浏览模式: 普通 | 列表

推荐日志 借助路由器来防范网络中的恶意攻击

[ 2007-03-25 03:29:00 | 作者: sun ]
除了ADSL拨号上网外,小区宽带上网也是很普遍的上网方式。如果你采用的是小区宽带上网,是否觉得路由器仅仅就是个上网工具呢?其实不然,利用好你的路由器,还能够防范黑客的攻击呢。下面就让我们来实战一番。

  目的:限制外部电脑连接本小区的192.168.0.1这台主机的23(telnet)、80(www)、3128等Port。

  前提:Router接内部网络的接口是Ethernet0/1,每一个命令之后按Enter执行,以Cisco路由为准。

  步骤1 在开始菜单中选择运行,在弹出的对话框中输入“cmd”并回车,出现窗口后,在提示符下连接路由器,指令格式为“telnet 路由器IP地址”。当屏幕上要求输入telnet password时(多数路由器显示的是“Login”字样),输入密码并确认无误后,再输入指令enable,屏幕上显示要求输入enable password时输入密码。

  提示:这两个密码一般由路由器生产厂商或者经销商提供,可以打电话查询。

  步骤2 输入指令Router# configure termihal即可进入路由器的配置模式,只有在该模式下才能对路由器进行设置。

  步骤3 进入配置模式后,输入指令Router (config)#access -list 101 deny tcp any host 192.168.0.1 eq telnet,该指令的作用是设定访问列表(access list),该命令表示拒绝连接到IP地址为192.168.0.1的主机的属于端口(Port) 23(telnet)的任何请求。

  步骤4 输入Router (config)#aecess -list 101 deny tcp any host 192.168.0.1 eq www 指令以拒绝来自任何地方对IP地址为192.168.0.1的主机的属于端口80(www)的请求。

  步骤5 最后需要拒绝的是来自任何地方对IP地址为192.168.0.1的主机属于端口3128的访问,这需要输入指令Router(config)#access list 101 deny tcp any host 192.168.0.1 eq 3128来完成。

  步骤6 到此,已经设置好我们预期的访问列表了,但是,为了让其他的所有IP能够顺利访问,我们还需要输入Router(config)#aceess -list 101 permit ip any any来允许其他访问请求。

  但是,为了让路由器能够执行我们所做的访问列表,我们还需要把这个列表加入到接口检查程序,具体操作如下。

  输入指令Router(config)#interface eO/1进入接口(interface) ethernet 0/1,然后键入指令Router(config-if)#ip access-group 101 out 将访问列表实行于此接口上。这样一来,任何要离开接口的TCP封包,均须经过此访问列表规则的检查,即来自任何地方对IP地址为192.168.0.1的主机,端口(port)属于telnet(23),www(80),3128的访问一律拒绝通过。最后,输入指令write将设定写入启动配置,就大功告成了。

  这样一来,你的主机就安全多了,虽然只是禁止了几个常用端口,但是能把不少搞恶作剧的人拒之门外。另外,如果看见有什么端口可能会遭到攻击或者有漏洞了,你也可以通过上面的方法来将漏洞堵住。

每一项服务都对应相应的端口,比如众如周知的WWW服务的端口是80,smtp是25,ftp是21,win2000安装中默认的都是这些服务开启的。对于个人用户来说确实没有必要,关掉端口也就是关闭无用的服务。


“控制面板”的“管理工具”中的“服务”中来配置。


1、关闭7.9等等端口:关闭Simple TCP/IP Service,支持以下TCP/IP服务:Character Generator,Daytime, Discard, Echo, 以及 Quote of the Day。


2、关闭80口:关掉WWW服务。在“服务”中显示名称为"World Wide Web Publishing Service",通过 Internet 信息服务的管理单元提供 Web 连接和管理。


3、关掉25端口:关闭Simple Mail Transport Protocol (SMTP)服务,它提供的功能是跨网传送电子邮件。


4、关掉21端口:关闭FTP Publishing Service,它提供的服务是通过 Internet 信息服务的管理单元提供 FTP 连接和管理。


5、关掉23端口:关闭Telnet服务,它允许远程用户登录到系统并且使用命令行运行控制台程序。


6、还有一个很重要的就是关闭server服务,此服务提供RPC支持、文件、打印以及命名管道共享。关掉它就关掉了win2k的默认共享,比如ipc$、c$、admin$等等,此服务关闭不影响您的其他操作。


7、还有一个就是139端口,139端口是NetBIOS Session端口,用来文件和打印共享,注意的是运行samba的unix机器也开放了139端口,功能一样。以前流光2000用来判断对方主机类型不太准确,估计就是139端口开放既认为是NT机,现在好了。


关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。


对于个人用户来说,可以在各项服务属性设置中设为“禁用”,以免下次重启服务也重新启动,端口也开放了。

大家在使用DOS的过程中,经常在命令行方式下遇到一些错误信息提示,由于往往是英文的,导致一些人看到后不知是怎么回事,更不知该如何解决了。下面,我就将常见的DOS命令行方式下的错误信息向大家介绍一下。

[英文] Bad command or file name

[译文] 错误的命令或文件名

错误原因和解决:

这大概是大家最常见到的错误提示了,它的意思是输入的命令无效。当输入的命令既不是DOS内部命令,而且系统在查找路径或指定路径中找不到相应的可执行文件的话,就会出现此错误信息。您可以检查输入的命令是否正确,如是否打错了字母等。

[英文] Access Denied

[译文] 拒绝存取

错误原因和解决:

这也是一个常见的错误,出现的情况很多,如在用DEL命令删除具有只读属性的文件,或者在多任务环境下有多个进程同时存取同一文件,以及试图在设有只读权限的网络文件夹中写入文件的时候。解决的方法也很简单,只需去掉文件的只读、隐含等属性,或保证同一时候只有一个进程在读写文件,及去掉网络文件夹的只读权限即可。

[英文] Drive not ready

[译文] 驱动器未准备好

错误原因和解决:

相信大家都遇到过这个错误信息吧!尤其是在存取可移动磁盘(包括软盘和光盘)的时候更是常见到。解决方法是将磁盘插好后重试即可。

[英文] Write protect error

[译文] 写保护错误

错误原因和解决:

当试图向写了保护的磁盘(通常是软盘)写入信息的时候就会出现该错误。将磁盘的写保护去掉即可。

[英文] General error

[译文] 常规错误

错误原因和解决:

此错误通常出现在DOS无法识别指定的磁盘的格式的情况下,如软盘未格式化。用FORMAT等命令格式化磁盘或转换成DOS能识别的格式即可。

[英文] Abort,Retry,Ignore,Fail?

[译文] 中止,重试,忽略,失败?

错误原因和解决:

此错误信息的出现频率非常高,比如在磁盘未准备好的时候。输入A则取消操作,然后返回DOS提示符下,输入R则表示再试一次,输入I则表示忽略此错误并继续,最好不要使用,输入F则表示跳过此错误,经常选择此项。

[英文] File not found

[译文] 文件未找到

错误原因和解决:

在使用很多命令的时候若找不到指定的文件就会出现该提示。例如使用DIR命令的时候,若指定的文件不存在,该错误信息就会出现。解决方法是将文件名输入正确。

[英文] Incorrect DOS version

[译文] 错误的DOS版本

错误原因和解决:

当要执行的命令发现当前的DOS版本与这个命令所期待的DOS版本不相同的时候就会出现此错误信息。具体情况和解决方法请见本站的“DOS文章”栏目中的文章。

[英文] Invalid directory

[译文] 非法目录

错误原因和解决:

如果输入了不存在或无效的目录的时候就会出现该提示。可检查是否输入有误。

[英文] Invalid Drive Specification

[译文] 指定的驱动器非法

错误原因和解决:

当输入的驱动器不存在的时候就会出现该提示。请检查是否存在该驱动器。有些驱动器(如NTFS卷,光驱,网络驱动器等)则需要加载相应的驱动程序才能被识别。

[英文] Syntax error

[译文] 语法错误

错误原因和解决:

此命令在使用一些批处理命令(如IF,FOR等)时比较常见,可检查是否输入了无效的语法。以FOR命令为例,它的语法是FOR %F IN (文件名) DO 命令,不能将此语法格式弄错了(如输反了或漏了等),必须输入正确的命令才能得到相就的结果。

[英文] Required parameter missing

[译文] 缺少必要的参数

错误原因和解决:

如果在执行命令(如DEL)漏掉了它要正常完成功能所需的参数时,就会出现该提示。

[英文] Invalid parameter

[译文] 非法参数

错误原因和解决:

出现在执行命令时输入了无效的参数。可以检查输入的参数是否正确,有没有拼写错误等。如果您不知道有哪些参数的话,通常可以使用此命令的/?选项来看参数列表。


[英文] Not enough memory 或 Insufficient memory

[译文] 内存不足

错误原因和解决:

如果在执行程序时程序发现所需的内存大于可以使用的内存(通常是指常规内存)时就会出现此信息。造成内存不足的情况如执行了过多过大的内存驻留程序,或系统内存未经过很好的配置等。大家可以看本栏目中的“DOS下内存的配置”。

[英文] Divide overflow 或 Divide by zero

[译文] 除数为零

错误原因和解决:

如果在系统不稳定,与其它程序有冲突,或程序本身有问题的情况下运行程序的话就会出现此错误。可以重新启动系统后再运行此程序试试。

[英文] Runtime error xxx

[译文] 运行时间错误xxx

错误原因和解决:

和以上的“除数为零”错误类似。如果xxx的值为200的话,可以见“DOS文章”栏目。

[英文] Error in EXE file

[译文] EXE文件有错误

错误原因和解决:

通常是这个可执行文件已经损坏,已不能够再使用。使用一个好的就可以了。

以上是常见的DOS命令行方式下的错误信息,大家可以利用上文将故障排除。

推荐日志 网络安全基础之CMD下的网络安全配置

[ 2007-03-25 03:28:26 | 作者: sun ]

自带的关于网络的命令行工具很多,比如大家熟悉的Ping、Tracert、Ipconfig、Telnet、Ftp、Tftp、Netstat,还有不太熟悉的Nbtstat、Pathping、Nslookup、Finger、Route、Netsh等等。

这些命令又可分成三类:网络检测(如Ping)、网络连接(如Telnet)和网络配置(如Netsh)。前面两种相对简单,本文只介绍两个网络配置工具。

Netsh

在远程Shell中使用Netsh首先要解决一个交互方式的问题。前面说过,很多Shell不能再次重定向输出输出,所以不能在这种环境下交互地使用Ftp等命令行工具。解决的办法是,一般交互式的工具都允许使用脚本(或者叫应答文件)。比如ftp -s:filename。Netsh也是这样:netsh -f filename。

Netsh命令的功能非常多,可以配置IAS、DHCP、RAS、WINS、NAT服务器,TCP/IP协议,IPX协议,路由等。我们不是管理员,一般没必要了解这么多,只需用netsh来了解目标主机的网络配置信息。

1、TCP/IP配置


echo interface ip >s
echo show config >>s
netsh -f s
del s


由此你可以了解该主机有多个网卡和IP,是否是动态分配IP(DHCP),内网IP是多少(如果有的话)。

这个命令和ipconfig /all差不多。

注意,以下命令需要目标主机启动remoteaccess服务。如果它被禁用,请先通过导入注册表解禁,然后


net start remoteaccess

<strong>2、ARP</strong>

echo interface ip >s
echo show ipnet >>s
netsh -f s
del s


这个比arp -a命令多一点信息。


3、TCP/UDP连接


echo interface ip >s
echo show tcpconn >>s
echo show udpconn >>s
netsh -f s
del s


这组命令和netstat -an一样。

4、网卡信息

如果Netsh命令都有其他命令可代替,那它还有什么存在的必要呢?下面这个就找不到代替的了。


echo interface ip >s
echo show interface >>s
netsh -f s
del s


Netsh的其他功能,比如修改IP,一般没有必要使用(万一改了IP后连不上,就“叫天不应叫地不灵”了),所以全部略过。

IPSec

首先需要指出的是,IPSec和TCP/IP筛选是不同的东西,大家不要混淆了。TCP/IP筛选的功能十分有限,远不如IPSec灵活和强大。下面就说说如何在命令行下控制IPSec。

XP系统用ipseccmd,2000下用ipsecpol。遗憾的是,它们都不是系统自带的。ipseccmd在xp系统安装盘的SUPPORT\TOOLS\SUPPORT.CAB中,ipsecpol在2000 Resource Kit里。而且,要使用ipsecpol还必须带上另外两个文件:ipsecutil.dll和text2pol.dll。三个文件一共119KB。

IPSec可以通过组策略来控制,但我找遍MSDN,也没有找到相应的安全模板的语法。已经配置好的IPSec策略也不能被导出为模板。所以,组策略这条路走不通。IPSec的设置保存在注册表中(HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local),理论上可以通过修改注册表来配置IPSec。但很多信息以二进制形式存放,读取和修改都很困难。相比之下,上传命令行工具更方便。

关于Ipsecpol和Ipseccmd的资料,网上可以找到很多,因此本文就不细说了,只是列举一些实用的例子。

在设置IPSec策略方面,ipseccmd命令的语法和ipsecpol几乎完全一样,所以只以ipsecpol为例:

1、防御Rpc-dcom攻击


ipsecpol -p myfirewall -r rpc-dcom -f *+0:135:tcp *+0:135:udp *+0:137:udp *+0:138:udp *+0:139:tcp
*+0:445:tcp *+0:445:udp -n BLOCK -w reg -x


这条命令关闭了本地主机的TCP135,139,445和udp135,137,138,445端口。

具体含义如下:


-p myfirewall 指定策略名为myfirewall
-r rpc-dcom 指定规则名为rpc-dcom
-f ...... 建立7个筛选器。*表示任何地址(源);0表示本机地址(目标);+表示镜像(双向)筛选。
详细语法见ipsecpol -?
-n BLOCK 指定筛选操作是"阻塞"。注意,BLOCK必须是大写。
-w reg 将配置写入注册表,重启后仍有效。
-x 立刻激活该策略。



2、防止被Ping


ipsecpol -p myfirewall -r antiping -f *+0::icmp -n BLOCK -w reg -x


如果名为myfirewall的策略已存在,则antiping规则将添加至其中。

注意,该规则同时也阻止了该主机ping别人。

3、对后门进行IP限制

假设你在某主机上安装了DameWare Mini Remote Control。为了保护它不被别人暴破密码或溢出,应该限制对其服务端口6129的访问。


ipsecpol -p myfw -r dwmrc_block_all -f *+0:6129:tcp -n BLOCK -w reg
ipsecpol -p myfw -r dwmrc_pass_me -f 123.45.67.89+0:6129:tcp -n PASS -w reg -x


这样就只有123.45.67.89可以访问该主机的6129端口了。

如果你是动态IP,应该根据IP分配的范围设置规则。比如:


ipsecpol -p myfw -r dwmrc_block_all -f *+0:6129:tcp -n BLOCK -w reg
ipsecpol -p myfw -r dwmrc_pass_me -f 123.45.67.*+0:6129:tcp -n PASS -w reg -x


这样就允许123.45.67.1至123.45.67.254的IP访问6129端口。

在写规则的时候,应该特别小心,不要把自己也阻塞了。如果你不确定某个规则的效果是否和预想的一样,可以先用计划任务"留下后路"。例如:


c:\>net start schedule
Task Scheduler 服务正在启动 ..
Task Scheduler 服务已经启动成功。

c:\>time /t
12:34

c:\>at 12:39 ipsecpol -p myfw -y -w reg


新加了一项作业,其作业 ID = 1。

然后,你有5分钟时间设置一个myfw策略并测试它。5分钟后计划任务将停止该策略。

如果测试结果不理想,就删除该策略。


c:\>ipsecpol -p myfw -o -w reg


注意,删除策略前必须先确保它已停止。不停止它的话,即使删除也会在一段时间内继续生效。持续时间取决于策略的刷新时间,默认是180分钟。

如果测试通过,那么就启用它。


c:\>ipsecpol -p myfw -x -w reg


最后说一下查看IPSec策略的办法。

对于XP很简单,一条命令搞定--ipseccmd show filters

而ipsecpol没有查询的功能。需要再用一个命令行工具netdiag。它位于2000系统安装盘的SUPPORT\TOOLS\SUPPORT.CAB中。(已经上传了三个文件,也就不在乎多一个了。)

Netdiag需要RemoteRegistry服务的支持。所以先启动该服务:

Net start remoteregistry

不启动RemoteRegistry就会得到一个错误:


[FATAL] Failed to get system information of this machine.


netdiag这个工具功能十分强大,与网络有关的信息都可以获取!不过,输出的信息有时过于详细,超过命令行控制台cmd.exe的输出缓存,而不是每个远程cmd shell都可以用more命令来分页的。

查看Ipsec策略的命令是:


netdiag /debug /test:ipsec


然后是一长串输出信息。IPSec策略位于最后。

软件安装

一个软件/工具的安装过程,一般来说只是做两件事:拷贝文件到特定目录和修改注册表。只要搞清楚具体的内容,那么就可以自己在命令行下实现了。(不考虑安装后需要注册激活等情况)

WinPcap是个很常用的工具,但必须在窗口界面下安装。在网上也可以找到不用GUI的版本(但还是有版权页),其实我们完全可以自己做一个。

以WinPcap 3.0a 为例。通过比较安装前后的文件系统和注册表快照,很容易了解整个安装过程。

除去反安装的部分,关键的文件有三个:wpcap.dll,packet.dll和npf.sys。前面两个文件位于system32目录下,第三个在system32\drivers下。而注册表的变化是增加了一个系统服务NPF。注意,是系统服务(即驱动)不是Win32服务。

作为系统服务,不但要在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下增加主键,在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root下也增加主键。而后者默认只有SYSTEM身份才可以修改。幸运的是,并不需要手动添加它,winpcap被调用时会自动搞定。甚至完全不用手动修改注册表,所有的事winpcap都会自己完成,只需要将三个文件复制到合适的位置就行了。


作为范例,还是演示一下如何修改注册表:利用前面说过的inf文件来实现。


[Version]
Signature="$WINDOWS NT$"
[DefaultInstall.Services]
AddService=NPF,,winpcap_svr
[winpcap_svr]
DisplayName=Netgroup Packet Filter
ServiceType=0x1
StartType=3
ErrorControl=1
ServiceBinary=%12%\npf.sys


将上面这些内容保存为_wpcap_.inf文件。

再写一个批处理_wpcap_.bat:


rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 %CD%\_wpcap_.inf
del _wpcap_.inf
if /i %CD%==%SYSTEMROOT%\system32 goto COPYDRV
copy packet.dll %SYSTEMROOT%\system32\
copy wpcap.dll %SYSTEMROOT%\system32\
del packet.dll
del wpcap.dll
:COPYDRV
if /i %CD%==%SYSTEMROOT%\system32\drivers goto END
copy npf.sys %SYSTEMROOT%\system32\drivers\
del npf.sys
:END
del %0


然后用Winrar将所有文件(5个)打包为自解压的exe,并将『高级自解压选项』->『解压后运行』设置为_wpcap_.bat,命令行的winpcap安装包就制作完成了。

注意,批处理最后一行没有回车符。否则会因为正在运行而无法删除自己。

所有的软件安装,基本上可以套用这个思路。但也有例外的,那就是系统补丁的安装。

由于系统补丁有可能要替换正在被执行或访问的文件,所以用copy命令是不行的。

幸好,Windows补丁包支持命令行安装。

比如:


KB824146.exe -n -z -q

-n 不保留备份
-z 不重起
-q 安静模式


如果有一堆补丁要打,那么用RAR打包成自解压文件,外加一个批处理。


for %%f in (KB??????.exe) do %%f -n -z -q
for %%f in (KB??????.exe) do del %%f
del %0


Windows脚本

很多事用脚本来做是很简洁的。下面给出几个常用脚本的echo版。

1、显示系统版本


@echo for each ps in getobject _ >ps.vbs
@echo ("winmgmts:\\.\root\cimv2:win32_operatingsystem").instances_ >>ps.vbs
@echo wscript.echo ps.caption^&" "^&ps.version:next >>ps.vbs
cscript //nologo ps.vbs & del ps.vbs


2、列举进程


@echo for each ps in getobject _ >ps.vbs
@echo ("winmgmts:\\.\root\cimv2:win32_process").instances_ >>ps.vbs
@echo wscript.echo ps.handle^&vbtab^&ps.name^&vbtab^&ps.executablepath:next >>ps.vbs
cscript //nologo ps.vbs & del ps.vbs


3、终止进程


@echo for each ps in getobject _ >pk.vbs
@echo ("winmgmts:\\.\root\cimv2:win32_process").instances_ >>pk.vbs
@echo if ps.handle=wscript.arguments(0) then wscript.echo ps.terminate:end if:next >>pk.vbs


要终止PID为123的进程,使用如下语法:


cscript pk.vbs 123


如果显示一个0,表示终止成功。

然后:


del pk.vbs


4、重启系统


@echo for each os in getobject _ >rb.vbs
@echo ("winmgmts:{(shutdown)}!\\.\root\cimv2:win32_operatingsystem").instances_ >>rb.vbs
@echo os.win32shutdown(2):next >>rb.vbs & cscript //nologo rb.vbs & del rb.vbs


5、列举自启动的服务


@echo for each sc in getobject("winmgmts:\\.\root\cimv2:win32_service").instances_ >sc.vbs
@echo if sc.startmode="Auto" then wscript.echo sc.name^&" - "^&sc.pathname >>sc.vbs
@echo next >>sc.vbs & cscript //nologo sc.vbs & del sc.vbs


6、列举正在运行的服务

@echo for each sc in getobject("winmgmts:\\.\root\cimv2:win32_service").instances_ >sc.vbs
@echo if sc.state="Running" then wscript.echo sc.name^&" - "^&sc.pathname >>sc.vbs
@echo next >>sc.vbs & cscript //nologo sc.vbs & del sc.vbs



7、显示系统最后一次启动的时间


@echo for each os in getobject _ >bt.vbs
@echo ("winmgmts:\\.\root\cimv2:win32_operatingsystem").instances_ >>bt.vbs
@echo wscript.echo os.lastbootuptime:next >>bt.vbs & cscript //nologo bt.vbs & del bt.vbs


推荐日志 加固你的服务器 防范VOIP安全漏洞

[ 2007-03-25 03:28:11 | 作者: sun ]
VoIP存在很多安全隐患,面临很多安全威胁,但是这不是说VoIP的安全性就不可救药,实际上随着安全事件的屡次发生,众多VoIP厂商也在不断的实践中积累着经验,通过一些措施来更大限度的保障VoIP的安全。

  但提高VoIP的安全性要双管齐下,除了VoIP厂商要摒弃VoIP安全是一个附加产品的观念,将安全技术一并根植于VoIP产品本身外;对于VoIP使用者而言,要充分意识到, VoIP设备的安全直接影响着整个企业基础网络的安全,作为管理者不要认为采用VoIP产品仅仅是添加了一部网络电话,如果不做好完备的防护措施,它很有可能将成为黑客轻松进入企业内网的一扇门,因此企业应选用来自IT或数据部门的专业人士来管理IP通讯系统,而并非原有的语音部门,这些人必须比管理传统PBX的专业人员更谨慎小心。

  可以看出VoIP面临的安全问题实际上大部分是IP网络所面临的问题。因此常规的安全措施是首先要保证的,另外VoIP应用的特殊性使其需要特殊的措施来加强安全性,下面笔者推荐几种防范小措施。这几个措施可能并没有使用什么高深的技术,但采取这几种措施之后可能会帮助你的网络堵住VoIP大漏洞。

  VoIP统一到一个VLAN中 便于设置QoS策略

  笔者见到很多用户部署VoIP时,往往采用VoIP和一般性数据混合在一个网络之中。这种部署方式的最大软肋在于,因VoIP对带宽以及QoS的需求与一般数据并不相同,将直接导致交换、路由器以及网络上诸多安全设备的传输效能大大降低。

  将VoIP数据与一般性数据进行甄别之后,分开传输无疑是最恰当的方法。而这一方法也是思科等VoIP设备供应商们的推荐方法之一。

  具体方法是,将语音和数据划分到不同的虚拟局域网(VLAN)中分开,让语音和数据在不同的虚拟局域网上传输;将VoIP统一到同一个VLAN中,在同一VLAN中传输的数据对服务质量(QoS)要求相同,可以简化服务质量(QoS)设置。QoS设置简化后,用户只需为VoIP虚拟局域网赋予优先级即可。有一点需要注意,当VoIP如果要通过路由器进行传输,仍需要第三层服务质量。

  这种方法带来直接的好处是,两者分开还可以将语音网络从数据VLAN中隐藏起来,可以有效地解决数据欺骗、DoS攻击等,因此没有了可能会发起攻击的计算机,你的VoIP网络就会安全很多。

加固你的VoIP服务器防范窃听

  实际上,将VoIP信号统一到同一个VLAN中,除了上述优点之外,还可以大大降低窃听电话现象的发生。如果语音包被人用分析仪获取,重放语音就轻而易举。虚拟局域网可以阻止有人从外面发动攻击。

  俗话说"家贼难防",上述方法只能防范外部网络电话的窃听行为,对内部攻击却难以预防。因为内部人员只要将任意一个终端设备接入网络之中,进行适当配置,披上伪装成为VoIP虚拟局域网的一部分,就可以任意窃听。要防止这种破坏,最好的办法就是购买具有强加密功能的VoIP电话,而这种方法要奏效,每只电话都要有加密功能。这种防范方法造价高,其保密效果到底能提升到何种程度,都很难说。

  另外一种更为直接有效的方法是"釜底抽薪"。也就是将VoIP服务器从物理上杜绝内部和外部攻击者,以避免别有用心者利用侦听技术来截取VoIP信息。具体方法是,锁定能够访问VoIP管理界面的IP地址和MAC地址,同时在SIP网关前放置防火墙,以达到只允许合法用户才可以进入相关VoIP系统。

  譬如说,Ingate公司的防火墙就是为基于SIP的VoIP系统而设计。Ingate最近宣布,如今其产品已通过了认证,能够与Avaya公司的基于SIP的产品协同工作。确保你实施的VoIP系统基于SIP,那样以后需要安全选项功能时不至于只能求助于你现有的VoIP厂商。

  有些用户不仅使用防火墙,还对相关的VoIP数据包进行加密。然而你可知道,仅仅加密发送出去的数据是不够的,还必须加密所有呼叫信号。加密语音数据包可以防止语音插入。例如可以通过实时安全协议(SRTP)来加密节点之间的通信,通过TLS来加密整个过程。

  监视跟踪、网络冗余等手段抵御DoS攻击

  窃取VoIP帐号是黑客借助VoIP网络伪装成合法客户,进入企业网络最常用的方法之一。为了窃取帐号,黑客可以说是不择手段,甚至是采用暴力破解方法来攻击某一个帐号的密码,试图破解控制它。这势必会引起网络流量骤增,引发DoS攻击几率大大增加。

  通过部署合适的监视工具和入侵检测系统,可以帮助你发现试图攻入你的VoIP网络的各种尝试。通过仔细观察这些工具所记录下来的日志,有助于你及时发现各种数据流量的异常状况,从而可以发现是否有人试图使用暴力破解帐号进入网络。

  不得不承认,无论你的防范多么严密,总会有攻击的发生,因此请做好准备应对DoS攻击或病毒导致网络瘫痪,其中一个办法就是增加冗余设计,一旦现在运行着的系统遭受攻击或出现意外,可以自动切换到另一套设备上,这样可以最大限度地减少损失,为你发现并解决问题提供充裕的时间。

  VoIP网络的安全性很大程度上取决于网络内设备的操作系统和运行在其上的各种应用。及时维护操作系统和VoIP应用系统的补丁,对于防范来自恶意软件或病毒的威胁是非常重要的。事实上,很多攻击都是利用了系统的漏洞。这一点与IP网络的安全防御是一致的。

  制定一个计划,把自己的角色转换成一个黑客的身份,那么尝试用各种办法来攻击你的VoIP系统吧,尽管找不到攻击入口并不代表你的VoIP系统就是安全的,但是如果能找到入口,那么别人也可以,赶快采取办法来堵住这个漏洞。

  加固VoIP网络的办法绝不仅如此,本文只捡一些必要的几点进行介绍。然而这并不是最重要的,比这更重要的是,我们要正确面对VoIP存在的安全问题,既要承认它的存在,又要相信通过合理、良好的设计和良好的安全习惯,我们可以把其安全风险控制在可以接受的范围之内。
这些东西恶心程度..我不想再说了..如题写分析..

运行 logo1_.exe
释放文件
C:\WINDOWS\logo1_.exe (与威金病毒文件存放路径和文件名相同..)
C:\WINDOWS\SYSTEM32.vxd
C:\WINDOWS\SYSTEM32.TMP
C:\WINDOWS\SYSTEM32.vxd.dat
-----------------------------------------------------
写入注册表
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"logo1_.exe"="C:\WINDOWS\logo1_.exe"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"logo1_.exe"="C:\WINDOWS\logo1_.exe"-
-----------------------------------------------------
logo1_.exe 运行后 调用 cmd.exe 执行命令 cmd.exe /c dir X:\*.exe /s /b >>C:\WINDOWS\SYSTEM32.vxd.dat
X为某个盘..
而后感染 X 盘内的所有 .exe 文件..
感染后同样释放一个同名文件 后辍为 .exe.tmp
X盘内
system volume information
recycled
俩个文件夹内的 .exe 文件 感染后释放同名文件 后辍为 .exe.dat
新添加的..
X 盘内的每个文件夹内释放一个 _desktop.ini
是学威金 还是 本来就出自 威金作者手里呢?
同时连入网络下载木马..这次文件名换了..
分别为
C:\WINDOWS\1.exe(Dro&#112;per.LMir.agi)
C:\WINDOWS\2.exe(瑞星不报)
C:\WINDOWS\3.exe(Trojan.PSW.ZhengTu.aay)
C:\WINDOWS\4.exe(Trojan.PSW.LMir.lru)
C:\WINDOWS\5.exe(Trojan.Agent.zez)
C:\WINDOWS\6.exe(Trojan.DL.Agent.blt)
C:\WINDOWS\7.exe(Trojan.PSW.LMir.ljc)
C:\WINDOWS\8.exe(Trojan.PSW.WLOnline.cv)
被感染的.exe 文件..头部写入:19613字节尾部:5字节
汇编还看到些东西..
尝试结束进程
ravmon.exe
ravtask.exe
ravmon.exe
mcshield.exe
vstskmgr.exe
naprdmgr.exe
up&#100;aterui.exe
tbmon.exe
ravmond.exe
trojdie.kxp
frogagent.exe
rundll32.exe
system32\drivers\spoclsv.exe(反熊猫一道? 熊猫干威金 威金干熊猫精彩)
作者留下的字..还是不变..
地址=004081B7
反汇编=MOV EDX,1_.0040858C
文本字串=瑞星 卡巴 金山 诺盾 爱老虎油!!!!!!
--------------------------------------------------------------
简单说说变化..
⒈ 感染的速度比上次那个快多了..上次是一个盘一个盘来..这次是除系统盘..其他盘一次性感染..
⒉ go.exe 和 autorun.inf 飞走咯..
⒊ _desktop.ini 都跟威金 学吧..
⒋ 结束安全软件进程和熊猫进程..
在浩浩互联网中,安全问题越来越重要,如何维护博客用户的利益,保障网站的信息安全?

  日前,有消息称,病毒可在博客日志系统中随意嵌入恶意代码,这些恶意代码可以传播有害程序,从而让博客网站称为病毒的源头。在浩浩互联网中,安全问题越来越重要,如何维护博客用户的利益,保障网站的信息安全?

  日前笔者就此采访了有关博客网站的技术负责人。

  他们一致认为网站安全是博客网站的头等大事。为此各家博客网站都做了一定的预防病毒措施。技术专家介绍国内外的博客网站在安全问题上已经进行了多年的探索,并已经形成一套有效的安全机制。

  我们可以从以下方面略作分析:

  1,JavaScript代码由系统管理

  博客网站向来倡导自由化,个性化,为了使用户的页面更加生动有趣,博客网站允许用户自行定制JavaScript特效,但为了防止用户嵌入危险的JavaScript代码,博客网站为用户提供的JavaScript代码是由博客网站自己提供,用户自身不得编写JavaScript代码,而且提供的JavaScript代码通过了安全专家的精心挑选,这样便从根本上杜绝了恶意代码的滋生。

  2,全方位监控回复内容

  博客网站采用先进的智能识别技术,其中之一便是能够对来自同一IP的评论内容进行拦截,还可以通过先进的算法发现两篇评论的相似性,这样便阻止了大量垃圾评论信息的产生,其次还通过智能学习功能,一旦发现评论中的恶意链接,就将其记录到数据库,防止其在此的出现。而且博客网站还允许用户自行管理评论内容,这样双管齐下,有效治理了回复中的安全隐患。

  3,安全的附件监控

  信息时代到来,人们已经不能仅仅满足于文字的阅读,而是更希望看到声色并茂的有趣内容,博客网站为了满足用户追求,允许用户在自己的页面中加入Flash等有趣的多媒体内容,但博客网站一贯重视用户的信息安全,通过大量工作,提出了一揽子解决方案,这些方案的实施既确保了用户内容的声色并茂,同时也保证了安全,这些方案中比如限制用户上载文件的类型,通过分析程序对危险的flash进行过滤都是很有效的方法。

  技术专家介绍说,博客网站在努力提高自身技术的同时,也在努力工作在世界科技的最尖端,通过研究搜索引擎恶意链接分析技术(Search Engine SPAM),目前已经自行研发了一套有效的解决方案,消除了LinkSPAM ,保证了博客网站整体的清新。这样就可以让户在发表自己的文章时悠然自得,倍感惬意!

  博客中国的技术专家透露,博客网正在努力的寻求与世界知名信息安全公司的合作,开发了一套类似Email filter的保护系统,称为blog filter ,这套系统的背后便是整套的安全解决体系,全方位的保护用户的安全。
谈起木马,想必70%以上的服务器管理员都是谈马色变。有多少管理员没有被木马骚扰过,应该很少。但作为通过80端口访问的服务器端程序木马,更让服务器管理员大为头疼。尤其是虚拟主机的安全问题更为严重。以ASP虚拟主机的情况最为严重,很多虚拟主机不得不大费周折的去弥补。更者.Net主机的安全如果做不好,.Net的木马功能强大的让人瞠目结舌。

不仅仅是在asp,或asp.net 上,jsp也存在木马,而且功能上也是相当之强大。几款JSP应用服务器默认运行权限是ROOT,在window环境下也就是SYSTEM,要命的权限。JSP木马强大到一般的服务端网页后门无法比拟的程序。不仅仅是java.io.*,java.util.*,java.net.*包提供了强大的功能,而且在默认权限上也是强大的支持。

JSP木马如何防止我在GOOGLE上晃了半天也没找一个好的解决方法,介绍上找到的都是Java沙箱的安全机制。java.policy的配置不是一般人能搞定的,而且不同的应用程序都需要不同的配置感觉不是一般的麻烦了。看了一些关于java.security.acl包的应用,头大,也是麻烦。既然应用到window环境下,何不尝试使用Windows的ACL来做做文章?

拿Resin服务器做为例子:
1.建立新用户组A,及其所属用户名a
2.将Resin注册为window服务,自启动
3.编辑resin服务属性将启动用户改为a
4.编辑Resin服务器文件夹安全属性为A组完全控制,当然也可以根据不同情况给予特殊设定
5.将建立的网站目录给于用户a 读取,写入,删除安全权限
6.驱除所有驱动器其他文件夹内everyone权限,最好可以拒绝A组访问,读?不行.
这时,启动Resin服务看看JSP木马是不是不能运行了?没权限! 网络上现有的几个JSP木马基本上都在这里挂了,看看可以,跳出去这个圈子不可能。

执行安全配置有几点值得注意:

1.resin应用服务器目录名搞的复杂些,最好连你自己都不记得
2.网站根文件名最好也复杂些,如果你打算把它忘记那也最好不过(很多人的想象力丰富的很呐,大意不得)
3.网站目录下写权限最好能根据需要给,能不给的绝不少给,不能不给也绝不多给
4.特别目录下的你甚至可以用Servlet中的filter进行过滤,别忘了全局filter的功能弓虽的很(这是对服务器管理员说的,取服务器环境变量在这里可以完全屏蔽掉)

通过上面的一番配置,JSP通过Web程序上传JSP后门的可能不大,即使传上去也只能在自己的目录里折腾,只要他跳不出目录,而且只是低权限运行也就无所谓他干什么了。当然安全是相对,首先保证没问题的首当其冲的就是window(linux)服务器的安全,这样从全局看,这台jsp服务器是安全的。

apache设置类似

在Internet大众化及Web技术飞速演变的今天,在线安全所面临的挑战日益严峻。伴随着在线信息和服务的可用性的提升,以及基子Web的攻击和破坏的增长,安全风险达到了前所未有的高度。由于众多安全工作集中在网络本身上面,Web应用程序几乎被遗忘了。也许这是因为应用程序过去常常是在一台计算机上运行的独立程序,如果这台计算机安全的话,那么应用程序就是安全的。如今,情况大不一样了,Web应用程序在多种不同的机器上运行:客户端、Web服务器、数据库服务器和应用服务器。而且,因为他们一般可以让所有的人使用,所以这些应用程序成为了众多攻击活动的后台旁路。

由于Web服务器提供了几种不同的方式将请求转发给应用服务器,并将修改过的或新的网页发回给最终用户,这使得非法闯入网络变得更加容易。

而且,许多程序员不知道如何开发安全的应用程序。他们的经验也许是开发独立应用程序或Intranet Web应用程序,这些应用程序没有考虑到在安全缺陷被利用时可能会出现灾难性后果。

其次,许多Web应用程序容易受到通过服务器、应用程序和内部已开发的代码进行的攻击。这些攻击行动直接通过了周边防火墙安全措施,因为端口80或443(SSL,安全套接字协议层)必须开放,以便让应用程序正常运行。Web应用程序攻击包括对应用程序本身的DoS(拒绝服务)攻击、改变网页内容以及盗走企业的关键信息或用户信息等。

总之,Web应用攻击之所以与其他攻击不同,是因为它们很难被发现,而且可能来自任何在线用户,甚至是经过验证的用户。迄今为止,该方面尚未受到重视,因为企业用户主要使用防火墙和入侵检测解决方案来保护其网络的安全,而防火墙和入侵检测解决方案发现不了Web攻击行动。

常见的Web应用安全漏洞

下面将列出一系列通常会出现的安全漏洞,并且简单解释一下这些漏洞是如何产生的。

已知弱点和错误配置

已知弱点包括Web应用使用的操作系统和第三方应用程序中的所有程序错误或者可以被利用的漏洞。这个问题也涉及到错误配置,包含有不安全的默认设置或管理员没有进行安全配置的应用程序。一个很好的例子就是你的Web服务器被配置成可以让任何用户从系统上的任何目录路径通过,这样可能会导致泄露存储在Web服务器上的一些敏感信息,如口令、源代码或客户信息等。

隐藏字段

在许多应用中,隐藏的HTML格式字段被用来保存系统口令或商品价格。尽管其名称如此,但这些字段并不是很隐蔽的,任何在网页上执行“查看源代码”的人都能看见。许多Web应用允许恶意的用户修改HTML源文件中的这些字段,为他们提供了以极小成本或无需成本购买商品的机会。这些攻击行动之所以成功,是因为大多数应用没有对返回网页进行验证;相反,它们认为输入数据和输出数据是一样的。

后门和调试漏洞

开发人员常常建立一些后门并依靠调试来排除应用程序的故障。在开发过程中这样做可以,但这些安全漏洞经常被留在一些放在Internet上的最终应用中。一些常见的后门使用户不用口令就可以登录或者访问允许直接进行应用配置的特殊URL。

跨站点脚本编写

一般来说,跨站点编写脚本是将代码插入由另一个源发送的网页之中的过程。利用跨站点编写脚本的一种方式是通过HTML格式,将信息帖到公告牌上就是跨站点脚本编写的一个很好范例。恶意的用户会在公告牌上帖上包含有恶意的JavaScript代码的信息。当用户查看这个公告牌时,服务器就会发送HTML与这个恶意的用户代码一起显示。客户端的浏览器会执行该代码,因为它认为这是来自Web服务器的有效代码。

参数篡改

参数篡改包括操纵URL字符串,以检索用户以其他方式得不到的信息。访问Web应用的后端数据库是通过常常包含在URL中的SQL调用来进行的。恶意的用户可以操纵SQL代码,以便将来有可能检索一份包含所有用户、口令、信用卡号的清单或者储存在数据库中的任何其他数据。

更改cookie

更改cookie指的是修改存储在cookie中的数据。网站常常将一些包括用户ID、口令、帐号等的cookie存储到用户系统上。通过改变这些值,恶意的用户就可以访问不属于他们的帐户。攻击者也可以窃取用户的cookie并访问用户的帐户,而不必输入ID和口令或进行其他验证。

输入信息控制

输入信息检查包括能够通过控制由CGI脚本处理的HTML格式中的输入信息来运行系统命令。例如,使用CGI脚本向另一个用户发送信息的形式可以被攻击者控制来将服务器的口令文件邮寄给恶意的用户或者删除系统上的所有文件。

缓冲区溢出

缓冲区溢出是恶意的用户向服务器发送大量数据以使系统瘫痪的典型攻击手段。该系统包括存储这些数据的预置缓冲区。如果所收到的数据量大于缓冲区,则部分数据就会溢出到堆栈中。如果这些数据是代码,系统随后就会执行溢出到堆栈上的任何代码。Web应用缓冲区溢出攻击的典型例子也涉及到HTML文件。如果HTML文件上的一个字段中的数据足够的大,它就能创造一个缓冲器溢出条件。

直接访问浏览

直接访问浏览指直接访问应该需要验证的网页。没有正确配置的Web应用程序可以让恶意的用户直接访问包括有敏感信息的URL或者使提供收费网页的公司丧失收入。

Web应用安全两步走

Web应用攻击能够给企业的财产、资源和声誉造成重大破坏。虽然Web应用增加了企业受攻击的危险,但有许多方法可以帮助减轻这一危险。首先,必须教育开发人员了解安全编码方法。仅此项步骤就会消除大部分Web应用的安全问题。其次,坚持跟上所有厂商的最新安全补丁程序。如果不对已知的缺陷进行修补,和特洛伊木马一样,攻击者就能很容易地利用你的Web应用程序穿过防火墙访问Web服务器、数据库服务器、应用服务器等等。将这两项步骤结合起来,就会大大减少Web应用受到攻击的风险。同时管理人员必须采取严格措施,以保证不让任何东西从这些漏洞中溜过去

推荐日志 简单十大步骤 保护IIS Web服务器安全

[ 2007-03-25 03:26:46 | 作者: sun ]

通过下面 10 步来保护 IIS:


1.为IIS 应用程序和数据专门安装一个NTFS 设备。如果有可能,不要允许IUSER(或其它任何匿名用户名)去访问任何其它设备。如果应用程序因为匿名用户无法访问其它设备上的程序而出了问题,马上使用Sysinternals 的FileMon 检测出哪个文件无法访问,并吧这个程序转移到IIS 设备上。如果无法做到这些,就允许IUSER 访问且只能访问这个文件。


2.在设备上设置NTFS 权限:


Developers = Full(所有权限)


IUSER = Read and execute only(读和执行权限)


System and admin = Full(所有权限)


3.使用一个软件_blank">防火墙,确认没有终端用户能够访问 IIS 计算机上的除了 80 端口之外的其它端口。


4.使用Microsoft 工具锁定计算机:IIS Lockdown和UrlScan.


5.启用IIS 事件日志。除了使用IIS 事件日志之外,如果有可能的话,尽量也对_blank">防火墙启用事件日志。


6.把日志文件从默认的存储位置移走,并保证对它们的备份。为日志文件建立一个重复的拷贝,以确保这个放在第二位置的拷贝是可用的。


7.在计算机上启用Windows 审核,因为当我们试图去追踪那些攻击者的行为的时候,我们总是缺少足够的数据。通过使用审核日志,甚至有可能拥有一个脚本来进行可疑行为的审核,这个脚本随后会向管理员发送一个报告。这听起来好像有点走极端了,不过如果对你的组织来说安全性非常重要的话,这样做是最好的选择。建立审核制度来报告任何失败帐户登录行为。另外,同IIS日志文件一样,把它的默认存储位置(c:\winnt\system32\config\secevent.log)改到另外一个地方,并确保它有一个备份和一个重复的拷贝。


8.一般来说,尽你所能的查找安全方面的文章(从不同的地方),并按照它们进行实践。在IIS和安全实践方面,它们说的通常被你懂得的要好一些,而且不要只信服其他人(比如说我)告诉你的东西。


9.订阅一份IIS 缺陷列表邮件,并坚持按时对它进行阅读。其中一个列表是Internet Security Systems(Internet 安全系统)的X-Force Alerts and Advisories


10.最后,确保你定期的对Windows 进行了更新,并检验补丁是否被成功的安装了。