间谍软件是否堵塞了你的防火墙

来源:阿榕在线

如果你的网络连接经常时断时续，那么，本文将帮助你找到问题的症结。看看如何检查你的防火墙是否被间谍软件所感染。 

　　企业经常请我帮忙诊断和解决因特网方面的问题。经过一些检查以后，我常常发现这些问题实际上并非真的是因特网安全方面的问题。因为如今公司的网络都非常复杂，并且一个问题可以在很多地方出现，因此可以很容易找到网络问题的真正原因：不断增加的网络复杂性。 

　　在这个月的早些时候，一个定期向我咨询问题的医院给我打电话让我给他们一些援助。因为我曾经在那里做过一些其他的项目，因此我对他们的网络配置和设备已经非常熟悉。 

　　该家医院使用的是Check Point的FireWall-1防火墙平台，这是一个模块化的防火墙平台。这个防火墙依赖于网络，有时候可以按照你的需求给网络以合适的防护，但是有时候可能会矫枉过正。

　　该医院同时还使用了Websense Enterprise，这是一个HTTP内容过滤系统，用于监控和限制相应的网站内容。Websense使用UFP(URL Filtering Protocol )与Firewall-1(HTTP安全服务器)的HTTP代理交互。

　　在出现问题几周之后，医院打电话让我帮助他们解决一个让他们感到非常沮丧的计算机问题：他们的网络出现时断时续的故障。在正常工作时间(但并非一直这样)网络可能无法正常工作。有时候即使是访问不通过Firewall-1代理的内部网站时也会出现这种问题。

　　一开始，问题的错误描述看起来好像是DNS故障，但是事实上并不是如此。更详细的描述让我们认为是Firewall-1 HTTP代理的故障。

　　在审查了日志文件之后，我们发现有一个特定的网站总是重复的出现在日志文件中，而Websense一直在拒绝访问该网站。但是由于某些原因，它也会很随机的变成一个合法的URL--有时候甚至不会出现在日志文件中。

　　我们最后发现：Websense阻拦的URL是间谍软件程序传送信息的证据。从早晨7点半开始，这个程序整天都在运行，并且其他的工作站在日志中也显示了相似的信息。 

　　经过更为深入的调查后，我们断定是一个叫做Wild Tangent Update的程序负责所有的日志入口。Wild Tangent Updater试图向外传递有用的信息，但是没有成功，因为Firewall-1要求所有向外发送的HTTP请求都必须经过认证。 

　　Firewall-1和Websense在这方面都尽到了自己的职责。但是为什么他们还阻拦了合法的网站呢？

　　所有使用TCP进行连接的网络设备在他们的通信能力方面存在着一定的局限性。TCP是一个基于连接的通信协议，它使用套接字(socket)进行通信。 

　　Checkpoint Firewall-1采用多个分离的、使用TCP连接的代理服务器来处理内网和因特网之间往来通信。同时Firewall-1还使用TCP与Websense之间进行通信以判断是否让这个URL进出。 

　　我怀疑Wild Tangent Updater是造成Firewall-1或者Websense耗尽TCP套接字的原因，所以在完成通信时他们不会马上消失。 

　　看起来我的理论能够很好的解释这些问题，在Google上进行了一次快速搜索并且访问了phoneboy.com网站后，我认为我的理论是正确的。所以我增加了Firewall-1和Websense的套接字限制数量，最后解决了问题。 

　　无论问题是由Wild Tangent Updater造成的还是其他的突如其来的原因造成的，但是仍然有大量的防火墙系统可能存在这种类型的问题。如果你有类似的问题，请先检查你的防火墙：可能是间谍软件堵塞了你的防火墙。