自我防護Web站點和惡意鏈接的方法
[ 2007-03-25 03:19:03 | 作者: sun ]
當您在 Microsoft Internet Explorer、Microsoft Outlook Express 或 Microsoft Outlook 中指向某個超鏈接時,相應的 Web 站點的地址通常顯示在窗口底部的狀態欄中。當您單擊的鏈接在 Internet Explorer 中打開后,相應 Web 站點的地址通常顯示在 Internet Explorer 的地址欄中,同時相應 Web 頁的標題通常顯示在窗口的標題欄中。
將實際 URL 與地址欄中的 URL 進行比較。如果它們不相符,則該 Web 站點有可能是在謊報。在這種情況下,您可能需要關閉 Internet Explorer。
使用 Internet Explorer 中的“歷史記錄”窗格來識別當前 Web 站點的實際 URL在 Microsoft 已經驗證的一些情形中,您還可以使用 Internet Explorer 中的“歷史記錄”瀏覽器欄來幫助識別 Web 頁的 URL。 在“查看”菜單上,指向“瀏覽器欄”,然后單擊“歷史記錄”。將地址欄中的 URL 與“歷史記錄”欄中顯示的 URL 進行比較。如果他們不匹配,則該 Web 站點很可能是謊報了自己,您可能需要關閉 Internet Explorer。
將 URL 粘貼到一個新實例的地址欄中
您可以將 URL 粘貼到 Internet Explorer 的一個新實例的地址欄中。這樣,您可能能夠驗證 Internet Explorer 訪問目標 Web 站點時將使用的信息。在 Microsoft 已經驗證的一些情形中,您可以通過以下方法來驗證 Internet Explorer 訪問目標 Web 站點時實際使用的信息:復制顯示在地址欄中的 URL 并將其粘貼到 Internet Explorer 的一個新會話的地址欄中。這一方法與上文“如何防范冒牌 Web 站點”一節介紹的方法相近。
警告:如果您在某些站點(例如電子商務站點)上執行此操作,則此操作可能會導致您的當前會話丟失。例如,在線購物車的內容可能會丟失,這樣,您就必須重新填充該購物車。
要將 URL 粘貼到 Internet Explorer 的一個新實例的地址欄中,請按照下列步驟操作:
1. 選中地址欄中的文本,右鍵單擊該文本,然后單擊“復制”。
2. 關閉 Internet Explorer。
3. 啟動 Internet Explorer。
4. 在地址欄中單擊,單擊右鍵,然后單擊“粘貼”。
5. 按 Enter 鍵。
用于識別惡意超鏈接的方法
用來驗證 Internet Explorer 在訪問目標 Web 站點時需要使用的信息的唯一方法是在地址欄中手動鍵入 URL。但是,在某些情況下,您可以采用一些方法來幫助您識別惡意超鏈接。
警告:下面的信息針對已知的攻擊提供了一些一般性的準則。因為攻擊經常會發生變化,惡意用戶可能會使用此處未介紹的方法來創建冒牌 Web 站點。為了幫助您保護自己,您只應在驗證了數字證書上的名稱后,才可鍵入個人信息或敏感信息。此外,如果您基于任何理由懷疑一個站點的真實性,請立即通過關閉瀏覽器窗口來離開此站點。通常情況下,最快捷的關閉瀏覽器窗口的方法是按 ALT+F4。
嘗試識別一個超鏈接將要使用的 URL
要嘗試識別一個超鏈接要使用的 URL,請按照下列步驟操作:
1. 右鍵單擊該鏈接,然后單擊“復制快捷方式”。
2. 單擊“開始”,然后單擊“運行”。
3. 鍵入 notepad,然后單擊“確定”。
4. 在“記事本”中的“編輯”菜單上,單擊“粘貼”。
這樣,您就能夠查看任何超鏈接的完整 URL,并且可以檢查 Internet Explorer 將使用的地址。以下列出了 URL 中可能會出現的一些有可能將您引到冒牌 Web 站點的字符:
? %00
? %01
? @
例如,以下形式的 URL 將打開 http://example.com,但是該 URL 可能在 Internet Explorer 的地址欄或狀態欄中顯示為:
http://www.wingtiptoys.com:
01@example.com' target=_blank>http://www.wingtiptoys.com%01@example.com
其他可以采用的方法
雖然這些操作不能幫助您識別一個欺騙性(冒牌)Web 站點或 URL,但它們有助于限制從冒牌 Web 站點或惡意超鏈接成功發起的攻擊所造成的損害。不過,它們會限制電子郵件和 Internet 區域中的 Web 站點運行腳本、ActiveX 控件和其他可能具有破壞作用的內容。 ? 使用您的 Web 內容區域來幫助阻止 Internet 區域中的 Web 站點在計算機中運行腳本、ActiveX 控件或其他具有破壞作用的內容。首先,在 Internet Explorer 中將 Internet 區域安全級別設置為“高”。為此,請按照下列步驟操作:
1. 在“工具”菜單上,單擊“Internet 選項”。
2. 單擊“安全”選項卡,單擊“Internet”,然后單擊“默認級別”。
3. 將滑塊移動到“高”,然后單擊“確定”。
然后,將您信任的 Web 站點的 URL 添加到“可信站點”區域。為此,請按照下列步驟操作:
1. 在“工具”菜單上,單擊“Internet 選項”。
2. 單擊“安全”選項卡。
3. 單擊“可信站點”。
4. 單擊“站點”。
5. 如果您要添加的站點不需要服務器驗證,請單擊以清除“該區域中所有站點都需要服務器驗證(https:)”復選框。
6. 鍵入您要添加到“可信站點”列表中的 Web 站點的地址。
7. 單擊“添加”。
8. 對您要添加的每個 Web 站點重復步驟 6 和 7。
9. 單擊“確定”兩次。
以純文本格式閱讀電子郵件
通過以純文本格式閱讀電子郵件,您可以查看任何超鏈接的完整 URL,并可檢查 Internet Explorer 將使用的地址。以下列出了 URL 中可能會出現的一些有可能將您引到冒牌 Web 站點的字符:
? %00
? %01
? @
例如,以下形式的 URL 將打開http://example.com,但是在 Internet Explorer 的地址欄中顯示的 URL 可能為:
http://www.wingtiptoys.com:
01@example.com' target=_blank>http://www.wingtiptoys.com%01@example.com
將實際 URL 與地址欄中的 URL 進行比較。如果它們不相符,則該 Web 站點有可能是在謊報。在這種情況下,您可能需要關閉 Internet Explorer。
使用 Internet Explorer 中的“歷史記錄”窗格來識別當前 Web 站點的實際 URL在 Microsoft 已經驗證的一些情形中,您還可以使用 Internet Explorer 中的“歷史記錄”瀏覽器欄來幫助識別 Web 頁的 URL。 在“查看”菜單上,指向“瀏覽器欄”,然后單擊“歷史記錄”。將地址欄中的 URL 與“歷史記錄”欄中顯示的 URL 進行比較。如果他們不匹配,則該 Web 站點很可能是謊報了自己,您可能需要關閉 Internet Explorer。
將 URL 粘貼到一個新實例的地址欄中
您可以將 URL 粘貼到 Internet Explorer 的一個新實例的地址欄中。這樣,您可能能夠驗證 Internet Explorer 訪問目標 Web 站點時將使用的信息。在 Microsoft 已經驗證的一些情形中,您可以通過以下方法來驗證 Internet Explorer 訪問目標 Web 站點時實際使用的信息:復制顯示在地址欄中的 URL 并將其粘貼到 Internet Explorer 的一個新會話的地址欄中。這一方法與上文“如何防范冒牌 Web 站點”一節介紹的方法相近。
警告:如果您在某些站點(例如電子商務站點)上執行此操作,則此操作可能會導致您的當前會話丟失。例如,在線購物車的內容可能會丟失,這樣,您就必須重新填充該購物車。
要將 URL 粘貼到 Internet Explorer 的一個新實例的地址欄中,請按照下列步驟操作:
1. 選中地址欄中的文本,右鍵單擊該文本,然后單擊“復制”。
2. 關閉 Internet Explorer。
3. 啟動 Internet Explorer。
4. 在地址欄中單擊,單擊右鍵,然后單擊“粘貼”。
5. 按 Enter 鍵。
用于識別惡意超鏈接的方法
用來驗證 Internet Explorer 在訪問目標 Web 站點時需要使用的信息的唯一方法是在地址欄中手動鍵入 URL。但是,在某些情況下,您可以采用一些方法來幫助您識別惡意超鏈接。
警告:下面的信息針對已知的攻擊提供了一些一般性的準則。因為攻擊經常會發生變化,惡意用戶可能會使用此處未介紹的方法來創建冒牌 Web 站點。為了幫助您保護自己,您只應在驗證了數字證書上的名稱后,才可鍵入個人信息或敏感信息。此外,如果您基于任何理由懷疑一個站點的真實性,請立即通過關閉瀏覽器窗口來離開此站點。通常情況下,最快捷的關閉瀏覽器窗口的方法是按 ALT+F4。
嘗試識別一個超鏈接將要使用的 URL
要嘗試識別一個超鏈接要使用的 URL,請按照下列步驟操作:
1. 右鍵單擊該鏈接,然后單擊“復制快捷方式”。
2. 單擊“開始”,然后單擊“運行”。
3. 鍵入 notepad,然后單擊“確定”。
4. 在“記事本”中的“編輯”菜單上,單擊“粘貼”。
這樣,您就能夠查看任何超鏈接的完整 URL,并且可以檢查 Internet Explorer 將使用的地址。以下列出了 URL 中可能會出現的一些有可能將您引到冒牌 Web 站點的字符:
? %00
? %01
? @
例如,以下形式的 URL 將打開 http://example.com,但是該 URL 可能在 Internet Explorer 的地址欄或狀態欄中顯示為:
http://www.wingtiptoys.com:
01@example.com' target=_blank>http://www.wingtiptoys.com%01@example.com
其他可以采用的方法
雖然這些操作不能幫助您識別一個欺騙性(冒牌)Web 站點或 URL,但它們有助于限制從冒牌 Web 站點或惡意超鏈接成功發起的攻擊所造成的損害。不過,它們會限制電子郵件和 Internet 區域中的 Web 站點運行腳本、ActiveX 控件和其他可能具有破壞作用的內容。 ? 使用您的 Web 內容區域來幫助阻止 Internet 區域中的 Web 站點在計算機中運行腳本、ActiveX 控件或其他具有破壞作用的內容。首先,在 Internet Explorer 中將 Internet 區域安全級別設置為“高”。為此,請按照下列步驟操作:
1. 在“工具”菜單上,單擊“Internet 選項”。
2. 單擊“安全”選項卡,單擊“Internet”,然后單擊“默認級別”。
3. 將滑塊移動到“高”,然后單擊“確定”。
然后,將您信任的 Web 站點的 URL 添加到“可信站點”區域。為此,請按照下列步驟操作:
1. 在“工具”菜單上,單擊“Internet 選項”。
2. 單擊“安全”選項卡。
3. 單擊“可信站點”。
4. 單擊“站點”。
5. 如果您要添加的站點不需要服務器驗證,請單擊以清除“該區域中所有站點都需要服務器驗證(https:)”復選框。
6. 鍵入您要添加到“可信站點”列表中的 Web 站點的地址。
7. 單擊“添加”。
8. 對您要添加的每個 Web 站點重復步驟 6 和 7。
9. 單擊“確定”兩次。
以純文本格式閱讀電子郵件
通過以純文本格式閱讀電子郵件,您可以查看任何超鏈接的完整 URL,并可檢查 Internet Explorer 將使用的地址。以下列出了 URL 中可能會出現的一些有可能將您引到冒牌 Web 站點的字符:
? %00
? %01
? @
例如,以下形式的 URL 將打開http://example.com,但是在 Internet Explorer 的地址欄中顯示的 URL 可能為:
http://www.wingtiptoys.com:
01@example.com' target=_blank>http://www.wingtiptoys.com%01@example.com
使用防火墻封阻應用攻擊的八項技術
[ 2007-03-25 03:18:51 | 作者: sun ]
你已經決心下大力氣搞好應用安全嗎?畢竟,例如金融交易、信用卡號碼、機密資料、用戶檔案等信息,對于企業來說太重要了。不過這些應用實在太龐大、太復雜了,最困難的就是,這些應用在通過網絡防火墻上的端口80(主要用于HTTP)和端口443(用于SSL)長驅直入的攻擊面前暴露無遺。這時防火墻可以派上用場,應用防火墻發現及封阻應用攻擊所采用的八項技術如下:深度數據包處理
深度數據包處理有時被稱為深度數據包檢測或者語義檢測,它就是把多個數據包關聯到一個數據流當中,在尋找攻擊異常行為的同時,保持整個數據流的狀態。深度數據包處理要求以極高的速度分析、檢測及重新組裝應用流量,以避免給應用帶來時延。下面每一種技術代表深度數據包處理的不同級別。
TCP/IP終止
應用層攻擊涉及多種數據包,并且常常涉及多種請求,即不同的數據流。流量分析系統要發揮功效,就必須在用戶與應用保持互動的整個會話期間,能夠檢測數據包和請求,以尋找攻擊行為。至少,這需要能夠終止傳輸層協議,并且在整個數據流而不是僅僅在單個數據包中尋找惡意模式。
SSL終止
如今,幾乎所有的安全應用都使用HTTPS確保通信的保密性。然而,SSL數據流采用了端到端加密,因而對被動探測器如入侵檢測系統(IDS)產品來說是不透明的。為了阻止惡意流量,應用防火墻必須終止SSL,對數據流進行解碼,以便檢查明文格式的流量。這是保護應用流量的最起碼要求。如果你的安全策略不允許敏感信息在未加密的前提下通過網絡傳輸,你就需要在流量發送到Web服務器之前重新進行加密的解決方案。
URL過濾
一旦應用流量呈明文格式,就必須檢測HTTP請求的URL部分,尋找惡意攻擊的跡象,譬如可疑的統一代碼編碼(unicode encoding)。對URL過濾采用基于特征的方案,僅僅尋找匹配定期更新的特征、過濾掉與已知攻擊如紅色代碼和尼姆達有關的URL,這是遠遠不夠的。這就需要一種方案不僅能檢查RUL,還能檢查請求的其余部分。其實,如果把應用響應考慮進來,可以大大提高檢測攻擊的準確性。雖然URL過濾是一項重要的操作,可以阻止通常的腳本少年類型的攻擊,但無力抵御大部分的應用層漏洞。
請求分析
全面的請求分析技術比單單采用URL過濾來得有效,可以防止Web服務器層的跨站腳本執行(cross-site scripting)漏洞和其它漏洞。全面的請求分析使URL過濾更進了一步:可以確保請求符合要求、遵守標準的HTTP規范,同時確保單個的請求部分在合理的大小限制范圍之內。這項技術對防止緩沖器溢出攻擊非常有效。然而,請求分析仍是一項無狀態技術。它只能檢測當前請求。正如我們所知道的那樣,記住以前的行為能夠獲得極有意義的分析,同時獲得更深層的保護。
用戶會話跟蹤
更先進的下一個技術就是用戶會話跟蹤。這是應用流量狀態檢測技術的最基本部分:跟蹤用戶會話,把單個用戶的行為關聯起來。這項功能通常借助于通過URL重寫(URL rewriting)來使用會話信息塊加以實現。只要跟蹤單個用戶的請求,就能夠對信息塊實行極其嚴格的檢查。這樣就能有效防御會話劫持(session-hijacking)及信息塊中毒(cookie-poisoning)類型的漏洞。有效的會話跟蹤不僅能夠跟蹤應用防火墻創建的信息塊,還能對應用生成的信息塊進行數字簽名,以保護這些信息塊不被人篡改。這需要能夠跟蹤每個請求的響應,并從中提取信息塊信息。
響應模式匹配
響應模式匹配為應用提供了更全面的保護:它不僅檢查提交至Web服務器的請求,還檢查Web服務器生成的響應。它能極其有效地防止網站受毀損,或者更確切地說,防止已毀損網站被瀏覽。對響應里面的模式進行匹配相當于在請求端對URL進行過濾。響應模式匹配分三個級別。防毀損工作由應用防火墻來進行,它對站點上的靜態內容進行數字簽名。如果發現內容離開Web服務器后出現了改動,防火墻就會用原始內容取代已毀損頁面。至于對付敏感信息泄露方面,應用防火墻會監控響應,尋找可能表明服務器有問題的模式,譬如一長串Java異常符。如果發現這類模式,防火墻就會把它們從響應當中剔除,或者干脆封阻響應。
采用“停走”字(‘stop and go’word)的方案會尋找必須出現或不得出現在應用生成的響應里面的預定義通用模式。譬如說,可以要求應用提供的每個頁面都要有版權聲明。
行為建模
行為建模有時稱為積極的安全模型或“白名單”(white list)安全,它是唯一能夠防御最棘手的應用漏洞——零時間漏洞的保護機制。零時間漏洞是指未寫入文檔或“還不知道”的攻擊。對付這類攻擊的唯一機制就是只允許已知是良好行為的行為,其它行為一律禁止。這項技術要求對應用行為進行建模,這反過來就要求全面分析提交至應用的每個請求的每次響應,目的在于識別頁面上的行為元素,譬如表單域、按鈕和超文本鏈接。這種級別的分析可以發現惡意表單域及隱藏表單域操縱類型的漏洞,同時對允許用戶訪問的URL實行極其嚴格的監控。行為建模是唯一能夠有效對付全部16種應用漏洞的技術。行為建模是一種很好的概念,但其功效往往受到自身嚴格性的限制。
某些情況譬如大量使用JavaScript或者應用故意偏離行為模型都會導致行為建模犯錯,從而引發誤報,拒絕合理用戶訪問應用。行為建模要發揮作用,就需要一定程度的人為干預,以提高安全模型的準確性。行為自動預測又叫規則自動生成或應用學習,嚴格說來不是流量檢測技術,而是一種元檢測(meta-inspection)技術,它能夠分析流量、建立行為模型,并且借助于各種關聯技術生成應用于行為模型的一套規則,以提高精確度。行為建模的優點在于短時間學習應用之后能夠自動配置。保護端口80是安全人員面臨的最重大也是最重要的挑戰之一。所幸的是,如今已出現了解決這一問題的創新方案,而且在不斷完善。如果在分層安全基礎設施里面集成了能夠封阻16類應用漏洞的應用防火墻,你就可以解決應用安全這一難題。
深度數據包處理有時被稱為深度數據包檢測或者語義檢測,它就是把多個數據包關聯到一個數據流當中,在尋找攻擊異常行為的同時,保持整個數據流的狀態。深度數據包處理要求以極高的速度分析、檢測及重新組裝應用流量,以避免給應用帶來時延。下面每一種技術代表深度數據包處理的不同級別。
TCP/IP終止
應用層攻擊涉及多種數據包,并且常常涉及多種請求,即不同的數據流。流量分析系統要發揮功效,就必須在用戶與應用保持互動的整個會話期間,能夠檢測數據包和請求,以尋找攻擊行為。至少,這需要能夠終止傳輸層協議,并且在整個數據流而不是僅僅在單個數據包中尋找惡意模式。
SSL終止
如今,幾乎所有的安全應用都使用HTTPS確保通信的保密性。然而,SSL數據流采用了端到端加密,因而對被動探測器如入侵檢測系統(IDS)產品來說是不透明的。為了阻止惡意流量,應用防火墻必須終止SSL,對數據流進行解碼,以便檢查明文格式的流量。這是保護應用流量的最起碼要求。如果你的安全策略不允許敏感信息在未加密的前提下通過網絡傳輸,你就需要在流量發送到Web服務器之前重新進行加密的解決方案。
URL過濾
一旦應用流量呈明文格式,就必須檢測HTTP請求的URL部分,尋找惡意攻擊的跡象,譬如可疑的統一代碼編碼(unicode encoding)。對URL過濾采用基于特征的方案,僅僅尋找匹配定期更新的特征、過濾掉與已知攻擊如紅色代碼和尼姆達有關的URL,這是遠遠不夠的。這就需要一種方案不僅能檢查RUL,還能檢查請求的其余部分。其實,如果把應用響應考慮進來,可以大大提高檢測攻擊的準確性。雖然URL過濾是一項重要的操作,可以阻止通常的腳本少年類型的攻擊,但無力抵御大部分的應用層漏洞。
請求分析
全面的請求分析技術比單單采用URL過濾來得有效,可以防止Web服務器層的跨站腳本執行(cross-site scripting)漏洞和其它漏洞。全面的請求分析使URL過濾更進了一步:可以確保請求符合要求、遵守標準的HTTP規范,同時確保單個的請求部分在合理的大小限制范圍之內。這項技術對防止緩沖器溢出攻擊非常有效。然而,請求分析仍是一項無狀態技術。它只能檢測當前請求。正如我們所知道的那樣,記住以前的行為能夠獲得極有意義的分析,同時獲得更深層的保護。
用戶會話跟蹤
更先進的下一個技術就是用戶會話跟蹤。這是應用流量狀態檢測技術的最基本部分:跟蹤用戶會話,把單個用戶的行為關聯起來。這項功能通常借助于通過URL重寫(URL rewriting)來使用會話信息塊加以實現。只要跟蹤單個用戶的請求,就能夠對信息塊實行極其嚴格的檢查。這樣就能有效防御會話劫持(session-hijacking)及信息塊中毒(cookie-poisoning)類型的漏洞。有效的會話跟蹤不僅能夠跟蹤應用防火墻創建的信息塊,還能對應用生成的信息塊進行數字簽名,以保護這些信息塊不被人篡改。這需要能夠跟蹤每個請求的響應,并從中提取信息塊信息。
響應模式匹配
響應模式匹配為應用提供了更全面的保護:它不僅檢查提交至Web服務器的請求,還檢查Web服務器生成的響應。它能極其有效地防止網站受毀損,或者更確切地說,防止已毀損網站被瀏覽。對響應里面的模式進行匹配相當于在請求端對URL進行過濾。響應模式匹配分三個級別。防毀損工作由應用防火墻來進行,它對站點上的靜態內容進行數字簽名。如果發現內容離開Web服務器后出現了改動,防火墻就會用原始內容取代已毀損頁面。至于對付敏感信息泄露方面,應用防火墻會監控響應,尋找可能表明服務器有問題的模式,譬如一長串Java異常符。如果發現這類模式,防火墻就會把它們從響應當中剔除,或者干脆封阻響應。
采用“停走”字(‘stop and go’word)的方案會尋找必須出現或不得出現在應用生成的響應里面的預定義通用模式。譬如說,可以要求應用提供的每個頁面都要有版權聲明。
行為建模
行為建模有時稱為積極的安全模型或“白名單”(white list)安全,它是唯一能夠防御最棘手的應用漏洞——零時間漏洞的保護機制。零時間漏洞是指未寫入文檔或“還不知道”的攻擊。對付這類攻擊的唯一機制就是只允許已知是良好行為的行為,其它行為一律禁止。這項技術要求對應用行為進行建模,這反過來就要求全面分析提交至應用的每個請求的每次響應,目的在于識別頁面上的行為元素,譬如表單域、按鈕和超文本鏈接。這種級別的分析可以發現惡意表單域及隱藏表單域操縱類型的漏洞,同時對允許用戶訪問的URL實行極其嚴格的監控。行為建模是唯一能夠有效對付全部16種應用漏洞的技術。行為建模是一種很好的概念,但其功效往往受到自身嚴格性的限制。
某些情況譬如大量使用JavaScript或者應用故意偏離行為模型都會導致行為建模犯錯,從而引發誤報,拒絕合理用戶訪問應用。行為建模要發揮作用,就需要一定程度的人為干預,以提高安全模型的準確性。行為自動預測又叫規則自動生成或應用學習,嚴格說來不是流量檢測技術,而是一種元檢測(meta-inspection)技術,它能夠分析流量、建立行為模型,并且借助于各種關聯技術生成應用于行為模型的一套規則,以提高精確度。行為建模的優點在于短時間學習應用之后能夠自動配置。保護端口80是安全人員面臨的最重大也是最重要的挑戰之一。所幸的是,如今已出現了解決這一問題的創新方案,而且在不斷完善。如果在分層安全基礎設施里面集成了能夠封阻16類應用漏洞的應用防火墻,你就可以解決應用安全這一難題。
IPS主動式防護多層深層保護企業網絡
[ 2007-03-25 03:18:38 | 作者: sun ]
隨著核心應用業務逐漸網絡化,網絡安全成為企業網絡管理人員最急需解決的問題,“系統入侵”目前是威脅企業網絡信息安全的首要元兇,系統漏洞屢被攻擊,病毒在網絡泛濫,主動防御和應用安全的壓力日益增大,我們需要一個能夠實時有效的安全防護系統。
安全防護系統是一個多層次的保護機制,它既包括企業的安全策略,又包括防火墻、防病毒、入侵防護等多種產品的解決方案。傳統的,我們會僅用防火墻或防毒墻來反擊,但因為他們主要是防御直接的可疑流量,面對黑客攻擊水平的不斷提高,及內部因計算機操作而存在的安全隱患等混合威脅的不斷發展,這種單一的防護措施已經顯得力不從心。
IDS入侵檢測系統一直以來充當了安全防護系統的重要角色,IDS技術是通過從網絡上得到數據包進行分析,從而檢測和識別出系統中的未授權或異常現象。IDS注重的是網絡監控、審核跟蹤,告知網絡是否安全,發現異常行為時,自身不作為,而是通過與防火墻等安全設備聯動的方式進行防護。IDS目前是一種受到企業歡迎的解決方案,但其目前存在以下幾個顯著缺陷:一是網絡缺陷(用交換機代替可共享監聽的HUB使IDS的網絡監聽帶來麻煩,并且在復雜的網絡下精心的發包也可以繞過IDS的監聽);二是誤報量大(只要一開機,報警不停);三是自身防攻擊能力差等缺陷,所以,IDS還是不足完成網絡安全防護的重任。
IDS的缺陷,成就了IPS的發展,IPS技術能夠對網絡進行多層、深層、主動的防護以有效保證企業網絡安全,IPS的出現可謂是企業網絡安全的革命性創新。簡單地理解,IPS等于防火墻加上入侵檢測系統,但并不代表IPS可以替代防火墻或IDS。防火墻在基于TCP/IP協議的過濾方面表現非常出色,IDS提供的全面審計資料對于攻擊還原、入侵取證、異常事件識別、網絡故障排除等等都有很重要的作用。
下面,我們來分析一下市場上主流的IPS生產廠商,看看他們在設計IPS產品時,是如何有效實現IPS的主動入侵防護功能的。
從安全廠商來看,國外品牌McAfee、ISS、Juniper、Symantec、華為3Com,國內品牌如冰峰網絡、綠盟科技等眾多廠商都有多款百兆和千兆的IPS產品,國產品牌(如冰峰網絡)的千兆IPS產品的性能相對過去,更是有了長足的發展,對大流量網絡的適應能力明顯增強。從對這些主流IPS 產品的評測來看,一個穩定高效的IPS產品,需要具備以下幾個方面的能力:
檢測機制:由于需要具備主動阻斷能力,檢測準確程度的高低對于IPS來說十分關鍵。IPS廠商綜合使用多種檢測機制來提高IPS的檢測準確性。據Juniper 的工程師介紹,Juniper產品中使用包括狀態簽名、協議異常、后門檢測、流量異常、混合式攻擊檢測在內的“多重檢測技術”,以提高檢測和阻斷的準確程度。McAfee 公司則在自己的實驗室里加強了對溢出型漏洞的研究和跟蹤,把針對溢出型攻擊的相應防范手段推送到IPS 設備的策略庫中。國內品牌冰峰網絡在IPS設備中采用了漏洞阻截技術,通過研究漏洞特征,將其加入到過濾規則中,IPS就可以發現符合漏洞特征的所有攻擊流量,在沖擊波及其變種大規模爆發時,直接將其阻斷,從而贏得打補丁的關鍵時間。
弱點分析:IPS產品的發展前景取決于攻擊阻截功能的完善。引入弱點分析技術是IPS完善攻擊阻截能力的更要依據,IPS廠商通過分析系統漏洞、收集和分析攻擊代碼或蠕蟲代碼、描述攻擊特征或缺陷特征,使IPS 能夠主動保護脆弱系統。由于軟件漏洞是不法分子的主要攻擊目標,所以幾乎所有IPS廠商都在加強系統脆弱性的研究。ISS、賽門鐵克分別設立了漏洞分析機構。McAfee也于日前收購了從事漏洞研究的 Foundstone公司,致力于把漏洞分析技術與入侵防護技術結合起來,Juniper設有一個專門的安全小組,密切關注新的系統弱點和蠕蟲,國內的IPS廠商,如綠盟科技、冰峰網絡等,雖然沒有自己獨立的弱點分析機構,但也在嚴密關注相關權威機構發布的弱點分析報告,及時更新過濾機制。
應用環境:IPS 的檢測準確率還依賴于應用環境。一些流量對于某些用戶來說可能是惡意的,而對于另外的用戶來說就是正常流量,這就需要IPS能夠針對用戶的特定需求提供靈活而容易使用的策略調優手段,以提高檢測準確率。McAfee、Juniper、ISS、冰峰網絡等公司同時都在IPS中提供了調優機制,使IPS通過自學習提高檢測的準確性。
全面兼容:所有的用戶都希望用相對少的投入,建設一個最安全、最易管理的網絡環境。IPS如若需達到全面防護工作,則還要把其它網絡管理功能集成起來,如網絡管理、負載均衡、日志管理等,各自分工,但緊密協作。
“熊貓燒香”泛濫 殺毒廠商積極應對
[ 2007-03-25 03:18:28 | 作者: sun ]
通過網絡在線殺毒;重啟系統到帶網絡連接的安全模式,升級殺毒軟件后殺毒;通過手動修改注冊表殺毒……一時間,殺毒廠商的專家們針對“熊貓燒香”病毒,提供了眾多的查殺辦法。
很難想象一只可愛的小熊貓點燃著三根香竟然是一種病毒的圖標,可是互聯網就是這樣讓人意想不到,什么事情都可能發生。受前段時間臺灣地區地震引發斷網事件的影響,一些國外殺毒產品的病毒庫無法更新,導致使用國外殺毒產品的用戶無法對新出病毒做到有效防范,“熊貓燒香”病毒乘虛進入,國內網民苦不堪言。
“熊貓燒香”病毒傳播迅速
小張是個忠實的網民,每天他都會借助網絡瀏覽新聞。前幾天,小張照常打開他熟悉的一個網站鏈接,順著路徑進入了一個頁面,網站自動給他下載了一個程序,頁面上一個熊貓點燃三根香的圖標引起了小張的注意,好奇心驅使小張雙擊了鼠標,接下來小張的機器上所有的網頁文件尾部都添加了熊貓燒香圖標(.exe)代碼,大量的應用軟件無法使用,機器不斷重啟。后來,小張才知道自己的機器染上了“熊貓燒香”病毒,由于沒有專門的查殺工具,小張的機器徹底癱瘓了。
“熊貓燒香”的病毒不止在小張的電腦上發作,他的許多同事都遭遇了相同情況。據悉,目前多家網站均遭到“熊貓燒香”的攻擊,相繼被植入病毒。同時,由于這些網站的瀏覽量非常大,致使“熊貓燒香”病毒傳播迅速。據了解,目前該病毒已經把矛頭對準了企業和政府網站,相關資料顯示,中毒的企業和政府網站已經超過千家,其中不乏金融、稅務、能源等關系到國計民生的重要部門。
瑞星公司殺毒專家王占濤表示,“熊貓燒香”其實是“尼姆亞”病毒的新變種,最早出現在2006年11月,到目前為止已經有數十個不同變種。該病毒的問題原本在2006年12月通過眾多殺毒公司提供的殺毒軟件升級已經解決,但由于“熊貓燒香”是一系列病毒的統稱,其生命力驚人,經過一段時間仍然沒有死絕,很多用戶“中病毒”以后用殺毒軟件根本殺不死它,只能忍痛刪除硬盤里所有的程序文件。
“除了通過網站帶毒感染用戶之外,此病毒還會在局域網中傳播,在極短時間之內就可以感染幾千臺計算機,嚴重時可以導致網絡癱瘓。中毒電腦會出現藍屏、頻繁重啟以及系統硬盤中數據文件被破壞等現象。”王占濤介紹說。
眾廠商提供解決方案
針對“熊貓燒香”病毒危害網絡安全的現象,國內眾多殺毒廠商紛紛推出最新的解決方案查殺該病毒。
“要殺掉病毒,專殺工具是最好的辦法。”金山公司信息安全事業部技術工程師李鐵軍表示,他們已經研制出最新的專殺工具,能處理已知變種,并具備免疫功能,只要用戶使用了該公司的殺毒軟件,就能對“熊貓燒香”病毒起到免疫功能。王占濤表示,專殺工具針對性強,效果最明顯,殺毒率在99%以上。
“江民公司也在第一時間推出了專殺工具,該病毒數據已被我們掌握了,推出專殺工具能起到很好的作用。”江民公司一位姓張的專家表示。
“通過網絡在線殺毒可以收到奇效;重啟系統到帶網絡連接的安全模式下,升級殺毒軟件后可以殺毒;通過手動修改注冊表也可以殺毒。”一時間,殺毒廠商的專家們給記者介紹了許多查殺該病毒的辦法。
王占濤說,“熊貓燒香”病毒與其他病毒的差別就在于傳播方式不同,殺毒公司有信心面對這樣的考驗。
“最重要的還是要安裝殺毒軟件,并在上網時打開網頁實時監控病毒,同時不要進入一些陌生的網站,不要下載一些不明文件,這樣就能離病毒遠點。”李鐵軍認為。
專家們認為,病毒其實并不可怕,只要多加防范就能免受其害。
清除病毒
需要全社會一起努力
既然預防病毒的侵害比殺毒更為重要,殺毒廠商殺毒多年了,推出了那么多種殺毒工具,為什么在網絡上還會不定期的冒出這么多病毒,難道殺毒公司只能這樣被動殺毒嗎?
“這就跟警察抓賊一樣,只有賊實施了犯罪行為,偷了東西,警察才能去抓他。”王占濤表示,其實殺毒廠商也很無奈,他們不可能搶先去制止毒源,只能等到“毒發”時才能去“醫治”。
“但這并不是說我們就沒辦法,每種病毒爆發都有它的潛伏期,在潛伏期我們就能提前研究對策,等病毒爆發時我們就能使它的危害性減到最小。”李鐵軍認為。
“我們已經存儲了一個巨大的毒庫,這些毒源總是萬變不離其宗,我們一定會有辦法對付它們。”江民公司的張姓專家顯得信心十足。
一些業內人士認為,找出毒源抓住制造病毒的人才是消滅網絡病毒的根本所在。這需要法律制度的完善,不給那些犯罪分子有機可乘。同時,還需規范網絡制度,全社會一起營造一個安全、穩定的網絡環境。
“網絡犯罪取證難,國家在這方面的監管打擊力度不夠,也是病毒如此囂張的主要原因之一。”李鐵軍認為,殺毒廠商只能做好查殺病毒的事情,給互聯網提供一個安全、清潔的環境,更重要的是有關部門須采取措施保護網絡安全。
很難想象一只可愛的小熊貓點燃著三根香竟然是一種病毒的圖標,可是互聯網就是這樣讓人意想不到,什么事情都可能發生。受前段時間臺灣地區地震引發斷網事件的影響,一些國外殺毒產品的病毒庫無法更新,導致使用國外殺毒產品的用戶無法對新出病毒做到有效防范,“熊貓燒香”病毒乘虛進入,國內網民苦不堪言。
“熊貓燒香”病毒傳播迅速
小張是個忠實的網民,每天他都會借助網絡瀏覽新聞。前幾天,小張照常打開他熟悉的一個網站鏈接,順著路徑進入了一個頁面,網站自動給他下載了一個程序,頁面上一個熊貓點燃三根香的圖標引起了小張的注意,好奇心驅使小張雙擊了鼠標,接下來小張的機器上所有的網頁文件尾部都添加了熊貓燒香圖標(.exe)代碼,大量的應用軟件無法使用,機器不斷重啟。后來,小張才知道自己的機器染上了“熊貓燒香”病毒,由于沒有專門的查殺工具,小張的機器徹底癱瘓了。
“熊貓燒香”的病毒不止在小張的電腦上發作,他的許多同事都遭遇了相同情況。據悉,目前多家網站均遭到“熊貓燒香”的攻擊,相繼被植入病毒。同時,由于這些網站的瀏覽量非常大,致使“熊貓燒香”病毒傳播迅速。據了解,目前該病毒已經把矛頭對準了企業和政府網站,相關資料顯示,中毒的企業和政府網站已經超過千家,其中不乏金融、稅務、能源等關系到國計民生的重要部門。
瑞星公司殺毒專家王占濤表示,“熊貓燒香”其實是“尼姆亞”病毒的新變種,最早出現在2006年11月,到目前為止已經有數十個不同變種。該病毒的問題原本在2006年12月通過眾多殺毒公司提供的殺毒軟件升級已經解決,但由于“熊貓燒香”是一系列病毒的統稱,其生命力驚人,經過一段時間仍然沒有死絕,很多用戶“中病毒”以后用殺毒軟件根本殺不死它,只能忍痛刪除硬盤里所有的程序文件。
“除了通過網站帶毒感染用戶之外,此病毒還會在局域網中傳播,在極短時間之內就可以感染幾千臺計算機,嚴重時可以導致網絡癱瘓。中毒電腦會出現藍屏、頻繁重啟以及系統硬盤中數據文件被破壞等現象。”王占濤介紹說。
眾廠商提供解決方案
針對“熊貓燒香”病毒危害網絡安全的現象,國內眾多殺毒廠商紛紛推出最新的解決方案查殺該病毒。
“要殺掉病毒,專殺工具是最好的辦法。”金山公司信息安全事業部技術工程師李鐵軍表示,他們已經研制出最新的專殺工具,能處理已知變種,并具備免疫功能,只要用戶使用了該公司的殺毒軟件,就能對“熊貓燒香”病毒起到免疫功能。王占濤表示,專殺工具針對性強,效果最明顯,殺毒率在99%以上。
“江民公司也在第一時間推出了專殺工具,該病毒數據已被我們掌握了,推出專殺工具能起到很好的作用。”江民公司一位姓張的專家表示。
“通過網絡在線殺毒可以收到奇效;重啟系統到帶網絡連接的安全模式下,升級殺毒軟件后可以殺毒;通過手動修改注冊表也可以殺毒。”一時間,殺毒廠商的專家們給記者介紹了許多查殺該病毒的辦法。
王占濤說,“熊貓燒香”病毒與其他病毒的差別就在于傳播方式不同,殺毒公司有信心面對這樣的考驗。
“最重要的還是要安裝殺毒軟件,并在上網時打開網頁實時監控病毒,同時不要進入一些陌生的網站,不要下載一些不明文件,這樣就能離病毒遠點。”李鐵軍認為。
專家們認為,病毒其實并不可怕,只要多加防范就能免受其害。
清除病毒
需要全社會一起努力
既然預防病毒的侵害比殺毒更為重要,殺毒廠商殺毒多年了,推出了那么多種殺毒工具,為什么在網絡上還會不定期的冒出這么多病毒,難道殺毒公司只能這樣被動殺毒嗎?
“這就跟警察抓賊一樣,只有賊實施了犯罪行為,偷了東西,警察才能去抓他。”王占濤表示,其實殺毒廠商也很無奈,他們不可能搶先去制止毒源,只能等到“毒發”時才能去“醫治”。
“但這并不是說我們就沒辦法,每種病毒爆發都有它的潛伏期,在潛伏期我們就能提前研究對策,等病毒爆發時我們就能使它的危害性減到最小。”李鐵軍認為。
“我們已經存儲了一個巨大的毒庫,這些毒源總是萬變不離其宗,我們一定會有辦法對付它們。”江民公司的張姓專家顯得信心十足。
一些業內人士認為,找出毒源抓住制造病毒的人才是消滅網絡病毒的根本所在。這需要法律制度的完善,不給那些犯罪分子有機可乘。同時,還需規范網絡制度,全社會一起營造一個安全、穩定的網絡環境。
“網絡犯罪取證難,國家在這方面的監管打擊力度不夠,也是病毒如此囂張的主要原因之一。”李鐵軍認為,殺毒廠商只能做好查殺病毒的事情,給互聯網提供一個安全、清潔的環境,更重要的是有關部門須采取措施保護網絡安全。
十大絕招制服頑劣的間諜軟件
[ 2007-03-25 03:17:58 | 作者: sun ]
最新的調查報告顯示了反間諜軟件軟件工具的不足,“間諜”仍在網絡上肆無忌憚地活動。但也不必垂頭喪氣,學習并遵循以下的十招辦法,間諜軟件將對你束手無策。
有的時候,真理和善良總是受到傷害,我們剛剛在反垃圾資訊中心"郵件上取得了一些進展,然而,間諜軟件卻又將填補這項空白。未來幾年里,你將不得不耗費寶貴的時間,在工作中、在家里與間諜軟件作斗爭。
雖然市面上有數十種新的反間諜軟件工具供我們使用,而且這些資訊中心"程序確實很有幫助,但是,運行反間諜軟件實用程序只是解決方案的一部分,還有很多其他事情需要你做,請按照我們提供的10個步驟指南開始行動吧。
1.了解你的敵人
如果天真地把間諜軟件定義為Web網站留下來的小cookie文件的話,那么你的挫折將永無止境。所有類型的變臉軟件(Scumware)都將為你帶來不幸,主要的四大類型是:
間諜軟件(Spyware)是一種可以秘密地收集有關你計算機信息的軟件,并可能向未知網站發送數據,包括“鍵盤記錄軟件”或“按鍵捕獲寄生蟲”(不要與“惡意軟件(malware)”混淆,惡意軟件包括病毒、蠕蟲和特洛伊木馬程序)。
廣告軟件(Adware):一種可以隨機或者根據當前瀏覽器內容彈出廣告和條幅的軟件。
劫持軟件(Hijackers):可以改變瀏覽器主頁、缺省搜索引擎,甚至改變你的方向,使你無法到達你想到達的網站。
小甜餅文件(Cookies):可以跟蹤Web網站參數選擇和口令的小型文件。軟件可以在用戶不知道的情況下收集和擴散該信息。
以上四種類型中,廣告軟件最討厭,而劫持軟件和間諜軟件卻是危害最大的。
2.退出InternetExplorer
我們無法指控資訊中心微軟公司犯下了生成間諜軟件的罪行。但是,Windows的設計,而且尤其是InternetExplorer卻肯定使微軟公司成了“間諜”的“同謀”。我們鼓勵用戶轉向其他產品,例如Firefox或者Opera,兩者均缺省設置封鎖彈出文字。Firefox是免費的且已很普及,Opera則需要花幾美元。
需要證據來證明InternetExplorer存在著問題?在筆者運行WindowsXPHome的主要測試PC上,使用InternetExplorer和OutlookExpress,結果發現了739個間諜軟件。
而在筆者的個人PC上,運行Firefox和Mozilla公司的Thunderbird電子郵件應用,結果才發現了11個間諜軟件范例。而且,這11個間諜軟件均是在筆者不得不使用InternetExplorer進入某些Web網站的時候,偷偷溜進這臺PC的。
然而,不幸的是,有些網站卻需要InternetExplorer,而那些與微軟公司的Outlook電子郵件客戶端有密切聯系的用戶也必須使用它。不過,還是有辦法可以把感染InternetExplorer間諜軟件的速度降下來。首先,禁止微軟ActiveX支持。在InternetExplorer里,點擊Tools→InternetOptions→Security→CustomLevel,然后,點擊迫使ActiveX控制在運行之前請求允許的檢查框。
有的時候,真理和善良總是受到傷害,我們剛剛在反垃圾資訊中心"郵件上取得了一些進展,然而,間諜軟件卻又將填補這項空白。未來幾年里,你將不得不耗費寶貴的時間,在工作中、在家里與間諜軟件作斗爭。
雖然市面上有數十種新的反間諜軟件工具供我們使用,而且這些資訊中心"程序確實很有幫助,但是,運行反間諜軟件實用程序只是解決方案的一部分,還有很多其他事情需要你做,請按照我們提供的10個步驟指南開始行動吧。
1.了解你的敵人
如果天真地把間諜軟件定義為Web網站留下來的小cookie文件的話,那么你的挫折將永無止境。所有類型的變臉軟件(Scumware)都將為你帶來不幸,主要的四大類型是:
間諜軟件(Spyware)是一種可以秘密地收集有關你計算機信息的軟件,并可能向未知網站發送數據,包括“鍵盤記錄軟件”或“按鍵捕獲寄生蟲”(不要與“惡意軟件(malware)”混淆,惡意軟件包括病毒、蠕蟲和特洛伊木馬程序)。
廣告軟件(Adware):一種可以隨機或者根據當前瀏覽器內容彈出廣告和條幅的軟件。
劫持軟件(Hijackers):可以改變瀏覽器主頁、缺省搜索引擎,甚至改變你的方向,使你無法到達你想到達的網站。
小甜餅文件(Cookies):可以跟蹤Web網站參數選擇和口令的小型文件。軟件可以在用戶不知道的情況下收集和擴散該信息。
以上四種類型中,廣告軟件最討厭,而劫持軟件和間諜軟件卻是危害最大的。
2.退出InternetExplorer
我們無法指控資訊中心微軟公司犯下了生成間諜軟件的罪行。但是,Windows的設計,而且尤其是InternetExplorer卻肯定使微軟公司成了“間諜”的“同謀”。我們鼓勵用戶轉向其他產品,例如Firefox或者Opera,兩者均缺省設置封鎖彈出文字。Firefox是免費的且已很普及,Opera則需要花幾美元。
需要證據來證明InternetExplorer存在著問題?在筆者運行WindowsXPHome的主要測試PC上,使用InternetExplorer和OutlookExpress,結果發現了739個間諜軟件。
而在筆者的個人PC上,運行Firefox和Mozilla公司的Thunderbird電子郵件應用,結果才發現了11個間諜軟件范例。而且,這11個間諜軟件均是在筆者不得不使用InternetExplorer進入某些Web網站的時候,偷偷溜進這臺PC的。
然而,不幸的是,有些網站卻需要InternetExplorer,而那些與微軟公司的Outlook電子郵件客戶端有密切聯系的用戶也必須使用它。不過,還是有辦法可以把感染InternetExplorer間諜軟件的速度降下來。首先,禁止微軟ActiveX支持。在InternetExplorer里,點擊Tools→InternetOptions→Security→CustomLevel,然后,點擊迫使ActiveX控制在運行之前請求允許的檢查框。
MM的QQ密碼又被盜了,朋友一百萬兩銀子又被竊了……面對防不勝防的木馬,作為普通用戶而言,如何防范、如何應對、如何將損失降在最低呢?當然,首先最要緊的是扎緊籬笆——及時為操作系統打上補丁;拒木馬于千里之外——不隨便下載和運行不明來源的程序,這些在前幾期的文章中已有詳述。我們今天談一下,如果第一道防線被攻破,木馬已經進駐電腦,那么應該如何識別,并且不讓它得逞呢?
一、不給權限,餓死木馬
在Windows 2000/XP/2003等系統中,用戶可以加入Administrators、Power Users、Users等不同權限的組,分別具有不同級別的操作權限。如果你平時也就上上網看看新聞,打打游戲聊聊天,編寫文字處理幾張圖片,而不需要頻繁地裝卸軟件,那么不妨藏起管理員,使用一個低權限的用戶賬戶。
通過“控制面板→用戶賬戶”,創建一個新的用戶,然后安裝常用的軟件之后,將其加入到受限用戶(Users)組。受限用戶能夠正常運行大部分的程序,但是無法對系統的心臟——系統目錄和注冊表進行寫操作。該操作需要一個前提條件,即C盤應采用NTFS格式。
木馬以及其他惡意軟件有個特殊的愛好:往往喜歡藏身于系統目錄,并且修改注冊表以達到自動加載的目的。而采用這個辦法,很大程度上限制了木馬的滲透。即使木馬已進入硬盤,也不會有權限進行相應的操作,有效地降低了木馬的破壞力,事后在滅殺木馬過程中也不至于破壞系統。
但是有的軟件需要管理員權限賬戶才可以正常運行,或者有時候我們需要安裝一些軟件,目前賬戶權限不夠,怎么辦?切換用戶太麻煩,而且也容易因此給木馬可乘之機。那么,用下面的辦法實現吧!
右鍵點擊程序,選擇“運行方式”,然后選擇合適的賬戶并輸入相應密碼即可。這樣軟件就可以其他賬戶的方式運行,而與當前賬戶無關。雖然比起直接管理員賬戶登錄操作麻煩了點,但是安全上得到了保障,還是值得的。
二、勤查戶口,除不速客
賬戶信息安全之重要性,自然不言而喻。黑客入侵,往往會偷偷在你的系統中建立一個賬戶,或者把普通賬戶提升權限,以達到幕后操縱之目的,而這個往往是普通用戶容易忽略的問題,所以大家要養成一個勤查戶口的習慣。
打開“管理工具→計算機管理→本地用戶和組”,這里枚舉了當前的所有賬戶信息。要看看是不是多了不認識的名字,或者誰偷偷地升級了,這些都需要引起重視。比如臭名昭著的lovgate病毒就會在感染電腦上建立一個名為“lee”的賬戶。
但是,有時候突然多出一個不速之客也未必就是“中標”了,比如在安裝Microsoft .Net Framework后,系統會自動建立一個ASP.NET賬戶,這是正常的,大可不必為之擔心。
另外,還要對現有賬戶做好安全工作。如果沒有必要,可以不啟用Guest賬戶;同時應對內置的管理員賬戶Administrator加上密碼,并且“改頭換面”,防止入侵者惡意窮舉:通過“管理工具→本地安全策略→本地策略→安全選項→賬戶”對系統管理員賬戶進行重命名操作,將Administrator修改為一個別人不容易猜測到的名字。
三、關緊城門,出入查證
木馬也好,其他惡意程序也好,如果不能和釋放者保持聯系,也就失去了威力。所以城門就是我們的最后一道防線。
首先是關閉一些危險的端口。打開“管理工具→本地安全策略→IP 安全策略,在本地計算機”,在右側窗格中右擊鼠標并選擇“創建 IP
安全策略”命令,然后根據向導一步一步設置,分別添加TCP135、 137、139、445、593 、1025、2745、3127、6129、3389端口和UDP 135、139、445等端口。關閉了這些端口,可以避免入侵者通過這些通道秘密潛入。
其次,安裝一款合適的防火墻。ZoneAlarm、BlackICE、Kaspersky Anti-Hacker、XELIOS Personal Firewall等功能都比較強大。如果嫌這些設置比較復雜,也可以選擇天網、金山毒霸網絡個人防火墻、瑞星個人防火墻等。它們就像把門者,每一個進出者都會被檢查是否有“良民證”:如果確認可靠的就直接放行,如果陌生人想偷偷挾帶情報出逃,對不起,攔下。
四、明察秋毫,逮住“馬跡”
感染木馬或其他惡意程序后,系統不可避免地會出現一些特殊征兆,如果及早發現并及時處理,可以將損失降到最低點。下面的這些“馬跡”千萬不要放過。
1、密碼被改,金幣被偷。雖然損失已經造成,但是亡羊補牢,至少避免更多損失。
2、殺軟被關閉。很多木馬會自動關閉殺毒軟件,如果發現殺軟防火墻被退出,而且無法啟動,絕對不能忽視,排除系統或者殺軟本身的問題,很有可能就是被木馬或病毒先下手為強了。
3、一閃而過的窗口。打開記事本,或其他軟件的時候,會有隱約的窗口一閃而過,這很有可能就是木馬或病毒已經寄生在正常程序上了。
4、奇怪的進程。經常用Ctrl+Alt+Del鍵調出任務管理器進行查看。首先你要熟悉系統的正常進程,如果有陌生進程出現,那就將它一查到底。
5、魚目混珠的文件名或錯位的程序。有些木馬會偽造和正常程序相似的名字,比如“svch0st”等;有些則索性冒名,不過路徑不同,比如出現在Windows目錄下的“rundll32.exe”(正常應該在windows\system32和windows\system32\dllcache下)。
6、自作多情的啟動項目。經常使用“msconfig”查看啟動項目,如果有不經允許就擅自加載的,不妨查查其身份。
7、綁架瀏覽器。使用hijackthis輔助,把這些綁匪統統請出系統去。
8、運行“netstat”,查看當前網絡的連接情況,是否有偷偷向外報信者。
一、不給權限,餓死木馬
在Windows 2000/XP/2003等系統中,用戶可以加入Administrators、Power Users、Users等不同權限的組,分別具有不同級別的操作權限。如果你平時也就上上網看看新聞,打打游戲聊聊天,編寫文字處理幾張圖片,而不需要頻繁地裝卸軟件,那么不妨藏起管理員,使用一個低權限的用戶賬戶。
通過“控制面板→用戶賬戶”,創建一個新的用戶,然后安裝常用的軟件之后,將其加入到受限用戶(Users)組。受限用戶能夠正常運行大部分的程序,但是無法對系統的心臟——系統目錄和注冊表進行寫操作。該操作需要一個前提條件,即C盤應采用NTFS格式。
木馬以及其他惡意軟件有個特殊的愛好:往往喜歡藏身于系統目錄,并且修改注冊表以達到自動加載的目的。而采用這個辦法,很大程度上限制了木馬的滲透。即使木馬已進入硬盤,也不會有權限進行相應的操作,有效地降低了木馬的破壞力,事后在滅殺木馬過程中也不至于破壞系統。
但是有的軟件需要管理員權限賬戶才可以正常運行,或者有時候我們需要安裝一些軟件,目前賬戶權限不夠,怎么辦?切換用戶太麻煩,而且也容易因此給木馬可乘之機。那么,用下面的辦法實現吧!
右鍵點擊程序,選擇“運行方式”,然后選擇合適的賬戶并輸入相應密碼即可。這樣軟件就可以其他賬戶的方式運行,而與當前賬戶無關。雖然比起直接管理員賬戶登錄操作麻煩了點,但是安全上得到了保障,還是值得的。
二、勤查戶口,除不速客
賬戶信息安全之重要性,自然不言而喻。黑客入侵,往往會偷偷在你的系統中建立一個賬戶,或者把普通賬戶提升權限,以達到幕后操縱之目的,而這個往往是普通用戶容易忽略的問題,所以大家要養成一個勤查戶口的習慣。
打開“管理工具→計算機管理→本地用戶和組”,這里枚舉了當前的所有賬戶信息。要看看是不是多了不認識的名字,或者誰偷偷地升級了,這些都需要引起重視。比如臭名昭著的lovgate病毒就會在感染電腦上建立一個名為“lee”的賬戶。
但是,有時候突然多出一個不速之客也未必就是“中標”了,比如在安裝Microsoft .Net Framework后,系統會自動建立一個ASP.NET賬戶,這是正常的,大可不必為之擔心。
另外,還要對現有賬戶做好安全工作。如果沒有必要,可以不啟用Guest賬戶;同時應對內置的管理員賬戶Administrator加上密碼,并且“改頭換面”,防止入侵者惡意窮舉:通過“管理工具→本地安全策略→本地策略→安全選項→賬戶”對系統管理員賬戶進行重命名操作,將Administrator修改為一個別人不容易猜測到的名字。
三、關緊城門,出入查證
木馬也好,其他惡意程序也好,如果不能和釋放者保持聯系,也就失去了威力。所以城門就是我們的最后一道防線。
首先是關閉一些危險的端口。打開“管理工具→本地安全策略→IP 安全策略,在本地計算機”,在右側窗格中右擊鼠標并選擇“創建 IP
安全策略”命令,然后根據向導一步一步設置,分別添加TCP135、 137、139、445、593 、1025、2745、3127、6129、3389端口和UDP 135、139、445等端口。關閉了這些端口,可以避免入侵者通過這些通道秘密潛入。
其次,安裝一款合適的防火墻。ZoneAlarm、BlackICE、Kaspersky Anti-Hacker、XELIOS Personal Firewall等功能都比較強大。如果嫌這些設置比較復雜,也可以選擇天網、金山毒霸網絡個人防火墻、瑞星個人防火墻等。它們就像把門者,每一個進出者都會被檢查是否有“良民證”:如果確認可靠的就直接放行,如果陌生人想偷偷挾帶情報出逃,對不起,攔下。
四、明察秋毫,逮住“馬跡”
感染木馬或其他惡意程序后,系統不可避免地會出現一些特殊征兆,如果及早發現并及時處理,可以將損失降到最低點。下面的這些“馬跡”千萬不要放過。
1、密碼被改,金幣被偷。雖然損失已經造成,但是亡羊補牢,至少避免更多損失。
2、殺軟被關閉。很多木馬會自動關閉殺毒軟件,如果發現殺軟防火墻被退出,而且無法啟動,絕對不能忽視,排除系統或者殺軟本身的問題,很有可能就是被木馬或病毒先下手為強了。
3、一閃而過的窗口。打開記事本,或其他軟件的時候,會有隱約的窗口一閃而過,這很有可能就是木馬或病毒已經寄生在正常程序上了。
4、奇怪的進程。經常用Ctrl+Alt+Del鍵調出任務管理器進行查看。首先你要熟悉系統的正常進程,如果有陌生進程出現,那就將它一查到底。
5、魚目混珠的文件名或錯位的程序。有些木馬會偽造和正常程序相似的名字,比如“svch0st”等;有些則索性冒名,不過路徑不同,比如出現在Windows目錄下的“rundll32.exe”(正常應該在windows\system32和windows\system32\dllcache下)。
6、自作多情的啟動項目。經常使用“msconfig”查看啟動項目,如果有不經允許就擅自加載的,不妨查查其身份。
7、綁架瀏覽器。使用hijackthis輔助,把這些綁匪統統請出系統去。
8、運行“netstat”,查看當前網絡的連接情況,是否有偷偷向外報信者。
“熊貓燒香”為何殺之不絕?
[ 2007-03-25 03:17:29 | 作者: sun ]
電話號碼為07588****25的讀者詢問:我的電腦最近中了“熊貓燒香”病毒,我從網上下載了專殺工具進行查殺,但是重復殺了幾次后,軟件還是顯示有十幾個病毒存在,重啟后再殺也沒能解決問題,我該怎么辦?
答:目前,“熊貓燒香”病毒肆虐互聯網,而且變種非常快,其變種病毒已經超過了400種。
也就是說,單獨依靠一家殺毒軟件公司的軟件可能還不足以進行完全的查殺,建議你多下載幾種不同的專殺工具進行一下處理。
另外,如果你的電腦一直是連接上網的狀態,而你的防火墻又沒有打開或是沒有升級到最新的版本,也可能重復染上病毒。綜合這幾種可能性,這里建議你先將自己原有的殺毒軟件的防火墻升級到最新的版本,然后下載Windows的最新系統補丁,最后在斷網的情況下利用多種專殺工具進行反復的查殺,應該能夠解決問題。
答:目前,“熊貓燒香”病毒肆虐互聯網,而且變種非常快,其變種病毒已經超過了400種。
也就是說,單獨依靠一家殺毒軟件公司的軟件可能還不足以進行完全的查殺,建議你多下載幾種不同的專殺工具進行一下處理。
另外,如果你的電腦一直是連接上網的狀態,而你的防火墻又沒有打開或是沒有升級到最新的版本,也可能重復染上病毒。綜合這幾種可能性,這里建議你先將自己原有的殺毒軟件的防火墻升級到最新的版本,然后下載Windows的最新系統補丁,最后在斷網的情況下利用多種專殺工具進行反復的查殺,應該能夠解決問題。
網絡安全之TCP端口作用、漏洞及操作
[ 2007-03-25 03:17:16 | 作者: sun ]
在上網的時候,我們經常會看到“端口”這個詞,也會經常用到端口號,比如在FTP地址后面增加的“21”,21就表示端口號。那么端口到底是什么意思呢?怎樣查看端口號呢?一個端口是否成為網絡惡意攻擊的大門呢?,我們應該如何面對形形色色的端口呢?下面就將介紹這方面的內容,以供大家參考。
21端口:21端口主要用于FTP(File Transfer Protocol,文件傳輸協議)服務。
端口說明:21端口主要用于FTP(File Transfer Protocol,文件傳輸協議)服務,FTP服務主要是為了在兩臺計算機之間實現文件的上傳與下載,一臺計算機作為FTP客戶端,另一臺計算機作為FTP服務器,可以采用匿名(anonymous)登錄和授權用戶名與密碼登錄兩種方式登錄FTP服務器。目前,通過FTP服務來實現文件的傳輸是互聯網上上傳、下載文件最主要的方法。另外,還有一個20端口是用于FTP數據傳輸的默認端口號。
在Windows中可以通過Internet信息服務(IIS)來提供FTP連接和管理,也可以單獨安裝FTP服務器軟件來實現FTP功能,比如常見的FTP Serv-U。
操作建議:因為有的FTP服務器可以通過匿名登錄,所以常常會被黑客利用。另外,21端口還會被一些木馬利用,比如Blade Runner、FTP Trojan、Doly Trojan、WebEx等等。如果不架設FTP服務器,建議關閉21端口。
23端口:23端口主要用于Telnet(遠程登錄)服務,是Internet上普遍采用的登錄和仿真程序。
端口說明:23端口主要用于Telnet(遠程登錄)服務,是Internet上普遍采用的登錄和仿真程序。同樣需要設置客戶端和服務器端,開啟Telnet服務的客戶端就可以登錄遠程Telnet服務器,采用授權用戶名和密碼登錄。登錄之后,允許用戶使用命令提示符窗口進行相應的操作。在Windows中可以在命令提示符窗口中,鍵入“Telnet”命令來使用Telnet遠程登錄。
操作建議:利用Telnet服務,黑客可以搜索遠程登錄Unix的服務,掃描操作系統的類型。而且在Windows 2000中Telnet服務存在多個嚴重的漏洞,比如提升權限、拒絕服務等,可以讓遠程服務器崩潰。Telnet服務的23端口也是TTS(Tiny Telnet Server)木馬的缺省端口。所以,建議關閉23端口。
25端口:25端口為SMTP(Simple Mail Transfer Protocol,簡單郵件傳輸協議)服務器所開放,主要用于發送郵件,如今絕大多數郵件服務器都使用該協議。
端口說明:25端口為SMTP(Simple Mail Transfer Protocol,簡單郵件傳輸協議)服務器所開放,主要用于發送郵件,如今絕大多數郵件服務器都使用該協議。比如我們在使用電子郵件客戶端程序的時候,在創建賬戶時會要求輸入SMTP服務器地址,該服務器地址默認情況下使用的就是25端口。
端口漏洞:
1. 利用25端口,黑客可以尋找SMTP服務器,用來轉發垃圾郵件。
2. 25端口被很多木馬程序所開放,比如Ajan、Antigen、Email Password Sender、ProMail、trojan、Tapiras、Terminator、WinPC、WinSpy等等。拿WinSpy來說,通過開放25端口,可以監視計算機正在運行的所有窗口和模塊。
操作建議:如果不是要架設SMTP郵件服務器,可以將該端口關閉。
53端口:53端口為DNS(Domain Name Server,域名服務器)服務器所開放,主要用于域名解析,DNS服務在NT系統中使用的最為廣泛。
端口說明:53端口為DNS(Domain Name Server,域名服務器)服務器所開放,主要用于域名解析,DNS服務在NT系統中使用的最為廣泛。通過DNS服務器可以實現域名與IP地址之間的轉換,只要記住域名就可以快速訪問網站。
端口漏洞:如果開放DNS服務,黑客可以通過分析DNS服務器而直接獲取Web服務器等主機的IP地址,再利用53端口突破某些不穩定的防火墻,從而實施攻擊。近日,美國一家公司也公布了10個最易遭黑客攻擊的漏洞,其中第一位的就是DNS服務器的BIND漏洞。
操作建議:如果當前的計算機不是用于提供域名解析服務,建議關閉該端口
67、68端口:67、68端口分別是為Bootp服務的Bootstrap Protocol Server(引導程序協議服務端)和Bootstrap Protocol Client(引導程序協議客戶端)開放的端口。
端口說明:67、68端口分別是為Bootp服務的Bootstrap Protocol Server(引導程序協議服務端)和Bootstrap Protocol Client(引導程序協議客戶端)開放的端口。Bootp服務是一種產生于早期Unix的遠程啟動協議,我們現在經常用到的DHCP服務就是從Bootp服務擴展而來的。通過Bootp服務可以為局域網中的計算機動態分配IP地址,而不需要每個用戶去設置靜態IP地址。
端口漏洞:如果開放Bootp服務,常常會被黑客利用分配的一個IP地址作為局部路由器通過“中間人”(man-in-middle)方式進行攻擊。
操作建議:建議關閉該端口。
69端口:TFTP是Cisco公司開發的一個簡單文件傳輸協議,類似于FTP。
端口說明:69端口是為TFTP(Trival File Tranfer Protocol,次要文件傳輸協議)服務開放的,TFTP是Cisco公司開發的一個簡單文件傳輸協議,類似于FTP。不過與FTP相比,TFTP不具有復雜的交互存取接口和認證控制,該服務適用于不需要復雜交換環境的客戶端和服務器之間進行數據傳輸。
端口漏洞:很多服務器和Bootp服務一起提供TFTP服務,主要用于從系統下載啟動代碼。可是,因為TFTP服務可以在系統中寫入文件,而且黑客還可以利用TFTP的錯誤配置來從系統獲取任何文件。
操作建議:建議關閉該端口。
79端口:79端口是為Finger服務開放的,主要用于查詢遠程主機在線用戶、操作系統類型以及是否緩沖區溢出等用戶的詳細信息。
端口說明:79端口是為Finger服務開放的,主要用于查詢遠程主機在線用戶、操作系統類型以及是否緩沖區溢出等用戶的詳細信息。比如要顯示遠程計算機www.abc.com上的user01用戶的信息,可以在命令行中鍵入“finger user01@www.abc.com”即可。
端口漏洞:一般黑客要攻擊對方的計算機,都是通過相應的端口掃描工具來獲得相關信息,比如使用“流光”就可以利用79端口來掃描遠程計算機操作系統版本,獲得用戶信息,還能探測已知的緩沖區溢出錯誤。這樣,就容易遭遇到黑客的攻擊。而且,79端口還被Firehotcker木馬作為默認的端口。
操作建議:建議關閉該端口。
80端口:80端口是為HTTP(HyperText Transport Protocol,超文本傳輸協議)開放的,這是上網沖浪使用最多的協議,主要用于在WWW(World Wide Web,萬維網)服務上傳輸信息的協議。
端口說明:80端口是為HTTP(HyperText Transport Protocol,超文本傳輸協議)開放的,這是上網沖浪使用最多的協議,主要用于在WWW(World Wide Web,萬維網)服務上傳輸信息的協議。我們可以通過HTTP地址加“:80”(即常說的“網址”)來訪問網站的,比如http://www.cce.com.cn:80,因為瀏覽網頁服務默認的端口號是80,所以只要輸入網址,不用輸入“:80”。
端口漏洞:有些木馬程序可以利用80端口來攻擊計算機的,比如Executor、RingZero等。
操作建議:為了能正常上網沖浪,我們必須開啟80端口。
99端口:99端口是用于一個名為“Metagram Relay”(亞對策延時)的服務,該服務比較少見,一般是用不到的。
端口說明:99端口是用于一個名為“Metagram Relay”(亞對策延時)的服務,該服務比較少見,一般是用不到的。
端口漏洞:雖然“Metagram Relay”服務不常用,可是Hidden Port、NCx99等木馬程序會利用該端口,比如在Windows 2000中,NCx99可以把cmd.exe程序綁定到99端口,這樣用Telnet就可以連接到服務器,隨意添加用戶、更改權限。
操作建議:建議關閉該端口。
109、110端口:109端口是為POP2(Post Office Protocol Version 2,郵局協議2)服務開放的,110端口是為POP3(郵件協議3)服務開放的,POP2、POP3都是主要用于接收郵件的。
端口說明:109端口是為POP2(Post Office Protocol Version 2,郵局協議2)服務開放的,110端口是為POP3(郵件協議3)服務開放的,POP2、POP3都是主要用于接收郵件的,目前POP3使用的比較多,許多服務器都同時支持POP2和POP3。客戶端可以使用POP3協議來訪問服務端的郵件服務,如今ISP的絕大多數郵件服務器都是使用該協議。在使用電子郵件客戶端程序的時候,會要求輸入POP3服務器地址,默認情況下使用的就是110端口。
端口漏洞:POP2、POP3在提供郵件接收服務的同時,也出現了不少的漏洞。單單POP3服務在用戶名和密碼交換緩沖區溢出的漏洞就不少于20個,比如WebEasyMail POP3 Server合法用戶名信息泄露漏洞,通過該漏洞遠程攻擊者可以驗證用戶賬戶的存在。另外,110端口也被ProMail trojan等木馬程序所利用,通過110端口可以竊取POP賬號用戶名和密碼。
操作建議:如果是執行郵件服務器,可以打開該端口。
111端口:111端口是SUN公司的RPC(Remote Procedure Call,遠程過程調用)服務所開放的端口,主要用于分布式系統中不同計算機的內部進程通信,RPC在多種網絡服務中都是很重要的組件。
端口說明:111端口是SUN公司的RPC(Remote Procedure Call,遠程過程調用)服務所開放的端口,主要用于分布式系統中不同計算機的內部進程通信,RPC在多種網絡服務中都是很重要的組件。常見的RPC服務有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等等。在Microsoft的Windows中,同樣也有RPC服務。
端口漏洞:SUN RPC有一個比較大漏洞,就是在多個RPC服務時xdr_array函數存在遠程緩沖溢出漏洞,通過該漏洞允許攻擊者傳遞超
113端口:113端口主要用于Windows的“Authentication Service”(驗證服務)。
端口說明:113端口主要用于Windows的“Authentication Service”(驗證服務),一般與網絡連接的計算機都運行該服務,主要用于驗證TCP連接的用戶,通過該服務可以獲得連接計算機的信息。在Windows 2000/2003 Server中,還有專門的IAS組件,通過該組件可以方便遠程訪問中進行身份驗證以及策略管理。
端口漏洞:113端口雖然可以方便身份驗證,但是也常常被作為FTP、POP、SMTP、IMAP以及IRC等網絡服務的記錄器,這樣會被相應的木馬程序所利用,比如基于IRC聊天室控制的木馬。另外,113端口還是Invisible Identd Deamon、Kazimas等木馬默認開放的端口。
操作建議:建議關閉該端口。
119端口:119端口是為“Network News Transfer Protocol”(網絡新聞組傳輸協議,簡稱NNTP)開放的。
端口說明:119端口是為“Network News Transfer Protocol”(網絡新聞組傳輸協議,簡稱NNTP)開放的,主要用于新聞組的傳輸,當查找USENET服務器的時候會使用該端口。
端口漏洞:著名的Happy99蠕蟲病毒默認開放的就是119端口,如果中了該病毒會不斷發送電子郵件進行傳播,并造成網絡的堵塞。
操作建議:如果是經常使用USENET新聞組,就要注意不定期關閉該端口。
135端口:135端口主要用于使用RPC(Remote Procedure Call,遠程過程調用)協議并提供DCOM(分布式組件對象模型)服務。
端口說明:135端口主要用于使用RPC(Remote Procedure Call,遠程過程調用)協議并提供DCOM(分布式組件對象模型)服務,通過RPC可以保證在一臺計算機上運行的程序可以順利地執行遠程計算機上的代碼;使用DCOM可以通過網絡直接進行通信,能夠跨包括HTTP協議在內的多種網絡傳輸。
端口漏洞:相信去年很多Windows 2000和Windows XP用戶都中了“沖擊波”病毒,該病毒就是利用RPC漏洞來攻擊計算機的。RPC本身在處理通過TCP/IP的消息交換部分有一個漏洞,該漏洞是由于錯誤地處理格式不正確的消息造成的。該漏洞會影響到RPC與DCOM之間的一個接口,該接口偵聽的端口就是135。
操作建議:為了避免“沖擊波”病毒的攻擊,建議關閉該端口。
137端口:137端口主要用于“NetBIOS Name Service”(NetBIOS名稱服務)。
端口說明:137端口主要用于“NetBIOS Name Service”(NetBIOS名稱服務),屬于UDP端口,使用者只需要向局域網或互聯網上的某臺計算機的137端口發送一個請求,就可以獲取該計算機的名稱、注冊用戶名,以及是否安裝主域控制器、IIS是否正在運行等信息。
端口漏洞:因為是UDP端口,對于攻擊者來說,通過發送請求很容易就獲取目標計算機的相關信息,有些信息是直接可以被利用,并分析漏洞的,比如IIS服務。另外,通過捕獲正在利用137端口進行通信的信息包,還可能得到目標計算機的啟動和關閉的時間,這樣就可以利用專門的工具來攻擊。
操作建議:建議關閉該端口。
139端口:139端口是為“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印機共享以及Unix中的Samba服務。
端口說明:139端口是為“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印機共享以及Unix中的Samba服務。在Windows中要在局域網中進行文件的共享,必須使用該服務。比如在Windows 98中,可以打開“控制面板”,雙擊“網絡”圖標,在“配置”選項卡中單擊“文件及打印共享”按鈕選中相應的設置就可以安裝啟用該服務;在Windows 2000/XP中,可以打開“控制面板”,雙擊“網絡連接”圖標,打開本地連接屬性;接著,在屬性窗口的“常規”選項卡中選擇“Internet協議(TCP/IP)”,單擊“屬性”按鈕;然后在打開的窗口中,單擊“高級”按鈕;在“高級TCP/IP設置”窗口中選擇“WINS”選項卡,在“NetBIOS設置”區域中啟用TCP/IP上的NetBIOS。
端口漏洞:開啟139端口雖然可以提供共享服務,但是常常被攻擊者所利用進行攻擊,比如使用流光、SuperScan等端口掃描工具,可以掃描目標計算機的139端口,如果發現有漏洞,可以試圖獲取用戶名和密碼,這是非常危險的。
操作建議:如果不需要提供文件和打印機共享,建議關閉該端口。
143端口:143端口主要是用于“Internet Message Access Protocol”v2(Internet消息訪問協議,簡稱IMAP)。
端口說明:143端口主要是用于“Internet Message Access Protocol”v2(Internet消息訪問協議,簡稱IMAP),和POP3一樣,是用于電子郵件的接收的協議。通過IMAP協議我們可以在不接收郵件的情況下,知道信件的內容,方便管理服務器中的電子郵件。不過,相對于POP3協議要負責一些。如今,大部分主流的電子郵件客戶端軟件都支持該協議。
端口漏洞:同POP3協議的110端口一樣,IMAP使用的143端口也存在緩沖區溢出漏洞,通過該漏洞可以獲取用戶名和密碼。另外,還有一種名為“admv0rm”的Linux蠕蟲病毒會利用該端口進行繁殖。
操作建議:如果不是使用IMAP服務器操作,應該將該端口關閉。
161端口:161端口是用于“Simple Network Management Protocol”(簡單網絡管理協議,簡稱SNMP)。
端口說明:161端口是用于“Simple Network Management Protocol”(簡單網絡管理協議,簡稱SNMP),該協議主要用于管理TCP/IP網絡中的網絡協議,在Windows中通過SNMP服務可以提供關于TCP/IP網絡上主機以及各種網絡設備的狀態信息。目前,幾乎所有的網絡設備廠商都實現對SNMP的支持。
在Windows 2000/XP中要安裝SNMP服務,我們首先可以打開“Windows組件向導”,在“組件”中選擇“管理和監視工具”,單擊“詳細信息”按鈕就可以看到“簡單網絡管理協議(SNMP)”,選中該組件;然后,單擊“下一步”就可以進行安裝。
端口漏洞:因為通過SNMP可以獲得網絡中各種設備的狀態信息,還能用于對網絡設備的控制,所以黑客可以通過SNMP漏洞來完全控制網絡。
操作建議:建議關閉該端口。
443端口:443端口即網頁瀏覽端口,主要是用于HTTPS服務,是提供加密和通過安全端口傳輸的另一種HTTP。
端口說明:443端口即網頁瀏覽端口,主要是用于HTTPS服務,是提供加密和通過安全端口傳輸的另一種HTTP。在一些對安全性要求較高的網站,比如銀行、證券、購物等,都采用HTTPS服務,這樣在這些網站上的交換信息其他人都無法看到,保證了交易的安全性。網頁的地址以https://開始,而不是常見的http://。
端口漏洞:HTTPS服務一般是通過SSL(安全套接字層)來保證安全性的,但是SSL漏洞可能會受到黑客的攻擊,比如可以黑掉在線銀行系統,盜取信用卡賬號等。
操作建議:建議開啟該端口,用于安全性網頁的訪問。另外,為了防止黑客的攻擊,應該及時安裝微軟針對SSL漏洞發布的最新安全補丁。
554端口:554端口默認情況下用于“Real Time Streaming Protocol”(實時流協議,簡稱RTSP)。
端口說明:554端口默認情況下用于“Real Time Streaming Protocol”(實時流協議,簡稱RTSP),該協議是由RealNetworks和Netscape共同提出的,通過RTSP協議可以借助于Internet將流媒體文件傳送到RealPlayer中播放,并能有效地、最大限度地利用有限的網絡帶寬,傳輸的流媒體文件一般是Real服務器發布的,包括有.rm、.ram。如今,很多的下載軟件都支持RTSP協議,比如FlashGet、影音傳送帶等等。
端口漏洞:目前,RTSP協議所發現的漏洞主要就是RealNetworks早期發布的Helix Universal Server存在緩沖區溢出漏洞,相對來說,使用的554端口是安全的。
操作建議:為了能欣賞并下載到RTSP協議的流媒體文件,建議開啟554端口。
1024端口:1024端口一般不固定分配給某個服務,在英文中的解釋是“Reserved”(保留)。
端口說明:1024端口一般不固定分配給某個服務,在英文中的解釋是“Reserved”(保留)。之前,我們曾經提到過動態端口的范圍是從1024~65535,而1024正是動態端口的開始。該端口一般分配給第一個向系統發出申請的服務,在關閉服務的時候,就會釋放1024端口,等待其他服務的調用。
端口漏洞:著名的YAI木馬病毒默認使用的就是1024端口,通過該木馬可以遠程控制目標計算機,獲取計算機的屏幕圖像、記錄鍵盤事件、獲取密碼等,后果是比較嚴重的。
操作建議:一般的殺毒軟件都可以方便地進行YAI病毒的查殺,所以在確認無YAI病毒的情況下建議開啟該端口。
Windows操作系統常遇木馬的預防技巧
[ 2007-03-25 03:17:01 | 作者: sun ]
木馬程序是目前比較流行的一類病毒文件,它與一般的病毒不同,它不會自我繁殖,也并不刻意地去感染其他文件。它通過將自身偽裝吸引用戶下載執行,或以捆綁在網頁中的形式,當用戶瀏覽網頁時受害。木馬程序向施種木馬者提供打開被種者電腦的門戶,使施種者可以任意毀壞、竊取被種者的文件和隱私,甚至遠程操控被種者的電腦。木馬的原理和計算機網絡中常常要用到的遠程控制軟件相似,但由于遠程控制軟件是“善意”的控制,因此通常不具有隱蔽性;而木馬程序則完全相反,木馬要達到的是“偷竊”性的遠程控制,如果沒有很強的隱蔽性的話,那就是毫無價值的。
木馬通常有兩個可執行程序:一個是客戶端,即控制端,另一個是服務端,即被控制端。木馬的設計者為了防止木馬被發現,而采用多種手段隱藏木馬。木馬的服務一旦運行,電腦就會有一個或幾個端口被打開,黑客就可以利用控制端進入運行了服務端的電腦,甚至可以控制被種者的電腦,所以被種者的安全和個人隱私也就全無保障了!
隨著微軟的操作系統從Win9X過渡到WinNT系統(包括2000/xp/2003),微軟的任務管理器也一下子“脫胎換骨”,變得“火眼金睛”起來 (在Win9X中,只需要將進程注冊為系統服務就能夠從進程查看器中隱形,可是這一切在WinNT中卻完全不同,無論木馬從端口、啟動文件上如何巧妙地隱藏自己,始終都不能欺騙WinNT的任務管理器),這使得以前在win9X操作系統下靠將進程注冊為系統服務就能夠從任務管理器中隱形的木馬面臨前所未有的危機,所以木馬的開發者及時調整了開發思路,轉入了開發可以躲避WinNT的任務管理器的進程查詢的動態嵌入式DLL木馬。
要弄清楚什么是動態嵌入式DLL木馬,我們必須要先了解Windows系統的另一種“可執行文件”——DLL,DLL是Dynamic Link Library(動態鏈接庫)的縮寫,DLL文件是Windows的基礎,因為所有的API函數都是在DLL中實現的。DLL文件沒有程序邏輯,是由多個功能函數構成,它并不能獨立運行,DLL文件一般都是由進程加載并調用的。
因為DLL文件不能獨立運行,所以在進程列表中并不會出現DLL。所以木馬的開發者就通過編寫動態嵌入式DLL木馬,并且通過別的進程來運行它,那么無論是入侵檢測軟件還是進程列表中,都只會出現那個進程而并不會出現那個DLL木馬。如果那個進程是可信進程(例如資源管理器Explorer.exe),那么就沒人會懷疑DLL文件也是個木馬了。從而木馬就又實現了自己的隱蔽性的功能,所以,預防DLL木馬也是相當重要的。
在WinNT系統,DLL木馬一般都藏在System32目錄下(因為System32是系統文件存放的目錄,里面的文件很多,在里面隱藏當然很方便了),針對這一點我們可以在安裝好系統和必要的應用程序后,對該目錄下的EXE和DLL文件作一次記錄:點擊開始—運行—輸入cmd回車—出現DOS命令行模式—輸入cd\回車,再輸入cd C:\Windows\System32回車,這就轉換目錄到了System32目錄(要還是不知道怎么進入的,請參看DOS的cd命令的使用),輸入命令:dir *.exe>exebackup.txt & dir *.dll>dllbackup.txt回車。
這樣,我們就把System32目錄下所有的exe文件和所有的dll文件都記錄在exebackup.txt和dllbackup.txt里面了。日后如發現系統異常而用傳統的方法又查不出問題時,則要考慮是不是系統中已經潛入了DLL木馬。
這時我們用同樣的方法將System32目錄下的EXE和DLL文件記錄到另外exebackup1.txt和dllbackup1.txt中,然后運行 CMD—fc exebackup.txt exebackup1.txt>different.txt & fc dllbackup.txt dllbackup1.txt>different.txt(使用FC命令比較前后兩次的DLL和EXE文件,并將結果輸入到 different.txt中),這樣我們就能發現一些多出來的DLL和EXE文件,然后通過查看創建時間、版本、是否經過壓縮等就能夠比較容易地判斷出是不是已經被DLL木馬光顧了。
沒有是最好,如果有的話也不要直接刪除掉,可以先把它移到回收站里,若系統沒有異常反應再將之徹底刪除,或者把DLL文件上報給反病毒研究中心檢查。
最后,防治木馬的危害,專家建議大家應采取以下措施:
第一,安裝反病毒軟件和個人防火墻,并及時升級。
第二,把個人防火墻設置好安全等級,防止未知程序向外傳送數據。
第三,使用安全性比較好的瀏覽器和電子郵件客戶端工具。
第四,操作系統的補丁要經常進行更新。
第五,不要隨便打開陌生網友傳送的文件和下載、使用破解軟件。
相信大家只要做好安全防護工作,防治木馬并不是那么可怕的。
木馬通常有兩個可執行程序:一個是客戶端,即控制端,另一個是服務端,即被控制端。木馬的設計者為了防止木馬被發現,而采用多種手段隱藏木馬。木馬的服務一旦運行,電腦就會有一個或幾個端口被打開,黑客就可以利用控制端進入運行了服務端的電腦,甚至可以控制被種者的電腦,所以被種者的安全和個人隱私也就全無保障了!
隨著微軟的操作系統從Win9X過渡到WinNT系統(包括2000/xp/2003),微軟的任務管理器也一下子“脫胎換骨”,變得“火眼金睛”起來 (在Win9X中,只需要將進程注冊為系統服務就能夠從進程查看器中隱形,可是這一切在WinNT中卻完全不同,無論木馬從端口、啟動文件上如何巧妙地隱藏自己,始終都不能欺騙WinNT的任務管理器),這使得以前在win9X操作系統下靠將進程注冊為系統服務就能夠從任務管理器中隱形的木馬面臨前所未有的危機,所以木馬的開發者及時調整了開發思路,轉入了開發可以躲避WinNT的任務管理器的進程查詢的動態嵌入式DLL木馬。
要弄清楚什么是動態嵌入式DLL木馬,我們必須要先了解Windows系統的另一種“可執行文件”——DLL,DLL是Dynamic Link Library(動態鏈接庫)的縮寫,DLL文件是Windows的基礎,因為所有的API函數都是在DLL中實現的。DLL文件沒有程序邏輯,是由多個功能函數構成,它并不能獨立運行,DLL文件一般都是由進程加載并調用的。
因為DLL文件不能獨立運行,所以在進程列表中并不會出現DLL。所以木馬的開發者就通過編寫動態嵌入式DLL木馬,并且通過別的進程來運行它,那么無論是入侵檢測軟件還是進程列表中,都只會出現那個進程而并不會出現那個DLL木馬。如果那個進程是可信進程(例如資源管理器Explorer.exe),那么就沒人會懷疑DLL文件也是個木馬了。從而木馬就又實現了自己的隱蔽性的功能,所以,預防DLL木馬也是相當重要的。
在WinNT系統,DLL木馬一般都藏在System32目錄下(因為System32是系統文件存放的目錄,里面的文件很多,在里面隱藏當然很方便了),針對這一點我們可以在安裝好系統和必要的應用程序后,對該目錄下的EXE和DLL文件作一次記錄:點擊開始—運行—輸入cmd回車—出現DOS命令行模式—輸入cd\回車,再輸入cd C:\Windows\System32回車,這就轉換目錄到了System32目錄(要還是不知道怎么進入的,請參看DOS的cd命令的使用),輸入命令:dir *.exe>exebackup.txt & dir *.dll>dllbackup.txt回車。
這樣,我們就把System32目錄下所有的exe文件和所有的dll文件都記錄在exebackup.txt和dllbackup.txt里面了。日后如發現系統異常而用傳統的方法又查不出問題時,則要考慮是不是系統中已經潛入了DLL木馬。
這時我們用同樣的方法將System32目錄下的EXE和DLL文件記錄到另外exebackup1.txt和dllbackup1.txt中,然后運行 CMD—fc exebackup.txt exebackup1.txt>different.txt & fc dllbackup.txt dllbackup1.txt>different.txt(使用FC命令比較前后兩次的DLL和EXE文件,并將結果輸入到 different.txt中),這樣我們就能發現一些多出來的DLL和EXE文件,然后通過查看創建時間、版本、是否經過壓縮等就能夠比較容易地判斷出是不是已經被DLL木馬光顧了。
沒有是最好,如果有的話也不要直接刪除掉,可以先把它移到回收站里,若系統沒有異常反應再將之徹底刪除,或者把DLL文件上報給反病毒研究中心檢查。
最后,防治木馬的危害,專家建議大家應采取以下措施:
第一,安裝反病毒軟件和個人防火墻,并及時升級。
第二,把個人防火墻設置好安全等級,防止未知程序向外傳送數據。
第三,使用安全性比較好的瀏覽器和電子郵件客戶端工具。
第四,操作系統的補丁要經常進行更新。
第五,不要隨便打開陌生網友傳送的文件和下載、使用破解軟件。
相信大家只要做好安全防護工作,防治木馬并不是那么可怕的。
CC攻擊的思路及防范方法
[ 2007-03-25 03:16:48 | 作者: sun ]
前段時間上海一家游戲娛樂公司的網站遭到了基于頁面請求的DDOS分布式拒絕服務攻擊,網站陷入完全癱瘓狀態,并被黑客的匿名信勒索,金額高達10萬元,而在勒索過程中,這群黑客還表示會對騰訊QQ等網站下手,隨后QQ“服務器維護”幾天。12月5號的時候,全球BitTorrent服務器也受到了很強烈的DDOS攻擊,一度陷入癱瘓。而DDOS攻擊中最流行的也是威力最大的就是基于頁面的DDOS以及將這個攻擊理論發揮得淋漓盡致的攻擊工具CC,本文特邀CC作者和我們共同了解CC的相關攻擊原理和防范方法,希望能讓更多的朋友了解這樣的攻擊方式并能防范它。
很多朋友都知道木桶理論,一桶水的最大容量不是由它最高的地方決定的,而是由它最低的地方決定,服務器也是一樣,服務器的安全性也是由它最脆弱的地方決定的,最脆弱的地方有多危險服務器就有多危險。DDOS也是一樣,只要你的服務器存在一個很耗資源的地方,限制又不夠,就馬上成為別人DDOS的對象。比如SYN-FLOOD,它就是利用服務器的半連接狀態比完全連接狀態更耗資源,而SYN發動方只需要不停的發包,根本不需要多少資源。
一個好的DDOS攻擊必須是通過自己極少資源的消耗帶來對方較大的資源消耗,否則比如ICMP-FLOOD和UDP-FLOOD都必須和別人一樣大的帶寬,對方服務器消耗多少資源自己也得賠上多少資源,效率極其低下,又很容易被人發現,現在基本沒有什么人用了。
攻擊原理
CC主要是用來攻擊頁面的。大家都有這樣的經歷,就是在訪問論壇時,如果這個論壇比較大,訪問的人比較多,打開頁面的速度會比較慢,對不?!一般來說,訪問的人越多,論壇的頁面越多,數據庫就越大,被訪問的頻率也越高,占用的系統資源也就相當可觀,現在知道為什么很多空間服務商都說大家不要上傳論壇,聊天室等東西了吧。
一個靜態頁面不需要服務器多少資源,甚至可以說直接從內存中讀出來發給你就可以了,但是論壇就不一樣了,我看一個帖子,系統需要到數據庫中判斷我是否有讀讀帖子的權限,如果有,就讀出帖子里面的內容,顯示出來——這里至少訪問了2次數據庫,如果數據庫的體積有200MB大小,系統很可能就要在這200MB大小的數據空間搜索一遍,這需要多少的CPU資源和時間?如果我是查找一個關鍵字,那么時間更加可觀,因為前面的搜索可以限定在一個很小的范圍內,比如用戶權限只查用戶表,帖子內容只查帖子表,而且查到就可以馬上停止查詢,而搜索肯定會對所有的數據進行一次判斷,消耗的時間是相當的大。
CC就是充分利用了這個特點,模擬多個用戶(多少線程就是多少用戶)不停的進行訪問(訪問那些需要大量數據操作,就是需要大量CPU時間的頁面)。很多朋友問到,為什么要使用代理呢?因為代理可以有效地隱藏自己的身份,也可以繞開所有的防火墻,因為基本上所有的防火墻都會檢測并發的TCP/IP連接數目,超過一定數目一定頻率就會被認為是Connection-Flood。
使用代理攻擊還能很好的保持連接,我們這里發送了數據,代理幫我們轉發給對方服務器,我們就可以馬上斷開,代理還會繼續保持著和對方連接(我知道的記錄是有人利用2000個代理產生了35萬并發連接)。
可能很多朋友還不能很好的理解,我來描述一下吧。我們假設服務器A對Search.asp的處理時間需要0.01S(多線程只是時間分割,對結論沒有影響),也就是說他一秒可以保證100個用戶的Search請求,服務器允許的最大連接時間為60s,那么我們使用CC模擬120個用戶并發連接,那么經過1分鐘,服務器的被請求了7200次,處理了6000次,于是剩下了1200個并發連接沒有被處理。有的朋友會說:丟連接!丟連接!問題是服務器是按先來后到的順序丟的,這1200個是在最后10秒的時候發起的,想丟?!還早,經過計算,服務器滿負開始丟連接的時候,應該是有7200個并發連接存在隊列,然后服務器開始120個/秒的丟連接,我們發動的連接也是120個/秒,服務器永遠有處理不完的連接,服務器的CPU 100%并長時間保持,然后丟連接的60秒服務器也判斷處理不過來了,新的連接也處理不了,這樣服務器達到了超級繁忙狀態。
我們假設服務器處理Search只用了0.01S,也就是10毫秒(這個速度你可以去各個有開放時間顯示的論壇看看),我們使用的線程也只有120,很多服務器的丟連接時間遠比60S長,我們的使用線程遠比120多,可以想象可怕了吧,而且客戶機只要發送了斷開,連接的保持是代理做的,而且當服務器收到SQL請求,肯定會進入隊列,不論連接是否已經斷開,而且服務器是并發的,不是順序執行,這樣使得更多的請求進入內存請求,對服務器負擔更大。
當然,CC也可以利用這里方法對FTP進行攻擊,也可以實現TCP-FLOOD,這些都是經過測試有效的。
防范方法
說了攻擊原理,大家肯定會問,那么怎么防御?使用硬件防火墻我不知道如何防范,除非你完全屏蔽頁面訪問,我的方法是通過頁面的編寫實現防御。
1、使用Cookie認證。這時候朋友說CC里面也允許Cookie,但是這里的Cookie是所有連接都使用的,所以啟用IP+Cookie認證就可以了。
2、利用Session。這個判斷比Cookie更加方便,不光可以IP認證,還可以防刷新模式,在頁面里判斷刷新,是刷新就不讓它訪問,沒有刷新符號給它刷新符號。給些示范代碼吧,Session:
程序代碼:〈% if session(“refresh”)〈〉 1 then Session(“refresh”)
=session(“refresh”)+1 Response.redirect “index.asp” End if %〉
這樣用戶第一次訪問會使得Refresh=1,第二次訪問,正常,第三次,不讓他訪問了,認為是刷新,可以加上一個時間參數,讓多少時間允許訪問,這樣就限制了耗時間的頁面的訪問,對正常客戶幾乎沒有什么影響。
3、通過代理發送的HTTP_X_FORWARDED_FOR變量來判斷使用代理攻擊機器的真實IP,這招完全可以找到發動攻擊的人,當然,不是所有的代理服務器都發送,但是有很多代理都發送這個參數。詳細代碼:
程序代碼: 〈%
Dim fsoObject
Dim tsObject
dim file
if Request.ServerVariables("HTTP_X_FORWARDED_FOR")="" then
response.write "無代理訪問"
response.end
end if
Set fsoObject = Server.CreateObject("Scripting.FileSystemObject")
file = server.mappath("CCLog.txt")
if not fsoObject.fileexists(file) then
fsoObject.createtextfile file,true,false
end if
set tsObject = fsoObject.OpenTextFile(file,8)
tsObject.Writeline Request.ServerVariables("HTTP_X_FORWARDED_FOR")
&"["&Request.ServerVariables("REMOTE_ADDR")&"]"&now()
Set fsoObject = Nothing
Set tsObject = Nothing
response.write "有代理訪問"
%〉
這樣會生成CCLog.txt,它的記錄格式是:真實IP [代理的IP] 時間,看看哪個真實IP出現的次數多,就知道是誰在攻擊了。將這個代碼做成Conn.asp文件,替代那些連接數據庫的文件,這樣所有的數據庫請求就連接到這個文件上,然后馬上就能發現攻擊的人。
4。 還有一個方法就是把需要對數據查詢的語句做在Redirect后面,讓對方必須先訪問一個判斷頁面,然后Redirect過去。
5。 在存在多站的服務器上,嚴格限制每一個站允許的IP連接數和CPU使用時間,這是一個很有效的方法。
CC的防御要從代碼做起,其實一個好的頁面代碼都應該注意這些東西,還有SQL注入,不光是一個入侵工具,更是一個DDOS缺口,大家都應該在代碼中注意。舉個例子吧,某服務器,開動了5000線的CC攻擊,沒有一點反應,因為它所有的訪問數據庫請求都必須一個隨機參數在Session里面,全是靜態頁面,沒有效果。突然發現它有一個請求會和外面的服務器聯系獲得,需要較長的時間,而且沒有什么認證,開800線攻擊,服務器馬上滿負荷了。
代碼層的防御需要從點點滴滴做起,一個腳本代碼的錯誤,可能帶來的是整個站的影響,甚至是整個服務器的影響,慎之!
