2周多没有上网，互联网的大拿们又有很多动作和故事。而这些故事的焦点都和360有关，恰好都和”安全”有关。下面我们来看看相关新闻事件。

新闻事件一: 360再屠百度工具条，百度诉360不正当竞争索赔1000万

点评一： 用恶意插件来说事是360的起家之道，周鸿t在一手造出了3721这个流氓软件后,又亲手绞杀了这个”恶意插件”。360当年给出的最有杀伤力的一句解释是:”这是广大网民的选择”。我似乎看到了周鸿t扛着一面大旗，上书”替天行道”四个大字！在360安全卫士的历史版本中，曾经把恶意插件称为”恶评插件“。

“恶评”这个词是很有互联网气质和民主精神的，“相信群众的眼睛是雪亮的”看似毫无破绽，完美无缺的理由。但实际上从技术操作和实现的角度有一个很重要的漏洞：诱导！民意是可以被诱导的！就拿360安全卫士对插件的评分投票机制来说，一款软件的第一票、前十票是谁投的呢？如果前十票都投的是“差评”，再加上360安全卫士的循循善诱式的安装提醒、体检提醒“此类插件具有恶意行为，可能会危害您的电脑，建议您立即清理”，有多少小白会继续投“差评”？我们光且不论投票数据的真实性。我们都知道，软件是人开发出来的，软件是可以升级的。人可以知错能改，软件通过升级一样是可以亡羊补牢的。但360安全卫士则不会给“恶评插件”这样的机会，只要你被抓住一次把柄，那你将被一辈子贴上”恶意插件”的标签！后果也就可想而知了。

新闻事件二: 360公司发声明回应百度起诉

点评二：360公司的回应可谓是精心设计，模板式的回复。先站在网民的角度告诉所有人，360安全卫士的做法是在保护大家的经济利益。在获得了大家的认可之后，给百度当头一棒：“你不是安全公司”，换句话说就是：“你不行就别瞎嚷嚷”。再有，就是搬出“国际惯例”，其实还是在给百度难看，“你的搜索技术没有跟上国际水平”。最后，又用上了360的看家本领：“网友投票决定的”，和我360无关！整个声明的主题就只有一个，不是我360公司在整你百度，谁让你安全不行呢。我360代表广大网友，消灭你！

其实我们坐下来，细细品位整个事件的经过。从安全研究人员的角度来说，百度在整个事件中之所以处于被动地位，归根结底还是自己的安全技术不过关，安全能力被人质疑，安全水平没有达到国际水准。而360恰好就是一个善于“发现漏洞，定位漏洞，利用漏洞”的公司。在我看来，百度如果要起诉360，反击360。除了诉诸法律之外，更重要的是拿出有效的反例，来证明360所屏蔽的百度搜索结果，是误报！从目前事件的发展来看，百度是拿不出这样的误报实例，也就只能从法律漏洞的角度来和360算账了。

360的发展历史和模式给了广大软件厂商，特别是互联网软件厂商敲响了一个警钟。在商业利益、业务模式、用户体验和安全保护面前，安全保护看上去是最不起眼，也是最偏离企业盈利的主线的。但随着广大互联网用户、计算机用户、电子设备用户的安全意识的增强，甚至在某种意义上来说是安全偏执、敏感的趋势下，以安全的名义来说事还真让人无法反驳！安全应该成为软件厂商的产品的基本特性之一，而不要想着用安全来做增值服务。因为安全的本质不是增值，而是减少、避免或挽回风险带来的损失。软件产品中有安全特性并不一定会给软件本身增加盈利增长点，但软件产品中没有安全特性一定会给软件本身增加一个失败风险点。再联系到最近的Intel收购Mcafee事件，让我们看到了国际IT巨头对于安全的态度正在发生着积极、正确的改变。安全的本质价值正在被发现和挖掘，安全产业的新的商业模式正在酝酿和发展。如何以安全的名义来说事、做事和成事是一个值得深入思考的话题。

Firefox版本：Mozilla Firefox 3.6.8

测试网址：http://ubublogger.wordpress.com/2010/06/28/new-version-of-libnotify-for-mozilla-0-2-stable/

bug说明：网页中的扩展安装的真实地址是：http://launchpad.net/libnotify-mozilla/0.2/0.2-stable/+download/libnotify-mozilla-0.2.xpi

但是firefox的扩展安装警告提醒用户要安装的扩展来自wordpress.com！这个乌龙有点鸡肋，但认真搞搞也许能被用于鸡翅钓鱼。

依赖的Perl第三方库在Ubuntu上安装：

• libnet-pcap-perl
• libnet-dns-perl

如果还需要其他Perl第三方库，可以通过apt-file（Ubuntu Lucid默认没有安装）来检索所需要的pm文件在哪个deb包。

例如：

$ apt-file search Net::DNS::Packet
 libnet-dns-perl: /usr/share/man/man3/Net::DNS::Packet.3pm.gz

$ apt-file search Net::Pcap
 libnet-pcap-perl: /usr/share/man/man3/Net::Pcap.3pm.gz

Wireshark虽然也可以抓包分析，但是用可编程的脚本语言来辅助分析可以省去很多肉眼比对的工作。

下面直接上代码：

#!/usr/bin/perl -w
#
# Copyright 2003, Brian Hatch, released under the GPL
#
# watch_dns:
#   A program to watch for inbound DNS queries, and print the
#   source, destination, and requested domain name of the queries.
#
# You'll need to fill this in with your actual IP address
# (If we didn't restrict the destination IP address, we'd
# catch all our outbound queries too.)
#
# Original Downloaded from:
# http://www.hackinglinuxexposed.com/articles/20030730.html
#
# Modified by huangwei.me 2010-08-02
 
# 本机IP地址定义
my $MY_IP_ADDRESS='10.2.1.83';
# 非特权权限的uid/gid，可以用id命令查看当前用户的uid和gid
my $UNPRIV="1001";
# 自行指定监听网卡,留空将使用系统默认探测到的网卡
my $MY_DEV="vmnet8";
#
# No changes required hereafter
#
use Net::Pcap;
use Net::DNS::RR;
use FileHandle;
use English;  # $UID等价于$<, $EUID等价于$>
use strict;
 
STDOUT->autoflush(1);
 
while ( 1 ) {
 
	my $pid = fork();
	if ( ! defined $pid ) { die "Unable to fork.  Yikes." };
 
	if ( $pid ) {
		# Parent process (running as root) will wait for
		# child.  If child exits, we'll create another one.
		wait();
		sleep(1);  # To keep us from respawning too fast if necessary.
	} else {
		print "Child starting\n";
 
		# Child process will do actual sniffing.
		# First, create our packet capturing device
		my($pcap_t) = create_pcap();
 
		unless ( $pcap_t ) {
			die "Unable to create pcap";
		}
 
		# Let's stop running as root.  Since we already
		# have our pcap descriptor, we can still use it.
		$EGID="$UNPRIV $UNPRIV";	# setgid and setgroups()
		$GID=$UNPRIV;
		$UID=$UNPRIV; $EUID=$UNPRIV;
 
		# Capture packets forever.
		Net::Pcap::loop($pcap_t, -1, \&process_pkt, 0);
 
		# Technically, we shouldn't get here since the loop
		# is infinite (-1), but just in case, close and exit.
		Net::Pcap::close($pcap_t);
		exit 1;
	}
}
 
sub create_pcap {
	my $promisc = 1;   # enter promiscuous mode or not.
	my $snaplen = 1500; # the maximum number of bytes to capture from each packet
 
	my $to_ms = 0;			# timeout
	my $opt=1;                          # Sure, optimisation is good...
	my($err,$net,$mask,$dev,$filter_t);
 
	my $filter = "udp dst port 53 or udp src port 53"; # pcap capture filter
 
	# Look up an appropriate device (eth0 usually)
	$dev = $MY_DEV || Net::Pcap::lookupdev(\$err);
	print "sniffing on ", $dev, "\n";
	$dev or die "Net::Pcap::lookupdev failed.  Error was $err";
 
	if ( (Net::Pcap::lookupnet($dev, \$net, \$mask, \$err) ) == -1 ) {
		die "Net::Pcap::lookupnet failed.  Error was $err";
	}
 
	# Actually open up our descriptor
	my $pcap_t = Net::Pcap::open_live($dev, $snaplen, $promisc, $to_ms, \$err);
	$pcap_t || die "Can't create packet descriptor.  Error was $err";
 
	if ( Net::Pcap::compile($pcap_t, \$filter_t, $filter, $opt, $net) == -1 ) {
		die "Unable to compile filter string '$filter'\n";
	}
 
	# Make sure our sniffer only captures those bytes we want in
	# our filter.
	Net::Pcap::setfilter($pcap_t, $filter_t);
 
	# Return our pcap descriptor
	$pcap_t;
}
 
# Routine to process the packet -- called by Net::Pcap::loop()
# every time an appropriate packet is snagged.
sub process_pkt {
	my($user_data, $hdr, $pkt) = @_;
 
	my($src_ip) = 26;           # start of the source IP in the packet
	my($dst_ip) = 30;           # start of the dest IP in the packet
	my($udp) = 42;              # start of UDP pkt payload
	my($domain_start) = 55;     # start of the domain in the packet
	my($data);
 
	# extract the source IP addr into dotted quad form.
	my($source) = sprintf("%d.%d.%d.%d",
		ord( substr($pkt, $src_ip, 1) ),
		ord( substr($pkt, $src_ip+1, 1) ),
		ord( substr($pkt, $src_ip+2, 1) ),
		ord( substr($pkt, $src_ip+3, 1) ));
 
	# extract the destination IP addr into dotted quad form.
	my($destination) = sprintf("%d.%d.%d.%d",
		ord( substr($pkt, $dst_ip, 1) ),
		ord( substr($pkt, $dst_ip+1, 1) ),
		ord( substr($pkt, $dst_ip+2, 1) ),
		ord( substr($pkt, $dst_ip+3, 1) ));
 
	$data = substr($pkt, $domain_start);
 
	$data =~ s/0.*//g;             # strip off everything after the domain
	$data =~ s/[^-a-zA-Z0-9]/./g;    # change the domain component separators
	# back int to dots.
 
	print "$source -> $destination: $data\n" if ( $source and $destination and $data);
	dump_dns(parse_dns($pkt, $udp));
}
 
# dump dns query & response in details
sub dump_dns {
	my $dns = $_;
	$dns->print;
 
}
 
sub parse_dns {
	my($pkt, $udp) = @_;
	my $udp_payload = substr($pkt, $udp);
	my $dns = Net::DNS::Packet->new(\$udp_payload);
	return $dns;
}

今天车东大侠在GReader上分享了一篇文章《为什么要用公钥/私钥而不是密码去做SSH身份验证》，联系到最近越来越恶劣的网络环境，我越发觉得有必要把我的一些SSH安全方法分享一下，以降低SSH通道被恶意破坏的概率，提高攻击者的攻击代价。

0. 系统自动更新

这个世界上没有什么漏洞会比一个系统级的远程溢出漏洞更可怕的了！虽然此类漏洞如今是越来越少被公开，越来越少被发现。但本着不怕一万，就怕万一的安全指导原则。小概率、高危险的漏洞只能依靠及时的系统更新来帮助我们修复了。

除此之外，应用软件级别的漏洞也可以通过系统自动更新来杜绝。

以下的安全加固主要是从应用程序配置的角度来谈SSH的安全加固，配置既包括SSH本身的配置参数，也包括使用第三方软件来对SSH进行额外的安全配置。

1. 更换默认的SSH端口

有句大俗话，叫”不怕贼偷就怕贼惦记”。对于信息安全来说，就是“只要给我足够的时间，任何系统都会被发现漏洞，并被攻破”。如果使用默认的22端口来使用SSH，其主要不安全因素体现在2点：

(1) 互联网上每时每刻都有人在做端口扫描，在nmap的默认扫描设置里，22端口作为常用端口会在默认的扫描选项条件下被用于端口扫描、连接尝试、操作系统探测等。所以，如果你使用默认的22端口，就是等于告诉“贼”：“来吧，我在用SSH服务。试试看暴力破解我的口令？”

(2) 有一个英文单词叫censorship，有一种技术叫DPI，有一种设备叫IDS。造句就是：censorship会使用基于DPI技术的IDS来偷窥你！如果你使用默认的22端口，那么IDS会非常开心，因为这等于是帮助它节省了DPI的开销！

2. sshd设置中的不安全因素

# 建议更换默认端口
Port 22
# 建议只监听需要的端口，默认是监听所有可用的本机IP地址
#ListenAddress ::
#ListenAddress 0.0.0.0
# 建议只使用SSH协议版本2
Protocol 2
# 建议使用更长的服务器密钥长度，如2048
ServerKeyBits 768
# Authentication:
# 默认登录超时时间一般为120秒，建议缩短该时间到30
LoginGraceTime 120
# 建议禁止Root用户直接登录，将yes改为no
PermitRootLogin yes
# 如果你不需要基于口令的登录方式，可以将yes改为no
#PasswordAuthentication yes

3. 使用第三方安全加固工具

目前来说，针对SSH协议的最轻便的攻击手段就是暴力口令破解。因此，使用第三方安全加固工具的主要目的也就是对抗暴力破解攻击。现有的第三方SSH暴力破解对抗工具从技术实现手段来说，主要有两大类。分别是基于日志审计触发机制和基于PAM的插件机制。基于日志审计触发机制的代表工具分别是fail2ban和denyhosts，但这两款工具都曾经暴露出一些漏洞，其中主要的漏洞原理都是日志注入技术。相比较而言，pam_abl是更为安全的一种防止暴力破解口令攻击的工具。

最后推荐Google “ssh security best practice“

第一条结果就非常值得仔细阅读：http://www.cyberciti.biz/tips/linux-unix-bsd-openssh-server-best-practices.html

参考资料

1. http://www.rackaid.com/resources/how-to-harden-or-secure-ssh-for-improved-security/
2. http://www.rackaid.com/resources/rise-in-ssh-brute-force-attacks/
3. http://www.ossec.net/main/attacking-log-analysis-tools

最早了解到这个漏洞的话题是7月2号在securityfocus的邮件列表里看到有人问SSLv2的漏洞攻击demo，直到后来在大风的blog里看到了这篇《谁动了我的SSL》，才意识到这个漏洞比以往的几次SSL协议漏洞攻击更贴近实用，且真正撼动了SSLv2的协议安全性根基！

漏洞原理我就不多说了，正好今天在研究一个东西的时候查到了其他的一些SSL漏洞攻击的资料，索性一起整理打包到这篇blog里，权当存档一下。

剔除证书

Sniffing SSL Traffic using SSLStrip

Moxie MarlinSpike在Blackhat 09上演示了一种攻击SSL安全性的方法：把页面中的所有https://链接的URL替换成http://，然后通过中间人攻击转发服务器和客户端之间的通信数据。其关键要点是攻击者和客户端之间使用http明文协议，而攻击者和服务器之间使用https加密协议，因而攻击者就可以窃听到所有的客户端发送的数据。Moxie MarlinSpike的报告视频可以看这里，PPT在slideshare上也有。

其实在具体的攻击过程中还用到了一些看似不起眼的猥琐小技巧，比如favicon.ico替换、利用idn合法字符伪造钓鱼URL（例如：https://www.gmail.com/accounts/ServiceLogin?!f.ijjk.cn会被域名解析为：www.google.xn--comaccountsservicelogin-5j9pia.f.ijjk.cn）等等。

SSLstrip Tutorial: http://securitytube.net/SSLstrip-Tutorial-video.aspx

替换证书

利用的是CA注册机制的流程漏洞，小资金投入即可实现伪造证书的合法化。主要可以用于钓鱼攻击。当然了，如果你控制了代理服务器的话，则可以完美的实现中间人攻击。

http://wuhongsheng.com/it/2009/09/ssl-hijack/

强制减弱SSL加密算法强度

详细见邮件列表里的讨论：http://www.securityfocus.com/archive/101/512221/30/0/threaded。和基本中间人攻击法相比，我想主要优势在于客户端用户更不容易察觉到被人偷窥和做了手脚！

无线环境下的中间人攻击

通过域名污染、ARP污染的方式替换服务器证书。

http://www.slideshare.net/SecurityTube.Net/ssl-mitm-attack-over-wireless

btw: securitytube和slideshare真是好地方，各种教学、demo视频和PPT让人留连忘返。

摘录自：http://www.lunarforums.com/vps_hosting_at_lunarpages/useful_linux_scripts_lsof_ps_fuser_netstat-t41474.0.html

# netstat -anp |grep ‘tcp\|udp’ | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n

 1 123.122.9.23
 1 64.233.169.101
 1 72.14.204.83
 2 72.14.204.17
 4 210.192.100.178
 6 0.0.0.0

# netstat -ntu | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -nr

5 210.192.100.178
4 72.14.204.17
3 64.233.169.132
2 72.14.204.99
2 64.233.169.118
1 64.233.169.101
1 123.122.9.23

# netstat -ntu | grep -v TIME_WAIT | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -nr

4 72.14.204.17
3 210.192.100.178
1 64.233.169.101
1 123.122.9.23

# netstat -an | grep :80 | awk ‘{print $5}’ | cut -f1 -d”:” | sort | uniq -c | sort -n

1 64.233.169.118
1 74.125.53.101
2 64.233.169.132
3 72.14.204.99
7 210.192.100.178

一直在关注云计算的一些安全方面的应用，也一直在思考如何把云计算“概念”转换为实际可产出、可应用的产品、服务、解决方案？

在这里，我罗列一些我所看到、想到、见到过的一些我个人认为还比较有前途、有意义的云安全服务，分享一下。

1. Web安全

挂马检测似乎是最基本也相对是最容易做的一个Web安全服务了，国内目前似乎在基于SaaS的漏扫上还没有完全放开来做，大家似乎还习惯于开发基于设备、桌面软件，卖license的方式去提供漏扫服务，我目前看到的只有国外的GameSec一家是较为完整的把漏扫产品搬到Cloud里去的，国内估计只有知道创宇是最接近这个目标的。

这方面的典型代表应用服务提供商我列几个：

(1) 知道创宇

网址：http://www.scanv.com

功能列表：服务基本信息探测、恶意代码检测、SQL注入检测、XSS检测、ICP备案检测、谷歌屏蔽通知

(2) 绿盟

网址：http://www.nsfocus.com/2_services/2_3.html

功能列表：漏洞扫描、挂马检测、网页敏感内容检测、网页篡改检测、网站平稳度检测

(3) 360网站挂马监测

网址：http://jc.360.cn/

功能列表：挂马监测

(4)  超级巡警

网址：http://a.sucop.com/

功能列表：URL安全扫描（按需、实时）

(5) GameSec

网址：http://www.gamasec.com/

功能列表：功能较为完整的Web应用程序漏扫，见扫描样例报告：http://www.gamasec.com/Example_Report/Index.html

2.数据安全

这方面了解的不多，不过一些面向个人用户的数据同步、备份、分享服务已经挺多的了，比如Dropbox、微软的Live Mesh等等，面向企业级的数据安全Cloud在哪儿呢？慢慢了解吧。

3.虚拟化应用程序

这个名字起的比较怪，因为我也没有想好到底应该称这一类应用，小白软件和云端算是其中的两个代表吧，云端的历史更久一些，小白软件起步晚一些。这一类安全应用主要瞄准的就是对软件安装、卸载比较“小白”，不喜欢重装软件、喜欢绿色软件的用户。目前来说，这一类云安全还需要太多的人力投入，重新打包各类软件，重新发布，重新设计验证在“云”环境下的软件运行。我个人不太看好这类应用的“钱”景，不过对于云软件的提供者来说，倒是能收集很多用户的隐私，“霸占”用户桌面。

一年一度的CWE TOP 25又更新了，今年的CWE TOP 25进行了重大改进，抛弃了2009版中的按照“弱点”分组、无排名先后顺序的组织方式，引入了新的“票选”机制，引入排名，去除了大量过于抽象的CWE编目，强调可操作性和安全改进建议的一致性、细节和可理解性等。

2010版CWE TOP 25排名表格

Rank Score  CWE-ID      Name
[1]      346    CWE-79      Failure to Preserve Web Page Structure (‘Cross-site Scripting’)
[2]      330    CWE-89      Improper Sanitization of Special Elements used in an SQL Command (‘SQL Injection’)
[3]      273    CWE-120    Buffer Copy without Checking Size of Input (‘Classic Buffer Overflow’)
[4]      261    CWE-352    Cross-Site Request Forgery (CSRF)
[5]      219    CWE-285    Improper Access Control (Authorization)
[6]      202    CWE-807    Reliance on Untrusted Inputs in a Security Decision
[7]      197    CWE-22      Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’)
[8]      194    CWE-434    Unrestricted Upload of File with Dangerous Type
[9]      188    CWE-78      Improper Sanitization of Special Elements used in an OS Command (‘OS Command Injection’)
[10]    188    CWE-311    Missing Encryption of Sensitive Data
[11]    176    CWE-798    Use of Hard-coded Credentials
[12]    158    CWE-805    Buffer Access with Incorrect Length Value
[13]    157    CWE-98      Improper Control of Filename for Include/Require Statement in PHP Program (‘PHP File Inclusion’)
[14]    156    CWE-129    Improper Validation of Array Index
[15]    155    CWE-754    Improper Check for Unusual or Exceptional Conditions
[16]    154    CWE-209    Information Exposure Through an Error Message
[17]    154    CWE-190    Integer Overflow or Wraparound
[18]    153    CWE-131    Incorrect Calculation of Buffer Size
[19]    147    CWE-306    Missing Authentication for Critical Function
[20]    146    CWE-494    Download of Code Without Integrity Check
[21]    145    CWE-732    Incorrect Permission Assignment for Critical Resource
[22]    145    CWE-770    Allocation of Resources Without Limits or Throttling
[23]    142    CWE-601    URL Redirection to Untrusted Site (‘Open Redirect’)
[24]    141    CWE-327    Use of a Broken or Risky Cryptographic Algorithm
[25]    138    CWE-362    Race Condition

2009版CWE TOP 25的思维导图

点击看大图

2010版CWE TOP 25相比2009版的主要改动

2009              2010
CWE-20       high-level root cause; now covered in Monster Mitigations
CWE-116     high-level root cause; now covered in Monster Mitigations
CWE-602     high-level root cause; now covered in Monster Mitigations
CWE-250     high-level root cause; now covered in Monster Mitigations
CWE-119     high-level class; replaced with lower-level CWE-120, CWE-129, CWE-131, and CWE-805
CWE-259     Replaced with higher-level CWE-798
CWE-73       high-level root cause; now covered in Monster Mitigations
CWE-642     high-level root cause; now covered in Monster Mitigations
CWE-94       high-level; CWE name and description also caused improper interpretation of the types of issues it intended to cover.
CWE-404     high-level; replaced by children CWE-772 and CWE-672
CWE-682     high-level; replaced by children CWE-131 and CWE-190
CWE-319     replaced with its parent, CWE-311

参考文献

[1]http://cwe.mitre.org/top25/pdf/2009_cwe_sans_top_25.pdf
[2]http://cwe.mitre.org/top25/archive/2010/2010_cwe_sans_top25.pdf

误区一：我的电脑安装了XX安全套装，勤打补丁，不上XX网站，绝对安全了吧？

分析：安全永远是相对的，安全永远是在和时间赛跑的，安全永远是对抗的。只要你的电脑上有很重要、有价值的信息，那么你的电脑就随时可能会被别人盯上。俗话说的好，“不怕贼偷，就怕贼惦记”。个人电脑除了需要安装安全防护软件，勤打补丁，提高安全意识之外。其实还有很重要的一点，那就是不要装13，装13遭人黑。一旦被hacker盯上你了，你就离被XX不远了。别以为杀软很nb，主防很可靠，补丁是一切。在hacker看来，只要手里有0 day，你就是裸的。事实证明，任何防护软件都是可以bypass的！

误区二：个人电脑也没什么重要资料，设置简单点口令就可以了吧？

错！Windows系统与其设置简单口令，还不如不设置口令！理由很简单，Windows XP默认的安全策略是“禁止空密码用户通过网络登录”和“使用空白密码的本地帐户只允许进行控制台登录”！并且，只要别人可以物理接触你的计算机，根本就不需要知道你的口令，也不需要破解。使用光盘引导、U盘引导都可以轻松清除或重置Windows XP用户的管理员口令！建议口令设置要尽可能长和复杂，并且养成定期更换口令的习惯。有条件的话，还可以使用双因素认证，如USB-KEY，Secure-ID等。

误区三：我同时安装了多款杀毒软件、主动防御软件，够“纵深防御”吧？

同一性质或功能的安全防护软件切记重复安装！可以在杀毒、主防、防火墙选型上采用不同厂家的产品，当然前提是相互之间兼容性良好。同一性质或功能的安全软件如果安装两个或更多厂家的产品，很有可能引发系统不稳定，甚至引入额外危险因素。

误区四：IE太危险了，我都是使用Firefox、Chrome等非IE浏览器上网的，不怕中毒了吧？

这个误区实在太常见了。说多了，很容易引起口水大战。其实，任何软件，只要具备实际功能，都不是bug-free的。而且随着软件规模的增加，软件功能的增多，bug的数量会随代码行数呈几何级增长！bug多了，漏洞也就少不了了。漏洞来了，危险就成为后果了！随着应用的普及，Firefox、Chrome的实际漏洞利用案例也在呈现逐年增长的情况。看看以下两张来自secunia.com的漏洞统计图吧。

图1：Firefox 3.0的漏洞统计数量（2003-2010）

图2：Firefox 3.0的漏洞利用方式（2003-2009）

误区五：我应该选择什么安全软件组合呢？什么杀毒软件最厉害？

这个问题没有标准答案。选型首先要看个人需求，系统资源占用率？误报率？漏报率？按照误区一的解答，其实不用太看重杀毒软件的查杀能力。当今的杀毒软件行业，其实各家之间各有特长。现在各家已经从过去的单纯产品技术水平的比拼转变为服务的比拼。谁的应急响应速度快，谁的技术支持到位、友好，都是产品选型的考虑因素。经常看到一些网友以所谓病毒样本包的查杀数量来评价杀毒软件的查杀能力，实在可笑。

总结：个人电脑的安全水平其实最终取决于使用者的安全意识和安全实践能力，再好的安全防护策略实施，都会被使用者的一次昏庸点击“允许”，无意识泄漏个人口令，主动下载安装被捆绑恶意软件的应用程序等等行为所击溃！

背景介绍

请各位Google这两个IP地址：61.132.255.212 和 61.132.221.146 以获得事实真相，我在此不作过多介绍。

现象描述

现象1：使用Firefox+NoScript浏览时会经常出现被拦截的脚本提示，点击NoScript提示来自“61.132.221.146”的脚本被禁止。

现象2：使用百度搜索时，会经常在搜索结果页的左上角出现浮动广告。查看页面源代码可知，百度的搜索结果页整个被作为一个frame页面包含在广告页面中，广告和百度原有页面代码分别成为框架页中的一个子页。广告页面代码会隔几秒后自动无刷新reload一次，清除子框架页中的广告代码，消除龌龊证据。

屏蔽方法

方法1：修改本机路由表。

注意，是修改路由表，不是hosts文件。因为现在的电信插广告已经不仅采用DNS劫持了。

Windows下永久修改路由表的命令行语句

route -p add 61.132.255.212 mask  255.255.255.255 127.0.0.1
route -p add 61.132.221.146 mask  255.255.255.255 127.0.0.1

方法2：修改ADSL猫的路由表。

推荐这种方法。可以一劳永逸，特别适用于上网终端不止一台计算机的情况。

我家所使用的电信提供的ADSL猫是比较老的型号，关于如何登录ADSL猫请见我之前的一篇文章。

依次点击“高级设定”–>”路由设定”–>”静态路由”，在右侧主窗口，点击“新增”按钮添加路由。

IP地址：要屏蔽访问的IP地址，如61.132.255.212
子网掩码：255.255.255.255
网关IP地址：127.0.0.1

修改好路由表一定记得保存，并且只有重启ADSL猫后设置才会生效！

补充说明

1. 上述方法中提到的IP地址是合肥电信用于插入广告所使用的主机IP地址，不同地区电信所使用的广告服务器IP地址肯定不相同，请自行修改。
2. 上述方法也可以用于屏蔽任何你想屏蔽的恶意主机地址。