来源:蜘蛛抓取(WebSpider)
时间:2016-08-01 08:13
标签:
软件构架实践 pdf
黑客的助手:X-WAY
近日,在网上闲逛,下载一软件X-WAY。虽说该软件主要功能是用来测试系统在网络上的安全性,但是
如果从另外一个角度看,该软件是一个不折不扣
的黑客类软件,具有很强的攻击性!
该软件可以在http://www.neartrees8.com 下
载,属于绿色软件,不需安装,解压后即可使用。
但是最好在Windows2000 下使用,笔者曾经在
Windows98 下试用,多次出现假死现象。
运行软件后,主界面如图:
左边为常用工具栏,包括高级扫描、主机搜
索、查询器、猜解机等;中间为主机列表;右边黑
色的为扫描过程框;底下的为扫描成功后的结果。
一、高级扫描
主要用来对系统进行综合性扫描,包括对主机信息收集、漏洞扫描、弱口令探测等。按照需要,对扫描
设置进行配置后,再扫描对方的I P 地址,就可以得到对方的主机信息和存在的一些漏洞信息。当然,还可以
对端口、C G I 、探测、猜解进行必要的设置,之后就可以随心所欲使用该软件了。同时,还可以扫描自己的
机器,及时发现自己主机的漏洞。
二、主机搜索
可以利用此工具对某一I P 地址或地址段进行搜索,搜索的范围包括针对端口方式的扫描、P i n g 方式扫描
和共享主机扫描以及搜索自定义CGI 漏洞、IIS 5.0 Null printer 漏洞、IIS SHELL
漏洞、空口令的MS-SQL、匿
名FTP、空口令的Socks5 代理服务器、免费的Http 代理服务器等。
这里需要说明的一点是,以主机共享的方式扫描到某一I P 地址有共享驱动器或文件夹,就可以对该主机
进行控制了。具体方法:假设192.168.2.1 被扫描到已共享,打开“网上邻居→添加网上邻居”,在网上邻居的
位置中填入1 9 2 . 1 6 8 . 2 . 1
,按“下一步”,稍等片刻,该主机的共享资源就呈现在面前了。选择你要控制的驱动
器或文件夹后,再按“下一步”,则在网上邻居中形成一个网络文件夹,点击打开就犹如本地驱动器和文件夹
一样( 当然你和对方的网速都要够快,否则会有1~2 分钟的延时) !你还可以对此文件夹进行随意操作( 前提是对
方对此驱动器的设置为完全共享,如果是凭密码访问就需要借助猜解机破解了) 。
至于CGI 漏洞、IIS 漏洞、匿名FTP、代理服务器等,因为现在使用Windows 9X 上网的占多数,如果不安
装PWS、FTPSER,一般不会出现上述漏洞!
三、查询器
1.DNS 查询:可对域名进行IP 地址转换或IP 到主机之间转换。
2 . 时间查询:对开启时间服务的服务器进行时间查询。
3 . 地址查询:对I P 地址的地理位置进行查询。
4.我的IP:查询本机的IP 。
5.Finger 查询:对主机进行Finger 用户查询。
6.NT 时间:对可进行空连接的WindowsNT 主机进行时间查询。
四、猜解机
利用该软件的此项功能可以对FTP、POP、共享资源和SQL、Socks5 和Http 进行猜解,填入服务器的IP 地
址、端口及用户名,就可以猜密码了。你还可以在猜解配置中对密码的规则进行设置,即三种穷举方法( 字典
法、广度算法穷举自定义字符组合及固定字符组合) 建议选用好的字典!不过在笔者使用过程中发现此功能即
使在Windows 2000 下也经常有假死现象,而且有时不能终止猜解!其他破解软件在此方面就比较稳定!
五、黑匣子
1.Nuke 测试:向Windows 98/98SE 发送IGMP 包测试,结果可能导致攻击目标系统蓝屏、机器重启等。利
用此项功能并配合QQ 显示对方I P 的外挂就可以发挥其威力了。当你不想和某人聊,但他还喋喋不休地向你
发送消息时,你就可以在攻击目标中填入对方IP ,包大小改为600000,次数改为100,然后就向他开火!不久
他就蓝屏重新启动了。不要玩过火啊( 在实际操作中,如果对方在局域网内,则几乎没有效果;对方是拨号上
网,效果比较明显) 。
2.OOB 测试:Windows 95/NT 的OOB 漏洞测试,会导致攻击蓝屏,系统重启动等。现在用Windows
作上网平台的人很少了,想要试验都不会有太多的机会了!
3.MSSQL 测试:向SQL Server 发连续不断的0 字节进行DDos 漏洞测试,有漏洞则会产生拒绝服务。
4.SMTP 测试:测试SMTP 主机配置不当引发的漏洞,非法邮件授权收发,这可能成为跳板攻击对象。
5 . P l u g i n 测试:对指定端口发超长数据,使缓冲区溢出,以达到攻击目的。
如果你的WindowsNT 或Windows2000 打了补丁并适当设置,第3、4、5 项就基本不会形成漏洞。
六、嗅探器
打开嗅探器,并运行,则可以显示外界和你的主机的联系,当有人试图攻击你的主机时,你在捕获筛选
中进行正确的设置后,则不失为一个防范的工具。
总之,X-WAY 是一个较好的系统安全测试软件,不妨一试!
利用Bug 突破《美萍》
说到《美萍》,想必大家都很熟悉。至今仍有些小网吧在使用!对我们这些玩家来说,《美萍》虽给网吧
带来了安全,但却给我们带来了很多的麻烦。比如:要找一些文件,需要利用“我的电脑”,但是被《美萍》
给屏蔽了,只能用I E 来打开文件,这样很不方便,还有其他麻烦我就不一一说了⋯⋯
破解《美萍》的文章已经不计其数,大家可以找些相关的文章读读。这次我给大家说说个人破解《美萍》
的经验。当然和以前的不一样!我是利用《美萍》软件自己的B u g 进入“我的电脑”,就连网管对此法也另眼
在网吧使用IE 打开文件时,发现有的文件被《美萍》屏蔽了,比如:Msconfig、Regedit 等等。屏蔽的方
式是打开的文件被自动关闭。但是在关闭的瞬间,打开的文件窗口会停留一秒左右,我就是利用这不到一秒
钟的时间进行破解的。所谓《美萍》的B u g ,就是在窗口停留那一秒的时间内你用鼠标很快地点击文件窗口
上的“标题栏”,这时窗口就不会关闭,但是“美萍”还在运行。破解的关键在于你要把鼠标放到窗口的边缘,
进行拉伸、缩小,这时《美萍》的B u g 便暴露出来,桌面上会出现“非法操作,请与软件供应商联系”等字
样。这时你只要点“确定”就行了,可恶的《美萍》自动关闭后,以前的蓝天白云就又能看见了,至此破解
顺利完成( 编者注:此法利用的是《美萍》最新版,其他版本的还不曾试过,不过大家可以尝试其他的办法,
希望美萍公司对这Bug 做一个补丁出来) 。
利用注册表实现无共享符的共享
局域网上实现文件夹共享有三种方法:一是一般共享;二是利用“$ ”字符实现隐藏共享;三是无共享符
共享,当然第三种共享方式最为隐蔽。
下表是这三种共享方法的对比( 以共享C 盘为例):
有了右表的详细对比,现在我们就可以通过建立和修改注
册表中的某些值项来实现这三种共享。前两种方法很多资料都
介绍过,我不再赘述了,这里着重讲解比较“奇异”的一种─
─无共享符共享。具体步骤如下:
1 . 点击“开始”菜单中“运行”,在“打开”选项框中输
入“regedit”打开注册表;
2.打开“”分支,
新建一个主键“C$”(或其他名称,如SHARE_C);
3.在“C$”属性框中点右键,新建六个值项:Flags(键值为0x))、Parm1enc(长度为零的二进制)、
Parm2enc(长度为零的二进制)、Path(键值为“C:/”)、Type(默认)、Remark(默认)。
4.按“F5”键刷新桌面(或重启Windows)使注册表修改生效。
然后,你可以打开自己的“网上邻居”,在地址栏中输入“//GRH 计算机名/C$”,就可以看到原来没有
共享的C 盘可以访问了,而且是完全权限的访问。在这种共享情况下,当你右键弹出C 盘属性菜单,打开“共
享”后,发现计算机的C 盘并没有共享,是不是很神奇?如果我们利用上面的原理对注册表编程,只要一个
小小的程序就可以搞定。不过,千万不要有其他企图哦。
剖析黑客软件《网络神偷》
《网络神偷》到底是什么样的黑客软件?笔者经过测试,现解答如下,供大家参考。
原理:《网络神偷》与其他木马一样,采用的是C/S(客户机/ 服务器) 结构。客户端为控制端,服务端为被
以往的木马,客户端要想连接服务端必须具备两个条件:一是服务端运行后,在本机打开一个端口,被
动等待客户端连接;二是客户端必须知道服务端的I P ,然后由客户端主动与服务端相连接,达到访问控制的
目的。这种连接的方法存在两点不足:一是客户端主动与服务端连接,容易受到防火墙的检测和拦截;二是
服务端的I P 不易获得。
《网络神偷》恰恰克服了以上两点不足,它的连接方法巧妙而隐蔽,采用被称为“反弹端口”的原理,这
种连接方式用主页做“中间人”,让服务端主动与客户端连接,巧妙地利用了防火墙严进宽出的弱点,躲过拦
截,使服务端完全暴露在入侵者面前。
流程:客户端启动后,首先登录作者主页的服务器,将自己的IP 等信息写入主页空间中的Nethief_Notify.*、
Nethief_Client.* 两个文件(* 代表扩展名为任意) ,并打开端口监听,等待服务端连接,服务端则定期读取文件
的内容,获得客户端的IP 后,就主动将自己的一些信息( 主机名、互联网IP 地址、局域网IP 地址、地理位置、
上线时间等) 发送给客户端, 客户端接收后就可与服务端连接, 此时主页空间会生成表示连接成功的
Nethief_Connet.* 文件,整个过程采用了RSA 加密技术,因此更具隐蔽性。
危害:《网络神偷》最大的危害是对服务端的危害,这里的服务端不仅指网络终端,还包括局域网内的终
端,这是《网络神偷》与以往木马入侵对象的最大不同。被它成功入侵,将没有了一点隐私和秘密可言。它
能轻易将资料窃取、密码盗走、数据删除、系统崩溃。如果再与其他破坏工具( 如冰河、硬盘毁灭者、QQ 盗
码器) 相结合,就会造成巨大的损失。对客户端表面上没有危害,但当客户端登录FTP 服务器写文件时,你能
保证它不会将你的信息发往别处吗?
防范:关键要从“中间人”入手,只要切断客户端与服务端的连接,《网络神偷》的威胁也就荡然无存。
这要求提供主页空间的服务商,加强对主页空间服务器的管理与检查,对访问量异常突增现象引起警觉,对
Nethief*.* 的文件要坚决清除。
已经中了《网络神偷》的服务端,推荐大家用升过级的杀毒软件进行查杀,也可手工查杀,利用注册表
中的查找功能,逐项检查注册表中所有键值表示的文件,服务端默认的键值是“Internet Explorer”,所表示的
文件是“I E x p l o r e r . e x e ”,大小在8 9 K B ~ 9 0 K B 之间,存放在W i n d
o w s / S y s t e m 下,同时& H K e y _
Local_Machine/Software/Microsoft/Windows/Cur
rentVersion/Run&下的键值要特别注意。
剖析六大黑客软件
互联网上的“黑客”十分猖狂,他们所凭借的黑客软件这把刀子也很锋利,如果你对黑客软件一点都不
了解,不知己知彼,一旦碰上黑客,那你就不能防患于未然,这可是件很不幸的事情。
一、猎手PortHunter
运行于Windows 95/98 系统下。该软件占用大量的Socks 进行端口搜索,从而降低局域网传输的效率,危
害网络安全。它利用系统管理人员的疏忽,盗用SMTP 端口发E-mail(端口119)、盗用没有密码的代理端口(端
口8080)上网、盗用内部使用的FTP 端口(端口25)下载。它一旦找上你,你机器的端口会被黑客盗用,甚至在一
些个人主页上的“免费代理”栏目中出现。这会使一大帮“网虫”一起来用你的端口上I n t e r n e t 、发匿名Em
a i l 、在FTP 上“灌水”、使用“邮箱炸弹”、打网上传呼等。到那时,后果你也想得到了。
解决方法:
对于以N o v e l l 网为框架的局域网,我们可以限制特定程序的运行,如:P r o x y H u n t e r 、X h
u n t e r 、
SocksHunter、Port-Scanner、PortHunter。对于其他框架的局域网用户,也可以在服务器中设定禁止一
些黑客程序的运行。
二、窃贼ProxyThief
运行于Windows 95/98/NT 系统下。它通过将你的电脑设置成代理服务器,让你缴纳网费,用你的IP 连入
I n t e r n e t 干坏事,结果你却成了“替罪羊”。不过前提是,黑客必须直接在你的机器上执行ProxyThief
NetSpy、BO 2000 远程执行它。ProxyThief 的安装是在后台进行的,你应该觉察不到。碰上了,偶尔机器上网
速度变慢;机器不执行任何程序时,硬盘也会无故狂转;用网络监视软件对机器从0 到9999 端口进行扫描,会
找出Free Proxy 端口。一般经验不足的黑客不会修改该软件的缺省值(8080)。如果你的机器不是网关或代理,而
你的端口被黑客盗用。这样你会蒙受巨大经济损失。
解决方法:
启动regedit.exe,查找关键字“ProxyThief”,将所有与之相关的键和键值删除。
三、黑客BO 2000
运行于Windows 95/98/2000 系统下。BO(Back Orifice)2000 是功能最全的TCP/IP
构架的黑客工具。它除了具
有NetSpy 的全部功能外,还支持修改客户端电脑的注册表,支持多媒体操作。数据传输采用加密形式的UDP
包,原理与N e t S p y 大同小异。它攻击你时,你会浑然不觉,中招后,硬盘总是奇怪地在响,这时机器完全在
别人的控制之下,黑客成了超级用户。你的所有操作,都可由BO 2000 自带的“秘密摄像机”录制成“录像
带”。非MS-DOS 的一切窗口中的键盘的按键也会被分门别类地记录下来。
解决方法:
到注册表中,删除
或Run&中的bogui.exe 和BOClient 键值。
四、网标精灵NetSpy
运行于Windows 95/98/NT/2000 系统下。NetSpy 是一个基于TCP/IP
的简单文件传送软件,实际上你可以将
它看作是一个没有权限控制的增强型F T P 服务器软件。通过它,黑客可以神不知鬼不觉地下载和上传目标机
器上的任意文件,并可以执行一些特殊的操作。中招后屏幕上会奇怪地出现一个标题为“信使服务”的对话
框,其内容是黑客在其监控端上指定的;正常执行的程序(游戏、Internet
浏览器、NetTerm、AutoCAD、Word
等等)在无任何提示下关闭;按“Ctrl+Alt+Del”键,在出现的任务栏中会清楚地看到NetSpy 这个进程。电脑是
自己的,上网费是自己交的,但这台电脑别人却可以用,甚至还可以操控你的上网历史、电脑操作全在别人
眼里、毫无隐私可言。据说,它的最新版本戾气消失,但运行仍很隐蔽,可记录装上这个软件的电脑的所有
上过的网站地址和上网使用记录。
解决方法:
到注册表中,删除
或Run&中的netspy.exe 的键值。
五、垃圾王HDFill
运行于Windows 95/98/NT/2000 系统下。HDFill
就是一个“特洛伊木马”,表面上看像个安装程序,实际上
在“安装”过程中产生 个不定大小的文件,直到把你的硬盘灌满为止。安装画面很可爱,可等你发
觉不对时,硬盘中的垃圾已经太多了。 个文件的清除工作量实在太大,如果嫌麻烦,那就格式化硬
盘吧──这幽默可幽默得让人心酸。
解决方法:
用扫描软件对来历不明的程序进行扫描,然后删除。
六、键盘幽灵KeyboardGhost
运行于Windows 95/98/NT/2000 系统下。Windows 系统是一个以消息循环为基础的操作系统。系统的核心
区保留了一定数量的字节作为键盘输入的缓冲区,其数据结构形式是队列。键盘幽灵正是通过直接访问这一
队列,使键盘上输入的密码( 显示在屏幕上的是星号) 得以记录,你的电子邮箱、代理的账号、密码都会被记录
下来,总之,一切涉及以星号形式显示出来的密码窗口的所有符号都会被记录下来。
解决方法:
在注册表中将下的
kg.exe 这一键值删除,并将文件kg.exe 从Windows/System 目录下删除。还有C:/KG.DAT
文件也要删除。
巧补《还原精灵》Bug 的几种方法
解除《还原精灵》的限制无非是通过三种途径:利用启动盘启动;利用WinHEX 磁盘分析软件;在实模
式下改变中断入口地址。我们可以通过限制相关操作来解决:
1 . 在BIOS 中将引导盘设为仅从C 盘启动,或者干脆不要硬盘和软驱,并且禁用USB 接口。
2.修改Msdos.Sys 中的相关值,如
bootmenu=0、bootdelay=0、bootfailsafe=o、bootkeys=0 等,如果装有网管及
相关软件可以禁用F 5 、F 8 等热键。这样一来在启动时就不容易进入实模式状态,如果你还不放心的话,可以
禁用Windows 下的MS-DOS 方式。
3 .有许多人喜欢用WinHEX 去查找内存,由于还原精灵存在此Bug,我们只能尽量把密码设得隐秘些,例
如用空格和ASCII 交替使用就不易被人猜中。
4 .在安装了还原精灵之后,它的外壳程序会安装在yuanzhi 目录(2002 版) 下,你可以让它不自动运行(如在
Msconfig 的启动中去掉钩或删除注册表run 键值中的相关内容) ,然后注销。把yuanzhi 这个目录剪切到其他保
密的目录或者干脆用WinZIP 等打包加密( 如果自己要修改,必须手动启动) ,这样外壳程序就不会出现在托盘
中,而且别人也找不到这个文件夹。为了不让别人从网上下载,我们还需要将下载功能屏蔽掉,或者利用其
他软件禁止还原精灵外壳程序的运行。
5 . 升级你的系统,给用户一般的权限,这样一般人是无法设置还原精灵的( 托盘中为红色) 。我看到许多网
吧的P4 机子只使用Windows98
系统,不知是为安装软件方便,还是为别人提供方便。其实现在不兼容Windows2000
的软件已经很少了,如果你是网管,还是更新你的系统吧!
以上几点是笔者在使用还原精灵中的一些经验,希望能为网管们带来些帮助。
轻松隐藏IP 地址
隐藏器》是一款国产免费软件,体积仅有195KB,大家可以直接到http://down.yyun.com/show.php?
id=43&down=1 下载最新的1.1
版本。解压后找到主程序直接运行,在运行前我们不妨先登录一些能显示本机IP
地址的网站得到目前的I P 地址。
打开《I P 隐藏器》,单击“最新代理服务器”按钮,在右下方的显示框中会显示出软件作者最近测试的一
些代理服务器地址及端口号,从中挑选一个地址( 也可以用自己寻找的代理服务器地址) ,然后在“代理服务器
I P ”和“代理服务器端口”输入框中分别填入I P 地址和端口。
为了得到稳定的服务,我们最好测试一下服务器的速度。单击“开始测试”按钮,程序会自动连接服务
器,并在主界面中间的状态条中显示出该服务器的响应速度(如图a),一般需要挑选响应速度低于10ms
的服务器才不致影响浏览速度。
以上确认无误后点击“使用代理”按钮便完成了软件设置。现在看一看自己I P 地址是不是已经变成了代
理服务器的地址?如果想恢复真实I P 地址,只需再点击一下“关闭代理”,马上就会恢复成你的真实I P 地址,
很方便吧!
IP 地址虽变了过来,但是通过QQ 泄露的IP 地址还是真实的IP ,隐藏器并没有QQ 代理功能,不过服务
器列表中却提供了QQ 代理服务的I P 地址,这些我们需要在QQ 中完成相应的设置。首先在系统托盘用右键
点击QQ 图标,依次选择“参数设置”→“网络设置”标签,点选“使用S o c k s 5 代理服务器”,然后输入QQ
代理服务器I P 地址和端口号,测试一下是否连得通,最后点击“确定”,便完成了QQ 代理的设置。
让《超级保镖2000》形同虚设
本人平生最大的爱好就是装软件、使用软件、卸载软件,因此只要有趣的软件都要装来一用。最近想保
护自己的系统,不让别人删除我的文件,以及让我的光驱、软驱不让别人使用,因此安装了《超级保镖2000》,
听人家说它很好,保护系统不占用空间,很短的时间就能恢复系统,可是我用了过后才发现《超级保镖2 0 0 0 》
形同虚设,别人很容易就能发现我设的密码,轻易地使用我的光驱、软驱,甚至能删除我的所有文件,让我
不能把文件恢复回来。下面我们就来看一看是如何破解的。
首先,我们就来看看《超级保镖2000》的安装目录,如果安装在C 盘,那它的所有文件就在C:/Safedisk 目
录中,我们用记事本打开这个目录的s y s m o d e . i n i
这个文件,此时最敏感的字符跳在你的面前,那不是我设的
高级用户密码吗?没错,这就是我的密码,并且没有任何加密,只要其他用户知道了,你隐藏的光驱、软驱
不就是没有用了吗?如果习惯所有密码都一样,那么别有用心的人知道了你的密码,QQ、E - m i a l 等就不安
其次,如果把sysmode.ini 这个文件里面的内容全部删除,或者干脆把sysmode.ini 这个文件删除,重新启动
计算机,屏幕右下角原来蓝色的“G ”形图标变成了红色。这就是说我们的系统没有在超级保镖的保护之下
了。这时别人就可以卸载你的保镖,进一步删除你的所有文件,此时你只有后悔不已了。
写这篇文章的目的就是提醒广大的电脑爱好者,小心使用软件,不要过分依赖软件来保护你的系统。
深入《天网防火墙》
目前很多读者都用《天网防火墙》来保护自己的电脑。不过,大多数人都只是单纯地开启天网,设置一
下天网防护的级别就完事了,这样做不能让天网起到真正的防护作用。其实只要深入研究一下天网的设置,你
就会发现要让系统固若金汤,并不是一件很难的事情。
一、设置应用程序权限
设置应用程序权限是天网高级设置里的一项功能。大家知道天网的界面有低、中、高三个安全级别。普
通用户使用这三项就够了。不过为了防范未知的漏洞,我们需要进一步“强化”它。
点击系统设置的图案,你会发现这里有一项“应用程序权限:允许所有
的应用程序访问网络,并在规则中记录这些程序”,如果前面有钩,一定要
去掉它!按下“确定”后,我们来测试一下。打开一个下载程序── FlashGet,
下载一个文件试试,天网会立即弹出警告窗口,提示访问网络的程序名称、
访问地址和端口,如果你确认有必要让该程序访问网络,则按下“允许”,同
时勾选“以后都按照这次的操作进行”。这样,FlashGet 访问网络的安全设置
就搞定了。设置错了怎么办?点击应用程序规则图案,在这里你可以找到刚
才设置的应用程序规则,点击“选项”就会出现“应用程序高级设置”菜单,
设置一下就可以了。按照这样的方法,尝试你的机器上所有的程序和服务,
并在天网上一一设置安全规则。以后再遇到某程序试图访问网络时就要多加
小心,仔细观察一下程序文件名,如
果不能确定,最好选择“禁止”,并勾
选“以后都按照这次的操作进行”。如
果在以后的使用中发现某服务不能使
用, 再来怀疑该服务是否被你禁止
了,按照上文所述的方法找到该规则
上述方法适合在新装系统的计算机上应用。已经使用很久的计算机,由于不能确认某些程序是否有
危害,该方法就显得不太适合,可以参考下面所讲的自定义I P 规则的方法。
二、自定义IP 规则
设置应用程序权限只能防止恶意程序或木马向外发送、泄露你的机密,但是它不能防止黑客的主动攻击。
如何让恶意信息不能溜过天网的监视和拦截呢?这就需要我们自定义I P 规则,就好像在自己的计算机上颁布
了治安条例,谁来捣乱就捉谁。当然,“治安条例”不能乱颁,更不能一棍子全部都打死( 连正常网络连接和
服务也被封杀了) ,下面我们就来看看如何设置I P 规则。
1.IP 规则自定义基本步骤
首先,点击自定义I P 规则图案或者点击安全级别上的标记,在这里我们可以看到天网已经内置了不少安
全规则了。这些设置都十分有用,例如防范Ping 命令探测、防范ICMP、IGMP 攻击、防范NetBIOS 漏洞等。我
们可以保留这些安全规则,自己再添加适合本机情况的安全规则。方法是单击“空规则”,在弹出的设置界面
中设置规则名称和满足条件,按下“确定”后,在已经设置好的新规则名称前面打一个勾,这样新规则就会
被启用了。下面我们就具体设置分别举例,让大家有一个直观的印象。
2.禁止所有木马端口
我们可以在I P 安全规则设置里将木马的端口一网打尽,彻底破灭各种木马与网外联系的希望。首先我们
知道大部分的木马都使用服务端和客户端两种程序,服务端就是黑客企图装在你机器上的程序,黑客会试图
通过客户端主动与你的机器上的服务端进行连接。下面以冰河木马为例。
单击“空规则”,填写规则的“名称”为“防范冰河木马”;“说明”可填可不填;数据包方向设置为“接
受或发送”;“对方IP 地址”设置为“任何地址”。切换下面的书签到“UDP”,冰河使用的协议是UDP,监听
端口为7626,所以我们设置“本地端口”为“从7626 到7626”;选择“当满足上面条件时”“拦截”;同时还“记
录”、“警告”、“发声”。单击“确定”后,再勾选新添加的规则,这样冰河木马就拿你没辙了。
其他的木马防范和上例一样,就不多讲了。表中列举几个极度危险的木马端口,记住一定要加入到规则
3.监测危险的服务端口
有的木马程序喜欢将监听端口开在一些常用的网络服务端口上,企图混淆
用户的视听,例如目前流行的“网络神偷”,将监听端口开在8 0 端口上,这样
用户即使用端口扫描软件查看,也会误认为正常。
这里提醒大家一点:一般的上网用户连接网络的本机端口是随机打开的,
只有开放网络服务让别人访问,才会有某些固定的端口开放监听,例如HTTP
的端口80、FTP 的端口21、SMTP 的端口25、POP3 的端口110⋯⋯假如你没有提
供这些网络服务,可以在I P 自定义规则里禁止或者记录l o g 。
我们以监测、禁止本机8 0 端口为例:
点击“空规则”,取名为“防范网络神偷”;数据包方向为“接收或发送”;
对方IP 地址为任何地址;切换书签到TCP,本地端口设置为“从80 到80”;“当
满足上面条件”时设置为“拦截”;同时还“记录”、“警告”,TCP 标志位勾选
“SYN”(SYN 是用来建立连接的标志位) 。单击“确定”,启用该规则。
这里还有一个特殊的例子,例如专门偷窃QQ 密码的GOP 木马,它是利用
SMTP 协议将窃取的密码自动发送到黑客信箱里的。假如你能使用本单位的邮
件服务器( 并且该服务器有发信身份验证) ,配置天网的I P 安全规则就能将风险
减到最小。
方法:首先建立一条允许发信的规则,指定I P 地址为你的专用邮件服务
器,对方端口为25;然后建立一条禁止发信的规则,禁止发送信息到所有的IP 地址,并且对方端口指定为25。
注意允许的规则应该放在禁止的前面。
三、终极大法
假如你是一个宽带网用户,在自己的机器上安装了Web 服务器、FTP 服务器或邮件服务器,并且24 小时
都开放这些服务,自己又是上班族,无法经常照看它。如何尽量让自己的爱机变得安全呢?
第一步,确定本机需要开放的服务,设置允许通行的IP 安全规则,数据包方向为“接收”,TCP 标志位为
第二步,设立一条禁止所有端口和服务的规则。对方I P 地址为任何地址,本机端口和对方端口为所有端
口,数据包方向为“接收”,TCP 标志位为SYN。
允许通过的I P 规则一定要放在禁止规则的前面。
进行了如上设置之后,用户除了访问你的指定端口服务外什么都不能做。这样就最大限度地防止了黑客
的侵扰了。
《万象幻境》的数据安全问题
笔者所在城市的网吧清一色地全是用《万象幻境网吧管理专家》( 以下简称万象) 管理。万象的所有数据都
保存在一个叫“OctLog.mdb”文件里,这个文件可以用Office 的Access 打开。只要双击该文件,会提示输入数
据库密码,输入通用密码“alpha”,选择打开数据,再输入一次“alpha”,见到“userlist”了吗?把它打开看看
发现了什么?会员的卡号、密码、姓名、余额、身份证号码⋯⋯这些数据落在一些别有用心的人手上后果将
非常严重。
问题不是出在万象身上,而是那些网吧管理员的身上。万象默认安装在C 盘,但大多数网吧都把它装在
D 盘,因为担心系统重装嘛!
但是笔者见过有的网吧居然把D 盘完全拿来共享(只读共享的也有) 。攻击者只要把“Octbog.mdb”复制到
本机,然后传到自己邮箱就可以用以上的方法破解了⋯⋯
有些“聪明”一点的管理员会加个密码,只有输入密码才能访问共享目录。但他们不知道Windows 95/98
共享目录密码校验有Bug 吗?只要拷贝一个经过修改的“v r e d i r . v x d
”覆盖掉源文件,重启机器后,在密码框
中按着回车键不放就能进入共享目录了。
笔者写这篇文章的目的不是教大家去盗取数据,而是要提醒那些网吧管理员要注意网吧的数据安全!
网络安全自检扫描指南
在网络安全应用领域,扫描网络和系统漏洞是非常重要的一环。下文就对安全扫描的目的、种类以及应
用进行介绍。
安全扫描器的概念
安全扫描器就是一个软件,依据一个包含协议、服务、操作系统和应用软件等方面漏洞描述的数据库,对
网络或系统执行多种测试和探测,以检查它们有没有被利用、被入侵、被攻击、被安装后门及其他非法进入
的漏洞,最终找到潜在的安全隐患。
安全扫描器是双刃剑,网络管理员使用它可以发现自身不足从而采取对策,入侵者则可以用它发现别人
的缺点进而发起攻击。因此,正义者所要做的就是:定期对网络和系统进行漏洞扫描,在入侵者发现漏洞并
实施攻击之前,尽快修补漏洞,例如后门程序、不良端口、恶意代码等。
安全扫描器的应用分类
通常,安全扫描器主要有两种应用形式:扫描工具和扫描服务,以下分别介绍。
1.扫描工具
就是指在自己的计算机上安装并运行安全扫描软件,扫描网络和系统的漏洞。与反病毒软件必须及时升
级病毒库一样,安全扫描软件也要不断地更新其漏洞描述数据库才能保证安全。
2.扫描服务
这是一种新型的应用方式,根据与安全公司所签署和订购的扫描服务,专业人员会按照预定的时间定期
对用户的系统和网络进行仔细的漏洞扫描,提交详尽的网络安全状态报告和可操作对策。安全扫描服务中的
一些程序可以在规定的间隔自动启动,另外一些则需要临时调整路由器或防火墙的规则,给扫描服务授予更
高权限,不过这些权限通常都是被拒绝的。还有一些是向用户提供各种安全计划。
常用扫描工具介绍
Nessus 是一个很出色的免费安全扫描软件,它不仅能扫描所有类型的设备,如多种类型的防火墙和服务器,
还能模拟多种类型的攻击,提供一套丰富的Windows 系统扫描和漏洞探测的方案。Nessus 的可用插件数目非常
惊人,大约近800 个,许多专家都认为Nessus 比市场上见到的所有安全扫描器都要好,甚至包括那些价值几千
美金的商业软件包。管理员们快快享用吧!地址是:http://www.nessus.org。
管理员要特别注意以下几点:
● 作为一个免费软件,Nessus 在大的方面与Unix 关系密切,在小的方面与Linux 关系密切,虽然已经有
了一个Windows 版本,但是它的维护升级还不能与Unix 版本相抗衡。安装、配置和调整这个软件不仅需要对
U n i x 的一些版本能很好的掌握,而且还要有编译和适应复杂执行环境的能力。
● Nessus 本身很强大也很复杂,与其他精品一样,只有深刻地学习它、及时地升级它、精心地维护它,才
能让这柄双刃剑永久锋利!
● 作为一个非商业产品,对于那些有足够的技术和知识的人,N e s s u s 确实很吸引人,而对于那些缺乏这
些知识和技术的人或者没有时间的人,选择其他有专家技术支持的产品会更好。
2.ISS(Internet Security Systems)
ISS 是一个针对特定类型服务器、系统和网络的安全扫描产品家族,特别值得一提的是其中的Online Scanner(
在线扫描器)、RealSecure 和其他SAFEsuite 组件。地址是:http://www.iss.net。
3.Network Security Systems LANPatrol
为用户提供一个扫描工具,用来进行内部和外部网络的安全审核。和ISS 产品一样,LANPatrol 在检查网
络的潜在漏洞方面很擅长。地址是:http://www.netsecuritysys.com/products.html。
4.CyberCop 扫描器
该公司的相关产品组成了一个功能强大的安全扫描器,并且专家们形容“其入侵检测系统是艺术级的”。
地址是:http://www.pgp.com/products/cybercop-scanner。
5.NetIQ 的Security Analyzer
该产品能够很好地扫描Windows、Sun Solaris 以及Red Hat Linux
操作系统,从售价上看,它也是这里所提
到的选择中价格最低的。地址是:http://www.netiq.com
6.更多网络安全工具宝库
以上列出的是一些流行且经典的安全扫描软件,实际上还有许多宝藏和不断生产出的明珠,如果你想去
探索,请看看以下地址吧:http://www.networkintrusion.co.uk/scanners.htm。
看了这么多商品,无论是免费产品,还是花了钱购买的产品,一定要及时升级漏洞描述数据库!
常用扫描服务种类
接下来看看都有哪些安全公司可以为我们的网络保驾护航。
1.Steve Gibson research
在这里可以使用免费的ShieldsUp 和Probe My Ports 服务(探测我的端口)。ShieldsUp
用于检测机器是否存在
安全漏洞,Probe My Ports 用于探测机器中处于打开状态的端口。除了详尽地向用户汇报这些信息外,这个网
站还能将扫描中所发现的各种开着的“门窗”关上。地址是:http://grc.com。
2.SecuritySpace
这里向用户出售各种可以订购的安全扫描工具。用户可以首先访问它执行一个免费扫描,从中得知它能
够提供的检查和服务种类样本,然后再决定是否花费相对便宜的价格购买一次更复杂的扫描。地址是:h t t p : /
/www.securityspace.com。
3.HackerWhacker
这里的服务非常全面。使用它进行扫描,你将会发现许多以前不曾想到的开放端口正在“笑脸相迎”等
待入侵者的到来。它不仅仅功能全面,而且使用层次也很多,例如点击Quick Scan(快速扫描) ,就可以对系统
尝试一次免费扫描。同S e c u r i t y S p a c e 一样,H a c k e r W h a c k e r
也出售扫描服务。地址是:h t t p : / /
www.hackerwhacker.com。
4.DSL Reports
这个站点主要是为D S L ( 数字用户线路) 用户服务的,提供一个相当彻底的TCP 和UDP 端口扫描,以及
NetBIOS 扫描,后者对于连接到Internet 的Windows 机器非常有必要。根据使用经验看,这大概是免费服务中
最彻底完整的扫描了。地址是:http://www.dslreports.com/scan。
5.Symantec Security Check
这是老资格的反病毒软件销售商S y m a n t e c 公司为适应新时代的发展而提供的一款免费工具,可用于在系
统和网络上,既反病毒又进行安全扫描。这个工具可以执行一些其他免费扫描服务不进行的检查,其中最引
人注目的是浏览器的安全和隐私设置。地址是:http://www.symantec.com/securitycheck
6.其他服务商
除了以上介绍的著名安全扫描服务提供商以外,还有其他许多销售商提供订购或“付款即服务”( p a y - a s -
you-go) 的安全扫描及其他安全服务。最适合我们需求的就是最好的!所以,多了解一些这类厂商的情况,也
是好的。它们的地址分别是:
● eSecurity
online:http://www.esecurityonline.com,提供各种风险管理服务,包括定期安全扫描。
Guardent:http://www.guardent.com,提供所有类型的安全服务,包括漏洞评估及对所发现漏洞的处方。
Metases:http://www.metases.com,提供种类多样的安全服务,不仅能评估安全状态,还能帮助组织维护
● RedSiren Technologies:http://www.redsiren.com,提供1stWatch
服务评估和监控安全事件,包括安全工
具的配置和相关管理服务。
7.更多的安全扫描服务
在搜索引擎上比如http://www.Yahoo.com 或者http://www.google.com 上搜索字符串“free
security scan”,将
会发现更多的免费安全扫描服务信息。
关于安全服务,我们还要认识到在与安全扫描服务建立关系时,把其他方面的安全问题也委托给这些服
务提供者。管理者是帅,要统筹规划、确定方针;服务商是将,冲锋陷阵、堵敌杀敌!
以上讨论了网络安全领域中的安全扫描应用问题,管理员可以使用本地工具或者购买扫描服务,也可以
综合它们联合使用。无论怎样,我们的目标很明确:要先于攻击者扫描前进行自我检查。
网络拒绝服务攻击及解决方案
I n t e r n e t 给全世界的人们带来了无限的生机,真正实现了无国界的全球村。但是还有很多困扰我们的因素,
像I P 地址的短缺,大量带宽的损耗以及政府规章的限制和编程技术的不足。现在,由于多年来网络系统累积
下了无数的漏洞,我们将面临着更大的威胁,网络中潜伏的好事者将会以此作为缺口来对系统进行攻击,我
们也不得不为以前的疏忽付出更大的努力。虽然大多的网络系统产品都标榜着安全的旗号,但就我们现在的
网络协议和残缺的技术来看,危险无处不在。
拒绝服务攻击是一种遍布全球的系统漏洞,黑客们正醉心于对它的研究,而无数的网络用户将成为这种
攻击的受害者。Tribe Flood
Network、tfn2k、smurf、targa⋯还有许多的程序都在被不断地开发出来。这些程序
像瘟疫一样在网络中散布开来,使得我们的村落更为薄弱,我们不得不找出一套简单易用的安全解决方案来
应付黑暗中的攻击。
在这篇文章中我们将会提供:
( 1 ) 对当今网络中的拒绝服务攻击的讨论。
( 2 ) 安全环境中的一些非技术性因素以及我们必须克服的一些障碍问题。
( 3 ) 如何认清产品推销商所提供的一些谎言。
在我们正式步入对这些问题的技术性讨论之前,让我们先从现实的生活中的实际角度来看一下这些困扰
我们的问题。
一、当前的技术概况
在我们进入更为详细的解决方案之前首先对问题做一下更深入的了解。
与安全相关的这些小问题如果详细讲能成为一个大的章节,但限于篇幅的原因,我们只能先作一下大体
( 1 ) 软件弱点是包含在操作系统或应用程序中与安全相关的系统缺陷,这些缺陷大多是由于错误的程序编
制、粗心的源代码审核、无心的副效应或一些不适当的绑定所造成的。根据错误信息所带来的对系统无限制
或者未经许可的访问程度,这些漏洞可以被分为不同的等级。
( 2 ) 典型的拒绝服务攻击有如下两种形式:资源耗尽和资源过载。当一个对资源的合理请求大大超过资源
的支付能力时就会造成拒绝服务攻击( 例如,对已经满载的Web 服务器进行过多的请求。) 拒绝服务攻击还有可
能是由于软件的弱点或者对程序的错误配置造成的。区分恶意的拒绝服务攻击和非恶意的服务超载依赖于请
求发起者对资源的请求是否过分,从而使得其他的用户无法享用该服务资源。
( 3 ) 错误配置也会成为系统的安全隐患。这些错误配置通常发生在硬件装置,系统或者应用程序中。如果
对网络中的路由器,防火墙,交换机以及其他网络连接设备都进行正确的配置会减小这些错误发生的可能性。
如果发现了这种漏洞应当请教专业的技术人员来处理这些问题。
如果换个角度,也可以说是如下原因造成的:
( 1 ) 错误配置。错误配置大多是由于一些没经验的,无责任心的员工或者错误的理论所导致的。开发商一
般会通过对你进行简单的询问来提取一些主要的配置信息,然后再由经过专业培训并相当内行的专业人士来
解决问题。
( 2 ) 软件弱点。由于使用的软件几乎完全依赖于开发商,所以对于由软件引起的漏洞只能依靠打补丁,安
装hot fixes 和Service packs
来弥补。当某个应用程序被发现有漏洞存在,开发商会立即发布一个更新的版本来
修正这个漏洞。
( 3 ) 拒绝服务攻击。拒绝服务攻击大多是由于错误配置或者软件弱点导致的。某些DoS 攻击是由于开发协
议固有的缺陷导致的,可以通过简单的补丁来解决,还有一些导致攻击的系统缺陷很难被弥补。最后,还有
一些非恶意的拒绝服务攻击的情况,这些情况一般是由于带宽或者资源过载产生瓶颈导致的,对于这种问题
没有一个固定的解决方案。
二、深入DoS
DoS 的攻击方式有很多种。最基本的DoS 攻击就是利用合理的服务请求来占用过多的服务资源,致使服务
超载,无法响应其他的请求。这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者向内的连接。
这种攻击会导致资源的匮乏,无论计算机的处理速度多么快,内存容量多么大,互联网的速度多么快都无法
避免这种攻击带来的后果。因为任何事都有一个极限,所以总能找到一个方法使请求的值大于该极限值,因
此就会使所提供的服务资源匮乏,比如无法满足需求。千万不要自认为拥有了足够宽的带宽就会有一个高效
率的网站,拒绝服务攻击会使所有的资源变得非常渺小。
传统上,攻击者所面临的主要问题是网络带宽,由较小的网络规模和较慢的网络速度,无法使攻击者发
出过多的请求,然而,类似“the ping of death”的攻击类型仅需要很少量的包就可以摧毁一个没有打过补丁
的UNIX 系统。当然,多数的DoS 攻击还是需要相当大的带宽的,但是高带宽是大公司所拥有的,而以个人
为主的黑客很难享用。为了克服这个缺点,恶意的攻击者开发了分布式的攻击。这样,攻击者就可以利用工
具集合许多的网络带宽来对同一个目标发送大量的请求。
以下的两种情况最容易导致拒绝服务攻击:
( 1 ) 由于程序员对程序错误的编制,导致系统不停地建立进程,最终耗尽资源,只能重新启动机器。不同
的系统平台都会采取某些方法防止一些特殊的用户来占用过多的系统资源,我们也建议尽量采用资源管理的
方式来减轻这种安全威胁。
( 2 ) 还有一种情况是由磁盘存储空间引起的。假如一个用户有权利存储大量的文件的话,他就有可能只为
系统留下很小的空间用来存储日志文件等系统信息。这是一种不良的操作习惯,会给系统带来隐患。这种情
况下应该对系统配额作出考虑。
从安全的角度来看,本地的拒绝服务攻击可以比较容易地追踪并消除。而我们这篇文章主要是针对网络
环境下的D o S 攻击。下面我们大体讨论一下较为常见的基于网络的拒绝服务攻击:
(1)Smurf (directed
broadcast)。广播信息可以通过一定的手段(通过广播地址或其他机制)发送到整个网络中的
机器。当某台机器使用广播地址发送一个ICMP echo 请求包时(例如PING),一些系统会回应一个ICMP echo 回
应包,也就是说,发送一个包会收到许多的响应包。S m u r f 攻击就是使用这个原理来进行的,当然,它还需要
一个假冒的源地址。也就是说在网络中发送源地址为要攻击主机的地址,目的地址为广播地址的包,会使许
多的系统响应发送大量的信息给被攻击主机( 因为他的地址被攻击者假冒了) 。使用网络发送一个包而引出大量
回应的方式也被叫做“放大器”,这些smurf 放大器可以在www.netscan.org 网站上获得,一些无能的或不负责
任的网站仍有很多的这种漏洞。
(2)SYN flooding 一台机器在网络中通讯时首先需要建立TCP 握手,标准的TCP 握手需要三次包交换来建
立。一台服务器一旦接收到客户机的SYN 包后必须回应一个SYN/ACK 包,然后等待该客户机回应给它一个
ACK 包来确认,才真正建立连接。然而,如果只发送初始化的SYN 包,而不发送确认服务器的ACK 包会导致
服务器一直等待ACK 包。由于服务器在有限的时间内只能响应有限数量的连接,这就会导致服务器一直等待
回应而无法响应其他机器进行的连接请求。
(3)Slashdot effect 这种攻击手法使Web 服务器或其他类型的服务器由于大量的网络传输而过载,一般这些
网络流量是针对某一个页面或一个链接而产生的。当然这种现象也会在访问量较大的网站上正常发生,但我
们一定要把这些正常现象和拒绝服务攻击区分开来。如果你的服务器突然变得拥挤不堪,甚至无法响应更多
的请求时,你应当仔细检查一下这个资源匮乏的现象,确认在1 0 0 0 0 次点击里全都是合法用户进行的,还是由
5000 个合法用户和一个点击了5000 次的攻击者进行的。
拒绝服务一般都是由过载导致的,而过载一般是因为请求到达了极限。
三、拒绝服务攻击的发展
由于我们防范手段的加强,拒绝服务攻击手法也在不断的发展。
Tribe Flood Network (tfn) 和tfn2k
引入了一个新概念:分布式。这些程序可以使得分散在互联网各处的机
器共同完成对一台主机攻击的操作,从而使主机看起来好像是遭到了不同位置的许多主机的攻击。这些分散
的机器由几台主控制机操作进行多种类型的攻击,如UDP flood、SYN flood 等。
操作系统和网络设备的缺陷在不断地被发现并被黑客所利用来进行恶意的攻击。如果我们清楚的认识到
了这一点,应当使用下面的两步来尽量阻止网络攻击保护我们的网络:
( 1 ) 尽可能地修正已经发现的问题和系统漏洞。
( 2 ) 识别、跟踪或禁止这些令人讨厌的机器或网络对我们的访问。
我们先来讨论一下( 2 ) ,在( 2 ) 中我们面临的主要问题是如何识别那些恶意攻击的主机,特别是使用拒绝服
务攻击的机器。因为这些机器隐藏了他们自己的地址,而冒用被攻击者的地址。攻击者使用了数以千计的恶
意伪造包来使我们的主机受到攻击。" t f n 2 k " 的原理就象上面讲的这么简单,而他只不过又提供了一个形象的
界面。假如你遭到了分布式的拒绝服务攻击,实在是很难处理。
解决此类问题的一些专业手段??包过滤及其他的路由设置
用一些简单的手法来防止拒绝服务式的攻击。最为常用的一种当然是时刻关注安全信息以期待最好的方
法出现。管理员应当订阅安全信息报告,实时地关注所有安全问题的发展。
第二步是应用包过滤的技术,主要是过滤对外开放的端口。这些手段主要是防止假冒地址的攻击,使得
外部机器无法假冒内部机器的地址来对内部机器发动攻击。
我们可以使用Cisco IOS 来检查路由器的详细设置,当然,它也不仅限于Cisco 的设备,但由于现在Cisco
设备在网络中占有了越来越多的市场份额( 8 3 % ) ,所以我们还是以它为例子,假如还有人有其他的例子,我们
也非常高兴你能提供宝贵信息。
登录到将要配置的路由器上,在配置访问控制列表之前先初始化一遍:
c3600(config)#access-list 100 permit ip 207.22.212.0 0.0.0.255
c3600(config)#access-list 100 deny ip any any
然后我们假设在路由器的S0 口上进行ACL 的设置,我们进入S0 口,并进入配置状态:
c3600(config)#int ser 0
c3600(config-if)#ip access-group 100 out
通过显示access-list 来确认访问权限已经生效:
c3600#sho access-lists 100
Extended IP access list 100
permit ip 207.22.212.0 0.0.0.255 any (5 matches)
deny ip any any (25202 matches)
对于应该使用向内的包过滤还是使用向外的包过滤一直存在着争论。RFC 2267 建议在全球范围的互联网
上使用向内过滤的机制,但是这样会带来很多的麻烦,在中等级别的路由器上使用访问控制列表不会带来太
大的麻烦,但是已经满载的骨干路由器上会受到明显的威胁。
另一方面,ISP 如果使用向外的包过滤措施会把过载的流量转移到一些不太忙的设备上。 ISP 也不关心消
费者是否在他们的边界路由器上使用这种技术。当然,这种过滤技术也并不是万无一失的,这依赖于管理人
员采用的过滤机制。
我们经常会听到设备销售或集成商这样的推脱之词,他们总是说使用ACL 会导致路由器和网络性能的下
降。ACL 确实会降低路由器的性能并加重CPU 的负载,但这是微乎其微的。我们曾经在Cisco 2600 和3600 系
列路由器上作过实验:
以下是不使用和使用ACL 时的对照表:
Test Speed w/o ACL (Mbps) w/ ACL (Mbps) w/o ACL (total time) w/ ACL
(total time) % change
Cisco Mbps → 100 Mbps File transfers 36.17 Mbps 35.46 Mbps
88.5 90.2 2.50%
Cisco 3600 10Mbps → 10Mbps File transfers 7.95 Mbps 8.0Mbps 397 395
使用的路由器配置如下:
Cisco 3640 (64MB RAM, R4700 processor, IOS v12.0.5T)
Cisco MB RAM, MPC860 processor, IOS v12.0.5T)
由表我们可以看出,在使用ACL 前后对路由器性能的影响并不是很大。
四、使用DNS 来跟踪匿名攻击
也许大家仍旧保存着侥幸心理,认为这些互联网上给我们带来无数麻烦的D o S 漏洞或许随着路由器包过
滤、网络协议升级到I P v 6 或者随时的远程响应等手段变得越来越不重要,但从一个具有责任感的网管的观点
来看,我们的目标并不是仅仅阻止拒绝服务攻击,而是要追究攻击的发起原因及操作者。
当网络中有人使用假冒源地址的工具( 如t f n 2 k ) 时,我们虽然没有现成的工具来确认它的合法性,但我们可
以通过使用DNS 来对其进行分析:
假如攻击者选定了目标http://www.technotronic.com,他必须首先发送一个DNS
请求来解析这个域名,通
常那些攻击工具会自己执行这一步,调用gethostbyname()函数或者相应的应用程序接口,也就是说,在攻击事
件发生前的DNS 请求会提供给我们一个相关列表,我们可以利用它来定位攻击者。
使用现成工具或者手工读取DNS 请求日志,来读取DNS 可疑的请求列表都是切实可行的,然而,它有三
个主要的缺点:
( 1 ) 攻击者一般会以本地的DNS 为出发点来对地址进行解析查询,因此我们查到的DNS 请求的发起者有可
能不是攻击者本身,而是他所请求的本地DNS 服务器。尽管这样,如果攻击者隐藏在一个拥有本地DNS 的组
织内,我们就可以把该组织作为查询的起点。
(2)攻击者有可能已经知道攻击目标的IP 地址,或者通过其他手段(host, ping)知道了目标的IP 地址,亦或是
攻击者在查询到IP 地址后很长一段时间才开始攻击,这样我们就无法从DNS 请求的时间段上来判断攻击者( 或
他们的本地服务器) 。
(3)DNS 对不同的域名都有一个缺省的存活时间,因此攻击者可以使用存储在DNS 缓存中的信息来解析域
名。为了更好做出详细的解析记录,你可以把DNS 缺省的TTL 时间缩小,但这样会导致DNS 更多地去查询,
所以会加重网络带宽的负担。
在许多情况下,只要你拥有足够的磁盘空间,记录所有的DNS 请求并不是一种有害的做法。在BIND8.2
中做记录的话,可以在named.conf 中加入下面的几行:
channel requestlog { file "dns.log"; };
category queries { };
五、使用 ngrep 来处理tfn2k 攻击
根据使用DNS 来跟踪tfn2k 驻留程序的原理,现在已经出现了称为ngrep 的实用工具。经过修改的ngrep 可
以监听大约五种类型的tfn2k 拒绝服务攻击(targa3、SYN flood、UDP flood、ICMP flood
和smurf),它还有一个循
环使用的缓存用来记录DNS 和ICMP 请求。如果ngrep 发觉有攻击行为的话,它会将其缓存中的内容打印出来
并继续记录ICMP 回应请求。假如攻击者通过p i n g 目标主机的手段来确定攻击目标的话,在攻击过程中或之
后记录ICMP 的回应请求是一种捕获粗心的攻击者的方法。由于攻击者还很可能使用其他的服务来核实其攻
击的效果( 例如W e b ),所以对其他的标准服务也应当有尽量详细的日志记录。
还应当注意,ngrep 采用的是监听网络的手段,因此,ngrep 无法在交换式的环境中使用。但是经过修改的
ngrep 可以不必和你的DNS 在同一个网段中,但是它必须位于一个可以监听到所有DNS 请求的位置。经过修
改的ngrep 也不关心目标地址,你可以把它放置在DMZ 网段,使它能够检查横贯该网络的tfn2k 攻击。从理论
上讲,它也可以很好地检测出对外的t f n 2 k 攻击。
运行 ngrep, 你将看到:
Ngrep with TFN detection modifications by wiretrip /
www.wiretrip.net
Watching DNS server: 10.0.0.8
interface: eth0 (10.0.0.0/255.255.0.0)
从这里开始ngrep 将监听tfn2k 攻击,如果检测到攻击, ngrep 将在屏幕上打印:
Sun Jan 9 17:30:01 2000
A TFN2K UDP attack has been detected!
Last (5000) DNS requests:
《list of IPs that made DNS requests, up to DNS_REQUEST_MAX
Last (1000) ICMP echo requests (pings):
《list of IPs that made ICMP echo requests, up to ICMP_REQUEST_MAX
Incoming realtime ICMP echo requests (pings):
《all ICMP echo requests since the attack was detected》
以上的列表并不是唯一的,可以对它进行调整让它不仅显示是谁请求,而且请求多少次,频率为多少等
等。在ICMP flood 事件中,ICMP 回应请求的报告中将不包括作为tfn2k flood 一部分的ICMP 包。Ngrep
报告检测出来的除smurf 之外的攻击类型(TARGA、UDP、SYN、 ICMP 等)。混合式的攻击在缺省情况下表现为
ICMP 攻击,除非你屏蔽了向内的ICMP 回应请求,这样它就表现为UDP 或SYN 攻击。这些攻击的结果都是基
本类似的。
校园电话卡上网的安全拨号方法
上一篇文章《用201 卡电话上网不安全》谈到通过日志会查看到201 卡的账号和密码等信息( 实际是下次打
用201 电话上网不安全
大学生上网多半采用201 电话+165 包月卡。拨号时在用户名栏里填上卡号如“sx003400xxxxx”,密码栏里填
上密码如“1234”。电话号码栏里填上“201,34,165”(其中 是201 卡号,1234
是密码),然
后点“连接”。
以上说的是针对西安市高校的,但是你是否想到,这样安全吗?在桌面右击“我的电脑”,选择“设备管
理器”选项卡。单击调制解调器前的加号,然后右击你的调制解调器,如“ESS ES56TH-PI Data Fax Voice
Modem”。这时会弹出“ESS ES56TH-PI
Data Fax Voice Modem 属性”窗口,点击
“连接”选项卡,再点击“高级( V ) . . .”会
出现一个“高级连接设置”窗口。点其中
的“查看日志”,请看图! 165 包月卡的卡
号、密码是不是一目了然了?
以上是针对Win98 的操作,在Win2000 下也差不多。以后大家上完网,一定要避免不认识的人接触计算机,
不过最彻底的方法还是清空日志。
用SpyBlocker 保护个人隐私
“SpyBlocker”软件的用途就是阻止并记录侵犯个人隐私的行为。同时是一
款免费软件(下载地址:http://personal.mia.bellsouth.net/mia/k/r/kryp/SB.ZIP),适用
于Win9X/2000/Me/NT/XP 操作系统。美中不足的是英文界面,不过大家不用担
心在操作上会有什么不便,笔者在文中会较为详细说明重要配置及操作。该程
序的兼容性良好,与同类软件或防火墙同时运行不会产生冲突。
当“SpyBlocker”启动后,会在系统托盘上显示出图标,用鼠标左键单击,
将弹出程序主界面。下面,让我们来了解一下主要选项。
日志配置(Log File Configuration)项目中,我们若勾选“Keep a Long File”复
选框,则表示已激活日志记录功能。此后,在下面的文本框中可以设置日志文
开该连接时在“电话号码”一栏中直接就可以看到电话卡的卡号和密码) ,因此作者建议用户上网之后要清空
日志。要是我们记性不好,忘记了清空日志,正好你的机器又有其他人可以接触,那你的账号不就完了吗?
不过,天无绝人之路,如果你采用下面的方法拨号,就不会出现文中出现的危险情况了( 笔者所在的重庆使用
的是校园202 卡)。
1 . 按常规方法建立连接,在“电话号码”中填入I S P 的接入号码比如“1 6 3”,建立连接后,用鼠标右键单
击连接,选“属性”,在弹出的“常规”窗口右下角选“设置”,然后选“连接”,在“拨号首选项”中去掉
“拨号之前等待拨号音”前面的钩( 即不选中) ,再一路单击“确定”,直到退回拨号网络窗口。
2 . 双击该连接,弹出拨号窗口,输入用户名和密码,当然这里输入的不是202 卡号和202 卡的密码,而是
你在I S P 那里注册的用户名和密码( 当然也可以是包月卡的卡号和密码,如果没有选中“保存密码”,那么下次
打开该连接时,密码框是空白) ,关键的一步是此时不要急于按下“连接”。
3 .在与Modem 同线路的电话机上按常规方法拨打202 电话(为方便,可按下电话机免提键后再拨号),需要
注意的是,当听到电话中传出“请拨你要的电话号码或缩位代码”时,停止在电话机上操作。
4 . 接着在第二步弹出的拨号窗口中点击“连接”,结果怎么样?如果不占线,I S P 那边“叽叽咕咕⋯⋯”的
握手声就传过来了。后面的就什么也不需要说了,等连接成功后,你再把电话挂上就可以上网冲浪了。不过
你一定要记得下线前将电话挂上,否则2 0 2 卡的费用就将一次用光!
如果你使用的是其他类型的电话卡,设置方法完全类似。
件的存储路径。若想删除日志可点击“Delete”按钮;若想查看日志则点击“View”按钮;点击“Browse”按
钮可以打开已存在日志或创建新的日志。
此后,我们再看一下程序选项(Program Options)。在此若勾选“Auto Start with
Windows”复选框,表示程
序会随系统一同运行。若勾选“Use Maximum Security”复选框,表示会使用最安全的。若勾选“Skip
选框表示将跳过程序启动画面。若勾选“Don‘t Monitor Web Browsing”复选框,表示会忽略网页浏览。
以上这些基本信息设置完毕之后,点击“OK”按钮保存设置。此后,我们就可以放心大胆地在网际畅游
了。当一段时间之后,我们再次查看一下程序主界面。
在“Program Options”项目中,点击“List”按钮后在弹出对话框中可以设定阻止或清除已截获内容。如
果要想重新对统计信息( S t a t i s t i c s
项目下的各参数项)进行计数,可以点击“Reset”按钮,在弹出对话框中确认
即可。我们点击“Setup”按钮后将弹出“Setup SpyBlocker”对话框,在“Blocked
Urls”列表中显示的是所有
被阻止的网址。在该视图中, 我们还可以自行添加准备拦截的网址或删除指定网址。从图中可以看出,
“SpyBlocker”将所有拦截的网
址全部重定向到“127.0.0.1”,即
本机I P 地址。若还不能肯定,
大家也可参看图中所示的“天
网”防火墙“警告信息”对话
框。如此一来,就完全切断了
计算机与目标网址之间的联
系,个人隐私自然能够得到很
好的保护。
在“SpyBlocker”主界面中
的“Statistics”(统计信息)及“Port
Status”(端口状态)项目中则可以
查看相应的参数。
Access 库文件防盗很简单
在动态网页设计中,通常用Access 做后台数据库,如果有人通过各种方法知道或者猜到了服务器的Access
数据库文件的路径和名称,就能够下载这个A c c e s s 数据库文件,非常危险。
解决的方法:
1 . 为你的数据库文件起个复杂的非常规的名字。并把它放在多层目录下。比如有个数据库要保存的
是有关用户的账户信息,要尽量避免取“user.mdb”之类的名字。如果取“u21345s50kg.mdb”之类,再
把它放在如./kdfg/u123/sdjk/ 的几层目录下,这样黑客要想通过默认猜解的方式得到你的数据库文件
就困难了。
2 . 不要把数据库名写在程序中。有些人喜欢把D S N 写在程序中,比如:
DBPath = Server.MapPath 􊎟&Pmdb01234.mdb&P􊎠
conn.Open &Pdriver= 􊖟 Microsoft Access Driver 􊎟􊊝.mdb 􊎠􊖠􊚠 dbq=&P
万一给人拿到了源程序,你的A c c e s s 数据库就危险了。建议在O D B C 里设置数据源,再在程序中写:
conn.open &Pusername&P。
还可以将Access 数据库的名字改为“mdb01234.asp”这种形式,并将它放在一个允许脚本运行的目
录下,直接在A S P 程序中调用。这样就算黑客知道A c c e s s 数据库的名字也无法轻易下载,这种方法通常
在租用别人服务器时使用。
3 . 使用A c c e s s 软件来为数据库文件编码及加密。首先选取 “工具→安全→加密/ 解密数据库”,选
取数据库文件然后确定,接着会出现“数据库加密后另存为”的窗口,确定后文件就会被编码。
以上的操作并不是对数据库设置密码,而只是对数据库文件加以编码,目的是为了防止他人使用别
的工具来查看数据库文件的内容。
接下来为数据库加密。首先打开经过编码的库文件, 在打开时,选择“独占”方式。然后选取功能表的
“工具→安全→设置数据库密码”, 接着输入密码即可。这样即使他人得到了这个文件,没有密码也是无法看
到内容的。
禁用危险的远程注册表
各位使用Windows 2000 的用户,当你在编辑注册表时,可曾留意注册表编辑器菜单中的“注册表→连接
网络注册表”一项? 微软此举的目的,主要是为了方便网络管理员对网络中的计算机进行管理,但如果被别有
用心的用户对自己的计算机的注册表进行了远程操作,那就非常危险了。而且在Windows 2000 系统中,是默
认允许远程注册表操作的,那么,如何禁用它呢?
点击“开始→设置→控制面板→管理工具→服务”,本地计算机上的所有服务都显示出来了,找到名称为
“Remote Registry Service”、描述为“允许远程注册表操作”的服务,右键点击,选择“属性”。
在对话框“常规→启动类型”处选择“已禁用”就OK 了! 若你以后想启动此服务,选择“自动”即可。为
了自己计算机的安全,赶快行动吧!
五步内八成电脑被当机
国内近年来爆发多起计算机网络犯罪案件,情况各异,手法不断翻新。国内计算机专家忧心忡忡地提出
警告,这仅是“冰山一角”,国内许多开放性的计算机系统安全性严重不足,稍一不慎,遭人恶意入侵破坏,
所爆发的危机将难以收拾。尤其已有黑客宣称,只要五个步骤即可“破解”八成单位的计算机系统,这类系
统安全的漏洞若不尽早修补,实在令人担忧。
目前在网络上常会收到类似贩卖“百万笔电子邮件名单”的广告信函,内容强调各大因特网服务商( I S P )
客户的电子邮件名单“应有尽有”,从拥有电子邮件信箱的用户常在一天中收到三四封广告宣传信件的情形看
来,每个人的电子邮件信箱账号似乎不只亲朋好友才知道,随时会有“第三者”“登门拜访”。
熟悉其中内幕的计算机专家表示,发生此种电子邮件名单被“第三者”获取的情况,绝大多数是因为各
I S P 的系统没有妥善管理,防护措施薄弱。只要具有较强计算机技术的“第三者”大致了解电子邮件系统的文
件配置,便很容易在登入该主机后,以基本的“更换目录”命令,登录到该主机上,所有的电子邮件账号便
一目了然。依此类推,百万笔电子邮件名单便成了“探囊取物”,随即被有心人士转卖获利。
对网络有深刻观察的学者指出,这还只是电子邮件名单,牵涉不了多严重的利害关系。可是,当被“获取”
的数据从电子邮件名单,变成公司企业内部的客户名单、机密档案、人事数据、财务报表等,如同商业间谍般
贩卖给竞争对手,其间所潜藏的纠纷与危机就不是三言两语可以带过的。一旦企业间的竞争因不当运用信息科
技而“恶性化”,整个国家的经济体质也会遭到难以估计的损失,可能引发的连锁效应,必须严加防范。
一个熟悉国内黑客行径的I S P 经营业者表示,某“黑客”宣称现今国内八成公家机关的计算机系统非常
“好破”,只要五个步骤,即可获得掌控系统的最高权力。他强调当系统处理数据的份量日增后,安全防护的
效能仍维持现状的话,真正的问题就要开始了。
巧妙保护文本型数据安全
小型的数据存储中, 文本型数据库( 简单地说就是用文件存储数据) 往往比其他关系型数据库更为
有效、方便; 现在比较流行的网络应用程序大多是采用文本文件来存储数据( 比如我们常用的论坛、留
言本等)。
文本型数据库虽然短小方便,但是安全性能比不上其他数据库:如果文件名泄漏,轻则内容被人窥视,重
则可能危害到整个网站的安全(特别是存储着密码的文件)。所以文本型数据库数据安全是不容忽视的一个问
题。以前大多数措施都是在密码保护上下手。
笔者在实际应用中发现一个更有效而且简单的办法:只要把文本数据库的文件名取为服务器端解释执行
的类型,在内容中做点稍许变化即可。下面对现今比较流行的 PHP、ASP 中的操作做简单介绍:
一、PHP 环境中的处理方法
把含有文本型数据的文件取名为:“ 􊊝. p h p ”,文件内容的第一行:“& ?
”,其他行存储数据。这样,
即使文件名泄露,他人也不能看到文本文件里的内容。因为访问“􊊝. p h p ”时,服务器首先把它当成 PHP
程序进行解析,自然得出程序错误。这是其中典型的一个错误结果:“P a r s e e r r o r 􊚟 p a r s e e r
r o r i n H 􊚟
/www.dzren.com/1.php on line 2”,如果在php.ini
文件中禁止显示错误,则更完美,用户得不到任何显
二、ASP 环境中的处理方法
把含有文本型数据的文件取名为:“. a s p ”,文件内容的第一行为“
已投稿到:
以上网友发言只代表其个人观点,不代表新浪网的观点或立场。
