网络安全知识
拒绝服务攻击
BIOS控制计算机安全
黑客突破防火墙常用的几种技术
妙用Windows神秘的类标识符
部署防火墙策略的十六条守则
拒绝服务攻击
入侵攻击
可以说当前是一个进行攻击的黄金时期,很多的系统都很脆弱并且很容易受到攻击,所以这是一个成为黑客的大好时代,可让他们利用的方法和工具是如此之多!在此我们仅对经常被使用的入侵攻击手段做一讨论。
【拒绝服务攻击 】
拒绝服务攻击(Denial of Service, DoS)是一种最悠久也是最常见的攻击形式。严格来说,拒绝服务攻击并不是某一种具体的攻击方式,而是攻击所表现出来的结果,最终使得目标系统因遭受某种程度的破坏而不能继续提供正常的服务,甚至导致物理上的瘫痪或崩溃。具体的操作方法可以是多种多样的,可以是单一的手段,也可以是多种方式的组合利用,其结果都是一样的,即合法的用户无法访问所需信息。
通常拒绝服务攻击可分为两种类型。
第一种是使一个系统或网络瘫痪。如果攻击者发送一些非法的数据或数据包,就可以使得系统死机或重新启动。本质上是攻击者进行了一次拒绝服务攻击,因为没有人能够使用资源。以攻击者的角度来看,攻击的刺激之处在于可以只发送少量的数据包就使一个系统无法访问。在大多数情况下,系统重新上线需要管理员的干预,重新启动或关闭系统。所以这种攻击是最具破坏力的,因为做一点点就可以破坏,而修复却需要人的干预。
第二种攻击是向系统或网络发送大量信息,使系统或网络不能响应。例如,如果一个系统无法在一分钟之内处理100个数据包,攻击者却每分钟向他发送1000个数据包,这时,当合法用户要连接系统时,用户将得不到访问权,因为系统资源已经不足。进行这种攻击时,攻击者必须连续地向系统发送数据包。当攻击者不向系统发送数据包时,攻击停止,系统也就恢复正常了。此攻击方法攻击者要耗费很多精力,因为他必须不断地发送数据。有时,这种攻击会使系统瘫痪,然而大多多数情况下,恢复系统只需要少量人为干预。
这两种攻击既可以在本地机上进行也可以通过网络进行。
※ 拒绝服务攻击类型
1 Ping of Death
根据TCP/IP的规范,一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节,但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时,就是受到了Ping of Death攻击,该攻击会造成主机的宕机。
2 Teardrop
IP数据包在网络传递时,数据包可以分成更小的片段。攻击者可以通过发送两段(或者更多)数据包来实现TearDrop攻击。第一个包的偏移量为0,长度为N,第二个包的偏移量小于N。为了合并这些数据段,TCP/IP堆栈会分配超乎寻常的巨大资源,从而造成系统资源的缺乏甚至机器的重新启动。
3 Land
攻击者将一个包的源地址和目的地址都设置为目标主机的地址,然后将该包通过IP欺骗的方式发送给被攻击主机,这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环,从而很大程度地降低了系统性能。
4 Smurf
该攻击向一个子网的广播地址发一个带有特定请求(如ICMP回应请求)的包,并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击主机发包,使该主机受到攻击。
5 SYN flood
该攻击以多个随机的源主机地址向目的主机发送SYN包,而在收到目的主机的SYN ACK后并不回应,这样,目的主机就为这些源主机建立了大量的连接队列,而且由于没有收到ACK一直维护着这些队列,造成了资源的大量消耗而不能向正常请求提供服务。
6 CPU Hog
一种通过耗尽系统资源使运行NT的计算机瘫痪的拒绝服务攻击,利用Windows NT排定当前运行程序的方式所进行的攻击。
7 Win Nuke
是以拒绝目的主机服务为目标的网络层次的攻击。攻击者向受害主机的端口139,即netbios发送大量的数据。因为这些数据并不是目的主机所需要的,所以会导致目的主机的死机。
8 RPC Locator
攻击者通过telnet连接到受害者机器的端口135上,发送数据,导致CPU资源完全耗尽。依照程序设置和是否有其他程序运行,这种攻击可以使受害计算机运行缓慢或者停止响应。无论哪种情况,要使计算机恢复正常运行速度必须重新启动。
※ 分布式拒绝服务攻击
分布式拒绝服务攻击(DDoS)是攻击者经常采用而且难以防范的攻击手段。DDoS攻击是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了 目标对恶意攻击包的"消化能力"加强了不少,例如你的攻击软件每秒钟可以发送3,000个攻击包,但我的主机与网络带宽每秒钟可以处理10,000个攻击包,这样一来攻击就不会产生什么效果。所以分布式的拒绝服务攻击手段(DDoS)就应运而生了。如果用一台攻击机来攻击不再能起作用的话,攻击者就使用10台、100台…攻击机同时攻击。
DDoS就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。
高速广泛连接的网络也为DDoS攻击创造了极为有利的条件。在低速网络时代时,黑客占领攻击用的傀儡机时,总是会优先考虑离目标网络距离近的机器,因为经过路由器的跳数少,效果好。而现在电信骨干节点之间的连接都是以G为级别的,大城市之间更可以达到2.5G的连接,这使得攻击可以从更远的地方或者其他城市发起,攻击者的傀儡机位置可以在分布在更大的范围,选择起来更灵活了。
一个比较完善的DDoS攻击体系分成四大部分:
攻击者所在机 控制机(用来控制傀儡机)
傀儡机 受害者
先来看一下最重要的控制机和傀儡机:它们分别用做控制和实际发起攻击。请注意控制机与攻击机的区别,对受害者来说,DDoS的实际攻击包是从攻击傀儡机上发出的,控制机只发布命令而不参与实际的攻击。对控制机和傀儡机,黑客有控制权或者是部分的控制权,并把相应的DDoS程序上传到这些平台上,这些程序与正常的程序一样运行并等待来自黑客的指令,通常它还会利用各种手段隐藏自己不被别人发现。在平时,这些傀儡机器并没有什么异常,只是一旦黑客连接到它们进行控制,并发出指令的时候,攻击傀儡机就成为害人者去发起攻击了。
"为什么黑客不直接去控制攻击傀儡机,而要从控制傀儡机上转一下呢?"。这就是导致DDoS攻击难以追查的原因之一了。做为攻击者的角度来说,肯定不愿意被捉到,而攻击者使用的傀儡机越多,他实际上提供给受害者的分析依据就越多。在占领一台机器后,高水平的攻击者会首先做两件事:1.考虑如何留好后门,2. 如何清理日志。这就是擦掉脚印,不让自己做的事被别人查觉到。比较初级的黑客会不管三七二十一把日志全都删掉,但这样的话网管员发现日志都没了就会知道有人干了坏事了,顶多无法再从日志发现是谁干的而已。相反,真正的好手会挑有关自己的日志项目删掉,让人看不到异常的情况。这样可以长时间地利用傀儡机。但是在攻击傀儡机上清理日志实在是一项庞大的工程,即使在有很好的日志清理工具的帮助下,黑客也是对这个任务很头痛的。这就导致了有些攻击机弄得不是很干净,通过它上面的线索找到了控制它的上一级计算机,这上级的计算机如果是黑客自己的机器,那么他就会被揪出来了。但如果这是控制用的傀儡机的话,黑客自身还是安全的。控制傀儡机的数目相对很少,一般一台就可以控制几十台攻击机,清理一台计算机的日志对黑客来讲就轻松多了,这样从控制机再找到黑客的可能性也大大降低。
※ 拒绝服务攻击工具
Targa
可以进行8种不同的拒绝服务攻击,作者是Mixter,可以在[url]http://packerstorm.security.com[/url]和[url]www.rootshell.com[/url]网站下载。Mixter把独立的dos攻击代码放在一起,做出一个易用的程序。攻击者可以选择进行单个的攻击或尝试所有的攻击,直到成功为止。
FN2K
DDOS工具。可以看作是Traga加强的程序。TFN2K运行的DOS攻击与Traga相同,并增加了5种攻击。另外,它是一个DDOS工具,这意味着它可以运行分布模式,即Internet上的几台计算机可以同时攻击一台计算机和网络。
Trinoo
DDOS工具,是发布最早的主流工具,因而功能上与TFN2K比较不是那么强大。Trinoo使用tcp和udp,因而如果一个公司在正常的基础上用扫描程序检测端口,攻击程序很容易被检测到。
Stacheldraht
Stacheldraht是另一个DDOS攻击工具,它结合了TFN与trinoo的特点,并添加了一些补充特征,如加密组件之间的通信和自动更新守护进程。
用BIOS控制计算机安全
纵观市场上的安全产品,从网络防火墙到各种网络加密、个人数字签证以及早期硬盘锁,均未能对个人计算机本身进行实质性的保护。这些安全机制大都基于这样一种原理:利用一个软件,输入一个特定的密码,经过验证后即可
获得合法身份,从而实现各种操作,如购物、收发公文、浏览甚至修改机密数据。众所周知,这种基于纯密码的机制是很脆弱的,所以,许多关键行业和部门都采用了软、硬结合的方式,如设立各种Smart卡认证机制。在银行工作的职工,每人都有一张代表自己电子身份的IC卡,每天上班,必须先刷卡才能进入银行的业务系统。这种机制的安全性大大提高了,但对于个人或普通企业用计算机,这种机制成本太高。本文从BIOS工作原理出发,提出一种安全性高、全新的计算机安全保护机制。
一、原理
BIOS是计算机架构中最为底层的软件。在PC一加电时,首先执行的就是它,它负责对计算机进行自检和初始化,在检查PC各部件都正常后再由它引导操作系统,如DOS、Windows等。如果一台PC没有BIOS,即无法开机,成了废铁一堆。而且BIOS一般是不可以相互替代的,只有同一个厂家同一型号的主板,其BIOS才可以互换。本机制的基本原理就是将PC中的BIOS从主机中抽出,存到一个带加密的外部设备中,如USB钥匙盘等,没有该盘就不能开启计算机;又由于外部设备是加密的,即使有含BIOS的USB钥匙盘,但不知道密码也不能开机,从而实现计算机的保护。这种带加密的钥匙盘由于各自密码或加密算法不同,也避免了使用同型号BIOS进行开机的可能。
二、实现
BIOS储存在计算机主机板的一种IC芯片(通常是FLASH)中,它有两个主要的组成部分,即BootBlock段和主体BIOS。BootBlock段是不压缩的且存放于固定的地址空间,它是计算机开机时首先执行的部分。它主要负责对计算机硬件做最基本、最简单的初始化,而后解压缩主体BIOS的其他模块,并一一执行,其流程如图1所示。由于BootBlock的这一特点,无需将BootBlock段抽出至外部设备中,反而要利用它的初始化能力以启动与外部设备如USB盘的通信。但必须对BootBlock段加以修改,以实现对USB钥匙盘的解密、主体BIOS的读入过程,即在检查BIOS校验和之前,从键盘读取用户的密码,并将该密码通过一定的运算方法加密,并发往USB接口,在USB钥匙盘收到该密码后,允许内存的BIOS数据可读。修改后的BootBlock段流程。
这样经过修改后,原主机板中存储BIOS的FLASH只存储修改过的BootBlock段代码,不再有主体BIOS。同时不再采用FLASH芯片,直接使用一次性写入的PROM,避免其他软件或病毒对该区域代码的修改。对于具体的加密算法和密码认证机制,不同的制造商可以选择不同的方式,如可以将主机板上具有惟一性的参数加入算法中,以实现一个主机板只有一套USB钥匙盘相对应,等等。
USB钥匙盘的实现,和市面上通常所说的软件狗,其原理是一样的,只是这里说的USB钥匙盘的储存容量要求相对大一些,至少要256KB以上。当然也可以不使用USB钥匙盘,而利用一些IC封装的CPU卡或SIM卡,做成LPT或COM接口的设备,如北京握奇公司就提供串行的SIM IC,只需要稍加点简单的电路就可以实现与COM口的通信。其原理和USB钥匙盘一样,只是使用的通信接口不同而已。
三、扩展
前面所说的机制已经可以实现计算机安全保护了,但为了增加实用性,还需要做一些简单的扩展,以提高破译的代价。
扩展一是使用IDE的安全特性。现代计算机BIOS都已经支持IDE加密(AMI和AWARD BIOS都有此功能),在实际使用过程中可结合该功能。该功能是对IDE硬盘进行加密,在BIOS开机阶段要求输入正确的密码,否则该硬盘不可以使用。在没有通过密码验证的情况下,BIOS根本不能正确识别硬盘的设备类型,OS更不知道该硬盘的存在,也就无法使用或破坏硬盘中原有的数据。
扩展二是修改系统BIOS,在BIOS中将硬盘参数,如分区表等备份到USB钥匙盘。做过BIOS开发的工程师知道,系统开机时首先执行的是BIOS,系统关机时最后执行的也是BIOS(意外断电除外,无论是操作系统关机还是按Power Button关机,都有对应的SMI处理程序)。利用BIOS的这个特性,在每次开机时,BIOS负责从USB钥匙盘中读取硬盘参数并恢复到硬盘中,在关机前,BIOS将硬盘参数备份到USB钥匙盘,同时破坏掉硬盘中该区域的数据。这样,即使将该硬盘安装到别的系统中,没有对应的钥匙盘也不能使用
黑客突破防火墙常用的几种技术
一、_blank">防火墙基本原理
首先,我们需要了解一些基本的_blank">防火墙实现原理。_blank">防火墙目前主要分包过滤,和状态检测的包过滤,应用层代理_blank">防火墙。但是他们的基本实现都是类似的。
│ │---路由器-----网卡│_blank">防火墙│网卡│----------内部网络│ │
_blank">防火墙一般有两个以上的网络卡,一个连到外部(router),另一个是连到内部网络。当打开主机网络转发功能时,两个网卡间的网络通讯能直接通过。当有_blank">防火墙时,他好比插在网卡之间,对所有的网络通讯进行控制。
说到访问控制,这是_blank">防火墙的核心了:),_blank">防火墙主要通过一个访问控制表来判断的,他的形式一般是一连串的如下规则:
1 accept from+ 源地址,端口 to+ 目的地址,端口+ 采取的动作
2 deny ...........(deny就是拒绝。。)
3 nat ............(nat是地址转换。后面说)
_blank">防火墙在网络层(包括以下的炼路层)接受到网络数据包后,就从上面的规则连表一条一条地匹配,如果符合就执行预先安排的动作了!如丢弃包。。。。 但是,不同的_blank">防火墙,在判断攻击行为时,有实现上的差别。下面结合实现原理说说可能的攻击。
二、攻击包过滤_blank">防火墙
包过滤_blank">防火墙是最简单的一种了,它在网络层截获网络数据包,根据_blank">防火墙的规则表,来检测攻击行为。他根据数据包的源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口来过滤!!很容易受到如下攻击:
1 ip 欺骗攻击:
这种攻击,主要是修改数据包的源,目的地址和端口,模仿一些合法的数据包来骗过_blank">防火墙的检测。如:外部攻击者,将他的数据报源地址改为内部网络地址,_blank">防火墙看到是合法地址就放行了:)。可是,如果_blank">防火墙能结合接口,地址来匹配,这种攻击就不能成功了:(
2 d.o.s拒绝服务攻击
简单的包过滤_blank">防火墙不能跟踪 tcp的状态,很容易受到拒绝服务攻击,一旦_blank">防火墙受到d.o.s攻击,他可能会忙于处理,而忘记了他自己的过滤功能。:)你就可以饶过了,不过这样攻击还很少的。!
3 分片攻击
这种攻击的原理是:在IP的分片包中,所有的分片包用一个分片偏移字段标志分片包的顺序,但是,只有第一个分片包含有TCP端口号的信息。当IP分片包通过分组过滤_blank">防火墙时,_blank">防火墙只根据第一个分片包的Tcp信息判断是否允许通过,而其他后续的分片不作_blank">防火墙检测,直接让它们通过。
这样,攻击者就可以通过先发送第一个合法的IP分片,骗过_blank">防火墙的检测,接着封装了恶意数据的后续分片包就可以直接穿透_blank">防火墙,直接到达内部网络主机,从而威胁网络和主机的安全。
4 木马攻击
对于包过滤_blank">防火墙最有效的攻击就是木马了,一但你在内部网络安装了木马,_blank">防火墙基本上是无能为力的。
原因是:包过滤_blank">防火墙一般只过滤低端口(1-1024),而高端口他不可能过滤的(因为,一些服务要用到高端口,因此_blank">防火墙不能关闭高端口的),所以很多的木马都在高端口打开等待,如冰河,subseven等。。。
但是木马攻击的前提是必须先上传,运行木马,对于简单的包过滤_blank">防火墙来说,是容易做的。这里不写这个了。大概就是利用内部网络主机开放的服务漏洞。
早期的_blank">防火墙都是这种简单的包过滤型的,到现在已很少了,不过也有。现在的包过滤采用的是状态检测技术,下面谈谈状态检测的包过滤_blank">防火墙。
三、攻击状态检测的包过滤
状态检测技术最早是checkpoint提出的,在国内的许多_blank">防火墙都声称实现了状态检测技术。
可是:)很多是没有实现的。到底什么是状态检测?
一句话,状态检测就是从tcp连接的建立到终止都跟踪检测的技术。
原先的包过滤,是拿一个一个单独的数据包来匹配规则的。可是我们知道,同一个tcp连接,他的数据包是前后关联的,先是syn包,-》数据包=》fin包。数据包的前后序列号是相关的。
如果割裂这些关系,单独的过滤数据包,很容易被精心够造的攻击数据包欺骗!!!如nmap的攻击扫描,就有利用syn包,fin包,reset包来探测_blank">防火墙后面的网络。!
相反,一个完全的状态检测_blank">防火墙,他在发起连接就判断,如果符合规则,就在内存登记了这个连接的状态信息(地址,port,选项。。),后续的属于同一个连接的数据包,就不需要在检测了。直接通过。而一些精心够造的攻击数据包由于没有在内存登记相应的状态信息,都被丢弃了。这样这些攻击数据包,就不能饶过_blank">防火墙了。
说状态检测必须提到动态规则技术。在状态检测里,采用动态规则技术,原先高端口的问题就可以解决了。实现原理是:平时,_blank">防火墙可以过滤内部网络的所有端口(1-65535),外部攻击者难于发现入侵的切入点,可是为了不影响正常的服务,_blank">防火墙一但检测到服务必须开放高端口时,如(ftp协议,irc等),_blank">防火墙在内存就可以动态地天加一条规则打开相关的高端口。等服务完成后,这条规则就又被_blank">防火墙删除。这样,既保障了安全,又不影响正常服务,速度也快。!
一般来说,完全实现了状态检测技术_blank">防火墙,智能性都比较高,一些扫描攻击还能自动的反应,因此,攻击者要很小心才不会被发现。
但是,也有不少的攻击手段对付这种_blank">防火墙的。
1 协议隧道攻击
协议隧道的攻击思想类似与VPN的实现原理,攻击者将一些恶意的攻击数据包隐藏在一些协议分组的头部,从而穿透_blank">防火墙系统对内部网络进行攻击。
例如,许多简单地允许ICMP回射请求、ICMP回射应答和UDP分组通过的_blank">防火墙就容易受到ICMP和UDP协议隧道的攻击。Loki和lokid(攻击的客户端和服务端)是实施这种攻击的有效的工具。在实际攻击中,攻击者首先必须设法在内部网络的一个系统上安装上lokid服务端,而后攻击者就可以通过loki客户端将希望远程执行的攻击命令(对应IP分组)嵌入在ICMP或UDP包头部,再发送给内部网络服务端lokid,由它执行其中的命令,并以同样的方式返回结果。由于许多_blank">防火墙允许ICMP和UDP分组自由出入,因此攻击者的恶意数据就能附带在正常的分组,绕过_blank">防火墙的认证,顺利地到达攻击目标主机下面的命令是用于启动lokid服务器程序:
lokid-p CI Cvl
loki客户程序则如下启动:
loki Cd172.29.11.191(攻击目标主机)-p CI Cv1 Ct3
这样,lokid和loki就联合提供了一个穿透_blank">防火墙系统访问目标系统的一个后门。
2 利用FTP-pasv绕过_blank">防火墙认证的攻击
FTP-pasv攻击是针对_blank">防火墙实施入侵的重要手段之一。目前很多_blank">防火墙不能过滤这种攻击手段。如CheckPoint的Firewall-1,在监视FTP服务器发送给客户端的包的过程中,它在每个包中寻找"227"这个字符串。如果发现这种包,将从中提取目标地址和端口,并对目标地址加以验证,通过后,将允许建立到该地址的TCP连接。攻击者通过这个特性,可以设法连接受_blank">防火墙保护的服务器和服务。
3 反弹木马攻击
反弹木马是对付这种_blank">防火墙的最有效的方法。攻击者在内部网络的反弹木马定时地连接外部攻击者控制的主机,由于连接是从内部发起的,_blank">防火墙(任何的_blank">防火墙)都认为是一个合法的连接,因此基本上_blank">防火墙的盲区就是这里了。_blank">防火墙不能区分木马的连接和合法的连接。
但是这种攻击的局限是:必须首先安装这个木马!!!所有的木马的第一步都是关键!
四、攻击代理
代理是运行在应用层的_blank">防火墙,他实质是启动两个连接,一个是客户到代理,另一个是代理到目的服务器。
实现上比较简单,和前面的一样也是根据规则过滤。由于运行在应用层速度比较慢,攻击代理的方法很多。
这里就以wingate为例,简单说说了。(太累了)
WinGate是目前应用非常广泛的一种Windows95/NT代理_blank">防火墙软件,内部用户可以通过一台安装有WinGate的主机访问外部网络,但是它也存在着几个安全脆弱点。黑客经常利用这些安全漏洞获得WinGate的非授权Web、Socks和Telnet的访问,从而伪装成WinGate主机的身份对下一个攻击目标发动攻击。因此,这种攻击非常难于被跟踪和记录。导致WinGate安全漏洞的原因大多数是管理员没有根据网络的实际情况对WinGate代理_blank">防火墙软件进行合理的设置,只是简单地从缺省设置安装完毕后就让软件运行,这就给攻击者可乘之机。
1 非授权Web访问
某些WinGate版本(如运行在NT系统下的2.1d版本)在误配置情况下,允许外部主机完全匿名地访问因特网。因此,外部攻击者就可以利用WinGate主机来对Web服务器发动各种Web攻击( 如CGI的漏洞攻击等),同时由于Web攻击的所有报文都是从80号Tcp端口穿过的,因此,很难追踪到攻击者的来源。
检测
检测WinGate主机是否有这种安全漏洞的方法如下:
1) 以一个不会被过滤掉的连接(譬如说拨号连接)连接到因特网上。
2) 把浏览器的代理服务器地址指向待测试的WinGate主机。
如果浏览器能访问到因特网,则WinGate主机存在着非授权Web访问漏洞。
2 非授权Socks访问
在WinGate的缺省配置中,Socks代理(1080号Tcp端口)同样是存在安全漏洞。与打开的Web代理(80号Tcp端口)一样,外部攻击者可以利用Socks代理访问因特网。
防范
要防止攻击WinGate的这个安全脆弱点,管理员可以限制特定服务的捆绑。在多宿主(multi homed)系统上,执行以下步骤以限定如何提供代理服务。
1选择Socks或WWWProxyServer属性。
2选择Bindings标签。
3按下ConnectionsWillBeAcceptedOnTheFollowingInterfaceOnly按钮,并指定本WinGate服务器的内部接口。
非授权Telnet访问
它是WinGate最具威胁的安全漏洞。通过连接到一个误配置的inGate服务器的Telnet服务,攻击者可以使用别人的主机隐藏自己的踪迹,随意地发动攻击。
检测
检测WinGate主机是否有这种安全漏洞的方法如下:
1.使用telnet尝试连接到一台WinGate服务器。
[root@happy/tmp]#telnet172.29.11.191
Trying172.29.11.191….
Connectedto172.29.11.191.
Escapecharacteris‘^]’.
Wingate>10.50.21.5
2.如果接受到如上的响应文本,那就输入待连接到的网站。
3.如果看到了该新系统的登录提示符,那么该服务器是脆弱的。
Connectedtohost10.50.21.5…Connected
SunOS5.6
Login:
对策
防止这种安全脆弱点的方法和防止非授权Socks访问的方法类似。在WinGate中简单地限制特定服务的捆绑就可以解决这个问题。一般来说,在多宿主(multihomed)系统管理员可以通过执行以下步骤来完成:
1.选择TelnetSever属性。
2.选择Bindings标签。
3.按下ConnectionsWillBeAcceptedOnTheFollowingInterfaceOnly按钮,并指定本WinGate服务器的内部接口。
五、后话
有_blank">防火墙的攻击不单是上面的一点,我有什么写的不对的,大家指正。
一直以来,黑客都在研究攻击_blank">防火墙的技术和手段,攻击的手法和技术越来越智能化和多样化。但是就黑客攻击_blank">防火墙的过程上看,大概可以分为三类攻击。
第一类攻击_blank">防火墙的方法是探测在目标网络上安装的是何种_blank">防火墙系统并且找出此_blank">防火墙系统允许哪些服务。我们叫它为对_blank">防火墙的探测攻击。
第二类攻击_blank">防火墙的方法是采取地址欺骗、TCP序号攻击等手法绕过_blank">防火墙的认证机制,从而 对_blank">防火墙和内部网络破坏。
第三类攻击_blank">防火墙的方法是寻找、利用_blank">防火墙系统实现和设计上的安全漏洞,从而有针对性地发动攻击。这种攻击难度比较大,可是破坏性很大。
妙用Windows神秘的类标识符
每个公民都有自己的身份证和身份证号。同样,Windows中的每一个系统级应用程序(如“我的电脑”、Internet Explorer等)也都有惟一的类标识符与之相对应,大部分注册过的后缀名也有自己的文件标识符。有些朋友不禁要问:这些文件标识符究竟有什么用呢?其实,理解文件标识符,不仅能让我们快速进行系统优化,还能轻松实现一些人无我有的个性化设置,心动了吗?那么就请随我一起来探索文件标识符吧!
实例:巧用易容术 隐藏文件夹
1.让文件夹摇身变成WAV文件
新建一个文件夹,把要隐藏的文件放入该文件夹中,然后将文件夹重命名为:yourname.wav.,这样你会看到该文件夹的图标变成了WAV文件的图标,名称是yourname.wav。双击它,执行的不是进入文件夹,而是启动“媒体播放器”,文件夹仿佛变成了声音文件——但却提示打不开。别人一定会以为是受损的声音文件。要想打开它,可直接选中并右击该文件(其实是文件夹,实在是太像文件了),选择“打开”即可。
2.把文件夹变成“网上邻居”
上面的方法虽好,但右击选择“打开”就会让自己的秘密现形,有没有更好的招数呢?将要隐藏的文件夹改名为:网上邻居.,回车后你将看到熟悉的“网上邻居”图标,双击后看一看,和桌面上的“网上邻居”一模一样。
为了伪装得更巧妙,最好将系统默认的桌面“网上邻居”图标删除掉,打开“注册表编辑器”,找到[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace]。此时就可以看到“网上邻居”等系统图标,根据需要删除即可。
这样桌面上就只剩下你自己创建的“网上邻居”了。
3.破解被“易容”的文件夹
非常简单,只要安装了WinRAR,然后在被易容的文件夹上右击,所有伪装就被轻松地识破了。接着双击打开任意一个RAR压缩包,在地址条中定位到伪装文件夹的上级目录(如果是C:\test文件夹,就定位到C盘根目录),你会在下面的文件列表中看到伪装文件夹(见图2),选中它后按F2键,将文件夹名后面的标识符去掉即可。
小提示 :国内一些文件夹隐藏软件用的就是这个原理,用同样方法可以轻松将其破解。
认识类标识符
上面的易容术其实用到的是Windows中的文件标识符,其英文名称是CLSID,也称类标识符,位于注册表的[HKEY_LOCAL_MACHINE\Software\Classes\CLSID]下,通常由32个十六进制数构成,其一般格式是“”。我们操作电脑时,会对系统程序名称发出指令,Windows则通过对该程序的文件标识符识别而做出响应。因此,文件标识符与系统程序是一一对应的关系。
常用文件标识符
我的电脑 我的文档 拨号网络 控制面板
计划任务 打印机 记事本 网络邻居
回收站 公文包 字体 Web 文件夹
实例:打造“我的电脑 2.0”
1.删除无用项目
“我的电脑”中可能会有一些系统级程序(如Web文件夹、计划任务等),平时很少用到它们,我们可以打开注册表编辑器,找到[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\MyComputer\NameSpace],其下有几个类标识符,它们对应的是在“我的电脑”中已有的系统级程序,右侧窗格为对应的系统级程序名称,右击不需要的项目选择“删除”即可。
小提示 :★Windows桌面也有不少系统级的图标,不允许删除,找[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\desktop\NameSpace],然后选择并删除不需要的项目即可。
★WindowsXP的“我的电脑”添加了一项“在这台计算机存储的文件”,可以显示电脑中各用户存储的文件和共享文件,这在一定程度上造成了系统的安全隐患,同时也泄漏了用户隐私,想要删除这项功能,可找到[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders],删除“”项即可。
2.添加常用项目和文件夹
一般情况下,许多用户经常会用到“控制面板”中的“网络和拨号连接”、”打印机”“用户和密码”、“管理工具”等,不如将它们直接移到“我的电脑”中,这样用起来更顺手。
首先,你可以在[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\MyComputer\NameSpace]下新建名为“”和“”的项,完成后,在“我的电脑”中便会自动出现“网络和拨号连接”、“打印机”这两个新项。
不过,像“用户和密码”、“管理工具”等就没那么容易添加了,因此,推荐你使用Shell Object Editor这款免费软件(下载地址:[url]http://www.tropictech.de/software/shellobject/ShellObjectEditor_Install300.exe[/url])。
第一步:安装后启动软件,单击“Create new”按钮进入创建新项目向导,在“Shell Object Name”(外壳事件名称)窗口第一个文本框中输入“用户和密码”,在第二个文本框中可以输入相关描述,比如:设置Windows的用户和密码。
第二步:单击“下一步”按钮,在“Select a funtion”(选择功能)窗口点选“The ShellObject should behave like a program”(事件为程序),并在下面文本框中输入“Control Userpasswords”(Windows XP请使用“Control Userpasswords2”),单击“下一步”按钮进入选择图标步骤,直接单击…按钮会打开图标选择窗口。
第三步:接着进入权限和位置设置窗口,在这里勾选“My Computer”(我的电脑),其他保持默认即可。最后一步为属性设置,保持默认即可。
小提示 :其实还有更简单的添加方法,那就是在Shell Object Editor窗口右击,选择“Expert Mode”(专家模式),这样软件会列出所有系统级程序,右击“管理工具”并选择“Copy to→My Computer(all users)”,这样“管理工具”便会被复制到“我的电脑”中了。另外,通过右键菜单,还可以对系统程序进行重命名、删除、隐藏、更换图标等操作。
现在进入“我的电脑”,“用户和密码”已经被添加进去了。不仅效果非常好,图标也很特别吧!我们使用了特别的XP风格图标,如果你也需要,可到[url]http://www.newhua.com/cfan/200419/xpicon.rar[/url]下载,是我们经过调整后的“我的电脑”,是不是很COOL?
Just Do It
利用Shell Object Editor将常用的文件夹添加到“我的电脑”,比如下载文件夹、个人文档文件夹等。这时在“Select a funtion”(选择功能)窗口应该选择“The ShellObject should behave like a Folder”(事件为文件夹)。
用类标识符快速解决故障
1.修正字体文件夹
在Windows XP中,打开“控制面板→字体”,想安装新字体,却发现字体文件夹的“文件”菜单下竟然没有“安装新字体”命令。其实,只要打开该文件夹中的Desktop.ini,加上UICLSID=即可解决问题。
2.为什么不能访问光驱
有时,卸载刻录软件后,Windows XP可能会出现无法访问光驱的问题,其实只要找到并删除[HKEY_LOCAL_MACHINE\Syeten\CurrentControlSet\Control\Class\]就能解决。
部署防火墙策略的十六条守则
1、计算机没有大脑。所以,当ISA的行为和你的要求不一致时,请检查你的配置而不要埋怨ISA。
2、只允许你想要允许的客户、源地址、目的地和协议。仔细的检查你的每一条规则,看规则的元素是否和你所需要的一致。
3、拒绝的规则一定要放在允许的规则前面。
4、当需要使用拒绝时,显式拒绝是首要考虑的方式。
5、在不影响防火墙策略执行效果的情况下,请将匹配度更高的规则放在前面。
6、在不影响防火墙策略执行效果的情况下,请将针对所有用户的规则放在前面。
7、尽量简化你的规则,执行一条规则的效率永远比执行两条规则的效率高。
8、永远不要在商业网络中使用Allow 4 ALL规则(Allow all users use all protocols from all networks to all networks),这样只是让你的ISA形同虚设。
9、如果可以通过配置系统策略来实现,就没有必要再建立自定义规则。
10、ISA的每条访问规则都是独立的,执行每条访问规则时不会受到其他访问规则的影响。
11、永远也不要允许任何网络访问ISA本机的所有协议。内部网络也是不可信的。
12、SNat客户不能提交身份验证信息。所以,当你使用了身份验证时,请配置客户为Web代理客户或防火墙客户。
13、无论作为访问规则中的目的还是源,最好使用IP地址。
14、如果你一定要在访问规则中使用域名集或URL集,最好将客户配置为Web代理客户。
15、请不要忘了,防火墙策略的最后还有一条DENY 4 ALL。
16、最后,请记住,防火墙策略的测试是必需的。