DDoS防范和全局网络安全的应对
[ 2007-03-25 03:57:30 | 作者: sun ]
技术
拒绝服务技术的创新已经基本尘埃落定,而上个世纪最后十年的发明也逐渐遥远。然而,随着宽带接入、自动化和如今家庭计算机功能的日益强大,使得对拒绝服务攻击的研究有些多余。尤其是当我们发现一些本已在90年代末销声匿迹的古老的攻击方式,(例如land ,其使用类似的源和目标 IP 地址和端口发送 UDP 信息包)这些攻击技术 现在又卷土重来时,这个结论就更加显而易见。在这一方面唯一的进步就是可以发起并行任务,从而可以通过简单的 486 处理器所无法实现的方式来显著提高攻击强度。
另一个要考虑的重点是事实上IP堆栈似乎并未正确地安装补丁程序。计算机不再会因为单一的信息包而崩溃;但是,CPU操作会为了处理这种信息包而保持高速运行。因为补丁失效期间生成的信息包是有限的,所以要实现有效的攻击并不容易。可能是技术提高得太快。不管是什么原因,这些陈旧过时的攻击方式现在又卷土重来,而且还非常有效。
使用拒绝服务
拒绝服务攻击开始可能只是为了“取乐”,对系统操作员进行某种报复或是实现各种复杂的攻击,例如对远程服务的隐形欺骗。某人因在某一信道上遭到侮辱后也经常会将IRC服务器作为攻击目标。这种情况下的网络和因特网使用是“保密的”,这些攻击对其造成的影响微乎其微。
随着时间的流逝,因特网逐渐成为一种通信渠道,hacktivism(网络激进主义)越来越流行。地理政治形势、战争、宗教问题、生态等任何动机都可能成为对公司、政治组织或甚至国家的IT基础架构发动进攻的动机。
最近的拒绝服务攻击更多的是与联机游戏有关。某些玩家对在游戏中被人杀死或丢失他们喜爱的武器不满意,因此发动拒绝服务攻击,许多服务器已经成为这种攻击的牺牲品。
但是如今使用拒绝服务的目的大多数是纯粹的敲诈勒索。越来越多的企业开始依赖他们的IT基础架构。邮件、关键数据、甚至电话都通过网络来处理。如果没有这些主要的通信渠道,大多数公司都难以在竞争中幸存。而且,因特网还是一种生产工具。例如,搜索引擎和博彩web 站点都完全依赖网络连接。
因此,随着公司直接或间接地依赖因特网,原有的敲诈信逐渐转变成数字形式。首先在短暂而非紧要的时间段内发动攻击。然后受害者就不得不支付“保护费”。
网络协议攻击
这些攻击瞄准传输信道,并因此以IP堆栈作为攻击目标,IP堆栈是内存和 CPU 之类关键资源的进入点。
SYN洪水
SYN洪水是典型的基于概念的拒绝服务攻击,因为这种攻击完全依赖于TCP连接的建立方式。在最初的 3 向握手期间,服务器填写保存内存中会话信息的 TCB(传输控制块)表。当服务器收到来自客户机的初始 SYN 信息包时,向客户机发送回一个 SYN-ACK 信息包并在 TCB 中创建一个入口。只要服务器在等待来自客户机的最终 ACK 信息包,该连接便处于 TIME_WAIT 状态。如果最终没有收到 ACK 信息包,则将另一个 SYN-ACK 发送到客户机。最后,如果经多次重试后,客户机没有认可任何 SYN-ACK 信息包,则关闭会话并从 TCB 中刷新会话。从传输第一个 SYN-ACK 到会话关闭这段时间通常大约为 30 秒。
在这段时间内,可能会将数十万个SYN信息包发送到开放的端口且绝不会认可服务器的SYN-ACK 信息包。TCB 很快就会超过负荷,且堆栈无法再接受任何新的连接并将现有的连接断开。因为攻击者不用接收来自服务器的 SYN-ACK 信息包,所以他们可以伪造初始 SYN 信息包的源地址。这就使得跟踪攻击的真实来源更加困难。此外,因为 SYN-ACK 信息包没有发送到攻击者,所以这样还为攻击者节省了带宽。
生成这种攻击很容易,只要在命令行输入一条命令就足够了。
#hping3--rand-source–S –L 0 –p
存在的变体也很少,通常为了增加CPU的使用率会将某些异常添加到SYN 信息包。这些可能是序列号或源端口0等合法的异常。
SYN-ACK洪水
SYN-ACK洪水的作用基础是令CPU资源枯竭。从理论上讲,这种信息包是 TCP 3 向握手的第二步,而且在 TCB 中应该有对应的入口。浏览 TCB 将会使用 CPU 资源,尤其 TCB 很大时会耗用更多的 CPU 资源。因此,负荷较重时,这种对资源的使用会影响系统性能。
这也就是SYN-ACK攻击所仰仗的利器。向系统发送一个巨荷的SYN-ACK 信息包会显著增加系统 CPU 的使用率。因此,用于组织 TCB 的哈希算法和哈希表大小之选择会影响攻击的效率(请参阅“概念”和“逻辑缺陷”)。而且,因为这些 SYN-ACK 信息包不属于现有的连接,所以目标机器不得不将 RST 信息包发送到源机器,从而增加了链路上的带宽占用率。对于 SYN 洪水,攻击者为了避免接收到 RST,当然可以伪造源机器的 IP 地址,这样还可以提高攻击者的可用带宽。
这也只需要一条简单的命令就可以进行这种攻击。
一个重要因子是由第三方服务器基于反射机制而生成SYN-ACK信息包的能力。在将SYN 信息包发送到服务器的开放端口时,该服务器将 SYN-ACK 信息包发送回源机器。此时任何服务器都可能为这种攻击充当中继。发送到服务器的简单 SYN 信息包带有伪造的源,其发送到目标时生成 SYN-ACK 返回目标。这种技术让跟踪更加困难。而且,在某些情况下,还可以绕过某些防伪机制。尤其当目标和攻击者属于同一干道而且部署的 uRPF (参阅“防伪”) 距离目标机器和攻击者足够远时,更有可能避开防伪机制。
通过与SYN洪水联结还可以提高此种攻击的强度。SYN洪水在TCB 中创建入口,而TCB因此变得越来越大。由于此时浏览 TCB 所需的时间更长,所以 SYN-ACK 洪水的功效大大增加。
UDP洪水
UDP同样天生就是拒绝服务攻击的传播媒介。按照指定,在封闭端口上接收UDP信息包的服务器将无法到达 ICMP 端口的信息包发送回给源机器。ICMP 信息包的数据部分填充有原始 UDP 信息包中的至少前 64 个字节。因为没有标准限度或额度,所以很可能在封闭的端口上发送巨量的信息包。在为生成 ICMP 而进行负荷极大的必需操作时,,错误的信息包消耗了大量 CPU 资源,最终导致CPU 资源枯竭。
同样,也可以从命令行生成这种攻击。而且,也可以通过伪造而使得ICMP信息包不会降低攻击者的带宽。
保护系统技巧 处理另类无法删除病毒
[ 2007-03-25 03:57:17 | 作者: sun ]
随着不限时宽带的普及,为了方便BT下载,很多朋友都爱24小时挂机。全天候的在线,这给一些病毒、木马“入侵”系统带来了极大便利,他们可以在半夜入侵我们的电脑,肆意为非作歹。近日笔者在帮助一位朋友杀毒的时候,就遭遇一个“无法删除的病毒”,下面将查杀经验与大家共享。
1.惊现病毒。朋友的电脑安装的是Windows XP专业版,近来常常彻夜开机用BT下载电影,没想到在一次开机的时候,Norton就报告在下发现病毒“exporer.exe”,不过使用Norton扫描后,虽然可以发现病毒,但Norton提示无法隔离和删除病毒文件。
2.查杀。一般来说,病毒如果无法被直接删除,大多是由于病毒进程在运行导致的,打开任务管理器,找到病毒进程“exporer.exe”顺利将其终止,按照Norton提供病毒文件路径,找到病毒文件后,按住Shift键右击选择“删除”,奇怪的是系统却提示无法删除文件,再次打开任务管理器,我已经确信病毒进程被终止了,而且也不是在写保护状态,为什么无法删除?我试图把文件夹删除,但同样遭到系统拒绝,重启电脑多次仍然是同样的结果。
后来笔者在查看“exporer.exe”属性(看看文件生成日期和大小,以便搜索一下病毒还有没有同伙)时,意外发现属性窗口还有一个“安全”标签,点击后可以看到在用户权限列表“特别权限”的拒绝选项被打上小勾,会不会是文件权限不够导致无法删除?单击的“高级”按钮,在弹出的窗口我看到一个“拒绝删除”的权限,单击“编辑”终于看到文件无法删除的真正原因了,原来当前用户的删除权限被施毒者设置为拒绝了,但是却允许“读取和运行,取消拒绝的权限后,返回文件属性窗口,勾选“允许完全控制”,单击“确定”退出后顺利删除“exporer.exe”。
小提示
文件(夹)属性“安全”标签只会在NTFS格式的分区出现,如果看不到此标签,打开我的电脑,单击“工具→文件夹选项→查看”,然后在高级设置选项下去除“简单文件共享(推荐)”前的小勾。
笔者在删除“exporer.exe” 后试图删除文件夹,遭到系统拒绝后,通过查看文件夹的“安全”属性,同样可以发现删除权限(删除子文件夹及文件、删除)被拒绝了,同上,取消这个限制后顺利把病毒“扫地出门”。对于文件(夹),如果是由于权限原因被拒绝操作,一般将权限设置为“完全控制”即可。
小技巧
(1)权限是可以继承的,有时候打开某个文件安全属性标签后,可能在图4不会有“拒绝删除”权限,但是如果它的父文件夹设置了“拒绝删除子文件夹及文件”,该文件还是无法被删除的,解决方法是将文件权限设置为完全控制。
(2)文件权限是和文件所有者相关联的,对于办公室多帐户电脑,一些别有用心的人可能还会将木马和用户对应起来(以针对电脑操作水平较低帐户,警惕性不高易于窃取资料),如果发现木马毒会和对应帐户关联,即有些用户登录后木马会运行,而有些则不会(木马文件权限被设置为禁止读取和删除),这时可以用系统管理员身份登录,强行将木马文件所有者更改为当前用户,然后设置为完全控制将木马删除。
(3)一点经验。Windows XP/2000的文件(夹)权限,是系统一项特殊功能,它允许灵活设置不同用户的不同权限,一些牧马者通过将病毒程序文件设置为允许“读取和运行”、拒绝“删除”,从而实现更好的“自我保护”。由于更改文件权限操作比较复杂,施毒者一般要在宿主机上亲自操作,对于喜爱全天候挂机的朋友,安装一款防护能力较好的防火墙,关闭一些不必要端口,可以有效防止此类病毒的袭击,如果发现病毒无法删除,在终止进程情况下,大家一定要看看文件权限是否被更改了。
1.惊现病毒。朋友的电脑安装的是Windows XP专业版,近来常常彻夜开机用BT下载电影,没想到在一次开机的时候,Norton就报告在下发现病毒“exporer.exe”,不过使用Norton扫描后,虽然可以发现病毒,但Norton提示无法隔离和删除病毒文件。
2.查杀。一般来说,病毒如果无法被直接删除,大多是由于病毒进程在运行导致的,打开任务管理器,找到病毒进程“exporer.exe”顺利将其终止,按照Norton提供病毒文件路径,找到病毒文件后,按住Shift键右击选择“删除”,奇怪的是系统却提示无法删除文件,再次打开任务管理器,我已经确信病毒进程被终止了,而且也不是在写保护状态,为什么无法删除?我试图把文件夹删除,但同样遭到系统拒绝,重启电脑多次仍然是同样的结果。
后来笔者在查看“exporer.exe”属性(看看文件生成日期和大小,以便搜索一下病毒还有没有同伙)时,意外发现属性窗口还有一个“安全”标签,点击后可以看到在用户权限列表“特别权限”的拒绝选项被打上小勾,会不会是文件权限不够导致无法删除?单击的“高级”按钮,在弹出的窗口我看到一个“拒绝删除”的权限,单击“编辑”终于看到文件无法删除的真正原因了,原来当前用户的删除权限被施毒者设置为拒绝了,但是却允许“读取和运行,取消拒绝的权限后,返回文件属性窗口,勾选“允许完全控制”,单击“确定”退出后顺利删除“exporer.exe”。
小提示
文件(夹)属性“安全”标签只会在NTFS格式的分区出现,如果看不到此标签,打开我的电脑,单击“工具→文件夹选项→查看”,然后在高级设置选项下去除“简单文件共享(推荐)”前的小勾。
笔者在删除“exporer.exe” 后试图删除文件夹,遭到系统拒绝后,通过查看文件夹的“安全”属性,同样可以发现删除权限(删除子文件夹及文件、删除)被拒绝了,同上,取消这个限制后顺利把病毒“扫地出门”。对于文件(夹),如果是由于权限原因被拒绝操作,一般将权限设置为“完全控制”即可。
小技巧
(1)权限是可以继承的,有时候打开某个文件安全属性标签后,可能在图4不会有“拒绝删除”权限,但是如果它的父文件夹设置了“拒绝删除子文件夹及文件”,该文件还是无法被删除的,解决方法是将文件权限设置为完全控制。
(2)文件权限是和文件所有者相关联的,对于办公室多帐户电脑,一些别有用心的人可能还会将木马和用户对应起来(以针对电脑操作水平较低帐户,警惕性不高易于窃取资料),如果发现木马毒会和对应帐户关联,即有些用户登录后木马会运行,而有些则不会(木马文件权限被设置为禁止读取和删除),这时可以用系统管理员身份登录,强行将木马文件所有者更改为当前用户,然后设置为完全控制将木马删除。
(3)一点经验。Windows XP/2000的文件(夹)权限,是系统一项特殊功能,它允许灵活设置不同用户的不同权限,一些牧马者通过将病毒程序文件设置为允许“读取和运行”、拒绝“删除”,从而实现更好的“自我保护”。由于更改文件权限操作比较复杂,施毒者一般要在宿主机上亲自操作,对于喜爱全天候挂机的朋友,安装一款防护能力较好的防火墙,关闭一些不必要端口,可以有效防止此类病毒的袭击,如果发现病毒无法删除,在终止进程情况下,大家一定要看看文件权限是否被更改了。
安全设置计算机组策略有效阻止黑客攻击
[ 2007-03-25 03:57:07 | 作者: sun ]
在本篇技术指南中,将概要介绍你如何修改最重要的组策略安全设置。
你可以在采用Windows XP、2000和Server 2003操作系统的本地计算机上使用这些方法,或者在Server 2003和2000中的OU域名级上使用这些方法。为了简明扼要和提供最新的信息,我准备介绍一下如何设置基于Windows Server 2003的域名。请记住,这些只是你在你的域名中能够设置的组策略对象中最有可能出现问题的。按照我的观点,这些设置可以保持或者破坏Windows的安全。而且由于设置的不同,你的进展也不同。因此,我鼓励你在使用每一个设置之前都进行深入的研究,以确保这些设置能够兼容你的网络。如果有可能的话,对这些设置进行试验(如果你很幸运有一个测试环境的话)。
如果你没有进行测试,我建议你下载和安装微软的组策略管理控制台(GPMC)来做这些改变。这个程序能够把组策略管理任务集中到一个单一的界面让你更全面地查看你的域名。要开始这个编辑流程,你就上载GPMC,扩展你的域名,用鼠标右键点击“缺省域名策略”,然后选择“编辑”。这样就装载了组策略对象编辑器。如果你要以更快的速度或者“次企业级”的方式编辑你的域名组策略对象,你可以在“开始”菜单中运行“gpedit.msc”。
1.确定一个缺省的口令策略,使你的机构设置位于“计算机配置/Windows设置/安全设置/账号策略/口令策略”之下。
2.为了防止自动口令破解,在“计算机配置/Windows设置/安全设置/账号策略/账号关闭策略”中进行如下设置:
·账号关闭持续时间(确定至少5-10分钟)
·账号关闭极限(确定最多允许5至10次非法登录)
·随后重新启动关闭的账号(确定至少10-15分钟以后)
3.在“计算机配置/Windows设置/安全设置/本地策略/检查策略”中启用如下功能:
·检查账号管理
·检查登录事件
·检查策略改变
·检查权限使用
·检查系统事件
理想的情况是,你要启用记录成功和失败的登录。但是,这取决于你要保留什么类型的记录以及你是否能够管理这些记录。Roberta Bragg在这里介绍了一些普通的检查记录设置。要记住,启用每一种类型的记录都需要你的系统处理器和硬盘提供更多的资源。
4.作为增强Windows安全的最佳做法和为攻击者设置更多的障碍以减少对Windows的攻击,你可以在“计算机配置/Windows设置/安全设置/本地策略/安全选项”中进行如下设置:
·账号:重新命名管理员账号--不是要求更有效而是增加一个安全层(确定一个新名字)
·账号:重新命名客户账号(确定一个新名字)
·交互式登录:不要显示最后一个用户的名字(设置为启用)
·交互式登录:不需要最后一个用户的名字(设置为关闭)
·交互式登录: 为企图登录的用户提供一个消息文本(确定为让用户阅读banner text(旗帜文本),内容大致为“这是专用和受控的系统。
如果你滥用本系统,你将受到制裁。--首先让你的律师运行这个程序)
·交互式登录: 为企图登录的用户提供的消息题目--在警告!!!后面写的东西
·网络接入:不允许SAM账号和共享目录(设置为“启用”)
·网络接入:将“允许每一个人申请匿名用户”设置为关闭
·网络安全:“不得存储局域网管理员关于下一个口令变化的散列值”设置为“启用”
·关机:“允许系统在没有登录的情况下关闭”设置为“关闭”
·关机:“清除虚拟内存的页面文件”设置为“启用”
如果你没有Windows Server 2003域名控制器,你在这里可以找到有哪些Windows XP本地安全设置的细节,以及这里有哪些详细的Windows 2000 Server组策略的设置。要了解更多的有关Windows Server 2003组策略的信息,请查看微软的专门网页。
你可以在采用Windows XP、2000和Server 2003操作系统的本地计算机上使用这些方法,或者在Server 2003和2000中的OU域名级上使用这些方法。为了简明扼要和提供最新的信息,我准备介绍一下如何设置基于Windows Server 2003的域名。请记住,这些只是你在你的域名中能够设置的组策略对象中最有可能出现问题的。按照我的观点,这些设置可以保持或者破坏Windows的安全。而且由于设置的不同,你的进展也不同。因此,我鼓励你在使用每一个设置之前都进行深入的研究,以确保这些设置能够兼容你的网络。如果有可能的话,对这些设置进行试验(如果你很幸运有一个测试环境的话)。
如果你没有进行测试,我建议你下载和安装微软的组策略管理控制台(GPMC)来做这些改变。这个程序能够把组策略管理任务集中到一个单一的界面让你更全面地查看你的域名。要开始这个编辑流程,你就上载GPMC,扩展你的域名,用鼠标右键点击“缺省域名策略”,然后选择“编辑”。这样就装载了组策略对象编辑器。如果你要以更快的速度或者“次企业级”的方式编辑你的域名组策略对象,你可以在“开始”菜单中运行“gpedit.msc”。
1.确定一个缺省的口令策略,使你的机构设置位于“计算机配置/Windows设置/安全设置/账号策略/口令策略”之下。
2.为了防止自动口令破解,在“计算机配置/Windows设置/安全设置/账号策略/账号关闭策略”中进行如下设置:
·账号关闭持续时间(确定至少5-10分钟)
·账号关闭极限(确定最多允许5至10次非法登录)
·随后重新启动关闭的账号(确定至少10-15分钟以后)
3.在“计算机配置/Windows设置/安全设置/本地策略/检查策略”中启用如下功能:
·检查账号管理
·检查登录事件
·检查策略改变
·检查权限使用
·检查系统事件
理想的情况是,你要启用记录成功和失败的登录。但是,这取决于你要保留什么类型的记录以及你是否能够管理这些记录。Roberta Bragg在这里介绍了一些普通的检查记录设置。要记住,启用每一种类型的记录都需要你的系统处理器和硬盘提供更多的资源。
4.作为增强Windows安全的最佳做法和为攻击者设置更多的障碍以减少对Windows的攻击,你可以在“计算机配置/Windows设置/安全设置/本地策略/安全选项”中进行如下设置:
·账号:重新命名管理员账号--不是要求更有效而是增加一个安全层(确定一个新名字)
·账号:重新命名客户账号(确定一个新名字)
·交互式登录:不要显示最后一个用户的名字(设置为启用)
·交互式登录:不需要最后一个用户的名字(设置为关闭)
·交互式登录: 为企图登录的用户提供一个消息文本(确定为让用户阅读banner text(旗帜文本),内容大致为“这是专用和受控的系统。
如果你滥用本系统,你将受到制裁。--首先让你的律师运行这个程序)
·交互式登录: 为企图登录的用户提供的消息题目--在警告!!!后面写的东西
·网络接入:不允许SAM账号和共享目录(设置为“启用”)
·网络接入:将“允许每一个人申请匿名用户”设置为关闭
·网络安全:“不得存储局域网管理员关于下一个口令变化的散列值”设置为“启用”
·关机:“允许系统在没有登录的情况下关闭”设置为“关闭”
·关机:“清除虚拟内存的页面文件”设置为“启用”
如果你没有Windows Server 2003域名控制器,你在这里可以找到有哪些Windows XP本地安全设置的细节,以及这里有哪些详细的Windows 2000 Server组策略的设置。要了解更多的有关Windows Server 2003组策略的信息,请查看微软的专门网页。
行之有效防范木马后门的几个实用招术
[ 2007-03-25 03:56:54 | 作者: sun ]
木马是一种非常特殊的程序,它与病毒和恶意代码不同。木马程序(Trojan horses)隐蔽性很强,您根本不知道它们在运行。但是它们产生的危害并不亚于病毒。一旦您的机器中了木马,则网上有人可以通过它来获取您的密码和一些资料。甚至一些高级的黑客可以远程控制您的电脑。下面我们就向大家介绍有效防范木马的招术。
小心下载软件
由于黑客软件被人们滥用,网上很多站点所提供下载的软件或多或少掺杂木马或病毒。一但该软件被用户下载到硬盘且满足运行条件,木马和病毒就会对电脑系统和用户的信息安全构成巨大的威胁,而这一切,毕竟是普通用户所不能察觉的。惟一能避免木马和病毒横行的,并不一定全依赖反病毒软件,而是靠用户的自制能力。如不要去访问不知名的站点,不要去登录染色站点,不要从上面下载拨号器或是黑客站点下载看似安全的软件。同时,下载的时候一定要开启防火墙。
不随意打开附件
有很多不怀好意的人喜欢把木马加在邮件附件中,甚至把木马和正常文件混合在一起,然后再起上一个具有吸引力的邮件名来诱惑无辜的网友们去打开附件。此外,通过QQ间的文件传递也能发出木马来。因此,我们不可以随便打开陌生人发来的邮件,尤其是其中的附件,而.doc,.exe,.swf的附件更是要小心谨慎。如果实在要打开,可以先把这个附件文件保存到硬盘上,用邮件监控或反病毒扫描一番后再打开。
使用杀毒软件
新的木马和病毒一出来,惟一能控制其蔓延的就是不断地更新防毒软件中的病毒库。除开启防毒软件的保护功能外,我们还可以多运行一些其他的软件,如天网等,它可以监控网络之间正常的数据流通和不正常的数据流通并随时对用户发出相关提示。如果我们怀疑机器染了木马,还可以从http://download.zol.com.cn上下载个木马克星来彻底扫描木马,保护系统的安全。主要的木马查杀程序有Trojan Defense、Antiy Ghostbusters、Digital Patrol、PestPatrol、Tauscan、TDS-3 Trojan Defence Suite和Trojan Remover等,而且有的是免费软件,大家下载后可以免费使用。
查看文件扩展名
木马的扩展名多数为VBS、PIF等,甚至有的木马根本就没有扩展名。利用这个特征我们只要打开“我的电脑”,依次选择“查看→文件夹选项”命令,再单击“查看”标签,用鼠标向下拖动滚动栏,去掉“隐藏已知文件的扩展名”前的小钩让文件的扩展名显示出来。以后看到扩展名为VBS、PIF等文件时就要多加小心了。
编后语:以上都是一些操作习惯,但对于我们抵御木马是相当有帮助的。由于木马程序每天都会出现新的种类,所以一般的木马程序都会提供即时在线更新服务,以便让它能够即时检测出系统中的木马。
隐藏在背后的阴谋 浏览器劫持的攻与防
[ 2007-03-25 03:56:44 | 作者: sun ]
“浏览器劫持”,通俗点说就是故意误导浏览器的行进路线的一种现象,常见的浏览器劫持现象有:访问正常网站时被转向到恶意网页、当输入错误的网址时被转到劫持软件指定的网站、输入字符时浏览器速度严重减慢、IE浏览器主页/搜索页等被修改为劫持软件指定的网站地址、自动添加网站到“受信任站点”、不经意的插件提示安装、收藏夹里自动反复添加恶意网站链接等,不少用户都深受其害。那么,这类现象是如何引起的呢?用户又该如何防范应对呢?这就是本文要介绍的内容。
一、“攻”之解说
1、整体认识。
浏览器劫持(Browser Hijack)是一种恶意程序软件,通过恶意修改用户个人电脑的浏览器默认设置,以引导用户登录被其修改的或并非用户本意要浏览的网页。大多数浏览器劫持者是在用户访问其网站时,通过修改其浏览器默认首页或搜索结果页,达到劫持网民浏览器的目的。这些载体可以直接寄生于浏览器的模块里,成为浏览器的一部分,进而直接操纵浏览器的行为。“浏览器劫持”的后果非常严重,用户只有在受到劫持后才会发现异常情况;目前,浏览器劫持已经成为Internet用户最大的威胁之一。
2、现象分析。
“浏览器劫持”的攻击手段可以通过被系统认可的“合法途径”来进行。所谓“合法途径”,即是说大部分浏览器劫持的发起者,都是通过一种被称为“BHO”(Browser Helper Object,浏览器辅助对象)的技术手段来植入系统。
而BHO是微软早在1999年推出的作为浏览器对第三方程序员开放交互接口的业界标准,它是一种可以让程序员使用简单代码进入浏览器领域的“交互接口”, 由于BHO的交互特性,程序员还可以使用代码去控制浏览器的行为,比如常见的修改替换浏览器工具栏、在浏览器界面上添加自己的程序按钮等操作,这些操作都被系统视为“合法”,这就是“浏览器劫持”现象赖以存在的根源。
二、“防”之细谈
这类现象确实难以防范,用户永远处于被动地位。我们只能通过一些设置与软件的应用,让这种影响减至最低。以下办法可供大家参考。
1、个别劫持现象的手动修正。
Windows登录窗口被劫持。
在注册表中打开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon分支,然后将其下的“LegalNoticeCaption”和“LegalNoticeText”主键删除即可解决问题。
在网页中单击鼠标右键,在弹出的菜单里显示网页广告。
在注册表中打开HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt分支,IE浏览器中显示的附加右键菜单都在这里设置,常见的网际快车单击右键下载的信息也存放在这里,只需找到显示广告的主键条目删除即可。
2、通用修正法。
虽然“浏览器劫持”一般都需要手工修正,但仍可以通过一些检测浏览器劫持工具如HijackThis、Browser Hijack Recover等来实现修正工作。下面以HijackThis为例,简要说明修正过程。
软件下载地址:http://www.mydown.com/soft/187/187841.html。下载完成后双击即可启动到如图所示主界面。单击左下角“扫描”按钮,软件会自动对系统进行全方位的安全检测;稍等之后即会返回系统中所有可疑内容,每个可疑项目前都有一个编号,这些编号代表了不同的类别;勾选某个项目后单击右下角的“显示所选项目信息”按钮可以查看到更详细的信息;然后单击“修复”按钮即可进行修复。
三、总结
浏览器一旦被劫持,就意味这你无法决定自己的电脑里将被存放进什么资料,这无疑存在巨大安全隐患。而如今的互联网络环境可谓处处是“浏览器劫持”式的陷阱,单凭普通用户被动的事后修正无异于亡羊补牢;更多的需要全世界互联网使用者把好公众舆论和道德走向一关。
安全攻略:提高操作系统和IIS安全性
[ 2007-03-25 03:56:31 | 作者: sun ]
IIS(Internet Information Server)作为目前最为流行的Web服务器平台,发挥着巨大的作用。因此,了解如何加强IIS的安全机制,建立一个高安全性能的Web服务器就显得尤为重要。
保证系统的安全性
因为IIS是建立在操作系统下,安全性也应该建立在系统安全性的基础上,因此,保证系统的安全性是IIS安全性的基础,为此,我们要做以下事情。
1、 使用NTFS文件系统
在NT系统中应该使用NTFS系统,NTFS可以对文件和目录进行管理,而FAT文件系统只能提供共享级的安全,而且在默认情况下,每建立一个新的共享,所有的用户就都能看到,这样不利于系统的安全性。和FAT文件系统不同,在NTFS文件下,建立新共享后可以通过修改权限保证系统安全。
2、 关闭默认共享
在Windows 2000中,有一个“默认共享”,这是在安装服务器的时候,把系统安装分区自动进行共享,虽然对其访问还需要超级用户的密码,但这是潜在的安全隐患,从服务器的安全考虑,最好关闭这个“默认共享”,以保证系统安全。方法是:单击“开始/运行”,在运行窗口中输入“Regedit”,打开注册表编辑器,展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\lanmanworkstation\parameters”,在右侧窗口中创建一个名为“AutoShare-Wks”的双字节值,将其值设置为0,这样就可以彻底关闭“默认共享”。
3、 设置用户密码
用户一定要设置密码,用户的密码尽量使用数字与字母大小混排的口令,还需要经常修改密码,封锁失败的登录尝试,并且设定严格的账户生存时间。应避免设置简单的密码,且用户的密码尽可能不要和用户名有任何关联。
保证IIS自身的安全性
在保证系统具有较高安全性的情况下,还要保证IIS的安全性,主要请注意以下事情:
1、要尽量避免把IIS安装在网络中的主域控制器上。因为在安装完IIS后,会在所安装的计算机上生成IUSR_Computername的匿名账户。这个账户会被添加到域用户组中,从而把应用于域用户组的访问权限提供给访问Web服务器的每个匿名用户,这样不仅不能保证IIS的安全性,而且会威胁到主域控制器。
2、限制网站的目录权限。目前有很多的脚本都有可能导致安全隐患,因此在设定IIS中网站的目录权限时,要严格限制执行、写入等权限。
3、经常到微软的站点下载IIS的补丁程序,保证IIS最新版本。
只要提高安全意识,经常注意系统和IIS的设置情况,IIS就会是一个比较安全的服务器平台,能为我们提供安全稳定的服务。
卡巴斯基6安全防护机制的相关分析
[ 2007-03-25 03:56:20 | 作者: sun ]
2006年 5月15日,著名的反病毒安全软件厂商KasperskyLab发布了划时代的安全软件套装Kaspersky Internet Security 6(简称KIS6)以及 Kaspersky AntiVirus 6.0(简称KAV6)。KIS6/KAV6比卡罢以前的产品有了质的提高。KIS6包含了文件防毒、邮件防毒、网页防毒、事前防卫(包括进程行为监控,监视各类代码注入、安装全局钩子、加载驱动/服务等行为;文件完整性检查;检查各类运用RK技术的文件/进程/端口/注册表隐藏;Office宏保护等);反间谍软件、防火墙、反垃圾邮件等功能。KAV6比KIS6缺少了防火墙模块。
整体来说,KIS6非常强大。 Руткит 讨论组里,我们一致公认KIS6是目前最强的个人类安全套装。卡巴实验室里的确实都是精英,实力雄厚,许多东西都运用的Undocumented技术,导致我上一版本的WinDbg一进入内核调试状态就崩溃。KIS6的注册表监控的非常全:NoWinodwsApp,ShellServiceObjectDelayLoad,ShellExcuteHooks,SharedTaskScheduler,SafeBoot,\Winlogon\Notify,AppInit_DLLs,开关机脚本等其他安全软件较少监控的自启动键值他都监控了;另外KIS6监控了各类代码注入,包括SetThreadContext的方法;监控了加载驱动、服务加载、通过\\Device\\PhysicalMemory对象进Ring0等;监控全局钩子的安装;文件完整性检查;反Rootkit,检测隐藏文件隐藏进程隐藏端口隐藏注册表;值的一提的是涂改PspIdTable方法隐藏进程的方法KIS6也能查。另外KIS6的防火墙的控管规则也比较细,不像国内的个人防火墙是以进程为最小控管单位,KIS6如国外的其他一些防火墙把控制策略细化到具体进程的某个端口,比如默认情况下只允许Explorer.exe访问HTTP80端口,而不是完全允许Explorer.exe进程访问网络。
夸KIS6夸完了,现在来说说他的弱点:关于KIS6监控采用远程线程代码注入的行为时,他只对注入IE等进程有反映,而他防火墙默认的控管规则里却允许Svchost等进程访问HTTP等端口,那木马程序只要用远程线程的方法注入svchost等进程,就能完完全全逃过卡巴了。
再来看在KIS6下怎样实现自启动。KIS6监控注册表确实监控得很全,而且还监控服务之类的,初看你在自启动方面是无处下手。不过可爱的卡巴斯基又犯了让我悲哀的低级错误,开始菜单里的启动文件夹他竟然没监控。免得被人说这样做太猥琐,那就再说个方法,因为可爱的卡巴在监控远程线程代码注入时只IE等进程进行提示,从而我们可以注入Winlogon,注入Winlogon后我们就可以Defeat SFP,然后感染文件实现自启动,虽然卡巴有文件完整性检查,不过问题不大,你自己试了就明白为什么了,呵呵。
再说点底层的,KIS6监控加载驱动监控得不全,嘿嘿,使用ZwSetSystemInformation我们照样可以加载驱动了,能加载驱动了天下还不是我们的了? 恢复SSDT表呀,DKOM,Miniport NDIS Hook,任我们玩了。
vxk的补充:
除了XYZREG说的几个地方,卡巴斯基在面对BOOT.INI+NTOSKRNL.EXE改写大法(这个方法很无耻),还有HOTPATCH(几乎通吃FireWall)大法时都很脆弱啊!
hotPatch能够动态的改写某些dll的,比如kernel32.dll,我就不多说了。你在kernel32.dll里做一个code injection然后在适当的进程内部加载我们的DLL,好了,一切搞定。
实战录 一次对顽固灰鸽子的查杀
[ 2007-03-25 03:56:07 | 作者: sun ]
朋友电脑中了木马,因为在异地,所以有了这次不很方便的查杀。
她用的是卡巴,卡巴也报出了病毒GAAKEY.DLL,显示是鸽子“HUPIGON”。不过进程里没有IE。我记得灰鸽子是往IE里边插的,让她用卡巴查杀了一下内存,汗,好多的病毒。插入了EXPLORER等众多进程中,而且卡巴无法删除。也是,那些进程都用着呢。对方是个MM,电脑小白的MM,远控总是断。费尽九牛二虎之力让她明白了如何进入安全模式。当时我是这么想的,肯定还有GAAHOOK.DLL,GAA.EXE这样的文件在%systemroot%下边。所以叮嘱她进入安全模式以后找这三个东东,然后删除掉。没想到的是她找不到,当时电话联系着。问,你看你C盘下有没有BOOT.INI什么文件,显示颜色有点淡的(就是隐藏文件,之前已经叫她把系统那些保护和隐藏文件都显示了的)?答曰:无。
看来木马用了手段,这些看不到。让她重启回来,QQ上给她“System Repair Engineer”。使用“智能扫描”,按下“扫描”按钮进行扫描,扫描完成后按下“保存报告”按钮保存报告日志文件(SREng.LOG),把保存的报告日志文件给我。我一看发现有GADMIN GADMINISTRATOR两个服务。
把System Repair Engineer和KILLBOXE.exe给准备好,然后我把文本发给她,让她保存到桌面,进安全模式进行删除。
文本内容如下:
==========================
重新启动电脑, 开机检测完后, 不停按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式进入Windows,这个你应该可以操作了。
运行(双击)System Repair Engineer(就是我给你那个“SREng.exe”),
点启动项目,服务,然后点“Win32服务应用程序”。勾选“隐藏微软服务”,好了,然后要选择病毒服务了。选中病毒服务Gadmin / GAadministrator,选择“删除服务”点“设置”选择“否”
双击打开KillBox.exe,分别删除
C:\WINDOWS\GAadmin
C:\WINDOWS\GAaKey.DLL
c:\windows\gaa.dll(这个找不到或者没有删除都没有关系,等下交给杀毒软件就可以搞定的了。)
删除时勾选“删除前先结束Explorer.EXE进程”,可能会没有了桌面,不过等一会儿就会出来了。
=============================
不过可惜的是MM的桌面一直没出来,汗!我让她强行关机了,然后重启。哇哈哈,再用卡巴扫描清理了一下,世界清静了,MM笑了
重定向命令在安全方面的应用
[ 2007-03-25 03:55:57 | 作者: sun ]
大家知道,DOS下有一个不为大家所常用的命令——重定向命令,这个小东西非常有用,该命令同样可以用于Win9x/ME/2000/XP下,灵活的使用这个命令可以给我们带来很大的方便——无论是入侵还是防守抑或是系统应用,都会带来很大的便利。今天就让我们来看几个重定向命令在安全方面的应用实例。
一、命令格式
DOS的标准输入输出通常是在标准设备键盘和显示器上进行的,利用重定向,可以方便地将输入输出改向磁盘文件或其它设备。其中:
1.大于号“>”将命令发送到文件或设备,例如打印机>prn。使用大于号“>”时,有些命令输出(例如错误消息)不能重定向。
2.双大于号“>>”将命令输出添加到文件结尾而不删除文件中已有的信息。
3.小于号“<”从文件而不是键盘上获取命令所需的输入。
4.>&符号将输出从一个默认I/O流(stdout,stdin,stderr)重新定向到另一个默认I/O流。例如,command >output_file 2>&1将处理command过程中的所有错误信息从屏幕重定向到标准文件输出中。标准输出的数值如下所示:
标准输出 等价的数值
Stdin 0
Stdout 1
Stderr 2
其中,1和2都创建一个文件用于存放数据;4可能不能够在DOS下使用。
二、重定向命令的输出
几乎所有的命令均将输出发送到屏幕。即使是将输出发送到驱动器或打印机的命令,也会在屏幕上显示消息和提示。要将输出从屏幕重定向到文件或打印机,请使用大于号(>)。大多数命令中均可以使用大于号。例如,在以下命令中,dir命令生成的目录列表重定向到Dirlist.txt文件:dir>dirlist.txt,如果Dirlist.txt文件不存在,系统将创建该文件。如果Dirlist.txt存在,系统将使用dir命令的输出替换文件中的信息。
要将命令输出添加到文件结尾而不丢失文件中的任何信息,请使用双大于号(>>)。例如,在以下命令中,dir命令生成的目录列表附加到Dirlist.txt文件中:dir>dirlist.txt,将输入重定向到一个命令,就象可以将命令输出发送到文件或打印机而不是屏幕一样,您可以从文件而不是从键盘获取命令的输入。要从文件获取输入,请使用小于号(<)。例如,以下命令将从List.txt文件中获取sort命令的输入:sort
一、命令格式
DOS的标准输入输出通常是在标准设备键盘和显示器上进行的,利用重定向,可以方便地将输入输出改向磁盘文件或其它设备。其中:
1.大于号“>”将命令发送到文件或设备,例如打印机>prn。使用大于号“>”时,有些命令输出(例如错误消息)不能重定向。
2.双大于号“>>”将命令输出添加到文件结尾而不删除文件中已有的信息。
3.小于号“<”从文件而不是键盘上获取命令所需的输入。
4.>&符号将输出从一个默认I/O流(stdout,stdin,stderr)重新定向到另一个默认I/O流。例如,command >output_file 2>&1将处理command过程中的所有错误信息从屏幕重定向到标准文件输出中。标准输出的数值如下所示:
标准输出 等价的数值
Stdin 0
Stdout 1
Stderr 2
其中,1和2都创建一个文件用于存放数据;4可能不能够在DOS下使用。
二、重定向命令的输出
几乎所有的命令均将输出发送到屏幕。即使是将输出发送到驱动器或打印机的命令,也会在屏幕上显示消息和提示。要将输出从屏幕重定向到文件或打印机,请使用大于号(>)。大多数命令中均可以使用大于号。例如,在以下命令中,dir命令生成的目录列表重定向到Dirlist.txt文件:dir>dirlist.txt,如果Dirlist.txt文件不存在,系统将创建该文件。如果Dirlist.txt存在,系统将使用dir命令的输出替换文件中的信息。
要将命令输出添加到文件结尾而不丢失文件中的任何信息,请使用双大于号(>>)。例如,在以下命令中,dir命令生成的目录列表附加到Dirlist.txt文件中:dir>dirlist.txt,将输入重定向到一个命令,就象可以将命令输出发送到文件或打印机而不是屏幕一样,您可以从文件而不是从键盘获取命令的输入。要从文件获取输入,请使用小于号(<)。例如,以下命令将从List.txt文件中获取sort命令的输入:sort
最大限度保护无线网络安全的六项措施
[ 2007-03-25 03:55:46 | 作者: sun ]
合理保护无线访问点的目的在于,将无线网络与无权使用服务的外人隔离开来。往往说来容易做时难。就安全而言,无线网络通常比固定有线网络更难保护,这是因为有线网络的固定物理访问点数量有限,而在天线辐射范围内的任何一点都可以使用无线网络。尽管本身存在着困难,但合理保护无线网络系统是保护系统避免严重安全问题的关键所在。为了最大限度地堵住这些安全漏洞,就要确保网络人员采取保护无线网络的六项措施。
规划天线的放置
要部署封闭的无线访问点,第一步就是合理放置访问点的天线,以便能够限制信号在覆盖区以外的传输距离。别将天线放在窗户附近,因为玻璃无法阻挡信号。你最好将天线放在需要覆盖的区域的中心,尽量减少信号泄露到墙外。当然,完全控制信号泄露几乎是不可能的,所以还需要采取其它措施。
使用WEP
无线加密协议(WEP)是对无线网络上的流量进行加密的一种标准方法。尽管存在重大缺陷,但WEP仍有助于阻挠偶尔闯入的黑客。许多无线访问点厂商为了方便安装产品,交付设备时关闭了WEP功能。但一旦采用这做法,黑客就能立即访问无线网络上的流量,因为利用无线嗅探器就可以直接读取数据。
变更SSID及禁止SSID广播
服务集标识符(SSID)是无线访问点使用的识别字符串,客户端利用它就能建立连接。该标识符由设备制造商设定,每种标识符使用默认短语,如101就是3Com设备的标识符。倘若黑客知道了这种口令短语,即使未经授权,也很容易使用你的无线服务。对于部署的每个无线访问点而言,你要选择独一无二并且很难猜中的SSID。如果可能的话,禁止通过天线向外广播该标识符。这样网络仍可使用,但不会出现在可用网络列表上。
禁用DHCP
对无线网络而言,这很有意义。如果采取这项措施,黑客不得不破译你的IP地址、子网掩码及其它所需的TCP/IP参数。无论黑客怎样利用你的访问点,他仍需要弄清楚IP地址。
禁用或改动SNMP设置
如果你的访问点支持SNMP,要么禁用,要么改变公开及专用的共用字符串。如果不采取这项措施,黑客就能利用SNMP获得有关你方网络的重要信息。
使用访问列表
为了进一步保护无线网络,请使用访问列表,如果可能的话。不是所有的无线访问点都支持这项特性,但如果你的网络支持,你就可以具体地指定允许哪些机器连接到访问点。支持这项特性的访问点有时会使用普通文件传输协议(TFTP),定期下载更新的列表,以避免管理员必须在每台设备上使这些列表保持同步的棘手问题
规划天线的放置
要部署封闭的无线访问点,第一步就是合理放置访问点的天线,以便能够限制信号在覆盖区以外的传输距离。别将天线放在窗户附近,因为玻璃无法阻挡信号。你最好将天线放在需要覆盖的区域的中心,尽量减少信号泄露到墙外。当然,完全控制信号泄露几乎是不可能的,所以还需要采取其它措施。
使用WEP
无线加密协议(WEP)是对无线网络上的流量进行加密的一种标准方法。尽管存在重大缺陷,但WEP仍有助于阻挠偶尔闯入的黑客。许多无线访问点厂商为了方便安装产品,交付设备时关闭了WEP功能。但一旦采用这做法,黑客就能立即访问无线网络上的流量,因为利用无线嗅探器就可以直接读取数据。
变更SSID及禁止SSID广播
服务集标识符(SSID)是无线访问点使用的识别字符串,客户端利用它就能建立连接。该标识符由设备制造商设定,每种标识符使用默认短语,如101就是3Com设备的标识符。倘若黑客知道了这种口令短语,即使未经授权,也很容易使用你的无线服务。对于部署的每个无线访问点而言,你要选择独一无二并且很难猜中的SSID。如果可能的话,禁止通过天线向外广播该标识符。这样网络仍可使用,但不会出现在可用网络列表上。
禁用DHCP
对无线网络而言,这很有意义。如果采取这项措施,黑客不得不破译你的IP地址、子网掩码及其它所需的TCP/IP参数。无论黑客怎样利用你的访问点,他仍需要弄清楚IP地址。
禁用或改动SNMP设置
如果你的访问点支持SNMP,要么禁用,要么改变公开及专用的共用字符串。如果不采取这项措施,黑客就能利用SNMP获得有关你方网络的重要信息。
使用访问列表
为了进一步保护无线网络,请使用访问列表,如果可能的话。不是所有的无线访问点都支持这项特性,但如果你的网络支持,你就可以具体地指定允许哪些机器连接到访问点。支持这项特性的访问点有时会使用普通文件传输协议(TFTP),定期下载更新的列表,以避免管理员必须在每台设备上使这些列表保持同步的棘手问题