IP地址盗用常用方法及防范
[ 2007-03-25 02:48:05 | 作者: sun ]
目前IP地址盗用行为非常常见,许多“不法之徒”用盗用地址的行为来逃避追踪、隐藏自己的身份。IP地址的盗用行为侵害了网络正常用户的权益,并且给网络安全、网络的正常运行带来了巨大的负面影响,因此研究IP地址盗用的问题,找出有效的防范措施,是当前的一个紧迫课题。
IP地址盗用常用的方法及其防范机制
IP地址盗用是指盗用者使用未经授权的IP地址来配置网上的计算机。IP地址的盗用通常有以下两种方法:
一是单纯修改IP地址的盗用方法。如果用户在配置或修改配置时,使用的不是合法获得的IP地址,就形成了IP地址盗用。由于IP地址是一个协议逻辑地址,是一个需要用户设置并随时修改的值,因此无法限制用户修改本机的IP地址。
二是同时修改IP-MAC地址的方法。针对单纯修改IP地址的问题,很多单位都采用IP-MAC捆绑技术加以解决。但IP-MAC捆绑技术无法防止用户对IP-MAC的修改。MAC地址是网络设备的硬件地址,对于以太网来说,即俗称的网卡地址。每个网卡上的MAC地址在所有以太网设备中必须是惟一的,它由IEEE分配,固化在网卡上一般不得随意改动。但是,一些兼容网卡的MAC地址却可以通过配置程序来修改。如果将一台计算机的IP和MAC地址都修改为另一台合法主机对应的IP和MAC地址,那么IP-MAC捆绑技术就无能为力了。另外,对于一些MAC地址不能直接修改的网卡,用户还可以通过软件修改MAC地址,即通过修改底层网络软件达到欺骗上层软件的目的。
目前发现IP地址盗用比较常用的方法是定期扫描网络各路由器的ARP(address resolution protocol)表,获得当前正在使用的IP地址以及IP-MAC对照关系,与合法的IP地址表,IP-MAC表对照,如果不一致则有非法访问行为发生。另外,从用户的故障报告(盗用正在使用的IP地址会出现MAC地址冲突的提示)也可以发现IP地址的盗用行为。在此基础上,常用的防范机制有:IP-MAC捆绑技术、代理服务器技术、IP-MAC-USER认证授权以及透明网关技术等。
这些机制都有一定的局限性,比如IP-MAC捆绑技术用户管理十分困难;透明网关技术需要专门的机器进行数据转发,该机器容易成为瓶颈。更重要的是,这些机制都没有完全从根本上防止IP地址盗用行为所产生的危害,只是防止地址盗用者直接访问外部网络资源。事实上,由于IP地址盗用者仍然具有IP子网内完全活动的自由,因此一方面这种行为会干扰合法用户的使用:另一方面可能被不良企图者用来攻击子网内的其他机器和网络设备。如果子网内有代理服务器,盗用者还可以通过种种手段获得网外资源。
目前IP地址盗用行为非常常见,许多“不法之徒”用盗用地址的行为来逃避追踪、隐藏自己的身份。IP地址的盗用行为侵害了网络正常用户的权益,并且给网络安全、网络的正常运行带来了巨大的负面影响,因此研究IP地址盗用的问题,找出有效的防范措施,是当前的一个紧迫课题。 网卡地址。每个网卡上的MAC地址在所有以太网设备中必须是惟一的,它由IEEE分配,固化在网卡上一般不得随意改动。但是,一些兼容网卡的MAC地址却可以通过配置程序来修改。如果将一台计算机的IP和MAC地址都修改为另一台合法主机对应的IP和MAC地址,那么IP-MAC捆绑技术就无能为力了。另外,对于一些MAC地址不能直接修改的网卡,用户还可以通过软件修改MAC地址,即通过修改底层网络软件达到欺骗上层软件的目的。
IP地址盗用常用的方法及其防范机制
IP地址盗用是指盗用者使用未经授权的IP地址来配置网上的计算机。IP地址的盗用通常有以下两种方法:
一是单纯修改IP地址的盗用方法。如果用户在配置或修改配置时,使用的不是合法获得的IP地址,就形成了IP地址盗用。由于IP地址是一个协议逻辑地址,是一个需要用户设置并随时修改的值,因此无法限制用户修改本机的IP地址。
二是同时修改IP-MAC地址的方法。针对单纯修改IP地址的问题,很多单位都采用IP-MAC捆绑技术加以解决。但IP-MAC捆绑技术无法防止用户对IP-MAC的修改。MAC地址是网络设备的硬件地址,对于以太网来说,即俗称的
目前发现IP地址盗用比较常用的方法是定期扫描网络各路由器的ARP(address resolution protocol)表,获得当前正在使用的IP地址以及IP-MAC对照关系,与合法的IP地址表,IP-MAC表对照,如果不一致则有非法访问行为发生。另外,从用户的故障报告(盗用正在使用的IP地址会出现MAC地址冲突的提示)也可以发现IP地址的盗用行为。在此基础上,常用的防范机制有:IP-MAC捆绑技术、代理服务器技术、IP-MAC-USER认证授权以及透明网关技术等。
这些机制都有一定的局限性,比如IP-MAC捆绑技术用户管理十分困难;透明网关技术需要专门的机器进行数据转发,该机器容易成为瓶颈。更重要的是,这些机制都没有完全从根本上防止IP地址盗用行为所产生的危害,只是防止地址盗用者直接访问外部网络资源。事实上,由于IP地址盗用者仍然具有IP子网内完全活动的自由,因此一方面这种行为会干扰合法用户的使用:另一方面可能被不良企图者用来攻击子网内的其他机器和网络设备。如果子网内有代理服务器,盗用者还可以通过种种手段获得网外资源。
利用端口定位及时阻断IP地址盗用
交换机是局域网的主要网络设备,它工作在数据链路层上,基于MAC地址来转发和过滤数据包。因此,每个交换机均维护着一个与端口对应的MAC地址表。任何与交换机直接相连或处于同一广播域的主机的MAC地址均会被保存到交换机的MAC地址表中。通过SNMP(Simple Network Management protocol)管理站与各个交换机的SNMP代理通信可以获取每个交换机保存的与端口对应的MAC地址表,从而形成一个实时的Switch-Port-MAC对应表。将实时获得的Switch-Port-MAC对应表与事先获得的合法的完整表格对照,就可以快速发现交换机端口是否出现非法MAC地址,进一步即可判定是否有IP地址盗用的发生。如果同一个MAC地址同时出现在不同的交换机的非级联端口上,则意味着IP-MAC成对盗用。
发现了地址盗用行为后,实际上也已经将盗用行为定位到了交换机的端口。再通过查询事先建立的完整的Switch-Port-MAC对应表,就可以立即定位到发生盗用行为的房间。
发生了地址盗用行为后,可以立即采取相应的方法来阻断盗用行为所产生的影响,技术上可以通过SNMP管理站向交换机代理发出一个SNMP消息来关断发生盗用行为的端口,这样盗用IP地址的机器无法与网络中其他机器发生任何联系,当然也无法影响其他机器的正常运行。
端口的关断可以通过改变其管理状态来实现。在MIB(Management Information Base)中有一个代表端口管理状态的可读写对象ifAdminStatus(对象标识符号为1.3.6.1.2.1.2.2.1.7),给ifAdminStatus赋不同的值,可以改变端口的管理状态,即“1”—开启端口,“2”—关闭端口,“3”—供测试用。
这样,通过管理站给交换机发送赋值信息(Set Request),就可以关闭和开启相应的端口,比如要关闭某一交换机(192.168.1.1)的2号端口,可以向该交换机发出如下信息:
set("private" 192.168.1.1 1.3.6.1,2.1.2.2.1.7.2.0.2).
结合IP-MAC绑定技术,通过交换机端口管理,可以在实际使用中迅速发现并阻断IP地址的盗用行为,尤其是解决了IP-MAC成对盗用的问题,同时也不影响网络的运行效率。交换机是局域网的主要网络设备,它工作在数据链路层上,基于MAC地址来转发和过滤数据包。因此,每个交换机均维护着一个与端口对应的MAC地址表。任何与交换机直接相连或处于同一广播域的主机的MAC地址均会被保存到交换机的MAC地址表中。通过SNMP(Simple Network Management protocol)管理站与各个交换机的SNMP代理通信可以获取每个交换机保存的与端口对应的MAC地址表,从而形成一个实时的Switch-Port-MAC对应表。将实时获得的Switch-Port-MAC对应表与事先获得的合法的完整表格对照,就可以快速发现交换机端口是否出现非法MAC地址,进一步即可判定是否有IP地址盗用的发生。如果同一个MAC地址同时出现在不同的交换机的非级联端口上,则意味着IP-MAC成对盗用。
发现了地址盗用行为后,实际上也已经将盗用行为定位到了交换机的端口。再通过查询事先建立的完整的Switch-Port-MAC对应表,就可以立即定位到发生盗用行为的房间。
发生了地址盗用行为后,可以立即采取相应的方法来阻断盗用行为所产生的影响,技术上可以通过SNMP管理站向交换机代理发出一个SNMP消息来关断发生盗用行为的端口,这样盗用IP地址的机器无法与网络中其他机器发生任何联系,当然也无法影响其他机器的正常运行。
端口的关断可以通过改变其管理状态来实现。在MIB(Management Information Base)中有一个代表端口管理状态的可读写对象ifAdminStatus(对象标识符号为1.3.6.1.2.1.2.2.1.7),给ifAdminStatus赋不同的值,可以改变端口的管理状态,即“1”—开启端口,“2”—关闭端口,“3”—供测试用。
这样,通过管理站给交换机发送赋值信息(Set Request),就可以关闭和开启相应的端口,比如要关闭某一交换机(192.168.1.1)的2号端口,可以向该交换机发出如下信息:
set("private" 192.168.1.1 1.3.6.1,2.1.2.2.1.7.2.0.2).
结合IP-MAC绑定技术,通过交换机端口管理,可以在实际使用中迅速发现并阻断IP地址的盗用行为,尤其是解决了IP-MAC成对盗用的问题,同时也不影响网络的运行效率。
IP地址盗用常用的方法及其防范机制
IP地址盗用是指盗用者使用未经授权的IP地址来配置网上的计算机。IP地址的盗用通常有以下两种方法:
一是单纯修改IP地址的盗用方法。如果用户在配置或修改配置时,使用的不是合法获得的IP地址,就形成了IP地址盗用。由于IP地址是一个协议逻辑地址,是一个需要用户设置并随时修改的值,因此无法限制用户修改本机的IP地址。
二是同时修改IP-MAC地址的方法。针对单纯修改IP地址的问题,很多单位都采用IP-MAC捆绑技术加以解决。但IP-MAC捆绑技术无法防止用户对IP-MAC的修改。MAC地址是网络设备的硬件地址,对于以太网来说,即俗称的网卡地址。每个网卡上的MAC地址在所有以太网设备中必须是惟一的,它由IEEE分配,固化在网卡上一般不得随意改动。但是,一些兼容网卡的MAC地址却可以通过配置程序来修改。如果将一台计算机的IP和MAC地址都修改为另一台合法主机对应的IP和MAC地址,那么IP-MAC捆绑技术就无能为力了。另外,对于一些MAC地址不能直接修改的网卡,用户还可以通过软件修改MAC地址,即通过修改底层网络软件达到欺骗上层软件的目的。
目前发现IP地址盗用比较常用的方法是定期扫描网络各路由器的ARP(address resolution protocol)表,获得当前正在使用的IP地址以及IP-MAC对照关系,与合法的IP地址表,IP-MAC表对照,如果不一致则有非法访问行为发生。另外,从用户的故障报告(盗用正在使用的IP地址会出现MAC地址冲突的提示)也可以发现IP地址的盗用行为。在此基础上,常用的防范机制有:IP-MAC捆绑技术、代理服务器技术、IP-MAC-USER认证授权以及透明网关技术等。
这些机制都有一定的局限性,比如IP-MAC捆绑技术用户管理十分困难;透明网关技术需要专门的机器进行数据转发,该机器容易成为瓶颈。更重要的是,这些机制都没有完全从根本上防止IP地址盗用行为所产生的危害,只是防止地址盗用者直接访问外部网络资源。事实上,由于IP地址盗用者仍然具有IP子网内完全活动的自由,因此一方面这种行为会干扰合法用户的使用:另一方面可能被不良企图者用来攻击子网内的其他机器和网络设备。如果子网内有代理服务器,盗用者还可以通过种种手段获得网外资源。
目前IP地址盗用行为非常常见,许多“不法之徒”用盗用地址的行为来逃避追踪、隐藏自己的身份。IP地址的盗用行为侵害了网络正常用户的权益,并且给网络安全、网络的正常运行带来了巨大的负面影响,因此研究IP地址盗用的问题,找出有效的防范措施,是当前的一个紧迫课题。 网卡地址。每个网卡上的MAC地址在所有以太网设备中必须是惟一的,它由IEEE分配,固化在网卡上一般不得随意改动。但是,一些兼容网卡的MAC地址却可以通过配置程序来修改。如果将一台计算机的IP和MAC地址都修改为另一台合法主机对应的IP和MAC地址,那么IP-MAC捆绑技术就无能为力了。另外,对于一些MAC地址不能直接修改的网卡,用户还可以通过软件修改MAC地址,即通过修改底层网络软件达到欺骗上层软件的目的。
IP地址盗用常用的方法及其防范机制
IP地址盗用是指盗用者使用未经授权的IP地址来配置网上的计算机。IP地址的盗用通常有以下两种方法:
一是单纯修改IP地址的盗用方法。如果用户在配置或修改配置时,使用的不是合法获得的IP地址,就形成了IP地址盗用。由于IP地址是一个协议逻辑地址,是一个需要用户设置并随时修改的值,因此无法限制用户修改本机的IP地址。
二是同时修改IP-MAC地址的方法。针对单纯修改IP地址的问题,很多单位都采用IP-MAC捆绑技术加以解决。但IP-MAC捆绑技术无法防止用户对IP-MAC的修改。MAC地址是网络设备的硬件地址,对于以太网来说,即俗称的
目前发现IP地址盗用比较常用的方法是定期扫描网络各路由器的ARP(address resolution protocol)表,获得当前正在使用的IP地址以及IP-MAC对照关系,与合法的IP地址表,IP-MAC表对照,如果不一致则有非法访问行为发生。另外,从用户的故障报告(盗用正在使用的IP地址会出现MAC地址冲突的提示)也可以发现IP地址的盗用行为。在此基础上,常用的防范机制有:IP-MAC捆绑技术、代理服务器技术、IP-MAC-USER认证授权以及透明网关技术等。
这些机制都有一定的局限性,比如IP-MAC捆绑技术用户管理十分困难;透明网关技术需要专门的机器进行数据转发,该机器容易成为瓶颈。更重要的是,这些机制都没有完全从根本上防止IP地址盗用行为所产生的危害,只是防止地址盗用者直接访问外部网络资源。事实上,由于IP地址盗用者仍然具有IP子网内完全活动的自由,因此一方面这种行为会干扰合法用户的使用:另一方面可能被不良企图者用来攻击子网内的其他机器和网络设备。如果子网内有代理服务器,盗用者还可以通过种种手段获得网外资源。
利用端口定位及时阻断IP地址盗用
交换机是局域网的主要网络设备,它工作在数据链路层上,基于MAC地址来转发和过滤数据包。因此,每个交换机均维护着一个与端口对应的MAC地址表。任何与交换机直接相连或处于同一广播域的主机的MAC地址均会被保存到交换机的MAC地址表中。通过SNMP(Simple Network Management protocol)管理站与各个交换机的SNMP代理通信可以获取每个交换机保存的与端口对应的MAC地址表,从而形成一个实时的Switch-Port-MAC对应表。将实时获得的Switch-Port-MAC对应表与事先获得的合法的完整表格对照,就可以快速发现交换机端口是否出现非法MAC地址,进一步即可判定是否有IP地址盗用的发生。如果同一个MAC地址同时出现在不同的交换机的非级联端口上,则意味着IP-MAC成对盗用。
发现了地址盗用行为后,实际上也已经将盗用行为定位到了交换机的端口。再通过查询事先建立的完整的Switch-Port-MAC对应表,就可以立即定位到发生盗用行为的房间。
发生了地址盗用行为后,可以立即采取相应的方法来阻断盗用行为所产生的影响,技术上可以通过SNMP管理站向交换机代理发出一个SNMP消息来关断发生盗用行为的端口,这样盗用IP地址的机器无法与网络中其他机器发生任何联系,当然也无法影响其他机器的正常运行。
端口的关断可以通过改变其管理状态来实现。在MIB(Management Information Base)中有一个代表端口管理状态的可读写对象ifAdminStatus(对象标识符号为1.3.6.1.2.1.2.2.1.7),给ifAdminStatus赋不同的值,可以改变端口的管理状态,即“1”—开启端口,“2”—关闭端口,“3”—供测试用。
这样,通过管理站给交换机发送赋值信息(Set Request),就可以关闭和开启相应的端口,比如要关闭某一交换机(192.168.1.1)的2号端口,可以向该交换机发出如下信息:
set("private" 192.168.1.1 1.3.6.1,2.1.2.2.1.7.2.0.2).
结合IP-MAC绑定技术,通过交换机端口管理,可以在实际使用中迅速发现并阻断IP地址的盗用行为,尤其是解决了IP-MAC成对盗用的问题,同时也不影响网络的运行效率。交换机是局域网的主要网络设备,它工作在数据链路层上,基于MAC地址来转发和过滤数据包。因此,每个交换机均维护着一个与端口对应的MAC地址表。任何与交换机直接相连或处于同一广播域的主机的MAC地址均会被保存到交换机的MAC地址表中。通过SNMP(Simple Network Management protocol)管理站与各个交换机的SNMP代理通信可以获取每个交换机保存的与端口对应的MAC地址表,从而形成一个实时的Switch-Port-MAC对应表。将实时获得的Switch-Port-MAC对应表与事先获得的合法的完整表格对照,就可以快速发现交换机端口是否出现非法MAC地址,进一步即可判定是否有IP地址盗用的发生。如果同一个MAC地址同时出现在不同的交换机的非级联端口上,则意味着IP-MAC成对盗用。
发现了地址盗用行为后,实际上也已经将盗用行为定位到了交换机的端口。再通过查询事先建立的完整的Switch-Port-MAC对应表,就可以立即定位到发生盗用行为的房间。
发生了地址盗用行为后,可以立即采取相应的方法来阻断盗用行为所产生的影响,技术上可以通过SNMP管理站向交换机代理发出一个SNMP消息来关断发生盗用行为的端口,这样盗用IP地址的机器无法与网络中其他机器发生任何联系,当然也无法影响其他机器的正常运行。
端口的关断可以通过改变其管理状态来实现。在MIB(Management Information Base)中有一个代表端口管理状态的可读写对象ifAdminStatus(对象标识符号为1.3.6.1.2.1.2.2.1.7),给ifAdminStatus赋不同的值,可以改变端口的管理状态,即“1”—开启端口,“2”—关闭端口,“3”—供测试用。
这样,通过管理站给交换机发送赋值信息(Set Request),就可以关闭和开启相应的端口,比如要关闭某一交换机(192.168.1.1)的2号端口,可以向该交换机发出如下信息:
set("private" 192.168.1.1 1.3.6.1,2.1.2.2.1.7.2.0.2).
结合IP-MAC绑定技术,通过交换机端口管理,可以在实际使用中迅速发现并阻断IP地址的盗用行为,尤其是解决了IP-MAC成对盗用的问题,同时也不影响网络的运行效率。
揭开“网络钓鱼”的真正面目
[ 2007-03-25 02:47:49 | 作者: sun ]
细心的用户不难发现,无论是微软刚推出的windows vista操作系统,还是诺顿的2007版杀毒软件,在其对各自的产品宣传期间,总会不厌其烦地提到一项新功能,那就是“反网络钓鱼”。在最近两年,网络钓鱼已经成为病毒、各种攻击之后最严重的网络威胁。
所谓网络钓鱼,就是利用一些“高仿”的网页、qq消息等骗取网友的信任,并多以高额奖金作为诱饵来赢得网友的“贪心”,很多网友就曾经上过这个当,而且这种骗术目前非但没有消失的迹象,反而越演越烈。下面就让我们来看一下经典的几个网络钓鱼。
“幸运”消息提示中奖
这种消息通常来源于游戏平台,发送者往往署名客服或者“系统提示”,不明就里的用户往往容易将其误认成是真正的系统发出的消息,而且注册这样的一个id是非常简单的,用户极其容易上当。其实我们在看到这样的消息时只需要核实一下用户资料,或者平时注意一下真正的系统提示与假消息的区别就可以轻松避免上当受骗。
高仿钓鱼网页
工商银行的首页已经不幸中招了好几次。在仿冒的工行网页上,连网站认证的细节都极其相似,不少用户曾经投诉过工行,但是这并不是工行的责任。还有一些比较著名的钓鱼网页就是qq中奖提醒。在发送者给出的所谓领奖页面上,所有的项目都让你觉得真实可信。不过,这些仿冒网页的地址都非常长,主域名的拼写虽然很相似但是总会有所改变,有经验的网友应该熟记各大银行的缩写,这样在遇到此类网页的时候就能一眼识别。
奖品邮寄需要付邮费
几乎在所有的仿冒领奖网页的奖品发放后都会提到:此次奖品的邮寄邮费玩家自理。留心的用户就会琢磨:既然这么高金额的奖品都发了,还在乎几十元的邮费么?至此,钓鱼者的真实目的也就被戳穿了。奖品只是诱饵,邮费才是他们真实所想拿到的。
做好防范 拒绝被钓
其实网络钓鱼并不神秘,它只是利用了社会工程学的原理,抓住人们贪小便宜的弱点进行欺骗,只要提高安全意识完全是可以避免此类“钓鱼”事件的。
网络钓鱼的目的已经不仅仅局限于重要资料的获取,现金成为目前钓鱼者最想得到的东西,不过,防范起来也并非难事:
1、在收到领奖消息后,去该组织的官方网站寻找相关活动的信息,以保证消息的准确性;
2、尽量在地址栏里输入想要到达的网站的地址,不要轻信别处网页上的链接;
3、不要轻易透露自己的信用卡以及各种卡片的密码,如果qq有奖品送给你,它顶多需要你的移动电话号码,而不是你的信用卡密码。
相信只要我们仔细分辨,提高安全意识,网络钓鱼最终一定会向我们投降,毕竟邪不胜正。
所谓网络钓鱼,就是利用一些“高仿”的网页、qq消息等骗取网友的信任,并多以高额奖金作为诱饵来赢得网友的“贪心”,很多网友就曾经上过这个当,而且这种骗术目前非但没有消失的迹象,反而越演越烈。下面就让我们来看一下经典的几个网络钓鱼。
“幸运”消息提示中奖
这种消息通常来源于游戏平台,发送者往往署名客服或者“系统提示”,不明就里的用户往往容易将其误认成是真正的系统发出的消息,而且注册这样的一个id是非常简单的,用户极其容易上当。其实我们在看到这样的消息时只需要核实一下用户资料,或者平时注意一下真正的系统提示与假消息的区别就可以轻松避免上当受骗。
高仿钓鱼网页
工商银行的首页已经不幸中招了好几次。在仿冒的工行网页上,连网站认证的细节都极其相似,不少用户曾经投诉过工行,但是这并不是工行的责任。还有一些比较著名的钓鱼网页就是qq中奖提醒。在发送者给出的所谓领奖页面上,所有的项目都让你觉得真实可信。不过,这些仿冒网页的地址都非常长,主域名的拼写虽然很相似但是总会有所改变,有经验的网友应该熟记各大银行的缩写,这样在遇到此类网页的时候就能一眼识别。
奖品邮寄需要付邮费
几乎在所有的仿冒领奖网页的奖品发放后都会提到:此次奖品的邮寄邮费玩家自理。留心的用户就会琢磨:既然这么高金额的奖品都发了,还在乎几十元的邮费么?至此,钓鱼者的真实目的也就被戳穿了。奖品只是诱饵,邮费才是他们真实所想拿到的。
做好防范 拒绝被钓
其实网络钓鱼并不神秘,它只是利用了社会工程学的原理,抓住人们贪小便宜的弱点进行欺骗,只要提高安全意识完全是可以避免此类“钓鱼”事件的。
网络钓鱼的目的已经不仅仅局限于重要资料的获取,现金成为目前钓鱼者最想得到的东西,不过,防范起来也并非难事:
1、在收到领奖消息后,去该组织的官方网站寻找相关活动的信息,以保证消息的准确性;
2、尽量在地址栏里输入想要到达的网站的地址,不要轻信别处网页上的链接;
3、不要轻易透露自己的信用卡以及各种卡片的密码,如果qq有奖品送给你,它顶多需要你的移动电话号码,而不是你的信用卡密码。
相信只要我们仔细分辨,提高安全意识,网络钓鱼最终一定会向我们投降,毕竟邪不胜正。
动易2006最新漏洞补丁
[ 2007-03-25 02:47:23 | 作者: sun ]
其实这是2003系统流传已久的小特点,不明白官方为什么大惊小怪地要删除相关文件......连华夏的怪狗也是改UPLOAD文件名的......过滤用户名注册中的“.”就OK了。
于是我下了个动易2005SP5找到REG目录中的User_RegCheck.asp,发现最后面就有一个函数
'**************************************************
'函数名:UserNamefilter(
'作 用:过滤用户名(增强过滤,用户名现用于建立个人文集目录)
'**************************************************
Function UserNamefilter(strChar)
If strChar = "" or IsNull(strChar) Then
UserNamefilter = ""
Exit Function
End If
Dim strBadChar, arrBadChar, tempChar, i
strBadChar = "',%,^,&,?,(,),<,>,[,],{,},/,\,;,:," & Chr(34) & "," & Chr(0) & ",*,|,"""
arrBadChar = Split(strBadChar, ",")
tempChar = strChar
For i = 0 To UBound(arrBadChar)
tempChar = Replace(tempChar, arrBadChar(i), "")
Next
UserNamefilter = tempChar
End Function
%>
直接往 strBadChar 里加上过滤“.”,然后测试,居然还能注册*.asp的文件,晕S。再看到User_CheckReg.asp,真不明白要两个来干什么用,改之
Sub User_CheckReg()
Dim RegUserName
RegUserName = Trim(request("UserName"))
If InStr(RegUserName, "=") > 0 or InStr(RegUserName, "%") > 0 or InStr(RegUserName, Chr(32)) > 0 or InStr(RegUserName, "?") > 0 or InStr(RegUserName, "&") > 0 or InStr(RegUserName, ";") > 0 or InStr(RegUserName, ",") > 0 or InStr(RegUserName, "'") > 0 or InStr(RegUserName, ",") > 0 or InStr(RegUserName, Chr(34)) > 0 or InStr(RegUserName, Chr(9)) > 0 or InStr(RegUserName, " ") > 0 or InStr(RegUserName, "$") > 0 or InStr(RegUserName, "*") or InStr(RegUserName, "|") or InStr(RegUserName, """") > 0 or InStr(RegUserName, "^") > 0 or InStr(RegUserName, "--") > 0 or InStr(RegUserName, ".") > 0 or InStr(RegUserName, "+") > 0 Then
FoundErr = True
ErrMsg = ErrMsg & "<br><li>用户名中含有非法字符</li>"
加上Or InStr(RegUserName, ".") > 0
测试居然还没能注册*.asp,倒塌......
仔细看下REG里的所有文件,发现User_RegPost.asp
看下这里
<!--#include file="../conn.asp"-->
<!--#include file="../inc/md5.asp"-->
<!--#include file="../inc/function.asp"-->
<!--#include file="../API/API_Config.asp"-->
<!--#include file="../API/API_Function.asp"-->
刚才那两个CHECK简直就是废的,根本用不上......
再找到
If CheckUserBadChar(UserName) = False Then
ErrMsg = ErrMsg & "<li>用户名中含有非法字符</li>"
FoundErr = True
End If
看来与CheckUserBadChar这个函数有关
搜索之,发现接近末尾的地方
Function CheckUserBadChar(strChar)
Dim strBadChar, arrBadChar, i
strBadChar = "',%,.,^,&,?,(,),<,>,[,],{,},/,\,;,:," & Chr(34) & ",*,|,"""
arrBadChar = Split(strBadChar, ",")
If strChar = "" Then
CheckUserBadChar = False
往strBadChar 加上“.”号的过滤,测试,OK,提示用户名非法。
真搞不明白动易那帮人怎么想的,一个那么简单的问题搞到那么复杂,连帮忙改的人都给搞复杂来,MMD
PS,我原来还试过把INC里的function.asp里定义SQL注射的地方把.a和.e设置成过滤字符,防止别人注册,但似乎没用,不知道为什么.....没仔细研究了,动易那么变态,什么都爱复杂化的,更懒得研究了......
补丁只测试过2006SP5有效,其他版本貌似那两个CHECK有的有用的,懒得弄了。
于是我下了个动易2005SP5找到REG目录中的User_RegCheck.asp,发现最后面就有一个函数
'**************************************************
'函数名:UserNamefilter(
'作 用:过滤用户名(增强过滤,用户名现用于建立个人文集目录)
'**************************************************
Function UserNamefilter(strChar)
If strChar = "" or IsNull(strChar) Then
UserNamefilter = ""
Exit Function
End If
Dim strBadChar, arrBadChar, tempChar, i
strBadChar = "',%,^,&,?,(,),<,>,[,],{,},/,\,;,:," & Chr(34) & "," & Chr(0) & ",*,|,"""
arrBadChar = Split(strBadChar, ",")
tempChar = strChar
For i = 0 To UBound(arrBadChar)
tempChar = Replace(tempChar, arrBadChar(i), "")
Next
UserNamefilter = tempChar
End Function
%>
直接往 strBadChar 里加上过滤“.”,然后测试,居然还能注册*.asp的文件,晕S。再看到User_CheckReg.asp,真不明白要两个来干什么用,改之
Sub User_CheckReg()
Dim RegUserName
RegUserName = Trim(request("UserName"))
If InStr(RegUserName, "=") > 0 or InStr(RegUserName, "%") > 0 or InStr(RegUserName, Chr(32)) > 0 or InStr(RegUserName, "?") > 0 or InStr(RegUserName, "&") > 0 or InStr(RegUserName, ";") > 0 or InStr(RegUserName, ",") > 0 or InStr(RegUserName, "'") > 0 or InStr(RegUserName, ",") > 0 or InStr(RegUserName, Chr(34)) > 0 or InStr(RegUserName, Chr(9)) > 0 or InStr(RegUserName, " ") > 0 or InStr(RegUserName, "$") > 0 or InStr(RegUserName, "*") or InStr(RegUserName, "|") or InStr(RegUserName, """") > 0 or InStr(RegUserName, "^") > 0 or InStr(RegUserName, "--") > 0 or InStr(RegUserName, ".") > 0 or InStr(RegUserName, "+") > 0 Then
FoundErr = True
ErrMsg = ErrMsg & "<br><li>用户名中含有非法字符</li>"
加上Or InStr(RegUserName, ".") > 0
测试居然还没能注册*.asp,倒塌......
仔细看下REG里的所有文件,发现User_RegPost.asp
看下这里
<!--#include file="../conn.asp"-->
<!--#include file="../inc/md5.asp"-->
<!--#include file="../inc/function.asp"-->
<!--#include file="../API/API_Config.asp"-->
<!--#include file="../API/API_Function.asp"-->
刚才那两个CHECK简直就是废的,根本用不上......
再找到
If CheckUserBadChar(UserName) = False Then
ErrMsg = ErrMsg & "<li>用户名中含有非法字符</li>"
FoundErr = True
End If
看来与CheckUserBadChar这个函数有关
搜索之,发现接近末尾的地方
Function CheckUserBadChar(strChar)
Dim strBadChar, arrBadChar, i
strBadChar = "',%,.,^,&,?,(,),<,>,[,],{,},/,\,;,:," & Chr(34) & ",*,|,"""
arrBadChar = Split(strBadChar, ",")
If strChar = "" Then
CheckUserBadChar = False
往strBadChar 加上“.”号的过滤,测试,OK,提示用户名非法。
真搞不明白动易那帮人怎么想的,一个那么简单的问题搞到那么复杂,连帮忙改的人都给搞复杂来,MMD
PS,我原来还试过把INC里的function.asp里定义SQL注射的地方把.a和.e设置成过滤字符,防止别人注册,但似乎没用,不知道为什么.....没仔细研究了,动易那么变态,什么都爱复杂化的,更懒得研究了......
补丁只测试过2006SP5有效,其他版本貌似那两个CHECK有的有用的,懒得弄了。
系统安全技巧之如何对MSN密码进行修改
[ 2007-03-25 02:47:06 | 作者: sun ]
原来MSN的密码可以通过其主站直接修改,但由于某些合并的问题,所以他(MSN,LIVE)修改密码就更困难了。
下面提供了两种方法:
1.给你一个网站直接登录后,输入你的msn用户名和密码就可以修改了。
2.教你如何一步一步的进入MSN修改密码的提示框。
希望对大家有帮助。
1.直接登录:https://account.live.com/ (推荐)
2.通过MSN进入的详细办法:
登录http://www.msn.com/
在的图标下面是频道列表,再下面是MSN 服务里面有一项叫MSN 客户服务。点击后会弹出一个页面,在这个图标下面你会找到“重新设置密码”,页面会变成一个白色的问题和回答。这是一个MS解答用户的页面,在这个页面下边更改密码才是我们的需要的。
单击后会进入另一个问题就是更改密码。这样我们可以通过点击“1.登录帐户服务。”等待一会,输入你的用户名(Email)和密码就可以进入了。登录成功后点击更改密码就可以修改密码。
下面提供了两种方法:
1.给你一个网站直接登录后,输入你的msn用户名和密码就可以修改了。
2.教你如何一步一步的进入MSN修改密码的提示框。
希望对大家有帮助。
1.直接登录:https://account.live.com/ (推荐)
2.通过MSN进入的详细办法:
登录http://www.msn.com/
在的图标下面是频道列表,再下面是MSN 服务里面有一项叫MSN 客户服务。点击后会弹出一个页面,在这个图标下面你会找到“重新设置密码”,页面会变成一个白色的问题和回答。这是一个MS解答用户的页面,在这个页面下边更改密码才是我们的需要的。
单击后会进入另一个问题就是更改密码。这样我们可以通过点击“1.登录帐户服务。”等待一会,输入你的用户名(Email)和密码就可以进入了。登录成功后点击更改密码就可以修改密码。
警惕!网络交易诈骗多
[ 2007-03-25 02:46:47 | 作者: sun ]
网络诈骗已成为目前一些诈骗分子的主要作案手段。此类案件的发生很难防范,尤其网上银行和电话银行又是一种较为新生的事物,对于大多数群众来说仍然比较陌生,一些规则、手续不是很清楚,犯罪嫌疑人往往会利用这种人们认识上的盲区,实施诈骗。合肥警方在打击犯罪的同时,将我市及周边地区发生的部分案例通报给广大市民,提醒广大市民警惕,不要轻信来历不明的短信,谨慎保管与银行卡有关的一切信息,特别是卡号和密码,以免造成不必要的损失。如有上当受骗者,请及时到公安机关报案。
以“网上购物”为名实施诈骗、盗窃
网上购物是近年来兴起的一种销售方式,它的优势在于销售环节基本上不需要成本,价格比正规渠道便宜。因此,对社会上年轻人有着巨大的吸引力。由此,出现一批犯罪团伙或犯罪分子在互联网上,通过各种新的手段和伎俩选择被害目标,进而伺机实施侵害。
2006年我市公安机关受理以“网上购物”为名的诈骗、盗窃案件达20余起。
2006年4月19日至30日,合肥市民李某在包河区自己家中电脑网站上网上购物,被诈骗12040元。
“无抵押贷款”为诱饵实施诈骗
日前,上海市连续发生数十起以帮助贷款为诱饵,利用网上银行转账的方式实施贷款诈骗的案件。犯罪嫌疑人以无抵押贷款为诱饵,主要是通过网络和当地主流报纸以及发短信的手段发布放贷信息,当被害人要贷款时,则要求被害人开设银行卡,并在卡内存入一定数量的贷款额,以示其具有还贷能力,从而达至诈骗目的。
今年2月9日,郑某根据其舅舅在报纸上看到的贷款广告,向一名姓王的男子联系,要求贷款40万元,该男子要其先在某银行开卡存入10万元,并开通网上银行。12日下午3时许,郑按对方的要求至某银行,开通了网上银行,并存入10万元,15分钟后查该卡内的钱,发现卡内只有15元,后通过银行查询发现钱已被电子汇出。
以“投资海外基金”为由实施诈骗
今年2月13日,何某到浙江某公安分局报案称,通过上家俞某在域名为××××的网站上投资海外基金被骗。
经调查,域名为××××的网站物理地址为美国。投资者经由财务策划师介绍,通过该网站加入海外基金投资,最低投资金额100美元,投资24小时后开始返利,每天返利6%,共返利50次,本金不归还,但收益率高达300%;而财务策划师则可以一次性获得投资者投资总额8%—15%的回扣。1月16日,何某经人介绍将24800元现金交给上家俞某,让俞帮她在网上进行业务操作。当日,俞某将24800元现金汇入其上家伊某的账户。之后,该网页何某的账号中显示投资额3100元美金。从1月17日至27日,俞某先后从其上家伊某处为何获得了9次返还金,每次为1488元人民币,共计13392元,但1月27日以后,何某再也没有获得过返还金。据上家俞某介绍,其上家伊某有很多的下家,最近可能资金周转陷入困境,电话已经难以联系了。
目前该网站仍然能够登录,网页账户中的返还金仍有显示,极有可能是针对国内投资者设立的投资骗局,涉及网上非法集资和网上基金传销等诸多问题。
因此,省城警方再次提醒广大基金投资者保持清醒的头脑,防止上当受骗。
以“网上购物”为名实施诈骗、盗窃
网上购物是近年来兴起的一种销售方式,它的优势在于销售环节基本上不需要成本,价格比正规渠道便宜。因此,对社会上年轻人有着巨大的吸引力。由此,出现一批犯罪团伙或犯罪分子在互联网上,通过各种新的手段和伎俩选择被害目标,进而伺机实施侵害。
2006年我市公安机关受理以“网上购物”为名的诈骗、盗窃案件达20余起。
2006年4月19日至30日,合肥市民李某在包河区自己家中电脑网站上网上购物,被诈骗12040元。
“无抵押贷款”为诱饵实施诈骗
日前,上海市连续发生数十起以帮助贷款为诱饵,利用网上银行转账的方式实施贷款诈骗的案件。犯罪嫌疑人以无抵押贷款为诱饵,主要是通过网络和当地主流报纸以及发短信的手段发布放贷信息,当被害人要贷款时,则要求被害人开设银行卡,并在卡内存入一定数量的贷款额,以示其具有还贷能力,从而达至诈骗目的。
今年2月9日,郑某根据其舅舅在报纸上看到的贷款广告,向一名姓王的男子联系,要求贷款40万元,该男子要其先在某银行开卡存入10万元,并开通网上银行。12日下午3时许,郑按对方的要求至某银行,开通了网上银行,并存入10万元,15分钟后查该卡内的钱,发现卡内只有15元,后通过银行查询发现钱已被电子汇出。
以“投资海外基金”为由实施诈骗
今年2月13日,何某到浙江某公安分局报案称,通过上家俞某在域名为××××的网站上投资海外基金被骗。
经调查,域名为××××的网站物理地址为美国。投资者经由财务策划师介绍,通过该网站加入海外基金投资,最低投资金额100美元,投资24小时后开始返利,每天返利6%,共返利50次,本金不归还,但收益率高达300%;而财务策划师则可以一次性获得投资者投资总额8%—15%的回扣。1月16日,何某经人介绍将24800元现金交给上家俞某,让俞帮她在网上进行业务操作。当日,俞某将24800元现金汇入其上家伊某的账户。之后,该网页何某的账号中显示投资额3100元美金。从1月17日至27日,俞某先后从其上家伊某处为何获得了9次返还金,每次为1488元人民币,共计13392元,但1月27日以后,何某再也没有获得过返还金。据上家俞某介绍,其上家伊某有很多的下家,最近可能资金周转陷入困境,电话已经难以联系了。
目前该网站仍然能够登录,网页账户中的返还金仍有显示,极有可能是针对国内投资者设立的投资骗局,涉及网上非法集资和网上基金传销等诸多问题。
因此,省城警方再次提醒广大基金投资者保持清醒的头脑,防止上当受骗。
不惧黑客 用安全重启删除Hxdef后门
[ 2007-03-25 02:46:24 | 作者: sun ]
Hxdef 是一款隐藏进程、隐藏注册表、隐藏连接、隐藏文件的后门,运行以后,你用任务管理器无法看到相应的进程、注册表这些。
作者还推出了黄金版的Hxdef,这个版本据说可以躲过Iceword、Knlps、Rootkitreveal这些内核级后门检测工具。当然黄金版的是要付钱的。
但我相信,无论他怎么改,使用安全重启一定可以把他找出来。下面是我做的一个简单的介绍,教你如何使用安全重启的。
一、运行我电脑里面一个病毒样本Hxdef,然后安全专家会拦截掉他,为了描述安全重启的功能,我们在这里面允许这个进程运行。
作者还推出了黄金版的Hxdef,这个版本据说可以躲过Iceword、Knlps、Rootkitreveal这些内核级后门检测工具。当然黄金版的是要付钱的。
但我相信,无论他怎么改,使用安全重启一定可以把他找出来。下面是我做的一个简单的介绍,教你如何使用安全重启的。
一、运行我电脑里面一个病毒样本Hxdef,然后安全专家会拦截掉他,为了描述安全重启的功能,我们在这里面允许这个进程运行。
杀软之我见 由熊猫烧香看各款杀毒软件
[ 2007-03-25 02:45:58 | 作者: sun ]
最近熊猫烧香流行,我试了几款杀软,深有体会在这和大家分享一下,看来这个主动防御还是蛮实用的。
杀毒软件用户都会有所体会,通过病毒特征库的严格比对来判别病毒的杀毒方式总是会“慢半拍”,因此用户只得无奈的把杀软的落后杀毒方式比喻成“过期药”。近年杀毒软件厂商为解决这个问题动足了脑筋,以“主动防御”功能为主要特征的新一代防病毒体系已经成为反病毒行业技术主流。既然各主流杀软都相继推出了“主动防御”功能及相关技术,那么究竟哪一款杀软才是主动防御功能的“王中之王”呢?我们在同一测评平台下对“主动防御技术”的各项指标逐一比较。
测评软硬件环境
CPU P4 2.6GA
内存 金士顿 512MB DDR
硬盘 WD 80GB/7200转
网络 中国电信 2MB ADSL独享
操作系统 Windows XP Pro SP2+IE6.0
杀毒软件“主动防御技术”之“实时监控”
现如今各种病毒和木马程序真的可谓是无孔不入,对于从不同途径可能进入到用户系统中的病毒和木马,杀毒软件能够提供的实时监控和主动拦截有害信息的项目越多,用户可能感染病毒和被植入木马程序的机率就会大大得到减少。
参评杀软:
江民:文件、邮件、网页、即时通讯软件、注册表、恶意脚本、系统监测和用户隐私信息等。
特色:注册表、隐私信息和系统监测
金山:文件、邮件、网页、ActiveX控件、即时通讯软件和用户隐私信息等。
特色:ActiveX控件、用户隐私信息
瑞星:网页、注册表、文件、邮件收发、漏洞攻击、引导区和内存等
特色:注册表、漏洞攻击、引导区和内存
诺顿2007:文件、邮件收发、网页、即时通讯软件(不包括QQ)、间谍软件入侵和可移动介质等。
特色:间谍软件、可移动介质
卡巴斯基6.0:文件、邮件收发、网页、注册表、应用程序完整性、Office和系统监测等。
特色:注册表、系统监测
点评:
各杀软通过实时监控,可以将试图“流窜”到系统中的绝大部分电脑病毒拦截于系统之外。因为“用户隐私信息”监控可以快速彻底的防止敏感信息外流,从而达到防“盗号”的目的;而“注册表”监控可以自动捕获任何一种对注册表键值的修改或读写操作,一旦发现存在试图对注册表键值的修改或读写操作,软件会立即报警并可以由用户选择决定是否接受修改或读写。
综合比较,在该项目比拼中,江民KV2007兼有包括“用户隐私信息监控”、“注册表监控”和“系统级行为监测”等在内的多项监控目标,特别是系统监测功能更是给笔者留下了深刻印象,笔者在没有升级病毒库的情况下,在虚拟机中运行了“熊猫烧香”病毒,江民系统监测迅速报警并拦截了病毒,是名副其实的“主动防御”,所以它应该是最大的赢家。另外,笔者这里还遇到了一件有趣的事,由于知道卡巴斯基也具有与江民KV2007相类似的“系统监测功能”,所以笔者也同样在装有卡巴斯基6.0的系统中分别运行虚拟机和“熊猫烧香”病毒,结果卡巴斯基果然在第一时间报警,不过报警后系统便长时间处于死机状态,第二遍实验结果依然如故,不知道是何原因。
杀毒软件用户都会有所体会,通过病毒特征库的严格比对来判别病毒的杀毒方式总是会“慢半拍”,因此用户只得无奈的把杀软的落后杀毒方式比喻成“过期药”。近年杀毒软件厂商为解决这个问题动足了脑筋,以“主动防御”功能为主要特征的新一代防病毒体系已经成为反病毒行业技术主流。既然各主流杀软都相继推出了“主动防御”功能及相关技术,那么究竟哪一款杀软才是主动防御功能的“王中之王”呢?我们在同一测评平台下对“主动防御技术”的各项指标逐一比较。
测评软硬件环境
CPU P4 2.6GA
内存 金士顿 512MB DDR
硬盘 WD 80GB/7200转
网络 中国电信 2MB ADSL独享
操作系统 Windows XP Pro SP2+IE6.0
杀毒软件“主动防御技术”之“实时监控”
现如今各种病毒和木马程序真的可谓是无孔不入,对于从不同途径可能进入到用户系统中的病毒和木马,杀毒软件能够提供的实时监控和主动拦截有害信息的项目越多,用户可能感染病毒和被植入木马程序的机率就会大大得到减少。
参评杀软:
江民:文件、邮件、网页、即时通讯软件、注册表、恶意脚本、系统监测和用户隐私信息等。
特色:注册表、隐私信息和系统监测
金山:文件、邮件、网页、ActiveX控件、即时通讯软件和用户隐私信息等。
特色:ActiveX控件、用户隐私信息
瑞星:网页、注册表、文件、邮件收发、漏洞攻击、引导区和内存等
特色:注册表、漏洞攻击、引导区和内存
诺顿2007:文件、邮件收发、网页、即时通讯软件(不包括QQ)、间谍软件入侵和可移动介质等。
特色:间谍软件、可移动介质
卡巴斯基6.0:文件、邮件收发、网页、注册表、应用程序完整性、Office和系统监测等。
特色:注册表、系统监测
点评:
各杀软通过实时监控,可以将试图“流窜”到系统中的绝大部分电脑病毒拦截于系统之外。因为“用户隐私信息”监控可以快速彻底的防止敏感信息外流,从而达到防“盗号”的目的;而“注册表”监控可以自动捕获任何一种对注册表键值的修改或读写操作,一旦发现存在试图对注册表键值的修改或读写操作,软件会立即报警并可以由用户选择决定是否接受修改或读写。
综合比较,在该项目比拼中,江民KV2007兼有包括“用户隐私信息监控”、“注册表监控”和“系统级行为监测”等在内的多项监控目标,特别是系统监测功能更是给笔者留下了深刻印象,笔者在没有升级病毒库的情况下,在虚拟机中运行了“熊猫烧香”病毒,江民系统监测迅速报警并拦截了病毒,是名副其实的“主动防御”,所以它应该是最大的赢家。另外,笔者这里还遇到了一件有趣的事,由于知道卡巴斯基也具有与江民KV2007相类似的“系统监测功能”,所以笔者也同样在装有卡巴斯基6.0的系统中分别运行虚拟机和“熊猫烧香”病毒,结果卡巴斯基果然在第一时间报警,不过报警后系统便长时间处于死机状态,第二遍实验结果依然如故,不知道是何原因。
克均衡流量帮助互联网抵御大规模DDos攻击
[ 2007-03-25 02:45:46 | 作者: sun ]
编者按:洪水来了怎么办?我们的祖先大禹已经告诉我们,最合理的方法是“疏导”。所以,DDos来了也不要怕,通过流量均衡,我们也能阻断它的疯狂攻击。“简单”的攻击,也应该用“简单”的方法来解决!】
据上周发表的一份报告显示,2月初对互联网骨干网络关键部门的攻击几乎没有造成什么影响,主要原因是采用了新的保护技术。
在上周四发布的一份文档中,ICANN表示,这次对域名系统的分布式拒绝服务攻击证明了Anycast负荷平衡系统的有效性。
据ICANN的文档显示,互联网遭受了来自亚太地区的大规模分布式拒绝服务攻击(distributed denial-of-service),但它顶住了这次攻击。ICANN将互联网的强壮归结为Anycast的技术将流量转移到了最近的服务器上。
在为期8周的攻击中,13台根服务器中的6台受到了攻击。但是,只有2台服务器受到明显的影响。
由于仍然在测试过程中,这2台服务器没有安装Anycast的技术。ICANN表示,由于Anycast的技术已经得到了证明,其余的服务器将很快使用这些技术。
(t003)
据上周发表的一份报告显示,2月初对互联网骨干网络关键部门的攻击几乎没有造成什么影响,主要原因是采用了新的保护技术。
在上周四发布的一份文档中,ICANN表示,这次对域名系统的分布式拒绝服务攻击证明了Anycast负荷平衡系统的有效性。
据ICANN的文档显示,互联网遭受了来自亚太地区的大规模分布式拒绝服务攻击(distributed denial-of-service),但它顶住了这次攻击。ICANN将互联网的强壮归结为Anycast的技术将流量转移到了最近的服务器上。
在为期8周的攻击中,13台根服务器中的6台受到了攻击。但是,只有2台服务器受到明显的影响。
由于仍然在测试过程中,这2台服务器没有安装Anycast的技术。ICANN表示,由于Anycast的技术已经得到了证明,其余的服务器将很快使用这些技术。
(t003)
主流计算机病毒对系统有哪些破坏方式
[ 2007-03-25 02:45:33 | 作者: sun ]
电脑病毒激发后,就可能进行破坏活动,轻者干扰屏幕显示,降低电脑运行速度,重者使电脑软硬盘文件、数据被肆意篡改或全部丢失,甚至使整个电脑系统瘫痪。
常见的破坏方式有:
(1)删除磁盘上特定的可执行文件或数据文件。
(2)修改或破坏文件中的数据。
(3)在系统中产生无用的新文件。
(4)对系统中用户储存的文件进行加密或解密。
(5)毁坏文件分配表。
(6)改变磁盘上目标信息的存储状态。
(7)更改或重新写入磁盘的卷标。
(8)在磁盘上产生“坏”的扇区,减少盘空间, 达到破坏有关程序或数据文件的目的。
(9)改变磁盘分配,使数据写入错误的盘区。
(10)对整个磁盘或磁盘的特定磁道进行格式化。
(11)系统空挂,造成显示屏幕或键盘的封锁状态。
(12)影响内存常驻程序的正常运行。
(13)改变系统的正常运行过程。
(14)盗取有关用户的重要数据。
总之,病毒是程序,它能够做程序所能做的一切事情。
然而,电脑病毒的本质是程序,它也只能做程序所能做的事,并不是无所不能的,它不可能侵入未开机的RAM,也不可能传染一个贴上“写保护”的软盘(除非软盘驱动器物理故障),也不能破坏主机板、烧毁电源,病毒并不是硬件故障和软件问题的“替罪羊”。
常见的破坏方式有:
(1)删除磁盘上特定的可执行文件或数据文件。
(2)修改或破坏文件中的数据。
(3)在系统中产生无用的新文件。
(4)对系统中用户储存的文件进行加密或解密。
(5)毁坏文件分配表。
(6)改变磁盘上目标信息的存储状态。
(7)更改或重新写入磁盘的卷标。
(8)在磁盘上产生“坏”的扇区,减少盘空间, 达到破坏有关程序或数据文件的目的。
(9)改变磁盘分配,使数据写入错误的盘区。
(10)对整个磁盘或磁盘的特定磁道进行格式化。
(11)系统空挂,造成显示屏幕或键盘的封锁状态。
(12)影响内存常驻程序的正常运行。
(13)改变系统的正常运行过程。
(14)盗取有关用户的重要数据。
总之,病毒是程序,它能够做程序所能做的一切事情。
然而,电脑病毒的本质是程序,它也只能做程序所能做的事,并不是无所不能的,它不可能侵入未开机的RAM,也不可能传染一个贴上“写保护”的软盘(除非软盘驱动器物理故障),也不能破坏主机板、烧毁电源,病毒并不是硬件故障和软件问题的“替罪羊”。
专家解析宽带账号安全问题
[ 2007-03-25 02:45:19 | 作者: sun ]
宽带账号失窃问题日趋严重
随着网络化步伐的加快,网络已经成为我们生活中的一部分,近年来我国宽带用户迅猛增长,宽带给家庭用户带来了信息沟通的便利。但是宽带对应的安全问题日益突出,帐户被盗、密码丢失、系统被黑等系列问题又带来了多级代理、恶意盗号、非法充网络游戏币值等更多更严重的问题,也给我国宽带的发展带来了负面影响。
目前,涉及到的宽带安全问题主要是盗用宽带帐号及密码问题。3月12日,北京网通与西城区人民检察院、西城区人民法院、市公安局内保局联合通报了我国第一例盗取宽带账号并上网贩卖的案件,因为盗窃并出售了700多个网通ADSL宽带账号,曾是IT技术人员的罗东标将度过长达12年的铁窗岁月。其实,这个问题由来已久,由于网通ADSL账号不仅能够用于上网,还能够在线购买游戏点数、缴纳视频点播资费等,且开销通常随同用户的座机电话费一同缴纳。经常有人在网上发布“索求某地AD-SL账号和密码”的帖子,甚至还有人发帖宣称“长期提供全国各地低价ADSL账号”,其价格少则数十元,多则上百元。难怪有网民评论说,买卖ADSL,已经形成了网上盗号“黑市”。
除了出售被盗的ADSL账号,一些“黑客”还充当起义务教师,在网上传授“ADSL盗号教程”。在不少网络技术专业论坛中,都可以看到标题类似“如何防止ADSL被盗号”的文章,但仔细阅读后却发现,通篇都是传授利用网络漏洞和黑客软件盗取他人ADSL的手法,还根据操作手法区分出“巧取法”和“豪夺法”,更有黑客在后面跟帖彼此交流盗号经验。
失窃问题症结所在
宽带拨号用户的认证方式主要有PPPOE和WEB认证两种。PPPOE采用先认证,后分配IP的方式,需注意,如果是包月制,采用PPPOE方式不能解决对非法用户的远程停、开机,这些用户可盗用他人帐号及密码上网,采用WEB认证方式也解决不了这个问题。目前国内的宽带用户大多是基于PPPOE的DSL用户,当终端接入INTERNET时需要拨号验证,而验证的用户名及密码是在用户办理宽带业务时取得,由于电信出于管理原因,这个帐号及密码有很大规律可循:用户名很多都以电话号码为基数,加上其他一些简易字母,后边加上诸如@163等的后缀,密码几乎都是电话号码,猜解这个帐号及密码非常容易。
宽带用户对帐号密码更根本没有安全意识,甚至某些宽带安装人员也对用户说,宽带密码不存在安全问题,只有你的电话能用。久而久之,这个隐性问题非常普遍,去找到一个宽带账号非常容易。这个问题也还是根源于电信的政策,目前电信的宽带验证过程如下:第一,你的电话必须办理了宽带业务,物理上线路是可用的。第二,你在拨号时用的用户名及密码是匹配的。
用户名及密码匹配,就是说只要是一对用户名和密码,即使这个用户名密码不和你的线路匹配,你一样可以通过电信的机房设备认证,拨号分得IP连上网。目前电信作了些调整,同一帐号及密码在同一时间只能有一个用户使用。遵循先入为主原则,这样就会引起账号盗用问题。因为ADSL数据信号与普通电话语音信号走不同的频段,而且使用ADSL上网的时候并不经过电话交换机,所以没有办法根据电话号码查出来是谁在盗用你的帐号及密码,这样的后果其实很严重,也就是说使用你的帐号及密码接入网络后一切违法后果均由帐号及密码办理人承担,因为最终确立责任是查找电信的宽带业务记录。
盗窃手段以及用户防范措施
这些不怀好意的人,使用善意的手段,非法盗取用户的宽带接入账号,主要表现及盗取途径如下:
1.使用查看“*”号密码的软件
很多用户为了方便,都在拨号软件中选择保存密码,在Windows XP版本以下的系统中,保存的密码都以“*”显示,这样就不用每次上网都输入密码。保存密码在方便自己的同时,也增加了自己的危险性。如果有不怀好意的人接触你电脑,利用查看星号密码的软件,就可以很容易地知道星号背后真正的密码。
2.使用读取拨号网络密码的专用工具
比较资深的“黑客”们,可以自己编写或从相关黑客站点找到读取拨号网络密码的专用工具,来读出ADSL账户的用户名和密码,比如“Dialupass”工具等。
3. 利用系统漏洞、弱口令入侵
电脑黑客可以利用开放端口和弱口令甚至空口令漏洞侵入用户电脑。黑客可以通过QQ获取对方网段(或直接获取IP),利用扫描工具(例如: Superscan、X-scan等)扫描用户计算机端口并获取IP,再运行客户端连接工具(例如:冰河2.2)侵入用户电脑,只要你的网络是通过宽带账号已经拨通的,他们就可以利用互联星空的“互联星空一点通”功能直接进行远程消费。
宽带,带给用户的应该是便捷,可现在却出现这样的严峻问题。为了广大宽带用户的利益不受侵害,下面给大家简单介绍一些防范措施。
⑴ 注销互联星空账号或取消信用额度
宽带用户如果不打算使用互联星空,应尽快到电信营业厅申请销户或登陆互联星空网站www.chinavnet.com, 在“我的星空”---“我的帐户”---“我要销户”栏目申请注销。如发现账号被别人盗用,立刻修改自己的adsl账号密码,并在“互联星空”的“我的星空”下及时取消所有订购的服务。
⑵ 强化系统,防止黑客入侵
强化系统:及时升级操作系统或打补丁以修补系统漏洞;减少电脑管理员人数;设置安全选项---不显示上次用户名;不要打开来路不明的电子邮件及软件程序,不要回陌生人的邮件;电脑要安装使用必要的防黑软件、防火墙和杀毒软件,并保持定期更新,及时查杀电脑病毒和木马,阻止黑客侵入电脑。一般来说,采用一些功能强大的反黑软件和软件防火墙来保证我们的系统安全。
强化口令:正确设置管理员密码(系统开机密码)和adsl上网密码;数字与字母混合编排,同时包含多种类型的字符,比如大写字母、小写字母、数字、标点符号(@,#,!,$,%,& …);密码应该不少于8个字符;禁用ADSL拨号软件记住密码的功能,即不勾选“记住密码”项。
⑶ 限制开放端口,防止非法入侵
通过限制端口来防止非法入侵,关闭相应开放端口,比如3389端口。简单说来,非法入侵的主要方式可粗略分为2种。(1)扫描端口,通过已知的系统Bug攻入主机。(2)种植木马,利用木马开辟的后门进入主机。如果能限制这两种非法入侵方式,就能有效防止利用黑客工具的非法入侵。而且这两种非法入侵方式有一个共同点,就是通过端口进入主机。要想防止被黑就要关闭这些危险端口,对于个人用户来说,您可以限制所有的端口,因为您根本不必让您的机器对外提供任何服务;而对于对外提供网络服务的服务器,我们需把必须利用的端口(比如WWW端口80、FTP端口21、邮件服务端口25、110等)开放,其他的端口则全部关闭。
对于采用Windows 2000或者Windows XP的用户来说,不需要安装任何其他软件,可以利用“TCP/IP筛选”功能限制服务器的端口。具体设置(关闭的方法)如下:点击“开始→控制面板→网络连接→本地连接→右键→属性”,然后选择“Internet(tcp/ip)”→“属性”,。在“Internet(tcp/ip)属性”对话框中选择“高级”选项卡。在“高级TCP/IP设置”对话框中点选“选项”→“TCP/IP筛选”→“属性”,。在这里分为3项,分别是TCP、UDP、IP协议。假设我的系统只想开放21、80、25、110这4个端口,只要在“TCP端口”上勾选“只允许”然后点击“添加”依次把这些端口添加到里面,然后确定。注意:修改完以后系统会提示重新启动,这样设置才会生效。这样,系统重新启动以后只会开放刚才你所选的那些端口,其它端口都不会开放。
⑷ 关闭默认共享,禁止空连接
当前家用电脑所使用的操作系统多数为Win XP 和Win2000 pro,这两个系统提供的默认共享(IPC$,C$,D$,ADMIN$等)是黑客最喜欢利用的入侵途径,宽带用户可以运行CMD输入net share来查看本机的共享,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。
关闭默认共享可以使用net share 默认共享名 /delete 命令(如 net share C$ /delete),但是这种方法关闭共享后下次开机的时候又出现了,所以如果宽带用户不在局域网内使用共享服务,干脆将“本地连接‘属性中的“网络的文件和打印机共享 ”卸载掉,默认共享就可以彻底被关闭了。
禁止建立空连接的方法是:首先运行regedit,在注册表中找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous(DWORD)的键值由0改为1。
⑸ 使用入侵检测手段,及时防范入侵
最为常见的木马通常都是基于TCP/UDP协议进行client端与server端之间的通讯的,既然利用到这两个协议,就不可避免要在server端(就是被种了木马的机器)打开监听端口来等待连接。我们可以利用查看本机开放端口的方法来检查自己是否被种了木马或其它黑客程序。
可以使用 Windows本身自带的netstat命令(详细方法可使用 netstat /?命令查询)和在windows2000下的命令行工具fport,可以较为有效地看到计算机开放的端口,以及通过开放端口运行的一些可疑程序。及时关闭这些端口,删除这些可疑程序,就能较为有效地保证计算机系统的安全性。
总结
宽带用户应提高网络安全意识,并采取强化系统、限制开放端口、关闭共享等相应的技术防范措施,以防止黑客侵入计算机,减少或避免因宽带账号被盗用而产生的经济损失。
随着网络化步伐的加快,网络已经成为我们生活中的一部分,近年来我国宽带用户迅猛增长,宽带给家庭用户带来了信息沟通的便利。但是宽带对应的安全问题日益突出,帐户被盗、密码丢失、系统被黑等系列问题又带来了多级代理、恶意盗号、非法充网络游戏币值等更多更严重的问题,也给我国宽带的发展带来了负面影响。
目前,涉及到的宽带安全问题主要是盗用宽带帐号及密码问题。3月12日,北京网通与西城区人民检察院、西城区人民法院、市公安局内保局联合通报了我国第一例盗取宽带账号并上网贩卖的案件,因为盗窃并出售了700多个网通ADSL宽带账号,曾是IT技术人员的罗东标将度过长达12年的铁窗岁月。其实,这个问题由来已久,由于网通ADSL账号不仅能够用于上网,还能够在线购买游戏点数、缴纳视频点播资费等,且开销通常随同用户的座机电话费一同缴纳。经常有人在网上发布“索求某地AD-SL账号和密码”的帖子,甚至还有人发帖宣称“长期提供全国各地低价ADSL账号”,其价格少则数十元,多则上百元。难怪有网民评论说,买卖ADSL,已经形成了网上盗号“黑市”。
除了出售被盗的ADSL账号,一些“黑客”还充当起义务教师,在网上传授“ADSL盗号教程”。在不少网络技术专业论坛中,都可以看到标题类似“如何防止ADSL被盗号”的文章,但仔细阅读后却发现,通篇都是传授利用网络漏洞和黑客软件盗取他人ADSL的手法,还根据操作手法区分出“巧取法”和“豪夺法”,更有黑客在后面跟帖彼此交流盗号经验。
失窃问题症结所在
宽带拨号用户的认证方式主要有PPPOE和WEB认证两种。PPPOE采用先认证,后分配IP的方式,需注意,如果是包月制,采用PPPOE方式不能解决对非法用户的远程停、开机,这些用户可盗用他人帐号及密码上网,采用WEB认证方式也解决不了这个问题。目前国内的宽带用户大多是基于PPPOE的DSL用户,当终端接入INTERNET时需要拨号验证,而验证的用户名及密码是在用户办理宽带业务时取得,由于电信出于管理原因,这个帐号及密码有很大规律可循:用户名很多都以电话号码为基数,加上其他一些简易字母,后边加上诸如@163等的后缀,密码几乎都是电话号码,猜解这个帐号及密码非常容易。
宽带用户对帐号密码更根本没有安全意识,甚至某些宽带安装人员也对用户说,宽带密码不存在安全问题,只有你的电话能用。久而久之,这个隐性问题非常普遍,去找到一个宽带账号非常容易。这个问题也还是根源于电信的政策,目前电信的宽带验证过程如下:第一,你的电话必须办理了宽带业务,物理上线路是可用的。第二,你在拨号时用的用户名及密码是匹配的。
用户名及密码匹配,就是说只要是一对用户名和密码,即使这个用户名密码不和你的线路匹配,你一样可以通过电信的机房设备认证,拨号分得IP连上网。目前电信作了些调整,同一帐号及密码在同一时间只能有一个用户使用。遵循先入为主原则,这样就会引起账号盗用问题。因为ADSL数据信号与普通电话语音信号走不同的频段,而且使用ADSL上网的时候并不经过电话交换机,所以没有办法根据电话号码查出来是谁在盗用你的帐号及密码,这样的后果其实很严重,也就是说使用你的帐号及密码接入网络后一切违法后果均由帐号及密码办理人承担,因为最终确立责任是查找电信的宽带业务记录。
盗窃手段以及用户防范措施
这些不怀好意的人,使用善意的手段,非法盗取用户的宽带接入账号,主要表现及盗取途径如下:
1.使用查看“*”号密码的软件
很多用户为了方便,都在拨号软件中选择保存密码,在Windows XP版本以下的系统中,保存的密码都以“*”显示,这样就不用每次上网都输入密码。保存密码在方便自己的同时,也增加了自己的危险性。如果有不怀好意的人接触你电脑,利用查看星号密码的软件,就可以很容易地知道星号背后真正的密码。
2.使用读取拨号网络密码的专用工具
比较资深的“黑客”们,可以自己编写或从相关黑客站点找到读取拨号网络密码的专用工具,来读出ADSL账户的用户名和密码,比如“Dialupass”工具等。
3. 利用系统漏洞、弱口令入侵
电脑黑客可以利用开放端口和弱口令甚至空口令漏洞侵入用户电脑。黑客可以通过QQ获取对方网段(或直接获取IP),利用扫描工具(例如: Superscan、X-scan等)扫描用户计算机端口并获取IP,再运行客户端连接工具(例如:冰河2.2)侵入用户电脑,只要你的网络是通过宽带账号已经拨通的,他们就可以利用互联星空的“互联星空一点通”功能直接进行远程消费。
宽带,带给用户的应该是便捷,可现在却出现这样的严峻问题。为了广大宽带用户的利益不受侵害,下面给大家简单介绍一些防范措施。
⑴ 注销互联星空账号或取消信用额度
宽带用户如果不打算使用互联星空,应尽快到电信营业厅申请销户或登陆互联星空网站www.chinavnet.com, 在“我的星空”---“我的帐户”---“我要销户”栏目申请注销。如发现账号被别人盗用,立刻修改自己的adsl账号密码,并在“互联星空”的“我的星空”下及时取消所有订购的服务。
⑵ 强化系统,防止黑客入侵
强化系统:及时升级操作系统或打补丁以修补系统漏洞;减少电脑管理员人数;设置安全选项---不显示上次用户名;不要打开来路不明的电子邮件及软件程序,不要回陌生人的邮件;电脑要安装使用必要的防黑软件、防火墙和杀毒软件,并保持定期更新,及时查杀电脑病毒和木马,阻止黑客侵入电脑。一般来说,采用一些功能强大的反黑软件和软件防火墙来保证我们的系统安全。
强化口令:正确设置管理员密码(系统开机密码)和adsl上网密码;数字与字母混合编排,同时包含多种类型的字符,比如大写字母、小写字母、数字、标点符号(@,#,!,$,%,& …);密码应该不少于8个字符;禁用ADSL拨号软件记住密码的功能,即不勾选“记住密码”项。
⑶ 限制开放端口,防止非法入侵
通过限制端口来防止非法入侵,关闭相应开放端口,比如3389端口。简单说来,非法入侵的主要方式可粗略分为2种。(1)扫描端口,通过已知的系统Bug攻入主机。(2)种植木马,利用木马开辟的后门进入主机。如果能限制这两种非法入侵方式,就能有效防止利用黑客工具的非法入侵。而且这两种非法入侵方式有一个共同点,就是通过端口进入主机。要想防止被黑就要关闭这些危险端口,对于个人用户来说,您可以限制所有的端口,因为您根本不必让您的机器对外提供任何服务;而对于对外提供网络服务的服务器,我们需把必须利用的端口(比如WWW端口80、FTP端口21、邮件服务端口25、110等)开放,其他的端口则全部关闭。
对于采用Windows 2000或者Windows XP的用户来说,不需要安装任何其他软件,可以利用“TCP/IP筛选”功能限制服务器的端口。具体设置(关闭的方法)如下:点击“开始→控制面板→网络连接→本地连接→右键→属性”,然后选择“Internet(tcp/ip)”→“属性”,。在“Internet(tcp/ip)属性”对话框中选择“高级”选项卡。在“高级TCP/IP设置”对话框中点选“选项”→“TCP/IP筛选”→“属性”,。在这里分为3项,分别是TCP、UDP、IP协议。假设我的系统只想开放21、80、25、110这4个端口,只要在“TCP端口”上勾选“只允许”然后点击“添加”依次把这些端口添加到里面,然后确定。注意:修改完以后系统会提示重新启动,这样设置才会生效。这样,系统重新启动以后只会开放刚才你所选的那些端口,其它端口都不会开放。
⑷ 关闭默认共享,禁止空连接
当前家用电脑所使用的操作系统多数为Win XP 和Win2000 pro,这两个系统提供的默认共享(IPC$,C$,D$,ADMIN$等)是黑客最喜欢利用的入侵途径,宽带用户可以运行CMD输入net share来查看本机的共享,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。
关闭默认共享可以使用net share 默认共享名 /delete 命令(如 net share C$ /delete),但是这种方法关闭共享后下次开机的时候又出现了,所以如果宽带用户不在局域网内使用共享服务,干脆将“本地连接‘属性中的“网络的文件和打印机共享 ”卸载掉,默认共享就可以彻底被关闭了。
禁止建立空连接的方法是:首先运行regedit,在注册表中找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous(DWORD)的键值由0改为1。
⑸ 使用入侵检测手段,及时防范入侵
最为常见的木马通常都是基于TCP/UDP协议进行client端与server端之间的通讯的,既然利用到这两个协议,就不可避免要在server端(就是被种了木马的机器)打开监听端口来等待连接。我们可以利用查看本机开放端口的方法来检查自己是否被种了木马或其它黑客程序。
可以使用 Windows本身自带的netstat命令(详细方法可使用 netstat /?命令查询)和在windows2000下的命令行工具fport,可以较为有效地看到计算机开放的端口,以及通过开放端口运行的一些可疑程序。及时关闭这些端口,删除这些可疑程序,就能较为有效地保证计算机系统的安全性。
总结
宽带用户应提高网络安全意识,并采取强化系统、限制开放端口、关闭共享等相应的技术防范措施,以防止黑客侵入计算机,减少或避免因宽带账号被盗用而产生的经济损失。