安全是平的 从身份认证与内网安全说起
[ 2007-03-25 04:09:21 | 作者: sun ]
《世界是平的》是美国《纽约时报》专栏作家托马斯·弗里德曼今年最轰动的著作,继早年的《凌志汽车与橄榄树》之后,弗里德曼再一次将全球化的平坦之路呈现在全球读者面前,只不过,这次的主角是IT。
的确,IT产业将全球供应链与市场结合到一起。记者无意去研究宏观的IT环境,不过当记者把全部精力投入到安全上面的时候,有趣的结果产生了:安全也是平的。
从安全网关、防火墙、UTM、防病毒、IDS/IPS、VPN,到内网身份认证、安全客户端、安全日志、网管系统,看似独立的安全产品已经出现了改变,无论是从早先的安全联动、802.1X、还是近期的私有安全协议、安全与目录服务整合,都体现出了一个趋势:安全是密切相连的,是“你中有我,我中有你。”
信息安全的第一要素就是制定“企业安全规范”,而这个“安全规范”恰恰是企业各部分业务与各种安全产品的整合,涵盖了从存储、业务传输、行为安全、网络基础设施、运行安全、系统保护与物理连接的各个层面。
换句话说,安全已经不是传统上的单一设备,或者像某些厂商所讲的那种独立于网络的设备。事实上,近三年的发展已经证明,日后信息安全将会逐渐以用户需求的系统方案为核心。而在这套完整的安全方案之内,各部分都是有机联系的,之间呈现一种技术与需求交织的扁平网状关系。
因此当大多数人还沉迷于“不着边际”的《蓝海战略》的时候,记者则开始关注信息安全的平坦化了。同时,为了让更多的读者了解信息安全的现状,记者专门打造了“安全是平的”系列专题,与大家一起研究信息安全的新技术与新应用。
作为本系列的开篇之作,记者从“身份认证与内网安全”入手。这一对密不可分的安全要素,已经成为了当前安全界最热门的话题,很多企业用户对于两者的关联与部署充满了疑问,而记者也专门咨询了Cisco、CA、Juniper、神州数码网络、深信服、新华人寿保险集团和福建兴业银行的IT安全专家,与读者一起分享其中的心得。
【大势所趋】从双因数认证入手
目前在信息安全界有三大技术趋势:第一,可信计算;第二,身份认证与内网安全;第三,统一威胁管理(UTM)。根据IDC在今年1月份的统计报告,目前在身份认证与内网安全方面的需求最多。而IDC近期出炉的《2006~2010中国IT安全市场分析与预测》报告则显示:排名靠前的安全厂商都与身份认证与内网安全沾边。
在身份认证过程中,一般都是基于用户名和密码的做法。根据美国《Network World》今年8月份的调查结果,超过60%的企业已经对传统的认证方式不放心了。
所谓双因数认证,是针对传统身份认证而言的。深信服的安全产品经理叶宜斌向记者表示,随着各种间谍软件、键盘记录工具的泛滥,企业的IT人员发现,仅仅依靠用户名、密码的单一认证体制非常不安全。而双因数认证则基于硬件建权,通过建立证书系统来进行客户端的认证工作。
另外,采用双因数认证还可以保证客户端登录网络的唯一性。神州数码网络的安全产品经理王景辉介绍说,安全证书的生成可以提取其他一些信息,比如网卡MAC 地址、客户端CPU的序列号等。因此当一台笔记本电脑第一次进入企业网络时,第一步是认证系统产生用户名和密码,第二步则是系统收集笔记本的特征,进而提取具备唯一性的信息,以便生成一个唯一对应的证书。所有的认证信息都可以导入认证服务器,从而实现对客户端唯一性登录的检查。
根据美国和中国的统计,超过七成的政府部门都在使用证书系统保证身份认证的安全可靠。此外,大部分网络银行服务业采用了证书模式。
招商银行的IT专家透露说,目前该行已经在专业版网上银行系统中采用安全数字证书,并通过USB Key的方式进行保存。USB Key中存放的是用户个人的数字证书,银行和用户各有一份公钥和私钥,用户仅需要记忆一个密码就可以使用。
新华人寿保险集团的IT经理向记者表示,USB Key的认证模式在新华人寿已经全部实现了,主要还是为日常的OA服务。而该项目的实施方,CA的安全专家介绍说,现在很多大型企业已经开始采用证书系统,像新华人寿这样的企业,对系统数据流安全非常关注,特别是关注那些很多到桌面、到用户文件的内容。
除了数字证书,还有一种双因数认证方式,即动态令牌。动态令牌根据基于时间的算法,每分钟都产生一个5-6位的认证串号。在客户端,用户通过一个类似电子表的硬件,计算出每分钟产生的令牌串号。那么用户登录系统,只要输入用户名和相应时间段的串号,就可以安全登录。
有意思的是,记者发现很多IT安全厂商自身都在使用动态令牌技术。像神州数码网络内部的SSL VPN就采用了动态令牌的安全登录方式。动态令牌避免了记忆密码的过程,其寿命一般为三年。不过动态令牌由于内置了一个相当精确的时钟,因此成本较高。
【平坦安全】内网安全之美
前面讲过了,目前安全界的趋势是平坦化。一套认证系统做的再强大,如果仅仅孤立存在,仍然无法带来更多的价值。事实上,认证系统越来越成为内网安全的一个子系统,它确保了企业网在出现安全问题的时候,内网安全机制能够最终定位到具体的设备或者具体的人员上。
要知道,把安全问题落实到点上是多少年来企业IT人员的梦想。新华人寿的IT安全负责人向记者表示,以前企业配置了IDS,结果一旦网络出现问题,IDS 就会不停的报警,然后给网管人员发出一大堆可疑的IP地址信息。网管不是计算机,让它从一堆IP地址中定位某一台设备,这简直是在自虐。
利用认证系统,首先就可以保证网络用户的真实性与合法性。只有界定了合法用户的范围,才有定位的可能性。
目前,不少安全厂商已经开始完善自身的内网安全技术,并与身份认证系统做到有机结合。王景辉介绍说,他们已经把防水墙(客户端系统)、DCBI认证系统、 IDS、防火墙结合在一起组成了DCSM内网安全管理技术,作为3DSMP技术的具体化。而在DCSM技术中,提出了五元素控制:即用户名、用户账号、 IP地址、交换机端口、VLAN绑定在一起,进一步去做访问控制。
在此基础上,内网安全机制可以根据IDS/IPS的报警,对用户进行判断:比如是否为某个用户发动了攻击?或者某个用户是否感染了特定的病毒,比如发现该用户扫描特定端口号就可以判断感染了蠕虫病毒。此时,DCBI控制中心就会进行实时告警。若告警无效,系统就可以阻断某个用户的网络联结。
由于通过完整的认证过程,系统可以知道用户所在交换机端口和所在的VLAN,封杀就会非常精确。
不难看出,一套安全的认证系统,在内网安全方案中扮演着网络准入控制NAC的角色。Cisco的安全工程师介绍,一套完善的认证机制与内网安全管理软件组合在一起,就可以实现丰富的准入控制功能。此外,一般这类管理软件本身不需要安装,只要通过服务器进行分发,就可以推给每一台试图接入网络的计算机上。
而Juniper的安全产品经理梁小东也表示,把认证系统与内网安全系统结合起来,可以确保总体的网络设计更加安全。而且通过内置的安全协议,可以最大程度地让更多的安全产品,如防火墙、IDS/IPS、UTM、VPN等互动起来。而用户也可以根据自己的预算和资金情况,选配不同的模块,具备了安全部署的灵活性。
在采访的过程中,记者发现各个安全厂商已经在内网安全的问题上达成了共识。也许正如王景辉所讲的,虽然企业用户都拥有完善的基础设施,包括全套防病毒系统,可近两年的状况是,病毒大规模爆发的次数不但没有减少,反而更多了,而且大量安全事件都是从内网突破的。
因此总结起来看,要实现一套完善的内网安全机制,第一步就需要一个集中的安全认证;第二步是部署监控系统。让IDS/IPS来监控网络中的行为,去判断是否存在某种攻击或者遭遇某种病毒;第三步是具体执行。当问题判断出来以后,让系统合理地执行很重要。传统上封堵IP的做法,对于现在的攻击和病毒效果不好,因为现在的攻击和病毒MAC地址及IP地址都可以变化。因此有效的方式,就是在安全认证通过以后,系统就可以定位到某一个IP的用户是谁,然后确定相关事件发生在哪一个交换机端口上。这样在采取行动的时候,就可以避免阻断整个IP子网的情况。此外,通过利用802.1X协议,整套安全系统可以把交换机也互动起来,这样就可以更加精确地定位发生安全事件的客户机在哪里。
主流安全认证技术一瞥
属性 类型 主要特点 应用领域 主要问题
单因数认证 用户名密码体制 静态的认证方式,实现简单 常见于办公网络 安全性较差
短信认证 动态的认证方式,部署方便,成本较低,安全性较高 常用于企业IT部门或部分金融机构 无法与AD结合
双因数认证 数字证书 安全性很高,可以与AD结合使用。 常见于金融机构,政府部门 系统开发的复杂度高,存在一定的证书安全隐患
动态令牌 具有最高的安全性,基本不会有单点安全的困扰 IT安全厂商有使用 成本高昂
【精明用户】混合认证模式
的确,纯粹的双因数认证对于安全起到了很高的保障作用。但不可否认的是,其带来的IT管理问题也无法忽视。
美国《Network World》的安全编辑撰文指出,美国很多年营业额在1.5亿到10亿美元的中型企业用户,很多都不考虑双因数认证的问题。因为他们认为,双因数认证系统不仅难于配置,而且花费在购买和实施上的资金也较高,特别是其管理和维护的复杂度也过高。
回到国内,记者发现类似的问题确实也有不少。这个问题的关键在于,这些中型企业恰好处于市场的成长期,用户的账号像兔子繁殖一样增加。因此认证需要的安全预算和人力不成正比。在此模式下,部署最安全的双因数认证体系固然会给企业的IT部分增加较大的压力。
不过,这并不意味着认证安全无法解决。事实上,很多企业已经开始行动了。在此,记者很高兴地看到了一种具有中国特色的“混合认证”模式已经投入了使用。
顾名思义,“混合认证”就是把传统的身份认证与双因数认证进行了整合,以求获得最佳性价比。在此,请跟随记者去看看福建兴业银行的典型应用。福建兴业银行在认证系统中,将对人的认证和对机器的认证进行了有机结合。在OA办公领域,采用的都是传统的“用户名+密码”的方式,而在分散各地的ATM机器中,采用了双因数认证,通过收集ATM机器的序列号与后台的Radius服务器进行自动无线认证,从而确保了安全监管的需求。
“我们通过这种混合认证模式,既保证了OA系统的简单、高效,同时又在安全的基础上,降低了企业网的运营成本。”福建兴业银行的IT安全负责 人解释说,“这是把有限的资金用在生产网上。”
对于类似的认证,确实可以确保企业的安全与利益。神州数码网络的安全产品经理颜世峰曾向记者坦言,如果国内企业普遍采用了混合认证模式,那么可以极大地规范企业网中的隐性安全问题,包括一些私有设备和无线设备的准入控制,都可以低成本地解决。
事实上,中国特色的模式还不仅如此。叶宜斌曾经和记者开玩笑地说道:“在这个世界上,没有哪个国家的人比中国人更喜欢发短信了。”因此,利用短信进行安全认证也成为了一大特色。
短信认证的成本很低,客户端只需要一部手机,服务器端类似一部具备SIM卡的短信群发机。用户登录时用手机接收用户名和密码,这种模式甚至可以规定用户安全认证的期限。不过叶宜斌也指出,短信认证虽然安全、成本低,但是其无法与企业目录服务(AD)进行整合,因此易用性受到挑战。
【系统整合】平坦概念出炉
近年来,在美国安全界一直有一个困扰:就是如何避免内网安全的泥石流问题。所谓泥石流问题,其根源还是多重账户密码现象。要知道,无论是多么完善的认证系统,或者认证系统与内网安全技术结合的多么好,用户都难以避免多账户密码的输入问题。
登录账户、密码,邮件账户、密码,办公账户、密码等等,还有多账户、多密码的问题已经引起企业IT人员的重视。因为人们难以记忆不同的账户名和密码,而这往往导致安全隐患的出现。事实上,在2004年8月欧洲的InfoSecurity大会期间,有70%的伦敦往返者欣然地和其他在会议中的人士共享他们的登录信息,其初衷仅仅是为了少记忆一点账户名和密码。
为此,将安全认证、内网安全、包括VPN信息中的账户密码统一起来,已经是不可忽视的问题了。王景辉介绍说,目前各家厂商都希望将认证系统、内网安全设备,包括VPN、UTM等,与企业的AD整合到一起。他认为,这样做绝对是一个很好的思路。
因为目前企业用AD的很多,微软的产品多,因此安全技术中的所有模块都可以进行整合,包括认证系统与AD的深度开发。在很多情况下,让企业的IT人员维护两套甚至更多的账号系统一样也是不现实的,而且相当麻烦。
合理的方法是与用户既有的认证系统结合起来,而目前使用最多的就是域账号。对此,企业的VPN、动态VPN包括认证系统都可以使用相同的AD账户,从而实现单点登录(Single Sign On)。
从更大的方面说,整个网络准入控制阶段都可以与AD结合。正如Cisco的安全工程师所说的,现在的整体安全技术,最起码都要做到与AD结合,做到与Radius认证结合,因为这两个是最常用的。
有意思的是,根据美国《Network World》和本报在2005年的统计,无论是中国用户还是美国用户,企业网中部署AD的都相当多,从中也反映出Windows认证的规模最广。但要把AD与内网安全进行整合,目前最大挑战在于,安全厂商必须对微软的产品特别了解,需要一定的技术支持才能做相应的开发。
以新华人寿的认证系统为例,传统的Windows登录域界面已经被修改,新的界面已经与后台AD和企业邮件系统作了整合,一次登录就可以实现访问所有应用。
此外,根据用户的具体需求,王景辉表示内网安全技术还可以进一步与LDAP、X.509证书进行结合。记者了解到,目前国内的很多政府部门都在做类似的工作。以河南计生委的安全系统为例。河南计生委的数字证书都是基于原CA公司的认证系统生成的。因此,他们在部署其他安全设备的时候,不能另起炉灶再搞一套,否则会出现多次认证的问题。这就要求安全厂商需要同原CA厂商合作,一起做认证接口的数据交换——安全厂商负责认证信息提交,CA厂商负责认证与返还信息。最后,与CA证书结合后的安全系统同样可以实现一次性的三点认证(身份、域、VPN)。
记者注意到,美国《Network World》的安全编辑近期非常热衷于统一认证管理UIM的概念,他认为将双因数认证、企业中央AD、后台认证服务器和信任仓库、以及部分网络准入控制的模块整合在一起,就可以形成最完善的UIM体制。
其理由也很简单—认证几乎无可避免:很多应用使用权力分配的、或者所有权的认证方法和数据库,因此想要利用一个简单的认证平台去支持所有的应用几乎是不可能的。而这正是UIM存在的基础。
对此,国内安全厂商的看法是,UIM很重要,可以解决企业用户的认证管理问题,不过从更大的内网安全方向看,UIM仍不是全部。颜世峰的看法是,一套完善的内网安全技术至少包括三方面:第一网络准入控制NAC(也可以算是UIM)。它保证了只有合法的、健康的主机才可以接入网络,其中包括用户身份认证与接入设备的准入控制管理;第二,网络终端管理NTM。它解决企业办公终端的易用性、统一管理、终端安全等问题;第三,网络安全运行管理NSRM。它可以动态保证网络设备、网络线路的安全、稳定运行,自动发现网络故障、自动解决并报警。
看到了么,一套身份认证系统,就牵扯出整个内网安全的各个组成部分。现在应该没有人会怀疑安全的平坦化了,但请记住,平坦才刚刚开始。
编看编想:平坦的安全缺乏标准
安全是平的,但在平坦的技术中缺乏标准。不论是身份认证还是更加庞大的内网安全,各个国家都没有对应的通用标准。事实上,即便是802.1X协议,各个安全厂家之间也无法完全通用。
对内网安全技术来说,现在国内外没有一个厂商大到有很强的实力,把不同的专业安全厂商的产品集成到一起,因此很多还要靠大家一起来做。因此业界有天融信的TOPSEC,也有CheckPoint的OPSEC,也有神州数码自己定义的协议SOAP。
业界需要标准,但是没有。王景辉无奈地向记者表示,各家厂商不得不定义自己的通信接口和密钥协商机制,其中还要确保协议隧道中的所有数据都是加密的。不过他同时认为,目前的状态可以满足市场需求。
记得有印象,早在2000年就有人提出统一安全标准的问题,但是做不到。退一步说,目前安全市场的趋势是变化和更新速度非常快。开发一个安全协议要考虑保护用户现有和既有的投资,要让过去的设备能用起来。但现在的情况是,还没有等协议出来,过去的设备已经过时了,从这个角度上说,统一所有厂家的安全协议没有价值。
而且,各国政府在安全上是有自己的想法的,国际厂商出一个协议,不一定能够认同。
黑客Web欺骗的工作原理和解决方案
[ 2007-03-25 04:08:54 | 作者: sun ]
前言
本文描述Internet上的一种安全攻击,它可能侵害到WWW用户的隐私和数据完整性。这种攻击可以在现有的系统上实现,危害最普通的Web浏览器用户,包括Netscape Navigator和Microsoft Internet Explorer用户。
允许攻击者创造整个WWW世界的影像拷贝。影像Web的入口进入到攻击者的Web服务器,经过攻击者机器的过滤作用,允许攻击者监控受攻击者的任何活动,包括帐户和口令。攻击者也能以受攻击者的名义将错误或者易于误解的数据发送到真正的Web服务器,以及以任何Web服务器的名义发送数据给受攻击者。简而言之,攻击者观察和控制着受攻击者在Web上做的每一件事。
欺骗攻击
在一次欺骗攻击中,攻击者创造一个易于误解的上下文环境,以诱使受攻击者进入并且做出缺乏安全考虑的决策。欺骗攻击就像是一场虚拟游戏:攻击者在受攻击者的周围建立起一个错误但是令人信服的世界。如果该虚拟世界是真实的话,那么受攻击者所做的一切都是无可厚非的。但遗憾的是,在错误的世界中似乎是合理的活动可能会在现实的世界中导致灾难性的后果。
欺骗攻击在现实的电子交易中也是常见的现象。例如,我们曾经听说过这样的事情:一些西方罪犯分子在公共场合建立起虚假的ATM取款机,该种机器可以接受ATM卡,并且会询问用户的PIN密码。一旦该种机器获得受攻击者的PIN密码,它会要么“吃卡”,要么反馈“故障”,并返回ATM卡。不论哪一种情况,罪犯都会获得足够的信息,以复制出一个完全一样的ATM卡。后面的事情大家可想而知了。在这些攻击中,人们往往被所看到的事物所愚弄:ATM取款机所处的位置,它们的外形和装饰,以及电子显示屏的内容等等。
人们利用计算机系统完成具有安全要求的决策时往往也是基于其所见。例如,在访问网上银行时,你可能根据你所见的银行Web页面,从该行的帐户中提取或存入一定数量的存款。因为你相信你所访问的Web页面就是你所需要的银行的Web页面。无论是页面的外观、URL地址,还是其他一些相关内容,都让你感到非常熟悉,没有理由不相信。但是,你很可能是在被愚弄。
Web欺骗的欺骗手段
TCP和DNS欺骗
除了我们将要讨论的欺骗手段外,还有一些其他手段,在这里我们将不做讨论。这种攻击的例子包括TCP欺骗(在TCP包中使用伪造的IP地址)以及DNS欺骗(攻击者伪造关于机器名称和网络信息)。读者有兴趣可以阅读有关资料。
Web欺骗
Web欺骗是一种电子信息欺骗,攻击者在其中创造了整个Web世界的一个令人信服但是完全错误的拷贝。错误的Web看起来十分逼真,它拥有相同的网页和链接。然而,攻击者控制着错误的Web站点,这样受攻击者浏览器和Web之间的所有网络信息完全被攻击者所截获,其工作原理就好像是一个过滤器。
后果
由于攻击者可以观察或者修改任何从受攻击者到Web服务器的信息;同样地,也控制着从Web服务器至受攻击者的返回数据,这样攻击者就有许多发起攻击的可能性,包括监视和破坏。
攻击者能够监视受攻击者的网络信息,记录他们访问的网页和内容。当受攻击者填写完一个表单并发送后,这些数据将被传送到Web服务器,Web服务器将返回必要的信息,但不幸的是,攻击者完全可以截获并加以使用。大家都知道绝大部分在线公司都是使用表单来完成业务的,这意味着攻击者可以获得用户的帐户和密码。下面我们将看到,即使受攻击者有一个“安全”连接(通常是通过Secure Sockets Layer来实现的,用户的浏览器会显示一把锁或钥匙来表示处于安全连接),也无法逃脱被监视的命运。
在得到必要的数据后,攻击者可以通过修改受攻击者和Web服务器之间任何一个方向上的数据,来进行某些破坏活动。攻击者修改受攻击者的确认数据,例如,如果受攻击者在线订购某个产品时,攻击者可以修改产品代码,数量或者邮购地址等等。攻击者也能修改被Web服务器所返回的数据,例如,插入易于误解或者攻击性的资料,破坏用户和在线公司的关系等等。
欺骗整个Web世界
你可能认为攻击者欺骗整个Web世界是不可能的,但是恰恰相反,攻击者不必存储整个Web世界的内容,他只需要制造出一条通向整个Web世界的链路。当他需要提供关于某个Web站点的错误Web页面时,他只需要在自己的服务器上建立一个该站点的拷贝,由此等待受害者自投罗网。
Web欺骗的工作原理
欺骗能够成功的关键是在受攻击者和其他Web服务器之间设立起攻击者的Web服务器,这种攻击种类在安全问题中称为“来自中间的攻击”。为了建立起这样的中间Web服务器,黑客往往进行以下工作。
改写URL
首先,攻击者改写Web页中的所有URL地址,这样它们指向了攻击者的Web服务器而不是真正的Web服务器。假设攻击者所处的Web服务器是 www.org ,攻击者通过在所有链接前增加 http://www.www.org 来改写URL。例如,http://home.xxx1.com 将变为 http://www.www.org/http://home.xxx1.com. 当用户点击改写过的http://home.xxx1.com (可能它仍然显示的是 http://home.xxx1 ),将进入的是http://www.www.org ,然后由 http://www.www.org 向 ttp://home.xxx1.com发出请求并获得真正的文档,然后改写文档中的所有链接,最后经过 http://www.www.org 返回给用户的浏览器。工作流程如下所示:
1.用户点击经过改写后的 http://www.www.org/http://home.xxx1.com ;
2.http://www.www.org向http://home.xxx1.com 请求文档;
3.http://home.xxx1.com向http://www.www.org 返回文档;
4.http://www.www.org 改写文档中的所有URL;
5.http://www.www.org 向用户返回改写后的文档。
很显然,修改过的文档中的所有URL都指向了 www.org ,当用户点击任何一个链接都会直接进入 www.org ,而不会直接进入真正的URL。如果用户由此依次进入其他网页,那么他们是永远不会摆脱掉受攻击的可能。
如果受攻击者填写了一个错误Web上的表单,那么结果看来似乎会很正常,因为只要遵循标准的Web协议,表单欺骗很自然地不会被察觉:表单的确定信息被编码到URL中,内容会以HTML形式来返回。既然前面的URL都已经得到了改写,那么表单欺骗将是很自然的事情。
当受攻击者提交表单后,所提交的数据进入了攻击者的服务器。攻击者的服务器能够观察,甚至是修改所提交的数据。同样地,在得到真正的服务器返回信息后,攻击者在将其向受攻击者返回以前也可以为所欲为。
关于“安全连接”
我们都知道为了提高Web应用的安全性,有人提出了一种叫做安全连接的概念。它是在用户浏览器和Web服务器之间建立一种基于SSL的安全连接。可是让人感到遗憾的是,它在Web欺骗中基本上无所作为。受攻击者可以和Web欺骗中所提供的错误网页建立起一个看似正常的“安全连接”:网页的文档可以正常地传输而且作为安全连接标志的图形(通常是关闭的一把钥匙或者锁)依然工作正常。换句话说,也就是浏览器提供给用户的感觉是一种安全可靠的连接。但正像我们前面所提到的那样,此时的安全连接是建立在 www.org 而非用户所希望的站点。
攻击的导火索
为了开始攻击,攻击者必须以某种方式引诱受攻击者进入攻击者所创造的错误的Web。黑客往往使用下面若干种方法。
1.把错误的Web链接放到一个热门Web站点上;
2.如果受攻击者使用基于Web的邮件,那么可以将它指向错误的Web;
3.创建错误的Web索引,指示给搜索引擎。
Web欺骗的细节完善
前面描述的攻击相当有效,但是它还不是十分完美的。黑客往往还要创造一个可信的环境,包括各类图标、文字、链接等,提供给受攻击者各种各样的十分可信的暗示。总之就是隐藏一切尾巴。此时,如果错误的Web是富有敌意的,那么无辜的用户将处于十分危险的境地。
另外,黑客还会注意以下方面。
1. 状态线路
连接状态是位于浏览器底部的提示信息,它提示当前连接的各类信息。Web欺骗中涉及两类信息。首先,当鼠标放置在Web链接上时,连接状态显示链接所指的URL地址,这样,受攻击者可能会注意到重写的URL地址。第二,当Web连接成功时,连接状态将显示所连接的服务器名称。这样,受攻击者可以注意到显示 www.org,而非自己所希望的站点。
攻击者能够通过javascript编程来弥补这两项不足。由于javascript能够对连接状态进行写操作,而且可以将javascript操作与特定事件绑定在一起,所以,攻击者完全可以将改写的URL状态恢复为改写前的状态。这样Web欺骗将更为可信。
2. 位置状态行
浏览器的位置状态行显示当前所处的URL位置,用户也可以在其中键入新的URL地址进入到另外的URL,如果不进行必要的更改,此时URL会暴露出改写后的URL。同样地,利用javascript可以隐藏掉改写后的URL。javascript能用不真实的URL掩盖真实的URL,也能够接受用户的键盘输入,并将之改写,进入不正确的URL。
Web欺骗的弱点
尽管黑客在进行Web欺骗时已绞尽脑汁,但是还是留有一些不足。
文档信息
攻击者并不是不留丝毫痕迹,HTML源文件就是开启欺骗迷宫的钥匙。攻击者对其无能为力。通过使用浏览器中“viewsource”命令,用户能够阅读当前的HTML源文件。通过阅读HTML源文件,可以发现被改写的URL,因此可以觉察到攻击。遗憾的是,对于初学者而言,HTML源文件实在是有些难懂。
通过使用浏览器中“view document information”命令,用户能够阅读当前URL地址的一些信息。可喜的是这里提供的是真实的URL地址,因此用户能够很容易判断出Web欺骗。不过,绝大多数用户都很少注意以上一些属性,可以说潜在的危险还是存在的。
Web欺骗的预防解决
逃离灾难
受攻击者可以自觉与不自觉地离开攻击者的错误Web页面。这里有若干种方法。访问Bookmark或使用浏览器中提供的“Open location”进入其他Web页面,离开攻击者所设下的陷阱。不过,如果用户使用“Back”按键,则会重新进入原先的错误Web页面。当然,如果用户将所访问的错误Web存入Bookmark,那么下次可能会直接进入攻击者所设下的陷阱。
关于追踪攻击者
有人建议应当通过跟踪来发现并处罚攻击者。确实如此,攻击者如果想进行Web欺骗的话,那么离不开Web服务器的帮助。但是,他们利用的Web服务器很可能是被攻击后的产物,就象罪犯驾驶着盗窃来的汽车去作案一样。
预防办法
Web欺骗是当今Internet上具有相当危险性而不易被察觉的欺骗手法。幸运的是,我们可以采取的一些保护办法。
短期的解决方案
为了取得短期的效果,最好从下面三方面来预防:
1.禁止浏览器中的javascript功能,那么各类改写信息将原形毕露;
2.确保浏览器的连接状态是可见的,它将给你提供当前位置的各类信息;
3.时刻注意你所点击的URL链接会在位置状态行中得到正确的显示。
现在,javascript、ActiveX以及Java提供越来越丰富和强大的功能,而且越来越为黑客们进行攻击活动提供了强大的手段。为了保证安全,建议用户考虑禁止这些功能。
这样做,用户将损失一些功能,但是与可能带来的后果比较起来,每个人会得出自己的结论。
长期的解决方案
1.改变浏览器,使之具有反映真实URL信息的功能,而不会被蒙蔽;
2.对于通过安全连接建立的Web——浏览器对话,浏览器还应该告诉用户谁在另一端,而不只是表明一种安全连接的状态。比如:在建立了安全连接后,给出一个提示信息“NetscapeInc.”等等。
所有的解决方案,可以根据用户的安全要求和实际条件来加以选择。
妙用“IP地址冲突”揪出害群之马
[ 2007-03-25 04:08:41 | 作者: sun ]
对网络管理员或用户来说,发生“IP地址冲突”是不受欢迎的事情,因为在一个网络中,每个主机(严格来说是网络接口)都应该有唯一的一个IP地址,如果出现2个或两个以上主机使用相同的IP地址,这些使用相同IP地址的主机屏幕会弹出对话框报告IP地址冲突
这将导致这些使用相同IP的机器不能正常访问网络。但是,前几天笔者却用这个有如鸡肋的功能帮了一个大忙。是怎么一回事呢?听我慢慢道来。
本月12号那天,我被派到月坛大厦的客服部门处理网路故障。经初步诊断,发现网络时断时续,重启网关的话,能够正常好一会,过一段时间后就不灵了。这是一个十分简单的网络:一条外网网线进来,接入一台运行FreeBSD的网关(做NAT用),网关机的另外一个网络接口接交换机,客户端全部接2个在交换机上,同时,网关机提供DHCP服务,所有的客户机使用DHCP自动获取IP。首先,我得确定故障发生在那里;重启网关,发现客户机能正常上网,但网关马上提示DHCP请求超时的报警,除此而外看不出什么端倪,去客户端查IP,发现获取的IP地址正常,于是又怀疑是不是交换机有问题,等一会,发现故障又出现了,重启一下交换机,网络又正常了问题到底在哪里呢?一下犯晕了。
整理了一下思路,然后找了一台客户机(客户机全是windows),先ping一下网关,发现居然ping不通,ping网内的另外一台机器则正常,重启网关再用客户机ping 网关则正常,毫无疑问,网络中了ARP欺骗病毒了。进系统目录,发现c:下有几个异常的文件,该名某个文件,居然不让操作,运行命令 arp –a 发现多行arp请求,看来是病毒引起的网络堵塞故障。不能把所有的机器都与网络段掉,当务之急是先找出当前正在作崇的主机然后隔离处理。
怎么辨别是网络中那台主机中毒厉害呢?网上已经有很多不错的办法。有人建议用抓包工具,然后分析抓到的包信息来确认中毒的主机,然而我手里没有任何抓包工具,看来只好自己想招了。经过摸索,总结了下面一些行之有效的办法,供大家参考!
在客户机运行路由跟踪命令如 tracert –d www.163.com,马上就发现第一条不是网关机的内网ip,而是本网段内的另外一台机器的IP,再下一跳才是网关的内网IP;正常情况是路由跟踪执行后的输出第一条应该是默认网关地址,由此判定第一跳的那个非网关IP 地址的主机就是罪魁祸首。
问题又出来了,由于网内的主机IP地址是通过DHCP自动获取来的,怎么找出这个主机又是一个难题,几十个机器,挨个用 ipconfig/all查非累死不可,怎么办?得走捷径才行。突然之间冒出一个念头:设置一个与查出来的中毒主机相同的IP地址,然后…..,接下来,找一台客户端机器,查一下其自动获取的IP地址,没有那么幸运-这台机器不是要揪出来的那个IP,然后把这个主机的”自动获取IP地址”取消,手动设置机器的IP与有病毒的那个IP相同,设置生效后就听见一个妹妹嚷道:“我的IP地址怎么跟别人冲突了呢?”,殊不知,我要找的就是你呢!把妹妹的主机隔离网络,其他的机器上网立马就顺畅了。
处理arp病毒的操作我想大家都应该有经验了,在这里就不再多罗嗦。
简单总结一下,其主要步骤有两步:1、运行 tracert –d www.163.com 找出作崇的主机IP地址。 2、设置与作崇主机相同的IP,然后造成IP地址冲突,使中毒主机报警然后找到这个主机。
这将导致这些使用相同IP的机器不能正常访问网络。但是,前几天笔者却用这个有如鸡肋的功能帮了一个大忙。是怎么一回事呢?听我慢慢道来。
本月12号那天,我被派到月坛大厦的客服部门处理网路故障。经初步诊断,发现网络时断时续,重启网关的话,能够正常好一会,过一段时间后就不灵了。这是一个十分简单的网络:一条外网网线进来,接入一台运行FreeBSD的网关(做NAT用),网关机的另外一个网络接口接交换机,客户端全部接2个在交换机上,同时,网关机提供DHCP服务,所有的客户机使用DHCP自动获取IP。首先,我得确定故障发生在那里;重启网关,发现客户机能正常上网,但网关马上提示DHCP请求超时的报警,除此而外看不出什么端倪,去客户端查IP,发现获取的IP地址正常,于是又怀疑是不是交换机有问题,等一会,发现故障又出现了,重启一下交换机,网络又正常了问题到底在哪里呢?一下犯晕了。
整理了一下思路,然后找了一台客户机(客户机全是windows),先ping一下网关,发现居然ping不通,ping网内的另外一台机器则正常,重启网关再用客户机ping 网关则正常,毫无疑问,网络中了ARP欺骗病毒了。进系统目录,发现c:下有几个异常的文件,该名某个文件,居然不让操作,运行命令 arp –a 发现多行arp请求,看来是病毒引起的网络堵塞故障。不能把所有的机器都与网络段掉,当务之急是先找出当前正在作崇的主机然后隔离处理。
怎么辨别是网络中那台主机中毒厉害呢?网上已经有很多不错的办法。有人建议用抓包工具,然后分析抓到的包信息来确认中毒的主机,然而我手里没有任何抓包工具,看来只好自己想招了。经过摸索,总结了下面一些行之有效的办法,供大家参考!
在客户机运行路由跟踪命令如 tracert –d www.163.com,马上就发现第一条不是网关机的内网ip,而是本网段内的另外一台机器的IP,再下一跳才是网关的内网IP;正常情况是路由跟踪执行后的输出第一条应该是默认网关地址,由此判定第一跳的那个非网关IP 地址的主机就是罪魁祸首。
问题又出来了,由于网内的主机IP地址是通过DHCP自动获取来的,怎么找出这个主机又是一个难题,几十个机器,挨个用 ipconfig/all查非累死不可,怎么办?得走捷径才行。突然之间冒出一个念头:设置一个与查出来的中毒主机相同的IP地址,然后…..,接下来,找一台客户端机器,查一下其自动获取的IP地址,没有那么幸运-这台机器不是要揪出来的那个IP,然后把这个主机的”自动获取IP地址”取消,手动设置机器的IP与有病毒的那个IP相同,设置生效后就听见一个妹妹嚷道:“我的IP地址怎么跟别人冲突了呢?”,殊不知,我要找的就是你呢!把妹妹的主机隔离网络,其他的机器上网立马就顺畅了。
处理arp病毒的操作我想大家都应该有经验了,在这里就不再多罗嗦。
简单总结一下,其主要步骤有两步:1、运行 tracert –d www.163.com 找出作崇的主机IP地址。 2、设置与作崇主机相同的IP,然后造成IP地址冲突,使中毒主机报警然后找到这个主机。
安全小妙招 WinRAR硬盘“清毒”绝技
[ 2007-03-25 04:08:24 | 作者: sun ]
笔者的电脑最近在使用时出现一个怪现象,双击D盘无法直接打开(其他盘符均正常),总是弹出窗口提示“找不到pagefile.pif,指定位置”, 因此每次只有通过右键的“打开”菜单来打开,而仔细查看右键菜单发现里面多了一个“自动播放”的项目。
故障分析:上网搜索了一下,根据查到的资料基本上可以确定笔者是在浏览网页或传输文件的过程中中木马毒引起的。于是笔者开启杀毒软件NOD32(已经升级到最新版本)对硬盘进行了一次深度杀毒,奇怪的是一个病毒也没有找到。由于本人每天都进行病毒扫描,估计病毒早已经被本人杀掉了。根据查到的资料分析,很可能是病毒在D盘残留了一个文件autorun.inf(某些病毒便常常借助此文件在电脑中自动运行),但它本身并无病毒特征,杀毒软件杀毒时未能将它彻底清除干净,但它残留后却给电脑带来了后遗症——导致硬盘无法正常打开。
故障解决:由于autorun.inf是一个隐藏较深的文件,当笔者将文件夹选项中的选项选择为“显示所有文件和文件夹”也没能在D盘发现此文件的身影,所以在这里笔者将巧妙地利用最常用的WinRAR来进行清除。首先运行WinRAR软件,在界面中我们点击地址栏右侧下拉列表,将路径切换到D盘根目录,这个时候我们发现D盘下面的隐藏文件“autorun.inf”终于出现了,不用多说了,在文件上点右键选择“删除文件”。现在试一下,D盘果然可以正常打开了。不过还没完,下面别忘了清除注册表项目,打开注册表,查找“pagefile.pif”内容,找到一个shell键,其下级的键值为“D:pagefile.pif”,将此键删除,至此病毒残留清理完毕。
安全防御四步走 校园网安全经验谈
[ 2007-03-25 04:08:13 | 作者: sun ]
随着高校信息化进程的推进,高校校园网上运行的应用系统越来越多,信息系统变得越来越庞大和复杂。从结构上分析,校园网总体上分为校园内网和校园外网。校园内网主要包括教学局域网、图书馆局域网、办公自动化局域网等。校园外网主要指学校提供对外服务的服务器群、与Internet的接入以及远程移动办公用户的接入等。校园网的服务器群构成了校园网的服务系统,主要包括DNS、Web、FTP、Proxy、视频点播以及Mail服务等。外部网主要实现校园网与Internet的基础接入。
安全隐患多且复杂
校园网络存在的安全隐患和漏洞主要有以下几个方面:
第一,校园网与Internet相连,在享受Internet方便快捷的同时,也面临着遭遇攻击的风险。
第二,校园网内部也存在很大的安全隐患。由于内部用户对网络的结构和应用模式都比较了解,因此来自内部的安全威胁会更大一些。
第三,目前使用的操作系统存在安全漏洞,对网络安全构成了威胁。网络服务器安装的操作系统有Windows NT/2000、UNIX、Linux等,这些系统安全风险级别不同,例如Windows NT/2000的普遍性和可操作性使它成为最不安全的系统:自身安全漏洞、浏览器的漏洞、IIS的漏洞、病毒木马等。
第四,随着校园内计算机应用的大范围普及,接入校园网的节点数日益增多,而这些节点大部分都没有采取安全防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。
第五,内部用户对Internet的非法访问威胁,如浏览黄色、暴力、反动等网站,以及由于下载文件可能将木马、蠕虫、病毒等程序带入校园内网;内外网恶意用户可能利用利用一些工具对网络及服务器发起DoS/DDoS攻击,导致网络及服务不可用;校园网内针对QQ的黑客程序随处可见。
第六,可能会因为校园网内管理人员以及全体师生的安全意识不强、管理制度不健全,带来校园网的威胁。
上述分析的几点是当今校园网普遍面临的安全隐患。特别是近年来,随着学生宿舍、教职工家属等接入校园网后,网络规模急剧增大。对此,一套安全的防护体系颇为重要。
安全防御四步走
根据以上分析。可以确定以下几个必须考虑的安全防护要点:网络安全隔离、网络监控措施、网络安全漏洞扫描、网络病毒的防范等。
防火墙部署
防火墙是网络安全的屏障。一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。在防火墙设置上我们按照以下原则配置来提高网络安全性:
第一,根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。
第二,将防火墙配置成过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外攻击。
第三,在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用。
第四,在局域网的入口架设千兆防火墙,并实现VPN的功能,在校园网络入口处建立第一层的安全屏障,VPN保证了管理员在家里或出差时能够安全接入数据中心。
第五,定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。
第六,允许通过配置网卡对防火墙设置,提高防火墙管理安全性。
架设入侵监测系统(IDS)
架设一个入侵监测系统(IDS)是非常必要的,处于防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵监测系统是防火墙的延续。它们可以和你的防火墙和路由器配合工作。
IDS扫描当前网络的活动,监视和记录网络的流量,根据定义好的规则来过滤从主机网卡到网线上的流量,提供实时报警。IDS是被动的,它监测你的网络上所有的数据包。其目的就是扑捉危险或有恶意动作的信息包。IDS是按你指定的规则运行的,记录是庞大的,所以我们必须制定合适的规则对他进行正确的配置,如果IDS没有正确的配置,其效果如同没有一样。IDS能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。
漏洞扫描系统
采用先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供详细可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。
要求每台主机系统必须正确配置,为操作系统打够补丁、保护好自己的密码、关闭不需要打开的端口,例如:如果主机不提供诸如FTP、HTTP等公共服务,尽量关闭它们。
部署网络版杀毒软件
最理想的状况是在整个局域网内杜绝病毒的感染、传播和发作,为了实现这一点,应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。
在学校网络中心配置一台高效的Windows2000服务器安装一个网络版杀毒软件系统中心,负责管理校园网内所有主机网点的计算机。在各主机节点分别安装网络版杀毒软件的客户端。安装完杀毒软件网络版后,在管理员控制台对网络中所有客户端进行定时查杀毒的设置,保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。网络中心负责整个校园网的升级工作。为了安全和管理的方便起见,由网络中心的系统中心定期地、自动地到杀毒软件网站上获取最新的升级文件(包括病毒定义码、扫描引擎、程序文件等),然后自动将最新的升级文件分发到其它各个主机网点的客户端与服务器端,并自动对网络版杀毒软件进行更新。
采取这种升级方式,一方面确保校园网内的杀毒软件的更新保持同步,使整个校园网都具有最强的防病毒能力;另一方面,由于整个网络的升级、更新都是有程序来自动、智能完成,就可以避免由于人为因素造成网络中因为没有及时升级为最新的病毒定义码和扫描引擎而失去最强的防病毒能力。
安全防范体系的建立不是一劳永逸的,校园网络自身的情况不断变化,新的安全问题不断涌现,必须根据情况的变化和现有体系中暴露出的一些问题,不断对此体系进行及时的维护和更新,保证网络安全防范体系的良性发展,确保它的有效性和先进性。
安全隐患多且复杂
校园网络存在的安全隐患和漏洞主要有以下几个方面:
第一,校园网与Internet相连,在享受Internet方便快捷的同时,也面临着遭遇攻击的风险。
第二,校园网内部也存在很大的安全隐患。由于内部用户对网络的结构和应用模式都比较了解,因此来自内部的安全威胁会更大一些。
第三,目前使用的操作系统存在安全漏洞,对网络安全构成了威胁。网络服务器安装的操作系统有Windows NT/2000、UNIX、Linux等,这些系统安全风险级别不同,例如Windows NT/2000的普遍性和可操作性使它成为最不安全的系统:自身安全漏洞、浏览器的漏洞、IIS的漏洞、病毒木马等。
第四,随着校园内计算机应用的大范围普及,接入校园网的节点数日益增多,而这些节点大部分都没有采取安全防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。
第五,内部用户对Internet的非法访问威胁,如浏览黄色、暴力、反动等网站,以及由于下载文件可能将木马、蠕虫、病毒等程序带入校园内网;内外网恶意用户可能利用利用一些工具对网络及服务器发起DoS/DDoS攻击,导致网络及服务不可用;校园网内针对QQ的黑客程序随处可见。
第六,可能会因为校园网内管理人员以及全体师生的安全意识不强、管理制度不健全,带来校园网的威胁。
上述分析的几点是当今校园网普遍面临的安全隐患。特别是近年来,随着学生宿舍、教职工家属等接入校园网后,网络规模急剧增大。对此,一套安全的防护体系颇为重要。
安全防御四步走
根据以上分析。可以确定以下几个必须考虑的安全防护要点:网络安全隔离、网络监控措施、网络安全漏洞扫描、网络病毒的防范等。
防火墙部署
防火墙是网络安全的屏障。一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。在防火墙设置上我们按照以下原则配置来提高网络安全性:
第一,根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。
第二,将防火墙配置成过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外攻击。
第三,在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用。
第四,在局域网的入口架设千兆防火墙,并实现VPN的功能,在校园网络入口处建立第一层的安全屏障,VPN保证了管理员在家里或出差时能够安全接入数据中心。
第五,定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。
第六,允许通过配置网卡对防火墙设置,提高防火墙管理安全性。
架设入侵监测系统(IDS)
架设一个入侵监测系统(IDS)是非常必要的,处于防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵监测系统是防火墙的延续。它们可以和你的防火墙和路由器配合工作。
IDS扫描当前网络的活动,监视和记录网络的流量,根据定义好的规则来过滤从主机网卡到网线上的流量,提供实时报警。IDS是被动的,它监测你的网络上所有的数据包。其目的就是扑捉危险或有恶意动作的信息包。IDS是按你指定的规则运行的,记录是庞大的,所以我们必须制定合适的规则对他进行正确的配置,如果IDS没有正确的配置,其效果如同没有一样。IDS能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。
漏洞扫描系统
采用先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供详细可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。
要求每台主机系统必须正确配置,为操作系统打够补丁、保护好自己的密码、关闭不需要打开的端口,例如:如果主机不提供诸如FTP、HTTP等公共服务,尽量关闭它们。
部署网络版杀毒软件
最理想的状况是在整个局域网内杜绝病毒的感染、传播和发作,为了实现这一点,应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。
在学校网络中心配置一台高效的Windows2000服务器安装一个网络版杀毒软件系统中心,负责管理校园网内所有主机网点的计算机。在各主机节点分别安装网络版杀毒软件的客户端。安装完杀毒软件网络版后,在管理员控制台对网络中所有客户端进行定时查杀毒的设置,保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。网络中心负责整个校园网的升级工作。为了安全和管理的方便起见,由网络中心的系统中心定期地、自动地到杀毒软件网站上获取最新的升级文件(包括病毒定义码、扫描引擎、程序文件等),然后自动将最新的升级文件分发到其它各个主机网点的客户端与服务器端,并自动对网络版杀毒软件进行更新。
采取这种升级方式,一方面确保校园网内的杀毒软件的更新保持同步,使整个校园网都具有最强的防病毒能力;另一方面,由于整个网络的升级、更新都是有程序来自动、智能完成,就可以避免由于人为因素造成网络中因为没有及时升级为最新的病毒定义码和扫描引擎而失去最强的防病毒能力。
安全防范体系的建立不是一劳永逸的,校园网络自身的情况不断变化,新的安全问题不断涌现,必须根据情况的变化和现有体系中暴露出的一些问题,不断对此体系进行及时的维护和更新,保证网络安全防范体系的良性发展,确保它的有效性和先进性。
安全课堂 教你如何预防DdoS攻击
[ 2007-03-25 04:08:02 | 作者: sun ]
不知道身为网络管理员的你是否遇到过服务器因为拒绝服务攻击都瘫痪的情况呢?就网络安全而言目前最让人担心和害怕的入侵攻击就要算是拒绝服务攻击了。他和传统的攻击不同,采取的是仿真多个客户端来连接服务器,造成服务器无法完成如此多的客户端连接,从而无法提供服务。
一、拒绝服务攻击的发展
从拒绝服务攻击诞生到现在已经有了很多的发展,从最初的简单Dos到现在的DdoS。那么什么是Dos和DdoS呢?DoS是一种利用单台计算机的攻击方式。而DdoS(Distributed Denial of Service,分布式拒绝服务)是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式,主要瞄准比较大的站点,比如一些商业公司、搜索引擎和政府部门的站点。DdoS攻击是利用一批受控制的机器向一台机器发起攻击,这样来势迅猛的攻击令人难以防备,因此具有较大的破坏性。如果说以前网络管理员对抗Dos可以采取过滤IP地址方法的话,那么面对当前DdoS众多伪造出来的地址则显得没有办法。所以说防范DdoS攻击变得更加困难,如何采取措施有效的应对呢?下面我们从两个方面进行介绍。
二、预防为主保证安全
DdoS攻击是黑客最常用的攻击手段,下面列出了对付它的一些常规方法。
(1)定期扫描
要定期扫描现有的网络主节点,清查可能存在的安全漏洞,对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽,是黑客利用的最佳位置,因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机,所以定期扫描漏洞就变得更加重要了。
(2)在骨干节点配置防火墙
防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候,可以将攻击导向一些牺牲主机,这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的,或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。
(3)用足够的机器承受黑客攻击
这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击,在它不断访问用户、夺取用户资源之时,自己的能量也在逐渐耗失,或许未等用户被攻死,黑客已无力支招儿了。不过此方法需要投入的资金比较多,平时大多数设备处于空闲状态,和目前中小企业网络实际运行情况不相符。
(4)充分利用网络设备保护网络资源
所谓网络设备是指路由器、防火墙等负载均衡设备,它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器,但其他机器没有死。死掉的路由器经重启后会恢复正常,而且启动起来还很快,没有什么损失。若其他服务器死掉,其中的数据会丢失,而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备,这样当一台路由器被攻击死机时,另一台将马上工作。从而最大程度的削减了DdoS的攻击。
(5)过滤不必要的服务和端口
可以使用Inexpress、Express、Forwarding等工具来过滤不必要的服务和端口,即在路由器上过滤假IP。比如Cisco公司的CEF(Cisco Express Forwarding)可以针对封包Source IP和Routing Table做比较,并加以过滤。只开放服务端口成为目前很多服务器的流行做法,例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。
(6)检查访问者的来源
使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真,如果是假的,它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户,很难查出它来自何处。因此,利用Unicast Reverse Path Forwarding可减少假IP地址的出现,有助于提高网络安全性。
(7)过滤所有RFC1918 IP地址
RFC1918 IP地址是内部网的IP地址,像10.0.0.0、192.168.0.0 和172.16.0.0,它们不是某个网段的固定的IP地址,而是Internet内部保留的区域性IP地址,应该把它们过滤掉。此方法并不是过滤内部员工的访问,而是将攻击时伪造的大量虚假内部IP过滤,这样也可以减轻DdoS的攻击。
(8)限制SYN/ICMP流量
用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽,这样,当出现大量的超过所限定的SYN/ICMP流量时,说明不是正常的网络访问,而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法,虽然目前该方法对于DdoS效果不太明显了,不过仍然能够起到一定的作用。
三、寻找机会应对攻击
如果用户正在遭受攻击,他所能做的抵御工作将是非常有限的。因为在原本没有准备好的情况下有大流量的灾难性攻击冲向用户,很可能在用户还没回过神之际,网络已经瘫痪。但是,用户还是可以抓住机会寻求一线希望的。
(1)检查攻击来源,通常黑客会通过很多假IP地址发起攻击,此时,用户若能够分辨出哪些是真IP哪些是假IP地址,然后了解这些IP来自哪些网段,再找网网管理员将这些机器关闭,从而在第一时间消除攻击。如果发现这些IP地址是来自外面的而不是公司内部的IP的话,可以采取临时过滤的方法,将这些IP地址在服务器或路由器上过滤掉。
(2)找出攻击者所经过的路由,把攻击屏蔽掉。若黑客从某些端口发动攻击,用户可把这些端口屏蔽掉,以阻止入侵。不过此方法对于公司网络出口只有一个,而又遭受到来自外部的DdoS攻击时不太奏效,毕竟将出口端口封闭后所有计算机都无法访问internet了。
(3)最后还有一种比较折中的方法是在路由器上滤掉ICMP。虽然在攻击时他无法完全消除入侵,但是过滤掉ICMP后可以有效的防止攻击规模的升级,也可以在一定程度上降低攻击的级别。
总结:
目前网络安全界对于DdoS的防范还是没有什么好办法的,主要靠平时维护和扫描来对抗。简单的通过软件防范的效果非常不明显,即便是使用了硬件安防设施也仅仅能起到降低攻击级别的效果,Ddos攻击只能被减弱,无法被彻底消除。不过如果我们按照本文的方法和思路去防范DdoS的话,收到的效果还是非常显著的,可以将攻击带来的损失降低到最小。
一、拒绝服务攻击的发展
从拒绝服务攻击诞生到现在已经有了很多的发展,从最初的简单Dos到现在的DdoS。那么什么是Dos和DdoS呢?DoS是一种利用单台计算机的攻击方式。而DdoS(Distributed Denial of Service,分布式拒绝服务)是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式,主要瞄准比较大的站点,比如一些商业公司、搜索引擎和政府部门的站点。DdoS攻击是利用一批受控制的机器向一台机器发起攻击,这样来势迅猛的攻击令人难以防备,因此具有较大的破坏性。如果说以前网络管理员对抗Dos可以采取过滤IP地址方法的话,那么面对当前DdoS众多伪造出来的地址则显得没有办法。所以说防范DdoS攻击变得更加困难,如何采取措施有效的应对呢?下面我们从两个方面进行介绍。
二、预防为主保证安全
DdoS攻击是黑客最常用的攻击手段,下面列出了对付它的一些常规方法。
(1)定期扫描
要定期扫描现有的网络主节点,清查可能存在的安全漏洞,对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽,是黑客利用的最佳位置,因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机,所以定期扫描漏洞就变得更加重要了。
(2)在骨干节点配置防火墙
防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候,可以将攻击导向一些牺牲主机,这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的,或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。
(3)用足够的机器承受黑客攻击
这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击,在它不断访问用户、夺取用户资源之时,自己的能量也在逐渐耗失,或许未等用户被攻死,黑客已无力支招儿了。不过此方法需要投入的资金比较多,平时大多数设备处于空闲状态,和目前中小企业网络实际运行情况不相符。
(4)充分利用网络设备保护网络资源
所谓网络设备是指路由器、防火墙等负载均衡设备,它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器,但其他机器没有死。死掉的路由器经重启后会恢复正常,而且启动起来还很快,没有什么损失。若其他服务器死掉,其中的数据会丢失,而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备,这样当一台路由器被攻击死机时,另一台将马上工作。从而最大程度的削减了DdoS的攻击。
(5)过滤不必要的服务和端口
可以使用Inexpress、Express、Forwarding等工具来过滤不必要的服务和端口,即在路由器上过滤假IP。比如Cisco公司的CEF(Cisco Express Forwarding)可以针对封包Source IP和Routing Table做比较,并加以过滤。只开放服务端口成为目前很多服务器的流行做法,例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。
(6)检查访问者的来源
使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真,如果是假的,它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户,很难查出它来自何处。因此,利用Unicast Reverse Path Forwarding可减少假IP地址的出现,有助于提高网络安全性。
(7)过滤所有RFC1918 IP地址
RFC1918 IP地址是内部网的IP地址,像10.0.0.0、192.168.0.0 和172.16.0.0,它们不是某个网段的固定的IP地址,而是Internet内部保留的区域性IP地址,应该把它们过滤掉。此方法并不是过滤内部员工的访问,而是将攻击时伪造的大量虚假内部IP过滤,这样也可以减轻DdoS的攻击。
(8)限制SYN/ICMP流量
用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽,这样,当出现大量的超过所限定的SYN/ICMP流量时,说明不是正常的网络访问,而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法,虽然目前该方法对于DdoS效果不太明显了,不过仍然能够起到一定的作用。
三、寻找机会应对攻击
如果用户正在遭受攻击,他所能做的抵御工作将是非常有限的。因为在原本没有准备好的情况下有大流量的灾难性攻击冲向用户,很可能在用户还没回过神之际,网络已经瘫痪。但是,用户还是可以抓住机会寻求一线希望的。
(1)检查攻击来源,通常黑客会通过很多假IP地址发起攻击,此时,用户若能够分辨出哪些是真IP哪些是假IP地址,然后了解这些IP来自哪些网段,再找网网管理员将这些机器关闭,从而在第一时间消除攻击。如果发现这些IP地址是来自外面的而不是公司内部的IP的话,可以采取临时过滤的方法,将这些IP地址在服务器或路由器上过滤掉。
(2)找出攻击者所经过的路由,把攻击屏蔽掉。若黑客从某些端口发动攻击,用户可把这些端口屏蔽掉,以阻止入侵。不过此方法对于公司网络出口只有一个,而又遭受到来自外部的DdoS攻击时不太奏效,毕竟将出口端口封闭后所有计算机都无法访问internet了。
(3)最后还有一种比较折中的方法是在路由器上滤掉ICMP。虽然在攻击时他无法完全消除入侵,但是过滤掉ICMP后可以有效的防止攻击规模的升级,也可以在一定程度上降低攻击的级别。
总结:
目前网络安全界对于DdoS的防范还是没有什么好办法的,主要靠平时维护和扫描来对抗。简单的通过软件防范的效果非常不明显,即便是使用了硬件安防设施也仅仅能起到降低攻击级别的效果,Ddos攻击只能被减弱,无法被彻底消除。不过如果我们按照本文的方法和思路去防范DdoS的话,收到的效果还是非常显著的,可以将攻击带来的损失降低到最小。
防黑又一招 检查文件的最后修改时间
[ 2007-03-25 04:07:46 | 作者: sun ]
这是个要求精确的技术:确定文件或文件夹最后被访问的时间。
在Christopher Brookmyre的小说中有个故事讲到,所有人都沉浸在欢乐和游戏中,直到一天有个人失去了一只眼睛,一个会黑客技术的人物打开了一台计算机,然后检查boot日志来看看计算机上次运行是什么时候以及运行了多长时间。
然后,她检查了访问目录,以便知道上次哪些文件夹被人打开过。这样的情节到底是小说中编造的呢,还是确实存在呢?
该书是在2005年出版的,因此我们假设这台计算机的操作系统是XP。第一部分很简单,不过你应该看的不是boot日志而是系统事件日志。
启动事件阅读器,你可以在控制面板或者开始菜单的管理工具中找到它,然后点击左边窗口中的系统。调整窗口的大小,以便你看到右边窗口的事件栏。
寻找一个6009的条目——它显示PC什么时候关闭或者重启的。有数个事件会记录开机操作,代码是7035,7036和26,还跟很多服务和核对有关。
右键点击一个事件然后选择属性,它会显示一个简短的说明,你可以通过点击事件属性框中的链接来看到更详细的说明。
薛定谔的文件?
确定文件或文件夹什么时候最后被访问更加困难。Windows系统中的每一个文件和文件夹——NTFS格式和FAT格式的文件系统都一样——有三个关联日期。修改的日期是你在Explorer的默认设置下或者Dos情况下输入“dir”后能看到的。这显示了文件最后保存的日期和时间。
如果你打开一个文件然后保存——即使没有修改——你也将发现这些变化。创建日期是文件在硬盘上当前位置被创建时的日期。因此如果你创建了一个新的文件,在时间显示为1月1日的应用程序上保存它,然后把它复制到时间为1月2日的文件夹,那么复制文档的创建日期会是1月2日,但修改日期是1月1日。
一些文件,比如Jpeg图片或者微软Word文档,在高级选项模式下会保存原始创建日期,但是这个是存储在文件本身当中而不是文件系统里。转移,而不是复制的话,通常文件保存的都是创建日期。
如果你不喜欢某些东西在创建前被修改这种概念,那么你会更不喜欢访问日期的概念。如果你右键点击文件然后选择属性,你可以看到文件的全部三个日期。
但是,右键点击这样的操作也会被算作访问文件,因此上次访问的日期会变为当前的日期和时间。察看文件的属性,就是你修改了它们——似乎系统的设计者是受了量子物理的启发。
如果你的系统是Windows ME,2000或者XP,那么你可以在Explorer的详细察看中会看到全部的三个日期。在ME或者2000中,点击察看菜单,然后‘选择栏目’(XP中是察看,选择详细信息)。勾上创建日期和访问日期的选择框,你就可以看到文件和文件夹额外的栏目。
你也可以在Dos命令下察看访问日期。在XP中,输入dir/ta,会显示最后访问日期—/tc和/tw则会显示创建和最后修改的日期。老版本的Dos上,句法略有不同。
/oa 和/od会分别列出文件的访问和修改日期,但是这有一定局限性。与选择顺序无关,两种情况下你看到的日期都是修改日期。要想两个都能看到,可以使用/v(verbose)切换也可以用分类顺序转换。
说了这么多,就是说察看最后访问日期是不大可行的。例如,在Windows ME中,打开文件夹并不改变最后访问日期。XP系统中,打开文件夹确实改变最后访问时间——但不是立刻改变。
更糟糕的是,还有太多其它的东西,比如Windows 桌面搜索索引以及其他服务,也会改变最后访问日期,因此你不可能分清到底文件夹最后是被用户打开的还是操作系统常规访问到的。
引入监听装置
另有其他的办法帮助Brookmyre摆脱XP困境,但是那种方法需要很大的勇气。你可以设置监听装置纪录对各种各样对象——比如文件,文件夹,打印机以及注册键值——的访问。
首先你得以管理员的身份登陆,而后如果你明智的话,创建系统还原点(参见最后一段)。下一步,你要关闭文件共享的功能。XP家庭版用户不得不停在这一步了,因为没有这样的选项可用,但是XP Pro用户可以通过Explorer的工具,文件选项,察看来完成这一步。
现在你得设置监听器。首先,运行gpedit.msc来打开组策略编辑器。左边窗口中按计算机配置\Windows设置\ 安全设置\本地策略\审核策略的路径一路向下。
然后你会看到,在右边窗口中显示出可以监听的动作的列表——默认情况下,这些都是不被监听的。双击审核对象访问然后选中属性框中的‘成功’选项。点击OK退出。
下一步就是设置那些你要监听的对象。跟小说中情节一样,转到你想要记录的文件夹。右键点击,选择属性,然后转到安全选项卡,选择“高级”。在高级安全设置对话框中,选中监听选项卡。点击添加……按钮。
为了尽可能简化操作,在‘输入要选择的对象的名称’框中输入“everyone”(不包括引号)。点击检查名称按钮来确保你指定了正确的对象名称,然后点击OK。这样就会开启监听功能。
选择你要监听的方面——比如‘列出文件夹/读取数据’,然后选择‘应用于’选项:如果你使监听日志整齐点儿,就选择‘只对这个文件夹’或者‘该文件夹及其子文件夹’。点击OK来退出打开的对话框。
现在运行事件阅读器,就像之前讲的那样,然后打开安全分支。每次你指定的文件夹被打开你就会在这里看到很多条目,列出时间,用户和其他信息。如果双击一个条目,你就会获得更进一步的信息,尤其是那个‘映射文件名称’它会告诉你什么程序访问了文件夹。
如果你或者其他用户打开了该文件夹,此项会显示Explorer.exe。但如果是其他进程访问了该文件夹,你会看到不同的可执行文件,比如WindowsSearchFilter.exe表示桌面搜索器访问了该文件。
消失的选项卡
我给你讲个有趣的事情。一位读者受托帮同事解决如下的一个麻烦。后者的屏幕保护装置在计算机30秒没有活动后就会运行。更气人的是,当他察看显示属性时,那里竟没有屏幕保护选项卡。
XP Pro中,可以在组策略编辑器中矫正该问题。运行gpedit.msc,然后打开用户配置, 管理模板, 控制面板, 显示分支,你就会在右边的窗口中看到一个‘隐藏屏幕保护选项卡’的设置。双击它,关闭或者‘不设置’就会把选项卡重新找回来。
还有其他的你可以应用的屏保限制——点击低一点的那个扩展选项就可以看到每一项的说明。尽管XP家庭版没有组策略编辑器,但是两个版本都在注册表中保存了这些限制。
因此,XP家庭版中,以管理员的身份登陆后创建还原点,然后按照Hkey_Current_User\Software\ Microsoft\Windows \CurrentVersion \Policies\System 的路径,在右边窗口中查找叫做NoDispScrSavPage的条目。双击它然后把它的值设为0:这样就可以找回消失的选项卡。
恢复点
我们总是强调创建恢复点的重要性。在标准的XP系统中,从开始菜单点下去,只用5步就可以运行系统恢复。
尽管可以通过%SystemRoot%\System32\restore\rstrui.exe来快速访问,但我们还是建议使用Doug Knox’s SysRestorePoint.exe。双击这个小(20kb)应用,它就会简单地创建系统恢复点。
这个点将被称为自动恢复点——这将它跟Windows创建的叫做系统还原点区分开来。你可以到www.dougknox.com上找到使用方法。
在Christopher Brookmyre的小说中有个故事讲到,所有人都沉浸在欢乐和游戏中,直到一天有个人失去了一只眼睛,一个会黑客技术的人物打开了一台计算机,然后检查boot日志来看看计算机上次运行是什么时候以及运行了多长时间。
然后,她检查了访问目录,以便知道上次哪些文件夹被人打开过。这样的情节到底是小说中编造的呢,还是确实存在呢?
该书是在2005年出版的,因此我们假设这台计算机的操作系统是XP。第一部分很简单,不过你应该看的不是boot日志而是系统事件日志。
启动事件阅读器,你可以在控制面板或者开始菜单的管理工具中找到它,然后点击左边窗口中的系统。调整窗口的大小,以便你看到右边窗口的事件栏。
寻找一个6009的条目——它显示PC什么时候关闭或者重启的。有数个事件会记录开机操作,代码是7035,7036和26,还跟很多服务和核对有关。
右键点击一个事件然后选择属性,它会显示一个简短的说明,你可以通过点击事件属性框中的链接来看到更详细的说明。
薛定谔的文件?
确定文件或文件夹什么时候最后被访问更加困难。Windows系统中的每一个文件和文件夹——NTFS格式和FAT格式的文件系统都一样——有三个关联日期。修改的日期是你在Explorer的默认设置下或者Dos情况下输入“dir”后能看到的。这显示了文件最后保存的日期和时间。
如果你打开一个文件然后保存——即使没有修改——你也将发现这些变化。创建日期是文件在硬盘上当前位置被创建时的日期。因此如果你创建了一个新的文件,在时间显示为1月1日的应用程序上保存它,然后把它复制到时间为1月2日的文件夹,那么复制文档的创建日期会是1月2日,但修改日期是1月1日。
一些文件,比如Jpeg图片或者微软Word文档,在高级选项模式下会保存原始创建日期,但是这个是存储在文件本身当中而不是文件系统里。转移,而不是复制的话,通常文件保存的都是创建日期。
如果你不喜欢某些东西在创建前被修改这种概念,那么你会更不喜欢访问日期的概念。如果你右键点击文件然后选择属性,你可以看到文件的全部三个日期。
但是,右键点击这样的操作也会被算作访问文件,因此上次访问的日期会变为当前的日期和时间。察看文件的属性,就是你修改了它们——似乎系统的设计者是受了量子物理的启发。
如果你的系统是Windows ME,2000或者XP,那么你可以在Explorer的详细察看中会看到全部的三个日期。在ME或者2000中,点击察看菜单,然后‘选择栏目’(XP中是察看,选择详细信息)。勾上创建日期和访问日期的选择框,你就可以看到文件和文件夹额外的栏目。
你也可以在Dos命令下察看访问日期。在XP中,输入dir/ta,会显示最后访问日期—/tc和/tw则会显示创建和最后修改的日期。老版本的Dos上,句法略有不同。
/oa 和/od会分别列出文件的访问和修改日期,但是这有一定局限性。与选择顺序无关,两种情况下你看到的日期都是修改日期。要想两个都能看到,可以使用/v(verbose)切换也可以用分类顺序转换。
说了这么多,就是说察看最后访问日期是不大可行的。例如,在Windows ME中,打开文件夹并不改变最后访问日期。XP系统中,打开文件夹确实改变最后访问时间——但不是立刻改变。
更糟糕的是,还有太多其它的东西,比如Windows 桌面搜索索引以及其他服务,也会改变最后访问日期,因此你不可能分清到底文件夹最后是被用户打开的还是操作系统常规访问到的。
引入监听装置
另有其他的办法帮助Brookmyre摆脱XP困境,但是那种方法需要很大的勇气。你可以设置监听装置纪录对各种各样对象——比如文件,文件夹,打印机以及注册键值——的访问。
首先你得以管理员的身份登陆,而后如果你明智的话,创建系统还原点(参见最后一段)。下一步,你要关闭文件共享的功能。XP家庭版用户不得不停在这一步了,因为没有这样的选项可用,但是XP Pro用户可以通过Explorer的工具,文件选项,察看来完成这一步。
现在你得设置监听器。首先,运行gpedit.msc来打开组策略编辑器。左边窗口中按计算机配置\Windows设置\ 安全设置\本地策略\审核策略的路径一路向下。
然后你会看到,在右边窗口中显示出可以监听的动作的列表——默认情况下,这些都是不被监听的。双击审核对象访问然后选中属性框中的‘成功’选项。点击OK退出。
下一步就是设置那些你要监听的对象。跟小说中情节一样,转到你想要记录的文件夹。右键点击,选择属性,然后转到安全选项卡,选择“高级”。在高级安全设置对话框中,选中监听选项卡。点击添加……按钮。
为了尽可能简化操作,在‘输入要选择的对象的名称’框中输入“everyone”(不包括引号)。点击检查名称按钮来确保你指定了正确的对象名称,然后点击OK。这样就会开启监听功能。
选择你要监听的方面——比如‘列出文件夹/读取数据’,然后选择‘应用于’选项:如果你使监听日志整齐点儿,就选择‘只对这个文件夹’或者‘该文件夹及其子文件夹’。点击OK来退出打开的对话框。
现在运行事件阅读器,就像之前讲的那样,然后打开安全分支。每次你指定的文件夹被打开你就会在这里看到很多条目,列出时间,用户和其他信息。如果双击一个条目,你就会获得更进一步的信息,尤其是那个‘映射文件名称’它会告诉你什么程序访问了文件夹。
如果你或者其他用户打开了该文件夹,此项会显示Explorer.exe。但如果是其他进程访问了该文件夹,你会看到不同的可执行文件,比如WindowsSearchFilter.exe表示桌面搜索器访问了该文件。
消失的选项卡
我给你讲个有趣的事情。一位读者受托帮同事解决如下的一个麻烦。后者的屏幕保护装置在计算机30秒没有活动后就会运行。更气人的是,当他察看显示属性时,那里竟没有屏幕保护选项卡。
XP Pro中,可以在组策略编辑器中矫正该问题。运行gpedit.msc,然后打开用户配置, 管理模板, 控制面板, 显示分支,你就会在右边的窗口中看到一个‘隐藏屏幕保护选项卡’的设置。双击它,关闭或者‘不设置’就会把选项卡重新找回来。
还有其他的你可以应用的屏保限制——点击低一点的那个扩展选项就可以看到每一项的说明。尽管XP家庭版没有组策略编辑器,但是两个版本都在注册表中保存了这些限制。
因此,XP家庭版中,以管理员的身份登陆后创建还原点,然后按照Hkey_Current_User\Software\ Microsoft\Windows \CurrentVersion \Policies\System 的路径,在右边窗口中查找叫做NoDispScrSavPage的条目。双击它然后把它的值设为0:这样就可以找回消失的选项卡。
恢复点
我们总是强调创建恢复点的重要性。在标准的XP系统中,从开始菜单点下去,只用5步就可以运行系统恢复。
尽管可以通过%SystemRoot%\System32\restore\rstrui.exe来快速访问,但我们还是建议使用Doug Knox’s SysRestorePoint.exe。双击这个小(20kb)应用,它就会简单地创建系统恢复点。
这个点将被称为自动恢复点——这将它跟Windows创建的叫做系统还原点区分开来。你可以到www.dougknox.com上找到使用方法。
提高警惕 五招应对网络钓鱼
[ 2007-03-25 04:07:28 | 作者: sun ]
我国公安部门通报,利用“网络钓鱼”方式窃取客户资金的违法犯罪活动不断增多,犯罪分子主要采取的作案手法:一是发送电子邮件,以虚假信息引诱用户中圈套;二是建立假冒网上银行、网上证券网站,骗取用户账号密码实施盗窃;三是利用虚假的电子商务进行诈骗;四是利用木马和黑客技术等手段窃取用户信息后实施盗窃活动;五是利用用户弱口令等漏洞破解、猜测用户账号和密码。
对此,银行方面应提醒客户要提高警惕,采取五项措施,防止上当受骗:
1、认真核对网址,不要采用超级链接方式间接访问网上银行网站。
2、科学设置和保护好账号密码,建议用字母、数字混合密码;为个人网上银行设置专门密码;任何情况下,不要轻易将个人账号等重要信息告诉别人。
相关新闻
钓鱼邮件披银行马甲 别激活邮件附带网址 (11.6) 钓鱼式攻击:假银行网站连连攻击美国银行 (9.14) 美大学研究人员开发出新型反网络钓鱼系统 (9.13) 雅虎推签名图章服务 打击网络钓鱼欺诈活动 (9.13) 钓鱼软件占攻击网络总数比例超过三分之一 (9.6) 06年“网络钓鱼”将“钓取”消费者28亿... (11.10) 3、避免在公共场所使用网上交易系统;正确使用网银安全工具,做好交易记录;定期查看“历史交易明细”和打印业务对账单,如发现异常交易或差错,立即与银行联系,拨打客户服务热线查询。
4、加强计算机安全管理。使用网银前应按要求下载相关安全控件;安装防火墙和防病毒软件,并经常升级;经常给系统打补丁,堵塞软件漏洞等。
5、对异常情况提高警惕,如不小心在陌生的网址上输入了账户和密码,并遇到类似“系统维护”之类提示时,应立即拨打银行服务热线进行确认。如发现资料被盗,应立即修改相关交易密码或进行挂失;发现网上银行资金被盗,应立即向公安机关报案。
对此,银行方面应提醒客户要提高警惕,采取五项措施,防止上当受骗:
1、认真核对网址,不要采用超级链接方式间接访问网上银行网站。
2、科学设置和保护好账号密码,建议用字母、数字混合密码;为个人网上银行设置专门密码;任何情况下,不要轻易将个人账号等重要信息告诉别人。
相关新闻
钓鱼邮件披银行马甲 别激活邮件附带网址 (11.6) 钓鱼式攻击:假银行网站连连攻击美国银行 (9.14) 美大学研究人员开发出新型反网络钓鱼系统 (9.13) 雅虎推签名图章服务 打击网络钓鱼欺诈活动 (9.13) 钓鱼软件占攻击网络总数比例超过三分之一 (9.6) 06年“网络钓鱼”将“钓取”消费者28亿... (11.10) 3、避免在公共场所使用网上交易系统;正确使用网银安全工具,做好交易记录;定期查看“历史交易明细”和打印业务对账单,如发现异常交易或差错,立即与银行联系,拨打客户服务热线查询。
4、加强计算机安全管理。使用网银前应按要求下载相关安全控件;安装防火墙和防病毒软件,并经常升级;经常给系统打补丁,堵塞软件漏洞等。
5、对异常情况提高警惕,如不小心在陌生的网址上输入了账户和密码,并遇到类似“系统维护”之类提示时,应立即拨打银行服务热线进行确认。如发现资料被盗,应立即修改相关交易密码或进行挂失;发现网上银行资金被盗,应立即向公安机关报案。
Windows下使用批处理实现对网站的监测
[ 2007-03-25 04:07:16 | 作者: sun ]
由于多数监测软件是商业性质,同时使用过一个付费的监测服务感觉效果并不理想,于是动手弄了一个自己的监测系统,使用DOS批处理操作。
原理:
使用了一个Wget.exe 的Win32版本用以从网站下载文件,利用批处理命令检测文件是否抓取成功,如果成功,删除已经下载的文件,退出批处理,如果不成功,利用安装在电脑上的modem拨打某个电话号码,使用特定的振铃次数通知网站发生故障。
测试后将批处理放到windows中的计划任务中周期执行。
注意:wget.exe需要放置到与批处理相同的目录,或者放入windows系统目录。
批处理文件:
monitor.bat
@echo off
echo.>>wget.log
rem 使用wget下载网页首页文件,并记录日志
.\wget -a wget.log -d http://www.xxx.com
rem 判断index.html文件是否下载成功
if exist index.html goto end
echo.>>system.log
echo ---------------------------->>system.log
date/t>>system.log&&time/t>>system.log
echo error occurred>>system.log
rem 调用一个拨号批处理
call .\dial.bat
exit
:end
echo.>>system.log
echo ---------------------------->>system.log
date/t>>system.log&&time/t>>system.log
echo ok>>system.log
echo y|del .\index.html
exit
dial.bat
@echo off
rem 使用at指令传送到串口拨号
echo atdtxxxxxxx >com1
rem 延时14秒,振铃3次
choice /c yn /d y /n /t 14 >nul
rem 挂机
echo ath>com1
choice /c yn /d y /n /t 5 >nul
echo atdtxxxxxxx >com1
choice /c yn /d y /n /t 14 >nul
echo ath>com1
choice /c yn /d y /n /t 5 >nul
echo atdtxxxxxxx >com1
choice /c yn /d y /n /t 14 >nul
echo ath>com1
原理:
使用了一个Wget.exe 的Win32版本用以从网站下载文件,利用批处理命令检测文件是否抓取成功,如果成功,删除已经下载的文件,退出批处理,如果不成功,利用安装在电脑上的modem拨打某个电话号码,使用特定的振铃次数通知网站发生故障。
测试后将批处理放到windows中的计划任务中周期执行。
注意:wget.exe需要放置到与批处理相同的目录,或者放入windows系统目录。
批处理文件:
monitor.bat
@echo off
echo.>>wget.log
rem 使用wget下载网页首页文件,并记录日志
.\wget -a wget.log -d http://www.xxx.com
rem 判断index.html文件是否下载成功
if exist index.html goto end
echo.>>system.log
echo ---------------------------->>system.log
date/t>>system.log&&time/t>>system.log
echo error occurred>>system.log
rem 调用一个拨号批处理
call .\dial.bat
exit
:end
echo.>>system.log
echo ---------------------------->>system.log
date/t>>system.log&&time/t>>system.log
echo ok>>system.log
echo y|del .\index.html
exit
dial.bat
@echo off
rem 使用at指令传送到串口拨号
echo atdtxxxxxxx >com1
rem 延时14秒,振铃3次
choice /c yn /d y /n /t 14 >nul
rem 挂机
echo ath>com1
choice /c yn /d y /n /t 5 >nul
echo atdtxxxxxxx >com1
choice /c yn /d y /n /t 14 >nul
echo ath>com1
choice /c yn /d y /n /t 5 >nul
echo atdtxxxxxxx >com1
choice /c yn /d y /n /t 14 >nul
echo ath>com1
WEB专用服务器的安全设置的实战技巧
[ 2007-03-25 04:07:06 | 作者: sun ]
IIS的相关设置:
删除默认建立的站点的虚拟目录,停止默认web站点,删除对应的文件目录c:inetpub,配置所有站点的公共设置,设置好相关的连接数限制,带宽设置以及性能设置等其他设置。配置应用程序映射,删除所有不必要的应用程序扩展,只保留asp,php,cgi,pl,aspx应用程序扩展。对于php和cgi,推荐使用isapi方式解析,用exe解析对安全和性能有所影响。用户程序调试设置发送文本错误信息给户。对于数据库,尽量采用mdb后缀,不需要更改为asp,可在IIS中设置一个mdb的扩展映射,将这个映射使用一个无关的dll文件如C:WINNTsystem32inetsrvssinc.dll来防止数据库被下载。设置IIS的日志保存目录,调整日志记录信息。设置为发送文本错误信息。修改403错误页面,将其转向到其他页,可防止一些扫描器的探测。另外为隐藏系统信息,防止telnet到80端口所泄露的系统版本信息可修改IIS的banner信息,可以使用winhex手工修改或者使用相关软件如banneredit修改。
对于用户站点所在的目录,在此说明一下,用户的FTP根目录下对应三个文件佳,wwwroot,database,logfiles,分别存放站点文件,数据库备份和该站点的日志。如果一旦发生入侵事件可对该用户站点所在目录设置具体的权限,图片所在的目录只给予列目录的权限,程序所在目录如果不需要生成文件(如生成html的程序)不给予写入权限。因为是虚拟主机平常对脚本安全没办法做到细致入微的地步,更多的只能在方法用户从脚本提升权限:
ASP的安全设置:
设置过权限和服务之后,防范asp木马还需要做以下工作,在cmd窗口运行以下命令:
regsvr32/u C:\WINNT\System32\wshom.ocx
del C:\WINNT\System32\wshom.ocx
regsvr32/u C:\WINNT\system32\shell32.dll
del C:\WINNT\system32\shell32.dll
即可将WScript.Shell, Shell.application, WScript.Network组件卸载,可有效防止asp木马通过wscript或shell.application执行命令以及使用木马查看一些系统敏感信息。另法:可取消以上文件的users用户的权限,重新启动IIS即可生效。但不推荐该方法。
另外,对于FSO由于用户程序需要使用,服务器上可以不注销掉该组件,这里只提一下FSO的防范,但并不需要在自动开通空间的虚拟商服务器上使用,只适合于手工开通的站点。可以针对需要FSO和不需要FSO的站点设置两个组,对于需要FSO的用户组给予c:winntsystem32scrrun.dll文件的执行权限,不需要的不给权限。重新启动服务器即可生效。
对于这样的设置结合上面的权限设置,你会发现海阳木马已经在这里失去了作用!
PHP的安全设置:
默认安装的php需要有以下几个注意的问题:
C:\winnt\php.ini只给予users读权限即可。在php.ini里需要做如下设置:
Safe_mode=on
register_globals = Off
allow_url_fopen = Off
display_errors = Off
magic_quotes_gpc = On [默认是on,但需检查一遍]
open_basedir =web目录
disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod
默认设置com.allow_dcom = true修改为false[修改前要取消掉前面的;]
MySQL安全设置:
如果服务器上启用MySQL数据库,MySQL数据库需要注意的安全设置为:
删除mysql中的所有默认用户,只保留本地root帐户,为root用户加上一个复杂的密码。赋予普通用户updatedeletealertcreatedrop权限的时候,并限定到特定的数据库,尤其要避免普通客户拥有对mysql数据库操作的权限。检查mysql.user表,取消不必要用户的shutdown_priv,relo
ad_priv,process_priv和File_priv权限,这些权限可能泄漏更多的服务器信息包括非mysql的其它信息出去。可以为mysql设置一个启动用户,该用户只对mysql目录有权限。设置安装目录的data数据库的权限(此目录存放了mysql数据库的数据信息)。对于mysql安装目录给users加上读取、列目录和执行权限。
Serv-u安全问题:
安装程序尽量采用最新版本,避免采用默认安装目录,设置好serv-u目录所在的权限,设置一个复杂的管理员密码。修改serv-u的banner信息,设置被动模式端口范围(4001—4003)在本地服务器中设置中做好相关安全设置:包括检查匿名密码,禁用反超时调度,拦截“FTP bounce”攻击和FXP,对于在30秒内连接超过3次的用户拦截10分钟。域中的设置为:要求复杂密码,目录只使用小写字母,高级中设置取消允许使用MDTM命令更改文件的日期。
更改serv-u的启动用户:在系统中新建一个用户,设置一个复杂点的密码,不属于任何组。将servu的安装目录给予该用户完全控制权限。建立一个FTP根目录,需要给予这个用户该目录完全控制权限,因为所有的ftp用户上传,删除,更改文件都是继承了该用户的权限,否则无法操作文件。另外需要给该目录以上的上级目录给该用户的读取权限,否则会在连接的时候出现530 Not logged in, home directory does not exist。比如在测试的时候ftp根目录为d:soft,必须给d盘该用户的读取权限,为了安全取消d盘其他文件夹的继承权限。而一般的使用默认的system启动就没有这些问题,因为system一般都拥有这些权限的。
数据库服务器的安全设置
对于专用的MSSQL数据库服务器,按照上文所讲的设置TCP/IP筛选和IP策略,对外只开放1433和5631端口。对于MSSQL首先需要为sa设置一个强壮的密码,使用混合身份验证,加强数据库日志的记录,审核数据库登陆事件的”成功和失败”.删除一些不需要的和危险的OLE自动存储过程(会造成企业管理器中部分功能不能使用),这些过程包括如下:
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
去掉不需要的注册表访问过程,包括有:
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue
Xp_regenumvalues Xp_regread Xp_regremovemultistring
Xp_regwrite
去掉其他系统存储过程,如果认为还有威胁,当然要小心Drop这些过程,可以在测试机器上测试,保证正常的系统能完成工作,这些过程包括:
xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember
xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin
sp_addextendedproc
在实例属性中选择TCP/IP协议的属性。选择隐藏 SQL Server 实例可防止对1434端口的探测,可修改默认使用的1433端口。除去数据库的guest账户把未经认可的使用者据之在外。 例外情况是master和 tempdb 数据库,因为对他们guest帐户是必需的。另外注意设置好各个数据库用户的权限,对于这些用户只给予所在数据库的一些权限。在程序中不要用sa用户去连接任何数据库。网络上有建议大家使用协议加密的,千万不要这么做,否则你只能重装MSSQL了。
入侵检测和数据备份
入侵检测工作
作为服务器的日常管理,入侵检测是一项非常重要的工作,在平常的检测过程中,主要包含日常的服务器安全例行检查和遭到入侵时的入侵检查,也就是分为在入侵进行时的安全检查和在入侵前后的安全检查。系统的安全性遵循木桶原理,木桶原理指的是:一个木桶由许多块木板组成,如果组成木桶的这些木板长短不一,那么这个木桶的最大容量不取决于长的木板,而取决于最短的那块木板。应用到安全方面也就是说系统的安全性取决于系统中最脆弱的地方,这些地方是日常的安全检测的重点所在。
日常的安全检测
日常安全检测主要针对系统的安全性,工作主要按照以下步骤进行:
1.查看服务器状态:
打开进程管理器,查看服务器性能,观察CPU和内存使用状况。查看是否有CPU和内存占用过高等异常情况。
2.检查当前进程情况
切换“任务管理器”到进程,查找有无可疑的应用程序或后台进程在运行。用进程管理器查看进程时里面会有一项taskmgr,这个是进程管理器自身的进程。如果正在运行windows更新会有一项wuauclt.exe进程。对于拿不准的进程或者说不知道是服务器上哪个应用程序开启的进程,可以在网络上搜索一下该进程名加以确定[进程知识库:http://www.dofile.com/]。通常的后门如果有进程的话,一般会取一个与系统进程类似的名称,如svch0st.exe,此时要仔细辨别[通常迷惑手段是变字母o为数字0,变字母l为数字1]
3.检查系统帐号
打开计算机管理,展开本地用户和组选项,查看组选项,查看administrators组是否添加有新帐号,检查是否有克隆帐号。
4.查看当前端口开放情况
使用activeport,查看当前的端口连接情况,尤其是注意与外部连接着的端口情况,看是否有未经允许的端口与外界在通信。如有,立即关闭该端口并记录下该端口对应的程序并记录,将该程序转移到其他目录下存放以便后来分析。打开计算机管理==》软件环境==》正在运行任务[在此处可以查看进程管理器中看不到的隐藏进程],查看当前运行的程序,如果有不明程序,记录下该程序的位置,打开任务管理器结束该进程,对于采用了守护进程的后门等程序可尝试结束进程树,如仍然无法结束,在注册表中搜索该程序名,删除掉相关键值,切换到安全模式下删除掉相关的程序文件。
5.检查系统服务
运行services.msc,检查处于已启动状态的服务,查看是否有新加的未知服务并确定服务的用途。对于不清楚的服务打开该服务的属性,查看该服务所对应的可执行文件是什么,如果确定该文件是系统内的正常使用的文件,可粗略放过。查看是否有其他正常开放服务依存在该服务上,如果有,可以粗略的放过。如果无法确定该执行文件是否是系统内正常文件并且没有其他正常开放服务依存在该服务上,可暂时停止掉该服务,然后测试下各种应用是否正常。对于一些后门由于采用了hook系统API技术,添加的服务项目在服务管理器中是无法看到的,这时需要打开注册表中的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices项进行查找,通过查看各服务的名称、对应的执行文件来确定是否是后门、木马程序等。
6.查看相关日志
运行eventvwr.msc,粗略检查系统中的相关日志记录。在查看时在对应的日志记录上点右键选“属性”,在“筛选器”中设置一个日志筛选器,只选择错误、警告,查看日志的来源和具体描述信息。对于出现的错误如能在服务器常见故障排除中找到解决办法则依照该办法处理该问题,如果无解决办法则记录下该问题,详细记录下事件来源、ID号和具体描述信息,以便找到问题解决的办法。
7.检查系统文件
主要检查系统盘的exe和dll文件,建议系统安装完毕之后用dir *.exe /s >1.txt将C盘所有的exe文件列表保存下来,然后每次检查的时候再用该命令生成一份当时的列表,用fc比较两个文件,同样如此针对dll文件做相关检查。需要注意的是打补丁或者安装软件后重新生成一次原始列表。检查相关系统文件是否被替换或系统中是否被安装了木马后门等恶意程序。必要时可运行一次杀毒程序对系统盘进行一次扫描处理。
8.检查安全策略是否更改
打开本地连接的属性,查看“常规”中是否只勾选了“TCP/IP协议”,打开“TCP/IP”协议设置,点“高级”==》“选项”,查看“IP安全机制”是否是设定的IP策略,查看“TCP/IP”筛选允许的端口有没有被更改。打开“管理工具”=》“本地安全策略”,查看目前使用的IP安全策略是否发生更改。
9.检查目录权限
重点查看系统目录和重要的应用程序权限是否被更改。需要查看的目录有c:;c:winnt;
C:winntsystem32;c:winntsystem32inetsrv;c:winntsystem32inetsrvdata;c:documents and
Settings;然后再检查serv-u安装目录,查看这些目录的权限是否做过变动。检查system32下的一些重要文件是否更改过权限,包括:cmd,net,ftp,tftp,cacls等文件。
10.检查启动项
主要检查当前的开机自启动程序。可以使用AReporter来检查开机自启动的程序。
发现入侵时的应对措施
对于即时发现的入侵事件,以下情况针对系统已遭受到破坏情况下的处理,系统未遭受到破坏或暂时无法察觉到破坏先按照上述的检查步骤检查一遍后再酌情考虑以下措施。系统遭受到破坏后应立即采取以下措施:
视情况严重决定处理的方式,是通过远程处理还是通过实地处理。如情况严重建议采用实地处理。如采用实地处理,在发现入侵的第一时间通知机房关闭服务器,待处理人员赶到机房时断开网线,再进入系统进行检查。如采用远程处理,如情况严重第一时间停止所有应用服务,更改IP策略为只允许远程管理端口进行连接然后重新启动服务器,重新启动之后再远程连接上去进行处理,重启前先用AReporter检查开机自启动的程序。然后再进行安全检查。
以下处理措施针对用户站点被入侵但未危及系统的情况,如果用户要求加强自己站点的安全性,可按如下方式加固用户站点的安全:
站点根目录----只给administrator读取权限,权限继承下去。
wwwroot ------给web用户读取、写入权限。高级里面有删除子文件夹和文件权限
logfiles------给system写入权限。
database------给web用户读取、写入权限。高级里面没有删除子文件夹和文件权限
如需要进一步修改,可针对用户站点的特性对于普通文件存放目录如html、js、图片文件夹只给读取权限,对asp等脚本文件给予上表中的权限。另外查看该用户站点对应的安全日志,找出漏洞原因,协助用户修补程序漏洞。
数据备份和数据恢复
数据备份工作大致如下:
1. 每月备份一次系统数据。
2. 备份系统后的两周单独备份一次应用程序数据,主要包括IIS、serv-u、数据库等数据。
3. 确保备份数据的安全,并分类放置这些数据备份。因基本上采用的都是全备份方法,对于数据的保留周期可以只保留该次备份和上次备份数据两份即可。
数据恢复工作:
1.系统崩溃或遇到其他不可恢复系统正常状态情况时,先对上次系统备份后发生的一些更改事件如应用程序、安全策略等的设置做好备份,恢复完系统后再恢复这些更改。
2.应用程序等出错采用最近一次的备份数据恢复相关内容。
服务器性能优化
1 服务器性能优化
系统性能优化
整理系统空间:
删除系统备份文件,删除驱动备份,刪除不用的輸入法,刪除系统的帮助文件,卸载不常用的组件。最小化C盘文件。
性能优化:
删除多余的开机自动运行程序;减少预读取,减少进度条等待时间;让系统自动关闭停止响应的程序;禁用错误报告,但在发生严重错误时通知;关闭自动更新,改为手动更新计算机;启用硬件和DirectX加速;禁用关机事件跟踪;禁用配置服务器向导; 减少开机磁盘扫描等待时间;将处理器计划和内存使用都调到应用程序上;调整虚拟内存;内存优化;修改cpu的二级缓存;修改磁盘缓存。
IIS性能优化
1、调整IIS高速缓存
HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\InetInfoParametersMemoryCacheSize
MemoryCacheSize的范围是从0道4GB,缺省值为3072000(3MB)。一般来说此值最小应设为服务器内存的10%。IIS通过高速缓存系统句柄、目录列表以及其他常用数据的值来提高系统的性能。这个参数指明了分配给高速缓存的内存大小。如果该值为0,那就意味着“不进行任何高速缓存”。在这种情况下系统的性能可能会降低。如果你的服务器网络通讯繁忙,并且有足够的内存空间,可以考虑增大该值。必须注意的是修改注册表后,需要重新启动才能使新值生效。
2.不要关闭系统服务: “Protected Storage”
3.对访问流量进行限制
A.对站点访问人数进行限制
B.站点带宽限制。保持HTTP连接。
C.进程限制, 输入CPU的耗用百分比
4.提高IIS的处理效率
应用程序设置”处的“应用程序保护”下拉按钮,从弹出的下拉列表中,选中“低(IIS进程)”选项,IIS服务器处理程序的效率可以提高20%左右。但此设置会带来严重的安全问题,不值得推荐。
5.将IIS服务器设置为独立的服务器
A.提高硬件配置来优化IIS性能硬盘:硬盘空间被NT和IIS服务以如下两种方式使用:一种是简单地存储数据;另一种是作为虚拟内存使用。如果使用Ultra2的SCSI硬盘,可以显著提高IIS的性能。
B.可以把NT服务器的页交换文件分布到多个物理磁盘上,注意是多个“物理磁盘”,分布在多个分区上是无效的。另外,不要将页交换文件放在与WIndows NT引导区相同的分区中。
C.使用磁盘镜像或磁盘带区集可以提高磁盘的读取性能。
D.最好把所有的数据都储存在一个单独的分区里。然后定期运行磁盘碎片整理程序以保证在存储Web服务器数据的分区中没有碎片。使用NTFS有助于减少碎片。推荐使用Norton的Speeddisk,可以很快的整理NTFS分区。
6.起用HTTP压缩
HTTP压缩是在Web服务器和浏览器间传输压缩文本内容的方法。HTTP压缩采用通用的压缩算法如gzip等压缩HTML、JavaScript或CSS文件。可使用pipeboost进行设置。
7.起用资源回收
使用IIS5Recycle定时回收进程资源。
服务器常见故障排除
1. ASP“请求的资源正在使用中”的解决办法:
该问题一般与杀毒软件有关,在服务器上安装个人版杀毒软件所致。出现这种错误可以通过卸载杀毒软件解决,也可尝试重新注册vbscript.dll和jscript.dll来解决,在命令行下运行:regsvr32 vbscript.dll 和regsvr32 jscript.dll即可。
2.ASP500错误解决办法:
首先确定该问题是否是单一站点存在还是所有站点存在,如果是单一站点存在该问题,则是网站程序的问题,可打开该站点的错误提示,把IE的“显示友好HTTP错误”信息取消,查看具体错误信息,然后对应修改相关程序。如是所有站点存在该问题,并且HTML页面没有出现该问题,相关日志出现“服务器无法加载应用程序‘/LM/W3SVC/1/ROOT‘。错误是 ‘不支持此接口‘”。那十有八九是服务器系统中的ASP相关组件出现了问题,重新启动IIS服务,尝试是否可以解决该问题,无法解决重新启动系统尝试是否可解决该问题,如无法解决可重新修复一下ASP组件:
首先删除com组件中的关于IIS的三个东西,需要先将属性里的高级中“禁止删除”的勾选取消。
命令行中,输入“cd winnt\system32\inetsrv”字符串命令,单击回车键后,再执行“rundll32 wamreg.dll,CreateIISPackage”命令,接着再依次执行“regsvr32 asptxn.dll”命令、“iisreset”命令,最后重新启动一下计算机操作系统,这样IIS服务器就能重新正确响应ASP脚本页面了。
3. IIS出现105错误:
在系统日志中“服务器无法注册管理工具发现信息。管理工具可能无法看到此服务器” 来源:w3svc ID:105解决办法:
在网络连接中重新安装netbios协议即可,安装完成之后取消掉勾选。
4.MySQL服务无法启动【错误代码1067】的解决方法
启动MySQL服务时都会在中途报错!内容为:在 本地计算机 无法启动MySQL服务 错误1067:进程意外中止。
解决方法:查找Windows目录下的my.ini文件,编辑内容(如果没有该文件,则新建一个),至少包含
basedir,datadir这两个基本的配置。
[mysqld]
# set basedir to installation path, e.g., c:/mysql
# 设置为MYSQL的安装目录
basedir=D:/www/WebServer/MySQL
# set datadir to location of data directory,
# e.g., c:/mysql/data or d:/mydata/data
# 设置为MYSQL的数据目录
datadir=D:/www/WebServer/MySQL/data
注意,我在更改系统的temp目录之后没有对更改后的目录给予system用户的权限也出现过该问题。
5.DllHotst进程消耗cpu 100%的问题
服务器正常CPU消耗应该在75%以下,而且CPU消耗应该是上下起伏的,出现这种问题的服务器,CPU会突然一直处100%的水平,而且不会下降。
查看任务管理器,可以发现是DLLHOST.EXE消耗了所有的CPU空闲时间,管理员在这种情况下,只好重新启动IIS服务,奇怪的是,重新启动IIS服务后一切正常,但可能过了一段时间后,问题又再次出现了。
直接原因:
有一个或多个ACCESS数据库在多次读写过程中损坏, MDAC系统在写入这个损坏的ACCESS文件时,ASP线程处于BLOCK状态,结果其他线程只能等待,IIS被死锁了,全部的CPU时间都消耗在DLLHOST中。
解决办法:
把数据库下载到本地,然后用ACCESS打开,进行修复操作。再上传到网站。如果还不行,只有新建一个ACCESS数据库,再从原来的数据库中导入所有表和记录。然后把新数据库上传到服务器上。
6.Windows installer出错:
在安装软件的时候出现“不能访问windows installer 服务。可能你在安全模式下运行 windows ,或者windows installer 没有正确的安装。请和你的支持人员联系以获得帮助” 如果试图重新安装InstMsiW.exe,提示:“指定的服务已存在”。
解决办法:
关于installer的错误,可能还有其他错误提示,可尝试以下解决办法:
首先确认是否是权限方面的问题,提示信息会提供相关信息,如果是权限问题,给予winnt目录everyone权限即可[安装完把权限改回来即可]。如果提示的是上述信息,可以尝试以下解决方法:运行“msiexec /unregserver”卸载Windows Installer服务,如果无法卸载可使用SRVINSTW进行卸载,然后下载windows installer的安装程序[地址:http://www.newhua.com/cfan/200410/instmsiw.exe],用winrar解压该文件,在解压缩出来的文件夹里面找到msi.inf文件,右键单击选择“安装”,重新启动系统后运行“msiexec /regserver”重新注册Windows Installer服务。
服务器管理
服务器日常管理安排
服务器管理工作必须规范严谨,尤其在不是只有一位管理员的时候,日常管理工作包括:
1.服务器的定时重启。每台服务器保证每周重新启动一次。重新启动之后要进行复查,确认服务器已经启动了,确认服务器上的各项服务均恢复正常。对于没有启动起来或服务未能及时恢复的情况要采取相应措施。前者可请求托管商的相关工作人员帮忙手工重新启动,必要时可要求让连接上显示器确认是否已启动起来;后者需要远程登陆上服务器进行原因查找并根据原因尝试恢复服务。
2.服务器的安全、性能检查,每服务器至少保证每周登陆两次粗略检查两次。每次检查的结果要求进行登记在册。如需要使用一些工具进行检查,可直接在e:tools中查找到相关工具。对于临时需要从网络上找的工具,首先将IE的安全级别调整到高,然后在网络上进行查找,不要去任何不明站点下载,尽量选择如华军、天空等大型网站进行下载,下载后确保当前杀毒软件已升级到最新版本,升级完毕后对下载的软件进行一次杀毒,确认正常后方能使用。对于下载的新工具对以后维护需要使用的话,将该工具保存到e:tools下,并在该目录中的readme.txt文件中做好相应记录,记录该工具的名称,功能,使用方法。并且在该文件夹中的rar文件夹中保留一份该工具的winrar压缩文件备份,设置解压密码。
3.服务器的数据备份工作,每服务器至少保证每月备份一次系统数据,系统备份采用ghost方式,对于ghost文件固定存放在e:ghost文件目录下,文件名以备份的日期命名,如0824.gho,每服务器至少保证每两周备份一次应用程序数据,每服务器至少保证每月备份一次用户数据,备份的数据固定存放在e:databak文件夹,针对各种数据再建立对应的子文件夹,如serv-u用户数据放在该文件夹下的servu文件夹下,iis站点数据存放在该文件夹下的iis文件夹下。
4.服务器的监控工作,每天正常工作期间必须保证监视所有服务器状态,一旦发现服务停止要及时采取相应措施。对于发现服务停止,首先检查该服务器上同类型的服务是否中断,如所有同类型的服务都已中断及时登陆服务器查看相关原因并针对该原因尝试重新开启对应服务。
5.服务器的相关日志操作,每服务器保证每月对相关日志进行一次清理,清理前对应的各项日志如应用程序日志、安全日志、系统日志等都应选择“保存日志”。所有的日志文件统一保存在e:logs下,应用程序日志保存在e:logsapp中,系统程序日志保存在e:logssys中,安全日志保存在e:logssec中。对于另外其他一些应用程序的日志,也按照这个方式进行处理,如ftp的日志保存在e:logsftp中。所有的备份日志文件都以备份的日期命名,如20050824.evt。对于不是单文件形式的日志,在对应的记录位置下建立一个以日期命名的文件夹,将这些文件存放在该文件夹中。
6.服务器的补丁修补、应用程序更新工作,对于新出的漏洞补丁,应用程序方面的安全更新一定要在发现的第一时间给每服务器打上应用程序的补丁。
7.服务器的隐患检查工作,主要包括安全隐患、性能等方面。每服务器必须保证每月重点的单独检查一次。每次的检查结果必须做好记录。
8.不定时的相关工作,每服务器由于应用软件更改或其他某原因需要安装新的应用程序或卸载应用程序等操作必须知会所有管理员。
9.定期的管理密码更改工作,每服务器保证至少每两个月更改一次密码,对于SQL服务器由于如果SQL采用混合验证更改系统管理员密码会影响数据库的使用则不予修改。
相关建议:对每服务器设立一个服务器管理记载,管理员每次登陆系统都应该在此中进行详细的记录,共需要记录以下几项:登入时间,退出时间,登入时服务器状态[包含不明进程记录,端口连接状态,系统帐号状态,内存/CPU状态],详细操作情况记录[详细记录下管理员登陆系统后的每一步操作]。无论是远程登陆操作还是物理接触操作都要进行记录,然后将这些记录按照各服务器归档,按时间顺序整理好文档。
对于数据备份、服务器定时重启等操作建议将服务器分组,例如分成四组,每月的周六晚备份一组服务器的数据,每周的某一天定时去重启一组的服务器,这样对于工作的开展比较方便,这些属于固定性的工作。另外有些工作可以同步进行,如每月一次的数据备份、安全检查和管理员密码修改工作,先进行数据备份,然后进行安全检查,再修改密码。对于需要的即时操作如服务器补丁程序的安装、服务器不定时的故障维护等工作,这些属于即时性的工作,但是原则上即时性的工作不能影响固定工作的安排。
管理员日常注意事项
在服务器管理过程中,管理员需要注意以下事项:
1.对自己的每一次操作应做好详细记录,具体见上述建议,以便于后来检查。
2.努力提高自身水平,加强学习。
删除默认建立的站点的虚拟目录,停止默认web站点,删除对应的文件目录c:inetpub,配置所有站点的公共设置,设置好相关的连接数限制,带宽设置以及性能设置等其他设置。配置应用程序映射,删除所有不必要的应用程序扩展,只保留asp,php,cgi,pl,aspx应用程序扩展。对于php和cgi,推荐使用isapi方式解析,用exe解析对安全和性能有所影响。用户程序调试设置发送文本错误信息给户。对于数据库,尽量采用mdb后缀,不需要更改为asp,可在IIS中设置一个mdb的扩展映射,将这个映射使用一个无关的dll文件如C:WINNTsystem32inetsrvssinc.dll来防止数据库被下载。设置IIS的日志保存目录,调整日志记录信息。设置为发送文本错误信息。修改403错误页面,将其转向到其他页,可防止一些扫描器的探测。另外为隐藏系统信息,防止telnet到80端口所泄露的系统版本信息可修改IIS的banner信息,可以使用winhex手工修改或者使用相关软件如banneredit修改。
对于用户站点所在的目录,在此说明一下,用户的FTP根目录下对应三个文件佳,wwwroot,database,logfiles,分别存放站点文件,数据库备份和该站点的日志。如果一旦发生入侵事件可对该用户站点所在目录设置具体的权限,图片所在的目录只给予列目录的权限,程序所在目录如果不需要生成文件(如生成html的程序)不给予写入权限。因为是虚拟主机平常对脚本安全没办法做到细致入微的地步,更多的只能在方法用户从脚本提升权限:
ASP的安全设置:
设置过权限和服务之后,防范asp木马还需要做以下工作,在cmd窗口运行以下命令:
regsvr32/u C:\WINNT\System32\wshom.ocx
del C:\WINNT\System32\wshom.ocx
regsvr32/u C:\WINNT\system32\shell32.dll
del C:\WINNT\system32\shell32.dll
即可将WScript.Shell, Shell.application, WScript.Network组件卸载,可有效防止asp木马通过wscript或shell.application执行命令以及使用木马查看一些系统敏感信息。另法:可取消以上文件的users用户的权限,重新启动IIS即可生效。但不推荐该方法。
另外,对于FSO由于用户程序需要使用,服务器上可以不注销掉该组件,这里只提一下FSO的防范,但并不需要在自动开通空间的虚拟商服务器上使用,只适合于手工开通的站点。可以针对需要FSO和不需要FSO的站点设置两个组,对于需要FSO的用户组给予c:winntsystem32scrrun.dll文件的执行权限,不需要的不给权限。重新启动服务器即可生效。
对于这样的设置结合上面的权限设置,你会发现海阳木马已经在这里失去了作用!
PHP的安全设置:
默认安装的php需要有以下几个注意的问题:
C:\winnt\php.ini只给予users读权限即可。在php.ini里需要做如下设置:
Safe_mode=on
register_globals = Off
allow_url_fopen = Off
display_errors = Off
magic_quotes_gpc = On [默认是on,但需检查一遍]
open_basedir =web目录
disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod
默认设置com.allow_dcom = true修改为false[修改前要取消掉前面的;]
MySQL安全设置:
如果服务器上启用MySQL数据库,MySQL数据库需要注意的安全设置为:
删除mysql中的所有默认用户,只保留本地root帐户,为root用户加上一个复杂的密码。赋予普通用户updatedeletealertcreatedrop权限的时候,并限定到特定的数据库,尤其要避免普通客户拥有对mysql数据库操作的权限。检查mysql.user表,取消不必要用户的shutdown_priv,relo
ad_priv,process_priv和File_priv权限,这些权限可能泄漏更多的服务器信息包括非mysql的其它信息出去。可以为mysql设置一个启动用户,该用户只对mysql目录有权限。设置安装目录的data数据库的权限(此目录存放了mysql数据库的数据信息)。对于mysql安装目录给users加上读取、列目录和执行权限。
Serv-u安全问题:
安装程序尽量采用最新版本,避免采用默认安装目录,设置好serv-u目录所在的权限,设置一个复杂的管理员密码。修改serv-u的banner信息,设置被动模式端口范围(4001—4003)在本地服务器中设置中做好相关安全设置:包括检查匿名密码,禁用反超时调度,拦截“FTP bounce”攻击和FXP,对于在30秒内连接超过3次的用户拦截10分钟。域中的设置为:要求复杂密码,目录只使用小写字母,高级中设置取消允许使用MDTM命令更改文件的日期。
更改serv-u的启动用户:在系统中新建一个用户,设置一个复杂点的密码,不属于任何组。将servu的安装目录给予该用户完全控制权限。建立一个FTP根目录,需要给予这个用户该目录完全控制权限,因为所有的ftp用户上传,删除,更改文件都是继承了该用户的权限,否则无法操作文件。另外需要给该目录以上的上级目录给该用户的读取权限,否则会在连接的时候出现530 Not logged in, home directory does not exist。比如在测试的时候ftp根目录为d:soft,必须给d盘该用户的读取权限,为了安全取消d盘其他文件夹的继承权限。而一般的使用默认的system启动就没有这些问题,因为system一般都拥有这些权限的。
数据库服务器的安全设置
对于专用的MSSQL数据库服务器,按照上文所讲的设置TCP/IP筛选和IP策略,对外只开放1433和5631端口。对于MSSQL首先需要为sa设置一个强壮的密码,使用混合身份验证,加强数据库日志的记录,审核数据库登陆事件的”成功和失败”.删除一些不需要的和危险的OLE自动存储过程(会造成企业管理器中部分功能不能使用),这些过程包括如下:
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
去掉不需要的注册表访问过程,包括有:
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue
Xp_regenumvalues Xp_regread Xp_regremovemultistring
Xp_regwrite
去掉其他系统存储过程,如果认为还有威胁,当然要小心Drop这些过程,可以在测试机器上测试,保证正常的系统能完成工作,这些过程包括:
xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember
xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin
sp_addextendedproc
在实例属性中选择TCP/IP协议的属性。选择隐藏 SQL Server 实例可防止对1434端口的探测,可修改默认使用的1433端口。除去数据库的guest账户把未经认可的使用者据之在外。 例外情况是master和 tempdb 数据库,因为对他们guest帐户是必需的。另外注意设置好各个数据库用户的权限,对于这些用户只给予所在数据库的一些权限。在程序中不要用sa用户去连接任何数据库。网络上有建议大家使用协议加密的,千万不要这么做,否则你只能重装MSSQL了。
入侵检测和数据备份
入侵检测工作
作为服务器的日常管理,入侵检测是一项非常重要的工作,在平常的检测过程中,主要包含日常的服务器安全例行检查和遭到入侵时的入侵检查,也就是分为在入侵进行时的安全检查和在入侵前后的安全检查。系统的安全性遵循木桶原理,木桶原理指的是:一个木桶由许多块木板组成,如果组成木桶的这些木板长短不一,那么这个木桶的最大容量不取决于长的木板,而取决于最短的那块木板。应用到安全方面也就是说系统的安全性取决于系统中最脆弱的地方,这些地方是日常的安全检测的重点所在。
日常的安全检测
日常安全检测主要针对系统的安全性,工作主要按照以下步骤进行:
1.查看服务器状态:
打开进程管理器,查看服务器性能,观察CPU和内存使用状况。查看是否有CPU和内存占用过高等异常情况。
2.检查当前进程情况
切换“任务管理器”到进程,查找有无可疑的应用程序或后台进程在运行。用进程管理器查看进程时里面会有一项taskmgr,这个是进程管理器自身的进程。如果正在运行windows更新会有一项wuauclt.exe进程。对于拿不准的进程或者说不知道是服务器上哪个应用程序开启的进程,可以在网络上搜索一下该进程名加以确定[进程知识库:http://www.dofile.com/]。通常的后门如果有进程的话,一般会取一个与系统进程类似的名称,如svch0st.exe,此时要仔细辨别[通常迷惑手段是变字母o为数字0,变字母l为数字1]
3.检查系统帐号
打开计算机管理,展开本地用户和组选项,查看组选项,查看administrators组是否添加有新帐号,检查是否有克隆帐号。
4.查看当前端口开放情况
使用activeport,查看当前的端口连接情况,尤其是注意与外部连接着的端口情况,看是否有未经允许的端口与外界在通信。如有,立即关闭该端口并记录下该端口对应的程序并记录,将该程序转移到其他目录下存放以便后来分析。打开计算机管理==》软件环境==》正在运行任务[在此处可以查看进程管理器中看不到的隐藏进程],查看当前运行的程序,如果有不明程序,记录下该程序的位置,打开任务管理器结束该进程,对于采用了守护进程的后门等程序可尝试结束进程树,如仍然无法结束,在注册表中搜索该程序名,删除掉相关键值,切换到安全模式下删除掉相关的程序文件。
5.检查系统服务
运行services.msc,检查处于已启动状态的服务,查看是否有新加的未知服务并确定服务的用途。对于不清楚的服务打开该服务的属性,查看该服务所对应的可执行文件是什么,如果确定该文件是系统内的正常使用的文件,可粗略放过。查看是否有其他正常开放服务依存在该服务上,如果有,可以粗略的放过。如果无法确定该执行文件是否是系统内正常文件并且没有其他正常开放服务依存在该服务上,可暂时停止掉该服务,然后测试下各种应用是否正常。对于一些后门由于采用了hook系统API技术,添加的服务项目在服务管理器中是无法看到的,这时需要打开注册表中的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices项进行查找,通过查看各服务的名称、对应的执行文件来确定是否是后门、木马程序等。
6.查看相关日志
运行eventvwr.msc,粗略检查系统中的相关日志记录。在查看时在对应的日志记录上点右键选“属性”,在“筛选器”中设置一个日志筛选器,只选择错误、警告,查看日志的来源和具体描述信息。对于出现的错误如能在服务器常见故障排除中找到解决办法则依照该办法处理该问题,如果无解决办法则记录下该问题,详细记录下事件来源、ID号和具体描述信息,以便找到问题解决的办法。
7.检查系统文件
主要检查系统盘的exe和dll文件,建议系统安装完毕之后用dir *.exe /s >1.txt将C盘所有的exe文件列表保存下来,然后每次检查的时候再用该命令生成一份当时的列表,用fc比较两个文件,同样如此针对dll文件做相关检查。需要注意的是打补丁或者安装软件后重新生成一次原始列表。检查相关系统文件是否被替换或系统中是否被安装了木马后门等恶意程序。必要时可运行一次杀毒程序对系统盘进行一次扫描处理。
8.检查安全策略是否更改
打开本地连接的属性,查看“常规”中是否只勾选了“TCP/IP协议”,打开“TCP/IP”协议设置,点“高级”==》“选项”,查看“IP安全机制”是否是设定的IP策略,查看“TCP/IP”筛选允许的端口有没有被更改。打开“管理工具”=》“本地安全策略”,查看目前使用的IP安全策略是否发生更改。
9.检查目录权限
重点查看系统目录和重要的应用程序权限是否被更改。需要查看的目录有c:;c:winnt;
C:winntsystem32;c:winntsystem32inetsrv;c:winntsystem32inetsrvdata;c:documents and
Settings;然后再检查serv-u安装目录,查看这些目录的权限是否做过变动。检查system32下的一些重要文件是否更改过权限,包括:cmd,net,ftp,tftp,cacls等文件。
10.检查启动项
主要检查当前的开机自启动程序。可以使用AReporter来检查开机自启动的程序。
发现入侵时的应对措施
对于即时发现的入侵事件,以下情况针对系统已遭受到破坏情况下的处理,系统未遭受到破坏或暂时无法察觉到破坏先按照上述的检查步骤检查一遍后再酌情考虑以下措施。系统遭受到破坏后应立即采取以下措施:
视情况严重决定处理的方式,是通过远程处理还是通过实地处理。如情况严重建议采用实地处理。如采用实地处理,在发现入侵的第一时间通知机房关闭服务器,待处理人员赶到机房时断开网线,再进入系统进行检查。如采用远程处理,如情况严重第一时间停止所有应用服务,更改IP策略为只允许远程管理端口进行连接然后重新启动服务器,重新启动之后再远程连接上去进行处理,重启前先用AReporter检查开机自启动的程序。然后再进行安全检查。
以下处理措施针对用户站点被入侵但未危及系统的情况,如果用户要求加强自己站点的安全性,可按如下方式加固用户站点的安全:
站点根目录----只给administrator读取权限,权限继承下去。
wwwroot ------给web用户读取、写入权限。高级里面有删除子文件夹和文件权限
logfiles------给system写入权限。
database------给web用户读取、写入权限。高级里面没有删除子文件夹和文件权限
如需要进一步修改,可针对用户站点的特性对于普通文件存放目录如html、js、图片文件夹只给读取权限,对asp等脚本文件给予上表中的权限。另外查看该用户站点对应的安全日志,找出漏洞原因,协助用户修补程序漏洞。
数据备份和数据恢复
数据备份工作大致如下:
1. 每月备份一次系统数据。
2. 备份系统后的两周单独备份一次应用程序数据,主要包括IIS、serv-u、数据库等数据。
3. 确保备份数据的安全,并分类放置这些数据备份。因基本上采用的都是全备份方法,对于数据的保留周期可以只保留该次备份和上次备份数据两份即可。
数据恢复工作:
1.系统崩溃或遇到其他不可恢复系统正常状态情况时,先对上次系统备份后发生的一些更改事件如应用程序、安全策略等的设置做好备份,恢复完系统后再恢复这些更改。
2.应用程序等出错采用最近一次的备份数据恢复相关内容。
服务器性能优化
1 服务器性能优化
系统性能优化
整理系统空间:
删除系统备份文件,删除驱动备份,刪除不用的輸入法,刪除系统的帮助文件,卸载不常用的组件。最小化C盘文件。
性能优化:
删除多余的开机自动运行程序;减少预读取,减少进度条等待时间;让系统自动关闭停止响应的程序;禁用错误报告,但在发生严重错误时通知;关闭自动更新,改为手动更新计算机;启用硬件和DirectX加速;禁用关机事件跟踪;禁用配置服务器向导; 减少开机磁盘扫描等待时间;将处理器计划和内存使用都调到应用程序上;调整虚拟内存;内存优化;修改cpu的二级缓存;修改磁盘缓存。
IIS性能优化
1、调整IIS高速缓存
HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\InetInfoParametersMemoryCacheSize
MemoryCacheSize的范围是从0道4GB,缺省值为3072000(3MB)。一般来说此值最小应设为服务器内存的10%。IIS通过高速缓存系统句柄、目录列表以及其他常用数据的值来提高系统的性能。这个参数指明了分配给高速缓存的内存大小。如果该值为0,那就意味着“不进行任何高速缓存”。在这种情况下系统的性能可能会降低。如果你的服务器网络通讯繁忙,并且有足够的内存空间,可以考虑增大该值。必须注意的是修改注册表后,需要重新启动才能使新值生效。
2.不要关闭系统服务: “Protected Storage”
3.对访问流量进行限制
A.对站点访问人数进行限制
B.站点带宽限制。保持HTTP连接。
C.进程限制, 输入CPU的耗用百分比
4.提高IIS的处理效率
应用程序设置”处的“应用程序保护”下拉按钮,从弹出的下拉列表中,选中“低(IIS进程)”选项,IIS服务器处理程序的效率可以提高20%左右。但此设置会带来严重的安全问题,不值得推荐。
5.将IIS服务器设置为独立的服务器
A.提高硬件配置来优化IIS性能硬盘:硬盘空间被NT和IIS服务以如下两种方式使用:一种是简单地存储数据;另一种是作为虚拟内存使用。如果使用Ultra2的SCSI硬盘,可以显著提高IIS的性能。
B.可以把NT服务器的页交换文件分布到多个物理磁盘上,注意是多个“物理磁盘”,分布在多个分区上是无效的。另外,不要将页交换文件放在与WIndows NT引导区相同的分区中。
C.使用磁盘镜像或磁盘带区集可以提高磁盘的读取性能。
D.最好把所有的数据都储存在一个单独的分区里。然后定期运行磁盘碎片整理程序以保证在存储Web服务器数据的分区中没有碎片。使用NTFS有助于减少碎片。推荐使用Norton的Speeddisk,可以很快的整理NTFS分区。
6.起用HTTP压缩
HTTP压缩是在Web服务器和浏览器间传输压缩文本内容的方法。HTTP压缩采用通用的压缩算法如gzip等压缩HTML、JavaScript或CSS文件。可使用pipeboost进行设置。
7.起用资源回收
使用IIS5Recycle定时回收进程资源。
服务器常见故障排除
1. ASP“请求的资源正在使用中”的解决办法:
该问题一般与杀毒软件有关,在服务器上安装个人版杀毒软件所致。出现这种错误可以通过卸载杀毒软件解决,也可尝试重新注册vbscript.dll和jscript.dll来解决,在命令行下运行:regsvr32 vbscript.dll 和regsvr32 jscript.dll即可。
2.ASP500错误解决办法:
首先确定该问题是否是单一站点存在还是所有站点存在,如果是单一站点存在该问题,则是网站程序的问题,可打开该站点的错误提示,把IE的“显示友好HTTP错误”信息取消,查看具体错误信息,然后对应修改相关程序。如是所有站点存在该问题,并且HTML页面没有出现该问题,相关日志出现“服务器无法加载应用程序‘/LM/W3SVC/1/ROOT‘。错误是 ‘不支持此接口‘”。那十有八九是服务器系统中的ASP相关组件出现了问题,重新启动IIS服务,尝试是否可以解决该问题,无法解决重新启动系统尝试是否可解决该问题,如无法解决可重新修复一下ASP组件:
首先删除com组件中的关于IIS的三个东西,需要先将属性里的高级中“禁止删除”的勾选取消。
命令行中,输入“cd winnt\system32\inetsrv”字符串命令,单击回车键后,再执行“rundll32 wamreg.dll,CreateIISPackage”命令,接着再依次执行“regsvr32 asptxn.dll”命令、“iisreset”命令,最后重新启动一下计算机操作系统,这样IIS服务器就能重新正确响应ASP脚本页面了。
3. IIS出现105错误:
在系统日志中“服务器无法注册管理工具发现信息。管理工具可能无法看到此服务器” 来源:w3svc ID:105解决办法:
在网络连接中重新安装netbios协议即可,安装完成之后取消掉勾选。
4.MySQL服务无法启动【错误代码1067】的解决方法
启动MySQL服务时都会在中途报错!内容为:在 本地计算机 无法启动MySQL服务 错误1067:进程意外中止。
解决方法:查找Windows目录下的my.ini文件,编辑内容(如果没有该文件,则新建一个),至少包含
basedir,datadir这两个基本的配置。
[mysqld]
# set basedir to installation path, e.g., c:/mysql
# 设置为MYSQL的安装目录
basedir=D:/www/WebServer/MySQL
# set datadir to location of data directory,
# e.g., c:/mysql/data or d:/mydata/data
# 设置为MYSQL的数据目录
datadir=D:/www/WebServer/MySQL/data
注意,我在更改系统的temp目录之后没有对更改后的目录给予system用户的权限也出现过该问题。
5.DllHotst进程消耗cpu 100%的问题
服务器正常CPU消耗应该在75%以下,而且CPU消耗应该是上下起伏的,出现这种问题的服务器,CPU会突然一直处100%的水平,而且不会下降。
查看任务管理器,可以发现是DLLHOST.EXE消耗了所有的CPU空闲时间,管理员在这种情况下,只好重新启动IIS服务,奇怪的是,重新启动IIS服务后一切正常,但可能过了一段时间后,问题又再次出现了。
直接原因:
有一个或多个ACCESS数据库在多次读写过程中损坏, MDAC系统在写入这个损坏的ACCESS文件时,ASP线程处于BLOCK状态,结果其他线程只能等待,IIS被死锁了,全部的CPU时间都消耗在DLLHOST中。
解决办法:
把数据库下载到本地,然后用ACCESS打开,进行修复操作。再上传到网站。如果还不行,只有新建一个ACCESS数据库,再从原来的数据库中导入所有表和记录。然后把新数据库上传到服务器上。
6.Windows installer出错:
在安装软件的时候出现“不能访问windows installer 服务。可能你在安全模式下运行 windows ,或者windows installer 没有正确的安装。请和你的支持人员联系以获得帮助” 如果试图重新安装InstMsiW.exe,提示:“指定的服务已存在”。
解决办法:
关于installer的错误,可能还有其他错误提示,可尝试以下解决办法:
首先确认是否是权限方面的问题,提示信息会提供相关信息,如果是权限问题,给予winnt目录everyone权限即可[安装完把权限改回来即可]。如果提示的是上述信息,可以尝试以下解决方法:运行“msiexec /unregserver”卸载Windows Installer服务,如果无法卸载可使用SRVINSTW进行卸载,然后下载windows installer的安装程序[地址:http://www.newhua.com/cfan/200410/instmsiw.exe],用winrar解压该文件,在解压缩出来的文件夹里面找到msi.inf文件,右键单击选择“安装”,重新启动系统后运行“msiexec /regserver”重新注册Windows Installer服务。
服务器管理
服务器日常管理安排
服务器管理工作必须规范严谨,尤其在不是只有一位管理员的时候,日常管理工作包括:
1.服务器的定时重启。每台服务器保证每周重新启动一次。重新启动之后要进行复查,确认服务器已经启动了,确认服务器上的各项服务均恢复正常。对于没有启动起来或服务未能及时恢复的情况要采取相应措施。前者可请求托管商的相关工作人员帮忙手工重新启动,必要时可要求让连接上显示器确认是否已启动起来;后者需要远程登陆上服务器进行原因查找并根据原因尝试恢复服务。
2.服务器的安全、性能检查,每服务器至少保证每周登陆两次粗略检查两次。每次检查的结果要求进行登记在册。如需要使用一些工具进行检查,可直接在e:tools中查找到相关工具。对于临时需要从网络上找的工具,首先将IE的安全级别调整到高,然后在网络上进行查找,不要去任何不明站点下载,尽量选择如华军、天空等大型网站进行下载,下载后确保当前杀毒软件已升级到最新版本,升级完毕后对下载的软件进行一次杀毒,确认正常后方能使用。对于下载的新工具对以后维护需要使用的话,将该工具保存到e:tools下,并在该目录中的readme.txt文件中做好相应记录,记录该工具的名称,功能,使用方法。并且在该文件夹中的rar文件夹中保留一份该工具的winrar压缩文件备份,设置解压密码。
3.服务器的数据备份工作,每服务器至少保证每月备份一次系统数据,系统备份采用ghost方式,对于ghost文件固定存放在e:ghost文件目录下,文件名以备份的日期命名,如0824.gho,每服务器至少保证每两周备份一次应用程序数据,每服务器至少保证每月备份一次用户数据,备份的数据固定存放在e:databak文件夹,针对各种数据再建立对应的子文件夹,如serv-u用户数据放在该文件夹下的servu文件夹下,iis站点数据存放在该文件夹下的iis文件夹下。
4.服务器的监控工作,每天正常工作期间必须保证监视所有服务器状态,一旦发现服务停止要及时采取相应措施。对于发现服务停止,首先检查该服务器上同类型的服务是否中断,如所有同类型的服务都已中断及时登陆服务器查看相关原因并针对该原因尝试重新开启对应服务。
5.服务器的相关日志操作,每服务器保证每月对相关日志进行一次清理,清理前对应的各项日志如应用程序日志、安全日志、系统日志等都应选择“保存日志”。所有的日志文件统一保存在e:logs下,应用程序日志保存在e:logsapp中,系统程序日志保存在e:logssys中,安全日志保存在e:logssec中。对于另外其他一些应用程序的日志,也按照这个方式进行处理,如ftp的日志保存在e:logsftp中。所有的备份日志文件都以备份的日期命名,如20050824.evt。对于不是单文件形式的日志,在对应的记录位置下建立一个以日期命名的文件夹,将这些文件存放在该文件夹中。
6.服务器的补丁修补、应用程序更新工作,对于新出的漏洞补丁,应用程序方面的安全更新一定要在发现的第一时间给每服务器打上应用程序的补丁。
7.服务器的隐患检查工作,主要包括安全隐患、性能等方面。每服务器必须保证每月重点的单独检查一次。每次的检查结果必须做好记录。
8.不定时的相关工作,每服务器由于应用软件更改或其他某原因需要安装新的应用程序或卸载应用程序等操作必须知会所有管理员。
9.定期的管理密码更改工作,每服务器保证至少每两个月更改一次密码,对于SQL服务器由于如果SQL采用混合验证更改系统管理员密码会影响数据库的使用则不予修改。
相关建议:对每服务器设立一个服务器管理记载,管理员每次登陆系统都应该在此中进行详细的记录,共需要记录以下几项:登入时间,退出时间,登入时服务器状态[包含不明进程记录,端口连接状态,系统帐号状态,内存/CPU状态],详细操作情况记录[详细记录下管理员登陆系统后的每一步操作]。无论是远程登陆操作还是物理接触操作都要进行记录,然后将这些记录按照各服务器归档,按时间顺序整理好文档。
对于数据备份、服务器定时重启等操作建议将服务器分组,例如分成四组,每月的周六晚备份一组服务器的数据,每周的某一天定时去重启一组的服务器,这样对于工作的开展比较方便,这些属于固定性的工作。另外有些工作可以同步进行,如每月一次的数据备份、安全检查和管理员密码修改工作,先进行数据备份,然后进行安全检查,再修改密码。对于需要的即时操作如服务器补丁程序的安装、服务器不定时的故障维护等工作,这些属于即时性的工作,但是原则上即时性的工作不能影响固定工作的安排。
管理员日常注意事项
在服务器管理过程中,管理员需要注意以下事项:
1.对自己的每一次操作应做好详细记录,具体见上述建议,以便于后来检查。
2.努力提高自身水平,加强学习。
