隨著各地ADSL網路的蓬勃發展,實現永久連接、隨時線上已不再是遙遠的夢,但是,我們必須明白,永久連入Internet同樣也意味著遭受入侵的可能性大大增加。知己知彼,方能百戰不殆,讓我們瞭解一下駭客入侵ADSL用戶的方法和防範手段吧。
駭客入侵ADSL用戶的方法
在很多地方都是包月制的,這樣的話,駭客就可以用更長的時間進行埠以及漏洞的掃描,甚至採用線上暴力破解的方法盜取密碼,或者使用嗅探工具守株待兔般等待對方自動把用戶名和密碼送上門。
要完成一次成功的網路攻擊,一般有以下幾步。第一步就是要收集目標的各種資訊,為了對目標進行徹底分析,必須盡可能收集攻擊目標的大量有效資訊,以便最後分析得到目標的漏洞清單。分析結果包括:作業系統類型,作業系統的版本,打開的服務,打開服務的版本,網路拓撲結構,網路設備,防火牆。
駭客掃描使用的主要是TCP/IP堆疊指紋的方法。實現的手段主要是三種:
1.TCP ISN採樣:尋找初始化序列規定長度與特定的OS是否匹配。
2.FIN探測:發送一個FIN包--或者是任何沒有ACK或SYN標記的包 到目標的一個開放的埠,然後等待回應。許多系統會返回一個RESET--重定標記。
3.利用BOGUS標記:通過發送一個SYN包,它含有沒有定義的TCP標記的TCP頭,利用系統對標記的不同反應,可以區分一些作業系統。
4.利用TCP的初始化視窗:只是簡單地檢查返回包裡包含的視窗長度,根據大小來唯一確認各個作業系統。
掃描技術雖然很多,原理卻很簡單。這裡簡單介紹一下掃描工具Nmap--Network mapper,這號稱是目前最好的掃描工具,功能強大,用途多樣,支援多種平臺,靈活機動,方便易用,攜帶性強,留跡極少;不但能掃描出TCP/UDP埠,還能用於掃描/偵測大型網路。
注意這裡使用了一些真實的功能變數名稱,這樣可以讓掃描行為看起來更具體。你可以用自己網路裡的名稱代替其中的addresses/names。你最好在取得允許後再進行掃描,否則後果可要你自己承擔哦。
nmap -v target.example.com
這個命令對target.example.com上所有的保留TCP埠做了一次掃描,-v表示用詳細模式。
nmap -sS -O target.example.com/24
這個命令將開始一次SYN的半開掃描,針對的目標是target.example.com所在的C類子網,它還試圖確定在目標上運行的是什麼作業系統。這個命令需要管理員許可權,因為用到了半開掃描以及系統偵測。
發動攻擊的第二步就是與對方建立連接,查找登錄資訊。現在假設通過掃描發現對方的機器建立有IPC$。IPC$是共用“具名管道”的資源,它對於程式間的通訊很重要,在遠端系統管理電腦和查看電腦的共用資源時都會用到。利用IPC$,駭客可以與對方建立一個空連接(無需用戶名和密碼),而利用這個空連接,就可以獲得對方的用戶列表。
第三步,使用合適的工具軟體登錄。打開命令列視窗,鍵入命令:net use 222.222.222.222ipc$ “administrator” /user:123456
這裡我們假設administrator的密碼是123456。如果你不知道管理員密碼,還需要找其他密碼破解工具幫忙。登錄進去之後,所有的東西就都在駭客的控制之下了。
防範方法
因為ADSL用戶一般線上時間比較長,所以安全防護意識一定要加強。每天上網十幾個小時,甚至通宵開機的人不在少數吧,而且還有人把自己的機器做成Web或者ftp伺服器供其他人訪問。日常的防範工作一般可分為下面的幾個步驟來作。
步驟一,一定要把Guest帳號禁用。有很多入侵都是通過這個帳號進一步獲得管理員密碼或者許可權的。如果不想把自己的電腦給別人當玩具,那還是禁止的好。打開控制台,按兩下“使用者和密碼”,選擇“高級”選項卡。按一下“高級”按鈕,彈出本地使用者和組視窗。在Guest帳號上麵點擊右鍵,選擇屬性,在“常規”頁中選中“帳戶已停用”。
步驟二,停止共用。Windows 2000安裝好之後,系統會創建一些隱藏的共用。點擊開始→運行→cmd,然後在命令列方式下鍵入命令“net share”就可以查看它們。網上有很多關於IPC入侵的文章,都利用了默認共用連接。要禁止這些共用,打開管理工具→電腦管理→共用資料夾→共用,在相應的共用資料夾上按右鍵,點“停止共用”就行了。
步驟三,儘量關閉不必要的服務,如Terminal Services、IIS--如果你沒有用自己的機器作Web伺服器的話-、RAS--遠端存取服務 等。還有一個挺煩人的Messenger服務也要關掉,否則總有人用消息服務發來網路廣告。打開管理工具→電腦管理→服務和應用程式→服務,看見沒用的就關掉。
步驟四,禁止建立空連接。在預設的情況下,任何使用者都可以通過空連接連上伺服器,枚舉帳號並猜測密碼。我們必須禁止建立空連接,方法有以下兩種:
(1)修改註冊表:
HKEY_Local_MachineSystemCurrent-ControlSetControlLSA下,將DWORD值RestrictAnonymous的鍵值改成1。
(2)修改Windows 2000的本地安全性原則:
設置“本地安全性原則→本地策略→選項”中的RestrictAnonymous--匿名連接的額外限制 為“不容許枚舉SAM帳號和共用”。
步驟五,如果開放了Web服務,還需要對IIS服務進行安全配置:
(1) 更改Web服務主目錄。按右鍵“預設Web網站→屬性→主目錄→本地路徑”,將“本地路徑”指向其他目錄。
(2) 刪除原預設安裝的Inetpub目錄。
(3) 刪除以下虛擬目錄:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
(4) 刪除不必要的IIS副檔名映射。方法是:按右鍵“預設Web網站→屬性→主目錄→配置”,打開應用程式視窗,去掉不必要的應用程式映射。如不用到其他映射,只保留.asp、.asa即可。
(5) 備份IIS配置。可使用IIS的備份功能,將設定好的IIS配置全部備份下來,這樣就可以隨時恢復IIS的安全配置。
不要以為這樣就萬事大吉,微軟的作業系統我們又不是不知道,bug何其多,所以一定要把微軟的補丁打全。
最後,建議大家選擇一款實用的防火牆。比如Network ICE Corporation 公司出品的BlackICE。它的安裝和運行十分簡單,就算對網路安全不太熟悉也沒有關係,使用缺省的配置就能檢測絕大多數類型的駭客攻擊。對於有經驗的用戶,還可以選擇“Tools”中的“Advanced Firewall Settings”,來針對特定的IP位址或者UDP的特定埠進行接受或拒絕配置,以達到特定的防禦效果。 |
