新手也能对付病毒:看端口清木马
[ 2007-03-25 04:11:33 | 作者: sun ]
如果计算机里存在着木马病毒和未经授权的远程控制软件,那别人不但能得到你所有的隐私信息和账号密码,更能随时夺走计算机的控制权,本文主要讲述如何关闭这两类软件。
需要说明的一点是,本文介绍的各种木马及未授权被安装的远程控制软件均是由于没有正确的设置管理员密码导致系统被侵入而存在的。因此请先检查系统中所有帐号的口令是否设置的足够安全。
口令设置要求:
1.口令应该不少于8个字符;
2.不包含字典里的单词、不包括姓氏的汉语拼音;
3.同时包含多种类型的字符,比如大写字母(A,B,C,..Z)、小写字母(a,b,c..z)、数字(0,1,2,…9)、标点符号(@,,!,$,%,& …)。
注意:下文中提到的相关路径根据您的操作系统版本不同会有所不同,请根据自己的系统做相应的调整。根据系统安装的路径不同,目录所在盘符也可能不同,如系统安装在D盘,请将C:\Windows改为D:\Windows依此类推。
大部分的木马程序都可以改变默认的服务端口,我们应该根据具体的情况采取相应的措施,一个完整的检查和删除过程如下例所示:
例:113端口木马的清除(仅适用于Windows系统):这是一个基于irc聊天室控制的木马程序。
1.首先使用netstat -an命令确定自己的系统上是否开放了113端口;
2.使用fport命令察看出是哪个程序在监听113端口;
例如我们用fport看到如下结果:
Pid ProcessPort Proto Path
392 svchost -> 113 TCP
C:\WinNT\system32\vhos.exe
我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为c:\Winnt\system32下。
3.确定了木马程序名(就是监听113端口的程序)后,在任务管理器中查找到该进程,并使用管理器结束该进程。
4.在开始-运行中键入regedit运行注册表管理程序,在注册表里查找刚才找到那个程序,并将相关的键值全部删掉。
5.到木马程序所在的目录下删除该木马程序。(通常木马还会包括其他一些程序,如rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等,根据木马程序不同,文件也有所不同,你可以通过察看程序的生成和修改的时间来确定与监听113端口的木马程序有关的其他程序)。
6.重新启动机器。
707端口:
这个端口开放表示你可能感染了nachi蠕虫病毒,该蠕虫的清除方法如下:
1、停止服务名为WinS Client和Network Connections Sharing的两项服务;
2、删除c:\Winnt\SYSTEM32\WinS\目录下的DLLHOST.EXE和SVCHOST.EXE文件;
3、编辑注册表,删除HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services项中名为RpcTftpd和RpcPatch的两个键值。
1999端口:
这个端口是木马程序BackDoor的默认服务端口,该木马清除方法如下:
1、使用进程管理工具将notpa.exe进程结束;
2、删除c:\Windows\目录下的notpa.exe程序;
3、编辑注册表,删除HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run项中包含c:\Windows\notpa.exe /o=yes的键值。
2001端口:
这个端口是木马程序黑洞2001的默认服务端口,该木马清除方法如下:
1、首先使用进程管理软件将进程Windows.exe杀掉;
2、删除c:\Winnt\system32目录下的Windows.exe和S_Server.exe文件;
3、编辑注册表,删除HKEY_LOCAL_MACHINE\Software \Microsoft \Windows \CurrentVersion \RunServices\项中名为Windows的键值;
4、将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES项中的Winvxd项删除;
5、修改HKEY_CLASSES_ROOT \txtfile \shell \open \command项中的c:\Winnt\system32\S_SERVER.EXE %1为C:\WinNT\NOTEPAD.EXE %1;
6、修改HKEY_LOCAL_MACHINE \Software \CLASSES \txtfile\shell \open \command项中的c:\Winnt\system32\S_SERVER.EXE %1键值改为 C:\WinNT\NOTEPAD.EXE %1。
2023端口:
这个端口是木马程序Ripper的默认服务端口,该木马清除方法如下:
1、使用进程管理工具结束sysrunt.exe进程;
2、删除c:\Windows目录下的sysrunt.exe程序文件;
3、编辑system.ini文件,将shell=explorer.exe sysrunt.exe 改为shell=explorer.exe后保存;
4、重新启动系统。
2583端口:
这个端口是木马程序Wincrash v2的默认服务端口,该木马清除方法如下:
1、编辑注册表,删除HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run\项中的WinManager = "c:\Windows\server.exe"键值;
2、编辑Win.ini文件,将run=c:\Windows\server.exe改为run=后保存退出;
3、重新启动系统后删除C:\Windows\system\ SERVER.EXE。
3389端口:
首先说明3389端口是Windows的远程管理终端所开的端口,它并不是一个木马程序,请先确定该服务是否是你自己开放的。如果不是必须的,请关闭该服务。
Win2000关闭的方法:
1、Win2000server
开始-->程序-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。
2、Win2000pro
开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。
Winxp关闭的方法:
在我的电脑上阌壹∈粜?->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
4444端口:
如果发现你的机器开放这个端口,可能表示你感染了msblast蠕虫,清除该蠕虫的方法如下:
1、使用进程管理工具结束msblast.exe的进程;
2、编辑注册表,删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中的"Windows auto update"="msblast.exe"键值;
3、删除c:\Winnt\system32目录下的msblast.exe文件。
4899端口:
首先说明4899端口是一个远程控制软件(remote administrator)服务端监听的端口,他不能算是一个木马程序,但是具有远程控制功能,通常杀毒软件是无法查出它来的,请先确定该服务是否是你自己开放并且是必需的。如果不是请关闭它。
关闭方法:
1、请在开始-->运行中输入cmd(98以下为command),然后 cd C:\Winnt\system32(你的系统安装目录),输入r_server.exe /stop后按回车。
然后在输入r_server /uninstall /silence;
2、到C:\Winnt\system32(系统目录)下删除r_server.exe admdll.dll raddrv.dll三个文件。
5800,5900端口:
首先说明5800,5900端口是远程控制软件VNC的默认服务端口,但是VNC在修改过后会被用在某些蠕虫中。请先确认VNC是否是你自己开放并且是必须的,如果不是请关闭。
关闭方法:
1、首先使用fport命令确定出监听在5800和5900端口的程序所在位置(通常会是c:\Winnt\fonts\explorer.exe);
2、在任务管理器中杀掉相关的进程(注意有一个是系统本身正常的,请注意!如果错杀可以重新运行c:\Winnt\explorer.exe);
3、删除C:\Winnt\fonts\中的explorer.exe程序;
4、删除注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中的Explorer键值;
5、重新启动机器。
6129端口:
首先说明6129端口是一个远程控制软件(dameware nt utilities)服务端监听得端口,他不是一个木马程序,但是具有远程控制功能,通常的杀毒软件是无法查出它来的。请先确定该服务是否是你自己安装并且是必需的,如果不是请关闭。
关闭方法:
1、选择开始-->设置-->控制面板-->管理工具-->服务
找到DameWare Mini Remote Control项点击右键选择属性选项,将启动类型改成禁用后停止该服务;
2、到c:\Winnt\system32(系统目录)下将DWRCS.EXE程序删除;
3、到注册表内将HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\项中的DWRCS键值删除。
需要说明的一点是,本文介绍的各种木马及未授权被安装的远程控制软件均是由于没有正确的设置管理员密码导致系统被侵入而存在的。因此请先检查系统中所有帐号的口令是否设置的足够安全。
口令设置要求:
1.口令应该不少于8个字符;
2.不包含字典里的单词、不包括姓氏的汉语拼音;
3.同时包含多种类型的字符,比如大写字母(A,B,C,..Z)、小写字母(a,b,c..z)、数字(0,1,2,…9)、标点符号(@,,!,$,%,& …)。
注意:下文中提到的相关路径根据您的操作系统版本不同会有所不同,请根据自己的系统做相应的调整。根据系统安装的路径不同,目录所在盘符也可能不同,如系统安装在D盘,请将C:\Windows改为D:\Windows依此类推。
大部分的木马程序都可以改变默认的服务端口,我们应该根据具体的情况采取相应的措施,一个完整的检查和删除过程如下例所示:
例:113端口木马的清除(仅适用于Windows系统):这是一个基于irc聊天室控制的木马程序。
1.首先使用netstat -an命令确定自己的系统上是否开放了113端口;
2.使用fport命令察看出是哪个程序在监听113端口;
例如我们用fport看到如下结果:
Pid ProcessPort Proto Path
392 svchost -> 113 TCP
C:\WinNT\system32\vhos.exe
我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为c:\Winnt\system32下。
3.确定了木马程序名(就是监听113端口的程序)后,在任务管理器中查找到该进程,并使用管理器结束该进程。
4.在开始-运行中键入regedit运行注册表管理程序,在注册表里查找刚才找到那个程序,并将相关的键值全部删掉。
5.到木马程序所在的目录下删除该木马程序。(通常木马还会包括其他一些程序,如rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等,根据木马程序不同,文件也有所不同,你可以通过察看程序的生成和修改的时间来确定与监听113端口的木马程序有关的其他程序)。
6.重新启动机器。
707端口:
这个端口开放表示你可能感染了nachi蠕虫病毒,该蠕虫的清除方法如下:
1、停止服务名为WinS Client和Network Connections Sharing的两项服务;
2、删除c:\Winnt\SYSTEM32\WinS\目录下的DLLHOST.EXE和SVCHOST.EXE文件;
3、编辑注册表,删除HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services项中名为RpcTftpd和RpcPatch的两个键值。
1999端口:
这个端口是木马程序BackDoor的默认服务端口,该木马清除方法如下:
1、使用进程管理工具将notpa.exe进程结束;
2、删除c:\Windows\目录下的notpa.exe程序;
3、编辑注册表,删除HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run项中包含c:\Windows\notpa.exe /o=yes的键值。
2001端口:
这个端口是木马程序黑洞2001的默认服务端口,该木马清除方法如下:
1、首先使用进程管理软件将进程Windows.exe杀掉;
2、删除c:\Winnt\system32目录下的Windows.exe和S_Server.exe文件;
3、编辑注册表,删除HKEY_LOCAL_MACHINE\Software \Microsoft \Windows \CurrentVersion \RunServices\项中名为Windows的键值;
4、将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES项中的Winvxd项删除;
5、修改HKEY_CLASSES_ROOT \txtfile \shell \open \command项中的c:\Winnt\system32\S_SERVER.EXE %1为C:\WinNT\NOTEPAD.EXE %1;
6、修改HKEY_LOCAL_MACHINE \Software \CLASSES \txtfile\shell \open \command项中的c:\Winnt\system32\S_SERVER.EXE %1键值改为 C:\WinNT\NOTEPAD.EXE %1。
2023端口:
这个端口是木马程序Ripper的默认服务端口,该木马清除方法如下:
1、使用进程管理工具结束sysrunt.exe进程;
2、删除c:\Windows目录下的sysrunt.exe程序文件;
3、编辑system.ini文件,将shell=explorer.exe sysrunt.exe 改为shell=explorer.exe后保存;
4、重新启动系统。
2583端口:
这个端口是木马程序Wincrash v2的默认服务端口,该木马清除方法如下:
1、编辑注册表,删除HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run\项中的WinManager = "c:\Windows\server.exe"键值;
2、编辑Win.ini文件,将run=c:\Windows\server.exe改为run=后保存退出;
3、重新启动系统后删除C:\Windows\system\ SERVER.EXE。
3389端口:
首先说明3389端口是Windows的远程管理终端所开的端口,它并不是一个木马程序,请先确定该服务是否是你自己开放的。如果不是必须的,请关闭该服务。
Win2000关闭的方法:
1、Win2000server
开始-->程序-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。
2、Win2000pro
开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。
Winxp关闭的方法:
在我的电脑上阌壹∈粜?->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
4444端口:
如果发现你的机器开放这个端口,可能表示你感染了msblast蠕虫,清除该蠕虫的方法如下:
1、使用进程管理工具结束msblast.exe的进程;
2、编辑注册表,删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中的"Windows auto update"="msblast.exe"键值;
3、删除c:\Winnt\system32目录下的msblast.exe文件。
4899端口:
首先说明4899端口是一个远程控制软件(remote administrator)服务端监听的端口,他不能算是一个木马程序,但是具有远程控制功能,通常杀毒软件是无法查出它来的,请先确定该服务是否是你自己开放并且是必需的。如果不是请关闭它。
关闭方法:
1、请在开始-->运行中输入cmd(98以下为command),然后 cd C:\Winnt\system32(你的系统安装目录),输入r_server.exe /stop后按回车。
然后在输入r_server /uninstall /silence;
2、到C:\Winnt\system32(系统目录)下删除r_server.exe admdll.dll raddrv.dll三个文件。
5800,5900端口:
首先说明5800,5900端口是远程控制软件VNC的默认服务端口,但是VNC在修改过后会被用在某些蠕虫中。请先确认VNC是否是你自己开放并且是必须的,如果不是请关闭。
关闭方法:
1、首先使用fport命令确定出监听在5800和5900端口的程序所在位置(通常会是c:\Winnt\fonts\explorer.exe);
2、在任务管理器中杀掉相关的进程(注意有一个是系统本身正常的,请注意!如果错杀可以重新运行c:\Winnt\explorer.exe);
3、删除C:\Winnt\fonts\中的explorer.exe程序;
4、删除注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中的Explorer键值;
5、重新启动机器。
6129端口:
首先说明6129端口是一个远程控制软件(dameware nt utilities)服务端监听得端口,他不是一个木马程序,但是具有远程控制功能,通常的杀毒软件是无法查出它来的。请先确定该服务是否是你自己安装并且是必需的,如果不是请关闭。
关闭方法:
1、选择开始-->设置-->控制面板-->管理工具-->服务
找到DameWare Mini Remote Control项点击右键选择属性选项,将启动类型改成禁用后停止该服务;
2、到c:\Winnt\system32(系统目录)下将DWRCS.EXE程序删除;
3、到注册表内将HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\项中的DWRCS键值删除。
微软的IE和OFFICE前几个月一直受zero-day攻击之扰。它已经形成了一个惯例循环,微软每月在“补丁星期二”发布新的补丁,而在此前后就会出现一大把新的zero-day攻击。黑客们想要在微软能够对付它之前,最大可能地延长他们的zeroday攻击存在的时间。
微软利用客户反馈,自动工具,以及加入反病毒联盟这些方法来了解每个新的zero-day攻击的波及广度。如果该攻击波及很广,微软会加快正常的补丁周期,并且在下一个补丁星期二之前发布修正补丁。如果攻击没有广泛传播,通常都会是这种情况,微软就会等到正常的发布补丁的星期二到了再发布。花正常的时间开发和测试补丁通常意味着那补丁会很稳定(最近这对微软来说甚至变得很难做到……这就是题外话了)。
当决定按正常周期发布对付一个不是很紧急的zero-day补丁的时候,微软也很痛苦。媒体上到处都是关于最新bug,面对骗局如何自救等等。即使是我最喜欢的dshield.org,也早早加入媒体的队伍,抓着微软在上百万恶意攻击到处蔓延的时候不立刻发布补丁的痛处不放。在最近的几期攻击中,所谓的“百万恶意攻击”波及范围都是不超过100的。
但是别人眼中的自己才是真实的自己,在最新补丁调试阶段微软只有忍受痛苦。无论威胁是否只是适度地传播,消费者在官方发布补丁或者其他补偿保护措施(比如配置查杀程序)可用之前,只有苦苦等待。大多数用户从来不使用替代保护方案,因此在使用官方补丁之前他们仍处于无保护状态。
因此,很多第三方公司开始发布防护补丁,以便在官方补丁发布之前弥补空白。最集中的表现就是,新Zeroday紧急响应组(ZERT)。ZERT由一些杰出的程序员和安全专家组成,他们致力于在官方补丁滞后于大众需要的时候提供补丁。ZERT的Z保护平台允许人们开发和使用第三方微软Windows补丁,并且在卖主提供补丁后允许人们卸载该第三方补丁。
另一些专业人士,比如Jesper Johansson博士,他以前是微软的高级安全员。他建议人们使用能够阻止zero-day代码的补偿防御措施。Jesper最近提出了一些可靠的安全修正程序,它们能够使用组策略快速配置。
微软以及其他很多安全专家警告用户们不要使用第三方补丁以及修正程序。大多数用户都应该认真听取这些意见。首先,第三方补丁以及修正程序通常都没有像官方补丁那样彻底测试过。一个微软的人员曾经告诉我,每个IE安全补丁在发布之前都要经过数以千计的退化测试。
比起它们解决的问题来说,第三方补丁确实造成更多问题。即使是Jesper那优秀的VML保护脚本也曾在打了普通补丁的Windows系列计算机中引起问题。
但是有了官方警告,我觉得任何拥有知识丰富的网管的公司都能够从第三方补丁和针对危机的及时的建议中获得好处,前提是网管有时间彻底测试第三方补丁或修正程序。有些第三方对出现的漏洞等反应很快:例如,Jesper为自己的修正程序编写更新——他一旦注意到问题就会立刻给出建议;ZERT似乎在怎样应用它的补丁上作了正确选择,系统不用修改原始的那个压缩的可执行文件。
我认为,如果一个广泛传播的攻击对你的系统环境有极大危险,你应该考虑测试并使用第三方的补丁或者修正程序。管理层应当意识到第三方补丁的性质,风险并下最终决定。任何新的补丁——甚至是官方补丁——你都应当彻底测试,并且准备测试后的复原方案以防安了补丁后情况更糟。
微软利用客户反馈,自动工具,以及加入反病毒联盟这些方法来了解每个新的zero-day攻击的波及广度。如果该攻击波及很广,微软会加快正常的补丁周期,并且在下一个补丁星期二之前发布修正补丁。如果攻击没有广泛传播,通常都会是这种情况,微软就会等到正常的发布补丁的星期二到了再发布。花正常的时间开发和测试补丁通常意味着那补丁会很稳定(最近这对微软来说甚至变得很难做到……这就是题外话了)。
当决定按正常周期发布对付一个不是很紧急的zero-day补丁的时候,微软也很痛苦。媒体上到处都是关于最新bug,面对骗局如何自救等等。即使是我最喜欢的dshield.org,也早早加入媒体的队伍,抓着微软在上百万恶意攻击到处蔓延的时候不立刻发布补丁的痛处不放。在最近的几期攻击中,所谓的“百万恶意攻击”波及范围都是不超过100的。
但是别人眼中的自己才是真实的自己,在最新补丁调试阶段微软只有忍受痛苦。无论威胁是否只是适度地传播,消费者在官方发布补丁或者其他补偿保护措施(比如配置查杀程序)可用之前,只有苦苦等待。大多数用户从来不使用替代保护方案,因此在使用官方补丁之前他们仍处于无保护状态。
因此,很多第三方公司开始发布防护补丁,以便在官方补丁发布之前弥补空白。最集中的表现就是,新Zeroday紧急响应组(ZERT)。ZERT由一些杰出的程序员和安全专家组成,他们致力于在官方补丁滞后于大众需要的时候提供补丁。ZERT的Z保护平台允许人们开发和使用第三方微软Windows补丁,并且在卖主提供补丁后允许人们卸载该第三方补丁。
另一些专业人士,比如Jesper Johansson博士,他以前是微软的高级安全员。他建议人们使用能够阻止zero-day代码的补偿防御措施。Jesper最近提出了一些可靠的安全修正程序,它们能够使用组策略快速配置。
微软以及其他很多安全专家警告用户们不要使用第三方补丁以及修正程序。大多数用户都应该认真听取这些意见。首先,第三方补丁以及修正程序通常都没有像官方补丁那样彻底测试过。一个微软的人员曾经告诉我,每个IE安全补丁在发布之前都要经过数以千计的退化测试。
比起它们解决的问题来说,第三方补丁确实造成更多问题。即使是Jesper那优秀的VML保护脚本也曾在打了普通补丁的Windows系列计算机中引起问题。
但是有了官方警告,我觉得任何拥有知识丰富的网管的公司都能够从第三方补丁和针对危机的及时的建议中获得好处,前提是网管有时间彻底测试第三方补丁或修正程序。有些第三方对出现的漏洞等反应很快:例如,Jesper为自己的修正程序编写更新——他一旦注意到问题就会立刻给出建议;ZERT似乎在怎样应用它的补丁上作了正确选择,系统不用修改原始的那个压缩的可执行文件。
我认为,如果一个广泛传播的攻击对你的系统环境有极大危险,你应该考虑测试并使用第三方的补丁或者修正程序。管理层应当意识到第三方补丁的性质,风险并下最终决定。任何新的补丁——甚至是官方补丁——你都应当彻底测试,并且准备测试后的复原方案以防安了补丁后情况更糟。
禁用Scripting Host防范网页黑手
[ 2007-03-25 04:10:27 | 作者: sun ]
来自网络的攻击手段越来越多了,一些恶意网页会利用软件或系统操作平台等的安全漏洞,通过执行嵌入在网页HTML超文本标记语言内的Java Applet小应用程序、javaScript脚本语言程序、ActiveX软件部件交互技术支持可自动执行的代码程序,
强行修改用户操作系统的注册表及系统实用配置程序,从而达到非法控制系统资源、破坏数据、格式化硬盘、感染木马程序的目的。
目前来自网页黑手的攻击分为两种:一种是通过编辑的脚本程序修改IE浏览器;另外一种是直接破坏Windows系统。前者一般会修改IE浏览器的标题栏、默认主页等,关于此方面的文章比较多。下面就来介绍一些针对破坏Windows系统的网页黑手的防范方法。
黑手之一 格式化硬盘
这是一种非常危险的网页黑手,它会通过IE执行ActiveX部件并调用Format.com或Deltree.exe将硬盘格式化或者删除文件夹。在感染此类破坏程序后,会出现一个信息提示框,提示:“当前的页面含有不完全的ActiveX,可能会对你造成危害,是否执行?yes,no”,如果单击“是”,那么硬盘就会被迅速格式化,而这一切都是在后台运行的,不易被察觉。
防范的方法是:将本机的Format.com或Deltree.exe命令改名字。另外,对于莫名出现的提示问题,不要轻易回答“是”。可以按下[Ctrl+Alt+Del]组合键在弹出的“关闭程序”窗口中,将不能确认的进程中止执行。
黑手之二 耗尽系统资源
这种网页黑手会执行一段Java Script代码并产生一个死循环,以至不断消耗本机系统资源,最后导致系统死机。它们会出现在一些恶意网站或者邮件的附件中,只要打开附件程序后,屏幕上就会出现无数个IE窗口,最后只有重新启动计算机。
防范的方法是:不要轻易进入不了解的网站,也不要随便打开陌生人发来的E-mail中的附件,比如扩展名是VBS、HTML、HTM、DOC、EXE的文件。
黑手之三 非法读取文件
此类黑手会通过对ActiveX、JavaScript和WebBrowser control的调用来达到对本地文件进行读取。它还可以利用浏览器漏洞实现对本地文件的读取,避免此类攻击可以关闭禁用浏览器的JavaScript功能。
黑手之四 获取控制权限
此类黑手会利用IE执行Actives时候发生,虽然说IE提供对于“下载已签名的ActiveX控件”进行提示的功能,但是恶意攻击代码会绕过IE,在无需提示的情况下下载和执行ActiveX控件程序,而这时恶意攻击者就会取得对系统的控制权限。如果要屏蔽此类黑手,可以打开注册表编辑器,然后展开如下分支:
解决方法是在注册表分支HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility 下为Active Setup controls创建一个基于CLSID的新键值 {6E449683_C509_11CF_AAFA_00AA00 B6015C},然后在新键值下创建一个REG_DWORD 类型的键Compatibility,并设定键值为0x00000400即可。
对于来自网上的种种攻击,在提高防范意识的同时,还需做好预防工作。
1.设定安全级别
鉴于很多攻击是通过包含有恶意脚本实现攻击,可以提高IE的级别。在IE中执行“工具/Internet选项”命令,然后选择“安全”选项卡,选择“Internet”后单击[自定义级别]按钮,在“安全设置”对话框中,将“ActiveX控件和插件”、“脚本”中的相关选项全部选择“禁用”,另外设定安全级别为“高”。需要注意的是,如果选择了“禁用”,一些需要使用ActiveX和脚本的网站可能无法正常显示。
2.过滤指定网页
对于一些包含有恶意代码的网页,可以将其屏蔽,执行“工具/Internet选项”命令,选择内容选项卡,在“分级审查”中单击[启用]按钮,打开“分级审查”对话框,选择“许可站点”选项卡,输入需要屏蔽网址,然后单击[从不]按钮,再单击[确定]按钮。
3.卸载或升级WSH
有些利用VBScript编制的病毒、蠕虫病毒,比如 “I LOVE YOU”和“Newlove”,它们都包含了一个以 VBS为后缀名的附件,打开附件后,用户就会被感染。这些病毒会利用Windows内嵌的 Windows Scripting Host 即WSH进行启动和运行。也就是说,如果将WSH禁用,隐藏在VB脚本中的病毒就无法被激活了。
在Windows 98中禁用WSH,打开“添加/删除”程序,选择“Windows 设置/附件”,并单击“详细资料”,取消“Windows Scripting Host”选项,完成后单击[确定]按钮即可。
在Windows 2000中禁用WSH的方法是,双击“我的电脑”图标,然后执行“工具/文件夹选项”命令,选择“文件类型”选项卡,找到“VBS VBScript Script File”选项,并单击[删除]按钮,最后单击[确定]即可。
另外,还可以升级WSH 5.6,IE浏览器可以被恶意脚本修改,就是因为IE 5.5以前版本中的WSH允许攻击者利用JavaScript中的Getobject函数以及htmlfilr ActiveX对象读取浏览者的注册表,可以在http://www.microsoft.com/下载最新版本的WSH。
4.禁用远程注册表服务
在Windows 2000/XP中,可以点击“控制面板/管理工具/服务”,用鼠标右键单击“Remote Registry”,然后在弹出的快捷方式中选择“属性”命令,在“常规”选项卡中单击[停止]按钮,这样可以拦截部分恶意脚本代码。
5.安装防火墙和杀毒软件
安装防火墙和杀毒软件可以拦截部分恶意代码程序,比如可以安装瑞星杀毒软件。
强行修改用户操作系统的注册表及系统实用配置程序,从而达到非法控制系统资源、破坏数据、格式化硬盘、感染木马程序的目的。
目前来自网页黑手的攻击分为两种:一种是通过编辑的脚本程序修改IE浏览器;另外一种是直接破坏Windows系统。前者一般会修改IE浏览器的标题栏、默认主页等,关于此方面的文章比较多。下面就来介绍一些针对破坏Windows系统的网页黑手的防范方法。
黑手之一 格式化硬盘
这是一种非常危险的网页黑手,它会通过IE执行ActiveX部件并调用Format.com或Deltree.exe将硬盘格式化或者删除文件夹。在感染此类破坏程序后,会出现一个信息提示框,提示:“当前的页面含有不完全的ActiveX,可能会对你造成危害,是否执行?yes,no”,如果单击“是”,那么硬盘就会被迅速格式化,而这一切都是在后台运行的,不易被察觉。
防范的方法是:将本机的Format.com或Deltree.exe命令改名字。另外,对于莫名出现的提示问题,不要轻易回答“是”。可以按下[Ctrl+Alt+Del]组合键在弹出的“关闭程序”窗口中,将不能确认的进程中止执行。
黑手之二 耗尽系统资源
这种网页黑手会执行一段Java Script代码并产生一个死循环,以至不断消耗本机系统资源,最后导致系统死机。它们会出现在一些恶意网站或者邮件的附件中,只要打开附件程序后,屏幕上就会出现无数个IE窗口,最后只有重新启动计算机。
防范的方法是:不要轻易进入不了解的网站,也不要随便打开陌生人发来的E-mail中的附件,比如扩展名是VBS、HTML、HTM、DOC、EXE的文件。
黑手之三 非法读取文件
此类黑手会通过对ActiveX、JavaScript和WebBrowser control的调用来达到对本地文件进行读取。它还可以利用浏览器漏洞实现对本地文件的读取,避免此类攻击可以关闭禁用浏览器的JavaScript功能。
黑手之四 获取控制权限
此类黑手会利用IE执行Actives时候发生,虽然说IE提供对于“下载已签名的ActiveX控件”进行提示的功能,但是恶意攻击代码会绕过IE,在无需提示的情况下下载和执行ActiveX控件程序,而这时恶意攻击者就会取得对系统的控制权限。如果要屏蔽此类黑手,可以打开注册表编辑器,然后展开如下分支:
解决方法是在注册表分支HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility 下为Active Setup controls创建一个基于CLSID的新键值 {6E449683_C509_11CF_AAFA_00AA00 B6015C},然后在新键值下创建一个REG_DWORD 类型的键Compatibility,并设定键值为0x00000400即可。
对于来自网上的种种攻击,在提高防范意识的同时,还需做好预防工作。
1.设定安全级别
鉴于很多攻击是通过包含有恶意脚本实现攻击,可以提高IE的级别。在IE中执行“工具/Internet选项”命令,然后选择“安全”选项卡,选择“Internet”后单击[自定义级别]按钮,在“安全设置”对话框中,将“ActiveX控件和插件”、“脚本”中的相关选项全部选择“禁用”,另外设定安全级别为“高”。需要注意的是,如果选择了“禁用”,一些需要使用ActiveX和脚本的网站可能无法正常显示。
2.过滤指定网页
对于一些包含有恶意代码的网页,可以将其屏蔽,执行“工具/Internet选项”命令,选择内容选项卡,在“分级审查”中单击[启用]按钮,打开“分级审查”对话框,选择“许可站点”选项卡,输入需要屏蔽网址,然后单击[从不]按钮,再单击[确定]按钮。
3.卸载或升级WSH
有些利用VBScript编制的病毒、蠕虫病毒,比如 “I LOVE YOU”和“Newlove”,它们都包含了一个以 VBS为后缀名的附件,打开附件后,用户就会被感染。这些病毒会利用Windows内嵌的 Windows Scripting Host 即WSH进行启动和运行。也就是说,如果将WSH禁用,隐藏在VB脚本中的病毒就无法被激活了。
在Windows 98中禁用WSH,打开“添加/删除”程序,选择“Windows 设置/附件”,并单击“详细资料”,取消“Windows Scripting Host”选项,完成后单击[确定]按钮即可。
在Windows 2000中禁用WSH的方法是,双击“我的电脑”图标,然后执行“工具/文件夹选项”命令,选择“文件类型”选项卡,找到“VBS VBScript Script File”选项,并单击[删除]按钮,最后单击[确定]即可。
另外,还可以升级WSH 5.6,IE浏览器可以被恶意脚本修改,就是因为IE 5.5以前版本中的WSH允许攻击者利用JavaScript中的Getobject函数以及htmlfilr ActiveX对象读取浏览者的注册表,可以在http://www.microsoft.com/下载最新版本的WSH。
4.禁用远程注册表服务
在Windows 2000/XP中,可以点击“控制面板/管理工具/服务”,用鼠标右键单击“Remote Registry”,然后在弹出的快捷方式中选择“属性”命令,在“常规”选项卡中单击[停止]按钮,这样可以拦截部分恶意脚本代码。
5.安装防火墙和杀毒软件
安装防火墙和杀毒软件可以拦截部分恶意代码程序,比如可以安装瑞星杀毒软件。
现在很多单位都配置了局域网,为了便于进行网络管理,同时为了提高的登录网络的速度,网管人员一般都为局域网中的每台电脑都指定了IP地址。但是在Windows环境下其他用户很容易修改IP地址配置,这样就很容易造成IP地址冲突等故障,不利于网络的正常管理。
因此,最好能为IP地址加上一把“锁”,这样别人就不能轻易更改IP地址了。
在Windows 2000/XP中存在Netcfgx.dll,Netshell.dll和Netman.dll三个动态库文件,它们实际上是系统控件,在Windows 2000/XP的安装过程中会自动注册这些控件。这三个控件和Windows 2000/XP的网络功能紧密相关。当修改IP地址时,就需要用到这三个控件。因此,只要将上述三个控件卸载,就可以屏蔽网络连接窗口,这样无论是双击桌面上的网上邻居图标,还是在控制面板中双击“网络连接”项,都无法正常进入网络连接窗口,也就无法在本地连接属性窗口中修改IP地址了。
在“开始/运行”中输入“Cmd.exe”,确认后打开CMD窗口,在其中分别执行“Regsvr32 /u Netcfgx.dll”、“Regsvr32 /u Netcfgx.dll”、“Regsvr32 /u Netcfgx.dll”命令,就可以将上述控件从系统中卸载。当然,如果以后需要修改IP地址的话,可以上述控件逐一注册即可。注册的方法很简单,只要将上述命令中的“/u”参数去掉,就可以执行注册操作了。例如执行命令“Regsvr32 Netcfgx.dll”就完成了控件Netcfgx.dll的注册。
因此,最好能为IP地址加上一把“锁”,这样别人就不能轻易更改IP地址了。
在Windows 2000/XP中存在Netcfgx.dll,Netshell.dll和Netman.dll三个动态库文件,它们实际上是系统控件,在Windows 2000/XP的安装过程中会自动注册这些控件。这三个控件和Windows 2000/XP的网络功能紧密相关。当修改IP地址时,就需要用到这三个控件。因此,只要将上述三个控件卸载,就可以屏蔽网络连接窗口,这样无论是双击桌面上的网上邻居图标,还是在控制面板中双击“网络连接”项,都无法正常进入网络连接窗口,也就无法在本地连接属性窗口中修改IP地址了。
在“开始/运行”中输入“Cmd.exe”,确认后打开CMD窗口,在其中分别执行“Regsvr32 /u Netcfgx.dll”、“Regsvr32 /u Netcfgx.dll”、“Regsvr32 /u Netcfgx.dll”命令,就可以将上述控件从系统中卸载。当然,如果以后需要修改IP地址的话,可以上述控件逐一注册即可。注册的方法很简单,只要将上述命令中的“/u”参数去掉,就可以执行注册操作了。例如执行命令“Regsvr32 Netcfgx.dll”就完成了控件Netcfgx.dll的注册。
一劳永逸 如何完全屏蔽ActiveX插件
[ 2007-03-25 04:10:02 | 作者: sun ]
很多朋友在浏览网页的时候会遇到浏览器“卡死”的情况,这多半是因为该网页中有嵌入式的ActiveX插件需要提示安装。为了对付这个问题,市面上有很多相关的“免疫”软件,如NoTroubleMe等,而且Windows XP SP2中也提供了该功能。不过这些思路都比较被动,如果遇到新的ActiveX程序,他们就无能为力了。下面笔者来介绍自己的解决方案。
1. 屏蔽ActiveX插件的思路
其实对我们真正有用的ActiveX插件毕竟是少数,就普通网友来说不外乎有:Windows Update控件、Flash控件这两种必需的,当然有些朋友可能还想使用银行在线系统或者其它服务需要安装ActiveX。我们其实可以将这些有用的 ActiveX都进行安装,接下来在浏览器设置中屏蔽所有ActiveX插件的在线安装,这样以后不管有什么ActiveX都不为弹出来了。
2. 一劳永逸的设置实战
第一步:首先使用IE访问你需要安装ActiveX插件的页面,比如微软的Windows Update站点、带有Flash的站点等,在提示安装ActiveX的时候选择“是”进行安装。
第二步:所有的ActiveX都安装完毕后,在IE中选择“工具→Internet选项”,切换到“安全”标签,点击“自定义级别”按钮,在弹出的 “安全设置”窗口中将“下载未签名的ActiveX控件”和“下载已签名的ActiveX控件”两项都设置为“禁用”。最后保存退出即可,如图所示。
当遇到某些网站的ActiveX确认是需要你安装的时候,将上述设置恢复为“默认”,再刷新页面进行安装即可,装完后再重新设置为“禁用”。
1. 屏蔽ActiveX插件的思路
其实对我们真正有用的ActiveX插件毕竟是少数,就普通网友来说不外乎有:Windows Update控件、Flash控件这两种必需的,当然有些朋友可能还想使用银行在线系统或者其它服务需要安装ActiveX。我们其实可以将这些有用的 ActiveX都进行安装,接下来在浏览器设置中屏蔽所有ActiveX插件的在线安装,这样以后不管有什么ActiveX都不为弹出来了。
2. 一劳永逸的设置实战
第一步:首先使用IE访问你需要安装ActiveX插件的页面,比如微软的Windows Update站点、带有Flash的站点等,在提示安装ActiveX的时候选择“是”进行安装。
第二步:所有的ActiveX都安装完毕后,在IE中选择“工具→Internet选项”,切换到“安全”标签,点击“自定义级别”按钮,在弹出的 “安全设置”窗口中将“下载未签名的ActiveX控件”和“下载已签名的ActiveX控件”两项都设置为“禁用”。最后保存退出即可,如图所示。
当遇到某些网站的ActiveX确认是需要你安装的时候,将上述设置恢复为“默认”,再刷新页面进行安装即可,装完后再重新设置为“禁用”。
如何防止电脑被黑客入侵
[ 2007-03-25 04:09:51 | 作者: sun ]
我们的防火墙是不是经常有人来攻击你XXX端口呢?如果关掉相应没有用处的端口不就好了吗?
一般来说,我们采用一些功能强大的反黑软件和防火墙来保证我们的系统安全,本文拟用一种简易的办法——通过限制端口来帮助大家防止非法入侵-----如何关闭系统中的一些端口,同时如何关闭WINDOWS 下的默认共享C$、D$、Admin$、IPC$等等。
非法入侵的方式
简单说来,非法入侵的方式可粗略分为4种:
1、扫描端口,通过已知的系统Bug攻入主机。
2、种植木马,利用木马开辟的后门进入主机。
3、采用数据溢出的手段,迫使主机提供后门进入主机。
4、利用某些软件设计的漏洞,直接或间接控制主机。
非法入侵的主要方式是前两种,尤其是利用一些流行的黑客工具,通过第一种方式攻击主机的情况最多、也最普遍;而对后两种方式来说,只有一些手段高超的黑客才利用,波及面并不广泛,而且只要这两种问题一出现,软件服务商很快就会提供补丁,及时修复系统。
因此,如果能限制前两种非法入侵方式,就能有效防止利用黑客工具的非法入侵。而且前两种非法入侵方式有一个共同点,就是通过端口进入主机。
端口就像一所房子(服务器)的几个门一样,不同的门通向不同的房间(服务器提供的不同服务)。我们常用的FTP默认端口为21,而WWW网页一般默认端口是80。但是有些马虎的网络管理员常常打开一些容易被侵入的端口服务,比如139等;还有一些木马程序,比如冰河、BO、广外等都是自动开辟一个您不察觉的端口。那么,只要我们把自己用不到的端口全部封锁起来,不就杜绝了这两种非法入侵吗?
这里举例关闭的端口有,135,137,138,139,445,1025,2475,3127,6129,3389,593,还有TCP,其他我就不一一指出了。
具体操作如下:
默认情况下,Windows有很多端口是开放的,在你上网的时候,网络病毒和黑客可以通过这些端口连上你的电脑。为了让你的系统变为铜墙铁壁,应该封闭这些端口,主要有:TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口,一些流行病毒的后门端口(如 TCP 2745、3127、6129 端口),以及远程服务访问端口3389。下面介绍如何在WinXP/2000/2003下关闭这些网络端口。
第一步,点击“开始”菜单/设置/控制面板/管理工具,双击打开“本地安全策略”,选中“IP 安全策略,在本地计算机”,在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“创建 IP 安全策略”,于是弹出一个向导。在向导中点击“下一步”按钮,为新的安全策略命名;再按“下一步”,则显示“安全通信请求”画面,在画面上把“激活默认相应规则”左边的钩去掉,点击“完成”按钮就创建了一个新的IP 安全策略。
点击“确定”后回到筛选器列表的对话框,可以看到已经添加了一条策略,重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口,为它们建立相应的筛选器。
再重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略,建立好上述端口的筛选器,最后点击“确定”按钮。
第四步,在“新规则属性”对话框中,选择“新 IP 筛选器列表”,然后点击其左边的圆圈上加一个点,表示已经激活,最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中,把“使用添加向导”左边的钩去掉,点击“添加”按钮,添加“阻止”操作:在“新筛选器操作属性”的“安全措施”选项卡中,选择“阻止”,然后点击“确定”按钮。
第五步、进入“新规则属性”对话框,点击“新筛选器操作”,其左边的圆圈会加了一个点,表示已经激活,点击“关闭”按钮,关闭对话框;最后回到“新IP安全策略属性”对话框,在“新的IP筛选器列表”左边打钩,按“确定”按钮关闭对话框。在“本地安全策略”窗口,用鼠标右击新添加的 IP 安全策略,然后选择“指派”。
这时候你就可以电脑了,重新启动后,电脑中上述网络端口就被关闭了,在这时候病毒和黑客应该是已经不能连上这些端口了,从而保护了你的电脑
以下要说的是怎样关闭WINDOWS下的默认共享C$、D$、Admin$和IPC$等等。
大家应该知道在WINDOWS 2000和WINDOWS XP下会有默认的共享,病毒和黑客也可以通过这个途径进入你的电脑,从而来毁坏你的文件甚至远程控制你的电脑,这时就应该删除这些默认的共享(其实这些默认的共享对于你个人来说,只是有百害而无一利,这时我个人的看法噢,有意见大家提哟)。
第二步,右击该IP安全策略,在“属性”对话框中,把“使用添加向导”左边的钩去掉,然后单击“添加”按钮添加新的规则,随后弹出“新规则属性”对话框,在画面上点击“添加”按钮,弹出IP筛选器列表窗口;在列表中,首先把“使用添加向导”左边的钩去掉,然后再点击右边的“添加”按钮添加新的筛选器。
第三步,进入“筛选器属性”对话框,首先看到的是寻址,源地址选“任何 IP 地址”,目标地址选“我的 IP 地址”;点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,然后在“到此端口”下的文本框中输入“135”,点击“确定”按钮,这样就添加了一个屏蔽 TCP 135(RPC)端口的筛选器,它可以防止外界通过135端口连上你的电脑。
这里要先说WINDOWS XP的操作系统,XP可不比2000那么容易对付啰,在我还没找到方法之前,在QQ上碰到“封情绝爱”,问了一下,没想到当时他也没有想到方法,过了15钟左右,当时我在网上已经查到用net share *$ /del这个方法时,“封情”也同时告诉我要用这个命令,真是英雄所见略同。
如果你只是偶尔很少用的电脑,你可以在“开始”菜单里选择“运行”,然后在里面输入“net share *$ /del”(*代表你要删除的共享的名称)就可以了。但是在下次开机以后还会有这个默认的共享,怎么样才能彻底完全的在开机后就关闭这些默认共享呢,Follow me ,let’s go.
现在就要说如何在开机后,WINDOWS会自动关闭所有的默认共享,WINDOWS 2000和WINDOWS XP在这里也是大同小异,在“开始”菜单里选择“运行”,填入“regedit”,打开注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]分支,在其下新建“字符串值”,命名可随意,比如“delshareC$”,鼠标右键单击,在弹出的快捷菜单中左键单击“修改”,在接着出现的“编辑字符串”窗口的“数值数据”一栏中输入“net share C$ /del”(不包括引号)按“确定”按钮。同理添加“字符串值”如“delshareD$”,“数值数据”为“net share D$ /del”等,有几个分区就加到哪为止,包括“net share Admin$ /del”等等,注意:这里有大小写之分。之后保存注册表重启计算机,就能实现开机自动关闭这些特殊共享资源了。
但是,大家有没有发现,“net share IPC$ /del”这个命令对于“IPC$”根本就不起任何作用,它还是保持着默认共享怎么办???(实际上做到这一步已经够了,无需在关闭IPC$了)
在这里呢,我还要感谢我的培训老师“Mozart”,是他指导了我怎样才能永久关闭IPC$和默认共享依赖的服务:lanmanserver即server服务,还需要到“控制面板”里的“管理工具”内,找到“服务”在到“server服务”(右击)进入“属性”,点击“常规”,在“启动类型”这一项中选择“已禁用”,这样就关闭了IPC$的默认共享。但是这就会产生一定的负面效应,一旦你关闭了了IPC$的默认共享,很多的Server服务你就不能利用,同时也可能会发生你不能访问局域网内的其他电脑,请慎用!!
写到这里手也酸了,也快下班了,希望这篇文章能够对大家有所帮助,也欢迎转帖到其他论坛,但是请尊重中华盾,也请尊重本人的劳动成果,请在转载时标注明原创者是中华盾的血衣少,谢谢!!
一般来说,我们采用一些功能强大的反黑软件和防火墙来保证我们的系统安全,本文拟用一种简易的办法——通过限制端口来帮助大家防止非法入侵-----如何关闭系统中的一些端口,同时如何关闭WINDOWS 下的默认共享C$、D$、Admin$、IPC$等等。
非法入侵的方式
简单说来,非法入侵的方式可粗略分为4种:
1、扫描端口,通过已知的系统Bug攻入主机。
2、种植木马,利用木马开辟的后门进入主机。
3、采用数据溢出的手段,迫使主机提供后门进入主机。
4、利用某些软件设计的漏洞,直接或间接控制主机。
非法入侵的主要方式是前两种,尤其是利用一些流行的黑客工具,通过第一种方式攻击主机的情况最多、也最普遍;而对后两种方式来说,只有一些手段高超的黑客才利用,波及面并不广泛,而且只要这两种问题一出现,软件服务商很快就会提供补丁,及时修复系统。
因此,如果能限制前两种非法入侵方式,就能有效防止利用黑客工具的非法入侵。而且前两种非法入侵方式有一个共同点,就是通过端口进入主机。
端口就像一所房子(服务器)的几个门一样,不同的门通向不同的房间(服务器提供的不同服务)。我们常用的FTP默认端口为21,而WWW网页一般默认端口是80。但是有些马虎的网络管理员常常打开一些容易被侵入的端口服务,比如139等;还有一些木马程序,比如冰河、BO、广外等都是自动开辟一个您不察觉的端口。那么,只要我们把自己用不到的端口全部封锁起来,不就杜绝了这两种非法入侵吗?
这里举例关闭的端口有,135,137,138,139,445,1025,2475,3127,6129,3389,593,还有TCP,其他我就不一一指出了。
具体操作如下:
默认情况下,Windows有很多端口是开放的,在你上网的时候,网络病毒和黑客可以通过这些端口连上你的电脑。为了让你的系统变为铜墙铁壁,应该封闭这些端口,主要有:TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口,一些流行病毒的后门端口(如 TCP 2745、3127、6129 端口),以及远程服务访问端口3389。下面介绍如何在WinXP/2000/2003下关闭这些网络端口。
第一步,点击“开始”菜单/设置/控制面板/管理工具,双击打开“本地安全策略”,选中“IP 安全策略,在本地计算机”,在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“创建 IP 安全策略”,于是弹出一个向导。在向导中点击“下一步”按钮,为新的安全策略命名;再按“下一步”,则显示“安全通信请求”画面,在画面上把“激活默认相应规则”左边的钩去掉,点击“完成”按钮就创建了一个新的IP 安全策略。
点击“确定”后回到筛选器列表的对话框,可以看到已经添加了一条策略,重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口,为它们建立相应的筛选器。
再重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略,建立好上述端口的筛选器,最后点击“确定”按钮。
第四步,在“新规则属性”对话框中,选择“新 IP 筛选器列表”,然后点击其左边的圆圈上加一个点,表示已经激活,最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中,把“使用添加向导”左边的钩去掉,点击“添加”按钮,添加“阻止”操作:在“新筛选器操作属性”的“安全措施”选项卡中,选择“阻止”,然后点击“确定”按钮。
第五步、进入“新规则属性”对话框,点击“新筛选器操作”,其左边的圆圈会加了一个点,表示已经激活,点击“关闭”按钮,关闭对话框;最后回到“新IP安全策略属性”对话框,在“新的IP筛选器列表”左边打钩,按“确定”按钮关闭对话框。在“本地安全策略”窗口,用鼠标右击新添加的 IP 安全策略,然后选择“指派”。
这时候你就可以电脑了,重新启动后,电脑中上述网络端口就被关闭了,在这时候病毒和黑客应该是已经不能连上这些端口了,从而保护了你的电脑
以下要说的是怎样关闭WINDOWS下的默认共享C$、D$、Admin$和IPC$等等。
大家应该知道在WINDOWS 2000和WINDOWS XP下会有默认的共享,病毒和黑客也可以通过这个途径进入你的电脑,从而来毁坏你的文件甚至远程控制你的电脑,这时就应该删除这些默认的共享(其实这些默认的共享对于你个人来说,只是有百害而无一利,这时我个人的看法噢,有意见大家提哟)。
第二步,右击该IP安全策略,在“属性”对话框中,把“使用添加向导”左边的钩去掉,然后单击“添加”按钮添加新的规则,随后弹出“新规则属性”对话框,在画面上点击“添加”按钮,弹出IP筛选器列表窗口;在列表中,首先把“使用添加向导”左边的钩去掉,然后再点击右边的“添加”按钮添加新的筛选器。
第三步,进入“筛选器属性”对话框,首先看到的是寻址,源地址选“任何 IP 地址”,目标地址选“我的 IP 地址”;点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,然后在“到此端口”下的文本框中输入“135”,点击“确定”按钮,这样就添加了一个屏蔽 TCP 135(RPC)端口的筛选器,它可以防止外界通过135端口连上你的电脑。
这里要先说WINDOWS XP的操作系统,XP可不比2000那么容易对付啰,在我还没找到方法之前,在QQ上碰到“封情绝爱”,问了一下,没想到当时他也没有想到方法,过了15钟左右,当时我在网上已经查到用net share *$ /del这个方法时,“封情”也同时告诉我要用这个命令,真是英雄所见略同。
如果你只是偶尔很少用的电脑,你可以在“开始”菜单里选择“运行”,然后在里面输入“net share *$ /del”(*代表你要删除的共享的名称)就可以了。但是在下次开机以后还会有这个默认的共享,怎么样才能彻底完全的在开机后就关闭这些默认共享呢,Follow me ,let’s go.
现在就要说如何在开机后,WINDOWS会自动关闭所有的默认共享,WINDOWS 2000和WINDOWS XP在这里也是大同小异,在“开始”菜单里选择“运行”,填入“regedit”,打开注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]分支,在其下新建“字符串值”,命名可随意,比如“delshareC$”,鼠标右键单击,在弹出的快捷菜单中左键单击“修改”,在接着出现的“编辑字符串”窗口的“数值数据”一栏中输入“net share C$ /del”(不包括引号)按“确定”按钮。同理添加“字符串值”如“delshareD$”,“数值数据”为“net share D$ /del”等,有几个分区就加到哪为止,包括“net share Admin$ /del”等等,注意:这里有大小写之分。之后保存注册表重启计算机,就能实现开机自动关闭这些特殊共享资源了。
但是,大家有没有发现,“net share IPC$ /del”这个命令对于“IPC$”根本就不起任何作用,它还是保持着默认共享怎么办???(实际上做到这一步已经够了,无需在关闭IPC$了)
在这里呢,我还要感谢我的培训老师“Mozart”,是他指导了我怎样才能永久关闭IPC$和默认共享依赖的服务:lanmanserver即server服务,还需要到“控制面板”里的“管理工具”内,找到“服务”在到“server服务”(右击)进入“属性”,点击“常规”,在“启动类型”这一项中选择“已禁用”,这样就关闭了IPC$的默认共享。但是这就会产生一定的负面效应,一旦你关闭了了IPC$的默认共享,很多的Server服务你就不能利用,同时也可能会发生你不能访问局域网内的其他电脑,请慎用!!
写到这里手也酸了,也快下班了,希望这篇文章能够对大家有所帮助,也欢迎转帖到其他论坛,但是请尊重中华盾,也请尊重本人的劳动成果,请在转载时标注明原创者是中华盾的血衣少,谢谢!!
轻松玩转天网防火墙IP规则
[ 2007-03-25 04:09:34 | 作者: sun ]
现在的互联网并非一片净土,为了防范来自网络的攻击,很多初学的朋友也安装了防火墙软件来保护自己,可是如何用防火墙更加实用呢?下面,就跟随笔者一块,以天网防火墙为例,通过它支持自定义规则的功能,满足不同类型用户的需求,避免“防住了别人也阻止了自己”的尴尬。
小知识:IP规则是一系列的比较条件和一个对数据包的动作组合,它能根据数据包的每一个部分来与设置的条件进行比较。当符合条件时,就可以确定对该包放行或者阻挡。通过合理的设置规则可以把有害的数据包挡在你的机器之外,也可为某些有合法网络请求的程序开辟绿色通道。
添加规则
虽然天网中已经设置好了很多规则,可是每个人有每个人的情况,还要根据自己的情况来制定自己的规则(在天网防火墙的IP规则列表中,位于前端的规则会首先动作,并且忽略后面有相关联系的规则,从而使为特别网络服务开辟绿色通道成为可能)。比如,笔者在自己的机器中创建了一个FTP服务器,用来和朋友们分享各类资源,但朋友们反映不能连接。仔细查找,发现原来是天网在“作怪”!现在就给FTP设置一条特别的IP规则方便使用。
单击系统托盘中的天网图标打开程序界面,在主界面的左侧点击第二个图标“IP规则管理”。
点击“增加规则”按钮,弹出“增加IP规则”窗口,在“名称”中输入一个将要显示在IP规则列表中的名字,在下方的“说明”中填写对该条规则的描述,防止以后忘了该规则的用途。因为笔者建立的FTP服务器需要与朋友们交换数据,因此在“数据包方向”中通过下拉菜单选中“接收和发送”;如果朋友们都没有固定的IP地址,可在“对方IP地址”中选择“任何地址”;另外,由于FTP服务器基于TCP/IP协议,并且需要开放本机的21端口,因此在“数据包协议类型”中选择“TCP”协议,在“本地端口”中输入“0”和“21”开放该端口。由于不限制对方使用何种端口进行连接,所以可在“对方端口”中保持默认的“0”;最后,在“当满足上面条件时”的下拉菜单中选择“通行”来放行即可。
经过上面的设置,本机的21端口就被打开了。返回天网主界面,选中新创建的“FTP”规则,按住“↑”将其移动到“TCP 数据包监视”规则的下方,以跳过最严厉的“禁止所有人连接”规则,然后点击“保存规则”保存设置。现在重新启动天网防火墙即可生效。
提示:如果想在天网的连接日志中记录朋友们的访问IP情况,可以在“同时还”中勾选“记录”选项。
备份与恢复规则
如果你已经创建或修改了很多的IP规则,当需要重新安装系统或天网的时候还要来设置这些规则。因此,采用导出后备份,当需要时再导入恢复是最简单的方法。
点击“导出规则”按钮,打开导出设置窗口,在“文件名”中设定保存备份的文件夹,在下方的IP规则列表中选中自己创建的IP规则(也可点击“全选”按钮备份全部IP规则),点击“确定”后即可导出进行备份了。
当需要恢复时,只有点击“导入规则”,通过“打开”窗口找到并双击备份的IP规则文件即可导入了。
现在我们已经了解了天网的IP规则设置的方法,以后再也不怕天网防火墙将我们的合法程序挡在门外了。也许有朋友会问:我安装的网络服务程序不使用常见端口,不知道它需要开放哪些端口怎么办?没关系,再教你一个最简单的方法:启动被阻止的程序,打开天网防火墙的安全日志,看看它到底阻止了哪个端口,哪个端口就是需要用IP规则开放的端口。
安全是平的 从身份认证与内网安全说起
[ 2007-03-25 04:09:21 | 作者: sun ]
《世界是平的》是美国《纽约时报》专栏作家托马斯·弗里德曼今年最轰动的著作,继早年的《凌志汽车与橄榄树》之后,弗里德曼再一次将全球化的平坦之路呈现在全球读者面前,只不过,这次的主角是IT。
的确,IT产业将全球供应链与市场结合到一起。记者无意去研究宏观的IT环境,不过当记者把全部精力投入到安全上面的时候,有趣的结果产生了:安全也是平的。
从安全网关、防火墙、UTM、防病毒、IDS/IPS、VPN,到内网身份认证、安全客户端、安全日志、网管系统,看似独立的安全产品已经出现了改变,无论是从早先的安全联动、802.1X、还是近期的私有安全协议、安全与目录服务整合,都体现出了一个趋势:安全是密切相连的,是“你中有我,我中有你。”
信息安全的第一要素就是制定“企业安全规范”,而这个“安全规范”恰恰是企业各部分业务与各种安全产品的整合,涵盖了从存储、业务传输、行为安全、网络基础设施、运行安全、系统保护与物理连接的各个层面。
换句话说,安全已经不是传统上的单一设备,或者像某些厂商所讲的那种独立于网络的设备。事实上,近三年的发展已经证明,日后信息安全将会逐渐以用户需求的系统方案为核心。而在这套完整的安全方案之内,各部分都是有机联系的,之间呈现一种技术与需求交织的扁平网状关系。
因此当大多数人还沉迷于“不着边际”的《蓝海战略》的时候,记者则开始关注信息安全的平坦化了。同时,为了让更多的读者了解信息安全的现状,记者专门打造了“安全是平的”系列专题,与大家一起研究信息安全的新技术与新应用。
作为本系列的开篇之作,记者从“身份认证与内网安全”入手。这一对密不可分的安全要素,已经成为了当前安全界最热门的话题,很多企业用户对于两者的关联与部署充满了疑问,而记者也专门咨询了Cisco、CA、Juniper、神州数码网络、深信服、新华人寿保险集团和福建兴业银行的IT安全专家,与读者一起分享其中的心得。
【大势所趋】从双因数认证入手
目前在信息安全界有三大技术趋势:第一,可信计算;第二,身份认证与内网安全;第三,统一威胁管理(UTM)。根据IDC在今年1月份的统计报告,目前在身份认证与内网安全方面的需求最多。而IDC近期出炉的《2006~2010中国IT安全市场分析与预测》报告则显示:排名靠前的安全厂商都与身份认证与内网安全沾边。
在身份认证过程中,一般都是基于用户名和密码的做法。根据美国《Network World》今年8月份的调查结果,超过60%的企业已经对传统的认证方式不放心了。
所谓双因数认证,是针对传统身份认证而言的。深信服的安全产品经理叶宜斌向记者表示,随着各种间谍软件、键盘记录工具的泛滥,企业的IT人员发现,仅仅依靠用户名、密码的单一认证体制非常不安全。而双因数认证则基于硬件建权,通过建立证书系统来进行客户端的认证工作。
另外,采用双因数认证还可以保证客户端登录网络的唯一性。神州数码网络的安全产品经理王景辉介绍说,安全证书的生成可以提取其他一些信息,比如网卡MAC 地址、客户端CPU的序列号等。因此当一台笔记本电脑第一次进入企业网络时,第一步是认证系统产生用户名和密码,第二步则是系统收集笔记本的特征,进而提取具备唯一性的信息,以便生成一个唯一对应的证书。所有的认证信息都可以导入认证服务器,从而实现对客户端唯一性登录的检查。
根据美国和中国的统计,超过七成的政府部门都在使用证书系统保证身份认证的安全可靠。此外,大部分网络银行服务业采用了证书模式。
招商银行的IT专家透露说,目前该行已经在专业版网上银行系统中采用安全数字证书,并通过USB Key的方式进行保存。USB Key中存放的是用户个人的数字证书,银行和用户各有一份公钥和私钥,用户仅需要记忆一个密码就可以使用。
新华人寿保险集团的IT经理向记者表示,USB Key的认证模式在新华人寿已经全部实现了,主要还是为日常的OA服务。而该项目的实施方,CA的安全专家介绍说,现在很多大型企业已经开始采用证书系统,像新华人寿这样的企业,对系统数据流安全非常关注,特别是关注那些很多到桌面、到用户文件的内容。
除了数字证书,还有一种双因数认证方式,即动态令牌。动态令牌根据基于时间的算法,每分钟都产生一个5-6位的认证串号。在客户端,用户通过一个类似电子表的硬件,计算出每分钟产生的令牌串号。那么用户登录系统,只要输入用户名和相应时间段的串号,就可以安全登录。
有意思的是,记者发现很多IT安全厂商自身都在使用动态令牌技术。像神州数码网络内部的SSL VPN就采用了动态令牌的安全登录方式。动态令牌避免了记忆密码的过程,其寿命一般为三年。不过动态令牌由于内置了一个相当精确的时钟,因此成本较高。
【平坦安全】内网安全之美
前面讲过了,目前安全界的趋势是平坦化。一套认证系统做的再强大,如果仅仅孤立存在,仍然无法带来更多的价值。事实上,认证系统越来越成为内网安全的一个子系统,它确保了企业网在出现安全问题的时候,内网安全机制能够最终定位到具体的设备或者具体的人员上。
要知道,把安全问题落实到点上是多少年来企业IT人员的梦想。新华人寿的IT安全负责人向记者表示,以前企业配置了IDS,结果一旦网络出现问题,IDS 就会不停的报警,然后给网管人员发出一大堆可疑的IP地址信息。网管不是计算机,让它从一堆IP地址中定位某一台设备,这简直是在自虐。
利用认证系统,首先就可以保证网络用户的真实性与合法性。只有界定了合法用户的范围,才有定位的可能性。
目前,不少安全厂商已经开始完善自身的内网安全技术,并与身份认证系统做到有机结合。王景辉介绍说,他们已经把防水墙(客户端系统)、DCBI认证系统、 IDS、防火墙结合在一起组成了DCSM内网安全管理技术,作为3DSMP技术的具体化。而在DCSM技术中,提出了五元素控制:即用户名、用户账号、 IP地址、交换机端口、VLAN绑定在一起,进一步去做访问控制。
在此基础上,内网安全机制可以根据IDS/IPS的报警,对用户进行判断:比如是否为某个用户发动了攻击?或者某个用户是否感染了特定的病毒,比如发现该用户扫描特定端口号就可以判断感染了蠕虫病毒。此时,DCBI控制中心就会进行实时告警。若告警无效,系统就可以阻断某个用户的网络联结。
由于通过完整的认证过程,系统可以知道用户所在交换机端口和所在的VLAN,封杀就会非常精确。
不难看出,一套安全的认证系统,在内网安全方案中扮演着网络准入控制NAC的角色。Cisco的安全工程师介绍,一套完善的认证机制与内网安全管理软件组合在一起,就可以实现丰富的准入控制功能。此外,一般这类管理软件本身不需要安装,只要通过服务器进行分发,就可以推给每一台试图接入网络的计算机上。
而Juniper的安全产品经理梁小东也表示,把认证系统与内网安全系统结合起来,可以确保总体的网络设计更加安全。而且通过内置的安全协议,可以最大程度地让更多的安全产品,如防火墙、IDS/IPS、UTM、VPN等互动起来。而用户也可以根据自己的预算和资金情况,选配不同的模块,具备了安全部署的灵活性。
在采访的过程中,记者发现各个安全厂商已经在内网安全的问题上达成了共识。也许正如王景辉所讲的,虽然企业用户都拥有完善的基础设施,包括全套防病毒系统,可近两年的状况是,病毒大规模爆发的次数不但没有减少,反而更多了,而且大量安全事件都是从内网突破的。
因此总结起来看,要实现一套完善的内网安全机制,第一步就需要一个集中的安全认证;第二步是部署监控系统。让IDS/IPS来监控网络中的行为,去判断是否存在某种攻击或者遭遇某种病毒;第三步是具体执行。当问题判断出来以后,让系统合理地执行很重要。传统上封堵IP的做法,对于现在的攻击和病毒效果不好,因为现在的攻击和病毒MAC地址及IP地址都可以变化。因此有效的方式,就是在安全认证通过以后,系统就可以定位到某一个IP的用户是谁,然后确定相关事件发生在哪一个交换机端口上。这样在采取行动的时候,就可以避免阻断整个IP子网的情况。此外,通过利用802.1X协议,整套安全系统可以把交换机也互动起来,这样就可以更加精确地定位发生安全事件的客户机在哪里。
主流安全认证技术一瞥
属性 类型 主要特点 应用领域 主要问题
单因数认证 用户名密码体制 静态的认证方式,实现简单 常见于办公网络 安全性较差
短信认证 动态的认证方式,部署方便,成本较低,安全性较高 常用于企业IT部门或部分金融机构 无法与AD结合
双因数认证 数字证书 安全性很高,可以与AD结合使用。 常见于金融机构,政府部门 系统开发的复杂度高,存在一定的证书安全隐患
动态令牌 具有最高的安全性,基本不会有单点安全的困扰 IT安全厂商有使用 成本高昂
【精明用户】混合认证模式
的确,纯粹的双因数认证对于安全起到了很高的保障作用。但不可否认的是,其带来的IT管理问题也无法忽视。
美国《Network World》的安全编辑撰文指出,美国很多年营业额在1.5亿到10亿美元的中型企业用户,很多都不考虑双因数认证的问题。因为他们认为,双因数认证系统不仅难于配置,而且花费在购买和实施上的资金也较高,特别是其管理和维护的复杂度也过高。
回到国内,记者发现类似的问题确实也有不少。这个问题的关键在于,这些中型企业恰好处于市场的成长期,用户的账号像兔子繁殖一样增加。因此认证需要的安全预算和人力不成正比。在此模式下,部署最安全的双因数认证体系固然会给企业的IT部分增加较大的压力。
不过,这并不意味着认证安全无法解决。事实上,很多企业已经开始行动了。在此,记者很高兴地看到了一种具有中国特色的“混合认证”模式已经投入了使用。
顾名思义,“混合认证”就是把传统的身份认证与双因数认证进行了整合,以求获得最佳性价比。在此,请跟随记者去看看福建兴业银行的典型应用。福建兴业银行在认证系统中,将对人的认证和对机器的认证进行了有机结合。在OA办公领域,采用的都是传统的“用户名+密码”的方式,而在分散各地的ATM机器中,采用了双因数认证,通过收集ATM机器的序列号与后台的Radius服务器进行自动无线认证,从而确保了安全监管的需求。
“我们通过这种混合认证模式,既保证了OA系统的简单、高效,同时又在安全的基础上,降低了企业网的运营成本。”福建兴业银行的IT安全负责 人解释说,“这是把有限的资金用在生产网上。”
对于类似的认证,确实可以确保企业的安全与利益。神州数码网络的安全产品经理颜世峰曾向记者坦言,如果国内企业普遍采用了混合认证模式,那么可以极大地规范企业网中的隐性安全问题,包括一些私有设备和无线设备的准入控制,都可以低成本地解决。
事实上,中国特色的模式还不仅如此。叶宜斌曾经和记者开玩笑地说道:“在这个世界上,没有哪个国家的人比中国人更喜欢发短信了。”因此,利用短信进行安全认证也成为了一大特色。
短信认证的成本很低,客户端只需要一部手机,服务器端类似一部具备SIM卡的短信群发机。用户登录时用手机接收用户名和密码,这种模式甚至可以规定用户安全认证的期限。不过叶宜斌也指出,短信认证虽然安全、成本低,但是其无法与企业目录服务(AD)进行整合,因此易用性受到挑战。
【系统整合】平坦概念出炉
近年来,在美国安全界一直有一个困扰:就是如何避免内网安全的泥石流问题。所谓泥石流问题,其根源还是多重账户密码现象。要知道,无论是多么完善的认证系统,或者认证系统与内网安全技术结合的多么好,用户都难以避免多账户密码的输入问题。
登录账户、密码,邮件账户、密码,办公账户、密码等等,还有多账户、多密码的问题已经引起企业IT人员的重视。因为人们难以记忆不同的账户名和密码,而这往往导致安全隐患的出现。事实上,在2004年8月欧洲的InfoSecurity大会期间,有70%的伦敦往返者欣然地和其他在会议中的人士共享他们的登录信息,其初衷仅仅是为了少记忆一点账户名和密码。
为此,将安全认证、内网安全、包括VPN信息中的账户密码统一起来,已经是不可忽视的问题了。王景辉介绍说,目前各家厂商都希望将认证系统、内网安全设备,包括VPN、UTM等,与企业的AD整合到一起。他认为,这样做绝对是一个很好的思路。
因为目前企业用AD的很多,微软的产品多,因此安全技术中的所有模块都可以进行整合,包括认证系统与AD的深度开发。在很多情况下,让企业的IT人员维护两套甚至更多的账号系统一样也是不现实的,而且相当麻烦。
合理的方法是与用户既有的认证系统结合起来,而目前使用最多的就是域账号。对此,企业的VPN、动态VPN包括认证系统都可以使用相同的AD账户,从而实现单点登录(Single Sign On)。
从更大的方面说,整个网络准入控制阶段都可以与AD结合。正如Cisco的安全工程师所说的,现在的整体安全技术,最起码都要做到与AD结合,做到与Radius认证结合,因为这两个是最常用的。
有意思的是,根据美国《Network World》和本报在2005年的统计,无论是中国用户还是美国用户,企业网中部署AD的都相当多,从中也反映出Windows认证的规模最广。但要把AD与内网安全进行整合,目前最大挑战在于,安全厂商必须对微软的产品特别了解,需要一定的技术支持才能做相应的开发。
以新华人寿的认证系统为例,传统的Windows登录域界面已经被修改,新的界面已经与后台AD和企业邮件系统作了整合,一次登录就可以实现访问所有应用。
此外,根据用户的具体需求,王景辉表示内网安全技术还可以进一步与LDAP、X.509证书进行结合。记者了解到,目前国内的很多政府部门都在做类似的工作。以河南计生委的安全系统为例。河南计生委的数字证书都是基于原CA公司的认证系统生成的。因此,他们在部署其他安全设备的时候,不能另起炉灶再搞一套,否则会出现多次认证的问题。这就要求安全厂商需要同原CA厂商合作,一起做认证接口的数据交换——安全厂商负责认证信息提交,CA厂商负责认证与返还信息。最后,与CA证书结合后的安全系统同样可以实现一次性的三点认证(身份、域、VPN)。
记者注意到,美国《Network World》的安全编辑近期非常热衷于统一认证管理UIM的概念,他认为将双因数认证、企业中央AD、后台认证服务器和信任仓库、以及部分网络准入控制的模块整合在一起,就可以形成最完善的UIM体制。
其理由也很简单—认证几乎无可避免:很多应用使用权力分配的、或者所有权的认证方法和数据库,因此想要利用一个简单的认证平台去支持所有的应用几乎是不可能的。而这正是UIM存在的基础。
对此,国内安全厂商的看法是,UIM很重要,可以解决企业用户的认证管理问题,不过从更大的内网安全方向看,UIM仍不是全部。颜世峰的看法是,一套完善的内网安全技术至少包括三方面:第一网络准入控制NAC(也可以算是UIM)。它保证了只有合法的、健康的主机才可以接入网络,其中包括用户身份认证与接入设备的准入控制管理;第二,网络终端管理NTM。它解决企业办公终端的易用性、统一管理、终端安全等问题;第三,网络安全运行管理NSRM。它可以动态保证网络设备、网络线路的安全、稳定运行,自动发现网络故障、自动解决并报警。
看到了么,一套身份认证系统,就牵扯出整个内网安全的各个组成部分。现在应该没有人会怀疑安全的平坦化了,但请记住,平坦才刚刚开始。
编看编想:平坦的安全缺乏标准
安全是平的,但在平坦的技术中缺乏标准。不论是身份认证还是更加庞大的内网安全,各个国家都没有对应的通用标准。事实上,即便是802.1X协议,各个安全厂家之间也无法完全通用。
对内网安全技术来说,现在国内外没有一个厂商大到有很强的实力,把不同的专业安全厂商的产品集成到一起,因此很多还要靠大家一起来做。因此业界有天融信的TOPSEC,也有CheckPoint的OPSEC,也有神州数码自己定义的协议SOAP。
业界需要标准,但是没有。王景辉无奈地向记者表示,各家厂商不得不定义自己的通信接口和密钥协商机制,其中还要确保协议隧道中的所有数据都是加密的。不过他同时认为,目前的状态可以满足市场需求。
记得有印象,早在2000年就有人提出统一安全标准的问题,但是做不到。退一步说,目前安全市场的趋势是变化和更新速度非常快。开发一个安全协议要考虑保护用户现有和既有的投资,要让过去的设备能用起来。但现在的情况是,还没有等协议出来,过去的设备已经过时了,从这个角度上说,统一所有厂家的安全协议没有价值。
而且,各国政府在安全上是有自己的想法的,国际厂商出一个协议,不一定能够认同。
黑客Web欺骗的工作原理和解决方案
[ 2007-03-25 04:08:54 | 作者: sun ]
前言
本文描述Internet上的一种安全攻击,它可能侵害到WWW用户的隐私和数据完整性。这种攻击可以在现有的系统上实现,危害最普通的Web浏览器用户,包括Netscape Navigator和Microsoft Internet Explorer用户。
允许攻击者创造整个WWW世界的影像拷贝。影像Web的入口进入到攻击者的Web服务器,经过攻击者机器的过滤作用,允许攻击者监控受攻击者的任何活动,包括帐户和口令。攻击者也能以受攻击者的名义将错误或者易于误解的数据发送到真正的Web服务器,以及以任何Web服务器的名义发送数据给受攻击者。简而言之,攻击者观察和控制着受攻击者在Web上做的每一件事。
欺骗攻击
在一次欺骗攻击中,攻击者创造一个易于误解的上下文环境,以诱使受攻击者进入并且做出缺乏安全考虑的决策。欺骗攻击就像是一场虚拟游戏:攻击者在受攻击者的周围建立起一个错误但是令人信服的世界。如果该虚拟世界是真实的话,那么受攻击者所做的一切都是无可厚非的。但遗憾的是,在错误的世界中似乎是合理的活动可能会在现实的世界中导致灾难性的后果。
欺骗攻击在现实的电子交易中也是常见的现象。例如,我们曾经听说过这样的事情:一些西方罪犯分子在公共场合建立起虚假的ATM取款机,该种机器可以接受ATM卡,并且会询问用户的PIN密码。一旦该种机器获得受攻击者的PIN密码,它会要么“吃卡”,要么反馈“故障”,并返回ATM卡。不论哪一种情况,罪犯都会获得足够的信息,以复制出一个完全一样的ATM卡。后面的事情大家可想而知了。在这些攻击中,人们往往被所看到的事物所愚弄:ATM取款机所处的位置,它们的外形和装饰,以及电子显示屏的内容等等。
人们利用计算机系统完成具有安全要求的决策时往往也是基于其所见。例如,在访问网上银行时,你可能根据你所见的银行Web页面,从该行的帐户中提取或存入一定数量的存款。因为你相信你所访问的Web页面就是你所需要的银行的Web页面。无论是页面的外观、URL地址,还是其他一些相关内容,都让你感到非常熟悉,没有理由不相信。但是,你很可能是在被愚弄。
Web欺骗的欺骗手段
TCP和DNS欺骗
除了我们将要讨论的欺骗手段外,还有一些其他手段,在这里我们将不做讨论。这种攻击的例子包括TCP欺骗(在TCP包中使用伪造的IP地址)以及DNS欺骗(攻击者伪造关于机器名称和网络信息)。读者有兴趣可以阅读有关资料。
Web欺骗
Web欺骗是一种电子信息欺骗,攻击者在其中创造了整个Web世界的一个令人信服但是完全错误的拷贝。错误的Web看起来十分逼真,它拥有相同的网页和链接。然而,攻击者控制着错误的Web站点,这样受攻击者浏览器和Web之间的所有网络信息完全被攻击者所截获,其工作原理就好像是一个过滤器。
后果
由于攻击者可以观察或者修改任何从受攻击者到Web服务器的信息;同样地,也控制着从Web服务器至受攻击者的返回数据,这样攻击者就有许多发起攻击的可能性,包括监视和破坏。
攻击者能够监视受攻击者的网络信息,记录他们访问的网页和内容。当受攻击者填写完一个表单并发送后,这些数据将被传送到Web服务器,Web服务器将返回必要的信息,但不幸的是,攻击者完全可以截获并加以使用。大家都知道绝大部分在线公司都是使用表单来完成业务的,这意味着攻击者可以获得用户的帐户和密码。下面我们将看到,即使受攻击者有一个“安全”连接(通常是通过Secure Sockets Layer来实现的,用户的浏览器会显示一把锁或钥匙来表示处于安全连接),也无法逃脱被监视的命运。
在得到必要的数据后,攻击者可以通过修改受攻击者和Web服务器之间任何一个方向上的数据,来进行某些破坏活动。攻击者修改受攻击者的确认数据,例如,如果受攻击者在线订购某个产品时,攻击者可以修改产品代码,数量或者邮购地址等等。攻击者也能修改被Web服务器所返回的数据,例如,插入易于误解或者攻击性的资料,破坏用户和在线公司的关系等等。
欺骗整个Web世界
你可能认为攻击者欺骗整个Web世界是不可能的,但是恰恰相反,攻击者不必存储整个Web世界的内容,他只需要制造出一条通向整个Web世界的链路。当他需要提供关于某个Web站点的错误Web页面时,他只需要在自己的服务器上建立一个该站点的拷贝,由此等待受害者自投罗网。
Web欺骗的工作原理
欺骗能够成功的关键是在受攻击者和其他Web服务器之间设立起攻击者的Web服务器,这种攻击种类在安全问题中称为“来自中间的攻击”。为了建立起这样的中间Web服务器,黑客往往进行以下工作。
改写URL
首先,攻击者改写Web页中的所有URL地址,这样它们指向了攻击者的Web服务器而不是真正的Web服务器。假设攻击者所处的Web服务器是 www.org ,攻击者通过在所有链接前增加 http://www.www.org 来改写URL。例如,http://home.xxx1.com 将变为 http://www.www.org/http://home.xxx1.com. 当用户点击改写过的http://home.xxx1.com (可能它仍然显示的是 http://home.xxx1 ),将进入的是http://www.www.org ,然后由 http://www.www.org 向 ttp://home.xxx1.com发出请求并获得真正的文档,然后改写文档中的所有链接,最后经过 http://www.www.org 返回给用户的浏览器。工作流程如下所示:
1.用户点击经过改写后的 http://www.www.org/http://home.xxx1.com ;
2.http://www.www.org向http://home.xxx1.com 请求文档;
3.http://home.xxx1.com向http://www.www.org 返回文档;
4.http://www.www.org 改写文档中的所有URL;
5.http://www.www.org 向用户返回改写后的文档。
很显然,修改过的文档中的所有URL都指向了 www.org ,当用户点击任何一个链接都会直接进入 www.org ,而不会直接进入真正的URL。如果用户由此依次进入其他网页,那么他们是永远不会摆脱掉受攻击的可能。
如果受攻击者填写了一个错误Web上的表单,那么结果看来似乎会很正常,因为只要遵循标准的Web协议,表单欺骗很自然地不会被察觉:表单的确定信息被编码到URL中,内容会以HTML形式来返回。既然前面的URL都已经得到了改写,那么表单欺骗将是很自然的事情。
当受攻击者提交表单后,所提交的数据进入了攻击者的服务器。攻击者的服务器能够观察,甚至是修改所提交的数据。同样地,在得到真正的服务器返回信息后,攻击者在将其向受攻击者返回以前也可以为所欲为。
关于“安全连接”
我们都知道为了提高Web应用的安全性,有人提出了一种叫做安全连接的概念。它是在用户浏览器和Web服务器之间建立一种基于SSL的安全连接。可是让人感到遗憾的是,它在Web欺骗中基本上无所作为。受攻击者可以和Web欺骗中所提供的错误网页建立起一个看似正常的“安全连接”:网页的文档可以正常地传输而且作为安全连接标志的图形(通常是关闭的一把钥匙或者锁)依然工作正常。换句话说,也就是浏览器提供给用户的感觉是一种安全可靠的连接。但正像我们前面所提到的那样,此时的安全连接是建立在 www.org 而非用户所希望的站点。
攻击的导火索
为了开始攻击,攻击者必须以某种方式引诱受攻击者进入攻击者所创造的错误的Web。黑客往往使用下面若干种方法。
1.把错误的Web链接放到一个热门Web站点上;
2.如果受攻击者使用基于Web的邮件,那么可以将它指向错误的Web;
3.创建错误的Web索引,指示给搜索引擎。
Web欺骗的细节完善
前面描述的攻击相当有效,但是它还不是十分完美的。黑客往往还要创造一个可信的环境,包括各类图标、文字、链接等,提供给受攻击者各种各样的十分可信的暗示。总之就是隐藏一切尾巴。此时,如果错误的Web是富有敌意的,那么无辜的用户将处于十分危险的境地。
另外,黑客还会注意以下方面。
1. 状态线路
连接状态是位于浏览器底部的提示信息,它提示当前连接的各类信息。Web欺骗中涉及两类信息。首先,当鼠标放置在Web链接上时,连接状态显示链接所指的URL地址,这样,受攻击者可能会注意到重写的URL地址。第二,当Web连接成功时,连接状态将显示所连接的服务器名称。这样,受攻击者可以注意到显示 www.org,而非自己所希望的站点。
攻击者能够通过javascript编程来弥补这两项不足。由于javascript能够对连接状态进行写操作,而且可以将javascript操作与特定事件绑定在一起,所以,攻击者完全可以将改写的URL状态恢复为改写前的状态。这样Web欺骗将更为可信。
2. 位置状态行
浏览器的位置状态行显示当前所处的URL位置,用户也可以在其中键入新的URL地址进入到另外的URL,如果不进行必要的更改,此时URL会暴露出改写后的URL。同样地,利用javascript可以隐藏掉改写后的URL。javascript能用不真实的URL掩盖真实的URL,也能够接受用户的键盘输入,并将之改写,进入不正确的URL。
Web欺骗的弱点
尽管黑客在进行Web欺骗时已绞尽脑汁,但是还是留有一些不足。
文档信息
攻击者并不是不留丝毫痕迹,HTML源文件就是开启欺骗迷宫的钥匙。攻击者对其无能为力。通过使用浏览器中“viewsource”命令,用户能够阅读当前的HTML源文件。通过阅读HTML源文件,可以发现被改写的URL,因此可以觉察到攻击。遗憾的是,对于初学者而言,HTML源文件实在是有些难懂。
通过使用浏览器中“view document information”命令,用户能够阅读当前URL地址的一些信息。可喜的是这里提供的是真实的URL地址,因此用户能够很容易判断出Web欺骗。不过,绝大多数用户都很少注意以上一些属性,可以说潜在的危险还是存在的。
Web欺骗的预防解决
逃离灾难
受攻击者可以自觉与不自觉地离开攻击者的错误Web页面。这里有若干种方法。访问Bookmark或使用浏览器中提供的“Open location”进入其他Web页面,离开攻击者所设下的陷阱。不过,如果用户使用“Back”按键,则会重新进入原先的错误Web页面。当然,如果用户将所访问的错误Web存入Bookmark,那么下次可能会直接进入攻击者所设下的陷阱。
关于追踪攻击者
有人建议应当通过跟踪来发现并处罚攻击者。确实如此,攻击者如果想进行Web欺骗的话,那么离不开Web服务器的帮助。但是,他们利用的Web服务器很可能是被攻击后的产物,就象罪犯驾驶着盗窃来的汽车去作案一样。
预防办法
Web欺骗是当今Internet上具有相当危险性而不易被察觉的欺骗手法。幸运的是,我们可以采取的一些保护办法。
短期的解决方案
为了取得短期的效果,最好从下面三方面来预防:
1.禁止浏览器中的javascript功能,那么各类改写信息将原形毕露;
2.确保浏览器的连接状态是可见的,它将给你提供当前位置的各类信息;
3.时刻注意你所点击的URL链接会在位置状态行中得到正确的显示。
现在,javascript、ActiveX以及Java提供越来越丰富和强大的功能,而且越来越为黑客们进行攻击活动提供了强大的手段。为了保证安全,建议用户考虑禁止这些功能。
这样做,用户将损失一些功能,但是与可能带来的后果比较起来,每个人会得出自己的结论。
长期的解决方案
1.改变浏览器,使之具有反映真实URL信息的功能,而不会被蒙蔽;
2.对于通过安全连接建立的Web——浏览器对话,浏览器还应该告诉用户谁在另一端,而不只是表明一种安全连接的状态。比如:在建立了安全连接后,给出一个提示信息“NetscapeInc.”等等。
所有的解决方案,可以根据用户的安全要求和实际条件来加以选择。
妙用“IP地址冲突”揪出害群之马
[ 2007-03-25 04:08:41 | 作者: sun ]
对网络管理员或用户来说,发生“IP地址冲突”是不受欢迎的事情,因为在一个网络中,每个主机(严格来说是网络接口)都应该有唯一的一个IP地址,如果出现2个或两个以上主机使用相同的IP地址,这些使用相同IP地址的主机屏幕会弹出对话框报告IP地址冲突
这将导致这些使用相同IP的机器不能正常访问网络。但是,前几天笔者却用这个有如鸡肋的功能帮了一个大忙。是怎么一回事呢?听我慢慢道来。
本月12号那天,我被派到月坛大厦的客服部门处理网路故障。经初步诊断,发现网络时断时续,重启网关的话,能够正常好一会,过一段时间后就不灵了。这是一个十分简单的网络:一条外网网线进来,接入一台运行FreeBSD的网关(做NAT用),网关机的另外一个网络接口接交换机,客户端全部接2个在交换机上,同时,网关机提供DHCP服务,所有的客户机使用DHCP自动获取IP。首先,我得确定故障发生在那里;重启网关,发现客户机能正常上网,但网关马上提示DHCP请求超时的报警,除此而外看不出什么端倪,去客户端查IP,发现获取的IP地址正常,于是又怀疑是不是交换机有问题,等一会,发现故障又出现了,重启一下交换机,网络又正常了问题到底在哪里呢?一下犯晕了。
整理了一下思路,然后找了一台客户机(客户机全是windows),先ping一下网关,发现居然ping不通,ping网内的另外一台机器则正常,重启网关再用客户机ping 网关则正常,毫无疑问,网络中了ARP欺骗病毒了。进系统目录,发现c:下有几个异常的文件,该名某个文件,居然不让操作,运行命令 arp –a 发现多行arp请求,看来是病毒引起的网络堵塞故障。不能把所有的机器都与网络段掉,当务之急是先找出当前正在作崇的主机然后隔离处理。
怎么辨别是网络中那台主机中毒厉害呢?网上已经有很多不错的办法。有人建议用抓包工具,然后分析抓到的包信息来确认中毒的主机,然而我手里没有任何抓包工具,看来只好自己想招了。经过摸索,总结了下面一些行之有效的办法,供大家参考!
在客户机运行路由跟踪命令如 tracert –d www.163.com,马上就发现第一条不是网关机的内网ip,而是本网段内的另外一台机器的IP,再下一跳才是网关的内网IP;正常情况是路由跟踪执行后的输出第一条应该是默认网关地址,由此判定第一跳的那个非网关IP 地址的主机就是罪魁祸首。
问题又出来了,由于网内的主机IP地址是通过DHCP自动获取来的,怎么找出这个主机又是一个难题,几十个机器,挨个用 ipconfig/all查非累死不可,怎么办?得走捷径才行。突然之间冒出一个念头:设置一个与查出来的中毒主机相同的IP地址,然后…..,接下来,找一台客户端机器,查一下其自动获取的IP地址,没有那么幸运-这台机器不是要揪出来的那个IP,然后把这个主机的”自动获取IP地址”取消,手动设置机器的IP与有病毒的那个IP相同,设置生效后就听见一个妹妹嚷道:“我的IP地址怎么跟别人冲突了呢?”,殊不知,我要找的就是你呢!把妹妹的主机隔离网络,其他的机器上网立马就顺畅了。
处理arp病毒的操作我想大家都应该有经验了,在这里就不再多罗嗦。
简单总结一下,其主要步骤有两步:1、运行 tracert –d www.163.com 找出作崇的主机IP地址。 2、设置与作崇主机相同的IP,然后造成IP地址冲突,使中毒主机报警然后找到这个主机。
这将导致这些使用相同IP的机器不能正常访问网络。但是,前几天笔者却用这个有如鸡肋的功能帮了一个大忙。是怎么一回事呢?听我慢慢道来。
本月12号那天,我被派到月坛大厦的客服部门处理网路故障。经初步诊断,发现网络时断时续,重启网关的话,能够正常好一会,过一段时间后就不灵了。这是一个十分简单的网络:一条外网网线进来,接入一台运行FreeBSD的网关(做NAT用),网关机的另外一个网络接口接交换机,客户端全部接2个在交换机上,同时,网关机提供DHCP服务,所有的客户机使用DHCP自动获取IP。首先,我得确定故障发生在那里;重启网关,发现客户机能正常上网,但网关马上提示DHCP请求超时的报警,除此而外看不出什么端倪,去客户端查IP,发现获取的IP地址正常,于是又怀疑是不是交换机有问题,等一会,发现故障又出现了,重启一下交换机,网络又正常了问题到底在哪里呢?一下犯晕了。
整理了一下思路,然后找了一台客户机(客户机全是windows),先ping一下网关,发现居然ping不通,ping网内的另外一台机器则正常,重启网关再用客户机ping 网关则正常,毫无疑问,网络中了ARP欺骗病毒了。进系统目录,发现c:下有几个异常的文件,该名某个文件,居然不让操作,运行命令 arp –a 发现多行arp请求,看来是病毒引起的网络堵塞故障。不能把所有的机器都与网络段掉,当务之急是先找出当前正在作崇的主机然后隔离处理。
怎么辨别是网络中那台主机中毒厉害呢?网上已经有很多不错的办法。有人建议用抓包工具,然后分析抓到的包信息来确认中毒的主机,然而我手里没有任何抓包工具,看来只好自己想招了。经过摸索,总结了下面一些行之有效的办法,供大家参考!
在客户机运行路由跟踪命令如 tracert –d www.163.com,马上就发现第一条不是网关机的内网ip,而是本网段内的另外一台机器的IP,再下一跳才是网关的内网IP;正常情况是路由跟踪执行后的输出第一条应该是默认网关地址,由此判定第一跳的那个非网关IP 地址的主机就是罪魁祸首。
问题又出来了,由于网内的主机IP地址是通过DHCP自动获取来的,怎么找出这个主机又是一个难题,几十个机器,挨个用 ipconfig/all查非累死不可,怎么办?得走捷径才行。突然之间冒出一个念头:设置一个与查出来的中毒主机相同的IP地址,然后…..,接下来,找一台客户端机器,查一下其自动获取的IP地址,没有那么幸运-这台机器不是要揪出来的那个IP,然后把这个主机的”自动获取IP地址”取消,手动设置机器的IP与有病毒的那个IP相同,设置生效后就听见一个妹妹嚷道:“我的IP地址怎么跟别人冲突了呢?”,殊不知,我要找的就是你呢!把妹妹的主机隔离网络,其他的机器上网立马就顺畅了。
处理arp病毒的操作我想大家都应该有经验了,在这里就不再多罗嗦。
简单总结一下,其主要步骤有两步:1、运行 tracert –d www.163.com 找出作崇的主机IP地址。 2、设置与作崇主机相同的IP,然后造成IP地址冲突,使中毒主机报警然后找到这个主机。