电脑可不可以关掉防火墙。为什么？？

建议你不要关，而且安装国外知明杀毒软件的防火墙！！！

随着计算机 *** 技术的突飞猛进， *** 安全的问题已经日益突出地摆在各类用户的面前。仅从笔者掌握的资料表明，目前在互联网上大约有将近20%以上的用户曾经遭受过黑客的困扰。尽管黑客如此猖獗，但 *** 安全问题至今仍没有能够引起足够的重视，更多的用户认为 *** 安全问题离自己尚远，这一点从大约有40%以上的用户特别是企业级用户没有安装防火墙(Firewall)便可以窥见一斑，而所有的问题都在向大家证明一个事实，大多数的黑客入侵事件都是由于未能正确安装防火墙而引发的。

防火墙的概念及作用

防火墙的本义原是指古代人们房屋之间修建的那道墙，这道墙可以防止火灾发生的时候蔓延到别的房屋。而这里所说的防火墙当然不是指物理上的防火墙，而是指隔离在本地 *** 与外界 *** 之间的一道防御系统，是这一类防范措施的总称。应该说，在互联网上防火墙是一种非常有效的 *** 安全模型，通过它可以隔离风险区域(即Internet或有一定风险的 *** )与安全区域(局域网)的连接，同时不会妨碍人们对风险区域的访问。防火墙可以监控进出 *** 的通信量，从而完成看似不可能的任务；仅让安全、核准了的信息进入，同时又 *** 对企业构成威胁的数据。随着安全性问题上的失误和缺陷越来越普遍，对 *** 的入侵不仅来自高超的攻击手段，也有可能来自配置上的低级错误或不合适的口令选择。因此，防火墙的作用是防止不希望的、未授权的通信进出被保护的 *** ，迫使单位强化自己的 *** 安全政策。一般的防火墙都可以达到以下目的：一是可以限制他人进入内部 *** ，过滤掉不安全服务和非法用户；二是防止入侵者接近你的防御设施；三是限定用户访问特殊站点；四是为监视Internet安全提供方便。由于防火墙假设了 *** 边界和服务，因此更适合于相对独立的 *** ，例如Intranet等种类相对集中的 *** 。防火墙正在成为控制对 *** 系统访问的非常流行的 *** 。事实上，在Internet上的Web网站中，超过三分之一的Web网站都是由某种形式的防火墙加以保护，这是对黑客防范最严，安全性较强的一种方式，任何关键性的服务器，都建议放在防火墙之后。

防火墙的架构与工作方式

防火墙可以使用户的 *** 划规划更加清晰明了，全面防止跨越权限的数据访问（因为有些人登录后的之一件事就是试图超越权限限制）。如果没有防火墙的话，你可能会接到许许多多类似的报告，比如单位内部的财政报告刚刚被数万个Email邮件炸烂，或者用户的个人主页被人恶意连接向了Playboy，而报告链接上却指定了另一家 *** ......一套完整的防火墙系统通常是由屏蔽路由器和 *** 服务器组成。屏蔽路由器是一个多端口的IP路由器，它通过对每一个到来的IP包依据组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息，例如协议号、收发报文的IP地址和端口号、连接标志以至另外一些IP选项，对IP包进行过滤。 *** 服务器是防火墙中的一个服务器进程，它能够代替 *** 用户完成特定的TCP/TP功能。一个 *** 服务器本质上是一个应用层的网关，一个为特定 *** 应用而连接两个 *** 的网关。用户就一项TCP/TP应用，比如Telnet或者FTP，同 *** 服务器打交道， *** 服务器要求用户提供其要访问的远程主机名。当用户答复并提供了正确的用户身份及认证信息后， *** 服务器连通远程主机，为两个通信点充当中继。整个过程可以对胜户完全透明。用户提供的用户身份及认证信息可用于用户级的认证。最简单的情况是：它只由用户标识和口令构成。但是，如果防火墙是通过Internet可访问的，应推荐用户使用更强的认证机制，例如一次性口令或回应式系统等。

屏蔽路由器的更大优点就是架构简单且硬件成本较低，而缺点则是建立包过滤规则比较困难，加之屏蔽路由器的管理成本及用户级身份认证的缺乏等。好在路由器生产商们已经认识到并开始着手解决这些问题，他们正在开发编辑包过滤规则的图形用户界面，制订标准的用户级身份认证协议，以提供远程身份认证拨入用户服务(REDIUS)。�

*** 服务器的优点在于用户级的身份认证、日志记录和帐号管理。其缺点关系到这样一个事实；要想提供全面的安全保证，就要对每一项服务都建立对应的应用层网关。这个事实严重地限制了新应用的采纲。�

屏蔽路由器和 *** 服务器通常组合在一起构成混合系统，其中屏蔽路由器主要用来防止IP欺骗攻击。目前采用最广泛的配置是Dualhomed防火墙、被屏蔽主机型防火墙以及被屏蔽子网型防火墙。�

通常架设防火墙需要数千甚至上万美元的投入，而且防火墙需要运行于一 *** 立的计算机上，因此只用一台计算机连入互联网的用户是不必要架设防火墙的，况且这样做即使从成本方面讲也太不划算。目前观之，防火墙的重点还是用来保护由许多台计算机组成的大型 *** ，这也是黑客高手们真正感兴趣的地方。防火墙可以是非常简单的过滤器，也可能是精心配置的网关，但它们的原理是一样，都是监测并过滤所有通向外部网和从外部网传来的信息，防火墙保护着内部敏感的数据不被偷窃和破坏，并记下来通讯发生的时间和操作等等，新一代的防火墙甚至可以阻止内部人员故意将敏感数据传输到外界。当用户将单位内部的局部网连入互联网时，大家肯定不愿意让全世界的人随意翻阅你单位内部人员的工资单、各种文件资料或者是数据库，但即使在单位内部也存在数据攻击的可能性。例如一些心怀叵测的电脑高手可能会修改工资表和财务报告。而通过设置防火墙后，管理员就可以限定单位内部员工使用Email、浏览WWW以及文件传输，但不允许外界任意访问单位内部的计算机，同时管理员也可以禁止单位中不同部门之间互相访问。将局部 *** 放置防火墙之后可以阻止来自外界的攻击。而防火墙通常是运行在一台单独的计算机之上的一个特别的软件，它可以识别并屏蔽非法的请求。例如一台WWW *** 服务器，所有的请求都间接地由 *** 服务器处理，这台服务器不同于普通的 *** 服务器，它不会直接地处理请求，它会验证请求发出者的身份、请求的目的地和请求内容。如果一切符合要求的话，这个请求会被批准送到真正的WWW服务器上。当真正的WWW服务器处理完这个请求后并不会直接把结果发送给请求者，它会把结果送到 *** 服务器， *** 服务器会按照事先的规定检查这个结果是否违反了安全规定，当这一切都通过后，返回结果才会真正地送到请求者的手里。

防火墙的体系结构

1、屏蔽路由器(ScreeningRouter)�

屏蔽路由器可以由厂家专门生产的路由器实现，也可以用主机来实现。屏蔽路由器作为内外连接的惟一通道，要求所有的报文都必须在此通过检查。路由器上可以安装基于IP层的报文过滤软件，实现报文过滤功能。许多路由器本身带有报文过滤配置选项，但一般比较简单。单纯由屏蔽路由器构成的防火墙的危险包括路由器本身及路由器允许访问的主机。屏蔽路由器的缺点是一旦被攻隐后很难发现，而且不能识别不同的用户。�

2、双穴主机网关(DualHomedGateway)�

双穴主机网关是用一台装有两块网卡的堡垒主机的做防火墙。两块网卡各自与受保护网和外部网相连。堡垒主机上运行着防火墙软件，可以转发应用程序，提供服务等。与屏蔽路由器相比，双穴主机网关堡垒主机的系统软件可用于维护护系统日志、硬件拷贝日志或远程日志。但弱点也比较突出，一旦黑客侵入堡垒主机并使其只具有路由功能，任何网上用户均可以随便访问内部网。

3、被屏蔽主机网关(ScreenedGatewy)

屏蔽主机网关易于实现也最为安全。一个堡垒主机安装在内部 *** 上，通常在路由器上设立过滤规则，并使这个堡垒主机成为从外部 *** 惟一可直接到达的主机，这确保了内部 *** 不受未被授权的外部用户的攻击。如果受保护网是一个虚拟扩展的本地网，即没有子网和路由器，那么内部网的变化不影响堡垒主机和屏蔽路由器的配置。危险带限制在堡垒主机和屏蔽路由器。网关的基本控制策略由安装在上面的软件决定。如果攻击者没法登录到它上面，内网中的其余主机就会受到很大威胁。这与双穴主机网关受攻击时的情形差不多。

4、被屏蔽子网(ScreenedSubnet)

被屏蔽子网就是在内部 *** 和外部 *** 之间建立一个被隔离的子网，用两台分组过滤路由器将这一子网分别与内部 *** 和外部 *** 分开。在很多实现中，两个分组过滤路由器放在子网的两端，在子网内构成一个DNS，内部 *** 和外部 *** 均可访问被屏蔽子网，但禁止它们穿过被屏蔽子网通信。有的屏蔽子网中还设有一堡垒主机作为惟一可访问点，支持终端交互或作为应用网关 *** 。这种配置的危险仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。如果攻击者试图完全破坏防火墙，他必须重新配置连接三个网的路由器，既不切断连接又不要把自己锁在外面，同时又不使自己被发现，这样也还是可能的。但若禁止 *** 访问路由器或只允许内网中的某些主机访问它，则攻击会变得很困难。在这种情况下，攻击者得先侵入堡垒主机，然后进入内网主机，再返回来破坏屏蔽路由器，并且整个过程中不能引发警报。

防火墙的基本类型

如今市场上的防火墙林林总总，形式多样。有以软件形式运行在普通计算机之上的，也有以固件形式设计在路由器之中的。总的来说可以分为三种：包过滤防火墙、 *** 服务器和状态监视器。

包过滤防火墙(IPFiltingFirewall)：

包过滤(PacketFilter)是在 *** 层中对数据包实施有选择的通过，依据系统事先设定好的过滤逻辑，检查数据据流中的每个数据包，根据数据包的源地址、目标地址、以及包所使用端口确定是否允许该类数据包通过。在互联网这样的信息包交换 *** 上，所有往来的信息都被分割成许许多多一定长度的信息包，包中包括发送者的IP地址和接收者的IP地址。当这些包被送上互联网时，路由器会读取接收者的IP并选择一条物理上的线路发送出去，信息包可能以不同的路线抵达目的地，当所有的包抵达后会在目的地重新组装还原。包过滤式的防火墙会检查所有通过信息包里的IP地址，并按照系统管理员所给定的过滤规则过滤信息包。如果防火墙设定某一IP为危险的话，从这个地址而来的所有信息都会被防火墙屏蔽掉。这种防火墙的用法很多，比如国家有关部门可以通过包过滤防火墙来禁止国内用户去访问那些违反我国有关规定或者"有问题"的国外站点，例如www.playboy.com、www.cnn.com等等。包过滤路由器的更大的优点就是它对于用户来说是透明的，也就是说不需要用户名和密码来登录。这种防火墙速度快而且易于维护，通常做为之一道防线。包过滤路由器的弊端也是很明显的，通常它没有用户的使用记录，这样我们就不能从访问记录中发现黑客的攻击记录。而攻击一个单纯的包过滤式的防炎墙对黑客来说是比较容易的，他们在这一方面已经积了大量的经验。"信息包冲击"是黑客比较常用的一种攻击手段，黑客们对包过滤式防火墙发出一系列信息包，不过这些包中的IP地址已经被替换掉了(FakeIP)，取而代之的是一串顺序的IP地址。一旦有一个包通过了防火墙，黑客便可以用这个IP地十来伪装他们发出的信息。在另一些情况下黑客们使用一种他们自己编制的路由器攻击程序，这种程序使用路由器协议(RoutingInformationProtcol)来发送伪造的路由信息，这样所有的包都会被重新路由到一个入侵者所指定的特别地址。对付这种路由器的另一种技术被称之为"同步淹没"，这实际上是一种 *** 炸弹。攻击者向被攻击的计算机发出许许多多个虚假的"同步请求"信号包，当服务器响应了这种信号包后会等待请求发出者的回答，而攻击者不做任何的响应。如果服务器在45秒钟里没有收到反应信号的话就会取消掉这次请求。但是当服务器在处理成知上万个虚假请求时，它便没有时间来处理正常的用户请求，处于这种攻击下的服务器和死锁没什么两样。此种防火墙的缺点是很明显的，通常它没有用户的使用记录，这样我们就不能从访问记录中发现黑客的攻击记录。此外，配置繁琐也是包过滤防火墙的一个缺点。它阻挡别人进入内部 *** ，但也不告诉你何人进入你的系统，或者何人从内部进入网际网路。它可以阻止外部对私有 *** 的访问，却不能记录内部的访问。包过滤另一个关键的弱点就是不能在用户级别上进行过滤，即不能鉴别不同的用户和防止IP地址盗用。包过滤型防火墙是某种意义上的绝对安全的系统。

*** 服务器(ProxyServer)：

*** 服务器通常也称作应用级防火墙。包过滤防火墙可以按照IP地址来禁止未授权者的访问。但是它不适合单位用来控制内部人员访问外界的 *** ，对于这样的企业来说应用级防火墙是更好的选择。所谓 *** 服务，即防火墙内外的计算机系统应用层的链接是在两个终止于 *** 服务的链接来实现的，这样便成功地实现了防火墙内外计算机系统的隔离。 *** 服务是设置在Internet防火墙网关上的应用，是在网管员允许下或拒绝的特定的应用程度或者特定服务，同时，还可应用于实施较强的数据流监控、过滤、记录和报告等功能。一般情况下可应用于特定的互联网服务，如超文本传输(HTTP)、远程文件传输(FTP)等。 *** 服务器通常拥有高速缓存，缓存中存有用户经常访问站点的内容，在下一个用户要访问同样的站点时，服务器就用不着重复地去抓同样的内容，既节约了时间也节约了 *** 资源。�

下面笔者向网友们简单介绍几种 *** 服务器的设计实现方式：

1、应用 *** 服务器(ApplicationGatewayProxy)�

应用 *** 服务器可以在 *** 应用层提供授权检查及 *** 服务。当外部某台主机试图访问(如Telnet)受保护网时，它必须先在防火墙上经过身份认证。通过身份认证后，防火墙运行一个专门为Telnet设计的程序，把外部主机与内部主机连接。在这个过程中，防火墙可以限制用户访问的主机、访问的时间及访问的方式。同样，受保护 *** 内部用户访问外部网时也需先登录到防火墙上，通过验证后才可使用Telnet或FTP等有效命令。应用网关 *** 的优点是既可以隐藏内部IP地址，也可以给单个用户授权，即使攻击者盗用了一个合法的IP地址。他也通不过严格的身份认证。因特网关比报文过滤具有更高的安全性。但是这种认证使得应用网关不透明，用户每次连接都要受到"盘问"，这给用户带来许多不便。而且这种 *** 技术需要为每个应用网关写专门的程序。�

2、回路级 *** 服务器�

回路级 *** 服务器也称一般 *** 服务器，它适用于多个协议，但无法解释应用协议，需要通过其他方式来获得信息。所以，回路级 *** 服务器通常要求修改过的用户程序。其中，套接字服务器(SocketsServer)就是回路级 *** 服务器。套接字(Sockets)是一种 *** 应用层的国际标准。当受保护 *** 客户机需要与外部网交互信息时，在防火墙上的套接字服务器检查客户的UserID、IP源地址和IP目的地址，经过确认后，套服务器才与外部的段服务器建立连接。对用户来说，受保护网与外部网的信息交换是透明的，感觉不到防火墙的存在，那是因为因特 *** 用户不需要登录到防火墙上。但是客户端的应用软件必须支持"SocketsifideAPI"受保护 *** 用户访问公共网所使用的IP地址也都是防火墙的IP地址。�

3、代管服务器�

代管服务器技术换言之就是把不安全的服务，诸如FTP、Telnet等放到防火墙上，使它同时充当服务器，对外部的请求作出回答。与应用层 *** 实现相比，代管服务器技术不必为每种服务专门写程序。而且，受保护网内部用户想对外部网访问时，也需先登录到防火墙上，再向外提出请求，这样从外部网向内就只能看到防火墙，从而隐藏了内部地址，提高了安全性。�

4、IP通道(IPTunnels)�

如果某公司下属的两个子公司相隔较远，通过Internet进行通信时，可以采用IPTunnels来防止Internet上的黑客截取信息，从而在Internet上形成一个虚构的企业网。

5、网地址转换器(NetworkAddressTranslate)

当受保护网连到Internet上时，受保护网用户若要访问Internet，必须使用一个合法的IP地址。但由于合法InternetIP地址有限，而且受保护 *** 往往有自己的一套IP地址规划。 *** 地址转换器就是在防火墙上装一个合法IP地址集。当内部某一用户要访问Internet时，防火墙态地从地址集中选一个未分配的地址分配给该用户，该用户即可使用这个合法地址进行通信。同时，对于内部的某些服务器如Web服务器， *** 地址转换器允许为其分配一个固定的合法地址。外部 *** 的用户就可通过防火墙来访问内部的服务器。这种技术既缓解了少量的IP地址和大量的主机之间的矛盾，又对外隐藏了内部主机的IP地址，提高了安全性。

6、隔离域名服务器(SplitDomainNameSever)�

这种技术是通过防火墙将受保护 *** 的域名服务器与外部网的域名服务器隔离，使外部网的域名服务器只能看到防火墙的IP地址，无法了解受保护 *** 的具体情况，这样可以保证受保护 *** 的IP地址不被外部 *** 知悉。�

7、邮件转发技术(Mailforwarding)�

当防火墙采用上面所提到的几种技术使得外部 *** 只知道防火墙的IP地址和域名时，从外部 *** 发来的邮件，就只能送到防火墙上。这时防火墙对邮件进行检查，只有当发送邮件的源主机是被允许通过的，防火墙才对邮件的目的地址进行转换，送到内部的邮件服务器，由其进行转发。�

*** 服务器像真的墙一样挡在内部用户和外界之间，特别是从外面来的访问者只能看到 *** 服务器而看不见到任何的内部资源，诸如用户的IP等。而内部客户根本感觉不到它的存在，可以自由访问外部站点。 *** 可以提供极好的访问控制、登录能力以及地址转换功能，对进出防火墙的信息进行记录，便于管理员监视和管理系统。但 *** 服务器同时也存在一些不足，特别是它会使 *** 的访问速度变慢，因为它不允许用户直接访问 *** ，而 *** 又要处理入和出的通信量，因此每增加一种新的媒体应用，则必须对 *** 进行设置。笔者在一套办公应用软件的设计方面，就因为 *** 服务器的原因折腾了很长时间，结果还是由于设置与容错方面的问题暂时搁浅了。�

状态监视器(StatefulInspection)：

状态监视器作为防火墙技术其安全特性更佳，它采用了一个在网关上执行 *** 安全策略的软件引擎，称之为检测模块。检测模块在不影响 *** 正常工作的前提下，采用抽取相关数据的 *** 对 *** 通信的各层实施监测，抽取部分数据，即状态信息，并动态地保存起来作为以后制定安全决策的参考。检测模块支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。与其它安全方案不同，当用户访问到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合 *** 配置和安全规定作出接纳、拒绝、鉴定或给该通信加密等决定。一旦某个访问违反安全规定，安全报警器就会拒绝该访问，并作下记录向系统管理器报告 *** 状态。状态监视器的另一个优点就是可以监测RemoteProcedureCall和User DatagrqamProtocol类的端口信息。问题当然也有，即状态监视器的配置非常复杂，而且会降低 *** 的速度。

目前防火墙已经在Internet上得到了广泛的应用，而且由于防火墙不限于TCP/IP协议的特点，也使其逐步在Internet之外更具生命力。客观的讲，防火墙并不是解决 *** 安全问题的万能药方，而只是 *** 安全政策和策略中的一个组成部分，但了解防火墙技术并学会在实际操作中应用防火墙技术，相信会在新世纪的 *** 生活中让每一位网友都受益菲浅。

我的天网防火墙关了好几天的时间里，被黑客入侵的可能性有多大呢

看情况，如果你是公网用户，而且系统没有设置较为复杂的密码，那么被入侵的可能性为50%。一般都是冲着宽带帐号充值Q币去的。

如果你是局域网用户，相对来说好一点，但不排除局域网内部有人侵入（互联网是无法侵入局域网的）

一般来说能关闭你电脑防火墙的黑客是需要相当技术的，真正有技术的人是不会无聊到去入侵个人电脑的，所以别把黑客看的那么神通广大……

你也不用太担心，总的来说几率还是很小的！

请问有谁知道黑客攻击的含义、黑客攻击的危害？还有系统没有防火墙一定会被攻击吗？解决的措施？

1，黑客的定义

提起黑客，总是那么神秘莫测。在人们眼中，黑客是一群聪明绝顶，精力旺盛的年轻人，一门心思地破译各种密码，以便偷偷地、未经允许地打入 *** 、企业或他人的计算机系统，窥视他人的隐私。那么，什么是黑客呢？

黑客(hacker)，源于英语动词hack，意为“劈，砍”，引申为“干了一件非常漂亮的工作”。在早期麻省理工学院的校园俚语中，“黑客”则有“恶作剧”之意，尤指手法巧妙、技术高明的恶作剧。在日本《新黑客词典》中，对黑客的定义是“喜欢探索软件程序奥秘，并从中增长了其个人才干的人。他们不象绝大多数电脑使用者那样，只规规矩矩地了解别人指定了解的狭小部分知识。”由这些定义中，我们还看不出太贬义的意味。他们通常具有硬件和软件的高级知识，并有能力通过创新的 *** 剖析系统。“黑客”能使更多的 *** 趋于完善和安全，他们以保护 *** 为目的，而以不正当侵入为手段找出 *** 漏洞。

另一种入侵者是那些利用 *** 漏洞破坏 *** 的人。他们往往做一些重复的工作(如用暴力法破解口令)，他们也具备广泛的电脑知识，但与黑客不同的是他们以破坏为目的。这些群体成为“骇客”。当然还有一种人兼于黑客与入侵者之间。

一般认为，黑客起源于50年代麻省理工学院的实验室中，他们精力充沛，热衷于解决难题。60、70年代，“黑客”一词极富褒义，用于指代那些独立思考、奉公守法的计算机迷，他们智力超群，对电脑全身心投入，从事黑客活动意味着对计算机的更大潜力进行智力上的自由探索，为电脑技术的发展做出了巨大贡献。正是这些黑客，倡导了一场个人计算机革命，倡导了现行的计算机开放式体系结构，打破了以往计算机技术只掌握在少数人手里的局面，开了个人计算机的先河，提出了“计算机为人民所用”的观点，他们是电脑发展史上的英雄。现在黑客使用的侵入计算机系统的基本技巧，例如破解口令(password cracking)，开天窗(trapdoor)，走后门(backdoor)，安放特洛伊木马(Trojan horse)等，都是在这一时期发明的。从事黑客活动的经历，成为后来许多计算机业巨子简历上不可或缺的一部分。例如，苹果公司创始人之一乔布斯就是一个典型的例子。

在60年代，计算机的使用还远未普及，还没有多少存储重要信息的数据库，也谈不上黑客对数据的非法拷贝等问题。到了80、90年代，计算机越来越重要，大型数据库也越来越多，同时，信息越来越集中在少数人的手里。这样一场新时期的“圈地运动”引起了黑客们的极大反感。黑客认为，信息应共享而不应被少数人所垄断，于是将注意力转移到涉及各种机密的信息数据库上。而这时，电脑化空间已私有化，成为个人拥有的财产，社会不能再对黑客行为放任不管，而必须采取行动，利用法律等手段来进行控制。黑客活动受到了空前的打击。

但是， *** 和公司的管理者现在越来越多地要求黑客传授给他们有关电脑安全的知识。许多公司和 *** 机构已经邀请黑客为他们检验系统的安全性，甚至还请他们设计新的保安规程。在两名黑客连续发现网景公司设计的信用卡购物程序的缺陷并向商界发出公告之后，网景修正了缺陷并宣布举办名为“网景缺陷大奖赛”的竞赛，那些发现和找到该公司产品中安全漏洞的黑客可获1000美元奖金。无疑黑客正在对电脑防护技术的发展作出贡献。2，黑客攻击

一些黑客往往回采取一些几种 *** ，但是我很想说的是，一个优秀的黑客绝不会随便攻击别人的。

1)、获取口令

这又有三种 *** ：一是通过 *** 监听非法得到用户口令，这类 *** 有一定的局限性，但危害性极大，监听者往往能够获得其所在网段的所有用户账号和口令，对局域网安全威胁巨大；二是在知道用户的账号后(如电子邮件@前面的部分)利用一些专门软件强行破解用户口令，这种 *** 不受网段限制，但黑客要有足够的耐心和时间；三是在获得一个服务器上的用户口令文件(此文件成为Shadow文件)后，用暴力破解程序破解用户口令，该 *** 的使用前提是黑客获得口令的Shadow文件。此 *** 在所有 *** 中危害更大，因为它不需要像第二种 *** 那样一遍又一遍地尝试登录服务器，而是在本地将加密后的口令与Shadow文件中的口令相比较就能非常容易地破获用户密码，尤其对那些弱智用户(指口令安全系数极低的用户，如某用户账号为zys，其口令就是zys666、666666、或干脆就是zys等)更是在短短的一两分钟内，甚至几十秒内就可以将其干掉。

2)、放置特洛伊木马程序 　

特洛伊木马程序可以直接侵入用户的电脑并进行破坏，它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中，并在自己的计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。当您连接到因特网上时，这个程序就会通知黑客，来报告您的IP地址以及预先设定的端口。黑客在收到这些信息后，再利用这个潜伏在其中的程序，就可以任意地修改您的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等，从而达到控制你的计算机的目的。

3)、WWW的欺骗技术 　

在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问，如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在：正在访问的网页已经被黑客篡改过，网页上的信息是虚假的！例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器，当用户浏览目标网页的时候，实际上是向黑 *** 务器发出请求，那么黑客就可以达到欺骗的目的了。

4)、电子邮件攻击 　

电子邮件攻击主要表现为两种方式：一是电子邮件轰炸和电子邮件“滚雪球”，也就是通常所说的邮件炸弹，指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件，致使受害人邮箱被“炸”，严重者可能会给电子邮件服务器操作系统带来危险，甚至瘫痪；二是电子邮件欺骗，攻击者佯称自己为系统管理员（邮件地址和系统管理员完全相同），给用户发送邮件要求用户修改口令（口令可能为指定字符串）或在貌似正常的附件中加载病毒或其他木马程序（据笔者所知，某些单位的 *** 管理员有定期给用户免费发送防火墙升级程序的义务，这为黑客成功地利用该 *** 提供了可乘之机)，这类欺骗只要用户提高警惕，一般危害性不是太大。

5)、通过一个节点来攻击其他节点 　

黑客在突破一台主机后，往往以此主机作为根据地，攻击其他主机(以隐蔽其入侵路径，避免留下蛛丝马迹)。他们可以使用 *** 监听 *** ，尝试攻破同一 *** 内的其他主机；也可以通过IP欺骗和主机信任关系，攻击其他主机。这类攻击很狡猾，但由于某些技术很难掌握，如IP欺骗，因此较少被黑客使用。

6)、 *** 监听 　

*** 监听是主机的一种工作模式，在这种模式下，主机可以接受到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接受方是谁。此时，如果两台主机进行通信的信息没有加密，只要使用某些 *** 监听工具，例如NetXray for windows 95/98/nt，sniffit for linux 、solaries等就可以轻而易举地截取包括口令和帐号在内的信息资料。虽然 *** 监听获得的用户帐号和口令具有一定的局限性，但监听者往往能够获得其所在网段的所有用户帐号及口令。

7)、寻找系统漏洞 　

许多系统都有这样那样的安全漏洞(Bugs)，其中某些是操作系统或应用软件本身具有的，如Sendmail漏洞，win98中的共享目录密码验证漏洞和IE5漏洞等，这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏，除非你将网线拔掉；还有一些漏洞是由于系统管理员配置错误引起的，如在 *** 文件系统中，将目录和文件以可写的方式调出，将未加Shadow的用户密码文件以明码方式存放在某一目录下，这都会给黑客带来可乘之机，应及时加以修正。

8)、利用帐号进行攻击 　

有的黑客会利用操作系统提供的缺省账户和密码进行攻击，例如许多UNIX主机都有FTP和Guest等缺省账户(其密码和账户名同名)，有的甚至没有口令。黑客用Unix操作系统提供的命令如Finger和Ruser等收集信息，不断提高自己的攻击能力。这类攻击只要系统管理员提高警惕，将系统提供的缺省账户关掉或提醒无口令用户增加口令一般都能克服。

9)、偷取特权 　

利用各种特洛伊木马程序、后门程序和黑客自己编写的导致缓冲区溢出的程序进行攻击，前者可使黑客非法获得对用户机器的完全控制权，后者可使黑客获得超级用户的权限，从而拥有对整个 *** 的绝对控制权。这种攻击手段，一旦奏效，危害性极大。

黑客经常攻击我的防火墙

什么防火墙都是可能有这样的问题的。

在弹出的对话框中，看提示的IP地址是国内的还是是国外的。一般而言，国外的几乎是可以肯定是你的系统中含有类似木马的程序，该程序一般在杀毒软件安装之前就已进入系统，并躲过了杀毒软件的检查，和杀毒软件共生共存了。

如果是国内特别是你所在市或者说你所在的三类IP地址类内的话，那就是有人在攻击或者探测，如果都是这样的话，都只要关掉防火墙的提示就可以了，不用担心。这种人做不了什么事情。

关掉自己电脑的防火墙会被黑客入侵电脑吗

再厉害的高手帮你做的系统都有漏洞的，XSCAN扫描一秒就停止有很多种可能的，可能是攻击的原因，也可能是软件本身假死，也可能是网速的原因，一般在别人攻击的时候更好是不要关掉杀软和防火墙，万一他在你电脑里留了后门之类的，就完全受他控制了，攻击你的话，你可以换IP，就是重新连接，重新分配新的IP，如果他还能再攻击，可能你电脑里被他放了后门了，再在安全模式下杀毒！黑客攻击对于一般人是个很头痛的问题，实在不行就重做下系统！个人建议，仅供参考！

如果我将防火墙关闭，黑客是怎样攻击我的？

关闭防火墙，会暴露一些端口到公网，通过这些端口，所谓的黑客或黑客软件，或一些无辜的电脑会向你的电脑某些端口发送指令，对于一些指令，WIN系统会有一些反应，累计反映可能会造成系统缓慢，甚至崩溃，甚至有些端口会直接渗透而从系统中索取密码。

防火墙主要的作用之一就是保护端口。

防火墙到底要不要关啊，会不会使电脑容易受到病毒袭击。

建议您不要关闭防火墙，可以你在防火墙中增加规则保证您的正常上网，具体添加 *** 请您咨询防火墙厂商的 *** 人员。

我的电脑如何有效的防范黑客的攻击?

一、计算机的设置

1.关闭“文件和打印共享”

文件和打印共享应该是一个非常有用的功能，但在不需要它的时候，也是黑客入侵的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下，我们可以将它关闭。用鼠标右击“ *** 邻居”，选择“属性”，然后单击“文件和打印共享”按钮，将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。 虽然“文件和打印共享”关闭了，但是还不能确保安全，还要修改注册表，禁止它人更改“文件和打印共享”。打开注册表编辑器，选择

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\NetWork

主键，在该主键下新建DWORD类型的键值，键值名为“NoFileSharingControl”，键值设为“1”表示禁止这项功能，从而达到禁止更改“文件和打印共享”的目的；键值为“0”表示允许这项功能。这样在“ *** 邻居”的“属性”对话框中“文件和打印共享”就不复存在了。

2.把Guest账号禁用

有很多入侵都是通过这个账号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具，那还是禁止的好。打开控制面板，双击“用户和密码”，单击“高级”选项卡，再单击“高级”按钮，弹出本地用户和组窗口。在Guest账号上面点击右键，选择属性，在“常规”页中选中“账户已停用”。另外，将Administrator账号改名可以防止黑客知道自己的管理员账号，这会在很大程度上保证计算机安全。

3.禁止建立空连接

在默认的情况下，任何用户都可以通过空连接连上服务器，枚举账号并猜测密码。因此，我们必须禁止建立空连接。 *** 是修改注册表：打开注册表

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

将DWORD值“RestrictAnonymous”的键值改为“1”即可。

二、隐藏IP地址

黑客经常利用一些 *** 探测技术来查看我们的主机信息，主要目的就是得到 *** 中主机的IP地址。IP地址在 *** 安全上是一个很重要的概念，如果攻击者知道了你的IP地址，等于为他的攻击准备好了目标，他可以向这个IP发动各种进攻，如DoS( 拒绝服务 )攻击、Floop溢出攻击等。隐藏IP地址的主要 *** 是使用 *** 服务器。 与直接连接到Internet相比，使用 *** 服务器能保护上网用户的IP地址，从而保障上网安全。 *** 服务器的原理是在客户机（用户上网的计算机）和远程服务器（如用户想访问远端WWW服务器）之间架设一个“中转站”，当客户机向远程服务器提出服务要求后， *** 服务器首先截取用户的请求，然后 *** 服务器将服务请求转交远程服务器，从而实现客户机和远程服务器之间的联系。很显然，使用 *** 服务器后，其它用户只能探测到 *** 服务器的IP地址而不是用户的IP地址，这就实现了隐藏用户IP地址的目的，保障了用户上网安全。提供免费 *** 服务器的网站有很多，你也可以自己用 *** 猎手等工具来查找。

三、关闭不必要的端口

黑客在入侵时常常会扫描你的计算机端口，如果安装了端口监视程序（比如Netwatch），该监视程序则会有警告提示。如果遇到这种入侵，可用工具软件关闭用不到的端口。

四、更换管理员账户

Administrator账户拥有更高的系统权限，一旦该账户被人利用，后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator账户的密码，所以我们要重新配置Administrator账号。 首先是为Administrator账户设置一个强大复杂的密码，然后我们重命名Administrator账户，再创建一个没有管理员权限的Administrator账户欺骗入侵者。这样一来，入侵者就很难搞清哪个账户真正拥有管理员权限，也就在一定程度上减少了危险性。

五、杜绝Guest账户的入侵

Guest账户即所谓的来宾账户，它可以访问计算机，但受到限制。不幸的是，Guest也为黑客入侵打开了方便之门！网上有很多文章中都介绍过如何利用Guest用户得到管理员权限的 *** ，所以要杜绝基于Guest账户的系统入侵。

禁用或彻底删除Guest账户是更好的办法，但在某些必须使用到Guest账户的情况下，就需要通过其它途径来做好防御工作了。首先要给Guest设一个强壮的密码，然后详细设置Guest账户对物理路径的访问权限。举例来说，如果你要防止Guest用户可以访问tool文件夹，可以右击该文件夹，在弹出菜单中选择“安全”标签，从中可看到可以访问此文件夹的所有用户。删除管理员之外的所有用户即可。或者在权限中为相应的用户设定权限，比方说只能“列出文件夹目录”和“读取”等，这样就安全多了。

六、安装必要的安全软件

我们还应在电脑中安装并使用必要的防黑软件，杀毒软件和 防火墙 都是必备的。在上网时打开它们，这样即便有黑客进攻我们的安全也是有保证的。

七、防范木马程序

木马程序会窃取所植入电脑中的有用信息，因此我们也要防止被黑客植入木马程序，常用的办法有：

● 在下载文件时先放到自己新建的文件夹里，再用杀毒软件来检测，起到提前预防的作用。

● 在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”选项里看是否有不明的运行项目，如果有，删除即可。将注册表里

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

下的所有以“Run”为前缀的可疑程序全部删除即可。

八、不要回陌生人的邮件

有些黑客可能会冒充某些正规网站的名义，然后编个冠冕堂皇的理由寄一封信给你要求你输入上网的用户名称与密码，如果按下“确定”，你的账号和密码就进了黑客的邮箱。所以不要随便回陌生人的邮件，即使他说得再动听再诱人也不上当。

九、做好IE的安全设置

ActiveX控件和 Applets有较强的功能，但也存在被人利用的隐患，网页中的恶意代码往往就是利用这些控件编写的小程序，只要打开网页就会被运行。所以要避免恶意网页的攻击只有禁止这些恶意代码的运行。IE对此提供了多种选择，具体设置步骤是：“工具”→“Internet选项”→“安全”→“自定义级别”，建议您将ActiveX控件与相关选项禁用。谨慎些总没有错！ 另外，在IE的安全性设定中我们只能设定Internet、本地Intranet、受信任的站点、受限制的站点。不过，微软在这里隐藏了“我的电脑”的安全性设定，通过修改注册表把该选项打开，可以使我们在对待ActiveX控件和 Applets时有更多的选择，并对本地电脑安全产生更大的影响。

下面是具体的 *** ：打开“开始”菜单中的“运行”，在弹出的“运行”对话框中输入Regedit.exe，打开注册表编辑器，点击前面的“+”号顺次展开到：

HKEY_CURRE-NT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0

在右边窗口中找到DWORD值“Flags”，默认键值为十六进制的21(十进制33)，双击“Flags”，在弹出的对话框中将它的键值改为“1”即可，关闭注册表编辑器。无需重新启动电脑，重新打开IE，再次点击“工具→Internet选项→安全”标签，你就会看到多了一个“我的电脑”图标，在这里你可以设定它的安全等级。将它的安全等级设定高些，这样的防范更严密。

最后建议给自己的系统打上补丁， 微软那些补丁还是很有用的。