利用 iptables 折腾安全的服务器环境

0x00 概述

iptables 是 Linux 内核集成一套包过滤系统,并且可以实现状态防火墙,建立精细的包过滤列表,功能十分强大,所以选择折腾 iptables 来实现防火墙。

iptables 一共有 4 个表:filter,nat,mangle,raw,5 个链:INPUT,OUTPUT,FORWARD,POSTROUTING,PREROUTING

功能

  • filter:实现防火墙一般的数据包过滤功能。(默认表)
    • Chain: INPUT,OUTPUT,FORWARD
  • nat:网络地址转换。
    • Chain: PREROUTING,POSTROUTING
  • mangle:修改数据包。
    • Chain: INPUT,OUTPUT,FORWARD,POSTROUTING,PREROUTING
  • raw:不让 iptables 做数据包链接跟踪,提高性能。
    • Chain: PREROUTING,OUTPUT

0x01 简单应用

iptables 有基础的命令还有可选的模块,在 Terminal 中直接可以使用man iptables查看 iptables 的 man page (Online)。

清除现有 iptables 规则:iptables -F or iptables --flush(清除 Chain 中的所有规则,可以加上 -t or --table 指定某个表,不指定则清除所有)。iptables -X or iptables --delete-chain(删除所有用户自定义的 Chain ,即通过 -n or --new-chain 增加的 Chain )。iptables -Z or iptables --zero(清空封包计数器)。

设定默认策略:不符合任何一条规则的时候,按照设定好的默认策略处理,最安全的就是全部 DROP ,再单独添加例外,添加 DROP 的默认策略必须在 Console 下,不然 Terminal 会掉。

iptables -p INPUT DROP iptables -p OUTPUT DROP iptables -p FORWARD DROP 

-p or --policy是为 Chain 添加默认策略。iptables 默认都是 ACCPET 的,如果需要删除此限制,改回 ACCPET 即可。

设置了 DROP 的默认策略之后,必须添加允许回环!

iptables -A INPUT -i lo -p all -j ACCEPT
iptables -A OUTPUT -o lo -p all -j ACCEPT 

-i or --in-interface 是定义入网 NIC 的,表示数据包从何进入,可以使用加号+作为通配符,比如 eth+ 表示所有的 eth,也可以用感叹号 ! 进行排除匹配。

部分版本的 Linux 需要重启 iptables 服务才能生效(server iptables restart or/etc/init.d/iptables restart),我使用的是 Debian,现在 Debian 已经是实时生效 iptables 的了,不需要重启服务。也可以使用iptables-save > /home/iptables.rule导出 iptables 规则,到时候再使用 iptables-restore 恢复。

开启允许通过的端口:如果刚刚上面设置了默认 DROP 策略,现在就要来设置例外规则了,不然任何流量出入都会被丢弃了。现在来开个 SSH(22)端口。

iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --sport 22 -j ACCEPT 

-A or --append 新增一条规则,默认是最后一条规则,如果需要插入优先级别更高的可以使用 -I or --insert-p or --protocol 是指定协议,常见协议有:tcp,udp,icmp,igmp等,可以使用 all 匹配所有协议,在协议名称前加感叹号 !表示排除此协议,如 !tcp 表示除了 tcp 协议以外的协议。--dport or --destination-port 是目的端口,限制要访问的目的端口,可以用 : 号表示范围,比如 1:100 表示 1 - 100 端口。--sport or --source-port 是来源端口,使用方法和目的端口一致。-j or--jump 代表了处理动作,常见处理动作有:ACCEPT,REJECT,DROP,REDIRECT,MASQUERADE,LOG,DNAT,SNAT,MIRROR,QUEUE,RETURN,MARK等,ACCPET 代表放行,REJECT 代表拒绝,DROP 代表丢弃,其他更多的说明请参考 man page。

如果要限制允许访问的 IP 来源地址,可以用 -s or --src or --source 来限制。

iptables -A INPUT -s 8.8.8.8 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -m iprange --src-range 8.8.8.1-8.8.8.10 -p tcp --dport 22 -j ACCEPT 

来源地址可以是单个 IP 地址,也可以是地址段 8.8.8.0/24 这种格式,如果要限定范围就需要用 -m iprange --src-range 加范围限制,地址也可以使用感叹号 ! 进行排除匹配。

要开放常用端口,也可以使用 -m multiport --dport 参数。

iptables -A INPUT -m multiport --dport 21,22,80,3306,8000:8999 -p tcp -j ACCPET 

禁止 ping:ping 是基于 ICMP 协议的,所以禁掉 ICMP 包就 OK 了。

iptables -A INPUT -p icmp -j DROP iptables -A OUTPUT -p icmp -j DROP 

但是,用这种方式禁用掉 ICMP 协议,服务器就不可以发起 ping 请求,我们可以利用状态防火墙的特性,根据状态来过滤。先删除旧的策略。

iptables -D INPUT -p icmp -j DROP iptables -D OUTPUT -p icmp -j DROP 

-D or --delete 是用于删除规则,输入完整的策略即可删除。

iptables -A INPUT -p icmp --icmp-type Echo-Request -j DROP iptables -A INPUT -p icmp --icmp-type Echo-Reply -j ACCEPT iptables -A INPUT -p icmp --icmp-type destination-Unreachable -j ACCEPT 

--icmp-type是用于定位 ICMP 数据包的类型,可以使用 iptables -p icmp --help 查看详细定义或者在 man page 中查看。这里选择 DROP 掉请求,但是允许返回报文通过。

丢弃状态为 INVALID 的 HTTP 数据包:状态为 INVALID 的都是无效的包,直接 DROP。

iptables -A INPUT -m state --state INVALID -j DROP iptables -A OUTPUT -m state --state INVALID -j DROP iptables -A FORWARD -m state --state INVALID -j DROP 

-m state --state 是用来识别连接状态的,常见的有 4 种状态,NEW,INVALID,ESTABLISHED,RELATED

丢弃外网的私网源地址请求:服务器是公网的,没有内网互联机器,源地址是私网地址的基本都是 IP 欺骗,直接 DROP。

iptables -A INPUT -i eth0 -s 10.0.0.0/8 -j DROP iptables -A INPUT -i eth0 -s 172.16.0.0/12 -j DROP iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP 

0x02 高级应用

防止 DDOS 和 CC 攻击:可以通过 iptables 记录访问过频,然后禁止掉过频密的请求。

iptables -A INPUT -p tcp --dport 80 --syn -m recent --name web_viewer --rcheck --seconds 60 --hitcount 10 -j LOG --log-prefix 'CC_ATTACK:' --log-ip-options iptables -A INPUT -p tcp --dport 80 --syn -m recent --name web_viewer --rcheck --seconds 60 --hitcount 10 -j DROP iptables -A INPUT -p tcp --dport 80 --syn -m recent --name web_viewer --set -j ACCEPT 

每 60 秒只允许建立 10 个新连接,超出则丢弃。

防止 SSH 爆破:公网服务器总会被人爬到然后爆破 SSH 密码,直接用 iptables 中的 recent 模块将爆破的禁掉。

iptables -A INPUT -p tcp --dport 22 -m recent --name SSH_Brute --rcheck --seconds 300 --hitcount 3 -j DROP iptables -A INPUT -p tcp --dport 22 -m recent --name SSH_Brute --set -j ACCEPT 

这里的流程就是,第一次发出 SSH 连接的时候,会先检查 SSH_Brute 列表中有无记录,并且是否满足 3 次,如果满足则丢弃,生存期是 5 分钟(300 秒),如果是第一次连接,自然不会符合第一条规则,所以就跳到第二条,将当前用户的 IP 添加到 SSH_Brute 表中,并允许此次通过。这样就可以限制了,5 分钟内,只能尝试 3 次,超出这个次数就会被 DROP。

但这样还是存在一个问题,就是每隔5分钟之后还是可以爆破,但我们又不能将时间设置得太长,不然我们自己管理都被 DROP 了请求,所以这里可以用 update 标签来代替 rcheck 标签。两者作用其实大致相同,只是处理流程不一样, rcheck 是从接受到数据包就开始计算时间,但是 update是从最近的 DROP 数据包开始计算时间的,等于在一定时间内允许你发起 X 次连接,但一旦超出了,就开始 DROP 你的请求一定的时间。这样的过滤更加严格。

iptables -A INPUT -p tcp --dport 22 -m recent --name SSH_Brute --update --seconds 3600 --hitcount 3 -j DROP iptables -A INPUT -p tcp --dport 22 -m recent --name SSH_Brute --set -j ACCPET 

与上面其实就是换成了 update ,作用是一旦发起了超过 3 次连接就禁止一个小时。

未完待续

原文地址:https://bobylive.com/static/1937069


Mrxn 发布于 2016-4-2 02:04

工信部公开征求《互联网域名管理办法》意见+热评

2016年3月25日,酝酿多年的《中国互联网域名管理办法》修订浮出水面,工信部正式向社会公开征求意见。该意见稿首次要求不得为境外域名注册服务机构管理的域名提供境内网络接入服务,强制要求境内网站须境内管理域名。


意见稿第三十七条首次要求,在境内进行网络接入的域名应当由境内域名注册服务机构提供服务,并由境内域名注册管理机构运行管理。在境内进行网络接入、但不属于境内域名注册服务机构管理的域名,互联网接入服务提供者不得为其提供网络接入服务。


值得注意的是,根据意见稿第二条之规定,“在中华人民共和国境内从事互联网域名服务及相关活动,应当遵守本办法。”从文意理解,这里的“域名”不仅包括CN/中国等国别顶级域名,还应当包括COM/NET等类别顶级域名。


个人认为,强制要求境内企业网站须境内管理域名的可操作性不强,境内的众多门户网站和互联网企业均使用国外的域名注册商,切换回国内有较大风险,因为国内域名注册商主要是万网提供,而万网已经被阿里巴巴全资收购,因此迁移域名到国内,将会导致国内互联网企业的网站均被阿里巴巴所控制,包括阿里巴巴的竞争对手,2011年有一个案例,阿里巴巴竞争对手慧聪网的域名遭到投诉后,被阿里直接将慧聪网域名暂停解析长达数小时,之后愤怒的慧聪网对外推出“反万网霸权”网站,对万网进行指控。


目前,淘宝、百度、网易、搜狐、微软、苹果、腾讯财付通、CCTV等诸多知名公司的网站域名都使用了国外的域名服务例如MarkMonitor等,如果新的《互联网域名管理办法》实施下来要求这些企业把域名转到阿里巴巴的万网,这画面太美我不敢看。


对于外资企业或跨国公司来说,根据工信部早先的规定,外资企业在华开展网络业务,相关服务器和存储设备必须存放在中国境内,但如果按照域名管理办法的第三十七条,则外资企业必须将域名转入中国才能提供解析,这对于绝大多数外资企业来说都是难以接受的,没有哪家跨国企业能接受自己的主域名被中国企业控制。


我觉得,工信部强制要求境内网站须境内管理域名的主要原因是,以后看到你网站上有啥“有害信息”,可以直接ClientHold,连拔网线的事情都省了,管理起来真太方便了。


之所以知名的企业都喜欢用例如MarkMonitor这样的专业域名注册服务,主要还是因为安全性的考虑,使用不安全的域名注册服务会对网站造成非常致命的影响,例如2010年的时候,百度曾经遭到建立以来持续时间最长、影响最严重的黑客攻击,黑客通过劫持百度域名,导致百度停止服务长达数小时之久,之后,百度更换域名注册商到了MarkMonitor,以防止类似事件发生。因此,工信部应该尊重各个互联网企业的选择,不应该强制企业采用指定的服务,导致企业面临遭受重大损失的风险。


目前工信部起草了《互联网域名管理办法(修订征求意见稿)》处于向社会公开征求意见的阶段,社会人士可以于2016年4月25日前反馈意见,反馈的联系方式如下:


联系人:工业和信息化部政策法规司


电  话:010-68205072(传真)


电子邮箱:law#miit.gov.cn


地  址:北京市西城区西长安街13号工业和信息化部政策法规司(邮编:100804),请在信封上注明“规章征求意见”。


在线反馈意见的地址:http://zqyj.chinalaw.gov.cn/index


以下是《互联网域名管理办法》(修订征求意见稿)全文:

4557_1.jpg

互联网域名管理办法


(修订征求意见稿)


第一章 总则


第一条 为了规范互联网域名服务活动,保护用户合法权益,保障互联网域名系统安全、可靠运行,推动中文域名和国家顶级域名发展和应用,促进中国互联网健康发展,根据《中华人民共和国行政许可法》、《国务院对确需保留的行政审批项目设定行政许可的决定》等规定,参照国际上互联网域名管理准则,制定本办法。


第二条 在中华人民共和国境内从事互联网域名服务及相关活动,应当遵守本办法。


本办法所称互联网域名服务(以下简称域名服务),是指从事域名根服务器运行和管理、顶级域名运行和管理、域名注册、域名解析等活动。


第三条 工业和信息化部对全国的域名服务实施监督管理,主要职责是:


(一)制定互联网域名管理规章及政策;


(二)制定互联网域名体系、域名资源发展规划;


(三)管理境内的域名根服务器运行机构和域名注册管理机构;


(四)负责域名体系的网络与信息安全管理;


(五)依法保护用户个人信息和合法权益;


(六)负责与域名有关的国际协调;


(七)管理境内的域名解析服务;


(八)管理其他与域名服务相关的活动。


第四条 各省、自治区、直辖市通信管理局负责对本行政区域内的域名服务实施监督管理,主要职责是:


(一)贯彻执行域名管理法律、行政法规、规章和政策;


(二)管理本行政区域内的域名注册服务机构;


(三)协助工业和信息化部对本行政区域内的域名根服务器运行机构和域名注册管理机构进行管理;


(四)负责本行政区域内域名系统的网络与信息安全管理;


(五)依法保护用户个人信息和合法权益;


(六)管理本行政区域内的域名解析服务;


(七)管理本行政区域内其他与域名服务相关的活动。


第五条 互联网域名体系由工业和信息化部予以公告。根据域名发展的实际情况,工业和信息化部可以对互联网域名体系进行调整。


第六条 “.CN”和“.中国”是中国的国家顶级域名。


中文域名是互联网域名体系的重要组成部分。国家鼓励和支持中文域名系统的技术研究和推广应用。


第七条 提供域名服务,应当遵守国家相关法律法规,符合相关技术规范和标准。


第八条 任何组织和个人不得妨碍互联网域名系统的安全和稳定运行。


第二章 域名管理


第九条 在境内设立域名根服务器及域名根服务器运行机构、域名注册管理机构和域名注册服务机构的,应当取得工业和信息化部或者省、自治区、直辖市通信管理局(以下统称电信管理机构)的相应许可。


第十条 申请设立域名根服务器及域名根服务器运行机构的,应当具备以下条件:


(一)域名根服务器设置在境内,并且符合互联网发展相关规划及域名系统安全稳定运行要求;


(二)是在境内依法设立的法人,该法人及其主要出资者、主要经营管理人员具有良好的信用记录;


(三)具有保障域名根服务器安全可靠运行的场地、资金、环境、专业人员和技术能力以及符合电信管理机构要求的信息管理系统;


(四)具有健全的网络与信息安全保障措施,包括管理人员、网络与信息安全管理制度、应急处置预案和相关技术、管理措施等;


(五)具有用户个人信息保护能力、提供长期服务的能力及健全的服务退出机制;


(六)法律、行政法规规定的其他条件。


第十一条 申请设立域名注册管理机构的,应当具备以下条件:


(一)顶级域名管理系统设置在境内,并且持有的顶级域名符合相关法律法规及域名系统安全稳定运行要求;


(二)是在境内依法设立的法人,该法人及其主要出资者、主要经营管理人员具有良好的信用记录;


(三)具有完善的业务发展计划和技术方案以及与从事顶级域名运行管理相适应的场地、资金、专业人员以及符合电信管理机构要求的信息管理系统;


(四)具有健全的网络与信息安全保障措施,包括管理人员、网络与信息安全管理制度、应急处置预案和相关技术、管理措施等;


(五)具有进行真实身份信息核验和用户个人信息保护的能力、提供长期服务的能力及健全的服务退出处理机制;


(六)具有健全的域名注册服务管理制度和对域名注册服务机构的监督机制;


(七)法律、行政法规规定的其他条件。


第十二条 申请设立域名注册服务机构的,应当具备下列条件:


(一)域名注册服务系统、注册数据库和解析系统设置在境内;


(二)是在境内依法设立的法人,该法人及其主要出资者、主要经营管理人员具有良好的信用记录;


(三)具有与从事域名注册服务相适应的场地、资金和专业人员以及符合电信管理机构要求的信息管理系统;


(四)具有进行真实身份信息核验和用户个人信息保护的能力、提供长期服务的能力及健全的服务退出机制;


(五)具有健全的域名注册服务管理制度和对域名注册代理机构的监督机制;


(六)具有健全的网络与信息安全保障措施,包括管理人员、网络与信息安全管理制度、应急处置预案和相关技术、管理措施等;


(七)法律、行政法规规定的其他条件。


第十三条 申请设立域名根服务器及域名根服务器运行机构、域名注册管理机构的,应当向工业和信息化部提交申请材料。申请设立域名注册服务机构的,应当向住所地省、自治区、直辖市通信管理局提交申请材料。


申请材料应当包括:


(一)申请单位的基本情况;


(二)对域名服务实施有效管理的证明材料,包括相关系统及场所、服务能力的证明材料、管理制度、与其他机构签订的协议等;


(三)网络与信息安全保障制度及措施;


(四)证明申请单位信誉的材料;


(五)法定代表人签署的依法诚信经营承诺书。


第十四条 申请材料齐全、符合法定形式的,电信管理机构应当向申请单位出具受理申请通知书;申请材料不齐全或者不符合法定形式的,电信管理机构应当场或在5个工作日内一次性书面告知申请单位需要补正的全部内容;不予受理的,应当出具不予受理通知书并说明理由。


第十五条 电信管理机构应当自受理之日起20个工作日内完成审查,作出予以许可或者不予许可的决定。20个工作日内不能作出决定的,经电信管理机构负责人批准,可以延长10个工作日,并将延长期限的理由告知申请单位。需要组织专家论证的,论证时间不计入审查期限。


予以许可的,应当颁发相应的许可文件;不予许可的,应当书面通知申请单位并说明理由。


第十六条 域名根服务器运行机构、域名注册管理机构和域名注册服务机构的许可有效期为5年。


第十七条 域名根服务器运行机构、域名注册管理机构和域名注册服务机构的名称、住所、法定代表人等信息发生变更的,应当自变更之日起20日内向原发证机关办理变更手续。


第十八条 在许可有效期内,域名根服务器运行机构、域名注册管理机构、域名注册服务机构拟终止相关服务的,应当通知用户,提出可行的善后处理方案,并向原发证机关提交书面申请。


原发证机关收到申请后,应当向社会公示30日。公示期结束60日内,原发证机关应当完成审查工作,做出予以批准或者不予批准的决定。


第十九条 许可有效期届满需要继续从事域名服务的,应当提前90日向原发证机关申请延续;不再继续从事域名服务的,应当提前90日向原发证机关报告并做好善后工作。


第二十条 域名注册服务机构委托域名注册代理机构开展市场销售等工作的,应当对域名注册代理机构的工作进行监督和管理。


域名注册代理机构在开展委托的市场销售等工作过程中,应当主动表明代理关系,并在域名注册服务合同中明示相关域名注册服务机构名称及代理关系。


第二十一条 域名注册管理机构、域名注册服务机构应当在境内设立相应的应急备份系统和应急机制,定期将域名注册数据在境内进行备份。


第二十二条 域名根服务器运行机构、域名注册管理机构、域名注册服务机构应当在其网站首页和经营场所显著位置标明其许可相关信息。域名注册管理机构还应当标明与其合作的域名注册服务机构名单。


域名注册服务机构应当要求域名注册代理机构在其网站首页和经营场所显著位置标明域名注册服务机构名称。


第三章 域名服务


第二十三条 域名根服务器运行机构、域名注册管理机构和域名注册服务机构应当向用户提供安全、方便、稳定的服务。


第二十四条 域名注册管理机构应当根据本办法制定域名注册实施细则并向社会公开。


第二十五条 域名注册管理机构应当通过电信管理机构许可的域名注册服务机构开展域名注册服务。


域名注册服务机构应当按照许可的域名注册服务项目提供服务,不得为未经许可的域名注册管理机构提供域名注册服务。


第二十六条 域名注册服务原则上实行“先申请先注册”,相应顶级域域名注册实施细则另有规定的,从其规定。


第二十七条 为维护国家利益和社会公众利益,域名注册管理机构应当建立域名注册保留字制度。


第二十八条 域名注册服务机构不得为任何组织或者个人注册、使用含有下列内容的域名提供服务:


(一)反对宪法所确定的基本原则的;


(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;


(三)损害国家荣誉和利益的;


(四)煽动民族仇恨、民族歧视,破坏民族团结的;


(五)破坏国家宗教政策,宣扬邪教和封建迷信的;


(六)散布谣言,扰乱社会秩序,破坏社会稳定的;


(七)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;


(八)侮辱或者诽谤他人,侵害他人合法权益的;


(九)含有法律、行政法规禁止的其他内容的。


第二十九条 域名注册服务机构不得采用欺诈、胁迫等不正当手段要求他人注册域名。


第三十条 域名注册服务机构应当要求域名注册申请者提交域名持有者的真实、准确、完整的身份信息等域名注册信息。


域名注册管理机构和域名注册服务机构应当对域名注册信息的真实性、完整性进行核验。


域名注册申请者提交的域名注册信息不准确、不完整的,域名注册服务机构应当要求其予以补正。申请者不补正或者提交不真实的域名注册信息的,域名注册服务机构不得为其提供域名注册服务。


第三十一条 域名注册服务机构应当公布域名注册服务的内容、时限、费用,保证服务质量,提供域名注册信息的公共查询服务。


第三十二条 域名注册管理机构、域名注册服务机构应当依法保护用户个人信息。除用于提供域名注册信息的公共查询服务或法律、法规另有规定外,未经用户同意,不得将用户个人信息提供给他人。


第三十三条 域名持有者的联系方式等信息发生变更的,应当在变更后30日内向域名注册服务机构办理域名注册信息变更手续。


域名持有者将域名转让给他人的,后者应当遵守域名注册的相关要求。


第三十四条 域名持有者可以选择、变更域名注册服务机构。变更域名注册服务机构的,原域名注册服务机构应当配合域名持有者转移域名注册相关信息。


无正当理由,域名注册服务机构不得阻止域名持有者变更域名注册服务机构。


电信管理机构要求停止解析的域名,不得变更域名注册服务机构或转让给他人,但法律、行政法规另有规定的除外。


第三十五条 域名注册管理机构和域名注册服务机构应当设立投诉受理机制,并在其网站首页和经营场所显著位置公布投诉受理方式。


域名注册管理机构和域名注册服务机构应当及时处理投诉;不能及时处理的,应当说明理由和处理时限。


第三十六条 提供域名解析服务,应当具备相应的技术、服务和网络与信息安全保障能力,符合有关法律、法规以及技术规范、标准,落实网络与信息安全保障措施,记录并留存域名解析维护日志和变更记录,保障解析服务质量和解析系统安全。涉及经营电信业务的,应当依法取得电信业务经营许可。


第三十七条 在境内进行网络接入的域名应当由境内域名注册服务机构提供服务,并由境内域名注册管理机构运行管理。


在境内进行网络接入、但不属于境内域名注册服务机构管理的域名,互联网接入服务提供者不得为其提供网络接入服务。


第三十八条 提供域名解析服务,不得擅自篡改解析信息。未经他人同意,不得将域名解析指向他人的IP地址。


第三十九条 提供域名解析服务,不得为违法网络信息服务提供域名跳转。


第四十条 域名注册管理机构、域名注册服务机构应当配合国家有关部门依法开展的相关检查工作,并按照电信管理机构的要求对存在违法行为的域名进行处置。


第四十一条 域名根服务器运行机构、域名注册管理机构和域名注册服务机构应当遵守国家相关法律、法规和技术规范、标准,落实网络与信息安全保障措施,配置必要的网络通信应急设备,制定网络通信保障应急预案,建立健全网络与信息安全监测技术手段和应急制度。域名系统出现网络与信息安全事故时,应当及时向电信管理机构报告。


因国家安全和处置紧急事件的需要,域名根服务器运行机构、域名注册管理机构和域名注册服务机构应当服从电信管理机构的统一指挥与协调,遵守电信管理机构的管理要求。


第四十二条 已注册的域名出现下列情形之一的,域名注册服务机构应当予以注销,并通知域名持有者:


(一)域名持有者申请注销域名的;


(二)域名持有者提交虚假域名注册信息的;


(三)依据人民法院、仲裁机构或域名争议解决机构作出的裁判,应当注销的;


(四)国家有关部门依法作出域名注销决定的;


(五)法律、行政法规规定予以注销的其他情形。


第四章 监督检查


第四十三条 电信管理机构应当加强对域名服务进行监督检查。域名根服务器运行机构、域名注册管理机构、域名注册服务机构应当接受、配合电信管理机构的监督检查。


工业和信息化部鼓励开展域名服务行业自律活动,鼓励公众监督域名服务。


第四十四条 域名根服务器运行机构、域名注册管理机构、域名注册服务机构应当按照电信管理机构的要求,定期报送业务开展情况、安全运行情况、投诉和争议处理情况等信息。


第四十五条 电信管理机构实施监督检查时,应当对域名根服务器运行机构、域名注册管理机构和域名注册服务机构报送的材料进行全面审核,并对其经营主体、经营行为和服务质量、网络与信息安全、执行国家和电信管理机构有关规定的情况等进行检查。


电信管理机构可以委托专业机构开展有关监督检查活动。


第四十六条 电信管理机构应当建立域名根服务器运行机构、域名注册管理机构和域名注册服务机构的信用记录制度,将其违反本办法并受到行政处罚的行为记入信用档案。


第四十七条 电信管理机构开展监督检查,不得妨碍域名根服务器运行机构、域名注册管理机构和域名注册服务机构正常的经营和服务活动,不得收取任何费用,不得泄露所知悉的域名注册信息。


第五章 罚则


第四十八条 违反本办法第九条规定,未经许可擅自设立域名根服务器及域名根服务器运行机构、域名注册管理机构、域名注册服务机构的,电信管理机构应当根据《中华人民共和国行政许可法》第八十一条的规定,采取措施予以制止,并视情节轻重,予以警告或者处一万元以上三万元以下罚款。


第四十九条 违反本办法规定,域名注册管理机构或者域名注册服务机构有下列行为之一的,由电信管理机构依据职权责令限期改正,并视情节轻重,处一万元以上三万元以下罚款,向社会公告:


(一)为未经许可的域名注册管理机构提供域名注册服务,或者通过未经许可的域名注册服务机构开展域名注册服务的;


(二)未按照许可的域名注册服务项目提供服务的;


(三)为他人注册、使用含有违法内容的域名提供服务的;


(四)未对域名注册信息的真实性、完整性进行核验的;


(五)无正当理由阻止域名持有者变更域名注册服务机构的;


第五十条 违反本办法规定,提供域名解析服务,有下列行为之一的,由电信管理机构责令限期改正,可以视情节轻重并处一万元以上三万元以下的罚款,向社会公告:


(一)擅自篡改域名解析信息或者将域名解析指向他人IP地址的;


(二)为违法网络信息服务提供域名跳转的;


(三)未落实网络与信息安全保障措施的;


(四)未记录并留存域名解析维护日志和变更记录的;


(五)未按要求对存在违法行为的域名进行处置的。


第五十一条 违反本办法第十七条、第十八条第一款、第二十一条、第二十二条、第二十九条、第三十一条、第三十二条、第三十五条第一款、第三十七条第二款、第四十一条规定的,由电信管理机构依据职权责令限期改正,可以并处一万元以上三万元以下罚款,向社会公告。


第五十二条 任何组织或个人违反本办法第二十八条规定注册、使用域名,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由国家有关机关依法予以处罚。


第六章 附则


第五十三条 本办法下列用语的含义是:


(一)域名:指互联网上识别和定位计算机的层次结构式的字符标识,与该计算机的互联网协议(IP)地址相对应。


(二)中文域名:指含有中文文字的域名。


(三)顶级域名:指域名体系中根节点下的第一级域的名称。


(四)域名根服务器:是指承担域名体系中根节点功能的服务器(含镜像服务器)。


(五)域名根服务器运行机构:指依法获得许可并承担域名根服务器运行、维护和管理工作的机构。


(六)域名注册管理机构:指依法获得许可并承担顶级域名运行和管理工作的机构。


(七)域名注册服务机构:指依法获得许可并受理域名注册申请并完成域名在顶级域名数据库中注册的机构。


(八)域名注册代理机构:指受域名注册服务机构的委托,受理域名注册申请,间接完成域名在顶级域名数据库中注册的机构。


(九)顶级域名管理系统:指域名注册管理机构在境内开展顶级域名运行和管理所需的主要信息系统,包括注册管理系统、注册数据库、域名解析系统、域名信息查询系统、身份信息核验系统等。


(十)域名跳转:指对某一域名的访问跳转至该域名绑定或指向的其他域名、IP地址或者网络信息服务等。


第五十四条 本办法中规定的日期,除明确为工作日的以外,均为自然日。


第五十五条 在本办法施行前未取得相应许可开展域名服务的,应当自本办法施行之日起六个月内,按照本办法规定办理许可手续。


在本办法施行前已取得许可的域名根服务器运行机构、域名注册管理机构和域名注册服务机构,其许可有效期适用本办法第十六条的规定,有效期自本办法施行之日起计算。


第五十六条 本办法自 年 月 日起施行。2004年11月5日公布的《中国互联网络域名管理办法》(原信息产业部令第30号)同时废止。

下面是一些热评,哈哈,局域网,自我保护?网络封锁?孰对孰错?未命名_meitu_0.jpg


Mrxn 发布于 2016-3-31 03:56

自由浏览器FreeBrowser.apk最新版V1.9.0更新下载

注意:本文所涉及的软件只能应用于学习研究使用,禁止用于任何非法途径,与博主无关.继续往下看即表示你已经同意且自愿承担其相应的责任和后果.

安卓,苹果,Mac,Windows 三平台支持的,免费加速器下载 2020最新可用 下载链接:点击下载

自由浏览器FreeBrowser.apk最新版V1.9.0更新下载 https://userscloud.com/gin76j7hhlrm

FreeBrowser.apX86版本下载:https://userscloud.com/1hx7kx3gjtqt

更多扶墙姿势,请看这里:点击搜搜更多关于电脑和手机、苹果上的扶墙姿势

header.png


其他信息

更新日期
2015年12月15日
 
大小
21M
 
安装次数
10,000 - 50,000
 
当前版本
1.9.0
 
Android系统版本要求
4.0及更高版本
 


download app.png


000124-2015-12-17.jpg

官方主页:https://github.com/greatfire/wiki


Mrxn 发布于 2015-12-16 18:08

记一次对GFW防火墙的探究

[该文章已加密,请点击标题输入密码访问]


Mrxn 发布于 2015-6-10 16:42

【火狐】安全提醒!

一般的使用者,如果查资料只是看看,那么你可以忽略下文。

特别注意:

  • 如果你想要用这个火狐浏览器上国内外网站又不留下你的真实ip,那么你需要特别注意以下几个方面:

    • 点击火狐浏览器右上方的那个‘小狐狸头’按钮,选择使用“【GoAgent_8087 全局模式】”这种模式,切记!使用这种模式访问所有网站都是使用代理(除Google的部分域名是直连)。然后你可以去查ip网站看一下自己的ip是否已变为国外ip。
      • 查ip网站:http://ip-check.info/?lang=en 打开这个网站之后再点页面下方的START TEST!,在转到的页面上看一看你的真实ip有没有暴露。
      <p>
       <br />
      </p>




    • 还需要禁用所有插件(注意,是插件,不是扩展,插件不同于扩展,插件基本上都是你电脑上的程序,所以得自己来操作这一步,而且每换一台电脑都需要在火狐浏览器里设置这一步。。会暴露真实ip的主要是flash插件,为防止万一,应禁用所有插件。)。【禁用flash插件可能会造成有一些依赖flash插件播放的网页视频不能播放,或者某些网页上的flash元素不能显示等情况;禁用某些网盘上传插件可能会造成无法上传文件到网盘。此类情况请自己权衡是否禁用相关插件,如果不禁用,那么建议至少应该开启VPN】




  • 火狐禁用插件的方法: 点击火狐右上方的菜单按钮(三横杠),再点“附加组件”,再点“插件”,再点每个插件右边“总是激活”那里,改成“总不激活”就可以了,下图中已经设置好的那个Shockwave Flash就是flash插件,建议禁用所有插件。 





       111.png


Mrxn 发布于 2014-11-28 04:32

TCP/IP并发连接数修改方法(XP系统)

TCP/IP并发连接数修改方法(XP系统)


   


    使用GoGo搜ip速度很慢吗?请看下文。

    WindowsXP系统默认限制了TCP/IP并发连接数,默认是10,需要将这个修改成更大才能让一些软件的功能发挥到更好,比如GoGo这个通道检测器就是这样。

    我这里在网上搜到了一个小软件可以修改TCP/IP并发连接数,软件小巧,操作简单。

    软件名:TCPIP连接数补丁.exe

    下载地址(我网盘): http://pan.baidu.com/s/1bnElPnx


使用方法:

   下载压缩包后解压出来,双击运行解压出来的“TCPIP连接数补丁.exe”程序,打开如下图小窗口:

21.png

如上图,将数值改为 1024(不要大于1024),然后点“应用”,由于修改的是系统文件,所以系统会弹出文件保护警告,如下图:22.png

23.png


如上,按箭头所示操作,然后重启电脑就可以了。

除非以后重装系统,否则都不需要再修改了。




标签: 防火墙

Mrxn 发布于 2014-11-28 02:39

解决SSL错误

如果你使用我分享的的谷歌浏览器遇到访问YouTube、Facebook、Twitter、Google等以https开头的网址时出现【SSL错误】,https那里有个斜杠,如下图:

112.png

或者提示【该网站的安全证书不受信任!】、或者页面排版混乱,这种情况都是GoAgent的证书没有成功导入造成的,需要自己手动导入一次证书。导入方法如下: 在Agent文件夹内有一个名为CA.crt的文件,如果你电脑隐藏了文件的扩展名,那么它的名字就是CA,它就是证书文件,如下图:

113.png

双击这个CA.crt文件,弹出的小窗口点【安装证书】,如下图:

114.png

弹出窗口点【下一步】,如下图:

115.png

下图中,点选【将所有证书放入下列存储区】,然后点【浏览】

116.png

弹出的小窗口内点选【受信任的根证书颁发机构】,然后【确定】,再点【下一步】,如下图:

117.png

接下来点【完成】,如下图:

118.png

在弹出的窗口点【是】。如下图〔如果没出现下图这个安全警告,说明系统已经存在此证书〕

119.png


提示导入成功,点【确定】,最后关闭那个证书窗口就可以了。

说明:如果相比火狐来说你更喜欢用谷歌浏览器,那么导入证书这个操作就是必须掌握的技术,整个过程比较简单,用不了一分钟。只需要导入一次,除非是重装了系统或者从证书管理器里删除了证书,否则不需要再次导入。

其实GoAgent软件本身具备自动导入证书的功能,在第一次启动软件的时候就执行自动导入证书到系统中,但是由于每个电脑内的环境不一样,个别安全类软件一干扰,就会造成证书不能成功导入,直接影响https开头的网站。

注: 火狐内置证书管理器,那个我已经导入了证书,所以火狐一般不会出现这个问题。除了火狐,其它浏览器都是使用系统的证书管理器,所以才会出现这样的问题,但也不是每台电脑都会出现。



Mrxn 发布于 2014-11-28 02:01

【原创】漫游某市政府内网防火墙+路由器

      也是前几天晚上,在整理电脑文件夹的时候,突然翻出来的一个工具,让我想到了看过的一些关于IIS溢出攻击的文章,我想在删除之前,还是来试试吧(因为这个漏洞是微软很久以前的,补丁早就出来了,再说应该没有人用这么低版本的IIS了吧)。但是结果让我很惊奇。居然还有。如图所示:

2002-07-25 04_55_44.jpg


如刚刚说得,用这种低版本的很少吧,图中15个只有2个是,而且是一个可以也就说是15:1的比例。

那就直接开始吧,既然为溢出攻击,那么就得先attack让它溢出吧。。。

2002-07-25 05_10_05.jpg

开始了后好久都没成功。。。至于原因,后面会解释。

Try again.........................

2002-07-25 07_14_3.jpg


我勒个擦。。。。溢出成功了!虽然连接的时候是timeout !

后面又重试了几次终于将timeout变成success!

然后就很轻松的的login了!哈哈,试试而已,准备走了,一想到刚刚开始的时候为啥失败啊,于是拿出H-SCAN扫了一下,看结果我就笑了!443 3389 21  23  139 这些端口都开着,不等于是美女在哪里像我招手么!激动。。。。开始 telnet *.15.117.143  进去后是这个画面:

2002.jpg

一看TOPSEC NetGuard Firewall ARES-H V2.6.40 天融信ARES防火墙啊!原来开始的时候失败。。。。

看见system 两眼放光。。。可是需要密码的!用默认密密试了一下,success!人品爆发啊!哈哈

2002-07-25 06_54_26-Telnet .jpg这是进去后看下IP 

2002-07-25 06_43_4.jpg

eht0  eht1 eht2 eht3  这不是路由器么!

立马进相同段的。。。。 

显示Welcome to ZXR10 Fast and Intelligent 3206 Switch of ZTE Corporation ---大概意思--欢迎来到中兴ZXPR10交换机界面。。。。

看了一下配置信息

2002-07-25 06_41_22.jpg

本想做个端口映射的,然后你懂得。但是一想,这是政府的。。。被逮到就完了。。。。。说我非法入侵。。。我可不想因为这么点小东西犯法,不值得!也希望大家不要去犯法哈,好好生活!享受生活!

在走之前,看了一下其同段IP,发现好多都是大开门户!弱口令。。。弱密码。。。

这不是在引诱好奇心强的亲少年犯罪么。。。

       试想:把这个防火墙和路由器拿下后,那上面的办公系统,政府网站,还有一些私人用户的流量数据都可以很清晰的看到,并且可以修改。。。。挂马,广告,一些敏感信息(支付宝/淘宝/银行/QQ密码,身份证号码)等等。路由器是通向互联网的接口,拥有它,你就能窥探整个内网的任何信息。

       一点小体会:政府部门能不能把这些小问题做好啊!用这么好的设备,却不好好管理,纯粹是浪费啊,更有可能让一些刚刚接触这方面的孩子犯法啊,而且是在不经意间。我们要管好自己的好奇心,不然后果有可能是我们自己不能承受的。

       欢迎转载,请尊重版权,注明源自 https://mrxn.net ---Mrxn's Blog 帮助他人,提高自我。

        注:出于安全和法律原因,本博客不提供相关黑客工具下载,需要的可以在网上搜索。



Mrxn 发布于 2014-7-26 14:12

个人资料

    blogger

    Mrxn

    一个关注网络安全,热爱黑客技术的好青年!

搜索

最新评论