如果計(jì)算機(jī)里存在著木馬病毒和未經(jīng)授權(quán)的遠(yuǎn)程控制軟件，那別人不但能得到你所有的隱私信息和賬號(hào)密碼，更能隨時(shí)奪走計(jì)算機(jī)的控制權(quán)，本文主要講述如何關(guān)閉這兩類軟件。

　　需要說明的一點(diǎn)是，本文介紹的各種木馬及未授權(quán)被安裝的遠(yuǎn)程控制軟件均是由于沒有正確的設(shè)置管理員密碼導(dǎo)致系統(tǒng)被侵入而存在的。因此請(qǐng)先檢查系統(tǒng)中所有帳號(hào)的口令是否設(shè)置的足夠安全。

　　口令設(shè)置要求：

　　1.口令應(yīng)該不少于8個(gè)字符；

　　2.不包含字典里的單詞、不包括姓氏的漢語(yǔ)拼音；

　　3.同時(shí)包含多種類型的字符，比如大寫字母(A,B,C,..Z)、小寫字母(a,b,c..z)、數(shù)字(0,1,2,…9)、標(biāo)點(diǎn)符號(hào)(@,,!,$,％,& …)。

　　注意：下文中提到的相關(guān)路徑根據(jù)您的操作系統(tǒng)版本不同會(huì)有所不同，請(qǐng)根據(jù)自己的系統(tǒng)做相應(yīng)的調(diào)整。根據(jù)系統(tǒng)安裝的路徑不同，目錄所在盤符也可能不同，如系統(tǒng)安裝在D盤，請(qǐng)將C:\Windows改為D:\Windows依此類推。

　　大部分的木馬程序都可以改變默認(rèn)的服務(wù)端口，我們應(yīng)該根據(jù)具體的情況采取相應(yīng)的措施，一個(gè)完整的檢查和刪除過程如下例所示：

　　例：113端口木馬的清除（僅適用于Windows系統(tǒng)）：這是一個(gè)基于irc聊天室控制的木馬程序。

　　1.首先使用netstat -an命令確定自己的系統(tǒng)上是否開放了113端口；

　　2.使用fport命令察看出是哪個(gè)程序在監(jiān)聽113端口；

　　例如我們用fport看到如下結(jié)果：

　　Pid　 ProcessPort　Proto Path
　　392　 svchost　->　113　 TCP
　　C:\WinNT\system32\vhos.exe

　　我們就可以確定在監(jiān)聽在113端口的木馬程序是vhos.exe而該程序所在的路徑為c:\Winnt\system32下。

　　3.確定了木馬程序名（就是監(jiān)聽113端口的程序）后，在任務(wù)管理器中查找到該進(jìn)程，并使用管理器結(jié)束該進(jìn)程。

　　4.在開始-運(yùn)行中鍵入regedit運(yùn)行注冊(cè)表管理程序，在注冊(cè)表里查找剛才找到那個(gè)程序，并將相關(guān)的鍵值全部刪掉。

　　5.到木馬程序所在的目錄下刪除該木馬程序。（通常木馬還會(huì)包括其他一些程序，如rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等，根據(jù)木馬程序不同，文件也有所不同，你可以通過察看程序的生成和修改的時(shí)間來確定與監(jiān)聽113端口的木馬程序有關(guān)的其他程序）。

　　6.重新啟動(dòng)機(jī)器。

　　707端口：


　　這個(gè)端口開放表示你可能感染了nachi蠕蟲病毒，該蠕蟲的清除方法如下：

　　1、停止服務(wù)名為WinS Client和Network Connections Sharing的兩項(xiàng)服務(wù)；
　　2、刪除c:\Winnt\SYSTEM32\WinS\目錄下的DLLHOST.EXE和SVCHOST.EXE文件；
　　3、編輯注冊(cè)表，刪除HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services項(xiàng)中名為RpcTftpd和RpcPatch的兩個(gè)鍵值。

　　1999端口：


　　這個(gè)端口是木馬程序BackDoor的默認(rèn)服務(wù)端口，該木馬清除方法如下：

　　1、使用進(jìn)程管理工具將notpa.exe進(jìn)程結(jié)束；
　　2、刪除c:\Windows\目錄下的notpa.exe程序；
　　3、編輯注冊(cè)表，刪除HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run項(xiàng)中包含c:\Windows\notpa.exe /o=yes的鍵值。

　　2001端口：


　　這個(gè)端口是木馬程序黑洞2001的默認(rèn)服務(wù)端口，該木馬清除方法如下：

　　1、首先使用進(jìn)程管理軟件將進(jìn)程Windows.exe殺掉；
　　2、刪除c:\Winnt\system32目錄下的Windows.exe和S_Server.exe文件；
　　3、編輯注冊(cè)表，刪除HKEY_LOCAL_MACHINE\Software \Microsoft \Windows \CurrentVersion \RunServices\項(xiàng)中名為Windows的鍵值；
　　4、將HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES項(xiàng)中的Winvxd項(xiàng)刪除；
　　5、修改HKEY_CLASSES_ROOT \txtfile \shell \open \command項(xiàng)中的c:\Winnt\system32\S_SERVER.EXE ％1為C:\WinNT\NOTEPAD.EXE ％1；
　　6、修改HKEY_LOCAL_MACHINE \Software \CLASSES \txtfile\shell \open \command項(xiàng)中的c:\Winnt\system32\S_SERVER.EXE ％1鍵值改為　　C:\WinNT\NOTEPAD.EXE ％1。

　　2023端口：


　　這個(gè)端口是木馬程序Ripper的默認(rèn)服務(wù)端口，該木馬清除方法如下：

　　1、使用進(jìn)程管理工具結(jié)束sysrunt.exe進(jìn)程；
　　2、刪除c:\Windows目錄下的sysrunt.exe程序文件；
　　3、編輯system.ini文件，將shell=explorer.exe sysrunt.exe 改為shell=explorer.exe后保存；
　　4、重新啟動(dòng)系統(tǒng)。

　　2583端口：


　　這個(gè)端口是木馬程序Wincrash v2的默認(rèn)服務(wù)端口，該木馬清除方法如下：

　　1、編輯注冊(cè)表，刪除HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run\項(xiàng)中的WinManager = "c:\Windows\server.exe"鍵值；
　　2、編輯Win.ini文件，將run=c:\Windows\server.exe改為run=后保存退出；
　　3、重新啟動(dòng)系統(tǒng)后刪除C:\Windows\system\ SERVER.EXE。

　　3389端口：


　　首先說明3389端口是Windows的遠(yuǎn)程管理終端所開的端口，它并不是一個(gè)木馬程序，請(qǐng)先確定該服務(wù)是否是你自己開放的。如果不是必須的，請(qǐng)關(guān)閉該服務(wù)。

　　Win2000關(guān)閉的方法：

　　1、Win2000server

　　開始-->程序-->管理工具-->服務(wù)里找到Terminal Services服務(wù)項(xiàng)，選中屬性選項(xiàng)將啟動(dòng)類型改成手動(dòng)，并停止該服務(wù)。

　　2、Win2000pro

　　開始-->設(shè)置-->控制面板-->管理工具-->服務(wù)里找到Terminal Services服務(wù)項(xiàng)，選中屬性選項(xiàng)將啟動(dòng)類型改成手動(dòng)，并停止該服務(wù)。

　　Winxp關(guān)閉的方法：

　　在我的電腦上閿壹∈糶?->遠(yuǎn)程，將里面的遠(yuǎn)程協(xié)助和遠(yuǎn)程桌面兩個(gè)選項(xiàng)框里的勾去掉。

　　4444端口：


　　如果發(fā)現(xiàn)你的機(jī)器開放這個(gè)端口，可能表示你感染了msblast蠕蟲，清除該蠕蟲的方法如下：

　　1、使用進(jìn)程管理工具結(jié)束msblast.exe的進(jìn)程；
　　2、編輯注冊(cè)表，刪除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run項(xiàng)中的"Windows auto update"="msblast.exe"鍵值；
　　3、刪除c:\Winnt\system32目錄下的msblast.exe文件。

　　4899端口：


　　首先說明4899端口是一個(gè)遠(yuǎn)程控制軟件（remote administrator)服務(wù)端監(jiān)聽的端口，他不能算是一個(gè)木馬程序，但是具有遠(yuǎn)程控制功能，通常殺毒軟件是無法查出它來的，請(qǐng)先確定該服務(wù)是否是你自己開放并且是必需的。如果不是請(qǐng)關(guān)閉它。


　　關(guān)閉方法：

　　1、請(qǐng)?jiān)陂_始-->運(yùn)行中輸入cmd(98以下為command),然后 cd C:\Winnt\system32(你的系統(tǒng)安裝目錄），輸入r_server.exe /stop后按回車。

　　然后在輸入r_server /uninstall /silence；

　　2、到C:\Winnt\system32(系統(tǒng)目錄）下刪除r_server.exe admdll.dll raddrv.dll三個(gè)文件。

　　5800，5900端口：


　　首先說明5800，5900端口是遠(yuǎn)程控制軟件VNC的默認(rèn)服務(wù)端口，但是VNC在修改過后會(huì)被用在某些蠕蟲中。請(qǐng)先確認(rèn)VNC是否是你自己開放并且是必須的，如果不是請(qǐng)關(guān)閉。

　　關(guān)閉方法：

　　1、首先使用fport命令確定出監(jiān)聽在5800和5900端口的程序所在位置（通常會(huì)是c:\Winnt\fonts\explorer.exe)；
　　2、在任務(wù)管理器中殺掉相關(guān)的進(jìn)程（注意有一個(gè)是系統(tǒng)本身正常的，請(qǐng)注意！如果錯(cuò)殺可以重新運(yùn)行c:\Winnt\explorer.exe)；
　　3、刪除C:\Winnt\fonts\中的explorer.exe程序；
　　4、刪除注冊(cè)表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run項(xiàng)中的Explorer鍵值；
　　5、重新啟動(dòng)機(jī)器。

　　6129端口：


　　首先說明6129端口是一個(gè)遠(yuǎn)程控制軟件（dameware nt utilities)服務(wù)端監(jiān)聽得端口，他不是一個(gè)木馬程序，但是具有遠(yuǎn)程控制功能，通常的殺毒軟件是無法查出它來的。請(qǐng)先確定該服務(wù)是否是你自己安裝并且是必需的，如果不是請(qǐng)關(guān)閉。

　　關(guān)閉方法：

　　1、選擇開始-->設(shè)置-->控制面板-->管理工具-->服務(wù)
　　找到DameWare Mini Remote Control項(xiàng)點(diǎn)擊右鍵選擇屬性選項(xiàng)，將啟動(dòng)類型改成禁用后停止該服務(wù)；
　　2、到c:\Winnt\system32(系統(tǒng)目錄）下將DWRCS.EXE程序刪除；
　　3、到注冊(cè)表內(nèi)將HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\項(xiàng)中的DWRCS鍵值刪除。

微軟的IE和OFFICE前幾個(gè)月一直受zero-day攻擊之?dāng)_。它已經(jīng)形成了一個(gè)慣例循環(huán)，微軟每月在“補(bǔ)丁星期二”發(fā)布新的補(bǔ)丁，而在此前后就會(huì)出現(xiàn)一大把新的zero-day攻擊。黑客們想要在微軟能夠?qū)Ω端埃畲罂赡艿匮娱L(zhǎng)他們的zeroday攻擊存在的時(shí)間。

　　微軟利用客戶反饋，自動(dòng)工具，以及加入反病毒聯(lián)盟這些方法來了解每個(gè)新的zero-day攻擊的波及廣度。如果該攻擊波及很廣，微軟會(huì)加快正常的補(bǔ)丁周期，并且在下一個(gè)補(bǔ)丁星期二之前發(fā)布修正補(bǔ)丁。如果攻擊沒有廣泛傳播，通常都會(huì)是這種情況，微軟就會(huì)等到正常的發(fā)布補(bǔ)丁的星期二到了再發(fā)布。花正常的時(shí)間開發(fā)和測(cè)試補(bǔ)丁通常意味著那補(bǔ)丁會(huì)很穩(wěn)定（最近這對(duì)微軟來說甚至變得很難做到……這就是題外話了）。

　　當(dāng)決定按正常周期發(fā)布對(duì)付一個(gè)不是很緊急的zero-day補(bǔ)丁的時(shí)候，微軟也很痛苦。媒體上到處都是關(guān)于最新bug，面對(duì)騙局如何自救等等。即使是我最喜歡的dshield.org，也早早加入媒體的隊(duì)伍，抓著微軟在上百萬(wàn)惡意攻擊到處蔓延的時(shí)候不立刻發(fā)布補(bǔ)丁的痛處不放。在最近的幾期攻擊中，所謂的“百萬(wàn)惡意攻擊”波及范圍都是不超過100的。

　　但是別人眼中的自己才是真實(shí)的自己，在最新補(bǔ)丁調(diào)試階段微軟只有忍受痛苦。無論威脅是否只是適度地傳播，消費(fèi)者在官方發(fā)布補(bǔ)丁或者其他補(bǔ)償保護(hù)措施（比如配置查殺程序）可用之前，只有苦苦等待。大多數(shù)用戶從來不使用替代保護(hù)方案，因此在使用官方補(bǔ)丁之前他們?nèi)蕴幱跓o保護(hù)狀態(tài)。

　　因此，很多第三方公司開始發(fā)布防護(hù)補(bǔ)丁，以便在官方補(bǔ)丁發(fā)布之前彌補(bǔ)空白。最集中的表現(xiàn)就是，新Zeroday緊急響應(yīng)組（ZERT）。ZERT由一些杰出的程序員和安全專家組成，他們致力于在官方補(bǔ)丁滯后于大眾需要的時(shí)候提供補(bǔ)丁。ZERT的Z保護(hù)平臺(tái)允許人們開發(fā)和使用第三方微軟Windows補(bǔ)丁，并且在賣主提供補(bǔ)丁后允許人們卸載該第三方補(bǔ)丁。

　　另一些專業(yè)人士，比如Jesper Johansson博士，他以前是微軟的高級(jí)安全員。他建議人們使用能夠阻止zero-day代碼的補(bǔ)償防御措施。Jesper最近提出了一些可靠的安全修正程序，它們能夠使用組策略快速配置。

　　微軟以及其他很多安全專家警告用戶們不要使用第三方補(bǔ)丁以及修正程序。大多數(shù)用戶都應(yīng)該認(rèn)真聽取這些意見。首先，第三方補(bǔ)丁以及修正程序通常都沒有像官方補(bǔ)丁那樣徹底測(cè)試過。一個(gè)微軟的人員曾經(jīng)告訴我，每個(gè)IE安全補(bǔ)丁在發(fā)布之前都要經(jīng)過數(shù)以千計(jì)的退化測(cè)試。

　　比起它們解決的問題來說，第三方補(bǔ)丁確實(shí)造成更多問題。即使是Jesper那優(yōu)秀的VML保護(hù)腳本也曾在打了普通補(bǔ)丁的Windows系列計(jì)算機(jī)中引起問題。

　　但是有了官方警告，我覺得任何擁有知識(shí)豐富的網(wǎng)管的公司都能夠從第三方補(bǔ)丁和針對(duì)危機(jī)的及時(shí)的建議中獲得好處，前提是網(wǎng)管有時(shí)間徹底測(cè)試第三方補(bǔ)丁或修正程序。有些第三方對(duì)出現(xiàn)的漏洞等反應(yīng)很快：例如，Jesper為自己的修正程序編寫更新——他一旦注意到問題就會(huì)立刻給出建議；ZERT似乎在怎樣應(yīng)用它的補(bǔ)丁上作了正確選擇，系統(tǒng)不用修改原始的那個(gè)壓縮的可執(zhí)行文件。

　　我認(rèn)為，如果一個(gè)廣泛傳播的攻擊對(duì)你的系統(tǒng)環(huán)境有極大危險(xiǎn)，你應(yīng)該考慮測(cè)試并使用第三方的補(bǔ)丁或者修正程序。管理層應(yīng)當(dāng)意識(shí)到第三方補(bǔ)丁的性質(zhì)，風(fēng)險(xiǎn)并下最終決定。任何新的補(bǔ)丁——甚至是官方補(bǔ)丁——你都應(yīng)當(dāng)徹底測(cè)試，并且準(zhǔn)備測(cè)試后的復(fù)原方案以防安了補(bǔ)丁后情況更糟。

來自網(wǎng)絡(luò)的攻擊手段越來越多了，一些惡意網(wǎng)頁(yè)會(huì)利用軟件或系統(tǒng)操作平臺(tái)等的安全漏洞，通過執(zhí)行嵌入在網(wǎng)頁(yè)HTML超文本標(biāo)記語(yǔ)言內(nèi)的Java Applet小應(yīng)用程序、javaScript腳本語(yǔ)言程序、ActiveX軟件部件交互技術(shù)支持可自動(dòng)執(zhí)行的代碼程序，
強(qiáng)行修改用戶操作系統(tǒng)的注冊(cè)表及系統(tǒng)實(shí)用配置程序，從而達(dá)到非法控制系統(tǒng)資源、破壞數(shù)據(jù)、格式化硬盤、感染木馬程序的目的。

　　目前來自網(wǎng)頁(yè)黑手的攻擊分為兩種：一種是通過編輯的腳本程序修改IE瀏覽器；另外一種是直接破壞Windows系統(tǒng)。前者一般會(huì)修改IE瀏覽器的標(biāo)題欄、默認(rèn)主頁(yè)等，關(guān)于此方面的文章比較多。下面就來介紹一些針對(duì)破壞Windows系統(tǒng)的網(wǎng)頁(yè)黑手的防范方法。

　　黑手之一 格式化硬盤

　　這是一種非常危險(xiǎn)的網(wǎng)頁(yè)黑手，它會(huì)通過IE執(zhí)行ActiveX部件并調(diào)用Format.com或Deltree.exe將硬盤格式化或者刪除文件夾。在感染此類破壞程序后，會(huì)出現(xiàn)一個(gè)信息提示框，提示：“當(dāng)前的頁(yè)面含有不完全的ActiveX，可能會(huì)對(duì)你造成危害，是否執(zhí)行？yes，no”，如果單擊“是”，那么硬盤就會(huì)被迅速格式化，而這一切都是在后臺(tái)運(yùn)行的，不易被察覺。

　　防范的方法是：將本機(jī)的Format.com或Deltree.exe命令改名字。另外，對(duì)于莫名出現(xiàn)的提示問題，不要輕易回答“是”。可以按下［Ctrl+Alt+Del］組合鍵在彈出的“關(guān)閉程序”窗口中，將不能確認(rèn)的進(jìn)程中止執(zhí)行。

　　黑手之二 耗盡系統(tǒng)資源

　　這種網(wǎng)頁(yè)黑手會(huì)執(zhí)行一段Java Script代碼并產(chǎn)生一個(gè)死循環(huán)，以至不斷消耗本機(jī)系統(tǒng)資源，最后導(dǎo)致系統(tǒng)死機(jī)。它們會(huì)出現(xiàn)在一些惡意網(wǎng)站或者郵件的附件中，只要打開附件程序后，屏幕上就會(huì)出現(xiàn)無數(shù)個(gè)IE窗口，最后只有重新啟動(dòng)計(jì)算機(jī)。

　　防范的方法是：不要輕易進(jìn)入不了解的網(wǎng)站，也不要隨便打開陌生人發(fā)來的E-mail中的附件，比如擴(kuò)展名是VBS、HTML、HTM、DOC、EXE的文件。

　　黑手之三 非法讀取文件

　　此類黑手會(huì)通過對(duì)ActiveX、JavaScript和WebBrowser control的調(diào)用來達(dá)到對(duì)本地文件進(jìn)行讀取。它還可以利用瀏覽器漏洞實(shí)現(xiàn)對(duì)本地文件的讀取，避免此類攻擊可以關(guān)閉禁用瀏覽器的JavaScript功能。

　　黑手之四 獲取控制權(quán)限

　　此類黑手會(huì)利用IE執(zhí)行Actives時(shí)候發(fā)生，雖然說IE提供對(duì)于“下載已簽名的ActiveX控件”進(jìn)行提示的功能，但是惡意攻擊代碼會(huì)繞過IE，在無需提示的情況下下載和執(zhí)行ActiveX控件程序，而這時(shí)惡意攻擊者就會(huì)取得對(duì)系統(tǒng)的控制權(quán)限。如果要屏蔽此類黑手，可以打開注冊(cè)表編輯器，然后展開如下分支：

　　解決方法是在注冊(cè)表分支HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility 下為Active Setup controls創(chuàng)建一個(gè)基于CLSID的新鍵值 {6E449683_C509_11CF_AAFA_00AA00 B6015C}，然后在新鍵值下創(chuàng)建一個(gè)REG_DWORD 類型的鍵Compatibility，并設(shè)定鍵值為0x00000400即可。

　　對(duì)于來自網(wǎng)上的種種攻擊，在提高防范意識(shí)的同時(shí)，還需做好預(yù)防工作。

　　1.設(shè)定安全級(jí)別

　　鑒于很多攻擊是通過包含有惡意腳本實(shí)現(xiàn)攻擊，可以提高IE的級(jí)別。在IE中執(zhí)行“工具/Internet選項(xiàng)”命令，然后選擇“安全”選項(xiàng)卡，選擇“Internet”后單擊［自定義級(jí)別］按鈕，在“安全設(shè)置”對(duì)話框中，將“ActiveX控件和插件”、“腳本”中的相關(guān)選項(xiàng)全部選擇“禁用”，另外設(shè)定安全級(jí)別為“高”。需要注意的是，如果選擇了“禁用”，一些需要使用ActiveX和腳本的網(wǎng)站可能無法正常顯示。

　　2.過濾指定網(wǎng)頁(yè)

　　對(duì)于一些包含有惡意代碼的網(wǎng)頁(yè)，可以將其屏蔽，執(zhí)行“工具/Internet選項(xiàng)”命令，選擇內(nèi)容選項(xiàng)卡，在“分級(jí)審查”中單擊［啟用］按鈕，打開“分級(jí)審查”對(duì)話框，選擇“許可站點(diǎn)”選項(xiàng)卡，輸入需要屏蔽網(wǎng)址，然后單擊［從不］按鈕，再單擊［確定］按鈕。

3.卸載或升級(jí)WSH

　　有些利用VBScript編制的病毒、蠕蟲病毒，比如 “I LOVE YOU”和“Newlove”，它們都包含了一個(gè)以 VBS為后綴名的附件，打開附件后，用戶就會(huì)被感染。這些病毒會(huì)利用Windows內(nèi)嵌的 Windows Scripting Host 即WSH進(jìn)行啟動(dòng)和運(yùn)行。也就是說，如果將WSH禁用，隱藏在VB腳本中的病毒就無法被激活了。

　　在Windows 98中禁用WSH，打開“添加/刪除”程序，選擇“Windows 設(shè)置/附件”，并單擊“詳細(xì)資料”，取消“Windows Scripting Host”選項(xiàng)，完成后單擊［確定］按鈕即可。

　　在Windows 2000中禁用WSH的方法是，雙擊“我的電腦”圖標(biāo)，然后執(zhí)行“工具/文件夾選項(xiàng)”命令，選擇“文件類型”選項(xiàng)卡，找到“VBS VBScript Script File”選項(xiàng)，并單擊［刪除］按鈕，最后單擊［確定］即可。

　　另外，還可以升級(jí)WSH 5.6，IE瀏覽器可以被惡意腳本修改，就是因?yàn)镮E 5.5以前版本中的WSH允許攻擊者利用JavaScript中的Getobject函數(shù)以及htmlfilr ActiveX對(duì)象讀取瀏覽者的注冊(cè)表，可以在http://www.microsoft.com/下載最新版本的WSH。

　　4.禁用遠(yuǎn)程注冊(cè)表服務(wù)

　　在Windows 2000/XP中，可以點(diǎn)擊“控制面板/管理工具/服務(wù)”，用鼠標(biāo)右鍵單擊“Remote Registry”，然后在彈出的快捷方式中選擇“屬性”命令，在“常規(guī)”選項(xiàng)卡中單擊［停止］按鈕，這樣可以攔截部分惡意腳本代碼。

　　5.安裝防火墻和殺毒軟件

　　安裝防火墻和殺毒軟件可以攔截部分惡意代碼程序，比如可以安裝瑞星殺毒軟件。

現(xiàn)在很多單位都配置了局域網(wǎng)，為了便于進(jìn)行網(wǎng)絡(luò)管理，同時(shí)為了提高的登錄網(wǎng)絡(luò)的速度，網(wǎng)管人員一般都為局域網(wǎng)中的每臺(tái)電腦都指定了IP地址。但是在Windows環(huán)境下其他用戶很容易修改IP地址配置，這樣就很容易造成IP地址沖突等故障，不利于網(wǎng)絡(luò)的正常管理。

　　因此，最好能為IP地址加上一把“鎖”，這樣別人就不能輕易更改IP地址了。

　　在Windows 2000/XP中存在Netcfgx.dll，Netshell.dll和Netman.dll三個(gè)動(dòng)態(tài)庫(kù)文件，它們實(shí)際上是系統(tǒng)控件，在Windows 2000/XP的安裝過程中會(huì)自動(dòng)注冊(cè)這些控件。這三個(gè)控件和Windows 2000/XP的網(wǎng)絡(luò)功能緊密相關(guān)。當(dāng)修改IP地址時(shí)，就需要用到這三個(gè)控件。因此，只要將上述三個(gè)控件卸載，就可以屏蔽網(wǎng)絡(luò)連接窗口，這樣無論是雙擊桌面上的網(wǎng)上鄰居圖標(biāo)，還是在控制面板中雙擊“網(wǎng)絡(luò)連接”項(xiàng)，都無法正常進(jìn)入網(wǎng)絡(luò)連接窗口，也就無法在本地連接屬性窗口中修改IP地址了。

　　在“開始/運(yùn)行”中輸入“Cmd.exe”，確認(rèn)后打開CMD窗口，在其中分別執(zhí)行“Regsvr32 /u Netcfgx.dll”、“Regsvr32 /u Netcfgx.dll”、“Regsvr32 /u Netcfgx.dll”命令，就可以將上述控件從系統(tǒng)中卸載。當(dāng)然，如果以后需要修改IP地址的話，可以上述控件逐一注冊(cè)即可。注冊(cè)的方法很簡(jiǎn)單，只要將上述命令中的“/u”參數(shù)去掉，就可以執(zhí)行注冊(cè)操作了。例如執(zhí)行命令“Regsvr32 Netcfgx.dll”就完成了控件Netcfgx.dll的注冊(cè)。

很多朋友在瀏覽網(wǎng)頁(yè)的時(shí)候會(huì)遇到瀏覽器“卡死”的情況，這多半是因?yàn)樵摼W(wǎng)頁(yè)中有嵌入式的ActiveX插件需要提示安裝。為了對(duì)付這個(gè)問題，市面上有很多相關(guān)的“免疫”軟件，如NoTroubleMe等，而且Windows XP SP2中也提供了該功能。不過這些思路都比較被動(dòng)，如果遇到新的ActiveX程序，他們就無能為力了。下面筆者來介紹自己的解決方案。

　　1． 屏蔽ActiveX插件的思路

　　其實(shí)對(duì)我們真正有用的ActiveX插件畢竟是少數(shù)，就普通網(wǎng)友來說不外乎有：Windows Update控件、Flash控件這兩種必需的，當(dāng)然有些朋友可能還想使用銀行在線系統(tǒng)或者其它服務(wù)需要安裝ActiveX。我們其實(shí)可以將這些有用的 ActiveX都進(jìn)行安裝，接下來在瀏覽器設(shè)置中屏蔽所有ActiveX插件的在線安裝，這樣以后不管有什么ActiveX都不為彈出來了。
2． 一勞永逸的設(shè)置實(shí)戰(zhàn)

　　第一步：首先使用IE訪問你需要安裝ActiveX插件的頁(yè)面，比如微軟的Windows Update站點(diǎn)、帶有Flash的站點(diǎn)等，在提示安裝ActiveX的時(shí)候選擇“是”進(jìn)行安裝。

　　第二步：所有的ActiveX都安裝完畢后，在IE中選擇“工具→Internet選項(xiàng)”，切換到“安全”標(biāo)簽，點(diǎn)擊“自定義級(jí)別”按鈕，在彈出的 “安全設(shè)置”窗口中將“下載未簽名的ActiveX控件”和“下載已簽名的ActiveX控件”兩項(xiàng)都設(shè)置為“禁用”。最后保存退出即可，如圖所示。
當(dāng)遇到某些網(wǎng)站的ActiveX確認(rèn)是需要你安裝的時(shí)候，將上述設(shè)置恢復(fù)為“默認(rèn)”，再刷新頁(yè)面進(jìn)行安裝即可，裝完后再重新設(shè)置為“禁用”。

我們的防火墻是不是經(jīng)常有人來攻擊你XXX端口呢?如果關(guān)掉相應(yīng)沒有用處的端口不就好了嗎?

一般來說，我們采用一些功能強(qiáng)大的反黑軟件和防火墻來保證我們的系統(tǒng)安全，本文擬用一種簡(jiǎn)易的辦法——通過限制端口來幫助大家防止非法入侵-----如何關(guān)閉系統(tǒng)中的一些端口，同時(shí)如何關(guān)閉WINDOWS 下的默認(rèn)共享C$、D$、Admin$、IPC$等等。


非法入侵的方式


簡(jiǎn)單說來，非法入侵的方式可粗略分為4種：


1、掃描端口，通過已知的系統(tǒng)Bug攻入主機(jī)。


2、種植木馬，利用木馬開辟的后門進(jìn)入主機(jī)。


3、采用數(shù)據(jù)溢出的手段，迫使主機(jī)提供后門進(jìn)入主機(jī)。


4、利用某些軟件設(shè)計(jì)的漏洞，直接或間接控制主機(jī)。


非法入侵的主要方式是前兩種，尤其是利用一些流行的黑客工具，通過第一種方式攻擊主機(jī)的情況最多、也最普遍；而對(duì)后兩種方式來說，只有一些手段高超的黑客才利用，波及面并不廣泛，而且只要這兩種問題一出現(xiàn)，軟件服務(wù)商很快就會(huì)提供補(bǔ)丁，及時(shí)修復(fù)系統(tǒng)。


因此，如果能限制前兩種非法入侵方式，就能有效防止利用黑客工具的非法入侵。而且前兩種非法入侵方式有一個(gè)共同點(diǎn)，就是通過端口進(jìn)入主機(jī)。


端口就像一所房子（服務(wù)器）的幾個(gè)門一樣，不同的門通向不同的房間（服務(wù)器提供的不同服務(wù)）。我們常用的FTP默認(rèn)端口為21，而WWW網(wǎng)頁(yè)一般默認(rèn)端口是80。但是有些馬虎的網(wǎng)絡(luò)管理員常常打開一些容易被侵入的端口服務(wù)，比如139等；還有一些木馬程序，比如冰河、BO、廣外等都是自動(dòng)開辟一個(gè)您不察覺的端口。那么，只要我們把自己用不到的端口全部封鎖起來，不就杜絕了這兩種非法入侵嗎？


這里舉例關(guān)閉的端口有，135，137，138，139，445，1025，2475，3127，6129，3389，593，還有TCP，其他我就不一一指出了。


具體操作如下:


默認(rèn)情況下，Windows有很多端口是開放的，在你上網(wǎng)的時(shí)候，網(wǎng)絡(luò)病毒和黑客可以通過這些端口連上你的電腦。為了讓你的系統(tǒng)變?yōu)殂~墻鐵壁，應(yīng)該封閉這些端口，主要有：TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行病毒的后門端口（如 TCP 2745、3127、6129 端口），以及遠(yuǎn)程服務(wù)訪問端口3389。下面介紹如何在WinXP/2000/2003下關(guān)閉這些網(wǎng)絡(luò)端口。


第一步，點(diǎn)擊“開始”菜單/設(shè)置/控制面板/管理工具，雙擊打開“本地安全策略”，選中“IP 安全策略，在本地計(jì)算機(jī)”，在右邊窗格的空白位置右擊鼠標(biāo)，彈出快捷菜單，選擇“創(chuàng)建 IP 安全策略”，于是彈出一個(gè)向?qū)АＴ谙驅(qū)е悬c(diǎn)擊“下一步”按鈕，為新的安全策略命名；再按“下一步”，則顯示“安全通信請(qǐng)求”畫面，在畫面上把“激活默認(rèn)相應(yīng)規(guī)則”左邊的鉤去掉，點(diǎn)擊“完成”按鈕就創(chuàng)建了一個(gè)新的IP 安全策略。


點(diǎn)擊“確定”后回到篩選器列表的對(duì)話框，可以看到已經(jīng)添加了一條策略，重復(fù)以上步驟繼續(xù)添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口，為它們建立相應(yīng)的篩選器。


再重復(fù)以上步驟添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略，建立好上述端口的篩選器，最后點(diǎn)擊“確定”按鈕。


第四步，在“新規(guī)則屬性”對(duì)話框中，選擇“新 IP 篩選器列表”，然后點(diǎn)擊其左邊的圓圈上加一個(gè)點(diǎn)，表示已經(jīng)激活，最后點(diǎn)擊“篩選器操作”選項(xiàng)卡。在“篩選器操作”選項(xiàng)卡中，把“使用添加向?qū)А弊筮叺你^去掉，點(diǎn)擊“添加”按鈕，添加“阻止”操作：在“新篩選器操作屬性”的“安全措施”選項(xiàng)卡中，選擇“阻止”，然后點(diǎn)擊“確定”按鈕。


第五步、進(jìn)入“新規(guī)則屬性”對(duì)話框，點(diǎn)擊“新篩選器操作”，其左邊的圓圈會(huì)加了一個(gè)點(diǎn)，表示已經(jīng)激活，點(diǎn)擊“關(guān)閉”按鈕，關(guān)閉對(duì)話框；最后回到“新IP安全策略屬性”對(duì)話框，在“新的IP篩選器列表”左邊打鉤，按“確定”按鈕關(guān)閉對(duì)話框。在“本地安全策略”窗口，用鼠標(biāo)右擊新添加的 IP 安全策略，然后選擇“指派”。


這時(shí)候你就可以電腦了，重新啟動(dòng)后，電腦中上述網(wǎng)絡(luò)端口就被關(guān)閉了，在這時(shí)候病毒和黑客應(yīng)該是已經(jīng)不能連上這些端口了，從而保護(hù)了你的電腦


以下要說的是怎樣關(guān)閉WINDOWS下的默認(rèn)共享C$、D$、Admin$和IPC$等等。


大家應(yīng)該知道在WINDOWS 2000和WINDOWS XP下會(huì)有默認(rèn)的共享，病毒和黑客也可以通過這個(gè)途徑進(jìn)入你的電腦，從而來毀壞你的文件甚至遠(yuǎn)程控制你的電腦，這時(shí)就應(yīng)該刪除這些默認(rèn)的共享（其實(shí)這些默認(rèn)的共享對(duì)于你個(gè)人來說，只是有百害而無一利，這時(shí)我個(gè)人的看法噢，有意見大家提喲）。


第二步，右擊該IP安全策略，在“屬性”對(duì)話框中，把“使用添加向?qū)А弊筮叺你^去掉，然后單擊“添加”按鈕添加新的規(guī)則，隨后彈出“新規(guī)則屬性”對(duì)話框，在畫面上點(diǎn)擊“添加”按鈕，彈出IP篩選器列表窗口；在列表中，首先把“使用添加向?qū)А弊筮叺你^去掉，然后再點(diǎn)擊右邊的“添加”按鈕添加新的篩選器。


第三步，進(jìn)入“篩選器屬性”對(duì)話框，首先看到的是尋址，源地址選“任何 IP 地址”，目標(biāo)地址選“我的 IP 地址”；點(diǎn)擊“協(xié)議”選項(xiàng)卡，在“選擇協(xié)議類型”的下拉列表中選擇“TCP”，然后在“到此端口”下的文本框中輸入“135”，點(diǎn)擊“確定”按鈕，這樣就添加了一個(gè)屏蔽 TCP 135（RPC）端口的篩選器，它可以防止外界通過135端口連上你的電腦。


這里要先說WINDOWS XP的操作系統(tǒng)，XP可不比2000那么容易對(duì)付啰，在我還沒找到方法之前，在QQ上碰到“封情絕愛”，問了一下，沒想到當(dāng)時(shí)他也沒有想到方法，過了15鐘左右，當(dāng)時(shí)我在網(wǎng)上已經(jīng)查到用net share *$ /del這個(gè)方法時(shí)，“封情”也同時(shí)告訴我要用這個(gè)命令，真是英雄所見略同。


如果你只是偶爾很少用的電腦，你可以在“開始”菜單里選擇“運(yùn)行”，然后在里面輸入“net share *$ /del”(*代表你要?jiǎng)h除的共享的名稱)就可以了。但是在下次開機(jī)以后還會(huì)有這個(gè)默認(rèn)的共享，怎么樣才能徹底完全的在開機(jī)后就關(guān)閉這些默認(rèn)共享呢，F(xiàn)ollow me ，let’s go.


現(xiàn)在就要說如何在開機(jī)后，WINDOWS會(huì)自動(dòng)關(guān)閉所有的默認(rèn)共享，WINDOWS 2000和WINDOWS XP在這里也是大同小異，在“開始”菜單里選擇“運(yùn)行”，填入“regedit”，打開注冊(cè)表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]分支，在其下新建“字符串值”，命名可隨意，比如“delshareC$”,鼠標(biāo)右鍵單擊，在彈出的快捷菜單中左鍵單擊“修改”，在接著出現(xiàn)的“編輯字符串”窗口的“數(shù)值數(shù)據(jù)”一欄中輸入“net share C$ /del”(不包括引號(hào))按“確定”按鈕。同理添加“字符串值”如“delshareD$”，“數(shù)值數(shù)據(jù)”為“net share D$ /del”等，有幾個(gè)分區(qū)就加到哪為止，包括“net share Admin$ /del”等等，注意：這里有大小寫之分。之后保存注冊(cè)表重啟計(jì)算機(jī)，就能實(shí)現(xiàn)開機(jī)自動(dòng)關(guān)閉這些特殊共享資源了。


但是，大家有沒有發(fā)現(xiàn)，“net share IPC$ /del”這個(gè)命令對(duì)于“IPC$”根本就不起任何作用，它還是保持著默認(rèn)共享怎么辦？？？（實(shí)際上做到這一步已經(jīng)夠了，無需在關(guān)閉IPC$了）


在這里呢，我還要感謝我的培訓(xùn)老師“Ｍｏｚａｒｔ”，是他指導(dǎo)了我怎樣才能永久關(guān)閉IPC$和默認(rèn)共享依賴的服務(wù)：lanmanserver即server服務(wù),還需要到“控制面板”里的“管理工具”內(nèi)，找到“服務(wù)”在到“server服務(wù)”（右擊）進(jìn)入“屬性”，點(diǎn)擊“常規(guī)”，在“啟動(dòng)類型”這一項(xiàng)中選擇“已禁用”，這樣就關(guān)閉了IPC$的默認(rèn)共享。但是這就會(huì)產(chǎn)生一定的負(fù)面效應(yīng)，一旦你關(guān)閉了了IPC$的默認(rèn)共享，很多的Ｓｅｒｖｅｒ服務(wù)你就不能利用，同時(shí)也可能會(huì)發(fā)生你不能訪問局域網(wǎng)內(nèi)的其他電腦，請(qǐng)慎用！！


寫到這里手也酸了，也快下班了，希望這篇文章能夠?qū)Υ蠹矣兴鶐椭矚g迎轉(zhuǎn)帖到其他論壇，但是請(qǐng)尊重中華盾，也請(qǐng)尊重本人的勞動(dòng)成果，請(qǐng)?jiān)谵D(zhuǎn)載時(shí)標(biāo)注明原創(chuàng)者是中華盾的血衣少，謝謝！！

現(xiàn)在的互聯(lián)網(wǎng)并非一片凈土，為了防范來自網(wǎng)絡(luò)的攻擊，很多初學(xué)的朋友也安裝了防火墻軟件來保護(hù)自己，可是如何用防火墻更加實(shí)用呢？下面，就跟隨筆者一塊，以天網(wǎng)防火墻為例，通過它支持自定義規(guī)則的功能，滿足不同類型用戶的需求，避免“防住了別人也阻止了自己”的尷尬。

　　小知識(shí)：IP規(guī)則是一系列的比較條件和一個(gè)對(duì)數(shù)據(jù)包的動(dòng)作組合，它能根據(jù)數(shù)據(jù)包的每一個(gè)部分來與設(shè)置的條件進(jìn)行比較。當(dāng)符合條件時(shí)，就可以確定對(duì)該包放行或者阻擋。通過合理的設(shè)置規(guī)則可以把有害的數(shù)據(jù)包擋在你的機(jī)器之外，也可為某些有合法網(wǎng)絡(luò)請(qǐng)求的程序開辟綠色通道。

　　添加規(guī)則

　　雖然天網(wǎng)中已經(jīng)設(shè)置好了很多規(guī)則，可是每個(gè)人有每個(gè)人的情況，還要根據(jù)自己的情況來制定自己的規(guī)則(在天網(wǎng)防火墻的IP規(guī)則列表中，位于前端的規(guī)則會(huì)首先動(dòng)作，并且忽略后面有相關(guān)聯(lián)系的規(guī)則，從而使為特別網(wǎng)絡(luò)服務(wù)開辟綠色通道成為可能)。比如，筆者在自己的機(jī)器中創(chuàng)建了一個(gè)FTP服務(wù)器，用來和朋友們分享各類資源，但朋友們反映不能連接。仔細(xì)查找，發(fā)現(xiàn)原來是天網(wǎng)在“作怪”！現(xiàn)在就給FTP設(shè)置一條特別的IP規(guī)則方便使用。

　　單擊系統(tǒng)托盤中的天網(wǎng)圖標(biāo)打開程序界面，在主界面的左側(cè)點(diǎn)擊第二個(gè)圖標(biāo)“IP規(guī)則管理”。

　　點(diǎn)擊“增加規(guī)則”按鈕，彈出“增加IP規(guī)則”窗口，在“名稱”中輸入一個(gè)將要顯示在IP規(guī)則列表中的名字，在下方的“說明”中填寫對(duì)該條規(guī)則的描述，防止以后忘了該規(guī)則的用途。因?yàn)楣P者建立的FTP服務(wù)器需要與朋友們交換數(shù)據(jù)，因此在“數(shù)據(jù)包方向”中通過下拉菜單選中“接收和發(fā)送”；如果朋友們都沒有固定的IP地址，可在“對(duì)方IP地址”中選擇“任何地址”；另外，由于FTP服務(wù)器基于TCP／IP協(xié)議，并且需要開放本機(jī)的21端口，因此在“數(shù)據(jù)包協(xié)議類型”中選擇“TCP”協(xié)議，在“本地端口”中輸入“0”和“21”開放該端口。由于不限制對(duì)方使用何種端口進(jìn)行連接，所以可在“對(duì)方端口”中保持默認(rèn)的“0”；最后，在“當(dāng)滿足上面條件時(shí)”的下拉菜單中選擇“通行”來放行即可。 　　

　　經(jīng)過上面的設(shè)置，本機(jī)的21端口就被打開了。返回天網(wǎng)主界面，選中新創(chuàng)建的“FTP”規(guī)則，按住“↑”將其移動(dòng)到“TCP 數(shù)據(jù)包監(jiān)視”規(guī)則的下方，以跳過最嚴(yán)厲的“禁止所有人連接”規(guī)則，然后點(diǎn)擊“保存規(guī)則”保存設(shè)置。現(xiàn)在重新啟動(dòng)天網(wǎng)防火墻即可生效。

　　提示：如果想在天網(wǎng)的連接日志中記錄朋友們的訪問IP情況，可以在“同時(shí)還”中勾選“記錄”選項(xiàng)。

　　備份與恢復(fù)規(guī)則

　　如果你已經(jīng)創(chuàng)建或修改了很多的IP規(guī)則，當(dāng)需要重新安裝系統(tǒng)或天網(wǎng)的時(shí)候還要來設(shè)置這些規(guī)則。因此，采用導(dǎo)出后備份，當(dāng)需要時(shí)再導(dǎo)入恢復(fù)是最簡(jiǎn)單的方法。

　　點(diǎn)擊“導(dǎo)出規(guī)則”按鈕，打開導(dǎo)出設(shè)置窗口，在“文件名”中設(shè)定保存?zhèn)浞莸奈募A，在下方的IP規(guī)則列表中選中自己創(chuàng)建的IP規(guī)則(也可點(diǎn)擊“全選”按鈕備份全部IP規(guī)則)，點(diǎn)擊“確定”后即可導(dǎo)出進(jìn)行備份了。 　　

　　當(dāng)需要恢復(fù)時(shí)，只有點(diǎn)擊“導(dǎo)入規(guī)則”，通過“打開”窗口找到并雙擊備份的IP規(guī)則文件即可導(dǎo)入了。

　　現(xiàn)在我們已經(jīng)了解了天網(wǎng)的IP規(guī)則設(shè)置的方法，以后再也不怕天網(wǎng)防火墻將我們的合法程序擋在門外了。也許有朋友會(huì)問：我安裝的網(wǎng)絡(luò)服務(wù)程序不使用常見端口，不知道它需要開放哪些端口怎么辦？沒關(guān)系，再教你一個(gè)最簡(jiǎn)單的方法：?jiǎn)?dòng)被阻止的程序，打開天網(wǎng)防火墻的安全日志，看看它到底阻止了哪個(gè)端口，哪個(gè)端口就是需要用IP規(guī)則開放的端口。

《世界是平的》是美國(guó)《紐約時(shí)報(bào)》專欄作家托馬斯·弗里德曼今年最轟動(dòng)的著作，繼早年的《凌志汽車與橄欖樹》之后，弗里德曼再一次將全球化的平坦之路呈現(xiàn)在全球讀者面前，只不過，這次的主角是IT。

　　的確，IT產(chǎn)業(yè)將全球供應(yīng)鏈與市場(chǎng)結(jié)合到一起。記者無意去研究宏觀的IT環(huán)境，不過當(dāng)記者把全部精力投入到安全上面的時(shí)候，有趣的結(jié)果產(chǎn)生了:安全也是平的。

　　從安全網(wǎng)關(guān)、防火墻、UTM、防病毒、IDS/IPS、VPN，到內(nèi)網(wǎng)身份認(rèn)證、安全客戶端、安全日志、網(wǎng)管系統(tǒng)，看似獨(dú)立的安全產(chǎn)品已經(jīng)出現(xiàn)了改變，無論是從早先的安全聯(lián)動(dòng)、802.1X、還是近期的私有安全協(xié)議、安全與目錄服務(wù)整合，都體現(xiàn)出了一個(gè)趨勢(shì):安全是密切相連的，是“你中有我，我中有你。”

　　信息安全的第一要素就是制定“企業(yè)安全規(guī)范”，而這個(gè)“安全規(guī)范”恰恰是企業(yè)各部分業(yè)務(wù)與各種安全產(chǎn)品的整合，涵蓋了從存儲(chǔ)、業(yè)務(wù)傳輸、行為安全、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、運(yùn)行安全、系統(tǒng)保護(hù)與物理連接的各個(gè)層面。

　　換句話說，安全已經(jīng)不是傳統(tǒng)上的單一設(shè)備，或者像某些廠商所講的那種獨(dú)立于網(wǎng)絡(luò)的設(shè)備。事實(shí)上，近三年的發(fā)展已經(jīng)證明，日后信息安全將會(huì)逐漸以用戶需求的系統(tǒng)方案為核心。而在這套完整的安全方案之內(nèi)，各部分都是有機(jī)聯(lián)系的，之間呈現(xiàn)一種技術(shù)與需求交織的扁平網(wǎng)狀關(guān)系。

　　因此當(dāng)大多數(shù)人還沉迷于“不著邊際”的《藍(lán)海戰(zhàn)略》的時(shí)候，記者則開始關(guān)注信息安全的平坦化了。同時(shí)，為了讓更多的讀者了解信息安全的現(xiàn)狀，記者專門打造了“安全是平的”系列專題，與大家一起研究信息安全的新技術(shù)與新應(yīng)用。

　　作為本系列的開篇之作，記者從“身份認(rèn)證與內(nèi)網(wǎng)安全”入手。這一對(duì)密不可分的安全要素，已經(jīng)成為了當(dāng)前安全界最熱門的話題，很多企業(yè)用戶對(duì)于兩者的關(guān)聯(lián)與部署充滿了疑問，而記者也專門咨詢了Cisco、CA、Juniper、神州數(shù)碼網(wǎng)絡(luò)、深信服、新華人壽保險(xiǎn)集團(tuán)和福建興業(yè)銀行的IT安全專家，與讀者一起分享其中的心得。

　　【大勢(shì)所趨】從雙因數(shù)認(rèn)證入手

　　目前在信息安全界有三大技術(shù)趨勢(shì):第一，可信計(jì)算;第二，身份認(rèn)證與內(nèi)網(wǎng)安全;第三，統(tǒng)一威脅管理(UTM)。根據(jù)IDC在今年1月份的統(tǒng)計(jì)報(bào)告，目前在身份認(rèn)證與內(nèi)網(wǎng)安全方面的需求最多。而IDC近期出爐的《2006～2010中國(guó)IT安全市場(chǎng)分析與預(yù)測(cè)》報(bào)告則顯示:排名靠前的安全廠商都與身份認(rèn)證與內(nèi)網(wǎng)安全沾邊。

　　在身份認(rèn)證過程中，一般都是基于用戶名和密碼的做法。根據(jù)美國(guó)《Network World》今年8月份的調(diào)查結(jié)果，超過60%的企業(yè)已經(jīng)對(duì)傳統(tǒng)的認(rèn)證方式不放心了。

　　所謂雙因數(shù)認(rèn)證，是針對(duì)傳統(tǒng)身份認(rèn)證而言的。深信服的安全產(chǎn)品經(jīng)理葉宜斌向記者表示，隨著各種間諜軟件、鍵盤記錄工具的泛濫，企業(yè)的IT人員發(fā)現(xiàn)，僅僅依靠用戶名、密碼的單一認(rèn)證體制非常不安全。而雙因數(shù)認(rèn)證則基于硬件建權(quán)，通過建立證書系統(tǒng)來進(jìn)行客戶端的認(rèn)證工作。

　　另外，采用雙因數(shù)認(rèn)證還可以保證客戶端登錄網(wǎng)絡(luò)的唯一性。神州數(shù)碼網(wǎng)絡(luò)的安全產(chǎn)品經(jīng)理王景輝介紹說，安全證書的生成可以提取其他一些信息，比如網(wǎng)卡MAC 地址、客戶端CPU的序列號(hào)等。因此當(dāng)一臺(tái)筆記本電腦第一次進(jìn)入企業(yè)網(wǎng)絡(luò)時(shí)，第一步是認(rèn)證系統(tǒng)產(chǎn)生用戶名和密碼，第二步則是系統(tǒng)收集筆記本的特征，進(jìn)而提取具備唯一性的信息，以便生成一個(gè)唯一對(duì)應(yīng)的證書。所有的認(rèn)證信息都可以導(dǎo)入認(rèn)證服務(wù)器，從而實(shí)現(xiàn)對(duì)客戶端唯一性登錄的檢查。

　　根據(jù)美國(guó)和中國(guó)的統(tǒng)計(jì)，超過七成的政府部門都在使用證書系統(tǒng)保證身份認(rèn)證的安全可靠。此外，大部分網(wǎng)絡(luò)銀行服務(wù)業(yè)采用了證書模式。

　　招商銀行的IT專家透露說，目前該行已經(jīng)在專業(yè)版網(wǎng)上銀行系統(tǒng)中采用安全數(shù)字證書，并通過USB Key的方式進(jìn)行保存。USB Key中存放的是用戶個(gè)人的數(shù)字證書，銀行和用戶各有一份公鑰和私鑰，用戶僅需要記憶一個(gè)密碼就可以使用。

　　新華人壽保險(xiǎn)集團(tuán)的IT經(jīng)理向記者表示，USB Key的認(rèn)證模式在新華人壽已經(jīng)全部實(shí)現(xiàn)了，主要還是為日常的OA服務(wù)。而該項(xiàng)目的實(shí)施方，CA的安全專家介紹說，現(xiàn)在很多大型企業(yè)已經(jīng)開始采用證書系統(tǒng)，像新華人壽這樣的企業(yè)，對(duì)系統(tǒng)數(shù)據(jù)流安全非常關(guān)注，特別是關(guān)注那些很多到桌面、到用戶文件的內(nèi)容。

　　除了數(shù)字證書，還有一種雙因數(shù)認(rèn)證方式，即動(dòng)態(tài)令牌。動(dòng)態(tài)令牌根據(jù)基于時(shí)間的算法，每分鐘都產(chǎn)生一個(gè)5-6位的認(rèn)證串號(hào)。在客戶端，用戶通過一個(gè)類似電子表的硬件，計(jì)算出每分鐘產(chǎn)生的令牌串號(hào)。那么用戶登錄系統(tǒng)，只要輸入用戶名和相應(yīng)時(shí)間段的串號(hào)，就可以安全登錄。

　　有意思的是，記者發(fā)現(xiàn)很多IT安全廠商自身都在使用動(dòng)態(tài)令牌技術(shù)。像神州數(shù)碼網(wǎng)絡(luò)內(nèi)部的SSL VPN就采用了動(dòng)態(tài)令牌的安全登錄方式。動(dòng)態(tài)令牌避免了記憶密碼的過程，其壽命一般為三年。不過動(dòng)態(tài)令牌由于內(nèi)置了一個(gè)相當(dāng)精確的時(shí)鐘，因此成本較高。



【平坦安全】?jī)?nèi)網(wǎng)安全之美

　　前面講過了，目前安全界的趨勢(shì)是平坦化。一套認(rèn)證系統(tǒng)做的再?gòu)?qiáng)大，如果僅僅孤立存在，仍然無法帶來更多的價(jià)值。事實(shí)上，認(rèn)證系統(tǒng)越來越成為內(nèi)網(wǎng)安全的一個(gè)子系統(tǒng)，它確保了企業(yè)網(wǎng)在出現(xiàn)安全問題的時(shí)候，內(nèi)網(wǎng)安全機(jī)制能夠最終定位到具體的設(shè)備或者具體的人員上。

　　要知道，把安全問題落實(shí)到點(diǎn)上是多少年來企業(yè)IT人員的夢(mèng)想。新華人壽的IT安全負(fù)責(zé)人向記者表示，以前企業(yè)配置了IDS，結(jié)果一旦網(wǎng)絡(luò)出現(xiàn)問題，IDS 就會(huì)不停的報(bào)警，然后給網(wǎng)管人員發(fā)出一大堆可疑的IP地址信息。網(wǎng)管不是計(jì)算機(jī)，讓它從一堆IP地址中定位某一臺(tái)設(shè)備，這簡(jiǎn)直是在自虐。

　　利用認(rèn)證系統(tǒng)，首先就可以保證網(wǎng)絡(luò)用戶的真實(shí)性與合法性。只有界定了合法用戶的范圍，才有定位的可能性。

　　目前，不少安全廠商已經(jīng)開始完善自身的內(nèi)網(wǎng)安全技術(shù)，并與身份認(rèn)證系統(tǒng)做到有機(jī)結(jié)合。王景輝介紹說，他們已經(jīng)把防水墻(客戶端系統(tǒng))、DCBI認(rèn)證系統(tǒng)、 IDS、防火墻結(jié)合在一起組成了DCSM內(nèi)網(wǎng)安全管理技術(shù)，作為3DSMP技術(shù)的具體化。而在DCSM技術(shù)中，提出了五元素控制:即用戶名、用戶賬號(hào)、 IP地址、交換機(jī)端口、VLAN綁定在一起，進(jìn)一步去做訪問控制。

　　在此基礎(chǔ)上，內(nèi)網(wǎng)安全機(jī)制可以根據(jù)IDS/IPS的報(bào)警，對(duì)用戶進(jìn)行判斷:比如是否為某個(gè)用戶發(fā)動(dòng)了攻擊?或者某個(gè)用戶是否感染了特定的病毒，比如發(fā)現(xiàn)該用戶掃描特定端口號(hào)就可以判斷感染了蠕蟲病毒。此時(shí)，DCBI控制中心就會(huì)進(jìn)行實(shí)時(shí)告警。若告警無效，系統(tǒng)就可以阻斷某個(gè)用戶的網(wǎng)絡(luò)聯(lián)結(jié)。

　　由于通過完整的認(rèn)證過程，系統(tǒng)可以知道用戶所在交換機(jī)端口和所在的VLAN，封殺就會(huì)非常精確。

　　不難看出，一套安全的認(rèn)證系統(tǒng)，在內(nèi)網(wǎng)安全方案中扮演著網(wǎng)絡(luò)準(zhǔn)入控制NAC的角色。Cisco的安全工程師介紹，一套完善的認(rèn)證機(jī)制與內(nèi)網(wǎng)安全管理軟件組合在一起，就可以實(shí)現(xiàn)豐富的準(zhǔn)入控制功能。此外，一般這類管理軟件本身不需要安裝，只要通過服務(wù)器進(jìn)行分發(fā)，就可以推給每一臺(tái)試圖接入網(wǎng)絡(luò)的計(jì)算機(jī)上。

　　而Juniper的安全產(chǎn)品經(jīng)理梁小東也表示，把認(rèn)證系統(tǒng)與內(nèi)網(wǎng)安全系統(tǒng)結(jié)合起來，可以確保總體的網(wǎng)絡(luò)設(shè)計(jì)更加安全。而且通過內(nèi)置的安全協(xié)議，可以最大程度地讓更多的安全產(chǎn)品，如防火墻、IDS/IPS、UTM、VPN等互動(dòng)起來。而用戶也可以根據(jù)自己的預(yù)算和資金情況，選配不同的模塊，具備了安全部署的靈活性。

　　在采訪的過程中，記者發(fā)現(xiàn)各個(gè)安全廠商已經(jīng)在內(nèi)網(wǎng)安全的問題上達(dá)成了共識(shí)。也許正如王景輝所講的，雖然企業(yè)用戶都擁有完善的基礎(chǔ)設(shè)施，包括全套防病毒系統(tǒng)，可近兩年的狀況是，病毒大規(guī)模爆發(fā)的次數(shù)不但沒有減少，反而更多了，而且大量安全事件都是從內(nèi)網(wǎng)突破的。

　　因此總結(jié)起來看，要實(shí)現(xiàn)一套完善的內(nèi)網(wǎng)安全機(jī)制，第一步就需要一個(gè)集中的安全認(rèn)證;第二步是部署監(jiān)控系統(tǒng)。讓IDS/IPS來監(jiān)控網(wǎng)絡(luò)中的行為，去判斷是否存在某種攻擊或者遭遇某種病毒;第三步是具體執(zhí)行。當(dāng)問題判斷出來以后，讓系統(tǒng)合理地執(zhí)行很重要。傳統(tǒng)上封堵IP的做法，對(duì)于現(xiàn)在的攻擊和病毒效果不好，因?yàn)楝F(xiàn)在的攻擊和病毒MAC地址及IP地址都可以變化。因此有效的方式，就是在安全認(rèn)證通過以后，系統(tǒng)就可以定位到某一個(gè)IP的用戶是誰(shuí)，然后確定相關(guān)事件發(fā)生在哪一個(gè)交換機(jī)端口上。這樣在采取行動(dòng)的時(shí)候，就可以避免阻斷整個(gè)IP子網(wǎng)的情況。此外，通過利用802.1X協(xié)議，整套安全系統(tǒng)可以把交換機(jī)也互動(dòng)起來，這樣就可以更加精確地定位發(fā)生安全事件的客戶機(jī)在哪里。

主流安全認(rèn)證技術(shù)一瞥
屬性 類型 主要特點(diǎn) 應(yīng)用領(lǐng)域 主要問題
單因數(shù)認(rèn)證 用戶名密碼體制 靜態(tài)的認(rèn)證方式，實(shí)現(xiàn)簡(jiǎn)單 常見于辦公網(wǎng)絡(luò) 安全性較差
短信認(rèn)證 動(dòng)態(tài)的認(rèn)證方式，部署方便，成本較低，安全性較高 常用于企業(yè)IT部門或部分金融機(jī)構(gòu) 無法與AD結(jié)合
雙因數(shù)認(rèn)證 數(shù)字證書 安全性很高，可以與AD結(jié)合使用。 常見于金融機(jī)構(gòu)，政府部門 系統(tǒng)開發(fā)的復(fù)雜度高，存在一定的證書安全隱患
動(dòng)態(tài)令牌 具有最高的安全性，基本不會(huì)有單點(diǎn)安全的困擾 IT安全廠商有使用 成本高昂


　　【精明用戶】混合認(rèn)證模式

　　的確，純粹的雙因數(shù)認(rèn)證對(duì)于安全起到了很高的保障作用。但不可否認(rèn)的是，其帶來的IT管理問題也無法忽視。

　　美國(guó)《Network World》的安全編輯撰文指出，美國(guó)很多年?duì)I業(yè)額在1.5億到10億美元的中型企業(yè)用戶，很多都不考慮雙因數(shù)認(rèn)證的問題。因?yàn)樗麄冋J(rèn)為，雙因數(shù)認(rèn)證系統(tǒng)不僅難于配置，而且花費(fèi)在購(gòu)買和實(shí)施上的資金也較高，特別是其管理和維護(hù)的復(fù)雜度也過高。

　　回到國(guó)內(nèi)，記者發(fā)現(xiàn)類似的問題確實(shí)也有不少。這個(gè)問題的關(guān)鍵在于，這些中型企業(yè)恰好處于市場(chǎng)的成長(zhǎng)期，用戶的賬號(hào)像兔子繁殖一樣增加。因此認(rèn)證需要的安全預(yù)算和人力不成正比。在此模式下，部署最安全的雙因數(shù)認(rèn)證體系固然會(huì)給企業(yè)的IT部分增加較大的壓力。

　　不過，這并不意味著認(rèn)證安全無法解決。事實(shí)上，很多企業(yè)已經(jīng)開始行動(dòng)了。在此，記者很高興地看到了一種具有中國(guó)特色的“混合認(rèn)證”模式已經(jīng)投入了使用。

　　顧名思義，“混合認(rèn)證”就是把傳統(tǒng)的身份認(rèn)證與雙因數(shù)認(rèn)證進(jìn)行了整合，以求獲得最佳性價(jià)比。在此，請(qǐng)跟隨記者去看看福建興業(yè)銀行的典型應(yīng)用。福建興業(yè)銀行在認(rèn)證系統(tǒng)中，將對(duì)人的認(rèn)證和對(duì)機(jī)器的認(rèn)證進(jìn)行了有機(jī)結(jié)合。在OA辦公領(lǐng)域，采用的都是傳統(tǒng)的“用戶名+密碼”的方式，而在分散各地的ATM機(jī)器中，采用了雙因數(shù)認(rèn)證，通過收集ATM機(jī)器的序列號(hào)與后臺(tái)的Radius服務(wù)器進(jìn)行自動(dòng)無線認(rèn)證，從而確保了安全監(jiān)管的需求。

　　“我們通過這種混合認(rèn)證模式，既保證了OA系統(tǒng)的簡(jiǎn)單、高效，同時(shí)又在安全的基礎(chǔ)上，降低了企業(yè)網(wǎng)的運(yùn)營(yíng)成本。”福建興業(yè)銀行的IT安全負(fù)責(zé) 人解釋說，“這是把有限的資金用在生產(chǎn)網(wǎng)上。”

　　對(duì)于類似的認(rèn)證，確實(shí)可以確保企業(yè)的安全與利益。神州數(shù)碼網(wǎng)絡(luò)的安全產(chǎn)品經(jīng)理顏世峰曾向記者坦言，如果國(guó)內(nèi)企業(yè)普遍采用了混合認(rèn)證模式，那么可以極大地規(guī)范企業(yè)網(wǎng)中的隱性安全問題，包括一些私有設(shè)備和無線設(shè)備的準(zhǔn)入控制，都可以低成本地解決。

　　事實(shí)上，中國(guó)特色的模式還不僅如此。葉宜斌曾經(jīng)和記者開玩笑地說道:“在這個(gè)世界上，沒有哪個(gè)國(guó)家的人比中國(guó)人更喜歡發(fā)短信了。”因此，利用短信進(jìn)行安全認(rèn)證也成為了一大特色。

　　短信認(rèn)證的成本很低，客戶端只需要一部手機(jī)，服務(wù)器端類似一部具備SIM卡的短信群發(fā)機(jī)。用戶登錄時(shí)用手機(jī)接收用戶名和密碼，這種模式甚至可以規(guī)定用戶安全認(rèn)證的期限。不過葉宜斌也指出，短信認(rèn)證雖然安全、成本低，但是其無法與企業(yè)目錄服務(wù)(AD)進(jìn)行整合，因此易用性受到挑戰(zhàn)。



【系統(tǒng)整合】平坦概念出爐

　　近年來，在美國(guó)安全界一直有一個(gè)困擾:就是如何避免內(nèi)網(wǎng)安全的泥石流問題。所謂泥石流問題，其根源還是多重賬戶密碼現(xiàn)象。要知道，無論是多么完善的認(rèn)證系統(tǒng)，或者認(rèn)證系統(tǒng)與內(nèi)網(wǎng)安全技術(shù)結(jié)合的多么好，用戶都難以避免多賬戶密碼的輸入問題。

　　登錄賬戶、密碼，郵件賬戶、密碼，辦公賬戶、密碼等等，還有多賬戶、多密碼的問題已經(jīng)引起企業(yè)IT人員的重視。因?yàn)槿藗冸y以記憶不同的賬戶名和密碼，而這往往導(dǎo)致安全隱患的出現(xiàn)。事實(shí)上，在2004年8月歐洲的InfoSecurity大會(huì)期間，有70%的倫敦往返者欣然地和其他在會(huì)議中的人士共享他們的登錄信息，其初衷僅僅是為了少記憶一點(diǎn)賬戶名和密碼。

　　為此，將安全認(rèn)證、內(nèi)網(wǎng)安全、包括VPN信息中的賬戶密碼統(tǒng)一起來，已經(jīng)是不可忽視的問題了。王景輝介紹說，目前各家廠商都希望將認(rèn)證系統(tǒng)、內(nèi)網(wǎng)安全設(shè)備，包括VPN、UTM等，與企業(yè)的AD整合到一起。他認(rèn)為，這樣做絕對(duì)是一個(gè)很好的思路。

　　因?yàn)槟壳捌髽I(yè)用AD的很多，微軟的產(chǎn)品多，因此安全技術(shù)中的所有模塊都可以進(jìn)行整合，包括認(rèn)證系統(tǒng)與AD的深度開發(fā)。在很多情況下，讓企業(yè)的IT人員維護(hù)兩套甚至更多的賬號(hào)系統(tǒng)一樣也是不現(xiàn)實(shí)的，而且相當(dāng)麻煩。

　　合理的方法是與用戶既有的認(rèn)證系統(tǒng)結(jié)合起來，而目前使用最多的就是域賬號(hào)。對(duì)此，企業(yè)的VPN、動(dòng)態(tài)VPN包括認(rèn)證系統(tǒng)都可以使用相同的AD賬戶，從而實(shí)現(xiàn)單點(diǎn)登錄(Single Sign On)。

　　從更大的方面說，整個(gè)網(wǎng)絡(luò)準(zhǔn)入控制階段都可以與AD結(jié)合。正如Cisco的安全工程師所說的，現(xiàn)在的整體安全技術(shù)，最起碼都要做到與AD結(jié)合，做到與Radius認(rèn)證結(jié)合，因?yàn)檫@兩個(gè)是最常用的。

　　有意思的是，根據(jù)美國(guó)《Network World》和本報(bào)在2005年的統(tǒng)計(jì)，無論是中國(guó)用戶還是美國(guó)用戶，企業(yè)網(wǎng)中部署AD的都相當(dāng)多，從中也反映出Windows認(rèn)證的規(guī)模最廣。但要把AD與內(nèi)網(wǎng)安全進(jìn)行整合，目前最大挑戰(zhàn)在于，安全廠商必須對(duì)微軟的產(chǎn)品特別了解，需要一定的技術(shù)支持才能做相應(yīng)的開發(fā)。

　　以新華人壽的認(rèn)證系統(tǒng)為例，傳統(tǒng)的Windows登錄域界面已經(jīng)被修改，新的界面已經(jīng)與后臺(tái)AD和企業(yè)郵件系統(tǒng)作了整合，一次登錄就可以實(shí)現(xiàn)訪問所有應(yīng)用。

　　此外，根據(jù)用戶的具體需求，王景輝表示內(nèi)網(wǎng)安全技術(shù)還可以進(jìn)一步與LDAP、X.509證書進(jìn)行結(jié)合。記者了解到，目前國(guó)內(nèi)的很多政府部門都在做類似的工作。以河南計(jì)生委的安全系統(tǒng)為例。河南計(jì)生委的數(shù)字證書都是基于原CA公司的認(rèn)證系統(tǒng)生成的。因此，他們?cè)诓渴鹌渌踩O(shè)備的時(shí)候，不能另起爐灶再搞一套，否則會(huì)出現(xiàn)多次認(rèn)證的問題。這就要求安全廠商需要同原CA廠商合作，一起做認(rèn)證接口的數(shù)據(jù)交換——安全廠商負(fù)責(zé)認(rèn)證信息提交，CA廠商負(fù)責(zé)認(rèn)證與返還信息。最后，與CA證書結(jié)合后的安全系統(tǒng)同樣可以實(shí)現(xiàn)一次性的三點(diǎn)認(rèn)證(身份、域、VPN)。

　　記者注意到，美國(guó)《Network World》的安全編輯近期非常熱衷于統(tǒng)一認(rèn)證管理UIM的概念，他認(rèn)為將雙因數(shù)認(rèn)證、企業(yè)中央AD、后臺(tái)認(rèn)證服務(wù)器和信任倉(cāng)庫(kù)、以及部分網(wǎng)絡(luò)準(zhǔn)入控制的模塊整合在一起，就可以形成最完善的UIM體制。

　　其理由也很簡(jiǎn)單—認(rèn)證幾乎無可避免:很多應(yīng)用使用權(quán)力分配的、或者所有權(quán)的認(rèn)證方法和數(shù)據(jù)庫(kù)，因此想要利用一個(gè)簡(jiǎn)單的認(rèn)證平臺(tái)去支持所有的應(yīng)用幾乎是不可能的。而這正是UIM存在的基礎(chǔ)。

　　對(duì)此，國(guó)內(nèi)安全廠商的看法是，UIM很重要，可以解決企業(yè)用戶的認(rèn)證管理問題，不過從更大的內(nèi)網(wǎng)安全方向看，UIM仍不是全部。顏世峰的看法是，一套完善的內(nèi)網(wǎng)安全技術(shù)至少包括三方面:第一網(wǎng)絡(luò)準(zhǔn)入控制NAC(也可以算是UIM)。它保證了只有合法的、健康的主機(jī)才可以接入網(wǎng)絡(luò)，其中包括用戶身份認(rèn)證與接入設(shè)備的準(zhǔn)入控制管理;第二，網(wǎng)絡(luò)終端管理NTM。它解決企業(yè)辦公終端的易用性、統(tǒng)一管理、終端安全等問題;第三，網(wǎng)絡(luò)安全運(yùn)行管理NSRM。它可以動(dòng)態(tài)保證網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)線路的安全、穩(wěn)定運(yùn)行，自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)故障、自動(dòng)解決并報(bào)警。

　　看到了么，一套身份認(rèn)證系統(tǒng)，就牽扯出整個(gè)內(nèi)網(wǎng)安全的各個(gè)組成部分。現(xiàn)在應(yīng)該沒有人會(huì)懷疑安全的平坦化了，但請(qǐng)記住，平坦才剛剛開始。

　　編看編想:平坦的安全缺乏標(biāo)準(zhǔn)

　　安全是平的，但在平坦的技術(shù)中缺乏標(biāo)準(zhǔn)。不論是身份認(rèn)證還是更加龐大的內(nèi)網(wǎng)安全，各個(gè)國(guó)家都沒有對(duì)應(yīng)的通用標(biāo)準(zhǔn)。事實(shí)上，即便是802.1X協(xié)議，各個(gè)安全廠家之間也無法完全通用。

　　對(duì)內(nèi)網(wǎng)安全技術(shù)來說，現(xiàn)在國(guó)內(nèi)外沒有一個(gè)廠商大到有很強(qiáng)的實(shí)力，把不同的專業(yè)安全廠商的產(chǎn)品集成到一起，因此很多還要靠大家一起來做。因此業(yè)界有天融信的TOPSEC，也有CheckPoint的OPSEC，也有神州數(shù)碼自己定義的協(xié)議SOAP。

　　業(yè)界需要標(biāo)準(zhǔn)，但是沒有。王景輝無奈地向記者表示，各家廠商不得不定義自己的通信接口和密鑰協(xié)商機(jī)制，其中還要確保協(xié)議隧道中的所有數(shù)據(jù)都是加密的。不過他同時(shí)認(rèn)為，目前的狀態(tài)可以滿足市場(chǎng)需求。

　　記得有印象，早在2000年就有人提出統(tǒng)一安全標(biāo)準(zhǔn)的問題，但是做不到。退一步說，目前安全市場(chǎng)的趨勢(shì)是變化和更新速度非常快。開發(fā)一個(gè)安全協(xié)議要考慮保護(hù)用戶現(xiàn)有和既有的投資，要讓過去的設(shè)備能用起來。但現(xiàn)在的情況是，還沒有等協(xié)議出來，過去的設(shè)備已經(jīng)過時(shí)了，從這個(gè)角度上說，統(tǒng)一所有廠家的安全協(xié)議沒有價(jià)值。

　　而且，各國(guó)政府在安全上是有自己的想法的，國(guó)際廠商出一個(gè)協(xié)議，不一定能夠認(rèn)同。

前言

本文描述Internet上的一種安全攻擊，它可能侵害到WWW用戶的隱私和數(shù)據(jù)完整性。這種攻擊可以在現(xiàn)有的系統(tǒng)上實(shí)現(xiàn)，危害最普通的Web瀏覽器用戶，包括Netscape Navigator和Microsoft Internet Explorer用戶。 　　

允許攻擊者創(chuàng)造整個(gè)WWW世界的影像拷貝。影像Web的入口進(jìn)入到攻擊者的Web服務(wù)器，經(jīng)過攻擊者機(jī)器的過濾作用，允許攻擊者監(jiān)控受攻擊者的任何活動(dòng),包括帳戶和口令。攻擊者也能以受攻擊者的名義將錯(cuò)誤或者易于誤解的數(shù)據(jù)發(fā)送到真正的Web服務(wù)器，以及以任何Web服務(wù)器的名義發(fā)送數(shù)據(jù)給受攻擊者。簡(jiǎn)而言之，攻擊者觀察和控制著受攻擊者在Web上做的每一件事。

欺騙攻擊 　　

在一次欺騙攻擊中，攻擊者創(chuàng)造一個(gè)易于誤解的上下文環(huán)境，以誘使受攻擊者進(jìn)入并且做出缺乏安全考慮的決策。欺騙攻擊就像是一場(chǎng)虛擬游戲：攻擊者在受攻擊者的周圍建立起一個(gè)錯(cuò)誤但是令人信服的世界。如果該虛擬世界是真實(shí)的話，那么受攻擊者所做的一切都是無可厚非的。但遺憾的是，在錯(cuò)誤的世界中似乎是合理的活動(dòng)可能會(huì)在現(xiàn)實(shí)的世界中導(dǎo)致災(zāi)難性的后果。

欺騙攻擊在現(xiàn)實(shí)的電子交易中也是常見的現(xiàn)象。例如，我們?cè)?jīng)聽說過這樣的事情：一些西方罪犯分子在公共場(chǎng)合建立起虛假的ATM取款機(jī)，該種機(jī)器可以接受ATM卡，并且會(huì)詢問用戶的PIN密碼。一旦該種機(jī)器獲得受攻擊者的PIN密碼，它會(huì)要么“吃卡”，要么反饋“故障”，并返回ATM卡。不論哪一種情況，罪犯都會(huì)獲得足夠的信息，以復(fù)制出一個(gè)完全一樣的ATM卡。后面的事情大家可想而知了。在這些攻擊中，人們往往被所看到的事物所愚弄：ATM取款機(jī)所處的位置，它們的外形和裝飾，以及電子顯示屏的內(nèi)容等等。

人們利用計(jì)算機(jī)系統(tǒng)完成具有安全要求的決策時(shí)往往也是基于其所見。例如，在訪問網(wǎng)上銀行時(shí)，你可能根據(jù)你所見的銀行Web頁(yè)面，從該行的帳戶中提取或存入一定數(shù)量的存款。因?yàn)槟阆嘈拍闼L問的Web頁(yè)面就是你所需要的銀行的Web頁(yè)面。無論是頁(yè)面的外觀、URL地址，還是其他一些相關(guān)內(nèi)容，都讓你感到非常熟悉，沒有理由不相信。但是，你很可能是在被愚弄。

Web欺騙的欺騙手段

TCP和DNS欺騙 　　

除了我們將要討論的欺騙手段外，還有一些其他手段，在這里我們將不做討論。這種攻擊的例子包括TCP欺騙（在TCP包中使用偽造的IP地址）以及DNS欺騙（攻擊者偽造關(guān)于機(jī)器名稱和網(wǎng)絡(luò)信息）。讀者有興趣可以閱讀有關(guān)資料。

Web欺騙 　　

Web欺騙是一種電子信息欺騙，攻擊者在其中創(chuàng)造了整個(gè)Web世界的一個(gè)令人信服但是完全錯(cuò)誤的拷貝。錯(cuò)誤的Web看起來十分逼真，它擁有相同的網(wǎng)頁(yè)和鏈接。然而，攻擊者控制著錯(cuò)誤的Web站點(diǎn)，這樣受攻擊者瀏覽器和Web之間的所有網(wǎng)絡(luò)信息完全被攻擊者所截獲，其工作原理就好像是一個(gè)過濾器。

后果 　　

由于攻擊者可以觀察或者修改任何從受攻擊者到Web服務(wù)器的信息；同樣地，也控制著從Web服務(wù)器至受攻擊者的返回?cái)?shù)據(jù)，這樣攻擊者就有許多發(fā)起攻擊的可能性，包括監(jiān)視和破壞。

攻擊者能夠監(jiān)視受攻擊者的網(wǎng)絡(luò)信息，記錄他們?cè)L問的網(wǎng)頁(yè)和內(nèi)容。當(dāng)受攻擊者填寫完一個(gè)表單并發(fā)送后，這些數(shù)據(jù)將被傳送到Web服務(wù)器，Web服務(wù)器將返回必要的信息，但不幸的是，攻擊者完全可以截獲并加以使用。大家都知道絕大部分在線公司都是使用表單來完成業(yè)務(wù)的，這意味著攻擊者可以獲得用戶的帳戶和密碼。下面我們將看到，即使受攻擊者有一個(gè)“安全”連接（通常是通過Secure Sockets Layer來實(shí)現(xiàn)的，用戶的瀏覽器會(huì)顯示一把鎖或鑰匙來表示處于安全連接），也無法逃脫被監(jiān)視的命運(yùn)。

在得到必要的數(shù)據(jù)后，攻擊者可以通過修改受攻擊者和Web服務(wù)器之間任何一個(gè)方向上的數(shù)據(jù)，來進(jìn)行某些破壞活動(dòng)。攻擊者修改受攻擊者的確認(rèn)數(shù)據(jù)，例如，如果受攻擊者在線訂購(gòu)某個(gè)產(chǎn)品時(shí)，攻擊者可以修改產(chǎn)品代碼，數(shù)量或者郵購(gòu)地址等等。攻擊者也能修改被Web服務(wù)器所返回的數(shù)據(jù)，例如，插入易于誤解或者攻擊性的資料，破壞用戶和在線公司的關(guān)系等等。

欺騙整個(gè)Web世界 　　

你可能認(rèn)為攻擊者欺騙整個(gè)Web世界是不可能的，但是恰恰相反，攻擊者不必存儲(chǔ)整個(gè)Web世界的內(nèi)容，他只需要制造出一條通向整個(gè)Web世界的鏈路。當(dāng)他需要提供關(guān)于某個(gè)Web站點(diǎn)的錯(cuò)誤Web頁(yè)面時(shí)，他只需要在自己的服務(wù)器上建立一個(gè)該站點(diǎn)的拷貝，由此等待受害者自投羅網(wǎng)。

Web欺騙的工作原理

欺騙能夠成功的關(guān)鍵是在受攻擊者和其他Web服務(wù)器之間設(shè)立起攻擊者的Web服務(wù)器，這種攻擊種類在安全問題中稱為“來自中間的攻擊”。為了建立起這樣的中間Web服務(wù)器，黑客往往進(jìn)行以下工作。

改寫URL 　　

首先，攻擊者改寫Web頁(yè)中的所有URL地址，這樣它們指向了攻擊者的Web服務(wù)器而不是真正的Web服務(wù)器。假設(shè)攻擊者所處的Web服務(wù)器是 www.org ，攻擊者通過在所有鏈接前增加 http://www.www.org 來改寫URL。例如，http://home.xxx1.com 將變?yōu)?http://www.www.org/http://home.xxx1.com. 當(dāng)用戶點(diǎn)擊改寫過的http://home.xxx1.com （可能它仍然顯示的是 http://home.xxx1 ），將進(jìn)入的是http://www.www.org ，然后由 http://www.www.org 向 ttp://home.xxx1.com發(fā)出請(qǐng)求并獲得真正的文檔，然后改寫文檔中的所有鏈接，最后經(jīng)過 http://www.www.org 返回給用戶的瀏覽器。工作流程如下所示： 　

1.用戶點(diǎn)擊經(jīng)過改寫后的 http://www.www.org/http://home.xxx1.com ；　　

2.http://www.www.org向http://home.xxx1.com 請(qǐng)求文檔；　　

3.http://home.xxx1.com向http://www.www.org 返回文檔；　　

4.http://www.www.org 改寫文檔中的所有URL；　　

5.http://www.www.org 向用戶返回改寫后的文檔。 　

很顯然，修改過的文檔中的所有URL都指向了 www.org ，當(dāng)用戶點(diǎn)擊任何一個(gè)鏈接都會(huì)直接進(jìn)入 www.org ，而不會(huì)直接進(jìn)入真正的URL。如果用戶由此依次進(jìn)入其他網(wǎng)頁(yè)，那么他們是永遠(yuǎn)不會(huì)擺脫掉受攻擊的可能。



如果受攻擊者填寫了一個(gè)錯(cuò)誤Web上的表單，那么結(jié)果看來似乎會(huì)很正常，因?yàn)橹灰裱瓨?biāo)準(zhǔn)的Web協(xié)議，表單欺騙很自然地不會(huì)被察覺：表單的確定信息被編碼到URL中，內(nèi)容會(huì)以HTML形式來返回。既然前面的URL都已經(jīng)得到了改寫，那么表單欺騙將是很自然的事情。 　　

當(dāng)受攻擊者提交表單后，所提交的數(shù)據(jù)進(jìn)入了攻擊者的服務(wù)器。攻擊者的服務(wù)器能夠觀察，甚至是修改所提交的數(shù)據(jù)。同樣地，在得到真正的服務(wù)器返回信息后，攻擊者在將其向受攻擊者返回以前也可以為所欲為。

關(guān)于“安全連接” 　　

我們都知道為了提高Web應(yīng)用的安全性，有人提出了一種叫做安全連接的概念。它是在用戶瀏覽器和Web服務(wù)器之間建立一種基于SSL的安全連接。可是讓人感到遺憾的是，它在Web欺騙中基本上無所作為。受攻擊者可以和Web欺騙中所提供的錯(cuò)誤網(wǎng)頁(yè)建立起一個(gè)看似正常的“安全連接”：網(wǎng)頁(yè)的文檔可以正常地傳輸而且作為安全連接標(biāo)志的圖形（通常是關(guān)閉的一把鑰匙或者鎖）依然工作正常。換句話說，也就是瀏覽器提供給用戶的感覺是一種安全可靠的連接。但正像我們前面所提到的那樣，此時(shí)的安全連接是建立在 www.org 而非用戶所希望的站點(diǎn)。

攻擊的導(dǎo)火索 　　

為了開始攻擊，攻擊者必須以某種方式引誘受攻擊者進(jìn)入攻擊者所創(chuàng)造的錯(cuò)誤的Web。黑客往往使用下面若干種方法。

1.把錯(cuò)誤的Web鏈接放到一個(gè)熱門Web站點(diǎn)上；

2.如果受攻擊者使用基于Web的郵件，那么可以將它指向錯(cuò)誤的Web；

3.創(chuàng)建錯(cuò)誤的Web索引，指示給搜索引擎。

Web欺騙的細(xì)節(jié)完善

前面描述的攻擊相當(dāng)有效，但是它還不是十分完美的。黑客往往還要?jiǎng)?chuàng)造一個(gè)可信的環(huán)境，包括各類圖標(biāo)、文字、鏈接等，提供給受攻擊者各種各樣的十分可信的暗示。總之就是隱藏一切尾巴。此時(shí)，如果錯(cuò)誤的Web是富有敵意的，那么無辜的用戶將處于十分危險(xiǎn)的境地。

另外，黑客還會(huì)注意以下方面。

1. 狀態(tài)線路 　　

連接狀態(tài)是位于瀏覽器底部的提示信息，它提示當(dāng)前連接的各類信息。Web欺騙中涉及兩類信息。首先，當(dāng)鼠標(biāo)放置在Web鏈接上時(shí)，連接狀態(tài)顯示鏈接所指的URL地址，這樣，受攻擊者可能會(huì)注意到重寫的URL地址。第二，當(dāng)Web連接成功時(shí)，連接狀態(tài)將顯示所連接的服務(wù)器名稱。這樣，受攻擊者可以注意到顯示 www.org，而非自己所希望的站點(diǎn)。

攻擊者能夠通過javascript編程來彌補(bǔ)這兩項(xiàng)不足。由于javascript能夠?qū)B接狀態(tài)進(jìn)行寫操作，而且可以將javascript操作與特定事件綁定在一起，所以，攻擊者完全可以將改寫的URL狀態(tài)恢復(fù)為改寫前的狀態(tài)。這樣Web欺騙將更為可信。

2. 位置狀態(tài)行 　　

瀏覽器的位置狀態(tài)行顯示當(dāng)前所處的URL位置，用戶也可以在其中鍵入新的URL地址進(jìn)入到另外的URL，如果不進(jìn)行必要的更改，此時(shí)URL會(huì)暴露出改寫后的URL。同樣地，利用javascript可以隱藏掉改寫后的URL。javascript能用不真實(shí)的URL掩蓋真實(shí)的URL，也能夠接受用戶的鍵盤輸入，并將之改寫，進(jìn)入不正確的URL。

Web欺騙的弱點(diǎn) 　　

盡管黑客在進(jìn)行Web欺騙時(shí)已絞盡腦汁，但是還是留有一些不足。

文檔信息 　　

攻擊者并不是不留絲毫痕跡，HTML源文件就是開啟欺騙迷宮的鑰匙。攻擊者對(duì)其無能為力。通過使用瀏覽器中“viewsource”命令，用戶能夠閱讀當(dāng)前的HTML源文件。通過閱讀HTML源文件，可以發(fā)現(xiàn)被改寫的URL，因此可以覺察到攻擊。遺憾的是，對(duì)于初學(xué)者而言，HTML源文件實(shí)在是有些難懂。

通過使用瀏覽器中“view document information”命令，用戶能夠閱讀當(dāng)前URL地址的一些信息。可喜的是這里提供的是真實(shí)的URL地址，因此用戶能夠很容易判斷出Web欺騙。不過，絕大多數(shù)用戶都很少注意以上一些屬性，可以說潛在的危險(xiǎn)還是存在的。

Web欺騙的預(yù)防解決

逃離災(zāi)難 　　

受攻擊者可以自覺與不自覺地離開攻擊者的錯(cuò)誤Web頁(yè)面。這里有若干種方法。訪問Bookmark或使用瀏覽器中提供的“Open location”進(jìn)入其他Web頁(yè)面，離開攻擊者所設(shè)下的陷阱。不過，如果用戶使用“Back”按鍵，則會(huì)重新進(jìn)入原先的錯(cuò)誤Web頁(yè)面。當(dāng)然，如果用戶將所訪問的錯(cuò)誤Web存入Bookmark，那么下次可能會(huì)直接進(jìn)入攻擊者所設(shè)下的陷阱。

關(guān)于追蹤攻擊者 　　

有人建議應(yīng)當(dāng)通過跟蹤來發(fā)現(xiàn)并處罰攻擊者。確實(shí)如此，攻擊者如果想進(jìn)行Web欺騙的話，那么離不開Web服務(wù)器的幫助。但是，他們利用的Web服務(wù)器很可能是被攻擊后的產(chǎn)物，就象罪犯駕駛著盜竊來的汽車去作案一樣。

預(yù)防辦法 　　

Web欺騙是當(dāng)今Internet上具有相當(dāng)危險(xiǎn)性而不易被察覺的欺騙手法。幸運(yùn)的是，我們可以采取的一些保護(hù)辦法。

短期的解決方案 　　

為了取得短期的效果，最好從下面三方面來預(yù)防：

1.禁止瀏覽器中的javascript功能，那么各類改寫信息將原形畢露；

2.確保瀏覽器的連接狀態(tài)是可見的，它將給你提供當(dāng)前位置的各類信息；

3.時(shí)刻注意你所點(diǎn)擊的URL鏈接會(huì)在位置狀態(tài)行中得到正確的顯示。

現(xiàn)在，javascript、ActiveX以及Java提供越來越豐富和強(qiáng)大的功能，而且越來越為黑客們進(jìn)行攻擊活動(dòng)提供了強(qiáng)大的手段。為了保證安全，建議用戶考慮禁止這些功能。

這樣做，用戶將損失一些功能，但是與可能帶來的后果比較起來，每個(gè)人會(huì)得出自己的結(jié)論。

長(zhǎng)期的解決方案 　　

1.改變?yōu)g覽器，使之具有反映真實(shí)URL信息的功能，而不會(huì)被蒙蔽；

2.對(duì)于通過安全連接建立的Web——瀏覽器對(duì)話，瀏覽器還應(yīng)該告訴用戶誰(shuí)在另一端，而不只是表明一種安全連接的狀態(tài)。比如：在建立了安全連接后，給出一個(gè)提示信息“NetscapeInc.”等等。

所有的解決方案，可以根據(jù)用戶的安全要求和實(shí)際條件來加以選擇。

對(duì)網(wǎng)絡(luò)管理員或用戶來說，發(fā)生“IP地址沖突”是不受歡迎的事情，因?yàn)樵谝粋€(gè)網(wǎng)絡(luò)中，每個(gè)主機(jī)（嚴(yán)格來說是網(wǎng)絡(luò)接口）都應(yīng)該有唯一的一個(gè)IP地址，如果出現(xiàn)2個(gè)或兩個(gè)以上主機(jī)使用相同的IP地址，這些使用相同IP地址的主機(jī)屏幕會(huì)彈出對(duì)話框報(bào)告IP地址沖突

這將導(dǎo)致這些使用相同IP的機(jī)器不能正常訪問網(wǎng)絡(luò)。但是，前幾天筆者卻用這個(gè)有如雞肋的功能幫了一個(gè)大忙。是怎么一回事呢？聽我慢慢道來。

本月12號(hào)那天，我被派到月壇大廈的客服部門處理網(wǎng)路故障。經(jīng)初步診斷，發(fā)現(xiàn)網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)，重啟網(wǎng)關(guān)的話，能夠正常好一會(huì)，過一段時(shí)間后就不靈了。這是一個(gè)十分簡(jiǎn)單的網(wǎng)絡(luò)：一條外網(wǎng)網(wǎng)線進(jìn)來，接入一臺(tái)運(yùn)行FreeBSD的網(wǎng)關(guān)（做NAT用），網(wǎng)關(guān)機(jī)的另外一個(gè)網(wǎng)絡(luò)接口接交換機(jī)，客戶端全部接2個(gè)在交換機(jī)上，同時(shí)，網(wǎng)關(guān)機(jī)提供DHCP服務(wù)，所有的客戶機(jī)使用DHCP自動(dòng)獲取IP。首先，我得確定故障發(fā)生在那里；重啟網(wǎng)關(guān)，發(fā)現(xiàn)客戶機(jī)能正常上網(wǎng)，但網(wǎng)關(guān)馬上提示DHCP請(qǐng)求超時(shí)的報(bào)警，除此而外看不出什么端倪，去客戶端查IP，發(fā)現(xiàn)獲取的IP地址正常，于是又懷疑是不是交換機(jī)有問題，等一會(huì)，發(fā)現(xiàn)故障又出現(xiàn)了，重啟一下交換機(jī)，網(wǎng)絡(luò)又正常了問題到底在哪里呢？一下犯暈了。

整理了一下思路，然后找了一臺(tái)客戶機(jī)（客戶機(jī)全是windows），先ping一下網(wǎng)關(guān)，發(fā)現(xiàn)居然ping不通，ping網(wǎng)內(nèi)的另外一臺(tái)機(jī)器則正常，重啟網(wǎng)關(guān)再用客戶機(jī)ping 網(wǎng)關(guān)則正常，毫無疑問，網(wǎng)絡(luò)中了ARP欺騙病毒了。進(jìn)系統(tǒng)目錄，發(fā)現(xiàn)c:下有幾個(gè)異常的文件，該名某個(gè)文件，居然不讓操作，運(yùn)行命令 arp –a 發(fā)現(xiàn)多行arp請(qǐng)求，看來是病毒引起的網(wǎng)絡(luò)堵塞故障。不能把所有的機(jī)器都與網(wǎng)絡(luò)段掉，當(dāng)務(wù)之急是先找出當(dāng)前正在作崇的主機(jī)然后隔離處理。

怎么辨別是網(wǎng)絡(luò)中那臺(tái)主機(jī)中毒厲害呢？網(wǎng)上已經(jīng)有很多不錯(cuò)的辦法。有人建議用抓包工具，然后分析抓到的包信息來確認(rèn)中毒的主機(jī)，然而我手里沒有任何抓包工具，看來只好自己想招了。經(jīng)過摸索，總結(jié)了下面一些行之有效的辦法，供大家參考！

在客戶機(jī)運(yùn)行路由跟蹤命令如 tracert –d www.163.com,馬上就發(fā)現(xiàn)第一條不是網(wǎng)關(guān)機(jī)的內(nèi)網(wǎng)ip，而是本網(wǎng)段內(nèi)的另外一臺(tái)機(jī)器的IP，再下一跳才是網(wǎng)關(guān)的內(nèi)網(wǎng)IP；正常情況是路由跟蹤執(zhí)行后的輸出第一條應(yīng)該是默認(rèn)網(wǎng)關(guān)地址，由此判定第一跳的那個(gè)非網(wǎng)關(guān)IP 地址的主機(jī)就是罪魁禍?zhǔn)住?

問題又出來了，由于網(wǎng)內(nèi)的主機(jī)IP地址是通過DHCP自動(dòng)獲取來的，怎么找出這個(gè)主機(jī)又是一個(gè)難題，幾十個(gè)機(jī)器，挨個(gè)用 ipconfig/all查非累死不可，怎么辦？得走捷徑才行。突然之間冒出一個(gè)念頭：設(shè)置一個(gè)與查出來的中毒主機(jī)相同的IP地址，然后…..，接下來，找一臺(tái)客戶端機(jī)器，查一下其自動(dòng)獲取的IP地址，沒有那么幸運(yùn)-這臺(tái)機(jī)器不是要揪出來的那個(gè)IP，然后把這個(gè)主機(jī)的”自動(dòng)獲取IP地址”取消，手動(dòng)設(shè)置機(jī)器的IP與有病毒的那個(gè)IP相同，設(shè)置生效后就聽見一個(gè)妹妹嚷道：“我的IP地址怎么跟別人沖突了呢？”，殊不知，我要找的就是你呢！把妹妹的主機(jī)隔離網(wǎng)絡(luò)，其他的機(jī)器上網(wǎng)立馬就順暢了。

處理arp病毒的操作我想大家都應(yīng)該有經(jīng)驗(yàn)了，在這里就不再多羅嗦。

簡(jiǎn)單總結(jié)一下，其主要步驟有兩步：1、運(yùn)行 tracert –d www.163.com 找出作崇的主機(jī)IP地址。 2、設(shè)置與作崇主機(jī)相同的IP，然后造成IP地址沖突，使中毒主機(jī)報(bào)警然后找到這個(gè)主機(jī)。