Board logo

主題: [教學]關於IPFilter相關問題的一些說明 [打印本頁]

發表人: edwardfr    時間: 2008-8-1 12:02 AM     主題: [教學]關於IPFilter相關問題的一些說明

呃,內容可能有點多,有點亂,還請見諒,有耐心的就慢慢看好了...>_<

下面是目錄,大家可以按目錄CRTL+F找自己想看的部分...


[一]IPFilter和DLP的區別
IPfilter就是IP地址過濾,這裏介紹的ipfilter是用於P2P軟體,包括emule、BT等等。簡單的說就是通過這個過濾內容和過濾等級的 限制,使我們的P2P軟體不去連接這些IP位址,這些IP位址也無法連接我們的P2P軟體。但是不會阻止你的電腦和這些IP間的聯繫,想要杜絕電腦的聯 系,你必須使用防火牆/XP系統的“IP安全策略”/路由器等等手段封掉這些IP。

這裏可能存在一個誤區,準確的說ipfilter不是專門用來殺吸血用戶端的,而是針對各種反P2P行為,包括虛假、間諜伺服器,vagga伺服器,惡意 IP,帶有木馬、間諜軟體的攻擊性IP、駭客等等不安全的IP地址,畢竟單從IP地址來判斷是否是吸血用戶是很難的。當然,要是吸血用戶端恰好在我們的過濾IP段中就會被封掉。

而封殺吸血用戶(各種吸血mod)用的是DLP(Dynamic Leecher Protection),一個eMule的插件。請不要混淆二者,以為用了ipfilter就等於防吸血萬事大吉了。

[二]过滤等级(filter/access level)
過濾等級是ipfilter的一個範圍限定值,他限定的是哪些連接方式(連接方式這個名稱並不準確,但是我不知道怎麼描述比較好,大家姑且這麼理解)被禁止。我們看看這段說明:

CODE:
[Copy to clipboard]
#>> You can adjust the level of IPFilter.dat in eMule (default: all numbers before 127 are filtered)
# 60 = [BG] = Unallocated Address Space on IPv4. 還未分配的IPV4地址段
# 70 = [BG] = Bogus AS Advertisements. 偽造的廣告發送地址
# 80 = [BG] = Possible Bogus Routes. 很可能是偽造的路由器位址
# 90 = [L1] = Level1.
# 95 = [FK] = Fake Server. 虛假的伺服器
# 97 = [MS] = Microsoft. 微軟
# 99 = [HJ] = Hijacked. 被劫持的地址
# 109 = [L2] = Level2.
# 111 = [SW] = Spyware. 間諜軟體
# 113 = [AD] = Ad Trackers. 廣告軟體節點
# 115 = [SD] = Spider. 蜘蛛(一般是搜索引擎的)
# 117 = [TJ] = Trojan. 特洛伊(木馬)
# 119 = [TL] = TempList. 臨時列表
# 160 = [LN] = Lan range. 局域網保留IP段
# Example: if you wants filtered all except L2 & SW & AD & SD & TL & LN, you must set 108.
# -------- if you wants filtered only Bogon, you must set 65.
# more you decreases level in eMule, more the security of IPFilter decreases.
上面的每一個數字代表了相對應的連接方式的“門檻”。在我們設定的過濾等級以下的數位所代表的連接方式將被封禁,而以上的數字將被放行。我們舉個例子:

引用:
064.094.089.000 - 064.094.089.255 , 100 , Gator.com
066.035.250.203 - 066.035.250.203 , 200 , SourceForge.net
013.020.222.112 - 013.020.222.112 , 230 , Somethingawful.com


假設我們的過濾等級是默認的127,這個時候Gator.com被封了,另外兩個被放行了。如果我們設為210,那麼只有 Somethingawful.com被放行,另外兩個都被封了。簡單的說,過濾等級數越低,ipfilter放行的IP地址就越多,安全性能就越低,反 過來過濾等級越高,封禁的就越多,安全性提高,當然誤傷的也就更多。

上面這個例子中的ipfilter是以前的格式,每一行的IP段都有一個對應的過濾等級,但是實際上現在的格式中已經沒有了,取而代之的是在後面標注連接方式。如:

引用:
170.150.000.000 - 170.150.255.255 , 000 , Bogon


這裏的Bogon對應的過濾等級是60--“還未分配的IPV4地址段”,大家可以用記事本打開自己的ipfilter查看。
因為每一種連接方式對應一個級數,過濾等級就是這樣輔助限定ipfilter起作用的範圍,所以eMule默認的127是很有道理的----除了“局域網保留IP段”之外的IP連接方式全部封殺。

[三]不同版本的IPFilter
IPFilter出現時間很久了,網上也曾經出現各種各樣的版本,也有許多專門的網站持續更新改善。不過經過了這些年之後還存在的比較大的就是這三個:
PeerGuardian
B.I.S.S(Bluetack Internet Security Solutions)
Pawcio

下面一個一個介紹:
PeerGuardian
曾經風靡一時的PeerGuardian,早期算是獨立軟體形式的P2P防護優化中做得比較好的一個。用的是自己專門的blocklist更新網站。然而 05年的叛變事件(聽聞...)對其打擊很大。06年推出的PG2後開發幾乎就停滯了,官網最新一次放出的消息是在07年7月,內容是“blocklist 更新網站倒了,但是不影響更新服務”.....

B.I.S.S(Bluetack Internet Security Solutions)
英國民間網路安全組織Bluetack,一直都很專業做得很好,eMule官網的ipfilter Q&A也指向他們。Bluetack提供了3個主要的ipfilter和13個blocklist,還有他們自己開發的一系列P2P防護軟體。這裏主要介紹三個ipfilter:
Level1
下載地址:http://www.bluetack.co.uk/config/level1.gz

引用:
Level1 List
This list blocks known anti-p2p companies.
It contains p2p trackers like Mediasentry, Mediaforce, and known fake p2p file sources from companies like Overpeer. The list also contains all known Government - Military - Science - Research Labs and Bad Education facilities IP addresses collected by the Bluetack Team. Basically this list will block all kinds of internet connections that most people would rather not have during their internet travels.


這個是bluetack精簡版ipfliter,主要針對的是各種反P2P機構,包括虛假伺服器,間諜伺服器等等。大概是4萬多條規則,因為僅針對惡意伺服器IP,對個人用戶的誤傷很小,但是安全性相應有些不足,所以還請大家使用封殺瘋狂檢檔的IP過濾(IPFilter,基於Level1版)

nipfilter(Normal IP Filter)
下載地址:http://www.bluetack.co.uk/config/nipfilter.dat.gz

引用:
EMULE nip filter.dat
This blocklist is the (normal) IP Filter.dat.gz (Gzipped) for loading into Emule.
NOTE: gzip is not supported in Emule Plus

The nipfilter.dat file includes the following ranges pre-merged into it:

* Level1
* Bogon list
* Hijacked IP blocks
* IANA Multicast
* IANA Private
* IANA Reserved
* Level2
* Microsoft
* NonLan list
* templist.txt


實際上這個是一個多blocklist集合包的普通版本,從上面的說明大家可以看到它是包括了Level1的。nipfilter的打擊力度遠高於 Level1,自然誤傷也會增加。平均ban的用戶數目占請求總數的 1/6~1/4。

另外多說幾句,
eMule是個P2P工具,不是防火牆,對於上述區間,eMule根本不能攔截(那些IP用系統漏洞之類的手段掃描你,eMule能攔截嗎?)在 eMule裏載入nipfilter只會讓eMule運行速度變慢、記憶體佔用變大而已。所以我個人認為,eMule用主要針對P2P的level1就夠 了。如果你用的是level1,那麼無論過濾等級是127還是108,效果都是一樣的。127與108的差異主要在nipfilter上體現出來。
但是,我記得Outpost防火牆有個插件(具體情況忘了),可以載入IPfilter作為輔助防護。如果你能找到這個東西,就用它載入nipfilter,而eMule不用任何IPfilter。這樣可以把單純的P2P防護,升級為整個系統的防護。


pipfilter(Paranoid IP Filter)
下載地址:http://www.bluetack.co.uk/config/pipfilter.dat.gz

引用:
EMULE (paranoid) pip filter.dat
This blocklist is the (Paranoid) IP Filter.dat (gzipped)for loading into Emule.
NOTE: gzip is not supported in Emule Plus

The pipfilter.dat file includes the following ranges pre-merged into it: All lists except the master exclusions list - only use if you know what you are doing. (gzipped)

* Ad Trackers
* Bogon Ranges
* DShield Recommended
* Educational Ranges
* Hijacked IP blocks
* IANA Multicast
* IANA Private
* IANA Reserved
* Level1
* Level2
* Microsoft Related
* Non-LAN list
* Spiders list
* Spyware list
* Trojans & Portscanners
* Level3
* Rangetest list
* templist


Paranoid意思是神經質的、偏執的,從說明可以看到這其實就是Bluetack所有blocklist的集合,我沒有使用過,估計有好幾十萬條規則.....明顯的寧可錯殺一百也不放過一個。因為打擊範圍過廣不推薦使用。

Pawcio
Pawcio是著名eMule站(http://www.emule-mods.de)放出的ipfilter最新的版本是v129。jerry兄的帖子給出了下載:http://twed2k.org/viewthread.php?tid=228458

Pawcio也是國外各種mod用得比較多的一版ipfilter,他是由B.I.S.S的nipfilter、一些其他的blocklist、一些防護軟體中的list,加上他自己的一些IP整合而成的。

[四]如何使用IPFilter
如何選擇ipfilter,這個完全要根據大家自己的情況,譬如是否有其他的安全防護措施,是否喜歡下冷門資源(顯然,冷門本來源就少,再ban掉幾個就沒了...)等等。不管怎樣目前要封殺吸血防各種反P2P機構,誤傷是在所難免的,如果投鼠忌器反而會助長吸血和反P2P組織的勢頭,更不利於P2P的長遠發展,所以使用ipfilter是絕對有必要的。

一般用戶還是只推薦使用封殺瘋狂檢檔的IP過濾(IPFilter,基於Level1版)

[edwardfr 在  2008-8-1 12:04 AM 作了最後編輯]
發表人: room18    時間: 2008-8-1 06:41 AM

首先感謝edwardfr 大大一直努力為我們這些驢子的用戶做這麼辛苦的說明~
好讓我們免於不必要的麻煩及問題!!
說真的有太多的用戶只知道灌完p2p之後就等著下載而已~也許這就是懶惰的使用者吧
我一直是官版驢子的愛用者,但一直到最近發覺一些奇奇怪怪的上傳者相繼出現~上twed2k一查
才了解到原來mod的重要性及ipfilter的用法....現在,我的驢子完全在mod的保護之下變乖了
若沒看到edwardfr 大大辛苦的介紹我可能還傻乎乎上傳給"懶惰的使用者"吧!
您的文章我現在會很仔細的閱讀的~~加油噢!
發表人: ETK    時間: 2008-8-2 01:41 PM

最近 emule 一直不順, 每個檔案 source 都只找到個數個 ,原本以為大家都不玩 emule 了
早上隨手按按看 各個選項, 發現 morph update 下, IPfilter , Fake list ... 都已經兩年沒有更新了

更新過後, 我的 server list 一下子清掉 2/3 , 然後每個淡藍色的檔案, 漸漸的變成深藍 .

原來之前都連上了假 server , 沒有幫忙找 source . 難怪這麼少來源,
看起來 只靠 KAD 還是不行的 ....

IPfilter 一定得定期更新啊
發表人: leacks    時間: 2008-9-27 12:41 PM

B.I.S.S(Bluetack Internet Security Solutions)
的Level1 List  只有0byes
一個月前還正常說
發表人: leacks    時間: 2008-11-28 08:15 AM

B.I.S.S
有EMULE nip filter.dat & Level1 List
哪個比較好?
優?劣?
發表人: cpeter90    時間: 2008-12-7 05:10 AM

哪種都好,但一定要過濾
不然很容易被約談
台灣抓得很嚴
發表人: YiQi    時間: 2009-5-5 10:30 PM

最近發現下面這個 ipfilter 有更新了, 而且也擋掉了大部份假伺服器.

http://emulepawcio.sourceforge.net/ipfilter.zip

Filter Level 設 < 100 應該就可以了.

(之前Post在另一個帖, 後來才發現這裡比較合適)
發表人: lightmyfire    時間: 2009-10-21 02:34 AM

封殺瘋狂檢檔的IP過濾(IPFilter,基於Level1版)
這個沒有自動更新吧?




歡迎光臨 TWed2k (http://twed2k.org/) Powered by Discuz! 4.1.0