这里是Zola的留言簿,你可以在这里报料、求助、咨询、质疑、批评和发布善意广告。你也可以发邮件到 zuola.com@gmail.com与我直接联系,或直接拨打我的电话 1346766833。
发表留言
留言 12-10-2008 at 07:58
forestbird 说:
http://www.douban.com/note/14430045/
我身边有朋友买过蚁力神赔了很多!,后来去了北海至今没有回来.还要把儿子和家拉过去..SOS
我身边有朋友买过蚁力神赔了很多!,后来去了北海至今没有回来.还要把儿子和家拉过去..SOS
留言 12-10-2008 at 07:39
forestbird 说:
http://zhidao.baidu.com/question/57299441.html
北海1040相关资料
北海1040相关资料
留言 12-10-2008 at 07:10
forestbird 说:
能帮查下北海1040吗?北海流动人口,能有多少搞传销的.多少个团伙.
留言 06-10-2008 at 04:38
xiaozhongde 说:
生日快乐!
祝您好运!
公道绝不在人心,是非只论实力!
人各有志,各安天命,顺其自然!
不会语言的人注定会被删除的,我替我悲哀,中国的明天不是几个人可以决定的,自找烦恼的人!
真相并不重要,重要的是结果;忘记也是一种解脱,仇恨是个人的事情,有能力就去完成他,无能就望东山再起吧!
我坚信“言论是无法改变现状的,言论只会让人更加痛苦!”
中国人己顾己,谁关心谁,谁在意谁,被言论利用是一件很悲哀的事情,改变不一定都是好!
自己的事情自己搞定,何求于别人?自生自灭乃是自然界的规律!
任何事情都是可以三分之一,姜是老的辣!
感觉最重要,感觉可以决定什么事情是对的、什么事情与我有关、什么事情想去做、一切的一切。。。。
我爱国,更爱家!
无言的世界!
感谢您让我知道“真相”!
【“可能吧!”很不错!】
祝您好运!
公道绝不在人心,是非只论实力!
人各有志,各安天命,顺其自然!
不会语言的人注定会被删除的,我替我悲哀,中国的明天不是几个人可以决定的,自找烦恼的人!
真相并不重要,重要的是结果;忘记也是一种解脱,仇恨是个人的事情,有能力就去完成他,无能就望东山再起吧!
我坚信“言论是无法改变现状的,言论只会让人更加痛苦!”
中国人己顾己,谁关心谁,谁在意谁,被言论利用是一件很悲哀的事情,改变不一定都是好!
自己的事情自己搞定,何求于别人?自生自灭乃是自然界的规律!
任何事情都是可以三分之一,姜是老的辣!
感觉最重要,感觉可以决定什么事情是对的、什么事情与我有关、什么事情想去做、一切的一切。。。。
我爱国,更爱家!
无言的世界!
感谢您让我知道“真相”!
【“可能吧!”很不错!】
留言 04-10-2008 at 18:03
Rafael 说:
zola同学,生日快乐哦!迟来的祝福%……
愿你能找到心仪的她,然后生一个小宝宝,嘿嘿
愿你能找到心仪的她,然后生一个小宝宝,嘿嘿
留言 25-09-2008 at 23:02
ADMIN 说:
曙光你好,听说最近你改行做鸭去了,啥时候带我去混混呢
留言 21-09-2008 at 09:56
阿仁 说:
看到遗书,怎么又没了?
留言 21-09-2008 at 02:42
佚名 说:
曙光你好
最近几天的武汉公车事件闹的越来越大了
电视台断章取义歪曲事实
广大网友要求曝光真相
你会去调查吗?
最近几天的武汉公车事件闹的越来越大了
电视台断章取义歪曲事实
广大网友要求曝光真相
你会去调查吗?
留言 19-09-2008 at 03:25
韓 熙娜 说:
周曙光:
你好!
在电视上看到关于你向中国社会的黑暗斗争的报道,非常感动并为中国有你这样有正义感,责任感的青年而骄傲。
我是一名在日中国留学生,身在国外,一直非常关心中国的一举一动,我国现在存在的问题实在深刻,一党专政,经济格差,地方政府腐败,国民生活水平低下,并没有透明,完善的法制体系和社会体系。
在国外有很多高举为中国人权,自由发展维护的团体组织,其实我一直是不太赞成的,因为这在当前中国社会很难,很难,甚至百忙一场,我一直坚信以经济改变落后的中国社会体制。
但也不能没有反对的声音。
当然,你这种对社会的责任感正也是一颗爱国心。
地方政府的腐败是最令我痛恨的,但这也似乎是一党专制的命运。
还有就是中国媒体的隐蔽,不透明性,希望奥运过后能够缓解并开放。
但我也为你的安危担心,希望通过国民对你的支持来更加提高你的影响力,然后中央政府扶植你走出来,光明地顺畅地揭露社会畸形。
我会支持你的,你要继续加油!并希望和你可以就进一步交流。
你好!
在电视上看到关于你向中国社会的黑暗斗争的报道,非常感动并为中国有你这样有正义感,责任感的青年而骄傲。
我是一名在日中国留学生,身在国外,一直非常关心中国的一举一动,我国现在存在的问题实在深刻,一党专政,经济格差,地方政府腐败,国民生活水平低下,并没有透明,完善的法制体系和社会体系。
在国外有很多高举为中国人权,自由发展维护的团体组织,其实我一直是不太赞成的,因为这在当前中国社会很难,很难,甚至百忙一场,我一直坚信以经济改变落后的中国社会体制。
但也不能没有反对的声音。
当然,你这种对社会的责任感正也是一颗爱国心。
地方政府的腐败是最令我痛恨的,但这也似乎是一党专制的命运。
还有就是中国媒体的隐蔽,不透明性,希望奥运过后能够缓解并开放。
但我也为你的安危担心,希望通过国民对你的支持来更加提高你的影响力,然后中央政府扶植你走出来,光明地顺畅地揭露社会畸形。
我会支持你的,你要继续加油!并希望和你可以就进一步交流。
留言 17-09-2008 at 08:56
1 说:
test
提交成功的話真的是1秒就出來嗎...我前兩條真的發出了?
提交成功的話真的是1秒就出來嗎...我前兩條真的發出了?
留言 16-09-2008 at 02:25
YANG 说:
看到了你拍的視頻,我很高興!中國的媒體很不自由,說實話!我很想認識你!
可以嗎!
具體的我也不說了!QQ:372000094聊吧!
其他的聯絡方式,到了QQ我在告訴你!
我要是不在線,你給我留言就OK啦!
我比你小 應該叫聲大哥吧!
嘿嘿!
可以嗎!
具體的我也不說了!QQ:372000094聊吧!
其他的聯絡方式,到了QQ我在告訴你!
我要是不在線,你給我留言就OK啦!
我比你小 應該叫聲大哥吧!
嘿嘿!
留言 24-08-2008 at 13:56
ANDY 说:
你把这些新闻报道了 是否只是让国人看到了??
别有用心的外国人看到了不会利用么??到最后遭殃的不是中国人民么?
我承认你的很多新闻我看了是很气氛,共产党是很腐败,但作为新闻工作者你也该知道
不论看待什么问题都得辩证的去看待,你报道瓮安事件我们支持,但是你自己写西藏,写藏独,写的又不是全支持中国统一的,难道你支持藏独么?即使是我说错了,你觉得藏独的问题还不够严重?中国现在还不够乱??和你家人一样的中国老百姓还不够倒霉??
政党的腐败问题哪个国家都有,中国是从封建社会直接跨度到社会主义的,问题更加突出,但是你说你爱国不是爱共,是不是现在共产党没有了下一届的党派就会清正廉明?我们的社会没有发展到那个程度,温饱问题刚刚解决,我们没有办法实现这个,我们能做的是帮助国家改变社会风气,仅靠你这样的反共人士能解决什么呢?说实话,是不是让你当上了国家主席你就不会滥用私权?是不是你就不会让自己的儿女平步青云???
你可以报道瓮安这样的事件,这是我们欣赏的,但是你不能在这里说中国及国家政府的坏话,不管如何,我们国家是在摸索中前进的,我们还不够发达,国家需要人民的支持...政府有时也需要人民的理解(当然我说的是中心的政府,小地方的政府我都恨,但是我们没有办法一步到位的解决)
我只是一个24岁的留学生,我在这里经历过藏独抢火炬破坏火炬传递,我们上街示威游行过,我们也爱国...
你该比我年龄大,所以,就不要对我这些无关痛痒的话进行打击了,记住你觉得说得对的,哪怕是一两句....
别有用心的外国人看到了不会利用么??到最后遭殃的不是中国人民么?
我承认你的很多新闻我看了是很气氛,共产党是很腐败,但作为新闻工作者你也该知道
不论看待什么问题都得辩证的去看待,你报道瓮安事件我们支持,但是你自己写西藏,写藏独,写的又不是全支持中国统一的,难道你支持藏独么?即使是我说错了,你觉得藏独的问题还不够严重?中国现在还不够乱??和你家人一样的中国老百姓还不够倒霉??
政党的腐败问题哪个国家都有,中国是从封建社会直接跨度到社会主义的,问题更加突出,但是你说你爱国不是爱共,是不是现在共产党没有了下一届的党派就会清正廉明?我们的社会没有发展到那个程度,温饱问题刚刚解决,我们没有办法实现这个,我们能做的是帮助国家改变社会风气,仅靠你这样的反共人士能解决什么呢?说实话,是不是让你当上了国家主席你就不会滥用私权?是不是你就不会让自己的儿女平步青云???
你可以报道瓮安这样的事件,这是我们欣赏的,但是你不能在这里说中国及国家政府的坏话,不管如何,我们国家是在摸索中前进的,我们还不够发达,国家需要人民的支持...政府有时也需要人民的理解(当然我说的是中心的政府,小地方的政府我都恨,但是我们没有办法一步到位的解决)
我只是一个24岁的留学生,我在这里经历过藏独抢火炬破坏火炬传递,我们上街示威游行过,我们也爱国...
你该比我年龄大,所以,就不要对我这些无关痛痒的话进行打击了,记住你觉得说得对的,哪怕是一两句....
留言 23-08-2008 at 04:01
anti2 说:
信息产业部下面一个叫“国家计算机网络与信息安全管理中心”的部门搞的。它是在中国所有互联网国际出入口上架设庞大的服务器机群,并通过分光监听网络数据,一旦发现网络流量中含有特定关键字就立刻发封堵包. (TCP的 RST包)。这个部门现在的头叫方滨兴,原来是哈工大的一个老师(好像是该校网络中心的主任),被信产部的张春江给调过来搞封堵工程。
它耗资数十亿搞了这个庞大的网络封堵工程,劳苦功高,要当院士了。:)
公安部现在看到信产部这个封堵工程搞得这么火,有点儿眼红,想在国内所有省市的出入口上、大型IDC的出入口上搞监控,投资也是非常庞大的。我的一个朋友前段事件还去参加它们的IDC监测设备选型测试了呢。
公安部的那个博士让我们公司提交的方案可是要超过数千TB的海量存储,和数百万亿次的高性能计算集群呀。
咱们不妨来估算一下,按中国有一亿网民、每个网民有十个网络账号计,并按一个账号和口令、身份、关联IP地址等信息需要1KB存储空间计,只需要1TB的存储空间。
若每个用户的关键行为信息按每天100KB计,则每天产生的数据量为100TB,一个月累计就是3000 TB。
也就是说,在线海量存储容量达到3000TB,就可以实现追溯一个月的网络行为。
再加上离线备份信息,达到一年的追溯能力还是有可能的。
再来看计算处理能力:
五、六十个PC做成集群,就能实现万亿次的计算能力。现在的刀片服务器密度很高,一个标准机柜就能容纳近百个刀片服务器,也就是说,一个机柜的空间就能提供2万亿次的计算能力。500个机柜就能达到1000万亿次的计算能力了。
所以说,我们公司认为还是能够给公安部拿出解决方案的。
而且,据我所知,我们头儿已经给了那个博士两版技术方案了,好像还在和那个博士的局长(好像是姓李,网监局的)密切沟通,好像对拿下这个工程蛮有信心的。
在国际出入口上进行封堵的是信息产业部的一个单位,我们要扩国际带宽,还得报请他们批准,并得给他们准备相应的监控经费,太无耻了!
在我们省市级的网络机房里,接入监控的部门可就五花八门了,有公安、安全、纪检、部队,等等等等,经常搞得我们空间紧张。
前些日子,公安部网监局一个叫“顾坚”的副局长来找我们谈租用带宽的事,说是国家给批了一笔巨资,用于信息监控。我们当时也怀疑他们网监局哪儿来这么大一笔经费,就通过关系向公安部信息通信局和金盾办了解,他们一听也很惊讶,说不可能啊,租电路都是他们信通局的事啊,后来才打听到,原来网监局搞来的是国家的专项资金。不过后来我们又了解到,租电路的事并不是他们那个项目中要的,因为公安那个监控项目需要的是监控接口,而他们这次找我们要的却是运营线路(2.5G,甚至10G!),真实情况是公安部网监局和北京市公安局网监处(北京网监处的一个叫“于兵”的处长和顾坚一起来找我们的),假借信息监控的名义,想以极低的价格从我们这儿租到大带宽,再高价转租给商业用户,从中渔利!一群假公肥私的家伙!!!
公安部网监局的局长确实姓李,叫“李昭”,听顾坚说,李局长非常有政治头脑,他原来是政保局的副局长,调到网监局当局长,短短几年,就把一个原来仅有二、三十号人的一个小局,扩张到一个近二百人的大局;原来的网监局仅仅是搞搞计算机病毒防治,都快要被撤销了,李局长过来后,把工作重点调整为网上的政治保卫工作,把网监搞成了网上的全警种(相当于网上的公安部);李局长的政治头脑好,深得公安部长和国家领导人的赏识,很快就要提拔为公安部的部长了!
我们当时还跟顾坚开玩笑说,你的局长当了部长,那您就能当副部长了!
顾坚当时好像还不以为然,说他父母、亲戚都是部长,公安部老部长(一个叫陶某某的部长)是他父亲的手下,公安部部长周永康(国家政法委书记)逢年过节都得亲自去他家给他父母请安,公安部其他几个副部长跟他都是哥们,他自己当不当部长根本无所谓。
真正的黑手是一个叫顾建国的“瘦猴”半秃的小老头,公安部11局副局长,顾坚只是技术员享受待遇而已
它耗资数十亿搞了这个庞大的网络封堵工程,劳苦功高,要当院士了。:)
公安部现在看到信产部这个封堵工程搞得这么火,有点儿眼红,想在国内所有省市的出入口上、大型IDC的出入口上搞监控,投资也是非常庞大的。我的一个朋友前段事件还去参加它们的IDC监测设备选型测试了呢。
公安部的那个博士让我们公司提交的方案可是要超过数千TB的海量存储,和数百万亿次的高性能计算集群呀。
咱们不妨来估算一下,按中国有一亿网民、每个网民有十个网络账号计,并按一个账号和口令、身份、关联IP地址等信息需要1KB存储空间计,只需要1TB的存储空间。
若每个用户的关键行为信息按每天100KB计,则每天产生的数据量为100TB,一个月累计就是3000 TB。
也就是说,在线海量存储容量达到3000TB,就可以实现追溯一个月的网络行为。
再加上离线备份信息,达到一年的追溯能力还是有可能的。
再来看计算处理能力:
五、六十个PC做成集群,就能实现万亿次的计算能力。现在的刀片服务器密度很高,一个标准机柜就能容纳近百个刀片服务器,也就是说,一个机柜的空间就能提供2万亿次的计算能力。500个机柜就能达到1000万亿次的计算能力了。
所以说,我们公司认为还是能够给公安部拿出解决方案的。
而且,据我所知,我们头儿已经给了那个博士两版技术方案了,好像还在和那个博士的局长(好像是姓李,网监局的)密切沟通,好像对拿下这个工程蛮有信心的。
在国际出入口上进行封堵的是信息产业部的一个单位,我们要扩国际带宽,还得报请他们批准,并得给他们准备相应的监控经费,太无耻了!
在我们省市级的网络机房里,接入监控的部门可就五花八门了,有公安、安全、纪检、部队,等等等等,经常搞得我们空间紧张。
前些日子,公安部网监局一个叫“顾坚”的副局长来找我们谈租用带宽的事,说是国家给批了一笔巨资,用于信息监控。我们当时也怀疑他们网监局哪儿来这么大一笔经费,就通过关系向公安部信息通信局和金盾办了解,他们一听也很惊讶,说不可能啊,租电路都是他们信通局的事啊,后来才打听到,原来网监局搞来的是国家的专项资金。不过后来我们又了解到,租电路的事并不是他们那个项目中要的,因为公安那个监控项目需要的是监控接口,而他们这次找我们要的却是运营线路(2.5G,甚至10G!),真实情况是公安部网监局和北京市公安局网监处(北京网监处的一个叫“于兵”的处长和顾坚一起来找我们的),假借信息监控的名义,想以极低的价格从我们这儿租到大带宽,再高价转租给商业用户,从中渔利!一群假公肥私的家伙!!!
公安部网监局的局长确实姓李,叫“李昭”,听顾坚说,李局长非常有政治头脑,他原来是政保局的副局长,调到网监局当局长,短短几年,就把一个原来仅有二、三十号人的一个小局,扩张到一个近二百人的大局;原来的网监局仅仅是搞搞计算机病毒防治,都快要被撤销了,李局长过来后,把工作重点调整为网上的政治保卫工作,把网监搞成了网上的全警种(相当于网上的公安部);李局长的政治头脑好,深得公安部长和国家领导人的赏识,很快就要提拔为公安部的部长了!
我们当时还跟顾坚开玩笑说,你的局长当了部长,那您就能当副部长了!
顾坚当时好像还不以为然,说他父母、亲戚都是部长,公安部老部长(一个叫陶某某的部长)是他父亲的手下,公安部部长周永康(国家政法委书记)逢年过节都得亲自去他家给他父母请安,公安部其他几个副部长跟他都是哥们,他自己当不当部长根本无所谓。
真正的黑手是一个叫顾建国的“瘦猴”半秃的小老头,公安部11局副局长,顾坚只是技术员享受待遇而已
留言 23-08-2008 at 03:51
anti 说:
骨干网监测
网络流量全镜像的监测技术 通过路由器端口镜像或者分光器、网络探针等附加设备实现网络流量的无损
复制和镜像采集
IP层通过统计加密代理地址段流量特征或者通过DNS请求回应监测发现谁在连接加密代理服务器,应用更高级的机器学习和数据挖掘的方法进行扫描和源追踪
采用深度报文检查,检查某些位置的字段
流统计状态路由器可以在IP层通过统计流量特征的方式识别
可以按照范围广泛的指标进行流量分类,包括下述指标:
第4层UDP和TCP端口、端口范围和端口列表。
第3层IP地址、地址范围、子网、MAC地址或主机列表。
QoS标志、包括DiffServ、IP-ToS、IP-CoS、IP 优先位、 MPLS 标记、 MPLS 试验位。
流量的特征向量的熵、平均流量、延迟、端口、payload等
统计加密代理地址段流量报文数 TOP10或者TOP NXX 源IP占总字节比例 源IP占总报文数比例 数据报协
议(UDP)字节数 DNS请求字节数 DNS请求回应字节数 系统每X分钟产生一个行向量,观测窗口为X小时,
从而形成了一个72×14的数量矩阵 由于在这X个观测向量之间存在着一定的相关性,这使得利用较少的变量反映原来变量的信息成为可能 采用了主成份分析法对观测数据进行数据降维和特征提取
阻断方式:
ids发送复位指令中断连接,只能针对tcp的长连接
向防火墙发送联动请求,由防火墙根据ip地址等建立临时安全规则,可以阻断各种连接
按照预定策略来限制针对加密代理服务器IP总session、每session的流量,限制用户到加密代理服务器IP
的总带宽以及限制最大连接数 制定不同的ACL policy:deny、permit、single rate-limit、two-rate-limit. black hole路由和sink hole
面对日渐严重的信息污染形势,可以建立如下层次的信息监控模型,对信息污染进行综合治理。
(1)法律法规层
建立与 WWW 信息安全相关的法律法规,依法治网,使不法分子慑于法律,不敢轻举妄动。目前我国已经颁布了一些重要的网络信息管理法规,如《中华人民共和国电信条例》(国务院)、《中华人民共和国计算机信息网络国际联网管理暂行规定》(国务院)、《互联网信息服务管理办法》(国务院)、《互联网站从事登载新闻业务管理暂行规定》(国务院新闻办、信息产业部)、《计算机信息网络国际联网安全保护管理办法》(国务院)、《互联网电子公告服务管理规定》(信息产业部)、《互联网上网服务营业场所管理办法》(国务院)、《全国人大常委会关于维护互联网安全的决定》和各种行业自律规范等,对提供网络信息服务的机构资格、审批程序、运营场所、站点内容等进行了一系列的规定。
对于全球的网络,各国应联合管理网络信息空间,促进建立全球性网络信息空间法。如要求各互联网信息发布机构、服务机构、监控机构对互联网上的相关信息进行分类标记,并推行互联网监控软件,对信息标记进行审查。如果标记表明其内容不符合监控者的要求,则拒绝调用。
(2)管理层
适当的管理能有效地减少信息污染,具体的举措主要包括:建立适宜的信息安全管理办法,加强各网络使用机构、企业和单位内部管理,建立审计、取证、应急和追踪体系;提倡网络用户的自律自重;加强网络用户的信息鉴别能力,抵制已经散播的信息污染源,倡导网上精神文明;强化站点内容建设,促进我国互联网事业发展;建立举报机制,加强公众监督,如我国已建立了违法和不良信息举报中心(http://net.china.com.cn/)、公安部信息网络安全报警网(http://www.cyberpolice.cn/)等。
(3)技术层
为了对 WWW 进行有效的信息监控,除了政府机构制定法律,进行严格管理之外,还需要在技术上对信息流动进行疏堵结合,全面控制。“疏”是指将用户对有害信息的访问疏导到无害信息的页面上(如使用 DNS 域名重定向技术);“堵”是利用防火墙的集中控制能力,将有害信息阻挡在边界之外。
图 1 信息污染模型 反馈 扩散 扩散 拒绝 发现 不良信息 防火墙检测系统模式
在 WWW 信息污染治理中,防火墙能够以集中管理的方式对 Web 用户进行监控:一是作为“蜜罐”(陷阱)诱捕恶意用户,安全机构设置一个受监视的代理服务器,诱骗恶意用户使用该代理服务器,安全机构通过代理服务器的日志,对用户的不法行为进行取证;二是进行 IP 地址过滤、URL 过滤,阻止用户访问国外的有害站点和非法的代理服务器;三是进行内容过滤,阻挡有害信息进入用户主机。
3. WWW 信息监控技术
从技术上看,WWW 监控主要包括 DNS 域名重定向、网络层 IP 地址过滤、应用层 URL 过滤、应用层基于内容的过滤,此外防火墙还能够通过详细完备的日志进行审计、取证和追踪。如由欧洲和美国微软等公司开发的监控软件——互联网络内容选择平台 PICS(Platform for Internet ContentSelection)可以根据要求限制对网络信息的查阅,也可以实现对特定信息的监控。
(1)DNS 域名重定向(域名劫持)
用户对 Web 站点的访问是基于客户/服务器模式的,其基本过程是:用户通过 Web 浏览器用统一资源定位器 URL 查询域名系统 DNS,DNS 返回 IP地址,浏览器用该 IP 地址建立一次 TCP/IP 连接;通过该连接向服务器发送 HTTP 请求;基于请求的内容,Web 服务器找到相应的文件,形成一个 HTTP应答,发送给浏览器,然后关闭本次连接;根据消息头,浏览器按某种方式显示该文件内容。客户机从指定的域名服务器中获取域名对应的 IP 地址后,才能访问对应的服务器。一旦客户机指定的域名服务器中没有包含相应数据,则由域名服务器在网络中进行递归查询,在其他域名服务器上获取地址信息。由于客户机将域名查询请求首先发送到本地DNS 服务器,该服务器将在本地数据库中查找符合客户机要求的映射,所以安全机构可以改变 DNS服务器的数据库,从而把受限网站的域名重定向(劫持)到一个无害网站的 IP 地址上。由于我国没有根(Root) 域名服务器,也就可以使用监测系统来查找所有的域名解析(DNS 查询)请求,把其中含有限制关键字的请求找到,然后返回一个无害的地址,这样就从根本上杜绝了对不良网站的访问。
(2)网络层 IP 地址过滤
有些网站也可以不使用域名,而直接使用 IP地址访问。对于这样的网站,用户可以使用国外某些域名服务商提供的免费域名服务或一些在线 IP地址查询服务(http://www.all-nettools.com/toolbox)查找到网站的真实 IP 地址,以便逃避域名重定向。但是这样的方法,对于共用一个 IP 的几个网站就没法访问了。
防火墙可以通过封锁 Web 网站的 IP 地址的方法,对这些含有有害信息的网站进行屏蔽,禁止国内用户访问这些网站。由于一个 IP 上,可能存放多个网站,如国外的某著名大学主机上既有学校主页,也有敌对组织建立的 BBS 网站,如果使用 IP封锁就会殃及无辜的网站。对于 IP 封锁,人们可以简单地通过国外的普通代理访问受限站点,对此防火墙可以封锁常用的国外代理。用户一般通过搜索引擎查找代理或者通过专用工具如“代理猎手” 搜索、校验和动态切换代理。国外代理数量众多,完全封锁国外代理也是不可行的。
(3)应用层 URL 过滤
对于只有少量有害页面的网站,可以使用应用层 URL 过滤的方法屏蔽对特定的有害页面的请求。防火墙需要保留一个 URL 黑名单。当网站上不良URL 数量过大时,这种细粒度过滤就不适合了。
(4)应用层基于内容的过滤
有些网站含有大量的有用信息,同时也夹杂着大量的有害信息,如 Google 搜索引擎,如果使用域名重定向、IP 地址过滤或者 URL 过滤都会禁止用户访问合法的信息。在这种情况下,可以使用基于内容的过滤,即只屏蔽掉含有有害信息的页面。通常使用网址的关键字和网页的关键字过滤的方法屏蔽有害页面。防火墙建有一个敏感词词库,一旦网址或 Web 页面中的内容含有这个词库中的词时,防火墙将截获该网页,阻止对该页面的访问。基于概念层的语义分析来判断网页内是否含有不良信息的方法在我国也得到了深入的研究。应用层的过滤是一种细粒度的过滤,实际上是对报文数据内容的过滤。在应用层可以实现对 URL的过滤以及报文内容的过滤。应用层有害内容过滤不可避免地降低了我国互联网的运行效率,并且一般具有较大的误报率,但总的来说监控效果较好。
当前基于内容的过滤主要针对文本内容,对图像、音频、视频等多媒体内容的过滤仍未达到实用阶段。
网络流量全镜像的监测技术 通过路由器端口镜像或者分光器、网络探针等附加设备实现网络流量的无损
复制和镜像采集
IP层通过统计加密代理地址段流量特征或者通过DNS请求回应监测发现谁在连接加密代理服务器,应用更高级的机器学习和数据挖掘的方法进行扫描和源追踪
采用深度报文检查,检查某些位置的字段
流统计状态路由器可以在IP层通过统计流量特征的方式识别
可以按照范围广泛的指标进行流量分类,包括下述指标:
第4层UDP和TCP端口、端口范围和端口列表。
第3层IP地址、地址范围、子网、MAC地址或主机列表。
QoS标志、包括DiffServ、IP-ToS、IP-CoS、IP 优先位、 MPLS 标记、 MPLS 试验位。
流量的特征向量的熵、平均流量、延迟、端口、payload等
统计加密代理地址段流量报文数 TOP10或者TOP NXX 源IP占总字节比例 源IP占总报文数比例 数据报协
议(UDP)字节数 DNS请求字节数 DNS请求回应字节数 系统每X分钟产生一个行向量,观测窗口为X小时,
从而形成了一个72×14的数量矩阵 由于在这X个观测向量之间存在着一定的相关性,这使得利用较少的变量反映原来变量的信息成为可能 采用了主成份分析法对观测数据进行数据降维和特征提取
阻断方式:
ids发送复位指令中断连接,只能针对tcp的长连接
向防火墙发送联动请求,由防火墙根据ip地址等建立临时安全规则,可以阻断各种连接
按照预定策略来限制针对加密代理服务器IP总session、每session的流量,限制用户到加密代理服务器IP
的总带宽以及限制最大连接数 制定不同的ACL policy:deny、permit、single rate-limit、two-rate-limit. black hole路由和sink hole
面对日渐严重的信息污染形势,可以建立如下层次的信息监控模型,对信息污染进行综合治理。
(1)法律法规层
建立与 WWW 信息安全相关的法律法规,依法治网,使不法分子慑于法律,不敢轻举妄动。目前我国已经颁布了一些重要的网络信息管理法规,如《中华人民共和国电信条例》(国务院)、《中华人民共和国计算机信息网络国际联网管理暂行规定》(国务院)、《互联网信息服务管理办法》(国务院)、《互联网站从事登载新闻业务管理暂行规定》(国务院新闻办、信息产业部)、《计算机信息网络国际联网安全保护管理办法》(国务院)、《互联网电子公告服务管理规定》(信息产业部)、《互联网上网服务营业场所管理办法》(国务院)、《全国人大常委会关于维护互联网安全的决定》和各种行业自律规范等,对提供网络信息服务的机构资格、审批程序、运营场所、站点内容等进行了一系列的规定。
对于全球的网络,各国应联合管理网络信息空间,促进建立全球性网络信息空间法。如要求各互联网信息发布机构、服务机构、监控机构对互联网上的相关信息进行分类标记,并推行互联网监控软件,对信息标记进行审查。如果标记表明其内容不符合监控者的要求,则拒绝调用。
(2)管理层
适当的管理能有效地减少信息污染,具体的举措主要包括:建立适宜的信息安全管理办法,加强各网络使用机构、企业和单位内部管理,建立审计、取证、应急和追踪体系;提倡网络用户的自律自重;加强网络用户的信息鉴别能力,抵制已经散播的信息污染源,倡导网上精神文明;强化站点内容建设,促进我国互联网事业发展;建立举报机制,加强公众监督,如我国已建立了违法和不良信息举报中心(http://net.china.com.cn/)、公安部信息网络安全报警网(http://www.cyberpolice.cn/)等。
(3)技术层
为了对 WWW 进行有效的信息监控,除了政府机构制定法律,进行严格管理之外,还需要在技术上对信息流动进行疏堵结合,全面控制。“疏”是指将用户对有害信息的访问疏导到无害信息的页面上(如使用 DNS 域名重定向技术);“堵”是利用防火墙的集中控制能力,将有害信息阻挡在边界之外。
图 1 信息污染模型 反馈 扩散 扩散 拒绝 发现 不良信息 防火墙检测系统模式
在 WWW 信息污染治理中,防火墙能够以集中管理的方式对 Web 用户进行监控:一是作为“蜜罐”(陷阱)诱捕恶意用户,安全机构设置一个受监视的代理服务器,诱骗恶意用户使用该代理服务器,安全机构通过代理服务器的日志,对用户的不法行为进行取证;二是进行 IP 地址过滤、URL 过滤,阻止用户访问国外的有害站点和非法的代理服务器;三是进行内容过滤,阻挡有害信息进入用户主机。
3. WWW 信息监控技术
从技术上看,WWW 监控主要包括 DNS 域名重定向、网络层 IP 地址过滤、应用层 URL 过滤、应用层基于内容的过滤,此外防火墙还能够通过详细完备的日志进行审计、取证和追踪。如由欧洲和美国微软等公司开发的监控软件——互联网络内容选择平台 PICS(Platform for Internet ContentSelection)可以根据要求限制对网络信息的查阅,也可以实现对特定信息的监控。
(1)DNS 域名重定向(域名劫持)
用户对 Web 站点的访问是基于客户/服务器模式的,其基本过程是:用户通过 Web 浏览器用统一资源定位器 URL 查询域名系统 DNS,DNS 返回 IP地址,浏览器用该 IP 地址建立一次 TCP/IP 连接;通过该连接向服务器发送 HTTP 请求;基于请求的内容,Web 服务器找到相应的文件,形成一个 HTTP应答,发送给浏览器,然后关闭本次连接;根据消息头,浏览器按某种方式显示该文件内容。客户机从指定的域名服务器中获取域名对应的 IP 地址后,才能访问对应的服务器。一旦客户机指定的域名服务器中没有包含相应数据,则由域名服务器在网络中进行递归查询,在其他域名服务器上获取地址信息。由于客户机将域名查询请求首先发送到本地DNS 服务器,该服务器将在本地数据库中查找符合客户机要求的映射,所以安全机构可以改变 DNS服务器的数据库,从而把受限网站的域名重定向(劫持)到一个无害网站的 IP 地址上。由于我国没有根(Root) 域名服务器,也就可以使用监测系统来查找所有的域名解析(DNS 查询)请求,把其中含有限制关键字的请求找到,然后返回一个无害的地址,这样就从根本上杜绝了对不良网站的访问。
(2)网络层 IP 地址过滤
有些网站也可以不使用域名,而直接使用 IP地址访问。对于这样的网站,用户可以使用国外某些域名服务商提供的免费域名服务或一些在线 IP地址查询服务(http://www.all-nettools.com/toolbox)查找到网站的真实 IP 地址,以便逃避域名重定向。但是这样的方法,对于共用一个 IP 的几个网站就没法访问了。
防火墙可以通过封锁 Web 网站的 IP 地址的方法,对这些含有有害信息的网站进行屏蔽,禁止国内用户访问这些网站。由于一个 IP 上,可能存放多个网站,如国外的某著名大学主机上既有学校主页,也有敌对组织建立的 BBS 网站,如果使用 IP封锁就会殃及无辜的网站。对于 IP 封锁,人们可以简单地通过国外的普通代理访问受限站点,对此防火墙可以封锁常用的国外代理。用户一般通过搜索引擎查找代理或者通过专用工具如“代理猎手” 搜索、校验和动态切换代理。国外代理数量众多,完全封锁国外代理也是不可行的。
(3)应用层 URL 过滤
对于只有少量有害页面的网站,可以使用应用层 URL 过滤的方法屏蔽对特定的有害页面的请求。防火墙需要保留一个 URL 黑名单。当网站上不良URL 数量过大时,这种细粒度过滤就不适合了。
(4)应用层基于内容的过滤
有些网站含有大量的有用信息,同时也夹杂着大量的有害信息,如 Google 搜索引擎,如果使用域名重定向、IP 地址过滤或者 URL 过滤都会禁止用户访问合法的信息。在这种情况下,可以使用基于内容的过滤,即只屏蔽掉含有有害信息的页面。通常使用网址的关键字和网页的关键字过滤的方法屏蔽有害页面。防火墙建有一个敏感词词库,一旦网址或 Web 页面中的内容含有这个词库中的词时,防火墙将截获该网页,阻止对该页面的访问。基于概念层的语义分析来判断网页内是否含有不良信息的方法在我国也得到了深入的研究。应用层的过滤是一种细粒度的过滤,实际上是对报文数据内容的过滤。在应用层可以实现对 URL的过滤以及报文内容的过滤。应用层有害内容过滤不可避免地降低了我国互联网的运行效率,并且一般具有较大的误报率,但总的来说监控效果较好。
当前基于内容的过滤主要针对文本内容,对图像、音频、视频等多媒体内容的过滤仍未达到实用阶段。
留言 23-08-2008 at 03:45
antii 说:
方XX 国家计算机网络与信息安全管理中心主任 CNCERT/CC主任 工程院院士
方XX是用钱堆起来的, 每年花国家几个亿.
他把大把钞票花在信息工程部几位院士那里:
为了的到信息工程部主任李国杰的支持, 从李的曙光公司购买大量服务器.
为了得到曙光李国杰, 国防科大卢锡城院士和XX所陈左宁院士的支持, 用巨资安排这三个单
位各为网管中心造一台大型计算机.
其他没有工程院士的单位一律不给项目!
信息产业部那个搞国际出入口封堵的单位
这个单位耗费了人民数十亿的血汗钱搞封堵工程
以前敏感词过滤还主要是局限在中国互联网的国际出入口处,现在每个省市的出入都部署IDS
005工程2000年5月开始实施,所以从那个时候起,大傢上网就开始龟速了。
每一个网关IDC机房都放置了几百台LINUX服务器,进行网络封锁。
据网通,电信的人说:因为005工程的设备太多,发热量太大,而且与正
常网络连接的高端思科,华为等骨干路由器放在同一个机房,导致运营商
的网络设备运行稳定性存在大量隐患。
目前这套系统还在扩容,今后封锁会更加厉害。
这个工程主要监测发现有害网站和信息,IP地址定位,网上对抗信息的上报,跟踪有害短信息和
及时进行封堵 该项目已获2002年度国家科学技术进步奖一等奖
“国家信息安全管理系统 工程代号为005。还有国家信息安全016工程(监控手机短信)
也叫国家信息关防工程 005工程一期工程经费达5,400万元,二期工程1.89亿元
江泽民,朱镕基,胡锦涛,李岚清,吴邦国等多次视察该工程
国家信息化工作领导小组已决定并正在该校筹建国家级"计算机信息网络安全重点实验室
主要参与单位 哈工大 国防科技大学 中科院计算所 研究生院 软件所
思科系统(中国)网络技术有限公司
NORTEL (北方电讯)
juniper (瞻博网络公司)
华为技术有限公司
北京港湾网络有限公司
东软软件股份有限公司
安氏互联网安全系统(中国)有限公司
websense有限公司
清华紫光比威网络技术有限公司
北京瑞星科技股份有限公司
哈尔滨工业大学软件工程有限公司
Servgate
赛门铁克公司
成都大东网络安全技术有限责任公司
成都三零盛安信息系统有限公司
北京国都兴业科技发展有限公司
北京首信股份有限公司
西安安智科技有限公司
北京中科网威信息技术有限公司
卫士通信息产业股份有限公司
北京太极信息安全技术有限公司
神州数码控股有限公司
南山之桥微电子有限公司
北京海信数码科技有限公司
东软集团有限公司
北京启明星辰信息技术有限公司
亿阳信通股份有限公司
北京大正语言知识处理科技有限公司
北京麦纳科技发展有限公司
上海百络信息技术有限公司
上海鹏越惊虹信息技术发展有限公司
易思同创信息技术(北京)有限公司
北京冠群金辰软件有限公司
Check Point 软件技术有限公司
泉州市南狐软件有限公司
厦门翼讯科技有限公司
海天软件(控股)有限公司
深圳赛佛莱特科技有限公司
珠海同易信息技术有限公司
厦门泛德科技开发有限公司
厦门诚创科技有限公司
上海汉景信息科技有限公司
汉邦软科集团
中科新业信息科技发展有限公司
北京网康科技有限公司
卓尔伟业信息技术有限公司
北京中教高科信息技术有限公司
清华同方知网技术有限公司
广州星外信息科技有限公司
珠海捷朗菱网络科技有限公司
北京喜安科高科技有限公司
北京电信通绿信科技有限公司
联想网御科技(北京)有限公司
阿姆瑞特(亚洲)网络有限公司
北京天融信公司
浙大网新科技股份有限公司
信息产业部网络安全中心
国家计算机网络与信息安全管理中心
中科院软件所信息安全试验室
中科院计算所
哈工大信息安全试验室
国防科大
总参第五十六研究所
方XX是用钱堆起来的, 每年花国家几个亿.
他把大把钞票花在信息工程部几位院士那里:
为了的到信息工程部主任李国杰的支持, 从李的曙光公司购买大量服务器.
为了得到曙光李国杰, 国防科大卢锡城院士和XX所陈左宁院士的支持, 用巨资安排这三个单
位各为网管中心造一台大型计算机.
其他没有工程院士的单位一律不给项目!
信息产业部那个搞国际出入口封堵的单位
这个单位耗费了人民数十亿的血汗钱搞封堵工程
以前敏感词过滤还主要是局限在中国互联网的国际出入口处,现在每个省市的出入都部署IDS
005工程2000年5月开始实施,所以从那个时候起,大傢上网就开始龟速了。
每一个网关IDC机房都放置了几百台LINUX服务器,进行网络封锁。
据网通,电信的人说:因为005工程的设备太多,发热量太大,而且与正
常网络连接的高端思科,华为等骨干路由器放在同一个机房,导致运营商
的网络设备运行稳定性存在大量隐患。
目前这套系统还在扩容,今后封锁会更加厉害。
这个工程主要监测发现有害网站和信息,IP地址定位,网上对抗信息的上报,跟踪有害短信息和
及时进行封堵 该项目已获2002年度国家科学技术进步奖一等奖
“国家信息安全管理系统 工程代号为005。还有国家信息安全016工程(监控手机短信)
也叫国家信息关防工程 005工程一期工程经费达5,400万元,二期工程1.89亿元
江泽民,朱镕基,胡锦涛,李岚清,吴邦国等多次视察该工程
国家信息化工作领导小组已决定并正在该校筹建国家级"计算机信息网络安全重点实验室
主要参与单位 哈工大 国防科技大学 中科院计算所 研究生院 软件所
思科系统(中国)网络技术有限公司
NORTEL (北方电讯)
juniper (瞻博网络公司)
华为技术有限公司
北京港湾网络有限公司
东软软件股份有限公司
安氏互联网安全系统(中国)有限公司
websense有限公司
清华紫光比威网络技术有限公司
北京瑞星科技股份有限公司
哈尔滨工业大学软件工程有限公司
Servgate
赛门铁克公司
成都大东网络安全技术有限责任公司
成都三零盛安信息系统有限公司
北京国都兴业科技发展有限公司
北京首信股份有限公司
西安安智科技有限公司
北京中科网威信息技术有限公司
卫士通信息产业股份有限公司
北京太极信息安全技术有限公司
神州数码控股有限公司
南山之桥微电子有限公司
北京海信数码科技有限公司
东软集团有限公司
北京启明星辰信息技术有限公司
亿阳信通股份有限公司
北京大正语言知识处理科技有限公司
北京麦纳科技发展有限公司
上海百络信息技术有限公司
上海鹏越惊虹信息技术发展有限公司
易思同创信息技术(北京)有限公司
北京冠群金辰软件有限公司
Check Point 软件技术有限公司
泉州市南狐软件有限公司
厦门翼讯科技有限公司
海天软件(控股)有限公司
深圳赛佛莱特科技有限公司
珠海同易信息技术有限公司
厦门泛德科技开发有限公司
厦门诚创科技有限公司
上海汉景信息科技有限公司
汉邦软科集团
中科新业信息科技发展有限公司
北京网康科技有限公司
卓尔伟业信息技术有限公司
北京中教高科信息技术有限公司
清华同方知网技术有限公司
广州星外信息科技有限公司
珠海捷朗菱网络科技有限公司
北京喜安科高科技有限公司
北京电信通绿信科技有限公司
联想网御科技(北京)有限公司
阿姆瑞特(亚洲)网络有限公司
北京天融信公司
浙大网新科技股份有限公司
信息产业部网络安全中心
国家计算机网络与信息安全管理中心
中科院软件所信息安全试验室
中科院计算所
哈工大信息安全试验室
国防科大
总参第五十六研究所
