明輝手游網(wǎng)中心:是一個(gè)免費(fèi)提供流行視頻軟件教程、在線學(xué)習(xí)分享的學(xué)習(xí)平臺(tái)!

防掃描防溢出防竊密

[摘要]如何在局域網(wǎng)中保護(hù)自我, 不僅僅是管理員也是大家要掌握技術(shù)。 怎么做?筆者認(rèn)為首先要從防開始。   一、防掃描, 讓攻擊者暈頭轉(zhuǎn)向  幾乎所有的入侵都是從掃描開始的, 攻擊者首先判斷目標(biāo)主機(jī)是...

如何在局域網(wǎng)中保護(hù)自我, 不僅僅是管理員也是大家要掌握技術(shù)。 怎么做?筆者認(rèn)為首先要從防開始。   一、防掃描, 讓攻擊者暈頭轉(zhuǎn)向  幾乎所有的入侵都是從掃描開始的, 攻擊者首先判斷目標(biāo)主機(jī)是否存在, 進(jìn)而探測(cè)其開放的端口和存在的漏洞, 然后根據(jù)掃描結(jié)果采取相應(yīng)的攻擊手段實(shí)施攻擊。 因此, 防掃描是安全防護(hù)的第一步。 防掃描做得好, 就會(huì)讓惡意攻擊失去了目標(biāo)。   1、工具和原理  (1).掃描工具  攻擊者采用的掃描手段是很多的, 可以使用Ping、網(wǎng)絡(luò)鄰居、SuperScan、NMAP、NC、S掃描器等工具對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行掃描。 其中SuperScan的掃描速度非?, 而NMAP的掃描非常的專業(yè), 不但誤報(bào)很少, 而且還可以掃描到很多的信息, 包括系統(tǒng)漏洞、共享密碼、開啟服務(wù)等等。   (2).防范原理  要針對(duì)這些掃描進(jìn)行防范, 首先要禁止ICMP的回應(yīng), 當(dāng)對(duì)方進(jìn)行掃描的時(shí)候, 由于無(wú)法得到ICMP的回應(yīng), 掃描器會(huì)誤認(rèn)為主機(jī)不存在, 從而達(dá)到保護(hù)自己的目的。 另外, 利用蜜罐技術(shù)進(jìn)行掃描欺騙也是不錯(cuò)的方法。   2、防范措施  (1).關(guān)閉端口  關(guān)閉閑置和有潛在危險(xiǎn)的端口。 這個(gè)方法比較被動(dòng), 它的本質(zhì)是將除了用戶需要用到的正常計(jì)算機(jī)端口之外的其他端口都關(guān)閉掉。 因?yàn)榫秃诳投裕?所有的端口都可能成為攻擊的目標(biāo)。 可以說(shuō), 計(jì)算機(jī)的所有對(duì)外通訊的端口都存在潛在的危險(xiǎn), 而一些系統(tǒng)必要的通訊端口, 如訪問(wèn)網(wǎng)頁(yè)需要的HTTP(80端口);QQ(4000端口)等不能被關(guān)閉。   在Windows版本的服務(wù)器系統(tǒng)中要關(guān)閉掉一些閑置端口是比較方便的, 可以采用“定向關(guān)閉指定服務(wù)的端口”(黑名單)和“只開放允許端口的方式”(白名單)進(jìn)行設(shè)置。 計(jì)算機(jī)的一些網(wǎng)絡(luò)服務(wù)會(huì)有系統(tǒng)分配默認(rèn)的端口, 將一些閑置的服務(wù)關(guān)閉掉, 其對(duì)應(yīng)的端口也會(huì)被關(guān)閉了。   進(jìn)入“控制面板”→“管理工具”→“服務(wù)”項(xiàng)內(nèi), 關(guān)閉掉計(jì)算機(jī)的一些沒(méi)有使用的服務(wù)(如FTP服務(wù)、DNS服務(wù)、IIS Admin服務(wù)等等), 它們對(duì)應(yīng)的端口也被停用了。 至于“只開放允許端口的方式”, 可以利用系統(tǒng)的“TCP/IP篩選”功能實(shí)現(xiàn), 設(shè)置的時(shí)候, “只允許”系統(tǒng)的一些基本網(wǎng)絡(luò)通訊需要的端口即可。     圖1  (2).屏蔽端口  檢查各端口, 有端口掃描的癥狀時(shí), 立即屏蔽該端口。 這種預(yù)防端口掃描的方式通過(guò)用戶自己手工是不可能完成的, 或者說(shuō)完成起來(lái)相當(dāng)困難, 需要借助軟件。 這些軟件就是我們常用的網(wǎng)絡(luò)防火墻。   防火墻的工作原理是:首先檢查每個(gè)到達(dá)你的電腦的數(shù)據(jù)包, 在這個(gè)包被你機(jī)上運(yùn)行的任何軟件看到之前, 防火墻有完全的否決權(quán), 可以禁止你的電腦接收Internet上的任何東西。 當(dāng)?shù)谝粋(gè)請(qǐng)求建立連接的包被你的電腦回應(yīng)后, 一個(gè)“TCP/IP端口”被打開;端口掃描時(shí), 對(duì)方計(jì)算機(jī)不斷和本地計(jì)算機(jī)建立連接, 并逐漸打開各個(gè)服務(wù)所對(duì)應(yīng)的“TCP/IP端口”及閑置端口。 防火墻經(jīng)過(guò)自帶的攔截規(guī)則判斷, 就能夠知道對(duì)方是否正進(jìn)行端口掃描, 并攔截掉對(duì)方發(fā)送過(guò)來(lái)的所有掃描需要的數(shù)據(jù)包。   現(xiàn)在市面上幾乎所有網(wǎng)絡(luò)防火墻都能夠抵御端口掃描, 在默認(rèn)安裝后, 應(yīng)該檢查一些防火墻所攔截的端口掃描規(guī)則是否被選中, 否則它會(huì)放行端口掃描, 而只是在日志中留下信息而已。  3、防范工具   (1).系統(tǒng)防火墻  現(xiàn)在很多的防火墻都有禁止ICMP的設(shè)置, 而Windows XP SP2自帶的防火墻也包括該功能。 啟用這項(xiàng)功能的設(shè)置非常簡(jiǎn)單:執(zhí)行“控制面板”→“Windows防火墻”, 點(diǎn)擊“高級(jí)”選項(xiàng)卡, 選擇系統(tǒng)中已經(jīng)建立的Internet連接方式(寬帶連接), 點(diǎn)擊旁邊的“設(shè)置”按鈕打開“高級(jí)設(shè)置”窗口, 點(diǎn)擊“ICMP”選項(xiàng)卡, 確認(rèn)沒(méi)有勾選“允許傳入的回顯請(qǐng)求”, 最后點(diǎn)擊“確定”即可。     圖2  另外, 通過(guò)其他專業(yè)的防火墻軟件不但可以攔截來(lái)自局域網(wǎng)的各種掃描入侵, 從軟件的日志中, 我們還可以查看到數(shù)據(jù)包的來(lái)源和入侵方式等。   (2).第三方防火墻  在企業(yè)局域網(wǎng)中部署第三方的防火墻, 這些防火墻都自帶了一些默認(rèn)的“規(guī)則”, 可以非常方便地應(yīng)用或者取消應(yīng)用這些規(guī)則。 當(dāng)然也可以根據(jù)具體需要?jiǎng)?chuàng)建相應(yīng)的防火墻規(guī)則, 這樣可以比較有效地阻止攻擊者的惡意掃描。   比如以天網(wǎng)防火墻為例:首先運(yùn)行天網(wǎng)防火墻, 點(diǎn)擊操作界面中的“IP規(guī)則管理”按鈕, 彈出“自定義IP規(guī)則”窗口, 去掉“允許局域網(wǎng)的機(jī)器用ping命令探測(cè)”選項(xiàng), 最后點(diǎn)擊“保存規(guī)則”按鈕進(jìn)行保存即可。 例如創(chuàng)建一條防止Ineternet中的主機(jī)ping的規(guī)則, 可以點(diǎn)擊“增加規(guī)則”按鈕, 輸入如圖的相關(guān)參數(shù)就創(chuàng)建成功, 然后勾選并保存該規(guī)則就可以防止網(wǎng)絡(luò)中的主機(jī)惡意掃描局域網(wǎng)了。     圖3(3).蜜罐技術(shù)   蜜罐工具很多, 其原理大同小異, 它會(huì)虛擬一臺(tái)有“缺陷”的服務(wù)器, 等著惡意攻擊者上鉤。 在黑客看來(lái)被掃描的主機(jī)似乎打開了相應(yīng)的端口, 但是卻無(wú)法實(shí)施工具, 從而保護(hù)了真正的服務(wù)器, 這也可以說(shuō)是比較另類的防掃描手法。   例如, Defnet HoneyPot“蜜罐”虛擬系統(tǒng), 通過(guò)Defnet HoneyPot虛擬出來(lái)的系統(tǒng)和真正的系統(tǒng)看起來(lái)沒(méi)有什么兩樣, 但它是為惡意攻擊者布置的陷阱。 只不過(guò), 這個(gè)陷阱欺騙惡意攻擊者, 能夠記錄他都執(zhí)行了那些命令, 進(jìn)行了哪些操作, 使用了哪些惡意攻擊工具。 通過(guò)陷阱的記錄, 可以了解攻擊者的習(xí)慣, 掌握足夠的攻擊證據(jù), 甚至反擊攻擊者。 利用該工具部署一個(gè)蜜罐系統(tǒng)非常簡(jiǎn)單, 打開軟件, 輸入相應(yīng)的參數(shù)即可。 然后它會(huì)隨機(jī)啟動(dòng), 如果有惡意的掃描它都會(huì)記錄下來(lái)如圖。     圖4  現(xiàn)在的黑客工具非常普及其操作也越來(lái)越傻瓜化, 入侵門檻比較低。 一個(gè)具有初、中級(jí)電腦水平的攻擊者利用掃描器隨意掃描, 就能夠完成一次入侵。 做好防掃描措施, 就能夠在很大程度上杜絕來(lái)自這些一般入侵者的騷擾, 而這也是網(wǎng)絡(luò)入侵的大多數(shù)。 二、防溢出, 讓攻擊者無(wú)功而返   溢出是操作系統(tǒng)、應(yīng)用軟件永遠(yuǎn)的痛!在駭客頻頻攻擊、系統(tǒng)漏洞層出不窮的今天, 任何人都不能保證操作系統(tǒng)系統(tǒng)、應(yīng)用程序不被溢出。 既然溢出似乎是必然的, 而且利用溢出攻擊的門檻比較低, 利用工具有一定電腦基礎(chǔ)的人都可以完成一次溢出。 這樣看來(lái), 我們的系統(tǒng)就處于隨時(shí)被溢出的危險(xiǎn)中, 所以防溢出也是我們必須要做的工作。   1、全面出擊, 嚴(yán)防死守  (1).必須打齊補(bǔ)丁  盡最大的可能性將系統(tǒng)的漏洞補(bǔ)丁都打完;Microsoft Windows Server系列的服務(wù)器系統(tǒng)可以將自動(dòng)更新服務(wù)打開, 然后讓服務(wù)器在指定的某個(gè)時(shí)間段內(nèi)自動(dòng)連接到Microsoft Update網(wǎng)站進(jìn)行補(bǔ)丁的更新。 如果服務(wù)器為了安全起見(jiàn)禁止了對(duì)公網(wǎng)外部的連接的話, 可以用Microsoft WSUS服務(wù)在內(nèi)網(wǎng)進(jìn)行升級(jí)。   (2).服務(wù)最小化  最少的服務(wù)等于最大的安全, 停掉一切不需要的系統(tǒng)服務(wù)以及應(yīng)用程序, 最大限度地降底服務(wù)器的被攻擊系數(shù)。 比如前陣子的NDS溢出, 就導(dǎo)致很多服務(wù)器掛掉了。 其實(shí)如果WEB類服務(wù)器根本沒(méi)有用到DNS服務(wù)時(shí), 大可以把DNS服務(wù)停掉, 這樣DNS溢出就對(duì)你們的服務(wù)器不構(gòu)成任何威脅了。     圖5  (3).端口過(guò)濾  啟動(dòng)TCP/IP端口的過(guò)濾, 僅打開服務(wù)器常用的TCP如21、80、25、110、3389等端口;如果安全要求級(jí)別高一點(diǎn)可以將UDP端口關(guān)閉, 當(dāng)然如果這樣之后缺陷就是如在服務(wù)器上連外部就不方便連接了, 這里建議大家用IPSec來(lái)封UDP。 在協(xié)議篩選中只允許TCP協(xié)議、UDP協(xié)議 以及RDP協(xié)議等必需用協(xié)議即可;其它無(wú)用均不開放。  (4).系統(tǒng)防火墻   啟用IPSec策略, 為服務(wù)器的連接進(jìn)行安全認(rèn)證, 給服務(wù)器加上雙保險(xiǎn)。 封掉一些危險(xiǎn)的端口, 諸如:135 145 139 445 以及UDP對(duì)外連接之類、以及對(duì)通讀進(jìn)行加密與只與有信任關(guān)系的IP或者網(wǎng)絡(luò)進(jìn)行通訊等等。 通過(guò)IPSec禁止UDP或者不常用TCP端口的對(duì)外訪問(wèn)就可以非常有效地防反彈類木馬。   (5).系統(tǒng)命令防御  刪除、移動(dòng)、更名或者用訪問(wèn)控制表列Access Control Lists (ACLs)控制關(guān)鍵系統(tǒng)文件、命令及文件夾:攻擊者通常在溢出得到shell后, 來(lái)用諸如net.exe、net1.exe、ipconfig.exe、user.exe、query.exe、 regedit.exe、regsvr32.exe 來(lái)達(dá)到進(jìn)一步控制服務(wù)器的目的。 如:加賬號(hào)、克隆管理員了等等。 我們可以將這些命令程序刪除或者改名。   訪問(wèn)控制表列ACLS控制找到%windir%system32下找到cmd.exe、cmd32.exe、net.exe、net1.exe、ipconfig.exe、tftp.exe、ftp.exe、user.exe、reg.exe、regedit.exe、regedt32.exe、regsvr32.exe這些黑客常用的文件, 在“屬性”→“安全”中對(duì)他們進(jìn)行訪問(wèn)的ACLs用戶進(jìn)行定義, 諸如只給administrator有權(quán)訪問(wèn), 如果需要防范一些溢出攻擊、以及溢出成功后對(duì)這些文件的非法利用;那么我們只需要將system用戶在ACLs中進(jìn)行拒絕訪問(wèn)即可。     如果你覺(jué)得在GUI下面太麻煩的話, 你也可以用系統(tǒng)命令的CACLS.EXE來(lái)對(duì)這些.exe文件的Acls進(jìn)行編輯與修改, 或者說(shuō)將他寫成一個(gè).bat批處理 文件來(lái)執(zhí)行以及對(duì)這些命令進(jìn)行修改。 對(duì)磁盤如C、D、E、F等進(jìn)行安全的ACLS設(shè)置從整體安全上考慮的話也是很有必要的, 另外特別要對(duì)Windows、WinntSystem、Document and Setting等文件夾。 (6).組策略配置   想禁用“cmd.exe”, 執(zhí)行“開始→運(yùn)行”輸入gpedit.msc打開組策略, 選擇“用戶配置→管理模板→系統(tǒng)”, 把“阻止訪問(wèn)命令提示符”設(shè)為“啟用”。 同樣的可以通過(guò)組策略禁止其它比較危險(xiǎn)的應(yīng)用程序。     圖7  (7).服務(wù)降級(jí)  對(duì)一些以System權(quán)限運(yùn)行的系統(tǒng)服務(wù)進(jìn)行降級(jí)處理。 比如:將Serv-U、Imail、IIS、Php、Mssql、Mysql等一系列以 System權(quán)限運(yùn)行的服務(wù)或者應(yīng)用程序換成其它administrators成員甚至users權(quán)限運(yùn)行, 這樣就會(huì)安全得多了。 但前提是需要對(duì)這些基本運(yùn)行狀態(tài)、調(diào)用API等相關(guān)情況較為了解。   其實(shí), 關(guān)于防止如Overflow溢出類攻擊的辦法除了用上述的幾點(diǎn)以外, 還有很多種辦法:比如通過(guò)注冊(cè)表進(jìn)行建立相應(yīng)的鍵值, 進(jìn)行設(shè)置;寫防護(hù)過(guò)濾程序用DLL方式加載windows到相關(guān)的SHell以及動(dòng)態(tài)鏈接程序之中這類。 當(dāng)然自己寫代碼來(lái)進(jìn)行驗(yàn)證加密就需要有相關(guān)深厚的Win32編程基礎(chǔ)了, 以及對(duì)Shellcode較有研究。   三、防竊密, 讓惡意用戶無(wú)可奈何   在資源比較緊缺的企事業(yè)單位中多人共用一臺(tái)電腦是非常普遍的, 或者在某些企業(yè)中有那么一些公共電腦供大家使用。 既然多人使用, 存儲(chǔ)在這些電腦上的公共資料以及個(gè)人資料就沒(méi)有什么安全性可言, 極易造成信息的泄密, 因此如何安全部署這些公用電腦是擺在管理員面前的一個(gè)必須要解決的問(wèn)題。   1、操作系統(tǒng)很重要  管理員要實(shí)施對(duì)這些公共電腦的權(quán)限控制, 就必須得考慮采用什么操作系統(tǒng)。 由于Server版系統(tǒng)的安全性遠(yuǎn)遠(yuǎn)高于個(gè)人版系統(tǒng), 一般在這樣的電腦上安裝Windows Server 2003或者Windows Server 2008這樣的系統(tǒng)。 另外, 要設(shè)置用戶權(quán)限系統(tǒng)分區(qū)格式必須是NTFS格式。   2、嚴(yán)密部署  (1).每個(gè)用戶各歸其所  管理員制定安全策略, 為每個(gè)用戶在公共電腦上建立私人文件夾僅供個(gè)人使用, 另外建一個(gè)共享文件夾讓大家使用。 具體步驟是:  在文件公共電腦上建立NTFS分區(qū), 然后為每個(gè)用戶創(chuàng)建一個(gè)賬號(hào), 再創(chuàng)建一個(gè)組包含所有的用戶。 為每個(gè)用戶創(chuàng)建一個(gè)共享文件夾, 在設(shè)置共享權(quán)限的時(shí)候去掉Everyone組, 將對(duì)應(yīng)的個(gè)人用戶賬號(hào)添加進(jìn)來(lái), 然后根據(jù)需要設(shè)置權(quán)限。 為所有的人創(chuàng)建一個(gè)共享文件夾, 再在設(shè)置共享權(quán)限的時(shí)候去掉Everyone組, 將第一步中創(chuàng)建的包含所有用戶的組添加進(jìn)來(lái)如圖1, 然后根據(jù)需要設(shè)置權(quán)限即可。   (2).防止惡意刪除  公共文件夾里的內(nèi)容是只許大家看的, 但有些惡意用戶會(huì)刪除其中的文件, 因此還要做好防刪除措施。 操作如下:   右鍵點(diǎn)擊公共文件夾“屬性→安全→高級(jí)”, 取消“允許父項(xiàng)的繼承權(quán)限傳播到到該對(duì)象和所有子對(duì)象”選項(xiàng), 在彈出的菜單中選擇“刪除”操作, 點(diǎn)擊“確定”。 添加需要設(shè)置的帳號(hào), 只賦予該帳號(hào)“遍歷文件夾/運(yùn)行文件 ”、“列出文件夾/讀取數(shù)據(jù) ”、“讀取屬性 ”、“讀取擴(kuò)展屬性 ”、“創(chuàng)建文件/寫入數(shù)據(jù) ”看到的文章源自活動(dòng)目錄、“創(chuàng)建文件夾/附加數(shù)據(jù) ”、“寫入屬性 ”、“寫入擴(kuò)展屬性”的權(quán)限。 拒絕該帳號(hào)“刪除子文件夾及文件”和“刪除”權(quán)限。 選中“用在此顯示的可以應(yīng)用到子對(duì)象的項(xiàng)目代替所有子對(duì)象的權(quán)限項(xiàng)目”, 點(diǎn)擊“確定”。     圖10  關(guān)于局域網(wǎng)中公共電腦的安全部署因?yàn)榫唧w的安全要求、應(yīng)用需求等不同會(huì)有所不同, 上面的兩個(gè)策略是最常見(jiàn)的。 在實(shí)際應(yīng)用中, 關(guān)鍵是制定安全策略, 然后利用技術(shù)去實(shí)現(xiàn)。   總結(jié):防掃描、防溢出、防竊密這是局域網(wǎng)安全安防的重點(diǎn), 但不是全部。 另外, 安全防護(hù)不僅僅是技術(shù), 還是意識(shí)。 只有大家提高自身的安全意識(shí), 然后利用相應(yīng)的技術(shù)才能最大程度地保證網(wǎng)絡(luò)安全。


上面是電腦上網(wǎng)安全的一些基礎(chǔ)常識(shí),學(xué)習(xí)了安全知識(shí),幾乎可以讓你免費(fèi)電腦中毒的煩擾。




標(biāo)簽:防掃描防溢出防竊密