更改主机_HOST_文件引发的思考.pdfVIP

中国计算机报/2008 年/6 月/16 日/第B07 版 网络管理 更改主机(HOST)文件引发的思考 ——防火墙URL 过滤的无奈 吕跃 近日，公司的部分用户反映无论访问百度还是谷歌结果都被连接到一个垃圾网站。经过现场 查看，我们发现网络连接及DNS 配置都没有问题，根据经验判断应该是系统目录下的主机（HOST ） 文件出了问题。打开该文件，果然发现其中添加了两条记录： 202.*.*.* 202.*.*.* 一目了然，原来是HOST 文件被恶意更改，将百度与谷歌域名强行与该恶意网站 IP 地址对 应，从而导致用户访问百度、谷歌时被连接至该网站。 显然，这次的HOST 文件的修改是一种被动行为（首先感染病毒，然后病毒更改文件内容）， 并非用户的主观意愿。但如果是用户主动更改 HOST 文件记录，那是否会对公司防火墙定义的 URL 过滤规则形成一种挑战呢？ HOST 文件 我们先来了解一下什么是 HOST 文件。在 Windows2000/XP 系统中，HOST 文件位于 C:\Winnt\System32\Drivers\Etc 目录。该文件其实是一个纯文本的文件，用普通的文本编辑软件（如 记事本等）都能打开，它记录主机名与IP 地址的映射关系。用户在通过主机名（域名）访问网络 资源时，系统首先会查找本机HOST 文件内是否有该主机名（域名）记录，如果有该记录，就调 用该记录的IP 地址映射；如果没有，再向DNS 服务器提出域名解析请求。该文件最大的作用就 是加快域名解析。同时，很多网管以及安全软件（如360 安全卫士等）也把这个文件作为屏蔽恶 意网站的工具，也就是将恶意网站的域名与 做成映射。 防火墙URL 过滤 除了HOST 文件，我们还需要了解URL 过滤。目前市场上大部分防火墙都具有URL 过滤功 能，在某种程度上也解决了应用层访问控制的问题，使网管人员可以更灵活地运用相关策略对企 业网络进行更好的安全维护。 所谓URL 过滤，就是防火墙通过检测用户发送的http 请求数据包中的HOST 字段是否与URL 过滤规则中定义的 URL 相符，并按照过滤规则进行处理。处理的方式一般有两种：规则内全部 禁止，其余全部允许；规则内允许访问，其余全部禁止。 只有当判断用户的连接请求是http 请求时，防火墙才会检测HOST 字段。防火墙判断用户的 连接请求为http 请求的原则一般是TCP 目的端口为80 端口。 前文提到，URL 过滤一般有两种处理方式：URL 列表内禁止，其余全部允许；URL 列表内 允许，其余全部禁止。对于前者，人们可以可以利用 nslookup 等工具首先得到被禁止网站的 IP 地址，然后通过直接访问IP 地址绕开URL 过滤规则的限制。而后者，由于允许访问的网站数量 有限，即使想通过IP 地址访问不被允许的网站也无法得逞。很多网管认为这种方式比较有效。 但是通过这次恶意更改HOST 文件事故，笔者就有了文章开头提到的疑问，为了通过验证得 到答案，笔者做了如下尝试。 疑问见证 首先，在防火墙（型号：天融信NFW4000 ）中规定主机A 只能访问 第1 页 共3 页 （大连市气象局）。而主机A 用户尝试访问 （大连市气象局）网站失败。主 机A 用户通过Nslookup 等工具得知 的IP 地址为8 ，然后该用 户打开C ：\WINDOWS\system32\drivers\etc \hosts （操作系统安装在C 盘）文件，并添加记录行：8 。 该用户再次访问 ，结果打开的是大连公积金管理中心的网站，对其进行抓 包。从抓包截图中，我们清楚地看到，目的IP 为 的IP 地址是8 ， 但是 HOST 字段却是 ，而抓包工具获取的数据其实就是防火墙获取的数据。很 显然，防火墙的URL 过滤规则起作用了，但是被利用了。 在对以上结果惊叹之余，我们不妨冷静地思考一下：为什么防火墙的 URL