社区便民服务电话
中兴物管处88985349
美都物管处88984317
社区警务室88974733 |
|
|
 |
您现在的位置:首页 >> 电脑时空 >> 网络知识小百科 |
|
个人网络用户的安全与维护指南
防范针对IP地址的攻击
一、攻击的简单机理 好多网上用户都有这样的经历,在聊天室里与网友谈得正高兴突然机器蓝屏,必须重启。也经常有ISP的NT SERVER遭到莫名的攻击。更令人难受的是一个网吧或企业的所有机器几乎同时蓝屏当机。很大的可能是这些机器遭到了OOB攻击。何谓OOB攻击?其实,攻击者是利用Windows下微软网络协定NetBIOS的一个例外处理程序OOB(Out of Band)的漏洞。只要有人以OOB的方式,通过TCP/IP传递一个小小的包到某个IP地址的某个开放的端口上(一般为139),就会使没有防护或修订的WIN95/NT系统瞬间当机。NT将会重新启动,95则一般要手动重启。有的补丁尽管能使机器可用ESC退出蓝屏,正常工作,但不重启,就无法访问TCP/IP类型的网络。 除了139,其他可能的OOB开放端口,如137、138、113等等,均有可能遭到攻击。 当然95系列的不稳定性,也是众所周知的,因此大不必把一切蓝屏死机都归罪到OOB的头上。一般的95遭受OOB攻击的典型蓝屏提示如下: Fatal exception 0E at 0028: in VxD MSTCP(01)+000041AE This was called from 0028: in VxS NDIS(01)+0000D7C 需要说明的是,这种类型的攻击主要的对象是没有打过补丁95和NT,而对98无效,但根据最新的资料,有人已经发现了WIN98的TCP/IP协议栈的漏洞,并发布了针对这一漏洞的工具。据称,这种攻击将使98蓝屏,用ESC返回后,同样不能访问TCP/IP资源,必须重启。在本文即将完成时,我收到了一组程序UNIX C,根据程序的说明有两个程序可以对98进行攻击,大概的机理好象分别是对95/98的ICMP协议和IGMP协议进行DoS(Denial of Service,拒绝服务)攻击。依照经验,此类攻击一般是利用目标机器协议上的一些漏洞,连续发送大型的破碎数据包,形成packets的风暴,造成目标机器当机。但是由于时间关系,笔者已经来不及作出分析测试,只能给网友一个提醒,98也不能高枕无忧。
二、几种典型的攻击工具 NUKE、WINNUKE及其变种,现在网上流行的OOB攻击工具已经从最初的简单选择IP攻击PORT139,发展为可攻击某一IP范围,可连续攻击,可验证攻击效果,可监测及选择端口,因此,常常出现某一区段全部蓝屏死机的结果。 SSPING:SSPING是一种出色的IP攻击工具,它的机理是,向被攻击的IP连续发出破碎的大型ICMP数据包,被攻击的95系统试图将破碎包合并处理,从而造成当机。 TEARDROP(泪滴):泪滴也是采用碎片包攻击的一种远程攻击工具,他的最大的特点是除了95/NT外,可攻击Linux。
三、OOB攻击的防范 由于目前微软尚未就98的ICMP和IGMP漏洞作出反应,因此只能介绍OOB攻击的防范
(一)手动防范 WIN3.X 编辑system.ini,找到[MSTCP], 下面加入BSDUrgeNT=0 WIN 95 编辑注册表Regedit 在HKEY-LOCAL-MACHINE/System/CurreNTCoNTrolSet/Services/VxD/MSTCP 下加入一个 "BSDUrgeNT=0"。 并把vnbt.386更名为vnbt.bak 这可以让95关闭其netbios的服务,但这也使机器丧失了Microsoft网络的Pier-to-Pier打印与文件共享功能。
(二)原厂补丁与安装要点 WIN95与此BUG相关的补丁较多,请大家注意,一定要按照步骤安装。
1:安装MS DUN12升级文件并重启动,(文件名一般可能为msdun12.exe)。
2、安装WINSOCK升级文件并重启动,(文件名一般为ws2setup.exe)。
3、安装WINSOCK22补丁并重启动,(文件名一般为vipup2.0exe)。 至此系统可防范部分IP攻击的工具如SSPING和TEARDROP(泪滴)
4、安装补丁文件vtcput20.exe并重启动。
5、将vnbt.386更名为vnbt.bak或者修正VNBT(运行vnbt.exe)并重启动。 可防范WINNUKE等工具。 WIN3.X的防范 WIN3.X似乎没有相应的补丁,请参考前面手动处理。 NT4 1、安装SERVICE PACK3及以上版本(文件名一般为nt4sp3i.exe) 2、安装针对泪滴2等攻击工具的补丁(tearfi-xi.exe)。 NT3.51 1、针对X86和APLHA芯片不同的NT要分别打一个补丁, 而后升级到SERVICE PACK5。 WIN98 尚未发现类似漏洞。
(三)防弹衣与第三方补丁简介 NOCRASH:NOCRASH的命名是因为有OOB攻击工具名称为CRASH,这个工具可以简单的修改注册表,以使NETBIOS功能失效的工具,对传统的基于PORT139的攻击比较有效,但并不能全面防范。而且会造成无法使用其他的防弹衣。因此如果你上网比较方便,我们还是建议你下载微软的原厂补丁,或使用NUKENAB。 ANTINUKE:这是早期的一个外挂式的程序,能防范针对139的攻击,并捕获攻击者的IP,而且这个程序重要的特点是会对攻击者进行反击,而且会使一些探测139是否打开的工具溢出,同时在NT上也有效。这个程序的缺点是:
一、只能监听一个PORT,第二是会把网上邻居的方式对你机器的访问也误报为攻击。 NUKENAB:这是目前功能比较完善的一个防弹衣,除了系统自身设定监听的5个PORT之外,你还可以指定系统监听的一个端口,(一般我们指定为113)即总共可以监听6个端口。它可以捕获攻击者的IP,另外系统提供了一些自定义参数,如端口开放与关闭、受到攻击时所发出的声音等等。另外,特别值得一提的是,当你发现有人用BO、NETBUS等黑客工具入侵你时,你可以用NUKENAB监听对应的开放端口发现它的地址。 95/98系统的安全与密码的原则 WIN95/98系统是国内个人用户的主要OS平台,而这个系统的确是一个非常易用又非常不安全的系统。我认为对95/98来说,最大的威胁来源于本机而不是网上,因为毕竟95/98能对外开放的服务十分有限,又不会担当重要服务器的角色,可以说黑客既缺乏攻击的兴趣,也缺少不借助后门工具的有效手段。但95/98分级设置权限的能力比较弱,可谓是一旦别人用上你的机器,你根本没有秘密可言。 当你的机器被他人使用时,你面临的安全威胁主要包括:
1、你的所有文件信息都将暴露在使用者面前,他可以很容易的查看、COPY、删除你的一切文件、做掉你的硬盘等等,95/98为用户保存桌面和个性设置也是根本没有安全性可言的。
2、你的各种密码可以很容易的被使用者查看到,有些密码本身就是明文的,比如ICQ的密码,你的拨号密码、MAIL、FTP密码如果保存在相应工具的密码栏中,以*显示的,但使用者可以依靠一些小工具轻松看到。另外,你与服务器的连接密码也可以被轻松查到。你CMOS密码也可以被查到,或者被解除。
3、你的COOKIE和Temporary Internet Files目录可能会暴露你某些网上资源的密码;文档、查找、运行、浏览器等的历史记录会暴露你的一些近期行为。
4、使用者可能在你机器上安置如BO、NETBUS等后门工具,以便从远程控制你的系统、监视你的行为。 因此可以看出,95/98系统保证安全的最大可能是作到专机专用:
1、锁好你的门,关好你的机箱。谁都明白被盗可能最严重的损失,更没有任何一种窃取信息的方法比直接偷走你的硬盘更有效。同时,你的开机密码可以轻松的被通过改变主板上的跳线或者DIP开关解除。这使你的一切防范都没有意义。对有锁的机箱,你应当充分利用,对于一般螺丝固定的机箱,你可以在机箱接缝处上加一小块不干胶条,即使你无法防止你的机箱被他人打开,至少你要保证你能随时发现蛛丝马迹。
2、设置好你的开机密码。这可能是最有效的防线,只要非法使用者无法猜出你的密码就没有办法,特别注意的是,有些版本的BIOS是有通用密码的,比如早期AWARD的BIOS。这种情况下你一定注意对你的BIOS升级。
3、WINDOWS开机密码与权限设置。有人说WINDOWS密码没有任何意义,这是不对的,事实上,WINDOWS可以通过修改注册表实现一些用户分级的能力。通过分级你可以达到以下目的:你自己可以使用一切资源,但非法用户用ESC跳过登录或者起新用户名登录时,可以无法使用计算机的一些资源,不能查看任何驱动器上的文件目录列表、程序菜单中没有任何东西、桌面上空空如也、他不能执行任何操作包括打开MS-DOS的窗口,也不能关机到MS-DOS状态等等。关于对注册表的具体设置,比较复杂,这里就不多述。如果你对注册表不熟,你可以借助WIN98光盘上的系统策略编辑器。另外,如果你的环境中有NT或者NOVELL的SERVER,你可以把默认登录方式改为登录到它们。
4、屏幕保护。实际上屏保是非常重要的一级防护,为你的屏保设上可靠的密码和把屏保激活时间设为很短都有助于保护你的机器。你可以把你的屏保建立一个快捷方式,当你暂时离开机器时,你可以点击一下就进入屏保状态。屏保是扩展名为scr的文件,在windows\system目录下,你在桌面或者工具条上拖出一个快捷方式就可以了。我特别提醒大家的是,把你的光盘自动运行的特性关闭,破解屏保的办法除了猜到密码外,就是通过一个AUTORUN的光盘,AUTORUN指向的程序可以破解你的屏保密码,禁止自动运行的操作在系统/设备管理器/你CRROM型号/属性/设置中,你将自动插入通告的选项去掉就可以了。 可以看出一点,整个的保护要充分依赖于你的密码不被猜出,注意,讨论的密码不单单指你的开机、95和屏保密码,更包括你的上网、MAIL、CHATROOM、BBS中的密码。很难说怎样的密码就是安全的密码,但以下的情形一定是不安全的:
1、纯数字的密码,特别是123456、或者888888这样的数字,过短的密码显然是不安全的。
2、以你或者有关人的相关信息构成的密码,比如生日、电话、姓名的拼音或者缩写、单位的拼音或者英文简称等等。
3、长时间不变的密码,非法用户有足够的时间试探密码或通过窥视你击键动作来猜测密码。
4、多个资源共用一个密码,这是一种把所有鸡蛋都放在一个篮子里的情况,一旦你的一个密码泄露,你所有的资源都受到威胁。 当然有时对于个人应用来说,由于信息的含金量有限,往往简便要比安全更重要。每周更换一次的,长度与WIN98序列号一样的密码可能是安全的,但也是非常不方便的。我建议大家选择一些安全或者好用的方法,比如用一句话的拼音字头作为你的密码,比如wmdsjhjc,是什么意思?是“外面的世界很精彩”,再插入一些特殊字符构成比如$wmdsj!hjc,这样的密码应当是比较安全的,又是容易记忆的。 另外一点不要怪我没有提醒你,就是小心WIN95/98系统的共享目录,你要知道你共享的内容暴露给所有网内用户。比如说,一个169用户的共享目录可以被所有169网内用户访问,而如果你的机器独占一个真实的IP地址,那么你的共享目录暴露给所有的Internet用户了,另外,WIN95/98的共享目录密码有重大缺陷,可以被远程用户轻松破解
|
|
