ec001 2006-10-5 20:45
网络安全《每日下载》网络安全相关
《1》通过Windows组策略让网络更强壮
Windows组策略:相信不少“菜鸟”朋友都会认为Windows系统的组策略很“神秘”,因此他们一般不敢轻易去“碰”它;其实,如果你和系统组策略有过一次“亲密接触”的话,你或许会为系统组策略的强大功能所吃惊,因为只要简单地动动系统组策略,你的系统网络功能将得到进一步“强壮”。不信的话,就请各位一起来看看吧!
让冲浪痕迹自动抹除
每次冲浪过后,系统都会“自做主张”地记录下上网的痕迹,其他人很容易通过这些痕迹,偷窥到自己的上网隐私。为了避免自己的隐私不被外人非法偷窥到,你或许会在每次冲浪结束后,用手工清除的方法将各种上网痕迹逐一抹除掉,很显然这种方法不但烦琐,而且也不大容易记住。其实,你可以通过下面的方法,让系统在注销的那一刻自动抹除所有的上网痕迹:
首先创建一个批处理文件,确保在执行完该文件后,能自动将所有的上网痕迹全部清除掉。在创建这样的批处理文件时,可以先打开记事本之类的文本编辑工具,然后在编辑界面中输入下面的命令代码:
@echo off
cd c:\windows\local settings\temporary internet files
c:\windows\command\deltree .\*.* /y
之后,依次执行文本编辑界面中的“文件”/“保存”命令,将前面的命令代码保存成扩展名为“bat”的批处理文件,例如这里笔者将它保存为“autodel.bat”文件,当然该文件只对Win98或WinMe系统有效,如果要想自动清除Win2000以上版本系统中的上网痕迹时,就必须在文本编辑界面中输入下面的命令代码:
@echo off
cd c:\ documents ad settings\administrator\local settings\temporary internet files
c:\winnt\system32\deltree .\*.* /y
而且要想让上面的批处理文件执行成功的话,还需要事先将Win98系统下的“Deltree.exe”命令,直接复制到Win2000以上版本系统的“c:\winnt\system32”目录下;当然如果Windows系统并没有按照默认设置来安装时,还需要将批处理文件中的系统安装路径,设置成实际的安装路径。
其次,依次单击“开始”/“运行”命令,在弹出的系统运行对话框中,输入组策略编辑命令“Gpedit.msc”,单击“确定”按钮后,再依次展开组策略编辑窗口中的“用户配置”、“Windows设置”、“脚本(登录/注销)”分支;
然后在弹出的图1界面中,双击“注销”选项,在接着打开的注销属性设置窗口中,单击一下“添加”按钮,在弹出的文件选择对话框中导入“autodel.bat”文件,最后单击“确定”按钮,这样的话你以后每次在退出计算机系统时,“autodel.bat”文件就会被自动执行,以便让冲浪痕迹自动抹除。
让WinXP被随意共享
倘若在Win98工作站中通过“网上邻居”窗口,来访问WinXP操作系统的话,你会发现WinXP工作站会拒绝你的共享请求,这是怎么回事呢?原来WinXP系统在默认状态下是不允许以guest方式登录系统的,那么是不是将WinXP系统下的guest帐号“激活”,就能让WinXP工作站被随意共享了呢?其实不然,除了要将guest帐号启用起来,还需要指定guest帐号可以通过网络访问WinXP工作站的共享资源;下面就是让WinXP被随意共享的具体实现步骤:
首先在WinXP工作站中,依次单击“开始”/“程序”/“管理工具”/“计算机管理”命令,在弹出的计算机管理界面中,再逐步展开“系统工具”、“本地用户和组”、“用户”分支,在对应“用户”分支的右边子窗口中,再双击“guest”选项,在弹出的帐号属性设置界面中,取消“帐号已停用”选项,再单击“确定”按钮,“guest”帐号就能被重新启用了;
接着打开系统的组策略编辑窗口,再用鼠标逐步展开其中的“本地计算机策略”、“计算机配置”、“Windows设置”、“安全设置”、“本地策略”、“用户权利指派”分支,在弹出的图2界面中,双击右侧子窗口中的“拒绝从网络访问这台计算机”项目,在接着出现的界面中,将guest帐号选中并删除掉,然后再单击一下“确定”按钮,那么WinXP工作站中的共享资源就能被随意访问了。
让135端口自行关闭
大家知道,一旦将服务器中的135网络端口开通时,黑客或非法攻击者可能会通过一种专业的远程控制工具,偷窥到服务器中的重要内容以及上网帐号等,严重的话还能远程执行服务器中的重要程序,从而给服务器带来安全威胁。为了避免服务器遭受到这样的攻击,你必须想办法将服务器中的135网络端口屏蔽掉。为此,本文特意通过修改组策略的方法,帮助各位轻松关闭135网络端口。
考虑到黑客在攻击服务器时,都需要先与服务器建立网络连接,然后才能通过135网络端口对服务器进行破坏,因此只要我们能“拒绝”其他客户端通过网络来访问服务器,就能达到间接关闭135网络端口的目的,从而确保服务器不受远程攻击了。要“拒绝”其他客户端与服务器建立网络连接时,可以按如下步骤来实现:
首先进入到组策略编辑窗口,用鼠标逐步展开其中“计算机配置”/“Windows设置”/“安全设置”/“本地策略”/“用户权利指派”项目,再双击“用户权利指派”项目下面的“拒绝从网络访问这台计算机”选项;在接着打开的图3界面中,单击“添加”按钮,在随后出现的帐号列表界面中,选中“everyone”帐号,并单击“添加”按钮,将该帐号导入到“指派给”列表中,最后单击“确定”按钮,这样的话任何一位客户端用户都无权通过网络访问到服务器,这样黑客或其他攻击者自然也就无法使用135网络端口,对服务器进行远程攻击了。
让网络“收藏”躲起来
为了提高上网冲浪的效率,不少人都喜欢用IE中的网络“收藏”功能,将自己频繁需要访问的站点保存起来,以便下次能直达目的地;为了防止其他人浏览到自己的“收藏”隐私,你可以轻松地设置一下系统组策略,来让IE中的网络“收藏”功能躲起来:
在组策略编辑界面中,将鼠标定位于“用户配置”/“管理模板”/“Windows组件”/“Internet Explorer”/“浏览器菜单”分支;
在弹出的图4界面中,选中右侧子窗口中的“隐藏收藏菜单”选项,然后用鼠标左键双击该选项,在接着出现属性设置窗口中,选中“启用”选项,然后单击“确定”按钮,就可以让网络“收藏”功能躲起来了。
ec001 2006-10-5 20:47
《2》有孚网络谈服务器安全防范
有孚网络谈服务器安全防范:服务器安全有狭义和广义之分。 狭义的服务器安全,是指服务器所依托的操作系统的安全;广义的服务器安全,除了操作系统安全,还包括硬件安全、应用安全和数据安全等--的确,作为存储数据、处理需求的核心,服务器安全涉及太多环节。
特别是网络服务器,常常逃不开安全问题,很多时候黑客都会把网络服务器当作他们的攻击目标,通过进入网络服务器来达到他们的目的。
上海有孚网络的技术人员将黑客常用的手段总结如下:
1. 网络扫描--在Internet上进行广泛搜索,以找出特定计算机或软件中的弱点。
2. 网络嗅探程序--查看通过Internet的数据包,以捕获口令或全部内容。通过安装侦听器程序来监视网络数据流,从而获取连接网络系统时用户键入的用户名和口令。
3. 拒绝服务--通过反复向某个Web站点的设备发送过多的信息请求,导致该设备无法完成应有的网络服务项目(例如电子邮件系统或联机功能),称为"拒绝服务"问题。
4. 欺骗用户--伪造电子邮件地址或Web页地址,从用户处骗得口令、信用卡号码等。欺骗是用来骗取目标系统,使之认为信息是来自或发向其所相信的目的的过程。欺骗可在IP层及之上发生(地址解析欺骗、IP源地址欺骗、电子邮件欺骗等)。当一台主机的IP地址假定为有效,并为Tcp和Udp服务所相信,利用IP地址的源路由,一个攻击者的主机可以被伪装成一个被信任的主机或客户。
5. 特洛伊木马--一种用户察觉不到的程序,其中含有可利用一些软件中已知弱点的指令。
6. 后门--为防原来的进入点被探测到,留几个隐藏的路径以方便再次进入。
7. 恶意小程序--微型程序,修改硬盘上的文件,发送虚假电子邮件或窃取口令。
8. 竞争拨号程序--能自动拨成千上万个电话号码以寻找进入调制解调器连接的路径。逻辑炸弹是计算机程序中的一条指令,能触发恶意操作。
9. 缓冲器溢出--向计算机内存缓冲器发送过多的数据,以摧毁计算机控制系统或获得计算机控制权。
10. 口令破译--用软件猜出口令。通常的做法是通过监视通信信道上的口令数据包,破解口令的加密形式。
11. 社交工程--与公司雇员谈话,套出有价值的信息。
12. 垃圾桶潜水--仔细检查公司的垃圾,以发现能帮助进入公司计算机的信息。
以上只是黑客常用的手法,事实上有更多可能会使服务器安全经受考验,而没有任何IDC服务商能拍胸脯说我们的服务器绝对安全,因此,安全问题是每个用户必须考虑,时刻警惕着的。
尽管黑客如此猖獗,服务器本身并非待宰羔羊,通过架设硬件防火墙,安装专门的DOS攻击防护体系,引入入侵检测与防护机制、定时安全扫描等都可在一定程度上为服务器安全作出保障。而IDC服务商是否拥有快速反应能力也是决定服务器安全的因素之一。
许多用户常常因为价格因素而忽略以上几点,不少IDC服务商以低廉的价格吸引顾客并对其安全措施铮铮有词,但缺乏专业技术人员、完善的网络安全服务和紧急响应服务使他们的服务器常常陷入危险境地,一旦服务器存在的安全隐患爆发,可能使用户损失更多。
有孚网络的技术人员表示:"作为专业IDC服务商要为用户着想,不能对服务器的安全保障含糊其辞或盲目吹嘘,必须拿出实在的技术队伍和服务队伍,才能提供完善的安全服务,让用户放心。"
ec001 2006-10-5 20:49
《3》评论:安全掀开微软底牌
还不错哦,对初学的还比较有用!!
ec001 2006-10-5 20:50
《4》病毒杀不死的原因分析 和相应对策
一、病毒杀不死的原因
经常听人说,病毒软件报告杀死了某某病毒,可是重新启动后该病毒仍旧存在,无法杀死。病毒杀不死的原因主要有:
1.病毒正在运行。由于Windows保护正在运行的程序,所以杀毒软件是无法杀死正在运行的病毒。即使是真的杀死了病毒,电脑正常关机时内存中活动的病毒还会再复制一个病毒到硬盘上。
2.病毒隐藏在系统还原的文件夹“_restore”中。
二、对策
1.在Windows中杀毒前首先得中止病毒进程。对于WindowsXp/2000,可以使用任务管理器(Ctrl+Alt+Del三键齐按)来查看当前所有的进程,而对于Windows98/Me,则可以使用“黑客入门工具箱”或ATM来查看进程。确定哪个是来历不明的就停止掉或者看哪个不顺眼就停止哪个,该过程俗称“杀进程”。
不要怕出错,因为不会对电脑造成任何损坏,最多就是死机。注意,杀进程的操作有时得进行两次才成功。有的病毒有两个进程,互相保护,杀掉一个则会被另一个发现并恢复。此时应先把该病毒在注册表中的启动项去掉,然后用突然断电的方式重启电脑,再杀毒。
2.在Windows中使用专杀工具杀毒。得使用最新的杀毒版本。
3.禁用系统还原。在WindowsMe中禁用方法是∶鼠标右键点击“我的电脑”-属性-性能-文件系统-疑难解答-禁止系统还原。在WindowsXP中禁用方法是∶控制面板-系统-系统属性-系统还原-在所有驱动器上关闭系统还原。然后用软盘或U盘启动电脑,在dos下删除_RESTORE文件夹。
4.在Dos下杀毒不存在杀不死的问题。一般的杀毒软件都可以制作软盘版(含至少3张软盘),用第一张盘启动(CMOS中必须设定软盘启动在前)后按提示陆续放入其它盘就可以直接杀毒了。
5.补充操作。病毒杀死后还应该修复注册表。
ec001 2006-10-5 20:51
《5》被诅咒的画 ——图片病毒技术内幕
图片病毒技术内幕: 一、被诅咒的油画在网络上流传着一幅诡异的油画,据说很多人看后会产生幻觉,有人解释为油画的构图色彩导致的视觉刺激,也有人认为是心理作用,众说纷纭,却没有令人信服的答案。在网络公司上班的秘书小王也从一个网友那里得知了这幅画,她马上迫不及待的点击了网友给的图片连接。
图片出来了,小王终于见识到了传说中诡异的油画,面对着屏幕上那两个看似正常的孩子,她却觉得背后凉飕飕的。那网友也很热心的和她聊这幅画的来源,小王入神的听着,丝毫没有注意到IE浏览器左下角的状态栏打开页面的进度条一直没停止过。
如果说小王刚才只是背后发冷的话,那么现在她已经是全身发冷了:电脑光驱自动弹了出来,刚按回去又弹了出来,她着急的请教那个网友,那边很平静的说:“哦,也许是光驱坏了吧,我有事先下了,你找人修一下。”然后头像暗了。
小王已经无法回复他的话了:鼠标正在不听使唤的乱跑,键盘也没了反应,过了一会儿,电脑自己重启了,而且永远停留在了“NTLDR is missing...”的出错信息上。
显而易见,这又是一个典型的木马破坏事件,但是小王打开的是图片,难道图片也会传播病毒了?答案很简单也很出人意料:小王打开的根本不是图片。
IE浏览器的功能很强大,它可以自动识别并打开特定格式的文件而不用在乎它是什么文件后缀名,因为IE对文件内容的判断并不是基于后缀名的,而是基于文件头部和MIME。当用户打开一个文件时,IE读取该文件的头部信息并在本机注册表数据库内查找它对应的MIME格式描述,例如打开一个MIDI文件,IE先读取文件前面一段数据,根据MIDI文件的标准定义,它必须包含以“RIFF”开头的描述信息,根据这段标记,IE在注册表定位找到了“x-audio/midi”的MIME格式,然后IE确认它自己不具备打开这段数据的能力,所以它根据注册表里的文件后缀名信息找到某个已经注册为打开后缀名为“.MID”的文件,然后提交给此程序执行,我们就看到了最终结果。
正是因为这个原理,所以IE很容易受伤。入侵者通过伪造一个MIME标记描述信息而使网页得以藏虫,在这里也是相同的道理,小王打开的实际上是一个后缀名改为图片格式的HTML页面,它包含上述两个漏洞的病毒文件和一个高度和宽度都设置为100%的图片IMG标记,所以在小王看来,这只是一个图片文件,然而,图片的背后却是恶毒的木马。木马程序体积都比较大,下载需要一定时间,这就是IE进度条一直没停止的原因。入侵者为了确保受害者打开页面的时间可以使整个木马文件下载完毕,就采用了社会工程学,让受害者不会在很短的时间内关闭页面,当木马下载执行后,“图片”的诅咒就应验了。
二、位图特性的悲哀
他是一家公司的网络管理员,在服务器维护和安全设置方面有足够多的经验,因此他无需惧怕那些利用浏览器漏洞实现的病毒。这天他在一个技术论坛里看到一个网友发的关于AMD某些型号的处理器存在运算瑕庇的帖子,并给出一个测试页面连接,根据官方描述,如果你用的CPU存在瑕庇,那么你会看到页面上的测试图片显示得破损错乱。他心里一惊:自己用的CPU正是这个型号。他马上点击了页面连接。
看着页面上乱七八糟的一幅图片,他心里凉了一截:这台机器的CPU居然有问题,而他还要用这台机器处理公司的重要数据的!他马上去管理部找负责人协商,把显示着一幅胡里花哨图片的机器晾在一边。
管理部答应尽快给他更换一台机器,让他把硬盘转移过去,因为上面有重要的业务资料。他回来时看到那幅图片还在耀武扬威,他厌恶的关闭了页面,照例打开存放资料的文件夹,他的脑袋一下子空白了:资料不见了!谁删除了?他慌乱的查找硬盘每个角落,可那些文件却像蒸发了一样。许久,他终于反应过来了:机器被入侵了!他取下硬盘直奔数据恢复公司而去。
事后他仔细分析了原因,因为机器已经通过了严格的安全测试而且打了所有补丁,通过网页漏洞和溢出攻击是不可能的了,唯一值得怀疑的只有那个所谓的瑕庇测试网页了,他迅速下载分析了整个页面代码,看着页面源代码里后缀名为“.BMP”的IMG标记和一堆复杂的脚本代码,他知道自己是栽在了BMP木马的手上。
那幅“测试瑕庇”的图片,无论到什么机器上都是一样有“瑕庇”,因为它根本不是图片文件,而是一个以BMP格式文件头部开始的木马程序。
为什么看似温顺的图片文件也变成了害人的凶器?这要从位图(Bitmap)格式说起,许多朋友应该都知道流传了很久的被称为“图片藏字”的“密文”传播方式,即在位图文件尾部追加一定量的数据而不会对原位图文件造成太大破坏,这是位图格式的限制宽松而造成的。系统判断一个位图文件的方法并不是严格盘查,而是仅仅从文件头部的54字节里读取它的长宽、位数、文件大小、数据区长度就完成了图片的识别,宽松的盘查机制使得BMP木马得以诞生。
不过先要澄清一点概念,BMP木马并不是在BMP位图文件屁股后追加的EXE文件,而是一个独立的EXE可执行文件,但是它的文件PE头部已经用位图文件头部替换了,由于系统的盘查机制,这个EXE文件就被浏览器认成位图文件了。既然是位图,在浏览器的程序逻辑里,这是需要下载到Internet高速缓存文件夹然后显示在页面上的文件,但是因为这个文件本来就不是位图,它被强制显示出来以后自然会变成一堆无意义的垃圾数据,在用户眼里,它就成了一幅乱七八糟的图像。但这不是引起木马危机的原因,要留意的是这些文字:“需要下载到Internet高速缓存文件夹”!这说明浏览器已经请狼入室了——木马已经在硬盘上安家了,但是目前它还在沉睡中,因为它的文件头部被改为位图格式,导致它自身已经不能运行,既然不能运行,理所当然就不能对系统构成危害,那么这只狼在硬盘呆多久也是废物一个,入侵者当然不能任由它浪费,因此他们在做个页面给浏览器下载木马的同时,也会设置页面代码让浏览器帮忙脱去这只狼的外衣——把位图格式头部换成可执行文件的PE头部,然后运行它。经过这些步骤,一只恶狼进驻了系统。
这个无法修补的漏洞十分可怕,用户很难知道他们正在浏览的页面是否正在偷偷下载着木马数据,因为即使他们打好了所有补丁也无济于事,木马是被IE“合法”下载的,不属于代码漏洞,而且单靠程序本身也很难判断这个图像是不是木马程序,机器靠二进制完成处理工作,而不是视网膜成象交给大脑判断。但是,由于这也是需要下载文件的入侵方式,它能否下载完毕以及用户愿不愿意去看页面就要取决于入侵者的社会工程学了,在任何一个页面里放出一个乱七八糟的图片或者来一个隐藏的图片框都不是最明智的选择,除非利用一些“暇庇声明”或更能引起人的兴趣的伎俩。那家公司的网管之所以会这么不设防,就是因为攻击者偷用了人们的“心理盲区”,因为人们对安全、漏洞、病毒、暇庇等内容会特别敏感,所以入侵者发个专业暇庇案例就欺骗了一大堆人,这次是拿真实的事件:AMD某些型号CPU会导致图像显示出问题的暇庇来做鱼饵,下一次又该拿什么了呢?
三、魔鬼的诅咒
对于某娱乐论坛的大部分用户来说,今天是个黑色的日子,因为他们在看过一个《被诅咒的眼睛》油画帖子后,系统遭到了不明原因的破坏。
论坛管理层的技术人员立即对这个帖子进行了多次分析,可是整个页面就只有一个JPEG图片的连接,其他恶意代码和程序根本不存在。入侵者靠什么破坏了看帖用户的机器?难道竟是这个JPEG图片?
答案恐怕让人难以接受,的确就是这幅JPEG图片让用户感染了病毒。尽管病毒研究一直未曾停止,可是发展到这个地步,实在让人不能承受:再下去是不是打开一个文本文件都会被感染病毒?
图片带毒来袭,实在让所有人都擦了一把汗,然而我们都知道,JPEG、GIF等格式图片不具备可以执行自身并散播病毒的条件,这不符合逻辑。回忆一下2004年9月14日的事,微软发布了MS04-028安全公告:JPEG处理(GDI+)中的缓冲区溢出可能使代码得以执行。没错,就是这个漏洞,它的术语叫GDI+,对应的动态链接库为GdiPlus.dll,这是一种图形设备接口,能够为应用程序和程序员提供二维媒介图形、映像和版式,大部分Windows程序都调用这个DLL完成JPEG格式图片的处理工作。但是现在,正是这个“公众人物”成了众矢之的。
说到这里,有基础的读者应该明白了吧:并不是图片自己能传播病毒,而是系统负责图形处理工作的模块会在处理图片时发生溢出导致图片内携带的恶意指令得以执行破坏。如果某个图片工具不调用这个系统模块,而是使用自己的处理模块,那么同样包含恶意指令的图片就不能达到破坏目的。但是因为这个系统模块是默认的处理模块,所以大部分程序在“JPEG病毒”面前纷纷落马。
这个溢出是怎么产生的呢?这要从系统如何读取JPEG格式图形的原理说起,系统处理一个JPEG图片时,需要在内存里加载JPEG处理模块,然后JPEG处理模块再把图片数据读入它所占据的内存空间里,也就是所说的缓冲区,最后我们就看到了图片的显示,然而就是在图片数据进入缓冲区的这一步出了错——Windows规定了缓冲区的大小,却没有严格检查实际容纳的数据量,这个带缺陷的边界检查模式导致了噩梦:入侵者把一个JPEG图片的数据加工得异常巨大并加入恶意指令,那么这个图片在系统载入内存时候会发生什么情况呢?图片数据会涨满整个JPEG处理模块提供的缓冲区并恰好把恶意指令溢出到程序自身的内存区域,而这部分内存区域是用于执行指令的,即核心区,于是恶意指令被程序误执行了,入侵者破坏系统或入侵机器的行为得以正常实施。有人也许会疑惑,入侵者都是神算子吗,他们为什么能准确的知道会是哪些数据可以溢出执行?答案很简单,因为Windows在分配JPEG处理模块的空间时,给它指定的内存起始地址是固定的,入侵者只要计算好这个空间大小,就能知道会有哪些数据被执行了,所以JPEG病毒迅速传播起来。
所谓JPEG病毒,并不是JPEG图片能放出病毒,而是系统处理JPEG图片的模块自己执行了JPEG图片携带的病毒,所以我们大可不必人心惶惶,只要补上了GDIPLUS.DLL的漏洞,那么即使你机器上的所有JPEG图片都带有病毒数据,它们也无法流窜出来搞破坏,正如美国马萨诸塞州立大学助理教授奥斯汀所言:“病毒不仅仅是可自我复制的代码,他们需要通过可执行代码的方式来进行传播。JPEG文件不能执行代码,他们是由应用软件打开的数据文件。应用软件不会去查找数据文件中的可执行的代码,为此不会运行这些病毒代码。”
四、防范
对于虚假图片文件的欺骗手法,只要用户补上了MIME和IFRAME漏洞,那么入侵者让你停留多久也无济于事;至于BMP木马,它的防范是几乎不可避免,但是它有个最大的弱点,大部分情况下只能在Win9x环境正常执行,用Win2000以上的用户不必草木皆兵了;而对于JPEG病毒来说更好办了,微软已经提供JPEG模块的更新了,你倒是去补一下啊!即使真的一点也不会,买个防病毒软件在后台监视也OK了,但是为什么国内用户却偏偏喜欢徒劳的恐慌?
纵观这一系列图片病毒的原理和手法,我们可以发现“社会工程学”这个身影的扩大化趋势。如何避免被骗,这只能看你自己了。
ec001 2006-10-5 20:53
《6》防入侵与防病毒:20招打造安全个人电脑
由于现在家用电脑所使用的操作系统多数为Win XP 和Win2000 pro(建议还在使用98的朋友换换系统,连微软都放弃了的系统你还用它干嘛?)所以后面我将主要讲一下基于这两个操作系统的安全防范。
个人电脑常见的被入侵方式
谈到个人上网时的安全,还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种:
(1) 被他人盗取密码;
(2) 系统被木马攻击;
(3) 浏览网页时被恶意的java scrpit程序攻击;
(4) QQ被攻击或泄漏信息;
(5) 病毒感染;
(6) 系统存在漏洞使他人攻击自己。
(7) 黑客的恶意攻击。
下面我们就来看看通过什么样的手段来更有效的防范攻击。
1.察看本地共享资源
运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。
2.删除共享(每次输入一个)
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)
3.删除ipc$空连接
在运行内输入regedit,在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。
4.关闭自己的139端口,ipc和RPC漏洞存在于此。
关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
5.防止rpc漏洞
打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作。
XP SP2和2000 pro sp4,均不存在该漏洞。
6.445端口的关闭
修改注册表,添加一个键值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了
7.3389的关闭
XP:我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
Win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用)
使用2000 pro的朋友注意,网络上有很多文章说在Win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务,可以关闭3389,其实在2000pro 中根本不存在Terminal Services。
8.4899的防范
网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。
4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。
所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的。
9、禁用服务
打开控制面板,进入管理工具——服务,关闭以下服务
1.Alerter[通知选定的用户和计算机管理警报]
2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享
4.Distributed Link Tracking Server[适用局域网分布式链接?
ec001 2006-10-5 20:54
《7》实例讲解密码破解以及攻击手段介绍
密码破解及攻击手段:
攻击者的攻击方法和攻击工具
密码与用户帐户的有效利用是网络安全性的最大问题之一。在本文中,Rob Shimonski将研究密码破解:如何以及为何进行密码破解。Rob将只说明渗透网络是多么简单,攻击者如何进入网络、他们使用的工具以及抗击它的方法。
对公司或组织的计算机系统进行的攻击有各种形式,例如电子欺骗、smurf攻击以及其它类型的拒绝服务(DoS)攻击。这些攻击被设计成破坏或中断您的运营系统的使用。本文讨论一种广为流传的攻击形式,称为密码破解。
密码破解是用以描述在使用或不使用工具的情况下渗透网络、系统或资源以解锁用密码保护的资源的一个术语。本文将研究什么是密码破解、为什么攻击者会这样做、他们如何达到目的以及如何保护您自己。我将简要研究攻击者自身:他们的习性和动机。通过对几种方案的研究,我将描述他们部署的一些技术、帮助他们攻击的工具以及密码破解者是如何从内部和外部侵犯公司基础结构的。最后,文章提供了一张检查表以帮助您免遭密码破解。
在研究这样做的一些方法之前,让我们首先了解攻击者的想法并研究他们为什么想访问您的网络和系统。
攻击者:他们如何以及为何进行攻击
关于黑客(hacker)的定义仍然争论不休。黑客可以是任何对基于计算机的技术有浓厚兴趣的人;它未必定义想进行伤害的人。词汇攻击者可用来描述恶意黑客。攻击者的另一个词汇是黑帽(black hat)。安全分析师通常称为白帽(white hat),白帽分析是为防御目的而使用的密码破解。
攻击者的动机差别很大。有些声明狼籍的黑客是高中生,他们在地下室里的电脑前寻找利用计算机系统的漏洞的方法。其它攻击者是寻求报复公司的心怀不满的雇员。还有另外一些攻击者完全出于寻求刺激性的挑战目的,想渗透保护良好的系统。
攻击方法
密码破解不一定涉及复杂的工具。它可能与找一张写有密码的贴纸一样简单,而这张纸就贴在显示器上或者藏在键盘底下。另一种暴力技术称为“垃圾搜寻(dumpster diving)”,它基本上就是一个攻击者把垃圾搜寻一遍以找出可能含有密码的废弃文档。
当然,攻击者可以涉及更高级的复杂技术。这里是一些在密码破解中使用的更常见的技术:
字典攻击(Dictionary attack)
到目前为止,一个简单的字典攻击是闯入机器的最快方法。字典文件(一个充满字典文字的文本文件)被装入破解应用程序(如L0phtCrack),它是根据由应用程序定位的用户帐户运行的。因为大多数密码通常是简单的,所以运行字典攻击通常足以实现目的了。
混合攻击(Hybrid attack)
另一个众所周知的攻击形式是混合攻击。混合攻击将数字和符号添加到文件名以成功破解密码。许多人只通过在当前密码后加一个数字来更改密码。其模式通常采用这一形式:第一月的密码是“cat”;第二个月的密码是“cat1”;第三个月的密码是“cat2”,依次类推。
暴力攻击(Brute force attack)
暴力攻击是最全面的攻击形式,虽然它通常需要很长的时间工作,这取决于密码的复杂程度。根据密码的复杂程度,某些暴力攻击可能花费一个星期的时间。在暴力攻击中还可以使用L0phtcrack。
接下来,研究一下攻击者用来闯入系统的一些工具。
专业工具
最常用的工具之一是L0phtCrack(现在称为LC4)。L0phtCrack是允许攻击者获取加密的Windows NT/2000 密码并将它们转换成纯文本的一种工具。NT/2000密码是密码散列格式,如果没有诸如L0phtCrack 之类的工具就无法读取。它的工作方式是通过尝试每个可能的字母数字组合试图破解密码。
另一个常用的工具是协议分析器(最好称为网络嗅探器,如Sniffer Pro或Etherpeek),它能够捕获它所连接的网段上的每块数据。当以混杂方式运行这种工具时,它可以“嗅探出”该网段上发生的每件事,如登录和数据传输。正如您稍后将会看到的,这可能严重地损害网络安全性,使攻击者捕获密码和敏感数据。
内部攻击实例
让我们研究一些方案,分析攻击者如何发起攻击以及如何停止或预防他们。我将首先描述两种涉及内部攻击的方案(即,在组织内部发起的攻击),然后研究涉及外部攻击的两种方案。
内部攻击
内部攻击者是解密攻击最常见的来源,因为攻击者具有对组织系统的直接访问权。第一种方案研究的是攻击者是心怀不满的雇员的情况。攻击者,一名经验丰富的系统管理员,在工作中遇到了问题,而拿她自己管理、保护的系统发泄。
示例:心怀不满的雇员
Jane Smith是一名经验丰富的且在技术上有完善的记录证明的系统管理员,她被公司雇佣在深夜运行备份磁带。您的公司,作为一家 ISP,拥有非常庞大的数据中心,大约4000多个系统都由一个网络运营中心(Network Operations Center)监控。Jane和另外两名技术人员一起工作以监控通宵备份,并且在早班之前倒完磁带。他们彼此独立工作:一名技术员负责UNIX 服务器,一名技术员负责全部Novell服务器,而Jane负责Windows 2000服务器。
Jane已经工作了六个月并且是一名后起之秀。她来得很早,走得很晚,并且曾请求转到公司的另一个部门。问题是那时没有空位子。在上个月,您(安全分析师)发现 Cisco路由器和UNIX服务器上的登录尝试的数量有大幅增加。您实现了CiscoSecure ACS,所以可以对尝试进行审计,您发现它们大部分出现在早上3点钟。
您产生了怀疑,但作为一名安全分析师,您不能在没有证据的情况下到处指证。
一名优秀的安全分析师从深入研究问题着手。您发现攻击出自高手,并且出现在Jane 当班期间,正好在她完成倒带任务之后,在日班小组到来之前,她有一个小时的时间学习和阅读。所以您决定请夜班经理夜晚监督 Jane。三个星期的严密监督之后,您发现攻击已经停止了。您的怀疑是正确的。正是Jane试图登录到Cisco路由器和UNIX服务器中。
一名优秀的安全分析师还需要使用一种好的审计工具(如Tacacs+)来记录攻击。Tacacs+是由诸如CiscoSecure ACS之类的应用程序所使用的协议,该协议强制授权(Authorization)、可计帐性(Accountability)和认证(Authentication)(简称 AAA)。如果您具有授权,则需要对请求访问的人进行授权以访问系统。如果您具有认证,则需要对访问资源的用户进行认证以验证他们是否有访问的权利和权限。如果同时被授权和认证会发生什么呢?您必须具有可计帐的。单独计算登录数通过强制攻击者保持可计帐的、被认证及被授权,从而解决了许多密码破解问题。
接下来,我将给出一个老的(但仍广泛使用的)攻击示例,它就在网下嗅探密码。您可以研究一下网络主管的Cisco路由器和交换机是如何被公司中的Help Desk技术人员破解的。
示例:Help Desk技术人员
Tommy被雇佣担任Help Desk技术员,他和下班后的Help Desk人员一起工作。下班后的Help Desk人员由大约10 名技术员组成,他们负责公司需要在下班期间支持的8个远程站点。Tommy总是带着他的笔记本电脑上班。当经理问及此事时,Tommy 解释说他用其休息时间准备一个认证考试。这似乎是无害的并得到了批准,尽管公司对在未经公司安全检查就从外部将机器带入公司网络的行为有一条公司内的安全制度。
最终,一个监视器捕获了Tommy在离开一间小配线房时在手臂下藏着某些东西。但由于无人报告丢失任何东西,无法证明Tommy犯了什么错。当Help Desk经理询问Tommy为什么出现在配线房时,他说误把配线房当成了休息室。
公司安全经理Erika看到了由负责大楼安全的门卫提交的报告。她想知道Tommy在配线房干什么,并且对Tommy向Help Desk 经理的回答感到怀疑。检查配线房时,她发现从其中一个配线板上垂下一根被拔下的接线电缆以及一个空的集线器端口。当她将电缆插回去时,链路灯还是不亮,这意味着这是一个死端口。电缆管理员Velcro将所有其它电缆都整齐地捆绑在一起。凭着Erika 多年经验以及对安全利用的敏锐意识,她确切地知道发生了什么。
Erika假设Tommy 在未被发现的情况下将其笔记本电脑带入了配线房。他很有可能寻找集线器上的一个死端口,然后插上安装了包嗅探器的笔记本电脑,该嗅探器可以不加选择地拾取网段上的通信量。稍后他返回取走了电脑(被监视器捕捉到),在保存捕捉文件后拿回家进行分析。
使用公司的安全制度,她找到Tommy并说明了所有非法进入公司的个人财产(如笔记本电脑和掌上电脑)都需要进行检查。由于Tommy本不该带入他的笔记本电脑,所以将它交给了Erika。经过仔细检查,Erika发现了跟踪译码.使用协议分析器捕获的telnet通信量
经过对Sniffer Pro分析器十六进制窗格的严格检查,在图2中的窗格的右边清晰地显示了ASCII数据。当连接到配线房的交换机时,Tommy通过telnet会话连接在运行配置。由于 telnet协议是不安全的且通过明文发送,所以很容易看到密码“cisco”。
这是最基本的安全性原则之一:不要使用产品名称作为密码。但无论原则如何基本,奇怪的是还是经常有人这样做。
接下来,请注意某些外部威胁。
外部攻击实例
外部攻击
外部攻击者是那些必须透过您的“深度防御”试图闯入您系统的人。他们做起来并不象内部攻击者那样容易。第一种方案涉及一种很常见的外部攻击形式,称为网站涂改。这一攻击使用密码破解来渗透攻击者想破坏的系统。另一个可能的密码破解攻击是攻击者尝试通过社交工程(Social Engineering)获取密码。社交工程是哄骗一个毫无疑虑的管理员向攻击者说出帐户标识和密码的欺骗方法。让我们对这两种方案都研究一下。
示例:网站主页涂改
外部密码破解的一种很常见和简单的示例:涂改网站的主页。它不费多少力气,通常只要通过利用未正确设置其权限的Internet Information Server (IIS)就可以完成。攻击者只要转至工作站并尝试使用HTML编辑工具攻击IIS 服务器。当试图通过因特网连接到该站点时,攻击者使用一个密码发生器工具(如L0phtCrack),它启动对服务器的暴力攻击.
您公司的声誉处于危险中。如果业务供应商和关联企业感到您的数据保存在不安全的服务器上,他们将不再信任您。请务必同等看待内部和外部威胁。
示例:社交工程骗局
不需要工具而破解密码的骗局称为社交工程攻击。请阅读这种方案以了解更多信息。
Jon是一家大公司的新任安全分析师。他的首要工作是测试公司的安全状态。他当然要让管理层知道他将要做什么(这样,他自己就不会被当成攻击者)。他想知道要闯入网络而不使用任何工具的难度如何。他尝试两个单独但破坏性相同的攻击。
作为大公司的新雇员,很多人还不认识Jon,这使他能容易地完成第一个社交工程攻击。他的第一个目标是Help Desk。Jon给 Help Desk打了一个常规电话,作为假想的远程用户要求密码重设。由于Jon 知道公司的命名约定是用户的名字加上其姓的第一个字母,他已经有了他需要的一半信息。CIO的名字是Jeff,他的姓是 Ronald,因此他的登录标识是JeffR。这条信息可以从公司的电话目录中轻易地得到。Jon假装成CIO 打电话给Help Desk并要求密码重设,因为忘记了密码。Help Desk 技术人员每天都要重设上百次被遗忘的密码,然后回电让请求者知道其新密码,这对于他们来说是常规工作。5分钟后,Help Desk技术人员给 Jon回电话,告诉他新的密码是“friday”,因为恰好是星期五。5分钟之内,Jon就进入了服务器上CIO的共享文件及其电子邮件了。
Jon的下一个社交工程攻击涉及他的一个好朋友,此人为当地电话公司工作。Jon在他休假时借了他的衣服、皮带和徽章。Jon 穿着他的新衣服进入公司存放所有灾难恢复路由器和服务器的另一部分场地。这个硬件包含公司的所有当前数据的有效副本并且认为是机密。Jon 穿着他的电信制服走入场地安全办公室,然后说明他是由本地交换运营商(Local Exchange Carrier (LEC))派来的,因为看来电路从电话公司形成了回路。他需要被允许进入数据中心,这样他可以检查在Smart Jack上是否有任何警报。
现场管理员陪同Jon到数据中心,甚至没有检查他的标识。一旦进入,管理员明智地站在一边,这样Jon开始了他的测试。几分钟后,Jon 通知管理员他必须打电话给办公室并请他们再运行一些测试,以便能断开到Smart Jack的回路并尝试故障诊断。Jon让管理员知道这将花费 45分钟,因此管理员向Jon提供了他的呼机号,并请在Jon完成时呼他以让他出来。Jon 现在成功地排除了他和数据中心沿墙的机架上排列的30台服务器之间的唯一障碍。
Jon现在有几个不同的机会。他可以转至每个服务器,然后查找未加锁的控制台或者他可以将其笔记本电脑插入开放端口并开始嗅探。由于他确实想知道自己能走多远,所以决定查找开放的控制台。花5分钟查看所有KVM槽后,他发现Windows NT服务器是作为域的备份域控制器(Backup Domain Controller)运行的。Jon从包中拿出一张CD,然后将它放入服务器的CD托盘。他将L0phtCrack 安装到公司域的BDC上,然后运行字典攻击。5分钟之内,产生了如下密码:Yankees。它表明首席管理员是一个纽约Yankee 迷。他现在已经有了对公司最重要的信息的访问权。
现在,研究一下这是如何做的。
保护核对表
保护核对表
这里有一张事件检查表,您可以照做以使密码破解更加困难:
对您的组织进行审查。走一圈并确保没有将密码贴在监视器或键盘底下。
设置哑帐户。除去administrator(或admin)帐户,或将其设置为陷阱并对其尝试进行审查。
使用强壮的难以猜测的密码,永远不要让控制台处于解锁状态。
备份是必需的以防不测。您需要一组有效的数据,务必确保您拥有它们。也要保护磁带,否则那里的数据也可能遭到损坏。
防止垃圾搜寻。不要乱扔敏感信息;撕碎它或把它锁起来。
检查标识并讯问您不认识的人。有来访者时,对他们进行检查并确认他们的身份。
教育您的最终用户。确保他们不受社交工程的侵害,教育并提醒内部用户公司的安全制度。
结束语
在本文中,我描述了攻击者动机之后的某些心理以及用来破解密码的一些低技术和高技术方法。您已经看到了几种攻击方案,包括由经验丰富的管理员、Help Desk 技术人员和外部故意破坏者对大公司发起的攻击。您还了解了密码破解者如何在内部和外部使用技术攻击您的基础结构。最后,提供了有关如何适当保护您自己和您的系统避免可能受到密码破解攻击的一些想法。最终挫败这些攻击需要投入自觉的努力、经过培训的人员、有用的工具以及良好的安全制度。希望您作为主动出击的安全分析师,在帮助减少组织内部和外部的这种恶意活动中发挥重要作用。否则,您可能在服务器房间中发现Jon得意地笑着,手里还拿着您的数据。
ec001 2006-10-5 20:56
《8》浅析黑客攻击时的常用方法和攻击步骤
黑客攻击方法和攻击步骤: 随着网络应用的变化,网络安全产品的防护功能将朝着单层向多层、被动向主动、边界向核心的方向发展。
信息化进程的迅猛发展使人们的工作和生活越来越多地依赖于网络。然而,日益猖獗的网络病毒、垃圾邮件和黑客入侵等破坏行为也给网络安全造成极大的威胁,它不仅使企业因网络安全问题蒙受巨大经济损失,而且严重的网络安全事件甚至会扰乱全社会的公共秩序和经济活动。为此,各式各样的网络安全产品也应运而生。
堵漏式防护产品
目前威胁计算机网络安全的重要原因之一是计算机系统存在着许多漏洞,很容易遭受病毒及黑客的攻击。例如,当今很多装有Windows 2000/XP/2003操作系统的计算机没有“打过补丁”,使得病毒及黑客“想干什么就干什么”,给网络安全带来十分严重的威胁。可以说到目前为止,还没有什么特别有效的手段能够降低利用系统漏洞传播病毒造成的危害。指望及时“打补丁”来预防病毒及黑客的攻击在短时间内还难以实现,其原因,一是每款补丁程序都必须经过严格测试,尤其要充分考虑与应用软件的兼容性,不能影响正常业务的开展;二是网络管理员不一定具备补丁的处理能力;三是企业不一定具有强烈的网络安全意识和完善的人员配置;四是系统漏洞从公布到被利用的间隔时间日趋缩短,防不胜防。为此,堵漏式防护产品成为网络安全产品制造厂商今后开发的重点。
Trend Micro公司推出的针对系统漏洞的网络防毒墙NVW不仅在策略上可以告诉用户存在漏洞问题的严重性,更能帮助用户把未知的漏洞找出来。它的功能是对未安装防病毒产品、未更新病毒码和未安装重要系统补丁的用户进行检测和隔离,协助用户采取准确、快速的安全措施,如防治Internet蠕虫类的网络病毒,在病毒疫情爆发时能够隔离高危环节和清除病毒。此外,它还能进行主动侦测、预防围堵和善后清理,降低用户受病毒侵害的风险和管理成本。又如,McAfee公司推出一种漏洞扫描工具ThreatScan,该产品可以为用户轻松地发现系统中存在的安全漏洞,有目的地采取相应行动使用户避免遭受病毒的侵害,而另一种AVERT AutoImmune产品也可以为用户提供透过探视方式探查尚未被发现的病毒,并自创解毒方法等等。
分层式防护产品
目前计算机系统大多是基于客户/服务器模式和Internet/Intranet网络计算机模式的分布式应用,在这样的应用环境中多层次安全措施是十分有必要的。对所有与互联网连接的用户来说,他们要做的第一件事就是安装防火墙,但传统的防火墙包过滤技术往往只检查网络的第三层和第四层,而目前70%以上的恶意攻击都是针对应用层的,因此,多层次防护的分层式防护产品也是网络安全产品厂商今后为用户提供的主要产品之一。
Cisco公司研发的分层式一体化网络安全产品是一个包括路由器、防火墙和交换机在内的三个层次的集成化安全防御体系。其中,第一层安全防护由具有防火墙功能的路由器来实现,它能提供Internet/外联网等公共信息网的广域连接,可以防止外部用户对系统内各服务器进行操作造成的破坏;第二层安全防护由PIX防火墙来实现,它将企业内网和公网完全分隔开,PIX防火墙是内部各网络系统对外的惟一出入口,实现从网络层到应用层的安全保护,防止非法访问;第三层安全防护则由局域网交换机实现,内置的IDS和防火墙模块,可对复杂的内部网进行有效的安全监控,并通过MAC地址过滤功能防止内部攻击。又如,Microsoft公司的ISA Server 2004防火墙产品具有应用层深度多层防护功能,它不仅能够检查IP头和TCP头信息,还能够检查应用层的内容是否符合ISA Server的定义内容(恶意代码、病毒或任何不想要的内容),以确定数据包能否进入系统,而且还能对用户访问的数据流强制要求加密,以便获得更强的安全性能。
主动式防护产品
传统的入侵检测系统已走过20个春秋,为了适应迅速增长的网络流量,IDS产品也已经进入了千兆时代。然而,从技术角度来看,这种被动式的监测系统不仅在识别大规模的组合式或分布式的入侵攻击方面尚不具备足够的解决能力,而且常发生误报、漏报问题,更何况其报警后并不能采取有效阻断措施的致命缺陷也使得IDS必然将退出历史舞台。
一种被称为入侵防御系统的产品将逐渐替代IDS。这是一种主动式防护产品,拦截功能与分析功能处于同一层次,能够敏锐地捕捉入侵,并在危害发生之前将其切断。不仅如此,IPS也不存在IDS诸如计算机开销大、维护工作量大、检测失效等缺陷,它的精准检测功能和易于管理的特点更受用户欢迎。例如,IPS的多重检测技术(Multi-Method Detection)可以提高检测精度,它组合了多种不同检测方法来共同识别网络层和应用层中的不同攻击,且不影响系统性能。又如,IPS产品具有带内操作模式的保护功能,能对付潜逃技术,提供真正有效的入侵防护。再如,IPS产品通常采用集中式基于规则的管理,这不仅可使网络管理员具有更高的可控制性,而且还能向用户提供在其不知情的状态下各种被添加的恶意信息,等等。
自御式防护产品
在当前网络安全威胁愈演愈烈的情况下,开发网络和网络安全产品应该考虑让网络对病毒及黑客攻击具有自我防御能力,就像人体对疾病具有免疫力一样。只有当网络和网络安全产品拥有这种“天生”免疫能力时,网络安全才能在更大程度上得到保障。同时,自御式防护产品的诞生也能够解决诸如由垃圾邮件、网络欺骗等引发的网络安全事件。反垃圾邮件、身份认证等诸多网络安全技术和措施,也是今后自御式防护产品需要解决的一个重要课题。
自防御网络就是一种拥有免疫功能的自御式防护产品,它可以为用户提供新型的系统级网络安全防御。SDN防御病毒攻击的过程如下当一种Slammer病毒爆发时,安装在用户主机中的安全代理软件Security Agent会立即阻止Slammer病毒的攻击;第3分钟时SDN网络中的异常探测技术确认有异常流量;第6分钟时在验证异常流量的同时发出警告;第10分钟时封闭相应的内部和外部端口;第30分钟时完成对企业内部网络的漏洞扫描,确认易被攻击的系统,并采取相应措施,确保网络系统不受病毒感染。
Cisco公司开发自防御网络经过了3个历程,第一代SDN是一种企业网路由器,第二代SDN是一种具有独立管理软件的增强型路由器,第三代SDN是集路由器、交换机、终端、防火墙、虚拟专用网和入侵检测系统等产品于一体的集成化自防御网络体系。该产品通过安全连接系统、威胁防御系统以及信任身份管理系统3大功能来实现整个网络安全,它不仅全面地集中了各种安全技术,而且通过与McAfee、Symantec、Trend Micro等反病毒软件厂商合作,将防御能力扩展到服务器、PC机和其他终端设备上。
在网络安全威胁愈演愈烈的情况下,开发的网络安全产品应该让网络对病毒及黑客攻击具有自防御能力,就像人体对疾病具有免疫力一样。
ec001 2006-10-5 20:56
《10》妙用脚本和批处理清除电脑中的痕迹
脚本和批处理清除电脑中的痕迹:我们知道,使用Windows操作系统在你打开文件、输入各种密码或用QQ与朋友聊天,都可能引发个人机密泄漏,都会在机器上留下踪迹。为安全起见,如果是在公用电脑上,你应该在离开时抹去这些操作后留下的痕迹,下面是可能的泄密点及解决办法。
一、可能的泄密点及其存在的位置
Windows中可能泄漏我们的秘密的地方有两处:一是存在于文件夹中,一是存在于注册表里。
1.文件夹中:在“开始”菜单中的“文档”中会显示我们浏览过的文件,如果它们暴露其中,将使我们的秘密不保,应将其删除。“文档”中的内容安放在C:\Windows\Recent文件夹中;安装程序、编辑文件时产生的临时文件安放在c:\windows\temp文件夹中;删除文件时文件并没有被真正删除,保存在回收站中,回收站里的东西在C:\RECYCLED文件夹(隐含的)存放着; 当你上网浏览网站时,Windows会在C:\WINDOWS\History和C:\Windows\Temporary Internet Files文件夹中保留下你曾看过的网页;不经意的,微软还会从网上取些小甜饼给你,甜饼放在C:\WINDOWS\Cookies中。
2.注册表中:IE浏览器地址栏里留下的曾进去过的网站地址及后来诞生的“网络实名”。
其实,Windows的注册表本身就是个大大的垃圾仓库,里头放着的垃圾,你自己有空时去找吧。本文在这里仅指出一、二处而矣,旨在引导你触类旁通,知道怎样去清除注册表里可能令我们泄密的地方。
我们知道,使用Windows操作系统在你打开文件、输入各种密码或用QQ与朋友聊天,都可能引发个人机密泄漏,都会在机器上留下踪迹。为安全起见,如果是在公用电脑上,你应该在离开时抹去这些操作后留下的痕迹,下面是可能的泄密点及解决办法。
其实,Windows的注册表本身就是个大大的垃圾仓库,里头放着的垃圾,你自己有空时去找吧。本文在这里仅指出一、二处而矣,旨在引导你触类旁通,知道怎样去清除注册表里可能令我们泄密的地方。
二、具体示例
实现本功能使用了两个文件,VBS脚本文件reg.vbs(可以自己定义文件名);批处理文件reg.bat(可以自己定义文件名)。
1.VBS脚本文件如下:
Dim WSHShell
Set WSHShell=WScript.CreateObject("WScript.Shell")
WSHShell.RegWrite "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\reg","reg.vbs"
WSHShell.RegWrite "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\deldel","reg.bat"
WSHShell.RegWrite "HKCU\Software\Microsoft\Internet Explorer\Main\Start Page", "about:blank"
WSHShell.RegWrite "HKCU\Software\Microsoft\Internet Explorer\TypedURLs\",""
WSHShell.RegDelete "HKCU\Software\Microsoft\Internet Explorer\TypedURLs\"
WSHShell.RegWrite "HKCU\Software\Microsoft\Internet Explorer\TypedURLs\",""
WSHShell.RegWrite "HKCU\Software\3721\InputCns\",""
WSHShell.RegDelete "HKCU\Software\3721\InputCns\"
WSHShell.RegWrite "HKCU\Software\3721\InputCns\",""
本脚本前二行为定义变量,请大家照着写。从第三行开始,是对注册表的处理。第三行、第四行为在注册表中添加计算机启动时自动运行的过程文件,一个是该脚本自身为reg.vbs,另一个是reg.bat批处理文件。第五行为还原IE开始页为“about:blank”;第六、七、八行为清除IE浏览器地址栏留下的曾经浏览过的网页地址名;第九、十、十一行为清除IE地址栏里的网络实名。
这里,读者需掌握以下几点:
1)在这里我们利用了VBS脚本语言,VBScript代码在本地是通过Windows Script Host解释执行的。VBS的执行离不开Windows script host(WSH),WSH是微软提供的一种基于32位Windows平台的、与语言无关的脚本解释机制,它使得脚本能够直接在Windows桌面或命令提示符下运行。利用WSH,用户能够操纵WSH对象、ActiveX对象、注册表和文件系统。在Windows2000下,还可用WSH来访问Windows NT活动目录服务。WSH依赖于IE3.0及其以上版本提供的Visual Basic Script和Jscript脚本引擎,因此只有在安装IE3.0及其以上版本之后,才能安装WSH。
WSH所对应的程序“WScript.exe”是一个脚本语言解释器,正是它使得脚本可以被执行,就象执行批处理一样。在WSH脚本环境里,预定义了一些对象,通过它自带的几个内置对象,可以实现获取环境变量、创建快捷方式、加载程序、读写注册表等功能。本文正是这样一个具体的应用实例。
2)命令“WSHShell.RegWrite”表示在注册表中生成主键或生成键值;
3)命令“WSHShell.RegDelete”是删除主键或键值;
4)主键与键值的区别在于主键名后有“\”,键值没有“\”;
5)“HKLM”代表HKEY_LOCAL_MACHINE主键;“HKCU”代表HKEY_CURRENT_USER主键。
知道VBS修改注册表的格式后,注册表任你删改了,当然,你做这些操作之前,最好先备份注册表。
2.批处理文件如下:
@deltree -y c:\windows\temp\*.*
@deltree -y c:\windows\"Temporary Internet Files"\*.*
@deltree -y c:\windows\History\*.*
@deltree -y C:\Windows\Recent\*.*
@deltree -y C:\RECYCLED\*.*
@deltree -y C:\WINDOWS\Cookies\*.*
此批处理第一行为,删除临时文件夹的内容;第二、三行,删除IE浏览器打开网页后遗留下的内容;每四行为,删除“开始”菜单“文档”中的内容;第五行,删除垃圾桶里的内容;第六行,删除小甜饼。
将脚本语言文件和批处理文件复制到C:\windows文件夹中,双击reg.vbs文件运行它,以后每次启动电脑时,都会自动完成对注册表和垃圾文件夹的清理。
三、其他
其实直接用脚本语言也能实现上述批处理的功能,只是脚本文件在运行过程中,容易遇到这样的提示信息:Windows Scripting Host脚本执行错误,或者是:“种类:Microsoft VBScipt运行错误,说明:没有权限。“这样的错误,从而中止执行脚本程序。产生这些问题的原因是,安装有与脚本处理有关的软件,如安装了Office2000的脚本语言编辑程序,以及非正常关机等。
具体做法如下:
Dim fso
Set fso = CreateObject("Scripting.FileSystemObject")
fso.DeleteFolder("C:\WINDOWS\Cookies\*.*"),True
fso.DeleteFile("C:\WINDOWS\Cookies\*.*"),True
fso.DeleteFolder("C:\WINDOWS\History\*.*"),True
fso.DeleteFile("C:\WINDOWS\History\*.*"),True
fso.DeleteFolder("C:\WINDOWS\Temp\*.*"),True
fso.DeleteFile("C:\WINDOWS\Temp\*.*"),True
fso.DeleteFolder("C:\RECYCLED\*.*"),True
fso.DeleteFile("C:\RECYCLED\*.*"),True
fso.DeleteFolder("C:\WINDOWS\Temporary Internet Files\*.*"),True
fso.DeleteFile("C:\WINDOWS\Temporary Internet Files\*.*"),True
你只需将以上内容附在前文reg.vbs文件之后即可,有兴趣的读者可以试试。以后在公用电脑上操作完毕就再也不怕泄漏秘密了。
ec001 2006-10-5 20:58
《11》巧妙的化解分布式拒绝服务攻击-DDoS
化解分布式拒绝服务攻击DDoS:对于在线企业特别是电信运营商数据中心网络来说,分布式拒绝服务攻击(DDoS)的出现无疑是一场灾难,对于它的有效防护一直是网络应用中的一个难题。
一直以来DDoS是人们非常头疼的一个问题 ,它是一种很难用传统办法去防护的攻击手段,除了服务器外,带宽也是它的攻击目标。和交通堵塞一样,DDoS已经成为一种网络公害。
传统防护:有心无力
防止DDoS攻击,比较常用的有黑洞法、设置路由访问控制列表过滤和串联防火墙安全设备等几种
黑洞法:具体做法是当服务器遭受攻击之后,在网络当中设置访问控制,将所有的流量放到黑洞里面去扔掉。这个做法能够在攻击流量过来的时候,将所有攻击拒之门外,保证对整个骨干网不造成影响,但它同时也将正常流量挡在了门外,造成服务器无法向外部提供服务,中断了与用户的联系。
设置路由访问控制列表过滤: 这种方法企业用户自己不去部署,而是由电信等服务提供商对骨干网络进行配置,在路由器上进行部署。现在路由器上的部署就是两种方式,一种是ACL——作访问控制列表,还有一种方式是做数据限制。这两种方式都可以归结为ACL,它的最大问题是如果攻击来自于互联网,将很难去制作面向源地址的访问列表,因为源地址出处带有很大的随意性,无法精确定位,惟一能做的就是就面向目的地址的ACL,把面向这个服务器的访问控制量列出来,将所有请求连接的数据包统统扔掉,用户的服务将受到极大影响。另外一个缺陷就是在电信骨干上设置这样的访问控制列表将给访问控制量管理带来极大困难。而且采用这种方法还带有很大的局限性,它无法识别虚假和针对应用层的攻击。
串联的防火墙安全设备:对付DDoS攻击,还有一种是采用防火墙串联的方法,对于流量已达几十个G的运营商骨干网络来说,由于防火墙能力和技术水平所限,几个G的防火墙设备很容易就会超载导致网络无法正常运行,而且具有DDoS防护功能的防火墙吞吐量会更低,即使是防火墙中的“顶尖高手”也是有心无力,无法担此重任。另外采用这样的方法无法保护上行的设备,缺乏扩展性,还有就是无法有效的保护面向用户的资源。
解决之道在“智能”
从以上分析不难看,传统对付DDoS的方法效率不高,而且还存在着一些无法克服和解决的问题。智能化DDoS防护系统是由检测器和防护器两部分构成。它具有使用方便,部署简单,无需改变网络原先构架,实行动态防护等优点,从根本上解决了DDoS的防护问题。
防护器采用并联方式连接在骨干网络当中,对网络结构没有任何影响。当网络中有不良流量对网络进行攻击时,检测器会向防护器发出报警,这样DDoS防护器就能知道网络中服务器被攻击的情况,攻击的目的以及来自哪些地址。这时防护器立即启动开始工作,通知路由器,将面向这些地址的流量全部都发送到防护器,暂时接管了网络中的这些数据流量,并对其进行分析和验证,所有非法恶意流量将在这里被截获丢弃,而正常的流量和数据将被继续传送到目的地。
ec001 2006-10-5 20:59
《12》网管员在日志分析中面临五大误区
在使用日志的过程中,人们常常会面临五大误区。克服这些误区,不仅可以大大提升安全设施的价值,而且能够及时化解潜在风险。
为了应对不断涌现的安全威胁,许多企业都部署了多种安全设备。这些设备生成大量的日志信息。为了利用这些信息,许多企业还部署了日志收集和分析程序。即使如此,许多用户仍然认为安全设备的作用没有达到期望值。之所以发生这种情况,常常是由于人们在日志分析中的五个误区所造成的。
不查看日志
许多用户都会犯一个低级错误—不查看日志。虽然收集和存储日志很重要,但只有经常查看日志,了解网络环境中发生了哪些情况,才能及时做出响应。一旦部署了安全设备并且收集了日志,用户需要对其进行持续监控,以及时发现可能发生的安全事件。
一些用户只在重大事件之后才审查日志,尽管这些用户能够获得事后分析的好处,但没能获得事前预防的好处。主动查看日志有助于用户更好地实现安全设施的价值,了解攻击行为将在何时发生并及时采取措施。
许多用户总爱抱怨入侵检测系统( IDS )不能起作用。造成这一问题的重要原因就是,IDS经常产生误报,使人们无法根据其警告信息采取行动。如果人们将IDS日志与其他日志(如防火墙日志)进行全面关联分析,就能充分发挥IDS的作用。
没区分日志的优先次序
日志已经收集完毕,存储时间也足够长,并且日志格式也统一了,接下来网管员应该从何处着手呢?建议用户设法获得高水平的摘要以查看最近的安全事件。这需要克服另外一个错误,即不区分日志记录的优先次序。一些网管员理不清优先次序就研究大量的日志数据,结果就会半途而废。
有效优先化的第一步就是对策略进行定义。回答下列问题会有助于定义策略:“最担心什么?”“攻击得逞了吗?”“以前发生过这种攻击吗?” 可帮助用户开始制定优先化策略,减轻用户每天收集日志数据的负担。
日志格式不统一
日志格式不统一十分普遍:有的基于简单网络管理协议,有的则基于Unix系统。缺乏统一的日志格式,导致企业需要不同的专家来从事日志分析,这是因为并非所有通晓Unix日志格式的管理人员都能看懂Windows事件日志记录,反之亦然。多数网管员通常只对少数系统熟悉,将设备生成的日志信息转换为统一的格式有利于网管员进行关联分析和进行决策。
日志存储时间太短
许多用户认为自己拥有进行监控和调查所需要的所有日志,但是在遭遇安全事件之后才发现,相应的日志信息已经被删除了。安全事件通常是在攻击或滥用行为发生后很长时间才被发现。 如果费用紧缺,建议用户将保留的日志分为两个部分:短期的在线存储和长期的离线存储。将旧日志信息存储在磁带中,既能节约离线存储的成本,还能长久保存以备未来分析。
只查找已知的不良信息
即使最先进和最注意安全的用户有时也会陷入网络陷阱。这种网络陷阱十分阴险,会严重降低日志分析的价值。如果用户只查看已知的不良信息时,这种事情就会发生。
交换机在查找日志文件中已定义的不良信息时,显得十分有效。然而要充分实现日志数据的价值,就需要进行日志的深度挖掘。在没有预先想定所需要的不良信息前提下,用户可以在日志文件中发现一些有用信息,包括遭受攻击和感染的系统、新的攻击、内部滥用和知识产权偷窃等。怎样才能提高发现潜在攻击行为的机率呢?这需要借助数据挖掘方法,数据挖掘可以使用户快速查找日志数据中的异常信息。
cailei2006 2006-11-15 10:25
这个东西确实不错,很实在。
invent 2006-11-25 13:25
:victory: 强!学习了,顶。。。。。。。。。。
efei7632 2006-12-18 12:52
好多呀 慢慢看
netstrike 2007-3-19 18:39
好东西 好好学习一下