防范黑客入侵ADSL的一些技巧

隨著各地ADSL網(wǎng)絡(luò)的蓬勃發(fā)展， 實(shí)現(xiàn)永久連接、隨時(shí)在線已不再是遙遠(yuǎn)的夢(mèng)， 但是， 我們必須明白， 永久連入Internet同樣也意味著遭受入侵的可能性大大增加。 知己知彼， 方能百戰(zhàn)不殆， 讓我們了解一下黑客入侵ADSL用戶的方法和防范手段吧。

　　黑客入侵ADSL用戶的方法

　　在很多地方都是包月制的， 這樣的話， 黑客就可以用更長的時(shí)間進(jìn)行端口以及漏洞的掃描， 甚至采用在線暴力破解的方法盜取密碼， 或者使用嗅探工具守株待兔般等待對(duì)方自動(dòng)把用戶名和密碼送上門。

　　要完成一次成功的網(wǎng)絡(luò)攻擊， 一般有以下幾步。 第一步就是要收集目標(biāo)的各種信息， 為了對(duì)目標(biāo)進(jìn)行徹底分析， 必須盡可能收集攻擊目標(biāo)的大量有效信息， 以便最后分析得到目標(biāo)的漏洞列表。 分析結(jié)果包括：操作系統(tǒng)類型， 操作系統(tǒng)的版本， 打開的服務(wù)， 打開服務(wù)的版本， 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)， 網(wǎng)絡(luò)設(shè)備， 防火墻。

　　黑客掃描使用的主要是TCP/IP堆棧指紋的方法。 實(shí)現(xiàn)的手段主要是三種：

　　1.TCP ISN采樣：尋找初始化序列規(guī)定長度與特定的OS是否匹配。

　　2.FIN探測(cè)：發(fā)送一個(gè)FIN包--或者是任何沒有ACK或SYN標(biāo)記的包 到目標(biāo)的一個(gè)開放的端口， 然后等待回應(yīng)。 許多系統(tǒng)會(huì)返回一個(gè)RESET--復(fù)位標(biāo)記。

　　3.利用BOGUS標(biāo)記：通過發(fā)送一個(gè)SYN包， 它含有沒有定義的TCP標(biāo)記的TCP頭， 利用系統(tǒng)對(duì)標(biāo)記的不同反應(yīng)， 可以區(qū)分一些操作系統(tǒng)。

　　4.利用TCP的初始化窗口：只是簡單地檢查返回包里包含的窗口長度， 根據(jù)大小來唯一確認(rèn)各個(gè)操作系統(tǒng)。

　　掃描技術(shù)雖然很多， 原理卻很簡單。 這里簡單介紹一下掃描工具Nmap--Network mapper， 這號(hào)稱是目前最好的掃描工具， 功能強(qiáng)大， 用途多樣， 支持多種平臺(tái)， 靈活機(jī)動(dòng)， 方便易用， 攜帶性強(qiáng)， 留跡極少；不但能掃描出TCP/UDP端口， 還能用于掃描/偵測(cè)大型網(wǎng)絡(luò)。

　　注意這里使用了一些真實(shí)的域名， 這樣可以讓掃描行為看起來更具體。 你可以用自己網(wǎng)絡(luò)里的名稱代替其中的addresses/names。 你最好在取得允許后再進(jìn)行掃描， 否則后果可要你自己承擔(dān)哦。

　　nmap -v target.example.com

　　這個(gè)命令對(duì)target.example.com上所有的保留TCP端口做了一次掃描， -v表示用詳細(xì)模式。

　　nmap -sS -O target.example.com/24

　　這個(gè)命令將開始一次SYN的半開掃描， 針對(duì)的目標(biāo)是target.example.com所在的C類子網(wǎng)， 它還試圖確定在目標(biāo)上運(yùn)行的是什么操作系統(tǒng)。 這個(gè)命令需要管理員權(quán)限， 因?yàn)橛玫搅税腴_掃描以及系統(tǒng)偵測(cè)。

　　發(fā)動(dòng)攻擊的第二步就是與對(duì)方建立連接， 查找登錄信息。 現(xiàn)在假設(shè)通過掃描發(fā)現(xiàn)對(duì)方的機(jī)器建立有IPC$。 IPC$是共享“命名管道”的資源， 它對(duì)于程序間的通訊很重要， 在遠(yuǎn)程管理計(jì)算機(jī)和查看計(jì)算機(jī)的共享資源時(shí)都會(huì)用到。 利用IPC$， 黑客可以與對(duì)方建立一個(gè)空連接(無需用戶名和密碼)， 而利用這個(gè)空連接， 就可以獲得對(duì)方的用戶列表。

　　第三步， 使用合適的工具軟件登錄。 打開命令行窗口， 鍵入命令:net use 222.222.222.222ipc$ “administrator” /user:123456

　　這里我們假設(shè)administrator的密碼是123456。 如果你不知道管理員密碼， 還需要找其他密碼破解工具幫忙。 登錄進(jìn)去之后， 所有的東西就都在黑客的控制之下了。

　　防范方法

　　因?yàn)锳DSL用戶一般在線時(shí)間比較長， 所以安全防護(hù)意識(shí)一定要加強(qiáng)。 每天上網(wǎng)十幾個(gè)小時(shí)， 甚至通宵開機(jī)的人不在少數(shù)吧， 而且還有人把自己的機(jī)器做成Web或者ftp服務(wù)器供其他人訪問。 日常的防范工作一般可分為下面的幾個(gè)步驟來作。

　　步驟一， 一定要把Guest帳號(hào)禁用。 有很多入侵都是通過這個(gè)帳號(hào)進(jìn)一步獲得管理員密碼或者權(quán)限的。 如果不想把自己的計(jì)算機(jī)給別人當(dāng)玩具， 那還是禁止的好。 打開控制面板， 雙擊“用戶和密碼”， 選擇“高級(jí)”選項(xiàng)卡。 單擊“高級(jí)”按鈕， 彈出本地用戶和組窗口。 在Guest帳號(hào)上面點(diǎn)擊右鍵， 選擇屬性， 在“常規(guī)”頁中選中“帳戶已停用”。

　　步驟二， 停止共享。 Windows 2000安裝好之后， 系統(tǒng)會(huì)創(chuàng)建一些隱藏的共享。 點(diǎn)擊開始→運(yùn)行→cmd， 然后在命令行方式下鍵入命令“net share”就可以查看它們。 網(wǎng)上有很多關(guān)于IPC入侵的文章， 都利用了默認(rèn)共享連接。 要禁止這些共享， 打開管理工具→計(jì)算機(jī)管理→共享文件夾→共享， 在相應(yīng)的共享文件夾上按右鍵， 點(diǎn)“停止共享”就行了。

　　步驟三， 盡量關(guān)閉不必要的服務(wù)， 如Terminal Services、IIS--如果你沒有用自己的機(jī)器作Web服務(wù)器的話-、RAS--遠(yuǎn)程訪問服務(wù) 等。 還有一個(gè)挺煩人的Messenger服務(wù)也要關(guān)掉， 否則總有人用消息服務(wù)發(fā)來網(wǎng)絡(luò)廣告。 打開管理工具→計(jì)算機(jī)管理→服務(wù)和應(yīng)用程序→服務(wù)， 看見沒用的就關(guān)掉。

　　步驟四， 禁止建立空連接。 在默認(rèn)的情況下， 任何用戶都可以通過空連接連上服務(wù)器， 枚舉帳號(hào)并猜測(cè)密碼。 我們必須禁止建立空連接， 方法有以下兩種：

　　(1)修改注冊(cè)表：

　　HKEY_Local_MachineSystemCurrent-ControlSetControlLSA下， 將DWORD值RestrictAnonymous的鍵值改成1。

　　(2)修改Windows 2000的本地安全策略：

　　設(shè)置“本地安全策略→本地策略→選項(xiàng)”中的RestrictAnonymous--匿名連接的額外限制 為“不容許枚舉SAM賬號(hào)和共享”。

　　步驟五， 如果開放了Web服務(wù)， 還需要對(duì)IIS服務(wù)進(jìn)行安全配置：

　　(1) 更改Web服務(wù)主目錄。 右鍵單擊“默認(rèn)Web站點(diǎn)→屬性→主目錄→本地路徑”， 將“本地路徑”指向其他目錄。

　　(2) 刪除原默認(rèn)安裝的Inetpub目錄。

　　(3) 刪除以下虛擬目錄：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

　　(4) 刪除不必要的IIS擴(kuò)展名映射。 方法是：右鍵單擊“默認(rèn)Web站點(diǎn)→屬性→主目錄→配置”， 打開應(yīng)用程序窗口， 去掉不必要的應(yīng)用程序映射。 如不用到其他映射， 只保留.asp、.asa即可。

　　(5) 備份IIS配置。 可使用IIS的備份功能， 將設(shè)定好的IIS配置全部備份下來， 這樣就可以隨時(shí)恢復(fù)IIS的安全配置。

　　不要以為這樣就萬事大吉， 微軟的操作系統(tǒng)我們又不是不知道， bug何其多， 所以一定要把微軟的補(bǔ)丁打全。

　　最后， 建議大家選擇一款實(shí)用的防火墻。 比如Network ICE Corporation 公司出品的BlackICE。 它的安裝和運(yùn)行十分簡單， 就算對(duì)網(wǎng)絡(luò)安全不太熟悉也沒有關(guān)系， 使用缺省的配置就能檢測(cè)絕大多數(shù)類型的黑客攻擊。 對(duì)于有經(jīng)驗(yàn)的用戶， 還可以選擇“Tools”中的“Advanced Firewall Settings”， 來針對(duì)特定的IP地址或者UDP的特定端口進(jìn)行接受或拒絕配置， 以達(dá)到特定的防御效果。