設(shè)置kangle[ ]

Kangle考慮不同用戶(hù)的使用習(xí)慣，具有不同的設(shè)置方式。

先介紹兩種方式。

第一種：通過(guò)kangle提供web圖形化管理界面進(jìn)行設(shè)置。

打開(kāi)瀏覽器,在地址欄里面輸入：

http://kangle服務(wù)器的IP地址或者域名:3311/

如果是本機(jī)，在地址欄輸入：

http://localhost:3311/

登陸管理后臺(tái)進(jìn)行設(shè)置。

注：默認(rèn)用戶(hù)名：admin 初始密碼：kangle

第二種：通過(guò)kangle的配置文件進(jìn)行設(shè)置。

• 若安裝kangle時(shí)，按kangle默認(rèn)路徑安裝，三大配置文件放在：C:\Program Files\Bangteng\Kangle\etc 下。
• 若安裝kangle時(shí)，更改了安裝路徑，則三大配置文件放在更改路徑的etc目錄下。

訪(fǎng)問(wèn)控制基本概念說(shuō)明[ ]

kangle的訪(fǎng)問(wèn)控制非常強(qiáng)大、靈活，操作起來(lái)卻非常簡(jiǎn)單。有iptables經(jīng)驗(yàn)的用戶(hù)更不費(fèi)吹灰之力便可理解，因?yàn)閗angle的訪(fǎng)問(wèn)控制非常像iptables。

訪(fǎng)問(wèn)控制分為請(qǐng)求控制(request access)和回應(yīng)控制(response access)。請(qǐng)求控制在最前面，用戶(hù)發(fā)送請(qǐng)求過(guò)來(lái)時(shí)即進(jìn)行請(qǐng)求控制?；貞?yīng)控制發(fā)生在數(shù)據(jù)發(fā)送給用戶(hù)之前，即進(jìn)行回應(yīng)控制。

每個(gè)控制(access)由一張或多張表(table)加一個(gè)默認(rèn)目標(biāo)組成，其中BEGIN表是系統(tǒng)內(nèi)建表，所有控制從BEGIN開(kāi)始。每張表(table)由多條規(guī)則鏈(chain)組成，在一張表中控制按順序從上到下對(duì)規(guī)則鏈(chain)進(jìn)行匹配。規(guī)則鏈(chain)由一個(gè)目標(biāo)(action)和任意個(gè)匹配模塊(acl)和任意個(gè)標(biāo)記模塊(mark)組成。

kangle如果發(fā)現(xiàn)用戶(hù)的請(qǐng)求匹配了一個(gè)規(guī)則鏈(chain)中的所有匹配模塊，則進(jìn)入標(biāo)記模塊對(duì)請(qǐng)求做簡(jiǎn)單的處理，之后就按該條規(guī)則鏈指定的目標(biāo)處理。

• 如果目標(biāo)是“繼續(xù)(continue)”，則還要進(jìn)行下一條規(guī)則鏈處理。
• 如果目標(biāo)是“默認(rèn)”，則控制按默認(rèn)目標(biāo)處理（請(qǐng)求控制默認(rèn)目標(biāo)有拒絕和虛擬主機(jī)。回應(yīng)控制默認(rèn)目標(biāo)有拒絕和接受）。
• 如果目標(biāo)是“拒絕”，則將對(duì)用戶(hù)的請(qǐng)求拒絕并發(fā)送錯(cuò)誤信息給用戶(hù)，之后中斷連接。
• 如果目標(biāo)是“虛擬主機(jī)”，則將對(duì)用戶(hù)請(qǐng)求使用虛擬主機(jī)處理。
• 如果目標(biāo)是“接受”，則將數(shù)據(jù)發(fā)送給用戶(hù)。

請(qǐng)求控制和回應(yīng)控制擁有各自的匹配模塊和標(biāo)記模塊

設(shè)置每IP連數(shù)據(jù)[ ]

在“配置 —> 資源限制” 內(nèi)進(jìn)行設(shè)置，如下圖：

內(nèi)容過(guò)濾[ ]

對(duì)于互聯(lián)網(wǎng)信息的監(jiān)控過(guò)濾不可能用人力去管理、控制，工作量太大，太費(fèi)時(shí)并且不能及時(shí)發(fā)現(xiàn)。Kangle內(nèi)容過(guò)濾功能實(shí)現(xiàn)人性化、自動(dòng)化的管理。

如何進(jìn)行過(guò)濾內(nèi)容操作，舉例說(shuō)明（過(guò)濾灰鴿子）：

先介紹兩個(gè)功能模塊:

• content_length

1. 說(shuō)明：配置內(nèi)容大小
2. 作用域：回應(yīng)控制

• content

1. 說(shuō)明：支持使用正則表達(dá)式過(guò)濾內(nèi)容
2. 作用域：回應(yīng)控制

灰鴿子病毒的運(yùn)行原理簡(jiǎn)介:灰鴿子木馬分兩部分：客戶(hù)端和服務(wù)端。黑客操縱著客戶(hù)端，利用客戶(hù)端配置生成一個(gè)服務(wù)端程序。服務(wù)端文件的名字默認(rèn)為G_Server.exe，然后黑客通過(guò)各種渠道傳播這個(gè)木馬。種木馬的手段有很多，比如，黑客可以將它與一張圖片綁定，然后假冒成一個(gè)羞澀的MM通過(guò)QQ把木馬傳給你，誘騙你運(yùn)行；也可以建立一個(gè)個(gè)人網(wǎng)頁(yè)，誘騙你點(diǎn)擊，利用IE漏洞把木馬下載到你的機(jī)器上并運(yùn)行；還可以將文件上傳到某個(gè)軟件下載站點(diǎn)，冒充成一個(gè)有趣的軟件誘騙用戶(hù)下載

由于灰鴿子病毒變種繁多，其文件名也很多變，近來(lái)發(fā)現(xiàn)的以(Backdoor.GPigeon.sgr)類(lèi)型居多，不易對(duì)付，在被感染的系統(tǒng)%Windows%目錄下生成三個(gè)病毒文件，分別是 G_Server.exe，G_Server.dll，G_Server_Hook.dll。

G_Server.exe運(yùn)行后將自己拷貝到Windows目錄下，然后再?gòu)捏w內(nèi)釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個(gè)文件相互配合組成了灰鴿子服務(wù)端，有些灰鴿子會(huì)多釋放出一個(gè)名為G_ServerKey.dll的文件用來(lái)記錄鍵盤(pán)操作。

同時(shí)注意，G_Server.exe這個(gè)名稱(chēng)并不固定，它是可以定制的，比如當(dāng)定制服務(wù)端文件名為A.exe時(shí)，生成的文件就是A.exe、A.dll和A_Hook.dll。

Windows目錄下的G_Server.exe文件將自己注冊(cè)成服務(wù)（9X系統(tǒng)寫(xiě)注冊(cè)表啟動(dòng)項(xiàng)），每次開(kāi)機(jī)都能自動(dòng)運(yùn)行，運(yùn)行后啟動(dòng)G_Server.dll和G_Server_Hook.dll并自動(dòng)退出。G_Server.dll文件實(shí)現(xiàn)后門(mén)功能，與控制端客戶(hù)端進(jìn)行通信；

kangle 的內(nèi)容過(guò)濾功能，就是阻止灰鴿子實(shí)現(xiàn)后門(mén)通信。

具體操作：進(jìn)入管理后臺(tái)回應(yīng)控制，選擇“ 插入 ”

點(diǎn)擊“ 插入 ”進(jìn)入，選擇匹配模塊中的“content_length”

選擇標(biāo)記模塊中的 “content”

出現(xiàn)如下界面：

目標(biāo)設(shè)為：“拒絕”

內(nèi)容大小為：“1--100字節(jié)”

內(nèi)容：

^[^\r\n]{0,}[a-z0-9]{1,}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}[^\r\n]{0,}[\r\n]{0,}$

參考來(lái)源[ ]

• http://www.kanglesoft.com/bbs/thread-49-1-1.html
• http://www.kanglesoft.com/bbs/thread-48-1-1.html
• http://www.kanglesoft.com/bbs/thread-47-1-1.html
• http://www.kanglesoft.com/bbs/thread-56-1-1.html