75.28.49+0
218.9.66.140+0
218.93.16.81+0
61.178.85.82+0
61.175.215.10+0
59.34.216.229+0
60.190.203.140+0
58.51.62.182+0
60.190.223.117+0
60.190.222.150+0
59.34.216.247+0
121.10.105.32+0
59.34.197.65+0
59.53.88.156+0
61.191.55.216+0
222.216.28.52+0
60.190.203.86+0
59.60.149.86+0
121.11.159.142+0
66.186.34.250+0
122.224.6.70+0
210.51.17.23+0
58.211.75.10+0
122.224.5.5+0
60.191.187.15+0
60.191.129.162+0
210.51.45.5+0
218.75.14.101+0
121.10.104.153+0
66.186.34.180+0
122.224.11.214+0
222.73.247.201+0
222.73.254.67+0
61.191.56.70+0
208.53.152.222+0
60.190.203.29+0
121.10.104.195+0
60.28.197.82+0
222.191.251.203+0
58.215.240.84+0
121.10.112.144+0
59.63.41.15+0
218.61.35.65+0
122.224.5.11+0
221.130.181.141+0
221.237.177.199+0
121.10.108.169+0
121.10.108.171+0
121.10.108.172+0
121.10.108.223+0
121.10.108.224+0
60.191.208.235+0
221.194.137.204+0
121.10.113.53+0
121.10.108.160+0
121.14.141.11+0
61.157.217.151+0
60.190.118.247+0
121.10.107.94+0
121.10.107.86+0
59.34.197.249+0
125.91.10.40+0
222.215.230.144+0
218.16.224.73+0
59.34.148.196+0
61.129.47.6+0
61.164.145.22+0
219.232.237.173+0
59.151.32.58+0
60.173.12.76+0
66.186.63.243+0
66.186.63.242+0
208.109.171.185+0
60.191.129.150+0
208.111.144.29+0
67.228.214.206+0
121.10.112.163+0
121.10.105.92+0
121.10.115.171+0
204.177.92.68+0
58.22.101.235+0
58.22.101.145+0
58.22.101.233+0
121.10.113.94+0
66.228.126.31+0
121.10.108.22+0
221.130.192.207+0
60.190.223.25+0
222.141.52.106+0
60.190.218.116+0
202.108.23.205+0
60.190.218.21+0
121.14.154.195+0
218.30.82.201+0
121.14.154.216+0
121.14.154.184+0
219.152.120.237+0
202.109.175.78+0
125.67.67.201+0
222.168.102.12+0
121.10.112.196+0
121.10.104.202+0
98.126.32.138+0
121.10.112.197+0
61.157.217.49+0
121.10.105.68+0
121.10.112.170+0
220.181.5.22+0
59.34.197.96+0
222.216.28.100+0
121.10.104.148+0
218.5.78.216+0
59.34.198.105+0
174.133.228.6+0
174.133.228.7+0
174.133.228.248+0
218.189.234.236+0
60.190.223.200+0
121.10.105.48+0
61.152.75.38+0
59.34.198.114+0
125.76.251.77+0
61.147.117.10+0
222.216.28.174+0
222.216.28.254+0
61.164.108.101+0
219.232.243.4+0
121.12.173.218+0 #病毒存放By小胜20090205
67.213.213.91+0 #色站By蔚蓝彩虹20090208
67.213.213.90+0 #色站By蔚蓝彩虹20090208
67.213.213.88+0 #色站By蔚蓝彩虹20090208
189.10.197.107+0 #病毒存放By蔚蓝彩虹20090208
59.34.197.37+0 #病毒存放Byinterbug200902014
59.34.197.53+0 #病毒存放Byinterbug200902014
59.34.198.109+0 #病毒存放Byinterbug200902014
60.173.11.50+0 #病毒存放Byinterbug200902014
61.128.162.210+0 #病毒存放Byinterbug200902014
61.164.109.16+0 #病毒存放Byinterbug200902014
121.10.112.139+0 #病毒存放Byinterbug200902014
121.15.245.17+0 #病毒存放Byinterbug200902014
219.153.43.42+0 #病毒存放Byinterbug200902014
222.189.237.204+0 #病毒存放Byinterbug200902014
75.125.227.117+0 #病毒存放By蔚蓝彩虹20090217
216.40.239.110+0 #病毒存放By蔚蓝彩虹20090217
72.11.142.155+0 #病毒存放By蔚蓝彩虹20090217
194.54.83.46+0 #病毒存放By蔚蓝彩虹20090217
67.159.61.144+0 #色站By蔚蓝彩虹20090217
67.159.61.69+0 #色站By蔚蓝彩虹20090217
67.159.62.52+0 #色站By蔚蓝彩虹20090217
60.173.11.79+0 #病毒存放Byjschenl81920090217
61.153.17.14+0 #病毒存放Byjschenl81920090217
60.161.34.251+0 #病毒存放Byjschenl81920090217
222.73.45.37+0 #高IQ机器狗20090223
222.73.86.99+0 #高IQ机器狗20090223
121.14.156.55+0 #病毒存放By蔚蓝彩虹20090226
222.188.91.241+0 #病毒存放By蔚蓝彩虹200902028
211.144.132.116+0 #病毒存放By蔚蓝彩虹200902028
59.44.49.62+0 #病毒存放By蔚蓝彩虹200902028
61.139.126.236+0 #病毒存放By蔚蓝彩虹200902028
59.34.198.131+0 #病毒存放Byx163169x20090301
121.10.112.152+0 #病毒存放Byx163169x20090301
121.12.106.103+0 #病毒存放Byx163169x20090301
121.12.107.168+0 #病毒存放Byx163169x20090301
121.12.107.169+0 #病毒存放Byx163169x20090301
122.224.48.61+0 #病毒存放Byx163169x20090301
218.95.101.242+0 #病毒存放Byx163169x2009301
218.95.101.246+0 #病毒存放Byx163169x20090301
91.211.64.40+0 #病毒存放By蔚蓝彩虹20090303
59.34.198.43+0 #病毒存放By蔚蓝彩虹20090303
59.34.198.12+0 #病毒存放Bywdhome20090303
67.213.222.209+0 #色站Byyd314112820090304
193.27.246.55+0 #病毒存放By蔚蓝彩虹20090304
69.64.63.224+0 #病毒存放By蔚蓝彩虹20090304
193.27.246.89+0 #病毒存放By蔚蓝彩虹20090304
77.221.153.174+0 #病毒存放By蔚蓝彩虹20090309
80.241.232.199+0 #病毒存放By蔚蓝彩虹20090309
78.109.17.230+0 #病毒存放By蔚蓝彩虹20090309
67.215.241.202+0 #病毒存放By蔚蓝彩虹20090309
193.27.246.50+0 #病毒存放By蔚蓝彩虹20090310
121.14.142.71+0 #病毒存放By蔚蓝彩虹20090312
74.63.93.18+0 #色站主机多域名By红日20090312
74.63.93.26+0 #色站主机多域名By红日20090312
74.63.93.43+0 #色站主机多域名By红日20090312
92.62.101.108+0 #病毒存放By蔚蓝彩虹20090315
208.98.13.130+0 #色站By红日20090316
92.62.101.112+0 #病毒存放By蔚蓝彩虹20090317
212.117.164.225+0 #病毒存放By蔚蓝彩虹20090317
117.23.205.227+0 #病毒存放By蔚蓝彩虹20090317
121.12.104.108+0 #病毒存放By子钧20090319
96.9.142.101+0 #病毒存放By蔚蓝彩虹20090320
58.253.68.49+0 #病毒存放Bytingshow20090320
59.34.216.106+0 #病毒存放Bytomcl18720090321
121.12.169.212+0 #病毒存放Bykouk20090321
91.207.61.32+0 #病毒存放By蔚蓝彩虹20090322
61.174.68.24+0 #病毒存放Bytomcl1872009/3/22
60.173.12.44+0 #病毒存放Bytomcl1872009/3/22
61.157.217.187+0 #病毒存放Bytomcl18720090323
59.34.198.92+0 #病毒存放Bydubaitest20090327
78.46.88.142+0 #病毒存放By蔚蓝彩虹20090329
174.36.51.195+0 #病毒存放By蔚蓝彩虹20090329
61.137.191.68+0 #病毒存放Bydubaitest20090329
193.111.244.157+0 #病毒存放By蔚蓝彩虹20090330
67.213.222.215+0 #病毒存放By蔚蓝彩虹20090330
121.12.108.87+0 #病毒存放Bykjpxb20090330
121.14.152.19+0 #病毒存放Bykjpxb20090330
121.12.169.88+0 #病毒存放By小胜20090330
218.83.161.120+0 #病毒存放By小胜20090330
222.186.31.67+0 #病毒存放Bykouk20090330

隐藏内容该内容已经被作者隐藏,只有会员才允许查阅 [url=javascript:;">登录[/url] | 注册

8.本站致谢:
感谢代码作者网管联盟的管理员也是本站的特邀管理员LZ-MyST提供无偿的技术支持与代码升级测试.
感谢本站所有参与本贴IP数据添加/代码测试/BUG反馈的朋友.虽然没写出你们的ID来,但是群众的眼睛是雪亮的.感谢你们的默默奉献与长久以来的支持!