安全是平的 從身份認證與內(nèi)網(wǎng)安全說起
[ 2007-03-25 04:09:21 | 作者: sun ]
《世界是平的》是美國《紐約時報》專欄作家托馬斯·弗里德曼今年最轟動的著作,繼早年的《凌志汽車與橄欖樹》之后,弗里德曼再一次將全球化的平坦之路呈現(xiàn)在全球讀者面前,只不過,這次的主角是IT。
的確,IT產(chǎn)業(yè)將全球供應鏈與市場結(jié)合到一起。記者無意去研究宏觀的IT環(huán)境,不過當記者把全部精力投入到安全上面的時候,有趣的結(jié)果產(chǎn)生了:安全也是平的。
從安全網(wǎng)關(guān)、防火墻、UTM、防病毒、IDS/IPS、VPN,到內(nèi)網(wǎng)身份認證、安全客戶端、安全日志、網(wǎng)管系統(tǒng),看似獨立的安全產(chǎn)品已經(jīng)出現(xiàn)了改變,無論是從早先的安全聯(lián)動、802.1X、還是近期的私有安全協(xié)議、安全與目錄服務整合,都體現(xiàn)出了一個趨勢:安全是密切相連的,是“你中有我,我中有你。”
信息安全的第一要素就是制定“企業(yè)安全規(guī)范”,而這個“安全規(guī)范”恰恰是企業(yè)各部分業(yè)務與各種安全產(chǎn)品的整合,涵蓋了從存儲、業(yè)務傳輸、行為安全、網(wǎng)絡基礎(chǔ)設施、運行安全、系統(tǒng)保護與物理連接的各個層面。
換句話說,安全已經(jīng)不是傳統(tǒng)上的單一設備,或者像某些廠商所講的那種獨立于網(wǎng)絡的設備。事實上,近三年的發(fā)展已經(jīng)證明,日后信息安全將會逐漸以用戶需求的系統(tǒng)方案為核心。而在這套完整的安全方案之內(nèi),各部分都是有機聯(lián)系的,之間呈現(xiàn)一種技術(shù)與需求交織的扁平網(wǎng)狀關(guān)系。
因此當大多數(shù)人還沉迷于“不著邊際”的《藍海戰(zhàn)略》的時候,記者則開始關(guān)注信息安全的平坦化了。同時,為了讓更多的讀者了解信息安全的現(xiàn)狀,記者專門打造了“安全是平的”系列專題,與大家一起研究信息安全的新技術(shù)與新應用。
作為本系列的開篇之作,記者從“身份認證與內(nèi)網(wǎng)安全”入手。這一對密不可分的安全要素,已經(jīng)成為了當前安全界最熱門的話題,很多企業(yè)用戶對于兩者的關(guān)聯(lián)與部署充滿了疑問,而記者也專門咨詢了Cisco、CA、Juniper、神州數(shù)碼網(wǎng)絡、深信服、新華人壽保險集團和福建興業(yè)銀行的IT安全專家,與讀者一起分享其中的心得。
【大勢所趨】從雙因數(shù)認證入手
目前在信息安全界有三大技術(shù)趨勢:第一,可信計算;第二,身份認證與內(nèi)網(wǎng)安全;第三,統(tǒng)一威脅管理(UTM)。根據(jù)IDC在今年1月份的統(tǒng)計報告,目前在身份認證與內(nèi)網(wǎng)安全方面的需求最多。而IDC近期出爐的《2006~2010中國IT安全市場分析與預測》報告則顯示:排名靠前的安全廠商都與身份認證與內(nèi)網(wǎng)安全沾邊。
在身份認證過程中,一般都是基于用戶名和密碼的做法。根據(jù)美國《Network World》今年8月份的調(diào)查結(jié)果,超過60%的企業(yè)已經(jīng)對傳統(tǒng)的認證方式不放心了。
所謂雙因數(shù)認證,是針對傳統(tǒng)身份認證而言的。深信服的安全產(chǎn)品經(jīng)理葉宜斌向記者表示,隨著各種間諜軟件、鍵盤記錄工具的泛濫,企業(yè)的IT人員發(fā)現(xiàn),僅僅依靠用戶名、密碼的單一認證體制非常不安全。而雙因數(shù)認證則基于硬件建權(quán),通過建立證書系統(tǒng)來進行客戶端的認證工作。
另外,采用雙因數(shù)認證還可以保證客戶端登錄網(wǎng)絡的唯一性。神州數(shù)碼網(wǎng)絡的安全產(chǎn)品經(jīng)理王景輝介紹說,安全證書的生成可以提取其他一些信息,比如網(wǎng)卡MAC 地址、客戶端CPU的序列號等。因此當一臺筆記本電腦第一次進入企業(yè)網(wǎng)絡時,第一步是認證系統(tǒng)產(chǎn)生用戶名和密碼,第二步則是系統(tǒng)收集筆記本的特征,進而提取具備唯一性的信息,以便生成一個唯一對應的證書。所有的認證信息都可以導入認證服務器,從而實現(xiàn)對客戶端唯一性登錄的檢查。
根據(jù)美國和中國的統(tǒng)計,超過七成的政府部門都在使用證書系統(tǒng)保證身份認證的安全可靠。此外,大部分網(wǎng)絡銀行服務業(yè)采用了證書模式。
招商銀行的IT專家透露說,目前該行已經(jīng)在專業(yè)版網(wǎng)上銀行系統(tǒng)中采用安全數(shù)字證書,并通過USB Key的方式進行保存。USB Key中存放的是用戶個人的數(shù)字證書,銀行和用戶各有一份公鑰和私鑰,用戶僅需要記憶一個密碼就可以使用。
新華人壽保險集團的IT經(jīng)理向記者表示,USB Key的認證模式在新華人壽已經(jīng)全部實現(xiàn)了,主要還是為日常的OA服務。而該項目的實施方,CA的安全專家介紹說,現(xiàn)在很多大型企業(yè)已經(jīng)開始采用證書系統(tǒng),像新華人壽這樣的企業(yè),對系統(tǒng)數(shù)據(jù)流安全非常關(guān)注,特別是關(guān)注那些很多到桌面、到用戶文件的內(nèi)容。
除了數(shù)字證書,還有一種雙因數(shù)認證方式,即動態(tài)令牌。動態(tài)令牌根據(jù)基于時間的算法,每分鐘都產(chǎn)生一個5-6位的認證串號。在客戶端,用戶通過一個類似電子表的硬件,計算出每分鐘產(chǎn)生的令牌串號。那么用戶登錄系統(tǒng),只要輸入用戶名和相應時間段的串號,就可以安全登錄。
有意思的是,記者發(fā)現(xiàn)很多IT安全廠商自身都在使用動態(tài)令牌技術(shù)。像神州數(shù)碼網(wǎng)絡內(nèi)部的SSL VPN就采用了動態(tài)令牌的安全登錄方式。動態(tài)令牌避免了記憶密碼的過程,其壽命一般為三年。不過動態(tài)令牌由于內(nèi)置了一個相當精確的時鐘,因此成本較高。
【平坦安全】內(nèi)網(wǎng)安全之美
前面講過了,目前安全界的趨勢是平坦化。一套認證系統(tǒng)做的再強大,如果僅僅孤立存在,仍然無法帶來更多的價值。事實上,認證系統(tǒng)越來越成為內(nèi)網(wǎng)安全的一個子系統(tǒng),它確保了企業(yè)網(wǎng)在出現(xiàn)安全問題的時候,內(nèi)網(wǎng)安全機制能夠最終定位到具體的設備或者具體的人員上。
要知道,把安全問題落實到點上是多少年來企業(yè)IT人員的夢想。新華人壽的IT安全負責人向記者表示,以前企業(yè)配置了IDS,結(jié)果一旦網(wǎng)絡出現(xiàn)問題,IDS 就會不停的報警,然后給網(wǎng)管人員發(fā)出一大堆可疑的IP地址信息。網(wǎng)管不是計算機,讓它從一堆IP地址中定位某一臺設備,這簡直是在自虐。
利用認證系統(tǒng),首先就可以保證網(wǎng)絡用戶的真實性與合法性。只有界定了合法用戶的范圍,才有定位的可能性。
目前,不少安全廠商已經(jīng)開始完善自身的內(nèi)網(wǎng)安全技術(shù),并與身份認證系統(tǒng)做到有機結(jié)合。王景輝介紹說,他們已經(jīng)把防水墻(客戶端系統(tǒng))、DCBI認證系統(tǒng)、 IDS、防火墻結(jié)合在一起組成了DCSM內(nèi)網(wǎng)安全管理技術(shù),作為3DSMP技術(shù)的具體化。而在DCSM技術(shù)中,提出了五元素控制:即用戶名、用戶賬號、 IP地址、交換機端口、VLAN綁定在一起,進一步去做訪問控制。
在此基礎(chǔ)上,內(nèi)網(wǎng)安全機制可以根據(jù)IDS/IPS的報警,對用戶進行判斷:比如是否為某個用戶發(fā)動了攻擊?或者某個用戶是否感染了特定的病毒,比如發(fā)現(xiàn)該用戶掃描特定端口號就可以判斷感染了蠕蟲病毒。此時,DCBI控制中心就會進行實時告警。若告警無效,系統(tǒng)就可以阻斷某個用戶的網(wǎng)絡聯(lián)結(jié)。
由于通過完整的認證過程,系統(tǒng)可以知道用戶所在交換機端口和所在的VLAN,封殺就會非常精確。
不難看出,一套安全的認證系統(tǒng),在內(nèi)網(wǎng)安全方案中扮演著網(wǎng)絡準入控制NAC的角色。Cisco的安全工程師介紹,一套完善的認證機制與內(nèi)網(wǎng)安全管理軟件組合在一起,就可以實現(xiàn)豐富的準入控制功能。此外,一般這類管理軟件本身不需要安裝,只要通過服務器進行分發(fā),就可以推給每一臺試圖接入網(wǎng)絡的計算機上。
而Juniper的安全產(chǎn)品經(jīng)理梁小東也表示,把認證系統(tǒng)與內(nèi)網(wǎng)安全系統(tǒng)結(jié)合起來,可以確保總體的網(wǎng)絡設計更加安全。而且通過內(nèi)置的安全協(xié)議,可以最大程度地讓更多的安全產(chǎn)品,如防火墻、IDS/IPS、UTM、VPN等互動起來。而用戶也可以根據(jù)自己的預算和資金情況,選配不同的模塊,具備了安全部署的靈活性。
在采訪的過程中,記者發(fā)現(xiàn)各個安全廠商已經(jīng)在內(nèi)網(wǎng)安全的問題上達成了共識。也許正如王景輝所講的,雖然企業(yè)用戶都擁有完善的基礎(chǔ)設施,包括全套防病毒系統(tǒng),可近兩年的狀況是,病毒大規(guī)模爆發(fā)的次數(shù)不但沒有減少,反而更多了,而且大量安全事件都是從內(nèi)網(wǎng)突破的。
因此總結(jié)起來看,要實現(xiàn)一套完善的內(nèi)網(wǎng)安全機制,第一步就需要一個集中的安全認證;第二步是部署監(jiān)控系統(tǒng)。讓IDS/IPS來監(jiān)控網(wǎng)絡中的行為,去判斷是否存在某種攻擊或者遭遇某種病毒;第三步是具體執(zhí)行。當問題判斷出來以后,讓系統(tǒng)合理地執(zhí)行很重要。傳統(tǒng)上封堵IP的做法,對于現(xiàn)在的攻擊和病毒效果不好,因為現(xiàn)在的攻擊和病毒MAC地址及IP地址都可以變化。因此有效的方式,就是在安全認證通過以后,系統(tǒng)就可以定位到某一個IP的用戶是誰,然后確定相關(guān)事件發(fā)生在哪一個交換機端口上。這樣在采取行動的時候,就可以避免阻斷整個IP子網(wǎng)的情況。此外,通過利用802.1X協(xié)議,整套安全系統(tǒng)可以把交換機也互動起來,這樣就可以更加精確地定位發(fā)生安全事件的客戶機在哪里。
主流安全認證技術(shù)一瞥
屬性 類型 主要特點 應用領(lǐng)域 主要問題
單因數(shù)認證 用戶名密碼體制 靜態(tài)的認證方式,實現(xiàn)簡單 常見于辦公網(wǎng)絡 安全性較差
短信認證 動態(tài)的認證方式,部署方便,成本較低,安全性較高 常用于企業(yè)IT部門或部分金融機構(gòu) 無法與AD結(jié)合
雙因數(shù)認證 數(shù)字證書 安全性很高,可以與AD結(jié)合使用。 常見于金融機構(gòu),政府部門 系統(tǒng)開發(fā)的復雜度高,存在一定的證書安全隱患
動態(tài)令牌 具有最高的安全性,基本不會有單點安全的困擾 IT安全廠商有使用 成本高昂
【精明用戶】混合認證模式
的確,純粹的雙因數(shù)認證對于安全起到了很高的保障作用。但不可否認的是,其帶來的IT管理問題也無法忽視。
美國《Network World》的安全編輯撰文指出,美國很多年營業(yè)額在1.5億到10億美元的中型企業(yè)用戶,很多都不考慮雙因數(shù)認證的問題。因為他們認為,雙因數(shù)認證系統(tǒng)不僅難于配置,而且花費在購買和實施上的資金也較高,特別是其管理和維護的復雜度也過高。
回到國內(nèi),記者發(fā)現(xiàn)類似的問題確實也有不少。這個問題的關(guān)鍵在于,這些中型企業(yè)恰好處于市場的成長期,用戶的賬號像兔子繁殖一樣增加。因此認證需要的安全預算和人力不成正比。在此模式下,部署最安全的雙因數(shù)認證體系固然會給企業(yè)的IT部分增加較大的壓力。
不過,這并不意味著認證安全無法解決。事實上,很多企業(yè)已經(jīng)開始行動了。在此,記者很高興地看到了一種具有中國特色的“混合認證”模式已經(jīng)投入了使用。
顧名思義,“混合認證”就是把傳統(tǒng)的身份認證與雙因數(shù)認證進行了整合,以求獲得最佳性價比。在此,請跟隨記者去看看福建興業(yè)銀行的典型應用。福建興業(yè)銀行在認證系統(tǒng)中,將對人的認證和對機器的認證進行了有機結(jié)合。在OA辦公領(lǐng)域,采用的都是傳統(tǒng)的“用戶名+密碼”的方式,而在分散各地的ATM機器中,采用了雙因數(shù)認證,通過收集ATM機器的序列號與后臺的Radius服務器進行自動無線認證,從而確保了安全監(jiān)管的需求。
“我們通過這種混合認證模式,既保證了OA系統(tǒng)的簡單、高效,同時又在安全的基礎(chǔ)上,降低了企業(yè)網(wǎng)的運營成本。”福建興業(yè)銀行的IT安全負責 人解釋說,“這是把有限的資金用在生產(chǎn)網(wǎng)上。”
對于類似的認證,確實可以確保企業(yè)的安全與利益。神州數(shù)碼網(wǎng)絡的安全產(chǎn)品經(jīng)理顏世峰曾向記者坦言,如果國內(nèi)企業(yè)普遍采用了混合認證模式,那么可以極大地規(guī)范企業(yè)網(wǎng)中的隱性安全問題,包括一些私有設備和無線設備的準入控制,都可以低成本地解決。
事實上,中國特色的模式還不僅如此。葉宜斌曾經(jīng)和記者開玩笑地說道:“在這個世界上,沒有哪個國家的人比中國人更喜歡發(fā)短信了。”因此,利用短信進行安全認證也成為了一大特色。
短信認證的成本很低,客戶端只需要一部手機,服務器端類似一部具備SIM卡的短信群發(fā)機。用戶登錄時用手機接收用戶名和密碼,這種模式甚至可以規(guī)定用戶安全認證的期限。不過葉宜斌也指出,短信認證雖然安全、成本低,但是其無法與企業(yè)目錄服務(AD)進行整合,因此易用性受到挑戰(zhàn)。
【系統(tǒng)整合】平坦概念出爐
近年來,在美國安全界一直有一個困擾:就是如何避免內(nèi)網(wǎng)安全的泥石流問題。所謂泥石流問題,其根源還是多重賬戶密碼現(xiàn)象。要知道,無論是多么完善的認證系統(tǒng),或者認證系統(tǒng)與內(nèi)網(wǎng)安全技術(shù)結(jié)合的多么好,用戶都難以避免多賬戶密碼的輸入問題。
登錄賬戶、密碼,郵件賬戶、密碼,辦公賬戶、密碼等等,還有多賬戶、多密碼的問題已經(jīng)引起企業(yè)IT人員的重視。因為人們難以記憶不同的賬戶名和密碼,而這往往導致安全隱患的出現(xiàn)。事實上,在2004年8月歐洲的InfoSecurity大會期間,有70%的倫敦往返者欣然地和其他在會議中的人士共享他們的登錄信息,其初衷僅僅是為了少記憶一點賬戶名和密碼。
為此,將安全認證、內(nèi)網(wǎng)安全、包括VPN信息中的賬戶密碼統(tǒng)一起來,已經(jīng)是不可忽視的問題了。王景輝介紹說,目前各家廠商都希望將認證系統(tǒng)、內(nèi)網(wǎng)安全設備,包括VPN、UTM等,與企業(yè)的AD整合到一起。他認為,這樣做絕對是一個很好的思路。
因為目前企業(yè)用AD的很多,微軟的產(chǎn)品多,因此安全技術(shù)中的所有模塊都可以進行整合,包括認證系統(tǒng)與AD的深度開發(fā)。在很多情況下,讓企業(yè)的IT人員維護兩套甚至更多的賬號系統(tǒng)一樣也是不現(xiàn)實的,而且相當麻煩。
合理的方法是與用戶既有的認證系統(tǒng)結(jié)合起來,而目前使用最多的就是域賬號。對此,企業(yè)的VPN、動態(tài)VPN包括認證系統(tǒng)都可以使用相同的AD賬戶,從而實現(xiàn)單點登錄(Single Sign On)。
從更大的方面說,整個網(wǎng)絡準入控制階段都可以與AD結(jié)合。正如Cisco的安全工程師所說的,現(xiàn)在的整體安全技術(shù),最起碼都要做到與AD結(jié)合,做到與Radius認證結(jié)合,因為這兩個是最常用的。
有意思的是,根據(jù)美國《Network World》和本報在2005年的統(tǒng)計,無論是中國用戶還是美國用戶,企業(yè)網(wǎng)中部署AD的都相當多,從中也反映出Windows認證的規(guī)模最廣。但要把AD與內(nèi)網(wǎng)安全進行整合,目前最大挑戰(zhàn)在于,安全廠商必須對微軟的產(chǎn)品特別了解,需要一定的技術(shù)支持才能做相應的開發(fā)。
以新華人壽的認證系統(tǒng)為例,傳統(tǒng)的Windows登錄域界面已經(jīng)被修改,新的界面已經(jīng)與后臺AD和企業(yè)郵件系統(tǒng)作了整合,一次登錄就可以實現(xiàn)訪問所有應用。
此外,根據(jù)用戶的具體需求,王景輝表示內(nèi)網(wǎng)安全技術(shù)還可以進一步與LDAP、X.509證書進行結(jié)合。記者了解到,目前國內(nèi)的很多政府部門都在做類似的工作。以河南計生委的安全系統(tǒng)為例。河南計生委的數(shù)字證書都是基于原CA公司的認證系統(tǒng)生成的。因此,他們在部署其他安全設備的時候,不能另起爐灶再搞一套,否則會出現(xiàn)多次認證的問題。這就要求安全廠商需要同原CA廠商合作,一起做認證接口的數(shù)據(jù)交換——安全廠商負責認證信息提交,CA廠商負責認證與返還信息。最后,與CA證書結(jié)合后的安全系統(tǒng)同樣可以實現(xiàn)一次性的三點認證(身份、域、VPN)。
記者注意到,美國《Network World》的安全編輯近期非常熱衷于統(tǒng)一認證管理UIM的概念,他認為將雙因數(shù)認證、企業(yè)中央AD、后臺認證服務器和信任倉庫、以及部分網(wǎng)絡準入控制的模塊整合在一起,就可以形成最完善的UIM體制。
其理由也很簡單—認證幾乎無可避免:很多應用使用權(quán)力分配的、或者所有權(quán)的認證方法和數(shù)據(jù)庫,因此想要利用一個簡單的認證平臺去支持所有的應用幾乎是不可能的。而這正是UIM存在的基礎(chǔ)。
對此,國內(nèi)安全廠商的看法是,UIM很重要,可以解決企業(yè)用戶的認證管理問題,不過從更大的內(nèi)網(wǎng)安全方向看,UIM仍不是全部。顏世峰的看法是,一套完善的內(nèi)網(wǎng)安全技術(shù)至少包括三方面:第一網(wǎng)絡準入控制NAC(也可以算是UIM)。它保證了只有合法的、健康的主機才可以接入網(wǎng)絡,其中包括用戶身份認證與接入設備的準入控制管理;第二,網(wǎng)絡終端管理NTM。它解決企業(yè)辦公終端的易用性、統(tǒng)一管理、終端安全等問題;第三,網(wǎng)絡安全運行管理NSRM。它可以動態(tài)保證網(wǎng)絡設備、網(wǎng)絡線路的安全、穩(wěn)定運行,自動發(fā)現(xiàn)網(wǎng)絡故障、自動解決并報警。
看到了么,一套身份認證系統(tǒng),就牽扯出整個內(nèi)網(wǎng)安全的各個組成部分。現(xiàn)在應該沒有人會懷疑安全的平坦化了,但請記住,平坦才剛剛開始。
編看編想:平坦的安全缺乏標準
安全是平的,但在平坦的技術(shù)中缺乏標準。不論是身份認證還是更加龐大的內(nèi)網(wǎng)安全,各個國家都沒有對應的通用標準。事實上,即便是802.1X協(xié)議,各個安全廠家之間也無法完全通用。
對內(nèi)網(wǎng)安全技術(shù)來說,現(xiàn)在國內(nèi)外沒有一個廠商大到有很強的實力,把不同的專業(yè)安全廠商的產(chǎn)品集成到一起,因此很多還要靠大家一起來做。因此業(yè)界有天融信的TOPSEC,也有CheckPoint的OPSEC,也有神州數(shù)碼自己定義的協(xié)議SOAP。
業(yè)界需要標準,但是沒有。王景輝無奈地向記者表示,各家廠商不得不定義自己的通信接口和密鑰協(xié)商機制,其中還要確保協(xié)議隧道中的所有數(shù)據(jù)都是加密的。不過他同時認為,目前的狀態(tài)可以滿足市場需求。
記得有印象,早在2000年就有人提出統(tǒng)一安全標準的問題,但是做不到。退一步說,目前安全市場的趨勢是變化和更新速度非常快。開發(fā)一個安全協(xié)議要考慮保護用戶現(xiàn)有和既有的投資,要讓過去的設備能用起來。但現(xiàn)在的情況是,還沒有等協(xié)議出來,過去的設備已經(jīng)過時了,從這個角度上說,統(tǒng)一所有廠家的安全協(xié)議沒有價值。
而且,各國政府在安全上是有自己的想法的,國際廠商出一個協(xié)議,不一定能夠認同。
黑客Web欺騙的工作原理和解決方案
[ 2007-03-25 04:08:54 | 作者: sun ]
前言
本文描述Internet上的一種安全攻擊,它可能侵害到WWW用戶的隱私和數(shù)據(jù)完整性。這種攻擊可以在現(xiàn)有的系統(tǒng)上實現(xiàn),危害最普通的Web瀏覽器用戶,包括Netscape Navigator和Microsoft Internet Explorer用戶。
允許攻擊者創(chuàng)造整個WWW世界的影像拷貝。影像Web的入口進入到攻擊者的Web服務器,經(jīng)過攻擊者機器的過濾作用,允許攻擊者監(jiān)控受攻擊者的任何活動,包括帳戶和口令。攻擊者也能以受攻擊者的名義將錯誤或者易于誤解的數(shù)據(jù)發(fā)送到真正的Web服務器,以及以任何Web服務器的名義發(fā)送數(shù)據(jù)給受攻擊者。簡而言之,攻擊者觀察和控制著受攻擊者在Web上做的每一件事。
欺騙攻擊
在一次欺騙攻擊中,攻擊者創(chuàng)造一個易于誤解的上下文環(huán)境,以誘使受攻擊者進入并且做出缺乏安全考慮的決策。欺騙攻擊就像是一場虛擬游戲:攻擊者在受攻擊者的周圍建立起一個錯誤但是令人信服的世界。如果該虛擬世界是真實的話,那么受攻擊者所做的一切都是無可厚非的。但遺憾的是,在錯誤的世界中似乎是合理的活動可能會在現(xiàn)實的世界中導致災難性的后果。
欺騙攻擊在現(xiàn)實的電子交易中也是常見的現(xiàn)象。例如,我們曾經(jīng)聽說過這樣的事情:一些西方罪犯分子在公共場合建立起虛假的ATM取款機,該種機器可以接受ATM卡,并且會詢問用戶的PIN密碼。一旦該種機器獲得受攻擊者的PIN密碼,它會要么“吃卡”,要么反饋“故障”,并返回ATM卡。不論哪一種情況,罪犯都會獲得足夠的信息,以復制出一個完全一樣的ATM卡。后面的事情大家可想而知了。在這些攻擊中,人們往往被所看到的事物所愚弄:ATM取款機所處的位置,它們的外形和裝飾,以及電子顯示屏的內(nèi)容等等。
人們利用計算機系統(tǒng)完成具有安全要求的決策時往往也是基于其所見。例如,在訪問網(wǎng)上銀行時,你可能根據(jù)你所見的銀行Web頁面,從該行的帳戶中提取或存入一定數(shù)量的存款。因為你相信你所訪問的Web頁面就是你所需要的銀行的Web頁面。無論是頁面的外觀、URL地址,還是其他一些相關(guān)內(nèi)容,都讓你感到非常熟悉,沒有理由不相信。但是,你很可能是在被愚弄。
Web欺騙的欺騙手段
TCP和DNS欺騙
除了我們將要討論的欺騙手段外,還有一些其他手段,在這里我們將不做討論。這種攻擊的例子包括TCP欺騙(在TCP包中使用偽造的IP地址)以及DNS欺騙(攻擊者偽造關(guān)于機器名稱和網(wǎng)絡信息)。讀者有興趣可以閱讀有關(guān)資料。
Web欺騙
Web欺騙是一種電子信息欺騙,攻擊者在其中創(chuàng)造了整個Web世界的一個令人信服但是完全錯誤的拷貝。錯誤的Web看起來十分逼真,它擁有相同的網(wǎng)頁和鏈接。然而,攻擊者控制著錯誤的Web站點,這樣受攻擊者瀏覽器和Web之間的所有網(wǎng)絡信息完全被攻擊者所截獲,其工作原理就好像是一個過濾器。
后果
由于攻擊者可以觀察或者修改任何從受攻擊者到Web服務器的信息;同樣地,也控制著從Web服務器至受攻擊者的返回數(shù)據(jù),這樣攻擊者就有許多發(fā)起攻擊的可能性,包括監(jiān)視和破壞。
攻擊者能夠監(jiān)視受攻擊者的網(wǎng)絡信息,記錄他們訪問的網(wǎng)頁和內(nèi)容。當受攻擊者填寫完一個表單并發(fā)送后,這些數(shù)據(jù)將被傳送到Web服務器,Web服務器將返回必要的信息,但不幸的是,攻擊者完全可以截獲并加以使用。大家都知道絕大部分在線公司都是使用表單來完成業(yè)務的,這意味著攻擊者可以獲得用戶的帳戶和密碼。下面我們將看到,即使受攻擊者有一個“安全”連接(通常是通過Secure Sockets Layer來實現(xiàn)的,用戶的瀏覽器會顯示一把鎖或鑰匙來表示處于安全連接),也無法逃脫被監(jiān)視的命運。
在得到必要的數(shù)據(jù)后,攻擊者可以通過修改受攻擊者和Web服務器之間任何一個方向上的數(shù)據(jù),來進行某些破壞活動。攻擊者修改受攻擊者的確認數(shù)據(jù),例如,如果受攻擊者在線訂購某個產(chǎn)品時,攻擊者可以修改產(chǎn)品代碼,數(shù)量或者郵購地址等等。攻擊者也能修改被Web服務器所返回的數(shù)據(jù),例如,插入易于誤解或者攻擊性的資料,破壞用戶和在線公司的關(guān)系等等。
欺騙整個Web世界
你可能認為攻擊者欺騙整個Web世界是不可能的,但是恰恰相反,攻擊者不必存儲整個Web世界的內(nèi)容,他只需要制造出一條通向整個Web世界的鏈路。當他需要提供關(guān)于某個Web站點的錯誤Web頁面時,他只需要在自己的服務器上建立一個該站點的拷貝,由此等待受害者自投羅網(wǎng)。
Web欺騙的工作原理
欺騙能夠成功的關(guān)鍵是在受攻擊者和其他Web服務器之間設立起攻擊者的Web服務器,這種攻擊種類在安全問題中稱為“來自中間的攻擊”。為了建立起這樣的中間Web服務器,黑客往往進行以下工作。
改寫URL
首先,攻擊者改寫Web頁中的所有URL地址,這樣它們指向了攻擊者的Web服務器而不是真正的Web服務器。假設攻擊者所處的Web服務器是 www.org ,攻擊者通過在所有鏈接前增加 http://www.www.org 來改寫URL。例如,http://home.xxx1.com 將變?yōu)?http://www.www.org/http://home.xxx1.com. 當用戶點擊改寫過的http://home.xxx1.com (可能它仍然顯示的是 http://home.xxx1 ),將進入的是http://www.www.org ,然后由 http://www.www.org 向 ttp://home.xxx1.com發(fā)出請求并獲得真正的文檔,然后改寫文檔中的所有鏈接,最后經(jīng)過 http://www.www.org 返回給用戶的瀏覽器。工作流程如下所示:
1.用戶點擊經(jīng)過改寫后的 http://www.www.org/http://home.xxx1.com ;
2.http://www.www.org向http://home.xxx1.com 請求文檔;
3.http://home.xxx1.com向http://www.www.org 返回文檔;
4.http://www.www.org 改寫文檔中的所有URL;
5.http://www.www.org 向用戶返回改寫后的文檔。
很顯然,修改過的文檔中的所有URL都指向了 www.org ,當用戶點擊任何一個鏈接都會直接進入 www.org ,而不會直接進入真正的URL。如果用戶由此依次進入其他網(wǎng)頁,那么他們是永遠不會擺脫掉受攻擊的可能。
如果受攻擊者填寫了一個錯誤Web上的表單,那么結(jié)果看來似乎會很正常,因為只要遵循標準的Web協(xié)議,表單欺騙很自然地不會被察覺:表單的確定信息被編碼到URL中,內(nèi)容會以HTML形式來返回。既然前面的URL都已經(jīng)得到了改寫,那么表單欺騙將是很自然的事情。
當受攻擊者提交表單后,所提交的數(shù)據(jù)進入了攻擊者的服務器。攻擊者的服務器能夠觀察,甚至是修改所提交的數(shù)據(jù)。同樣地,在得到真正的服務器返回信息后,攻擊者在將其向受攻擊者返回以前也可以為所欲為。
關(guān)于“安全連接”
我們都知道為了提高Web應用的安全性,有人提出了一種叫做安全連接的概念。它是在用戶瀏覽器和Web服務器之間建立一種基于SSL的安全連接。可是讓人感到遺憾的是,它在Web欺騙中基本上無所作為。受攻擊者可以和Web欺騙中所提供的錯誤網(wǎng)頁建立起一個看似正常的“安全連接”:網(wǎng)頁的文檔可以正常地傳輸而且作為安全連接標志的圖形(通常是關(guān)閉的一把鑰匙或者鎖)依然工作正常。換句話說,也就是瀏覽器提供給用戶的感覺是一種安全可靠的連接。但正像我們前面所提到的那樣,此時的安全連接是建立在 www.org 而非用戶所希望的站點。
攻擊的導火索
為了開始攻擊,攻擊者必須以某種方式引誘受攻擊者進入攻擊者所創(chuàng)造的錯誤的Web。黑客往往使用下面若干種方法。
1.把錯誤的Web鏈接放到一個熱門Web站點上;
2.如果受攻擊者使用基于Web的郵件,那么可以將它指向錯誤的Web;
3.創(chuàng)建錯誤的Web索引,指示給搜索引擎。
Web欺騙的細節(jié)完善
前面描述的攻擊相當有效,但是它還不是十分完美的。黑客往往還要創(chuàng)造一個可信的環(huán)境,包括各類圖標、文字、鏈接等,提供給受攻擊者各種各樣的十分可信的暗示。總之就是隱藏一切尾巴。此時,如果錯誤的Web是富有敵意的,那么無辜的用戶將處于十分危險的境地。
另外,黑客還會注意以下方面。
1. 狀態(tài)線路
連接狀態(tài)是位于瀏覽器底部的提示信息,它提示當前連接的各類信息。Web欺騙中涉及兩類信息。首先,當鼠標放置在Web鏈接上時,連接狀態(tài)顯示鏈接所指的URL地址,這樣,受攻擊者可能會注意到重寫的URL地址。第二,當Web連接成功時,連接狀態(tài)將顯示所連接的服務器名稱。這樣,受攻擊者可以注意到顯示 www.org,而非自己所希望的站點。
攻擊者能夠通過javascript編程來彌補這兩項不足。由于javascript能夠?qū)B接狀態(tài)進行寫操作,而且可以將javascript操作與特定事件綁定在一起,所以,攻擊者完全可以將改寫的URL狀態(tài)恢復為改寫前的狀態(tài)。這樣Web欺騙將更為可信。
2. 位置狀態(tài)行
瀏覽器的位置狀態(tài)行顯示當前所處的URL位置,用戶也可以在其中鍵入新的URL地址進入到另外的URL,如果不進行必要的更改,此時URL會暴露出改寫后的URL。同樣地,利用javascript可以隱藏掉改寫后的URL。javascript能用不真實的URL掩蓋真實的URL,也能夠接受用戶的鍵盤輸入,并將之改寫,進入不正確的URL。
Web欺騙的弱點
盡管黑客在進行Web欺騙時已絞盡腦汁,但是還是留有一些不足。
文檔信息
攻擊者并不是不留絲毫痕跡,HTML源文件就是開啟欺騙迷宮的鑰匙。攻擊者對其無能為力。通過使用瀏覽器中“viewsource”命令,用戶能夠閱讀當前的HTML源文件。通過閱讀HTML源文件,可以發(fā)現(xiàn)被改寫的URL,因此可以覺察到攻擊。遺憾的是,對于初學者而言,HTML源文件實在是有些難懂。
通過使用瀏覽器中“view document information”命令,用戶能夠閱讀當前URL地址的一些信息。可喜的是這里提供的是真實的URL地址,因此用戶能夠很容易判斷出Web欺騙。不過,絕大多數(shù)用戶都很少注意以上一些屬性,可以說潛在的危險還是存在的。
Web欺騙的預防解決
逃離災難
受攻擊者可以自覺與不自覺地離開攻擊者的錯誤Web頁面。這里有若干種方法。訪問Bookmark或使用瀏覽器中提供的“Open location”進入其他Web頁面,離開攻擊者所設下的陷阱。不過,如果用戶使用“Back”按鍵,則會重新進入原先的錯誤Web頁面。當然,如果用戶將所訪問的錯誤Web存入Bookmark,那么下次可能會直接進入攻擊者所設下的陷阱。
關(guān)于追蹤攻擊者
有人建議應當通過跟蹤來發(fā)現(xiàn)并處罰攻擊者。確實如此,攻擊者如果想進行Web欺騙的話,那么離不開Web服務器的幫助。但是,他們利用的Web服務器很可能是被攻擊后的產(chǎn)物,就象罪犯駕駛著盜竊來的汽車去作案一樣。
預防辦法
Web欺騙是當今Internet上具有相當危險性而不易被察覺的欺騙手法。幸運的是,我們可以采取的一些保護辦法。
短期的解決方案
為了取得短期的效果,最好從下面三方面來預防:
1.禁止瀏覽器中的javascript功能,那么各類改寫信息將原形畢露;
2.確保瀏覽器的連接狀態(tài)是可見的,它將給你提供當前位置的各類信息;
3.時刻注意你所點擊的URL鏈接會在位置狀態(tài)行中得到正確的顯示。
現(xiàn)在,javascript、ActiveX以及Java提供越來越豐富和強大的功能,而且越來越為黑客們進行攻擊活動提供了強大的手段。為了保證安全,建議用戶考慮禁止這些功能。
這樣做,用戶將損失一些功能,但是與可能帶來的后果比較起來,每個人會得出自己的結(jié)論。
長期的解決方案
1.改變?yōu)g覽器,使之具有反映真實URL信息的功能,而不會被蒙蔽;
2.對于通過安全連接建立的Web——瀏覽器對話,瀏覽器還應該告訴用戶誰在另一端,而不只是表明一種安全連接的狀態(tài)。比如:在建立了安全連接后,給出一個提示信息“NetscapeInc.”等等。
所有的解決方案,可以根據(jù)用戶的安全要求和實際條件來加以選擇。
妙用“IP地址沖突”揪出害群之馬
[ 2007-03-25 04:08:41 | 作者: sun ]
對網(wǎng)絡管理員或用戶來說,發(fā)生“IP地址沖突”是不受歡迎的事情,因為在一個網(wǎng)絡中,每個主機(嚴格來說是網(wǎng)絡接口)都應該有唯一的一個IP地址,如果出現(xiàn)2個或兩個以上主機使用相同的IP地址,這些使用相同IP地址的主機屏幕會彈出對話框報告IP地址沖突
這將導致這些使用相同IP的機器不能正常訪問網(wǎng)絡。但是,前幾天筆者卻用這個有如雞肋的功能幫了一個大忙。是怎么一回事呢?聽我慢慢道來。
本月12號那天,我被派到月壇大廈的客服部門處理網(wǎng)路故障。經(jīng)初步診斷,發(fā)現(xiàn)網(wǎng)絡時斷時續(xù),重啟網(wǎng)關(guān)的話,能夠正常好一會,過一段時間后就不靈了。這是一個十分簡單的網(wǎng)絡:一條外網(wǎng)網(wǎng)線進來,接入一臺運行FreeBSD的網(wǎng)關(guān)(做NAT用),網(wǎng)關(guān)機的另外一個網(wǎng)絡接口接交換機,客戶端全部接2個在交換機上,同時,網(wǎng)關(guān)機提供DHCP服務,所有的客戶機使用DHCP自動獲取IP。首先,我得確定故障發(fā)生在那里;重啟網(wǎng)關(guān),發(fā)現(xiàn)客戶機能正常上網(wǎng),但網(wǎng)關(guān)馬上提示DHCP請求超時的報警,除此而外看不出什么端倪,去客戶端查IP,發(fā)現(xiàn)獲取的IP地址正常,于是又懷疑是不是交換機有問題,等一會,發(fā)現(xiàn)故障又出現(xiàn)了,重啟一下交換機,網(wǎng)絡又正常了問題到底在哪里呢?一下犯暈了。
整理了一下思路,然后找了一臺客戶機(客戶機全是windows),先ping一下網(wǎng)關(guān),發(fā)現(xiàn)居然ping不通,ping網(wǎng)內(nèi)的另外一臺機器則正常,重啟網(wǎng)關(guān)再用客戶機ping 網(wǎng)關(guān)則正常,毫無疑問,網(wǎng)絡中了ARP欺騙病毒了。進系統(tǒng)目錄,發(fā)現(xiàn)c:下有幾個異常的文件,該名某個文件,居然不讓操作,運行命令 arp –a 發(fā)現(xiàn)多行arp請求,看來是病毒引起的網(wǎng)絡堵塞故障。不能把所有的機器都與網(wǎng)絡段掉,當務之急是先找出當前正在作崇的主機然后隔離處理。
怎么辨別是網(wǎng)絡中那臺主機中毒厲害呢?網(wǎng)上已經(jīng)有很多不錯的辦法。有人建議用抓包工具,然后分析抓到的包信息來確認中毒的主機,然而我手里沒有任何抓包工具,看來只好自己想招了。經(jīng)過摸索,總結(jié)了下面一些行之有效的辦法,供大家參考!
在客戶機運行路由跟蹤命令如 tracert –d www.163.com,馬上就發(fā)現(xiàn)第一條不是網(wǎng)關(guān)機的內(nèi)網(wǎng)ip,而是本網(wǎng)段內(nèi)的另外一臺機器的IP,再下一跳才是網(wǎng)關(guān)的內(nèi)網(wǎng)IP;正常情況是路由跟蹤執(zhí)行后的輸出第一條應該是默認網(wǎng)關(guān)地址,由此判定第一跳的那個非網(wǎng)關(guān)IP 地址的主機就是罪魁禍首。
問題又出來了,由于網(wǎng)內(nèi)的主機IP地址是通過DHCP自動獲取來的,怎么找出這個主機又是一個難題,幾十個機器,挨個用 ipconfig/all查非累死不可,怎么辦?得走捷徑才行。突然之間冒出一個念頭:設置一個與查出來的中毒主機相同的IP地址,然后…..,接下來,找一臺客戶端機器,查一下其自動獲取的IP地址,沒有那么幸運-這臺機器不是要揪出來的那個IP,然后把這個主機的”自動獲取IP地址”取消,手動設置機器的IP與有病毒的那個IP相同,設置生效后就聽見一個妹妹嚷道:“我的IP地址怎么跟別人沖突了呢?”,殊不知,我要找的就是你呢!把妹妹的主機隔離網(wǎng)絡,其他的機器上網(wǎng)立馬就順暢了。
處理arp病毒的操作我想大家都應該有經(jīng)驗了,在這里就不再多羅嗦。
簡單總結(jié)一下,其主要步驟有兩步:1、運行 tracert –d www.163.com 找出作崇的主機IP地址。 2、設置與作崇主機相同的IP,然后造成IP地址沖突,使中毒主機報警然后找到這個主機。
這將導致這些使用相同IP的機器不能正常訪問網(wǎng)絡。但是,前幾天筆者卻用這個有如雞肋的功能幫了一個大忙。是怎么一回事呢?聽我慢慢道來。
本月12號那天,我被派到月壇大廈的客服部門處理網(wǎng)路故障。經(jīng)初步診斷,發(fā)現(xiàn)網(wǎng)絡時斷時續(xù),重啟網(wǎng)關(guān)的話,能夠正常好一會,過一段時間后就不靈了。這是一個十分簡單的網(wǎng)絡:一條外網(wǎng)網(wǎng)線進來,接入一臺運行FreeBSD的網(wǎng)關(guān)(做NAT用),網(wǎng)關(guān)機的另外一個網(wǎng)絡接口接交換機,客戶端全部接2個在交換機上,同時,網(wǎng)關(guān)機提供DHCP服務,所有的客戶機使用DHCP自動獲取IP。首先,我得確定故障發(fā)生在那里;重啟網(wǎng)關(guān),發(fā)現(xiàn)客戶機能正常上網(wǎng),但網(wǎng)關(guān)馬上提示DHCP請求超時的報警,除此而外看不出什么端倪,去客戶端查IP,發(fā)現(xiàn)獲取的IP地址正常,于是又懷疑是不是交換機有問題,等一會,發(fā)現(xiàn)故障又出現(xiàn)了,重啟一下交換機,網(wǎng)絡又正常了問題到底在哪里呢?一下犯暈了。
整理了一下思路,然后找了一臺客戶機(客戶機全是windows),先ping一下網(wǎng)關(guān),發(fā)現(xiàn)居然ping不通,ping網(wǎng)內(nèi)的另外一臺機器則正常,重啟網(wǎng)關(guān)再用客戶機ping 網(wǎng)關(guān)則正常,毫無疑問,網(wǎng)絡中了ARP欺騙病毒了。進系統(tǒng)目錄,發(fā)現(xiàn)c:下有幾個異常的文件,該名某個文件,居然不讓操作,運行命令 arp –a 發(fā)現(xiàn)多行arp請求,看來是病毒引起的網(wǎng)絡堵塞故障。不能把所有的機器都與網(wǎng)絡段掉,當務之急是先找出當前正在作崇的主機然后隔離處理。
怎么辨別是網(wǎng)絡中那臺主機中毒厲害呢?網(wǎng)上已經(jīng)有很多不錯的辦法。有人建議用抓包工具,然后分析抓到的包信息來確認中毒的主機,然而我手里沒有任何抓包工具,看來只好自己想招了。經(jīng)過摸索,總結(jié)了下面一些行之有效的辦法,供大家參考!
在客戶機運行路由跟蹤命令如 tracert –d www.163.com,馬上就發(fā)現(xiàn)第一條不是網(wǎng)關(guān)機的內(nèi)網(wǎng)ip,而是本網(wǎng)段內(nèi)的另外一臺機器的IP,再下一跳才是網(wǎng)關(guān)的內(nèi)網(wǎng)IP;正常情況是路由跟蹤執(zhí)行后的輸出第一條應該是默認網(wǎng)關(guān)地址,由此判定第一跳的那個非網(wǎng)關(guān)IP 地址的主機就是罪魁禍首。
問題又出來了,由于網(wǎng)內(nèi)的主機IP地址是通過DHCP自動獲取來的,怎么找出這個主機又是一個難題,幾十個機器,挨個用 ipconfig/all查非累死不可,怎么辦?得走捷徑才行。突然之間冒出一個念頭:設置一個與查出來的中毒主機相同的IP地址,然后…..,接下來,找一臺客戶端機器,查一下其自動獲取的IP地址,沒有那么幸運-這臺機器不是要揪出來的那個IP,然后把這個主機的”自動獲取IP地址”取消,手動設置機器的IP與有病毒的那個IP相同,設置生效后就聽見一個妹妹嚷道:“我的IP地址怎么跟別人沖突了呢?”,殊不知,我要找的就是你呢!把妹妹的主機隔離網(wǎng)絡,其他的機器上網(wǎng)立馬就順暢了。
處理arp病毒的操作我想大家都應該有經(jīng)驗了,在這里就不再多羅嗦。
簡單總結(jié)一下,其主要步驟有兩步:1、運行 tracert –d www.163.com 找出作崇的主機IP地址。 2、設置與作崇主機相同的IP,然后造成IP地址沖突,使中毒主機報警然后找到這個主機。
安全小妙招 WinRAR硬盤“清毒”絕技
[ 2007-03-25 04:08:24 | 作者: sun ]
筆者的電腦最近在使用時出現(xiàn)一個怪現(xiàn)象,雙擊D盤無法直接打開(其他盤符均正常),總是彈出窗口提示“找不到pagefile.pif,指定位置”, 因此每次只有通過右鍵的“打開”菜單來打開,而仔細查看右鍵菜單發(fā)現(xiàn)里面多了一個“自動播放”的項目。
故障分析:上網(wǎng)搜索了一下,根據(jù)查到的資料基本上可以確定筆者是在瀏覽網(wǎng)頁或傳輸文件的過程中中木馬毒引起的。于是筆者開啟殺毒軟件NOD32(已經(jīng)升級到最新版本)對硬盤進行了一次深度殺毒,奇怪的是一個病毒也沒有找到。由于本人每天都進行病毒掃描,估計病毒早已經(jīng)被本人殺掉了。根據(jù)查到的資料分析,很可能是病毒在D盤殘留了一個文件autorun.inf(某些病毒便常常借助此文件在電腦中自動運行),但它本身并無病毒特征,殺毒軟件殺毒時未能將它徹底清除干凈,但它殘留后卻給電腦帶來了后遺癥——導致硬盤無法正常打開。
故障解決:由于autorun.inf是一個隱藏較深的文件,當筆者將文件夾選項中的選項選擇為“顯示所有文件和文件夾”也沒能在D盤發(fā)現(xiàn)此文件的身影,所以在這里筆者將巧妙地利用最常用的WinRAR來進行清除。首先運行WinRAR軟件,在界面中我們點擊地址欄右側(cè)下拉列表,將路徑切換到D盤根目錄,這個時候我們發(fā)現(xiàn)D盤下面的隱藏文件“autorun.inf”終于出現(xiàn)了,不用多說了,在文件上點右鍵選擇“刪除文件”。現(xiàn)在試一下,D盤果然可以正常打開了。不過還沒完,下面別忘了清除注冊表項目,打開注冊表,查找“pagefile.pif”內(nèi)容,找到一個shell鍵,其下級的鍵值為“D:pagefile.pif”,將此鍵刪除,至此病毒殘留清理完畢。
安全防御四步走 校園網(wǎng)安全經(jīng)驗談
[ 2007-03-25 04:08:13 | 作者: sun ]
隨著高校信息化進程的推進,高校校園網(wǎng)上運行的應用系統(tǒng)越來越多,信息系統(tǒng)變得越來越龐大和復雜。從結(jié)構(gòu)上分析,校園網(wǎng)總體上分為校園內(nèi)網(wǎng)和校園外網(wǎng)。校園內(nèi)網(wǎng)主要包括教學局域網(wǎng)、圖書館局域網(wǎng)、辦公自動化局域網(wǎng)等。校園外網(wǎng)主要指學校提供對外服務的服務器群、與Internet的接入以及遠程移動辦公用戶的接入等。校園網(wǎng)的服務器群構(gòu)成了校園網(wǎng)的服務系統(tǒng),主要包括DNS、Web、FTP、Proxy、視頻點播以及Mail服務等。外部網(wǎng)主要實現(xiàn)校園網(wǎng)與Internet的基礎(chǔ)接入。
安全隱患多且復雜
校園網(wǎng)絡存在的安全隱患和漏洞主要有以下幾個方面:
第一,校園網(wǎng)與Internet相連,在享受Internet方便快捷的同時,也面臨著遭遇攻擊的風險。
第二,校園網(wǎng)內(nèi)部也存在很大的安全隱患。由于內(nèi)部用戶對網(wǎng)絡的結(jié)構(gòu)和應用模式都比較了解,因此來自內(nèi)部的安全威脅會更大一些。
第三,目前使用的操作系統(tǒng)存在安全漏洞,對網(wǎng)絡安全構(gòu)成了威脅。網(wǎng)絡服務器安裝的操作系統(tǒng)有Windows NT/2000、UNIX、Linux等,這些系統(tǒng)安全風險級別不同,例如Windows NT/2000的普遍性和可操作性使它成為最不安全的系統(tǒng):自身安全漏洞、瀏覽器的漏洞、IIS的漏洞、病毒木馬等。
第四,隨著校園內(nèi)計算機應用的大范圍普及,接入校園網(wǎng)的節(jié)點數(shù)日益增多,而這些節(jié)點大部分都沒有采取安全防護措施,隨時有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡被攻擊、系統(tǒng)癱瘓等嚴重后果。
第五,內(nèi)部用戶對Internet的非法訪問威脅,如瀏覽黃色、暴力、反動等網(wǎng)站,以及由于下載文件可能將木馬、蠕蟲、病毒等程序帶入校園內(nèi)網(wǎng);內(nèi)外網(wǎng)惡意用戶可能利用利用一些工具對網(wǎng)絡及服務器發(fā)起DoS/DDoS攻擊,導致網(wǎng)絡及服務不可用;校園網(wǎng)內(nèi)針對QQ的黑客程序隨處可見。
第六,可能會因為校園網(wǎng)內(nèi)管理人員以及全體師生的安全意識不強、管理制度不健全,帶來校園網(wǎng)的威脅。
上述分析的幾點是當今校園網(wǎng)普遍面臨的安全隱患。特別是近年來,隨著學生宿舍、教職工家屬等接入校園網(wǎng)后,網(wǎng)絡規(guī)模急劇增大。對此,一套安全的防護體系頗為重要。
安全防御四步走
根據(jù)以上分析。可以確定以下幾個必須考慮的安全防護要點:網(wǎng)絡安全隔離、網(wǎng)絡監(jiān)控措施、網(wǎng)絡安全漏洞掃描、網(wǎng)絡病毒的防范等。
防火墻部署
防火墻是網(wǎng)絡安全的屏障。一個防火墻(作為阻塞點、控制點)能極大地提高一個內(nèi)部網(wǎng)絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻,所以網(wǎng)絡環(huán)境變得更安全。在防火墻設置上我們按照以下原則配置來提高網(wǎng)絡安全性:
第一,根據(jù)校園網(wǎng)安全策略和安全目標,規(guī)劃設置正確的安全過濾規(guī)則,規(guī)則審核IP數(shù)據(jù)包的內(nèi)容包括:協(xié)議、端口、源地址、目的地址、流向等項目,嚴格禁止來自公網(wǎng)對校園內(nèi)部網(wǎng)不必要的、非法的訪問。總體上遵從“不被允許的服務就是被禁止”的原則。
第二,將防火墻配置成過濾掉以內(nèi)部網(wǎng)絡地址進入路由器的IP包,這樣可以防范源地址假冒和源路由類型的攻擊;過濾掉以非法IP地址離開內(nèi)部網(wǎng)絡的IP包,防止內(nèi)部網(wǎng)絡發(fā)起的對外攻擊。
第三,在防火墻上建立內(nèi)網(wǎng)計算機的IP地址和MAC地址的對應表,防止IP地址被盜用。
第四,在局域網(wǎng)的入口架設千兆防火墻,并實現(xiàn)VPN的功能,在校園網(wǎng)絡入口處建立第一層的安全屏障,VPN保證了管理員在家里或出差時能夠安全接入數(shù)據(jù)中心。
第五,定期查看防火墻訪問日志,及時發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。
第六,允許通過配置網(wǎng)卡對防火墻設置,提高防火墻管理安全性。
架設入侵監(jiān)測系統(tǒng)(IDS)
架設一個入侵監(jiān)測系統(tǒng)(IDS)是非常必要的,處于防火墻之后對網(wǎng)絡活動進行實時檢測。許多情況下,由于可以記錄和禁止網(wǎng)絡活動,所以入侵監(jiān)測系統(tǒng)是防火墻的延續(xù)。它們可以和你的防火墻和路由器配合工作。
IDS掃描當前網(wǎng)絡的活動,監(jiān)視和記錄網(wǎng)絡的流量,根據(jù)定義好的規(guī)則來過濾從主機網(wǎng)卡到網(wǎng)線上的流量,提供實時報警。IDS是被動的,它監(jiān)測你的網(wǎng)絡上所有的數(shù)據(jù)包。其目的就是撲捉危險或有惡意動作的信息包。IDS是按你指定的規(guī)則運行的,記錄是龐大的,所以我們必須制定合適的規(guī)則對他進行正確的配置,如果IDS沒有正確的配置,其效果如同沒有一樣。IDS能夠幫助系統(tǒng)對付網(wǎng)絡攻擊,擴展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、攻擊識別和響應),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。
漏洞掃描系統(tǒng)
采用先進的漏洞掃描系統(tǒng)定期對工作站、服務器、交換機等進行安全檢查,并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供詳細可靠的安全性分析報告,為提高網(wǎng)絡安全整體水平產(chǎn)生重要依據(jù)。
要求每臺主機系統(tǒng)必須正確配置,為操作系統(tǒng)打夠補丁、保護好自己的密碼、關(guān)閉不需要打開的端口,例如:如果主機不提供諸如FTP、HTTP等公共服務,盡量關(guān)閉它們。
部署網(wǎng)絡版殺毒軟件
最理想的狀況是在整個局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作,為了實現(xiàn)這一點,應該在整個網(wǎng)絡內(nèi)可能感染和傳播病毒的地方采取相應的防病毒手段。同時為了有效、快捷地實施和管理整個網(wǎng)絡的防病毒體系,應能實現(xiàn)遠程安裝、智能升級、遠程報警、集中管理、分布查殺等多種功能。
在學校網(wǎng)絡中心配置一臺高效的Windows2000服務器安裝一個網(wǎng)絡版殺毒軟件系統(tǒng)中心,負責管理校園網(wǎng)內(nèi)所有主機網(wǎng)點的計算機。在各主機節(jié)點分別安裝網(wǎng)絡版殺毒軟件的客戶端。安裝完殺毒軟件網(wǎng)絡版后,在管理員控制臺對網(wǎng)絡中所有客戶端進行定時查殺毒的設置,保證所有客戶端即使在沒有聯(lián)網(wǎng)的時候也能夠定時進行對本機的查殺毒。網(wǎng)絡中心負責整個校園網(wǎng)的升級工作。為了安全和管理的方便起見,由網(wǎng)絡中心的系統(tǒng)中心定期地、自動地到殺毒軟件網(wǎng)站上獲取最新的升級文件(包括病毒定義碼、掃描引擎、程序文件等),然后自動將最新的升級文件分發(fā)到其它各個主機網(wǎng)點的客戶端與服務器端,并自動對網(wǎng)絡版殺毒軟件進行更新。
采取這種升級方式,一方面確保校園網(wǎng)內(nèi)的殺毒軟件的更新保持同步,使整個校園網(wǎng)都具有最強的防病毒能力;另一方面,由于整個網(wǎng)絡的升級、更新都是有程序來自動、智能完成,就可以避免由于人為因素造成網(wǎng)絡中因為沒有及時升級為最新的病毒定義碼和掃描引擎而失去最強的防病毒能力。
安全防范體系的建立不是一勞永逸的,校園網(wǎng)絡自身的情況不斷變化,新的安全問題不斷涌現(xiàn),必須根據(jù)情況的變化和現(xiàn)有體系中暴露出的一些問題,不斷對此體系進行及時的維護和更新,保證網(wǎng)絡安全防范體系的良性發(fā)展,確保它的有效性和先進性。
安全隱患多且復雜
校園網(wǎng)絡存在的安全隱患和漏洞主要有以下幾個方面:
第一,校園網(wǎng)與Internet相連,在享受Internet方便快捷的同時,也面臨著遭遇攻擊的風險。
第二,校園網(wǎng)內(nèi)部也存在很大的安全隱患。由于內(nèi)部用戶對網(wǎng)絡的結(jié)構(gòu)和應用模式都比較了解,因此來自內(nèi)部的安全威脅會更大一些。
第三,目前使用的操作系統(tǒng)存在安全漏洞,對網(wǎng)絡安全構(gòu)成了威脅。網(wǎng)絡服務器安裝的操作系統(tǒng)有Windows NT/2000、UNIX、Linux等,這些系統(tǒng)安全風險級別不同,例如Windows NT/2000的普遍性和可操作性使它成為最不安全的系統(tǒng):自身安全漏洞、瀏覽器的漏洞、IIS的漏洞、病毒木馬等。
第四,隨著校園內(nèi)計算機應用的大范圍普及,接入校園網(wǎng)的節(jié)點數(shù)日益增多,而這些節(jié)點大部分都沒有采取安全防護措施,隨時有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡被攻擊、系統(tǒng)癱瘓等嚴重后果。
第五,內(nèi)部用戶對Internet的非法訪問威脅,如瀏覽黃色、暴力、反動等網(wǎng)站,以及由于下載文件可能將木馬、蠕蟲、病毒等程序帶入校園內(nèi)網(wǎng);內(nèi)外網(wǎng)惡意用戶可能利用利用一些工具對網(wǎng)絡及服務器發(fā)起DoS/DDoS攻擊,導致網(wǎng)絡及服務不可用;校園網(wǎng)內(nèi)針對QQ的黑客程序隨處可見。
第六,可能會因為校園網(wǎng)內(nèi)管理人員以及全體師生的安全意識不強、管理制度不健全,帶來校園網(wǎng)的威脅。
上述分析的幾點是當今校園網(wǎng)普遍面臨的安全隱患。特別是近年來,隨著學生宿舍、教職工家屬等接入校園網(wǎng)后,網(wǎng)絡規(guī)模急劇增大。對此,一套安全的防護體系頗為重要。
安全防御四步走
根據(jù)以上分析。可以確定以下幾個必須考慮的安全防護要點:網(wǎng)絡安全隔離、網(wǎng)絡監(jiān)控措施、網(wǎng)絡安全漏洞掃描、網(wǎng)絡病毒的防范等。
防火墻部署
防火墻是網(wǎng)絡安全的屏障。一個防火墻(作為阻塞點、控制點)能極大地提高一個內(nèi)部網(wǎng)絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻,所以網(wǎng)絡環(huán)境變得更安全。在防火墻設置上我們按照以下原則配置來提高網(wǎng)絡安全性:
第一,根據(jù)校園網(wǎng)安全策略和安全目標,規(guī)劃設置正確的安全過濾規(guī)則,規(guī)則審核IP數(shù)據(jù)包的內(nèi)容包括:協(xié)議、端口、源地址、目的地址、流向等項目,嚴格禁止來自公網(wǎng)對校園內(nèi)部網(wǎng)不必要的、非法的訪問。總體上遵從“不被允許的服務就是被禁止”的原則。
第二,將防火墻配置成過濾掉以內(nèi)部網(wǎng)絡地址進入路由器的IP包,這樣可以防范源地址假冒和源路由類型的攻擊;過濾掉以非法IP地址離開內(nèi)部網(wǎng)絡的IP包,防止內(nèi)部網(wǎng)絡發(fā)起的對外攻擊。
第三,在防火墻上建立內(nèi)網(wǎng)計算機的IP地址和MAC地址的對應表,防止IP地址被盜用。
第四,在局域網(wǎng)的入口架設千兆防火墻,并實現(xiàn)VPN的功能,在校園網(wǎng)絡入口處建立第一層的安全屏障,VPN保證了管理員在家里或出差時能夠安全接入數(shù)據(jù)中心。
第五,定期查看防火墻訪問日志,及時發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。
第六,允許通過配置網(wǎng)卡對防火墻設置,提高防火墻管理安全性。
架設入侵監(jiān)測系統(tǒng)(IDS)
架設一個入侵監(jiān)測系統(tǒng)(IDS)是非常必要的,處于防火墻之后對網(wǎng)絡活動進行實時檢測。許多情況下,由于可以記錄和禁止網(wǎng)絡活動,所以入侵監(jiān)測系統(tǒng)是防火墻的延續(xù)。它們可以和你的防火墻和路由器配合工作。
IDS掃描當前網(wǎng)絡的活動,監(jiān)視和記錄網(wǎng)絡的流量,根據(jù)定義好的規(guī)則來過濾從主機網(wǎng)卡到網(wǎng)線上的流量,提供實時報警。IDS是被動的,它監(jiān)測你的網(wǎng)絡上所有的數(shù)據(jù)包。其目的就是撲捉危險或有惡意動作的信息包。IDS是按你指定的規(guī)則運行的,記錄是龐大的,所以我們必須制定合適的規(guī)則對他進行正確的配置,如果IDS沒有正確的配置,其效果如同沒有一樣。IDS能夠幫助系統(tǒng)對付網(wǎng)絡攻擊,擴展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、攻擊識別和響應),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。
漏洞掃描系統(tǒng)
采用先進的漏洞掃描系統(tǒng)定期對工作站、服務器、交換機等進行安全檢查,并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供詳細可靠的安全性分析報告,為提高網(wǎng)絡安全整體水平產(chǎn)生重要依據(jù)。
要求每臺主機系統(tǒng)必須正確配置,為操作系統(tǒng)打夠補丁、保護好自己的密碼、關(guān)閉不需要打開的端口,例如:如果主機不提供諸如FTP、HTTP等公共服務,盡量關(guān)閉它們。
部署網(wǎng)絡版殺毒軟件
最理想的狀況是在整個局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作,為了實現(xiàn)這一點,應該在整個網(wǎng)絡內(nèi)可能感染和傳播病毒的地方采取相應的防病毒手段。同時為了有效、快捷地實施和管理整個網(wǎng)絡的防病毒體系,應能實現(xiàn)遠程安裝、智能升級、遠程報警、集中管理、分布查殺等多種功能。
在學校網(wǎng)絡中心配置一臺高效的Windows2000服務器安裝一個網(wǎng)絡版殺毒軟件系統(tǒng)中心,負責管理校園網(wǎng)內(nèi)所有主機網(wǎng)點的計算機。在各主機節(jié)點分別安裝網(wǎng)絡版殺毒軟件的客戶端。安裝完殺毒軟件網(wǎng)絡版后,在管理員控制臺對網(wǎng)絡中所有客戶端進行定時查殺毒的設置,保證所有客戶端即使在沒有聯(lián)網(wǎng)的時候也能夠定時進行對本機的查殺毒。網(wǎng)絡中心負責整個校園網(wǎng)的升級工作。為了安全和管理的方便起見,由網(wǎng)絡中心的系統(tǒng)中心定期地、自動地到殺毒軟件網(wǎng)站上獲取最新的升級文件(包括病毒定義碼、掃描引擎、程序文件等),然后自動將最新的升級文件分發(fā)到其它各個主機網(wǎng)點的客戶端與服務器端,并自動對網(wǎng)絡版殺毒軟件進行更新。
采取這種升級方式,一方面確保校園網(wǎng)內(nèi)的殺毒軟件的更新保持同步,使整個校園網(wǎng)都具有最強的防病毒能力;另一方面,由于整個網(wǎng)絡的升級、更新都是有程序來自動、智能完成,就可以避免由于人為因素造成網(wǎng)絡中因為沒有及時升級為最新的病毒定義碼和掃描引擎而失去最強的防病毒能力。
安全防范體系的建立不是一勞永逸的,校園網(wǎng)絡自身的情況不斷變化,新的安全問題不斷涌現(xiàn),必須根據(jù)情況的變化和現(xiàn)有體系中暴露出的一些問題,不斷對此體系進行及時的維護和更新,保證網(wǎng)絡安全防范體系的良性發(fā)展,確保它的有效性和先進性。
安全課堂 教你如何預防DdoS攻擊
[ 2007-03-25 04:08:02 | 作者: sun ]
不知道身為網(wǎng)絡管理員的你是否遇到過服務器因為拒絕服務攻擊都癱瘓的情況呢?就網(wǎng)絡安全而言目前最讓人擔心和害怕的入侵攻擊就要算是拒絕服務攻擊了。他和傳統(tǒng)的攻擊不同,采取的是仿真多個客戶端來連接服務器,造成服務器無法完成如此多的客戶端連接,從而無法提供服務。
一、拒絕服務攻擊的發(fā)展
從拒絕服務攻擊誕生到現(xiàn)在已經(jīng)有了很多的發(fā)展,從最初的簡單Dos到現(xiàn)在的DdoS。那么什么是Dos和DdoS呢?DoS是一種利用單臺計算機的攻擊方式。而DdoS(Distributed Denial of Service,分布式拒絕服務)是一種基于DoS的特殊形式的拒絕服務攻擊,是一種分布、協(xié)作的大規(guī)模攻擊方式,主要瞄準比較大的站點,比如一些商業(yè)公司、搜索引擎和政府部門的站點。DdoS攻擊是利用一批受控制的機器向一臺機器發(fā)起攻擊,這樣來勢迅猛的攻擊令人難以防備,因此具有較大的破壞性。如果說以前網(wǎng)絡管理員對抗Dos可以采取過濾IP地址方法的話,那么面對當前DdoS眾多偽造出來的地址則顯得沒有辦法。所以說防范DdoS攻擊變得更加困難,如何采取措施有效的應對呢?下面我們從兩個方面進行介紹。
二、預防為主保證安全
DdoS攻擊是黑客最常用的攻擊手段,下面列出了對付它的一些常規(guī)方法。
(1)定期掃描
要定期掃描現(xiàn)有的網(wǎng)絡主節(jié)點,清查可能存在的安全漏洞,對新出現(xiàn)的漏洞及時進行清理。骨干節(jié)點的計算機因為具有較高的帶寬,是黑客利用的最佳位置,因此對這些主機本身加強主機安全是非常重要的。而且連接到網(wǎng)絡主節(jié)點的都是服務器級別的計算機,所以定期掃描漏洞就變得更加重要了。
(2)在骨干節(jié)點配置防火墻
防火墻本身能抵御DdoS攻擊和其他一些攻擊。在發(fā)現(xiàn)受到攻擊的時候,可以將攻擊導向一些犧牲主機,這樣可以保護真正的主機不被攻擊。當然導向的這些犧牲主機可以選擇不重要的,或者是linux以及unix等漏洞少和天生防范攻擊優(yōu)秀的系統(tǒng)。
(3)用足夠的機器承受黑客攻擊
這是一種較為理想的應對策略。如果用戶擁有足夠的容量和足夠的資源給黑客攻擊,在它不斷訪問用戶、奪取用戶資源之時,自己的能量也在逐漸耗失,或許未等用戶被攻死,黑客已無力支招兒了。不過此方法需要投入的資金比較多,平時大多數(shù)設備處于空閑狀態(tài),和目前中小企業(yè)網(wǎng)絡實際運行情況不相符。
(4)充分利用網(wǎng)絡設備保護網(wǎng)絡資源
所謂網(wǎng)絡設備是指路由器、防火墻等負載均衡設備,它們可將網(wǎng)絡有效地保護起來。當網(wǎng)絡被攻擊時最先死掉的是路由器,但其他機器沒有死。死掉的路由器經(jīng)重啟后會恢復正常,而且啟動起來還很快,沒有什么損失。若其他服務器死掉,其中的數(shù)據(jù)會丟失,而且重啟服務器又是一個漫長的過程。特別是一個公司使用了負載均衡設備,這樣當一臺路由器被攻擊死機時,另一臺將馬上工作。從而最大程度的削減了DdoS的攻擊。
(5)過濾不必要的服務和端口
可以使用Inexpress、Express、Forwarding等工具來過濾不必要的服務和端口,即在路由器上過濾假IP。比如Cisco公司的CEF(Cisco Express Forwarding)可以針對封包Source IP和Routing Table做比較,并加以過濾。只開放服務端口成為目前很多服務器的流行做法,例如WWW服務器那么只開放80而將其他所有端口關(guān)閉或在防火墻上做阻止策略。
(6)檢查訪問者的來源
使用Unicast Reverse Path Forwarding等通過反向路由器查詢的方法檢查訪問者的IP地址是否是真,如果是假的,它將予以屏蔽。許多黑客攻擊常采用假IP地址方式迷惑用戶,很難查出它來自何處。因此,利用Unicast Reverse Path Forwarding可減少假IP地址的出現(xiàn),有助于提高網(wǎng)絡安全性。
(7)過濾所有RFC1918 IP地址
RFC1918 IP地址是內(nèi)部網(wǎng)的IP地址,像10.0.0.0、192.168.0.0 和172.16.0.0,它們不是某個網(wǎng)段的固定的IP地址,而是Internet內(nèi)部保留的區(qū)域性IP地址,應該把它們過濾掉。此方法并不是過濾內(nèi)部員工的訪問,而是將攻擊時偽造的大量虛假內(nèi)部IP過濾,這樣也可以減輕DdoS的攻擊。
(8)限制SYN/ICMP流量
用戶應在路由器上配置SYN/ICMP的最大流量來限制SYN/ICMP封包所能占有的最高頻寬,這樣,當出現(xiàn)大量的超過所限定的SYN/ICMP流量時,說明不是正常的網(wǎng)絡訪問,而是有黑客入侵。早期通過限制SYN/ICMP流量是最好的防范DOS的方法,雖然目前該方法對于DdoS效果不太明顯了,不過仍然能夠起到一定的作用。
三、尋找機會應對攻擊
如果用戶正在遭受攻擊,他所能做的抵御工作將是非常有限的。因為在原本沒有準備好的情況下有大流量的災難性攻擊沖向用戶,很可能在用戶還沒回過神之際,網(wǎng)絡已經(jīng)癱瘓。但是,用戶還是可以抓住機會尋求一線希望的。
(1)檢查攻擊來源,通常黑客會通過很多假IP地址發(fā)起攻擊,此時,用戶若能夠分辨出哪些是真IP哪些是假IP地址,然后了解這些IP來自哪些網(wǎng)段,再找網(wǎng)網(wǎng)管理員將這些機器關(guān)閉,從而在第一時間消除攻擊。如果發(fā)現(xiàn)這些IP地址是來自外面的而不是公司內(nèi)部的IP的話,可以采取臨時過濾的方法,將這些IP地址在服務器或路由器上過濾掉。
(2)找出攻擊者所經(jīng)過的路由,把攻擊屏蔽掉。若黑客從某些端口發(fā)動攻擊,用戶可把這些端口屏蔽掉,以阻止入侵。不過此方法對于公司網(wǎng)絡出口只有一個,而又遭受到來自外部的DdoS攻擊時不太奏效,畢竟將出口端口封閉后所有計算機都無法訪問internet了。
(3)最后還有一種比較折中的方法是在路由器上濾掉ICMP。雖然在攻擊時他無法完全消除入侵,但是過濾掉ICMP后可以有效的防止攻擊規(guī)模的升級,也可以在一定程度上降低攻擊的級別。
總結(jié):
目前網(wǎng)絡安全界對于DdoS的防范還是沒有什么好辦法的,主要靠平時維護和掃描來對抗。簡單的通過軟件防范的效果非常不明顯,即便是使用了硬件安防設施也僅僅能起到降低攻擊級別的效果,Ddos攻擊只能被減弱,無法被徹底消除。不過如果我們按照本文的方法和思路去防范DdoS的話,收到的效果還是非常顯著的,可以將攻擊帶來的損失降低到最小。
一、拒絕服務攻擊的發(fā)展
從拒絕服務攻擊誕生到現(xiàn)在已經(jīng)有了很多的發(fā)展,從最初的簡單Dos到現(xiàn)在的DdoS。那么什么是Dos和DdoS呢?DoS是一種利用單臺計算機的攻擊方式。而DdoS(Distributed Denial of Service,分布式拒絕服務)是一種基于DoS的特殊形式的拒絕服務攻擊,是一種分布、協(xié)作的大規(guī)模攻擊方式,主要瞄準比較大的站點,比如一些商業(yè)公司、搜索引擎和政府部門的站點。DdoS攻擊是利用一批受控制的機器向一臺機器發(fā)起攻擊,這樣來勢迅猛的攻擊令人難以防備,因此具有較大的破壞性。如果說以前網(wǎng)絡管理員對抗Dos可以采取過濾IP地址方法的話,那么面對當前DdoS眾多偽造出來的地址則顯得沒有辦法。所以說防范DdoS攻擊變得更加困難,如何采取措施有效的應對呢?下面我們從兩個方面進行介紹。
二、預防為主保證安全
DdoS攻擊是黑客最常用的攻擊手段,下面列出了對付它的一些常規(guī)方法。
(1)定期掃描
要定期掃描現(xiàn)有的網(wǎng)絡主節(jié)點,清查可能存在的安全漏洞,對新出現(xiàn)的漏洞及時進行清理。骨干節(jié)點的計算機因為具有較高的帶寬,是黑客利用的最佳位置,因此對這些主機本身加強主機安全是非常重要的。而且連接到網(wǎng)絡主節(jié)點的都是服務器級別的計算機,所以定期掃描漏洞就變得更加重要了。
(2)在骨干節(jié)點配置防火墻
防火墻本身能抵御DdoS攻擊和其他一些攻擊。在發(fā)現(xiàn)受到攻擊的時候,可以將攻擊導向一些犧牲主機,這樣可以保護真正的主機不被攻擊。當然導向的這些犧牲主機可以選擇不重要的,或者是linux以及unix等漏洞少和天生防范攻擊優(yōu)秀的系統(tǒng)。
(3)用足夠的機器承受黑客攻擊
這是一種較為理想的應對策略。如果用戶擁有足夠的容量和足夠的資源給黑客攻擊,在它不斷訪問用戶、奪取用戶資源之時,自己的能量也在逐漸耗失,或許未等用戶被攻死,黑客已無力支招兒了。不過此方法需要投入的資金比較多,平時大多數(shù)設備處于空閑狀態(tài),和目前中小企業(yè)網(wǎng)絡實際運行情況不相符。
(4)充分利用網(wǎng)絡設備保護網(wǎng)絡資源
所謂網(wǎng)絡設備是指路由器、防火墻等負載均衡設備,它們可將網(wǎng)絡有效地保護起來。當網(wǎng)絡被攻擊時最先死掉的是路由器,但其他機器沒有死。死掉的路由器經(jīng)重啟后會恢復正常,而且啟動起來還很快,沒有什么損失。若其他服務器死掉,其中的數(shù)據(jù)會丟失,而且重啟服務器又是一個漫長的過程。特別是一個公司使用了負載均衡設備,這樣當一臺路由器被攻擊死機時,另一臺將馬上工作。從而最大程度的削減了DdoS的攻擊。
(5)過濾不必要的服務和端口
可以使用Inexpress、Express、Forwarding等工具來過濾不必要的服務和端口,即在路由器上過濾假IP。比如Cisco公司的CEF(Cisco Express Forwarding)可以針對封包Source IP和Routing Table做比較,并加以過濾。只開放服務端口成為目前很多服務器的流行做法,例如WWW服務器那么只開放80而將其他所有端口關(guān)閉或在防火墻上做阻止策略。
(6)檢查訪問者的來源
使用Unicast Reverse Path Forwarding等通過反向路由器查詢的方法檢查訪問者的IP地址是否是真,如果是假的,它將予以屏蔽。許多黑客攻擊常采用假IP地址方式迷惑用戶,很難查出它來自何處。因此,利用Unicast Reverse Path Forwarding可減少假IP地址的出現(xiàn),有助于提高網(wǎng)絡安全性。
(7)過濾所有RFC1918 IP地址
RFC1918 IP地址是內(nèi)部網(wǎng)的IP地址,像10.0.0.0、192.168.0.0 和172.16.0.0,它們不是某個網(wǎng)段的固定的IP地址,而是Internet內(nèi)部保留的區(qū)域性IP地址,應該把它們過濾掉。此方法并不是過濾內(nèi)部員工的訪問,而是將攻擊時偽造的大量虛假內(nèi)部IP過濾,這樣也可以減輕DdoS的攻擊。
(8)限制SYN/ICMP流量
用戶應在路由器上配置SYN/ICMP的最大流量來限制SYN/ICMP封包所能占有的最高頻寬,這樣,當出現(xiàn)大量的超過所限定的SYN/ICMP流量時,說明不是正常的網(wǎng)絡訪問,而是有黑客入侵。早期通過限制SYN/ICMP流量是最好的防范DOS的方法,雖然目前該方法對于DdoS效果不太明顯了,不過仍然能夠起到一定的作用。
三、尋找機會應對攻擊
如果用戶正在遭受攻擊,他所能做的抵御工作將是非常有限的。因為在原本沒有準備好的情況下有大流量的災難性攻擊沖向用戶,很可能在用戶還沒回過神之際,網(wǎng)絡已經(jīng)癱瘓。但是,用戶還是可以抓住機會尋求一線希望的。
(1)檢查攻擊來源,通常黑客會通過很多假IP地址發(fā)起攻擊,此時,用戶若能夠分辨出哪些是真IP哪些是假IP地址,然后了解這些IP來自哪些網(wǎng)段,再找網(wǎng)網(wǎng)管理員將這些機器關(guān)閉,從而在第一時間消除攻擊。如果發(fā)現(xiàn)這些IP地址是來自外面的而不是公司內(nèi)部的IP的話,可以采取臨時過濾的方法,將這些IP地址在服務器或路由器上過濾掉。
(2)找出攻擊者所經(jīng)過的路由,把攻擊屏蔽掉。若黑客從某些端口發(fā)動攻擊,用戶可把這些端口屏蔽掉,以阻止入侵。不過此方法對于公司網(wǎng)絡出口只有一個,而又遭受到來自外部的DdoS攻擊時不太奏效,畢竟將出口端口封閉后所有計算機都無法訪問internet了。
(3)最后還有一種比較折中的方法是在路由器上濾掉ICMP。雖然在攻擊時他無法完全消除入侵,但是過濾掉ICMP后可以有效的防止攻擊規(guī)模的升級,也可以在一定程度上降低攻擊的級別。
總結(jié):
目前網(wǎng)絡安全界對于DdoS的防范還是沒有什么好辦法的,主要靠平時維護和掃描來對抗。簡單的通過軟件防范的效果非常不明顯,即便是使用了硬件安防設施也僅僅能起到降低攻擊級別的效果,Ddos攻擊只能被減弱,無法被徹底消除。不過如果我們按照本文的方法和思路去防范DdoS的話,收到的效果還是非常顯著的,可以將攻擊帶來的損失降低到最小。
防黑又一招 檢查文件的最后修改時間
[ 2007-03-25 04:07:46 | 作者: sun ]
這是個要求精確的技術(shù):確定文件或文件夾最后被訪問的時間。
在Christopher Brookmyre的小說中有個故事講到,所有人都沉浸在歡樂和游戲中,直到一天有個人失去了一只眼睛,一個會黑客技術(shù)的人物打開了一臺計算機,然后檢查boot日志來看看計算機上次運行是什么時候以及運行了多長時間。
然后,她檢查了訪問目錄,以便知道上次哪些文件夾被人打開過。這樣的情節(jié)到底是小說中編造的呢,還是確實存在呢?
該書是在2005年出版的,因此我們假設這臺計算機的操作系統(tǒng)是XP。第一部分很簡單,不過你應該看的不是boot日志而是系統(tǒng)事件日志。
啟動事件閱讀器,你可以在控制面板或者開始菜單的管理工具中找到它,然后點擊左邊窗口中的系統(tǒng)。調(diào)整窗口的大小,以便你看到右邊窗口的事件欄。
尋找一個6009的條目——它顯示PC什么時候關(guān)閉或者重啟的。有數(shù)個事件會記錄開機操作,代碼是7035,7036和26,還跟很多服務和核對有關(guān)。
右鍵點擊一個事件然后選擇屬性,它會顯示一個簡短的說明,你可以通過點擊事件屬性框中的鏈接來看到更詳細的說明。
薛定諤的文件?
確定文件或文件夾什么時候最后被訪問更加困難。Windows系統(tǒng)中的每一個文件和文件夾——NTFS格式和FAT格式的文件系統(tǒng)都一樣——有三個關(guān)聯(lián)日期。修改的日期是你在Explorer的默認設置下或者Dos情況下輸入“dir”后能看到的。這顯示了文件最后保存的日期和時間。
如果你打開一個文件然后保存——即使沒有修改——你也將發(fā)現(xiàn)這些變化。創(chuàng)建日期是文件在硬盤上當前位置被創(chuàng)建時的日期。因此如果你創(chuàng)建了一個新的文件,在時間顯示為1月1日的應用程序上保存它,然后把它復制到時間為1月2日的文件夾,那么復制文檔的創(chuàng)建日期會是1月2日,但修改日期是1月1日。
一些文件,比如Jpeg圖片或者微軟Word文檔,在高級選項模式下會保存原始創(chuàng)建日期,但是這個是存儲在文件本身當中而不是文件系統(tǒng)里。轉(zhuǎn)移,而不是復制的話,通常文件保存的都是創(chuàng)建日期。
如果你不喜歡某些東西在創(chuàng)建前被修改這種概念,那么你會更不喜歡訪問日期的概念。如果你右鍵點擊文件然后選擇屬性,你可以看到文件的全部三個日期。
但是,右鍵點擊這樣的操作也會被算作訪問文件,因此上次訪問的日期會變?yōu)楫斍暗娜掌诤蜁r間。察看文件的屬性,就是你修改了它們——似乎系統(tǒng)的設計者是受了量子物理的啟發(fā)。
如果你的系統(tǒng)是Windows ME,2000或者XP,那么你可以在Explorer的詳細察看中會看到全部的三個日期。在ME或者2000中,點擊察看菜單,然后‘選擇欄目’(XP中是察看,選擇詳細信息)。勾上創(chuàng)建日期和訪問日期的選擇框,你就可以看到文件和文件夾額外的欄目。
你也可以在Dos命令下察看訪問日期。在XP中,輸入dir/ta,會顯示最后訪問日期—/tc和/tw則會顯示創(chuàng)建和最后修改的日期。老版本的Dos上,句法略有不同。
/oa 和/od會分別列出文件的訪問和修改日期,但是這有一定局限性。與選擇順序無關(guān),兩種情況下你看到的日期都是修改日期。要想兩個都能看到,可以使用/v(verbose)切換也可以用分類順序轉(zhuǎn)換。
說了這么多,就是說察看最后訪問日期是不大可行的。例如,在Windows ME中,打開文件夾并不改變最后訪問日期。XP系統(tǒng)中,打開文件夾確實改變最后訪問時間——但不是立刻改變。
更糟糕的是,還有太多其它的東西,比如Windows 桌面搜索索引以及其他服務,也會改變最后訪問日期,因此你不可能分清到底文件夾最后是被用戶打開的還是操作系統(tǒng)常規(guī)訪問到的。
引入監(jiān)聽裝置
另有其他的辦法幫助Brookmyre擺脫XP困境,但是那種方法需要很大的勇氣。你可以設置監(jiān)聽裝置紀錄對各種各樣對象——比如文件,文件夾,打印機以及注冊鍵值——的訪問。
首先你得以管理員的身份登陸,而后如果你明智的話,創(chuàng)建系統(tǒng)還原點(參見最后一段)。下一步,你要關(guān)閉文件共享的功能。XP家庭版用戶不得不停在這一步了,因為沒有這樣的選項可用,但是XP Pro用戶可以通過Explorer的工具,文件選項,察看來完成這一步。
現(xiàn)在你得設置監(jiān)聽器。首先,運行g(shù)pedit.msc來打開組策略編輯器。左邊窗口中按計算機配置\Windows設置\ 安全設置\本地策略\審核策略的路徑一路向下。
然后你會看到,在右邊窗口中顯示出可以監(jiān)聽的動作的列表——默認情況下,這些都是不被監(jiān)聽的。雙擊審核對象訪問然后選中屬性框中的‘成功’選項。點擊OK退出。
下一步就是設置那些你要監(jiān)聽的對象。跟小說中情節(jié)一樣,轉(zhuǎn)到你想要記錄的文件夾。右鍵點擊,選擇屬性,然后轉(zhuǎn)到安全選項卡,選擇“高級”。在高級安全設置對話框中,選中監(jiān)聽選項卡。點擊添加……按鈕。
為了盡可能簡化操作,在‘輸入要選擇的對象的名稱’框中輸入“everyone”(不包括引號)。點擊檢查名稱按鈕來確保你指定了正確的對象名稱,然后點擊OK。這樣就會開啟監(jiān)聽功能。
選擇你要監(jiān)聽的方面——比如‘列出文件夾/讀取數(shù)據(jù)’,然后選擇‘應用于’選項:如果你使監(jiān)聽日志整齊點兒,就選擇‘只對這個文件夾’或者‘該文件夾及其子文件夾’。點擊OK來退出打開的對話框。
現(xiàn)在運行事件閱讀器,就像之前講的那樣,然后打開安全分支。每次你指定的文件夾被打開你就會在這里看到很多條目,列出時間,用戶和其他信息。如果雙擊一個條目,你就會獲得更進一步的信息,尤其是那個‘映射文件名稱’它會告訴你什么程序訪問了文件夾。
如果你或者其他用戶打開了該文件夾,此項會顯示Explorer.exe。但如果是其他進程訪問了該文件夾,你會看到不同的可執(zhí)行文件,比如WindowsSearchFilter.exe表示桌面搜索器訪問了該文件。
消失的選項卡
我給你講個有趣的事情。一位讀者受托幫同事解決如下的一個麻煩。后者的屏幕保護裝置在計算機30秒沒有活動后就會運行。更氣人的是,當他察看顯示屬性時,那里竟沒有屏幕保護選項卡。
XP Pro中,可以在組策略編輯器中矯正該問題。運行g(shù)pedit.msc,然后打開用戶配置, 管理模板, 控制面板, 顯示分支,你就會在右邊的窗口中看到一個‘隱藏屏幕保護選項卡’的設置。雙擊它,關(guān)閉或者‘不設置’就會把選項卡重新找回來。
還有其他的你可以應用的屏保限制——點擊低一點的那個擴展選項就可以看到每一項的說明。盡管XP家庭版沒有組策略編輯器,但是兩個版本都在注冊表中保存了這些限制。
因此,XP家庭版中,以管理員的身份登陸后創(chuàng)建還原點,然后按照Hkey_Current_User\Software\ Microsoft\Windows \CurrentVersion \Policies\System 的路徑,在右邊窗口中查找叫做NoDispScrSavPage的條目。雙擊它然后把它的值設為0:這樣就可以找回消失的選項卡。
恢復點
我們總是強調(diào)創(chuàng)建恢復點的重要性。在標準的XP系統(tǒng)中,從開始菜單點下去,只用5步就可以運行系統(tǒng)恢復。
盡管可以通過%SystemRoot%\System32\restore\rstrui.exe來快速訪問,但我們還是建議使用Doug Knox’s SysRestorePoint.exe。雙擊這個小(20kb)應用,它就會簡單地創(chuàng)建系統(tǒng)恢復點。
這個點將被稱為自動恢復點——這將它跟Windows創(chuàng)建的叫做系統(tǒng)還原點區(qū)分開來。你可以到www.dougknox.com上找到使用方法。
在Christopher Brookmyre的小說中有個故事講到,所有人都沉浸在歡樂和游戲中,直到一天有個人失去了一只眼睛,一個會黑客技術(shù)的人物打開了一臺計算機,然后檢查boot日志來看看計算機上次運行是什么時候以及運行了多長時間。
然后,她檢查了訪問目錄,以便知道上次哪些文件夾被人打開過。這樣的情節(jié)到底是小說中編造的呢,還是確實存在呢?
該書是在2005年出版的,因此我們假設這臺計算機的操作系統(tǒng)是XP。第一部分很簡單,不過你應該看的不是boot日志而是系統(tǒng)事件日志。
啟動事件閱讀器,你可以在控制面板或者開始菜單的管理工具中找到它,然后點擊左邊窗口中的系統(tǒng)。調(diào)整窗口的大小,以便你看到右邊窗口的事件欄。
尋找一個6009的條目——它顯示PC什么時候關(guān)閉或者重啟的。有數(shù)個事件會記錄開機操作,代碼是7035,7036和26,還跟很多服務和核對有關(guān)。
右鍵點擊一個事件然后選擇屬性,它會顯示一個簡短的說明,你可以通過點擊事件屬性框中的鏈接來看到更詳細的說明。
薛定諤的文件?
確定文件或文件夾什么時候最后被訪問更加困難。Windows系統(tǒng)中的每一個文件和文件夾——NTFS格式和FAT格式的文件系統(tǒng)都一樣——有三個關(guān)聯(lián)日期。修改的日期是你在Explorer的默認設置下或者Dos情況下輸入“dir”后能看到的。這顯示了文件最后保存的日期和時間。
如果你打開一個文件然后保存——即使沒有修改——你也將發(fā)現(xiàn)這些變化。創(chuàng)建日期是文件在硬盤上當前位置被創(chuàng)建時的日期。因此如果你創(chuàng)建了一個新的文件,在時間顯示為1月1日的應用程序上保存它,然后把它復制到時間為1月2日的文件夾,那么復制文檔的創(chuàng)建日期會是1月2日,但修改日期是1月1日。
一些文件,比如Jpeg圖片或者微軟Word文檔,在高級選項模式下會保存原始創(chuàng)建日期,但是這個是存儲在文件本身當中而不是文件系統(tǒng)里。轉(zhuǎn)移,而不是復制的話,通常文件保存的都是創(chuàng)建日期。
如果你不喜歡某些東西在創(chuàng)建前被修改這種概念,那么你會更不喜歡訪問日期的概念。如果你右鍵點擊文件然后選擇屬性,你可以看到文件的全部三個日期。
但是,右鍵點擊這樣的操作也會被算作訪問文件,因此上次訪問的日期會變?yōu)楫斍暗娜掌诤蜁r間。察看文件的屬性,就是你修改了它們——似乎系統(tǒng)的設計者是受了量子物理的啟發(fā)。
如果你的系統(tǒng)是Windows ME,2000或者XP,那么你可以在Explorer的詳細察看中會看到全部的三個日期。在ME或者2000中,點擊察看菜單,然后‘選擇欄目’(XP中是察看,選擇詳細信息)。勾上創(chuàng)建日期和訪問日期的選擇框,你就可以看到文件和文件夾額外的欄目。
你也可以在Dos命令下察看訪問日期。在XP中,輸入dir/ta,會顯示最后訪問日期—/tc和/tw則會顯示創(chuàng)建和最后修改的日期。老版本的Dos上,句法略有不同。
/oa 和/od會分別列出文件的訪問和修改日期,但是這有一定局限性。與選擇順序無關(guān),兩種情況下你看到的日期都是修改日期。要想兩個都能看到,可以使用/v(verbose)切換也可以用分類順序轉(zhuǎn)換。
說了這么多,就是說察看最后訪問日期是不大可行的。例如,在Windows ME中,打開文件夾并不改變最后訪問日期。XP系統(tǒng)中,打開文件夾確實改變最后訪問時間——但不是立刻改變。
更糟糕的是,還有太多其它的東西,比如Windows 桌面搜索索引以及其他服務,也會改變最后訪問日期,因此你不可能分清到底文件夾最后是被用戶打開的還是操作系統(tǒng)常規(guī)訪問到的。
引入監(jiān)聽裝置
另有其他的辦法幫助Brookmyre擺脫XP困境,但是那種方法需要很大的勇氣。你可以設置監(jiān)聽裝置紀錄對各種各樣對象——比如文件,文件夾,打印機以及注冊鍵值——的訪問。
首先你得以管理員的身份登陸,而后如果你明智的話,創(chuàng)建系統(tǒng)還原點(參見最后一段)。下一步,你要關(guān)閉文件共享的功能。XP家庭版用戶不得不停在這一步了,因為沒有這樣的選項可用,但是XP Pro用戶可以通過Explorer的工具,文件選項,察看來完成這一步。
現(xiàn)在你得設置監(jiān)聽器。首先,運行g(shù)pedit.msc來打開組策略編輯器。左邊窗口中按計算機配置\Windows設置\ 安全設置\本地策略\審核策略的路徑一路向下。
然后你會看到,在右邊窗口中顯示出可以監(jiān)聽的動作的列表——默認情況下,這些都是不被監(jiān)聽的。雙擊審核對象訪問然后選中屬性框中的‘成功’選項。點擊OK退出。
下一步就是設置那些你要監(jiān)聽的對象。跟小說中情節(jié)一樣,轉(zhuǎn)到你想要記錄的文件夾。右鍵點擊,選擇屬性,然后轉(zhuǎn)到安全選項卡,選擇“高級”。在高級安全設置對話框中,選中監(jiān)聽選項卡。點擊添加……按鈕。
為了盡可能簡化操作,在‘輸入要選擇的對象的名稱’框中輸入“everyone”(不包括引號)。點擊檢查名稱按鈕來確保你指定了正確的對象名稱,然后點擊OK。這樣就會開啟監(jiān)聽功能。
選擇你要監(jiān)聽的方面——比如‘列出文件夾/讀取數(shù)據(jù)’,然后選擇‘應用于’選項:如果你使監(jiān)聽日志整齊點兒,就選擇‘只對這個文件夾’或者‘該文件夾及其子文件夾’。點擊OK來退出打開的對話框。
現(xiàn)在運行事件閱讀器,就像之前講的那樣,然后打開安全分支。每次你指定的文件夾被打開你就會在這里看到很多條目,列出時間,用戶和其他信息。如果雙擊一個條目,你就會獲得更進一步的信息,尤其是那個‘映射文件名稱’它會告訴你什么程序訪問了文件夾。
如果你或者其他用戶打開了該文件夾,此項會顯示Explorer.exe。但如果是其他進程訪問了該文件夾,你會看到不同的可執(zhí)行文件,比如WindowsSearchFilter.exe表示桌面搜索器訪問了該文件。
消失的選項卡
我給你講個有趣的事情。一位讀者受托幫同事解決如下的一個麻煩。后者的屏幕保護裝置在計算機30秒沒有活動后就會運行。更氣人的是,當他察看顯示屬性時,那里竟沒有屏幕保護選項卡。
XP Pro中,可以在組策略編輯器中矯正該問題。運行g(shù)pedit.msc,然后打開用戶配置, 管理模板, 控制面板, 顯示分支,你就會在右邊的窗口中看到一個‘隱藏屏幕保護選項卡’的設置。雙擊它,關(guān)閉或者‘不設置’就會把選項卡重新找回來。
還有其他的你可以應用的屏保限制——點擊低一點的那個擴展選項就可以看到每一項的說明。盡管XP家庭版沒有組策略編輯器,但是兩個版本都在注冊表中保存了這些限制。
因此,XP家庭版中,以管理員的身份登陸后創(chuàng)建還原點,然后按照Hkey_Current_User\Software\ Microsoft\Windows \CurrentVersion \Policies\System 的路徑,在右邊窗口中查找叫做NoDispScrSavPage的條目。雙擊它然后把它的值設為0:這樣就可以找回消失的選項卡。
恢復點
我們總是強調(diào)創(chuàng)建恢復點的重要性。在標準的XP系統(tǒng)中,從開始菜單點下去,只用5步就可以運行系統(tǒng)恢復。
盡管可以通過%SystemRoot%\System32\restore\rstrui.exe來快速訪問,但我們還是建議使用Doug Knox’s SysRestorePoint.exe。雙擊這個小(20kb)應用,它就會簡單地創(chuàng)建系統(tǒng)恢復點。
這個點將被稱為自動恢復點——這將它跟Windows創(chuàng)建的叫做系統(tǒng)還原點區(qū)分開來。你可以到www.dougknox.com上找到使用方法。
提高警惕 五招應對網(wǎng)絡釣魚
[ 2007-03-25 04:07:28 | 作者: sun ]
我國公安部門通報,利用“網(wǎng)絡釣魚”方式竊取客戶資金的違法犯罪活動不斷增多,犯罪分子主要采取的作案手法:一是發(fā)送電子郵件,以虛假信息引誘用戶中圈套;二是建立假冒網(wǎng)上銀行、網(wǎng)上證券網(wǎng)站,騙取用戶賬號密碼實施盜竊;三是利用虛假的電子商務進行詐騙;四是利用木馬和黑客技術(shù)等手段竊取用戶信息后實施盜竊活動;五是利用用戶弱口令等漏洞破解、猜測用戶賬號和密碼。
對此,銀行方面應提醒客戶要提高警惕,采取五項措施,防止上當受騙:
1、認真核對網(wǎng)址,不要采用超級鏈接方式間接訪問網(wǎng)上銀行網(wǎng)站。
2、科學設置和保護好賬號密碼,建議用字母、數(shù)字混合密碼;為個人網(wǎng)上銀行設置專門密碼;任何情況下,不要輕易將個人賬號等重要信息告訴別人。
相關(guān)新聞
釣魚郵件披銀行馬甲 別激活郵件附帶網(wǎng)址 (11.6) 釣魚式攻擊:假銀行網(wǎng)站連連攻擊美國銀行 (9.14) 美大學研究人員開發(fā)出新型反網(wǎng)絡釣魚系統(tǒng) (9.13) 雅虎推簽名圖章服務 打擊網(wǎng)絡釣魚欺詐活動 (9.13) 釣魚軟件占攻擊網(wǎng)絡總數(shù)比例超過三分之一 (9.6) 06年“網(wǎng)絡釣魚”將“釣取”消費者28億... (11.10) 3、避免在公共場所使用網(wǎng)上交易系統(tǒng);正確使用網(wǎng)銀安全工具,做好交易記錄;定期查看“歷史交易明細”和打印業(yè)務對賬單,如發(fā)現(xiàn)異常交易或差錯,立即與銀行聯(lián)系,撥打客戶服務熱線查詢。
4、加強計算機安全管理。使用網(wǎng)銀前應按要求下載相關(guān)安全控件;安裝防火墻和防病毒軟件,并經(jīng)常升級;經(jīng)常給系統(tǒng)打補丁,堵塞軟件漏洞等。
5、對異常情況提高警惕,如不小心在陌生的網(wǎng)址上輸入了賬戶和密碼,并遇到類似“系統(tǒng)維護”之類提示時,應立即撥打銀行服務熱線進行確認。如發(fā)現(xiàn)資料被盜,應立即修改相關(guān)交易密碼或進行掛失;發(fā)現(xiàn)網(wǎng)上銀行資金被盜,應立即向公安機關(guān)報案。
對此,銀行方面應提醒客戶要提高警惕,采取五項措施,防止上當受騙:
1、認真核對網(wǎng)址,不要采用超級鏈接方式間接訪問網(wǎng)上銀行網(wǎng)站。
2、科學設置和保護好賬號密碼,建議用字母、數(shù)字混合密碼;為個人網(wǎng)上銀行設置專門密碼;任何情況下,不要輕易將個人賬號等重要信息告訴別人。
相關(guān)新聞
釣魚郵件披銀行馬甲 別激活郵件附帶網(wǎng)址 (11.6) 釣魚式攻擊:假銀行網(wǎng)站連連攻擊美國銀行 (9.14) 美大學研究人員開發(fā)出新型反網(wǎng)絡釣魚系統(tǒng) (9.13) 雅虎推簽名圖章服務 打擊網(wǎng)絡釣魚欺詐活動 (9.13) 釣魚軟件占攻擊網(wǎng)絡總數(shù)比例超過三分之一 (9.6) 06年“網(wǎng)絡釣魚”將“釣取”消費者28億... (11.10) 3、避免在公共場所使用網(wǎng)上交易系統(tǒng);正確使用網(wǎng)銀安全工具,做好交易記錄;定期查看“歷史交易明細”和打印業(yè)務對賬單,如發(fā)現(xiàn)異常交易或差錯,立即與銀行聯(lián)系,撥打客戶服務熱線查詢。
4、加強計算機安全管理。使用網(wǎng)銀前應按要求下載相關(guān)安全控件;安裝防火墻和防病毒軟件,并經(jīng)常升級;經(jīng)常給系統(tǒng)打補丁,堵塞軟件漏洞等。
5、對異常情況提高警惕,如不小心在陌生的網(wǎng)址上輸入了賬戶和密碼,并遇到類似“系統(tǒng)維護”之類提示時,應立即撥打銀行服務熱線進行確認。如發(fā)現(xiàn)資料被盜,應立即修改相關(guān)交易密碼或進行掛失;發(fā)現(xiàn)網(wǎng)上銀行資金被盜,應立即向公安機關(guān)報案。
Windows下使用批處理實現(xiàn)對網(wǎng)站的監(jiān)測
[ 2007-03-25 04:07:16 | 作者: sun ]
由于多數(shù)監(jiān)測軟件是商業(yè)性質(zhì),同時使用過一個付費的監(jiān)測服務感覺效果并不理想,于是動手弄了一個自己的監(jiān)測系統(tǒng),使用DOS批處理操作。
原理:
使用了一個Wget.exe 的Win32版本用以從網(wǎng)站下載文件,利用批處理命令檢測文件是否抓取成功,如果成功,刪除已經(jīng)下載的文件,退出批處理,如果不成功,利用安裝在電腦上的modem撥打某個電話號碼,使用特定的振鈴次數(shù)通知網(wǎng)站發(fā)生故障。
測試后將批處理放到windows中的計劃任務中周期執(zhí)行。
注意:wget.exe需要放置到與批處理相同的目錄,或者放入windows系統(tǒng)目錄。
批處理文件:
monitor.bat
@echo off
echo.>>wget.log
rem 使用wget下載網(wǎng)頁首頁文件,并記錄日志
.\wget -a wget.log -d http://www.xxx.com
rem 判斷index.html文件是否下載成功
if exist index.html goto end
echo.>>system.log
echo ---------------------------->>system.log
date/t>>system.log&&time/t>>system.log
echo error occurred>>system.log
rem 調(diào)用一個撥號批處理
call .\dial.bat
exit
:end
echo.>>system.log
echo ---------------------------->>system.log
date/t>>system.log&&time/t>>system.log
echo ok>>system.log
echo y|del .\index.html
exit
dial.bat
@echo off
rem 使用at指令傳送到串口撥號
echo atdtxxxxxxx >com1
rem 延時14秒,振鈴3次
choice /c yn /d y /n /t 14 >nul
rem 掛機
echo ath>com1
choice /c yn /d y /n /t 5 >nul
echo atdtxxxxxxx >com1
choice /c yn /d y /n /t 14 >nul
echo ath>com1
choice /c yn /d y /n /t 5 >nul
echo atdtxxxxxxx >com1
choice /c yn /d y /n /t 14 >nul
echo ath>com1
原理:
使用了一個Wget.exe 的Win32版本用以從網(wǎng)站下載文件,利用批處理命令檢測文件是否抓取成功,如果成功,刪除已經(jīng)下載的文件,退出批處理,如果不成功,利用安裝在電腦上的modem撥打某個電話號碼,使用特定的振鈴次數(shù)通知網(wǎng)站發(fā)生故障。
測試后將批處理放到windows中的計劃任務中周期執(zhí)行。
注意:wget.exe需要放置到與批處理相同的目錄,或者放入windows系統(tǒng)目錄。
批處理文件:
monitor.bat
@echo off
echo.>>wget.log
rem 使用wget下載網(wǎng)頁首頁文件,并記錄日志
.\wget -a wget.log -d http://www.xxx.com
rem 判斷index.html文件是否下載成功
if exist index.html goto end
echo.>>system.log
echo ---------------------------->>system.log
date/t>>system.log&&time/t>>system.log
echo error occurred>>system.log
rem 調(diào)用一個撥號批處理
call .\dial.bat
exit
:end
echo.>>system.log
echo ---------------------------->>system.log
date/t>>system.log&&time/t>>system.log
echo ok>>system.log
echo y|del .\index.html
exit
dial.bat
@echo off
rem 使用at指令傳送到串口撥號
echo atdtxxxxxxx >com1
rem 延時14秒,振鈴3次
choice /c yn /d y /n /t 14 >nul
rem 掛機
echo ath>com1
choice /c yn /d y /n /t 5 >nul
echo atdtxxxxxxx >com1
choice /c yn /d y /n /t 14 >nul
echo ath>com1
choice /c yn /d y /n /t 5 >nul
echo atdtxxxxxxx >com1
choice /c yn /d y /n /t 14 >nul
echo ath>com1
WEB專用服務器的安全設置的實戰(zhàn)技巧
[ 2007-03-25 04:07:06 | 作者: sun ]
IIS的相關(guān)設置:
刪除默認建立的站點的虛擬目錄,停止默認web站點,刪除對應的文件目錄c:inetpub,配置所有站點的公共設置,設置好相關(guān)的連接數(shù)限制,帶寬設置以及性能設置等其他設置。配置應用程序映射,刪除所有不必要的應用程序擴展,只保留asp,php,cgi,pl,aspx應用程序擴展。對于php和cgi,推薦使用isapi方式解析,用exe解析對安全和性能有所影響。用戶程序調(diào)試設置發(fā)送文本錯誤信息給戶。對于數(shù)據(jù)庫,盡量采用mdb后綴,不需要更改為asp,可在IIS中設置一個mdb的擴展映射,將這個映射使用一個無關(guān)的dll文件如C:WINNTsystem32inetsrvssinc.dll來防止數(shù)據(jù)庫被下載。設置IIS的日志保存目錄,調(diào)整日志記錄信息。設置為發(fā)送文本錯誤信息。修改403錯誤頁面,將其轉(zhuǎn)向到其他頁,可防止一些掃描器的探測。另外為隱藏系統(tǒng)信息,防止telnet到80端口所泄露的系統(tǒng)版本信息可修改IIS的banner信息,可以使用winhex手工修改或者使用相關(guān)軟件如banneredit修改。
對于用戶站點所在的目錄,在此說明一下,用戶的FTP根目錄下對應三個文件佳,wwwroot,database,logfiles,分別存放站點文件,數(shù)據(jù)庫備份和該站點的日志。如果一旦發(fā)生入侵事件可對該用戶站點所在目錄設置具體的權(quán)限,圖片所在的目錄只給予列目錄的權(quán)限,程序所在目錄如果不需要生成文件(如生成html的程序)不給予寫入權(quán)限。因為是虛擬主機平常對腳本安全沒辦法做到細致入微的地步,更多的只能在方法用戶從腳本提升權(quán)限:
ASP的安全設置:
設置過權(quán)限和服務之后,防范asp木馬還需要做以下工作,在cmd窗口運行以下命令:
regsvr32/u C:\WINNT\System32\wshom.ocx
del C:\WINNT\System32\wshom.ocx
regsvr32/u C:\WINNT\system32\shell32.dll
del C:\WINNT\system32\shell32.dll
即可將WScript.Shell, Shell.application, WScript.Network組件卸載,可有效防止asp木馬通過wscript或shell.application執(zhí)行命令以及使用木馬查看一些系統(tǒng)敏感信息。另法:可取消以上文件的users用戶的權(quán)限,重新啟動IIS即可生效。但不推薦該方法。
另外,對于FSO由于用戶程序需要使用,服務器上可以不注銷掉該組件,這里只提一下FSO的防范,但并不需要在自動開通空間的虛擬商服務器上使用,只適合于手工開通的站點。可以針對需要FSO和不需要FSO的站點設置兩個組,對于需要FSO的用戶組給予c:winntsystem32scrrun.dll文件的執(zhí)行權(quán)限,不需要的不給權(quán)限。重新啟動服務器即可生效。
對于這樣的設置結(jié)合上面的權(quán)限設置,你會發(fā)現(xiàn)海陽木馬已經(jīng)在這里失去了作用!
PHP的安全設置:
默認安裝的php需要有以下幾個注意的問題:
C:\winnt\php.ini只給予users讀權(quán)限即可。在php.ini里需要做如下設置:
Safe_mode=on
register_globals = Off
allow_url_fopen = Off
display_errors = Off
magic_quotes_gpc = On [默認是on,但需檢查一遍]
open_basedir =web目錄
disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod
默認設置com.allow_dcom = true修改為false[修改前要取消掉前面的;]
MySQL安全設置:
如果服務器上啟用MySQL數(shù)據(jù)庫,MySQL數(shù)據(jù)庫需要注意的安全設置為:
刪除mysql中的所有默認用戶,只保留本地root帳戶,為root用戶加上一個復雜的密碼。賦予普通用戶updatedeletealertcreatedrop權(quán)限的時候,并限定到特定的數(shù)據(jù)庫,尤其要避免普通客戶擁有對mysql數(shù)據(jù)庫操作的權(quán)限。檢查mysql.user表,取消不必要用戶的shutdown_priv,relo
ad_priv,process_priv和File_priv權(quán)限,這些權(quán)限可能泄漏更多的服務器信息包括非mysql的其它信息出去。可以為mysql設置一個啟動用戶,該用戶只對mysql目錄有權(quán)限。設置安裝目錄的data數(shù)據(jù)庫的權(quán)限(此目錄存放了mysql數(shù)據(jù)庫的數(shù)據(jù)信息)。對于mysql安裝目錄給users加上讀取、列目錄和執(zhí)行權(quán)限。
Serv-u安全問題:
安裝程序盡量采用最新版本,避免采用默認安裝目錄,設置好serv-u目錄所在的權(quán)限,設置一個復雜的管理員密碼。修改serv-u的banner信息,設置被動模式端口范圍(4001—4003)在本地服務器中設置中做好相關(guān)安全設置:包括檢查匿名密碼,禁用反超時調(diào)度,攔截“FTP bounce”攻擊和FXP,對于在30秒內(nèi)連接超過3次的用戶攔截10分鐘。域中的設置為:要求復雜密碼,目錄只使用小寫字母,高級中設置取消允許使用MDTM命令更改文件的日期。
更改serv-u的啟動用戶:在系統(tǒng)中新建一個用戶,設置一個復雜點的密碼,不屬于任何組。將servu的安裝目錄給予該用戶完全控制權(quán)限。建立一個FTP根目錄,需要給予這個用戶該目錄完全控制權(quán)限,因為所有的ftp用戶上傳,刪除,更改文件都是繼承了該用戶的權(quán)限,否則無法操作文件。另外需要給該目錄以上的上級目錄給該用戶的讀取權(quán)限,否則會在連接的時候出現(xiàn)530 Not logged in, home directory does not exist。比如在測試的時候ftp根目錄為d:soft,必須給d盤該用戶的讀取權(quán)限,為了安全取消d盤其他文件夾的繼承權(quán)限。而一般的使用默認的system啟動就沒有這些問題,因為system一般都擁有這些權(quán)限的。
數(shù)據(jù)庫服務器的安全設置
對于專用的MSSQL數(shù)據(jù)庫服務器,按照上文所講的設置TCP/IP篩選和IP策略,對外只開放1433和5631端口。對于MSSQL首先需要為sa設置一個強壯的密碼,使用混合身份驗證,加強數(shù)據(jù)庫日志的記錄,審核數(shù)據(jù)庫登陸事件的”成功和失敗”.刪除一些不需要的和危險的OLE自動存儲過程(會造成企業(yè)管理器中部分功能不能使用),這些過程包括如下:
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
去掉不需要的注冊表訪問過程,包括有:
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue
Xp_regenumvalues Xp_regread Xp_regremovemultistring
Xp_regwrite
去掉其他系統(tǒng)存儲過程,如果認為還有威脅,當然要小心Drop這些過程,可以在測試機器上測試,保證正常的系統(tǒng)能完成工作,這些過程包括:
xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember
xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin
sp_addextendedproc
在實例屬性中選擇TCP/IP協(xié)議的屬性。選擇隱藏 SQL Server 實例可防止對1434端口的探測,可修改默認使用的1433端口。除去數(shù)據(jù)庫的guest賬戶把未經(jīng)認可的使用者據(jù)之在外。 例外情況是master和 tempdb 數(shù)據(jù)庫,因為對他們guest帳戶是必需的。另外注意設置好各個數(shù)據(jù)庫用戶的權(quán)限,對于這些用戶只給予所在數(shù)據(jù)庫的一些權(quán)限。在程序中不要用sa用戶去連接任何數(shù)據(jù)庫。網(wǎng)絡上有建議大家使用協(xié)議加密的,千萬不要這么做,否則你只能重裝MSSQL了。
入侵檢測和數(shù)據(jù)備份
入侵檢測工作
作為服務器的日常管理,入侵檢測是一項非常重要的工作,在平常的檢測過程中,主要包含日常的服務器安全例行檢查和遭到入侵時的入侵檢查,也就是分為在入侵進行時的安全檢查和在入侵前后的安全檢查。系統(tǒng)的安全性遵循木桶原理,木桶原理指的是:一個木桶由許多塊木板組成,如果組成木桶的這些木板長短不一,那么這個木桶的最大容量不取決于長的木板,而取決于最短的那塊木板。應用到安全方面也就是說系統(tǒng)的安全性取決于系統(tǒng)中最脆弱的地方,這些地方是日常的安全檢測的重點所在。
日常的安全檢測
日常安全檢測主要針對系統(tǒng)的安全性,工作主要按照以下步驟進行:
1.查看服務器狀態(tài):
打開進程管理器,查看服務器性能,觀察CPU和內(nèi)存使用狀況。查看是否有CPU和內(nèi)存占用過高等異常情況。
2.檢查當前進程情況
切換“任務管理器”到進程,查找有無可疑的應用程序或后臺進程在運行。用進程管理器查看進程時里面會有一項taskmgr,這個是進程管理器自身的進程。如果正在運行windows更新會有一項wuauclt.exe進程。對于拿不準的進程或者說不知道是服務器上哪個應用程序開啟的進程,可以在網(wǎng)絡上搜索一下該進程名加以確定[進程知識庫:http://www.dofile.com/]。通常的后門如果有進程的話,一般會取一個與系統(tǒng)進程類似的名稱,如svch0st.exe,此時要仔細辨別[通常迷惑手段是變字母o為數(shù)字0,變字母l為數(shù)字1]
3.檢查系統(tǒng)帳號
打開計算機管理,展開本地用戶和組選項,查看組選項,查看administrators組是否添加有新帳號,檢查是否有克隆帳號。
4.查看當前端口開放情況
使用activeport,查看當前的端口連接情況,尤其是注意與外部連接著的端口情況,看是否有未經(jīng)允許的端口與外界在通信。如有,立即關(guān)閉該端口并記錄下該端口對應的程序并記錄,將該程序轉(zhuǎn)移到其他目錄下存放以便后來分析。打開計算機管理==》軟件環(huán)境==》正在運行任務[在此處可以查看進程管理器中看不到的隱藏進程],查看當前運行的程序,如果有不明程序,記錄下該程序的位置,打開任務管理器結(jié)束該進程,對于采用了守護進程的后門等程序可嘗試結(jié)束進程樹,如仍然無法結(jié)束,在注冊表中搜索該程序名,刪除掉相關(guān)鍵值,切換到安全模式下刪除掉相關(guān)的程序文件。
5.檢查系統(tǒng)服務
運行services.msc,檢查處于已啟動狀態(tài)的服務,查看是否有新加的未知服務并確定服務的用途。對于不清楚的服務打開該服務的屬性,查看該服務所對應的可執(zhí)行文件是什么,如果確定該文件是系統(tǒng)內(nèi)的正常使用的文件,可粗略放過。查看是否有其他正常開放服務依存在該服務上,如果有,可以粗略的放過。如果無法確定該執(zhí)行文件是否是系統(tǒng)內(nèi)正常文件并且沒有其他正常開放服務依存在該服務上,可暫時停止掉該服務,然后測試下各種應用是否正常。對于一些后門由于采用了hook系統(tǒng)API技術(shù),添加的服務項目在服務管理器中是無法看到的,這時需要打開注冊表中的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices項進行查找,通過查看各服務的名稱、對應的執(zhí)行文件來確定是否是后門、木馬程序等。
6.查看相關(guān)日志
運行eventvwr.msc,粗略檢查系統(tǒng)中的相關(guān)日志記錄。在查看時在對應的日志記錄上點右鍵選“屬性”,在“篩選器”中設置一個日志篩選器,只選擇錯誤、警告,查看日志的來源和具體描述信息。對于出現(xiàn)的錯誤如能在服務器常見故障排除中找到解決辦法則依照該辦法處理該問題,如果無解決辦法則記錄下該問題,詳細記錄下事件來源、ID號和具體描述信息,以便找到問題解決的辦法。
7.檢查系統(tǒng)文件
主要檢查系統(tǒng)盤的exe和dll文件,建議系統(tǒng)安裝完畢之后用dir *.exe /s >1.txt將C盤所有的exe文件列表保存下來,然后每次檢查的時候再用該命令生成一份當時的列表,用fc比較兩個文件,同樣如此針對dll文件做相關(guān)檢查。需要注意的是打補丁或者安裝軟件后重新生成一次原始列表。檢查相關(guān)系統(tǒng)文件是否被替換或系統(tǒng)中是否被安裝了木馬后門等惡意程序。必要時可運行一次殺毒程序?qū)ο到y(tǒng)盤進行一次掃描處理。
8.檢查安全策略是否更改
打開本地連接的屬性,查看“常規(guī)”中是否只勾選了“TCP/IP協(xié)議”,打開“TCP/IP”協(xié)議設置,點“高級”==》“選項”,查看“IP安全機制”是否是設定的IP策略,查看“TCP/IP”篩選允許的端口有沒有被更改。打開“管理工具”=》“本地安全策略”,查看目前使用的IP安全策略是否發(fā)生更改。
9.檢查目錄權(quán)限
重點查看系統(tǒng)目錄和重要的應用程序權(quán)限是否被更改。需要查看的目錄有c:;c:winnt;
C:winntsystem32;c:winntsystem32inetsrv;c:winntsystem32inetsrvdata;c:documents and
Settings;然后再檢查serv-u安裝目錄,查看這些目錄的權(quán)限是否做過變動。檢查system32下的一些重要文件是否更改過權(quán)限,包括:cmd,net,ftp,tftp,cacls等文件。
10.檢查啟動項
主要檢查當前的開機自啟動程序。可以使用AReporter來檢查開機自啟動的程序。
發(fā)現(xiàn)入侵時的應對措施
對于即時發(fā)現(xiàn)的入侵事件,以下情況針對系統(tǒng)已遭受到破壞情況下的處理,系統(tǒng)未遭受到破壞或暫時無法察覺到破壞先按照上述的檢查步驟檢查一遍后再酌情考慮以下措施。系統(tǒng)遭受到破壞后應立即采取以下措施:
視情況嚴重決定處理的方式,是通過遠程處理還是通過實地處理。如情況嚴重建議采用實地處理。如采用實地處理,在發(fā)現(xiàn)入侵的第一時間通知機房關(guān)閉服務器,待處理人員趕到機房時斷開網(wǎng)線,再進入系統(tǒng)進行檢查。如采用遠程處理,如情況嚴重第一時間停止所有應用服務,更改IP策略為只允許遠程管理端口進行連接然后重新啟動服務器,重新啟動之后再遠程連接上去進行處理,重啟前先用AReporter檢查開機自啟動的程序。然后再進行安全檢查。
以下處理措施針對用戶站點被入侵但未危及系統(tǒng)的情況,如果用戶要求加強自己站點的安全性,可按如下方式加固用戶站點的安全:
站點根目錄----只給administrator讀取權(quán)限,權(quán)限繼承下去。
wwwroot ------給web用戶讀取、寫入權(quán)限。高級里面有刪除子文件夾和文件權(quán)限
logfiles------給system寫入權(quán)限。
database------給web用戶讀取、寫入權(quán)限。高級里面沒有刪除子文件夾和文件權(quán)限
如需要進一步修改,可針對用戶站點的特性對于普通文件存放目錄如html、js、圖片文件夾只給讀取權(quán)限,對asp等腳本文件給予上表中的權(quán)限。另外查看該用戶站點對應的安全日志,找出漏洞原因,協(xié)助用戶修補程序漏洞。
數(shù)據(jù)備份和數(shù)據(jù)恢復
數(shù)據(jù)備份工作大致如下:
1. 每月備份一次系統(tǒng)數(shù)據(jù)。
2. 備份系統(tǒng)后的兩周單獨備份一次應用程序數(shù)據(jù),主要包括IIS、serv-u、數(shù)據(jù)庫等數(shù)據(jù)。
3. 確保備份數(shù)據(jù)的安全,并分類放置這些數(shù)據(jù)備份。因基本上采用的都是全備份方法,對于數(shù)據(jù)的保留周期可以只保留該次備份和上次備份數(shù)據(jù)兩份即可。
數(shù)據(jù)恢復工作:
1.系統(tǒng)崩潰或遇到其他不可恢復系統(tǒng)正常狀態(tài)情況時,先對上次系統(tǒng)備份后發(fā)生的一些更改事件如應用程序、安全策略等的設置做好備份,恢復完系統(tǒng)后再恢復這些更改。
2.應用程序等出錯采用最近一次的備份數(shù)據(jù)恢復相關(guān)內(nèi)容。
服務器性能優(yōu)化
1 服務器性能優(yōu)化
系統(tǒng)性能優(yōu)化
整理系統(tǒng)空間:
刪除系統(tǒng)備份文件,刪除驅(qū)動備份,刪除不用的輸入法,刪除系統(tǒng)的幫助文件,卸載不常用的組件。最小化C盤文件。
性能優(yōu)化:
刪除多余的開機自動運行程序;減少預讀取,減少進度條等待時間;讓系統(tǒng)自動關(guān)閉停止響應的程序;禁用錯誤報告,但在發(fā)生嚴重錯誤時通知;關(guān)閉自動更新,改為手動更新計算機;啟用硬件和DirectX加速;禁用關(guān)機事件跟蹤;禁用配置服務器向?qū)В?減少開機磁盤掃描等待時間;將處理器計劃和內(nèi)存使用都調(diào)到應用程序上;調(diào)整虛擬內(nèi)存;內(nèi)存優(yōu)化;修改cpu的二級緩存;修改磁盤緩存。
IIS性能優(yōu)化
1、調(diào)整IIS高速緩存
HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\InetInfoParametersMemoryCacheSize
MemoryCacheSize的范圍是從0道4GB,缺省值為3072000(3MB)。一般來說此值最小應設為服務器內(nèi)存的10%。IIS通過高速緩存系統(tǒng)句柄、目錄列表以及其他常用數(shù)據(jù)的值來提高系統(tǒng)的性能。這個參數(shù)指明了分配給高速緩存的內(nèi)存大小。如果該值為0,那就意味著“不進行任何高速緩存”。在這種情況下系統(tǒng)的性能可能會降低。如果你的服務器網(wǎng)絡通訊繁忙,并且有足夠的內(nèi)存空間,可以考慮增大該值。必須注意的是修改注冊表后,需要重新啟動才能使新值生效。
2.不要關(guān)閉系統(tǒng)服務: “Protected Storage”
3.對訪問流量進行限制
A.對站點訪問人數(shù)進行限制
B.站點帶寬限制。保持HTTP連接。
C.進程限制, 輸入CPU的耗用百分比
4.提高IIS的處理效率
應用程序設置”處的“應用程序保護”下拉按鈕,從彈出的下拉列表中,選中“低(IIS進程)”選項,IIS服務器處理程序的效率可以提高20%左右。但此設置會帶來嚴重的安全問題,不值得推薦。
5.將IIS服務器設置為獨立的服務器
A.提高硬件配置來優(yōu)化IIS性能硬盤:硬盤空間被NT和IIS服務以如下兩種方式使用:一種是簡單地存儲數(shù)據(jù);另一種是作為虛擬內(nèi)存使用。如果使用Ultra2的SCSI硬盤,可以顯著提高IIS的性能。
B.可以把NT服務器的頁交換文件分布到多個物理磁盤上,注意是多個“物理磁盤”,分布在多個分區(qū)上是無效的。另外,不要將頁交換文件放在與WIndows NT引導區(qū)相同的分區(qū)中。
C.使用磁盤鏡像或磁盤帶區(qū)集可以提高磁盤的讀取性能。
D.最好把所有的數(shù)據(jù)都儲存在一個單獨的分區(qū)里。然后定期運行磁盤碎片整理程序以保證在存儲Web服務器數(shù)據(jù)的分區(qū)中沒有碎片。使用NTFS有助于減少碎片。推薦使用Norton的Speeddisk,可以很快的整理NTFS分區(qū)。
6.起用HTTP壓縮
HTTP壓縮是在Web服務器和瀏覽器間傳輸壓縮文本內(nèi)容的方法。HTTP壓縮采用通用的壓縮算法如gzip等壓縮HTML、JavaScript或CSS文件。可使用pipeboost進行設置。
7.起用資源回收
使用IIS5Recycle定時回收進程資源。
服務器常見故障排除
1. ASP“請求的資源正在使用中”的解決辦法:
該問題一般與殺毒軟件有關(guān),在服務器上安裝個人版殺毒軟件所致。出現(xiàn)這種錯誤可以通過卸載殺毒軟件解決,也可嘗試重新注冊vbscript.dll和jscript.dll來解決,在命令行下運行:regsvr32 vbscript.dll 和regsvr32 jscript.dll即可。
2.ASP500錯誤解決辦法:
首先確定該問題是否是單一站點存在還是所有站點存在,如果是單一站點存在該問題,則是網(wǎng)站程序的問題,可打開該站點的錯誤提示,把IE的“顯示友好HTTP錯誤”信息取消,查看具體錯誤信息,然后對應修改相關(guān)程序。如是所有站點存在該問題,并且HTML頁面沒有出現(xiàn)該問題,相關(guān)日志出現(xiàn)“服務器無法加載應用程序‘/LM/W3SVC/1/ROOT‘。錯誤是 ‘不支持此接口‘”。那十有八九是服務器系統(tǒng)中的ASP相關(guān)組件出現(xiàn)了問題,重新啟動IIS服務,嘗試是否可以解決該問題,無法解決重新啟動系統(tǒng)嘗試是否可解決該問題,如無法解決可重新修復一下ASP組件:
首先刪除com組件中的關(guān)于IIS的三個東西,需要先將屬性里的高級中“禁止刪除”的勾選取消。
命令行中,輸入“cd winnt\system32\inetsrv”字符串命令,單擊回車鍵后,再執(zhí)行“rundll32 wamreg.dll,CreateIISPackage”命令,接著再依次執(zhí)行“regsvr32 asptxn.dll”命令、“iisreset”命令,最后重新啟動一下計算機操作系統(tǒng),這樣IIS服務器就能重新正確響應ASP腳本頁面了。
3. IIS出現(xiàn)105錯誤:
在系統(tǒng)日志中“服務器無法注冊管理工具發(fā)現(xiàn)信息。管理工具可能無法看到此服務器” 來源:w3svc ID:105解決辦法:
在網(wǎng)絡連接中重新安裝netbios協(xié)議即可,安裝完成之后取消掉勾選。
4.MySQL服務無法啟動【錯誤代碼1067】的解決方法
啟動MySQL服務時都會在中途報錯!內(nèi)容為:在 本地計算機 無法啟動MySQL服務 錯誤1067:進程意外中止。
解決方法:查找Windows目錄下的my.ini文件,編輯內(nèi)容(如果沒有該文件,則新建一個),至少包含
basedir,datadir這兩個基本的配置。
[mysqld]
# set basedir to installation path, e.g., c:/mysql
# 設置為MYSQL的安裝目錄
basedir=D:/www/WebServer/MySQL
# set datadir to location of data directory,
# e.g., c:/mysql/data or d:/mydata/data
# 設置為MYSQL的數(shù)據(jù)目錄
datadir=D:/www/WebServer/MySQL/data
注意,我在更改系統(tǒng)的temp目錄之后沒有對更改后的目錄給予system用戶的權(quán)限也出現(xiàn)過該問題。
5.DllHotst進程消耗cpu 100%的問題
服務器正常CPU消耗應該在75%以下,而且CPU消耗應該是上下起伏的,出現(xiàn)這種問題的服務器,CPU會突然一直處100%的水平,而且不會下降。
查看任務管理器,可以發(fā)現(xiàn)是DLLHOST.EXE消耗了所有的CPU空閑時間,管理員在這種情況下,只好重新啟動IIS服務,奇怪的是,重新啟動IIS服務后一切正常,但可能過了一段時間后,問題又再次出現(xiàn)了。
直接原因:
有一個或多個ACCESS數(shù)據(jù)庫在多次讀寫過程中損壞, MDAC系統(tǒng)在寫入這個損壞的ACCESS文件時,ASP線程處于BLOCK狀態(tài),結(jié)果其他線程只能等待,IIS被死鎖了,全部的CPU時間都消耗在DLLHOST中。
解決辦法:
把數(shù)據(jù)庫下載到本地,然后用ACCESS打開,進行修復操作。再上傳到網(wǎng)站。如果還不行,只有新建一個ACCESS數(shù)據(jù)庫,再從原來的數(shù)據(jù)庫中導入所有表和記錄。然后把新數(shù)據(jù)庫上傳到服務器上。
6.Windows installer出錯:
在安裝軟件的時候出現(xiàn)“不能訪問windows installer 服務。可能你在安全模式下運行 windows ,或者windows installer 沒有正確的安裝。請和你的支持人員聯(lián)系以獲得幫助” 如果試圖重新安裝InstMsiW.exe,提示:“指定的服務已存在”。
解決辦法:
關(guān)于installer的錯誤,可能還有其他錯誤提示,可嘗試以下解決辦法:
首先確認是否是權(quán)限方面的問題,提示信息會提供相關(guān)信息,如果是權(quán)限問題,給予winnt目錄everyone權(quán)限即可[安裝完把權(quán)限改回來即可]。如果提示的是上述信息,可以嘗試以下解決方法:運行“msiexec /unregserver”卸載Windows Installer服務,如果無法卸載可使用SRVINSTW進行卸載,然后下載windows installer的安裝程序[地址:http://www.newhua.com/cfan/200410/instmsiw.exe],用winrar解壓該文件,在解壓縮出來的文件夾里面找到msi.inf文件,右鍵單擊選擇“安裝”,重新啟動系統(tǒng)后運行“msiexec /regserver”重新注冊Windows Installer服務。
服務器管理
服務器日常管理安排
服務器管理工作必須規(guī)范嚴謹,尤其在不是只有一位管理員的時候,日常管理工作包括:
1.服務器的定時重啟。每臺服務器保證每周重新啟動一次。重新啟動之后要進行復查,確認服務器已經(jīng)啟動了,確認服務器上的各項服務均恢復正常。對于沒有啟動起來或服務未能及時恢復的情況要采取相應措施。前者可請求托管商的相關(guān)工作人員幫忙手工重新啟動,必要時可要求讓連接上顯示器確認是否已啟動起來;后者需要遠程登陸上服務器進行原因查找并根據(jù)原因嘗試恢復服務。
2.服務器的安全、性能檢查,每服務器至少保證每周登陸兩次粗略檢查兩次。每次檢查的結(jié)果要求進行登記在冊。如需要使用一些工具進行檢查,可直接在e:tools中查找到相關(guān)工具。對于臨時需要從網(wǎng)絡上找的工具,首先將IE的安全級別調(diào)整到高,然后在網(wǎng)絡上進行查找,不要去任何不明站點下載,盡量選擇如華軍、天空等大型網(wǎng)站進行下載,下載后確保當前殺毒軟件已升級到最新版本,升級完畢后對下載的軟件進行一次殺毒,確認正常后方能使用。對于下載的新工具對以后維護需要使用的話,將該工具保存到e:tools下,并在該目錄中的readme.txt文件中做好相應記錄,記錄該工具的名稱,功能,使用方法。并且在該文件夾中的rar文件夾中保留一份該工具的winrar壓縮文件備份,設置解壓密碼。
3.服務器的數(shù)據(jù)備份工作,每服務器至少保證每月備份一次系統(tǒng)數(shù)據(jù),系統(tǒng)備份采用ghost方式,對于ghost文件固定存放在e:ghost文件目錄下,文件名以備份的日期命名,如0824.gho,每服務器至少保證每兩周備份一次應用程序數(shù)據(jù),每服務器至少保證每月備份一次用戶數(shù)據(jù),備份的數(shù)據(jù)固定存放在e:databak文件夾,針對各種數(shù)據(jù)再建立對應的子文件夾,如serv-u用戶數(shù)據(jù)放在該文件夾下的servu文件夾下,iis站點數(shù)據(jù)存放在該文件夾下的iis文件夾下。
4.服務器的監(jiān)控工作,每天正常工作期間必須保證監(jiān)視所有服務器狀態(tài),一旦發(fā)現(xiàn)服務停止要及時采取相應措施。對于發(fā)現(xiàn)服務停止,首先檢查該服務器上同類型的服務是否中斷,如所有同類型的服務都已中斷及時登陸服務器查看相關(guān)原因并針對該原因嘗試重新開啟對應服務。
5.服務器的相關(guān)日志操作,每服務器保證每月對相關(guān)日志進行一次清理,清理前對應的各項日志如應用程序日志、安全日志、系統(tǒng)日志等都應選擇“保存日志”。所有的日志文件統(tǒng)一保存在e:logs下,應用程序日志保存在e:logsapp中,系統(tǒng)程序日志保存在e:logssys中,安全日志保存在e:logssec中。對于另外其他一些應用程序的日志,也按照這個方式進行處理,如ftp的日志保存在e:logsftp中。所有的備份日志文件都以備份的日期命名,如20050824.evt。對于不是單文件形式的日志,在對應的記錄位置下建立一個以日期命名的文件夾,將這些文件存放在該文件夾中。
6.服務器的補丁修補、應用程序更新工作,對于新出的漏洞補丁,應用程序方面的安全更新一定要在發(fā)現(xiàn)的第一時間給每服務器打上應用程序的補丁。
7.服務器的隱患檢查工作,主要包括安全隱患、性能等方面。每服務器必須保證每月重點的單獨檢查一次。每次的檢查結(jié)果必須做好記錄。
8.不定時的相關(guān)工作,每服務器由于應用軟件更改或其他某原因需要安裝新的應用程序或卸載應用程序等操作必須知會所有管理員。
9.定期的管理密碼更改工作,每服務器保證至少每兩個月更改一次密碼,對于SQL服務器由于如果SQL采用混合驗證更改系統(tǒng)管理員密碼會影響數(shù)據(jù)庫的使用則不予修改。
相關(guān)建議:對每服務器設立一個服務器管理記載,管理員每次登陸系統(tǒng)都應該在此中進行詳細的記錄,共需要記錄以下幾項:登入時間,退出時間,登入時服務器狀態(tài)[包含不明進程記錄,端口連接狀態(tài),系統(tǒng)帳號狀態(tài),內(nèi)存/CPU狀態(tài)],詳細操作情況記錄[詳細記錄下管理員登陸系統(tǒng)后的每一步操作]。無論是遠程登陸操作還是物理接觸操作都要進行記錄,然后將這些記錄按照各服務器歸檔,按時間順序整理好文檔。
對于數(shù)據(jù)備份、服務器定時重啟等操作建議將服務器分組,例如分成四組,每月的周六晚備份一組服務器的數(shù)據(jù),每周的某一天定時去重啟一組的服務器,這樣對于工作的開展比較方便,這些屬于固定性的工作。另外有些工作可以同步進行,如每月一次的數(shù)據(jù)備份、安全檢查和管理員密碼修改工作,先進行數(shù)據(jù)備份,然后進行安全檢查,再修改密碼。對于需要的即時操作如服務器補丁程序的安裝、服務器不定時的故障維護等工作,這些屬于即時性的工作,但是原則上即時性的工作不能影響固定工作的安排。
管理員日常注意事項
在服務器管理過程中,管理員需要注意以下事項:
1.對自己的每一次操作應做好詳細記錄,具體見上述建議,以便于后來檢查。
2.努力提高自身水平,加強學習。
刪除默認建立的站點的虛擬目錄,停止默認web站點,刪除對應的文件目錄c:inetpub,配置所有站點的公共設置,設置好相關(guān)的連接數(shù)限制,帶寬設置以及性能設置等其他設置。配置應用程序映射,刪除所有不必要的應用程序擴展,只保留asp,php,cgi,pl,aspx應用程序擴展。對于php和cgi,推薦使用isapi方式解析,用exe解析對安全和性能有所影響。用戶程序調(diào)試設置發(fā)送文本錯誤信息給戶。對于數(shù)據(jù)庫,盡量采用mdb后綴,不需要更改為asp,可在IIS中設置一個mdb的擴展映射,將這個映射使用一個無關(guān)的dll文件如C:WINNTsystem32inetsrvssinc.dll來防止數(shù)據(jù)庫被下載。設置IIS的日志保存目錄,調(diào)整日志記錄信息。設置為發(fā)送文本錯誤信息。修改403錯誤頁面,將其轉(zhuǎn)向到其他頁,可防止一些掃描器的探測。另外為隱藏系統(tǒng)信息,防止telnet到80端口所泄露的系統(tǒng)版本信息可修改IIS的banner信息,可以使用winhex手工修改或者使用相關(guān)軟件如banneredit修改。
對于用戶站點所在的目錄,在此說明一下,用戶的FTP根目錄下對應三個文件佳,wwwroot,database,logfiles,分別存放站點文件,數(shù)據(jù)庫備份和該站點的日志。如果一旦發(fā)生入侵事件可對該用戶站點所在目錄設置具體的權(quán)限,圖片所在的目錄只給予列目錄的權(quán)限,程序所在目錄如果不需要生成文件(如生成html的程序)不給予寫入權(quán)限。因為是虛擬主機平常對腳本安全沒辦法做到細致入微的地步,更多的只能在方法用戶從腳本提升權(quán)限:
ASP的安全設置:
設置過權(quán)限和服務之后,防范asp木馬還需要做以下工作,在cmd窗口運行以下命令:
regsvr32/u C:\WINNT\System32\wshom.ocx
del C:\WINNT\System32\wshom.ocx
regsvr32/u C:\WINNT\system32\shell32.dll
del C:\WINNT\system32\shell32.dll
即可將WScript.Shell, Shell.application, WScript.Network組件卸載,可有效防止asp木馬通過wscript或shell.application執(zhí)行命令以及使用木馬查看一些系統(tǒng)敏感信息。另法:可取消以上文件的users用戶的權(quán)限,重新啟動IIS即可生效。但不推薦該方法。
另外,對于FSO由于用戶程序需要使用,服務器上可以不注銷掉該組件,這里只提一下FSO的防范,但并不需要在自動開通空間的虛擬商服務器上使用,只適合于手工開通的站點。可以針對需要FSO和不需要FSO的站點設置兩個組,對于需要FSO的用戶組給予c:winntsystem32scrrun.dll文件的執(zhí)行權(quán)限,不需要的不給權(quán)限。重新啟動服務器即可生效。
對于這樣的設置結(jié)合上面的權(quán)限設置,你會發(fā)現(xiàn)海陽木馬已經(jīng)在這里失去了作用!
PHP的安全設置:
默認安裝的php需要有以下幾個注意的問題:
C:\winnt\php.ini只給予users讀權(quán)限即可。在php.ini里需要做如下設置:
Safe_mode=on
register_globals = Off
allow_url_fopen = Off
display_errors = Off
magic_quotes_gpc = On [默認是on,但需檢查一遍]
open_basedir =web目錄
disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod
默認設置com.allow_dcom = true修改為false[修改前要取消掉前面的;]
MySQL安全設置:
如果服務器上啟用MySQL數(shù)據(jù)庫,MySQL數(shù)據(jù)庫需要注意的安全設置為:
刪除mysql中的所有默認用戶,只保留本地root帳戶,為root用戶加上一個復雜的密碼。賦予普通用戶updatedeletealertcreatedrop權(quán)限的時候,并限定到特定的數(shù)據(jù)庫,尤其要避免普通客戶擁有對mysql數(shù)據(jù)庫操作的權(quán)限。檢查mysql.user表,取消不必要用戶的shutdown_priv,relo
ad_priv,process_priv和File_priv權(quán)限,這些權(quán)限可能泄漏更多的服務器信息包括非mysql的其它信息出去。可以為mysql設置一個啟動用戶,該用戶只對mysql目錄有權(quán)限。設置安裝目錄的data數(shù)據(jù)庫的權(quán)限(此目錄存放了mysql數(shù)據(jù)庫的數(shù)據(jù)信息)。對于mysql安裝目錄給users加上讀取、列目錄和執(zhí)行權(quán)限。
Serv-u安全問題:
安裝程序盡量采用最新版本,避免采用默認安裝目錄,設置好serv-u目錄所在的權(quán)限,設置一個復雜的管理員密碼。修改serv-u的banner信息,設置被動模式端口范圍(4001—4003)在本地服務器中設置中做好相關(guān)安全設置:包括檢查匿名密碼,禁用反超時調(diào)度,攔截“FTP bounce”攻擊和FXP,對于在30秒內(nèi)連接超過3次的用戶攔截10分鐘。域中的設置為:要求復雜密碼,目錄只使用小寫字母,高級中設置取消允許使用MDTM命令更改文件的日期。
更改serv-u的啟動用戶:在系統(tǒng)中新建一個用戶,設置一個復雜點的密碼,不屬于任何組。將servu的安裝目錄給予該用戶完全控制權(quán)限。建立一個FTP根目錄,需要給予這個用戶該目錄完全控制權(quán)限,因為所有的ftp用戶上傳,刪除,更改文件都是繼承了該用戶的權(quán)限,否則無法操作文件。另外需要給該目錄以上的上級目錄給該用戶的讀取權(quán)限,否則會在連接的時候出現(xiàn)530 Not logged in, home directory does not exist。比如在測試的時候ftp根目錄為d:soft,必須給d盤該用戶的讀取權(quán)限,為了安全取消d盤其他文件夾的繼承權(quán)限。而一般的使用默認的system啟動就沒有這些問題,因為system一般都擁有這些權(quán)限的。
數(shù)據(jù)庫服務器的安全設置
對于專用的MSSQL數(shù)據(jù)庫服務器,按照上文所講的設置TCP/IP篩選和IP策略,對外只開放1433和5631端口。對于MSSQL首先需要為sa設置一個強壯的密碼,使用混合身份驗證,加強數(shù)據(jù)庫日志的記錄,審核數(shù)據(jù)庫登陸事件的”成功和失敗”.刪除一些不需要的和危險的OLE自動存儲過程(會造成企業(yè)管理器中部分功能不能使用),這些過程包括如下:
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
去掉不需要的注冊表訪問過程,包括有:
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue
Xp_regenumvalues Xp_regread Xp_regremovemultistring
Xp_regwrite
去掉其他系統(tǒng)存儲過程,如果認為還有威脅,當然要小心Drop這些過程,可以在測試機器上測試,保證正常的系統(tǒng)能完成工作,這些過程包括:
xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember
xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin
sp_addextendedproc
在實例屬性中選擇TCP/IP協(xié)議的屬性。選擇隱藏 SQL Server 實例可防止對1434端口的探測,可修改默認使用的1433端口。除去數(shù)據(jù)庫的guest賬戶把未經(jīng)認可的使用者據(jù)之在外。 例外情況是master和 tempdb 數(shù)據(jù)庫,因為對他們guest帳戶是必需的。另外注意設置好各個數(shù)據(jù)庫用戶的權(quán)限,對于這些用戶只給予所在數(shù)據(jù)庫的一些權(quán)限。在程序中不要用sa用戶去連接任何數(shù)據(jù)庫。網(wǎng)絡上有建議大家使用協(xié)議加密的,千萬不要這么做,否則你只能重裝MSSQL了。
入侵檢測和數(shù)據(jù)備份
入侵檢測工作
作為服務器的日常管理,入侵檢測是一項非常重要的工作,在平常的檢測過程中,主要包含日常的服務器安全例行檢查和遭到入侵時的入侵檢查,也就是分為在入侵進行時的安全檢查和在入侵前后的安全檢查。系統(tǒng)的安全性遵循木桶原理,木桶原理指的是:一個木桶由許多塊木板組成,如果組成木桶的這些木板長短不一,那么這個木桶的最大容量不取決于長的木板,而取決于最短的那塊木板。應用到安全方面也就是說系統(tǒng)的安全性取決于系統(tǒng)中最脆弱的地方,這些地方是日常的安全檢測的重點所在。
日常的安全檢測
日常安全檢測主要針對系統(tǒng)的安全性,工作主要按照以下步驟進行:
1.查看服務器狀態(tài):
打開進程管理器,查看服務器性能,觀察CPU和內(nèi)存使用狀況。查看是否有CPU和內(nèi)存占用過高等異常情況。
2.檢查當前進程情況
切換“任務管理器”到進程,查找有無可疑的應用程序或后臺進程在運行。用進程管理器查看進程時里面會有一項taskmgr,這個是進程管理器自身的進程。如果正在運行windows更新會有一項wuauclt.exe進程。對于拿不準的進程或者說不知道是服務器上哪個應用程序開啟的進程,可以在網(wǎng)絡上搜索一下該進程名加以確定[進程知識庫:http://www.dofile.com/]。通常的后門如果有進程的話,一般會取一個與系統(tǒng)進程類似的名稱,如svch0st.exe,此時要仔細辨別[通常迷惑手段是變字母o為數(shù)字0,變字母l為數(shù)字1]
3.檢查系統(tǒng)帳號
打開計算機管理,展開本地用戶和組選項,查看組選項,查看administrators組是否添加有新帳號,檢查是否有克隆帳號。
4.查看當前端口開放情況
使用activeport,查看當前的端口連接情況,尤其是注意與外部連接著的端口情況,看是否有未經(jīng)允許的端口與外界在通信。如有,立即關(guān)閉該端口并記錄下該端口對應的程序并記錄,將該程序轉(zhuǎn)移到其他目錄下存放以便后來分析。打開計算機管理==》軟件環(huán)境==》正在運行任務[在此處可以查看進程管理器中看不到的隱藏進程],查看當前運行的程序,如果有不明程序,記錄下該程序的位置,打開任務管理器結(jié)束該進程,對于采用了守護進程的后門等程序可嘗試結(jié)束進程樹,如仍然無法結(jié)束,在注冊表中搜索該程序名,刪除掉相關(guān)鍵值,切換到安全模式下刪除掉相關(guān)的程序文件。
5.檢查系統(tǒng)服務
運行services.msc,檢查處于已啟動狀態(tài)的服務,查看是否有新加的未知服務并確定服務的用途。對于不清楚的服務打開該服務的屬性,查看該服務所對應的可執(zhí)行文件是什么,如果確定該文件是系統(tǒng)內(nèi)的正常使用的文件,可粗略放過。查看是否有其他正常開放服務依存在該服務上,如果有,可以粗略的放過。如果無法確定該執(zhí)行文件是否是系統(tǒng)內(nèi)正常文件并且沒有其他正常開放服務依存在該服務上,可暫時停止掉該服務,然后測試下各種應用是否正常。對于一些后門由于采用了hook系統(tǒng)API技術(shù),添加的服務項目在服務管理器中是無法看到的,這時需要打開注冊表中的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices項進行查找,通過查看各服務的名稱、對應的執(zhí)行文件來確定是否是后門、木馬程序等。
6.查看相關(guān)日志
運行eventvwr.msc,粗略檢查系統(tǒng)中的相關(guān)日志記錄。在查看時在對應的日志記錄上點右鍵選“屬性”,在“篩選器”中設置一個日志篩選器,只選擇錯誤、警告,查看日志的來源和具體描述信息。對于出現(xiàn)的錯誤如能在服務器常見故障排除中找到解決辦法則依照該辦法處理該問題,如果無解決辦法則記錄下該問題,詳細記錄下事件來源、ID號和具體描述信息,以便找到問題解決的辦法。
7.檢查系統(tǒng)文件
主要檢查系統(tǒng)盤的exe和dll文件,建議系統(tǒng)安裝完畢之后用dir *.exe /s >1.txt將C盤所有的exe文件列表保存下來,然后每次檢查的時候再用該命令生成一份當時的列表,用fc比較兩個文件,同樣如此針對dll文件做相關(guān)檢查。需要注意的是打補丁或者安裝軟件后重新生成一次原始列表。檢查相關(guān)系統(tǒng)文件是否被替換或系統(tǒng)中是否被安裝了木馬后門等惡意程序。必要時可運行一次殺毒程序?qū)ο到y(tǒng)盤進行一次掃描處理。
8.檢查安全策略是否更改
打開本地連接的屬性,查看“常規(guī)”中是否只勾選了“TCP/IP協(xié)議”,打開“TCP/IP”協(xié)議設置,點“高級”==》“選項”,查看“IP安全機制”是否是設定的IP策略,查看“TCP/IP”篩選允許的端口有沒有被更改。打開“管理工具”=》“本地安全策略”,查看目前使用的IP安全策略是否發(fā)生更改。
9.檢查目錄權(quán)限
重點查看系統(tǒng)目錄和重要的應用程序權(quán)限是否被更改。需要查看的目錄有c:;c:winnt;
C:winntsystem32;c:winntsystem32inetsrv;c:winntsystem32inetsrvdata;c:documents and
Settings;然后再檢查serv-u安裝目錄,查看這些目錄的權(quán)限是否做過變動。檢查system32下的一些重要文件是否更改過權(quán)限,包括:cmd,net,ftp,tftp,cacls等文件。
10.檢查啟動項
主要檢查當前的開機自啟動程序。可以使用AReporter來檢查開機自啟動的程序。
發(fā)現(xiàn)入侵時的應對措施
對于即時發(fā)現(xiàn)的入侵事件,以下情況針對系統(tǒng)已遭受到破壞情況下的處理,系統(tǒng)未遭受到破壞或暫時無法察覺到破壞先按照上述的檢查步驟檢查一遍后再酌情考慮以下措施。系統(tǒng)遭受到破壞后應立即采取以下措施:
視情況嚴重決定處理的方式,是通過遠程處理還是通過實地處理。如情況嚴重建議采用實地處理。如采用實地處理,在發(fā)現(xiàn)入侵的第一時間通知機房關(guān)閉服務器,待處理人員趕到機房時斷開網(wǎng)線,再進入系統(tǒng)進行檢查。如采用遠程處理,如情況嚴重第一時間停止所有應用服務,更改IP策略為只允許遠程管理端口進行連接然后重新啟動服務器,重新啟動之后再遠程連接上去進行處理,重啟前先用AReporter檢查開機自啟動的程序。然后再進行安全檢查。
以下處理措施針對用戶站點被入侵但未危及系統(tǒng)的情況,如果用戶要求加強自己站點的安全性,可按如下方式加固用戶站點的安全:
站點根目錄----只給administrator讀取權(quán)限,權(quán)限繼承下去。
wwwroot ------給web用戶讀取、寫入權(quán)限。高級里面有刪除子文件夾和文件權(quán)限
logfiles------給system寫入權(quán)限。
database------給web用戶讀取、寫入權(quán)限。高級里面沒有刪除子文件夾和文件權(quán)限
如需要進一步修改,可針對用戶站點的特性對于普通文件存放目錄如html、js、圖片文件夾只給讀取權(quán)限,對asp等腳本文件給予上表中的權(quán)限。另外查看該用戶站點對應的安全日志,找出漏洞原因,協(xié)助用戶修補程序漏洞。
數(shù)據(jù)備份和數(shù)據(jù)恢復
數(shù)據(jù)備份工作大致如下:
1. 每月備份一次系統(tǒng)數(shù)據(jù)。
2. 備份系統(tǒng)后的兩周單獨備份一次應用程序數(shù)據(jù),主要包括IIS、serv-u、數(shù)據(jù)庫等數(shù)據(jù)。
3. 確保備份數(shù)據(jù)的安全,并分類放置這些數(shù)據(jù)備份。因基本上采用的都是全備份方法,對于數(shù)據(jù)的保留周期可以只保留該次備份和上次備份數(shù)據(jù)兩份即可。
數(shù)據(jù)恢復工作:
1.系統(tǒng)崩潰或遇到其他不可恢復系統(tǒng)正常狀態(tài)情況時,先對上次系統(tǒng)備份后發(fā)生的一些更改事件如應用程序、安全策略等的設置做好備份,恢復完系統(tǒng)后再恢復這些更改。
2.應用程序等出錯采用最近一次的備份數(shù)據(jù)恢復相關(guān)內(nèi)容。
服務器性能優(yōu)化
1 服務器性能優(yōu)化
系統(tǒng)性能優(yōu)化
整理系統(tǒng)空間:
刪除系統(tǒng)備份文件,刪除驅(qū)動備份,刪除不用的輸入法,刪除系統(tǒng)的幫助文件,卸載不常用的組件。最小化C盤文件。
性能優(yōu)化:
刪除多余的開機自動運行程序;減少預讀取,減少進度條等待時間;讓系統(tǒng)自動關(guān)閉停止響應的程序;禁用錯誤報告,但在發(fā)生嚴重錯誤時通知;關(guān)閉自動更新,改為手動更新計算機;啟用硬件和DirectX加速;禁用關(guān)機事件跟蹤;禁用配置服務器向?qū)В?減少開機磁盤掃描等待時間;將處理器計劃和內(nèi)存使用都調(diào)到應用程序上;調(diào)整虛擬內(nèi)存;內(nèi)存優(yōu)化;修改cpu的二級緩存;修改磁盤緩存。
IIS性能優(yōu)化
1、調(diào)整IIS高速緩存
HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\InetInfoParametersMemoryCacheSize
MemoryCacheSize的范圍是從0道4GB,缺省值為3072000(3MB)。一般來說此值最小應設為服務器內(nèi)存的10%。IIS通過高速緩存系統(tǒng)句柄、目錄列表以及其他常用數(shù)據(jù)的值來提高系統(tǒng)的性能。這個參數(shù)指明了分配給高速緩存的內(nèi)存大小。如果該值為0,那就意味著“不進行任何高速緩存”。在這種情況下系統(tǒng)的性能可能會降低。如果你的服務器網(wǎng)絡通訊繁忙,并且有足夠的內(nèi)存空間,可以考慮增大該值。必須注意的是修改注冊表后,需要重新啟動才能使新值生效。
2.不要關(guān)閉系統(tǒng)服務: “Protected Storage”
3.對訪問流量進行限制
A.對站點訪問人數(shù)進行限制
B.站點帶寬限制。保持HTTP連接。
C.進程限制, 輸入CPU的耗用百分比
4.提高IIS的處理效率
應用程序設置”處的“應用程序保護”下拉按鈕,從彈出的下拉列表中,選中“低(IIS進程)”選項,IIS服務器處理程序的效率可以提高20%左右。但此設置會帶來嚴重的安全問題,不值得推薦。
5.將IIS服務器設置為獨立的服務器
A.提高硬件配置來優(yōu)化IIS性能硬盤:硬盤空間被NT和IIS服務以如下兩種方式使用:一種是簡單地存儲數(shù)據(jù);另一種是作為虛擬內(nèi)存使用。如果使用Ultra2的SCSI硬盤,可以顯著提高IIS的性能。
B.可以把NT服務器的頁交換文件分布到多個物理磁盤上,注意是多個“物理磁盤”,分布在多個分區(qū)上是無效的。另外,不要將頁交換文件放在與WIndows NT引導區(qū)相同的分區(qū)中。
C.使用磁盤鏡像或磁盤帶區(qū)集可以提高磁盤的讀取性能。
D.最好把所有的數(shù)據(jù)都儲存在一個單獨的分區(qū)里。然后定期運行磁盤碎片整理程序以保證在存儲Web服務器數(shù)據(jù)的分區(qū)中沒有碎片。使用NTFS有助于減少碎片。推薦使用Norton的Speeddisk,可以很快的整理NTFS分區(qū)。
6.起用HTTP壓縮
HTTP壓縮是在Web服務器和瀏覽器間傳輸壓縮文本內(nèi)容的方法。HTTP壓縮采用通用的壓縮算法如gzip等壓縮HTML、JavaScript或CSS文件。可使用pipeboost進行設置。
7.起用資源回收
使用IIS5Recycle定時回收進程資源。
服務器常見故障排除
1. ASP“請求的資源正在使用中”的解決辦法:
該問題一般與殺毒軟件有關(guān),在服務器上安裝個人版殺毒軟件所致。出現(xiàn)這種錯誤可以通過卸載殺毒軟件解決,也可嘗試重新注冊vbscript.dll和jscript.dll來解決,在命令行下運行:regsvr32 vbscript.dll 和regsvr32 jscript.dll即可。
2.ASP500錯誤解決辦法:
首先確定該問題是否是單一站點存在還是所有站點存在,如果是單一站點存在該問題,則是網(wǎng)站程序的問題,可打開該站點的錯誤提示,把IE的“顯示友好HTTP錯誤”信息取消,查看具體錯誤信息,然后對應修改相關(guān)程序。如是所有站點存在該問題,并且HTML頁面沒有出現(xiàn)該問題,相關(guān)日志出現(xiàn)“服務器無法加載應用程序‘/LM/W3SVC/1/ROOT‘。錯誤是 ‘不支持此接口‘”。那十有八九是服務器系統(tǒng)中的ASP相關(guān)組件出現(xiàn)了問題,重新啟動IIS服務,嘗試是否可以解決該問題,無法解決重新啟動系統(tǒng)嘗試是否可解決該問題,如無法解決可重新修復一下ASP組件:
首先刪除com組件中的關(guān)于IIS的三個東西,需要先將屬性里的高級中“禁止刪除”的勾選取消。
命令行中,輸入“cd winnt\system32\inetsrv”字符串命令,單擊回車鍵后,再執(zhí)行“rundll32 wamreg.dll,CreateIISPackage”命令,接著再依次執(zhí)行“regsvr32 asptxn.dll”命令、“iisreset”命令,最后重新啟動一下計算機操作系統(tǒng),這樣IIS服務器就能重新正確響應ASP腳本頁面了。
3. IIS出現(xiàn)105錯誤:
在系統(tǒng)日志中“服務器無法注冊管理工具發(fā)現(xiàn)信息。管理工具可能無法看到此服務器” 來源:w3svc ID:105解決辦法:
在網(wǎng)絡連接中重新安裝netbios協(xié)議即可,安裝完成之后取消掉勾選。
4.MySQL服務無法啟動【錯誤代碼1067】的解決方法
啟動MySQL服務時都會在中途報錯!內(nèi)容為:在 本地計算機 無法啟動MySQL服務 錯誤1067:進程意外中止。
解決方法:查找Windows目錄下的my.ini文件,編輯內(nèi)容(如果沒有該文件,則新建一個),至少包含
basedir,datadir這兩個基本的配置。
[mysqld]
# set basedir to installation path, e.g., c:/mysql
# 設置為MYSQL的安裝目錄
basedir=D:/www/WebServer/MySQL
# set datadir to location of data directory,
# e.g., c:/mysql/data or d:/mydata/data
# 設置為MYSQL的數(shù)據(jù)目錄
datadir=D:/www/WebServer/MySQL/data
注意,我在更改系統(tǒng)的temp目錄之后沒有對更改后的目錄給予system用戶的權(quán)限也出現(xiàn)過該問題。
5.DllHotst進程消耗cpu 100%的問題
服務器正常CPU消耗應該在75%以下,而且CPU消耗應該是上下起伏的,出現(xiàn)這種問題的服務器,CPU會突然一直處100%的水平,而且不會下降。
查看任務管理器,可以發(fā)現(xiàn)是DLLHOST.EXE消耗了所有的CPU空閑時間,管理員在這種情況下,只好重新啟動IIS服務,奇怪的是,重新啟動IIS服務后一切正常,但可能過了一段時間后,問題又再次出現(xiàn)了。
直接原因:
有一個或多個ACCESS數(shù)據(jù)庫在多次讀寫過程中損壞, MDAC系統(tǒng)在寫入這個損壞的ACCESS文件時,ASP線程處于BLOCK狀態(tài),結(jié)果其他線程只能等待,IIS被死鎖了,全部的CPU時間都消耗在DLLHOST中。
解決辦法:
把數(shù)據(jù)庫下載到本地,然后用ACCESS打開,進行修復操作。再上傳到網(wǎng)站。如果還不行,只有新建一個ACCESS數(shù)據(jù)庫,再從原來的數(shù)據(jù)庫中導入所有表和記錄。然后把新數(shù)據(jù)庫上傳到服務器上。
6.Windows installer出錯:
在安裝軟件的時候出現(xiàn)“不能訪問windows installer 服務。可能你在安全模式下運行 windows ,或者windows installer 沒有正確的安裝。請和你的支持人員聯(lián)系以獲得幫助” 如果試圖重新安裝InstMsiW.exe,提示:“指定的服務已存在”。
解決辦法:
關(guān)于installer的錯誤,可能還有其他錯誤提示,可嘗試以下解決辦法:
首先確認是否是權(quán)限方面的問題,提示信息會提供相關(guān)信息,如果是權(quán)限問題,給予winnt目錄everyone權(quán)限即可[安裝完把權(quán)限改回來即可]。如果提示的是上述信息,可以嘗試以下解決方法:運行“msiexec /unregserver”卸載Windows Installer服務,如果無法卸載可使用SRVINSTW進行卸載,然后下載windows installer的安裝程序[地址:http://www.newhua.com/cfan/200410/instmsiw.exe],用winrar解壓該文件,在解壓縮出來的文件夾里面找到msi.inf文件,右鍵單擊選擇“安裝”,重新啟動系統(tǒng)后運行“msiexec /regserver”重新注冊Windows Installer服務。
服務器管理
服務器日常管理安排
服務器管理工作必須規(guī)范嚴謹,尤其在不是只有一位管理員的時候,日常管理工作包括:
1.服務器的定時重啟。每臺服務器保證每周重新啟動一次。重新啟動之后要進行復查,確認服務器已經(jīng)啟動了,確認服務器上的各項服務均恢復正常。對于沒有啟動起來或服務未能及時恢復的情況要采取相應措施。前者可請求托管商的相關(guān)工作人員幫忙手工重新啟動,必要時可要求讓連接上顯示器確認是否已啟動起來;后者需要遠程登陸上服務器進行原因查找并根據(jù)原因嘗試恢復服務。
2.服務器的安全、性能檢查,每服務器至少保證每周登陸兩次粗略檢查兩次。每次檢查的結(jié)果要求進行登記在冊。如需要使用一些工具進行檢查,可直接在e:tools中查找到相關(guān)工具。對于臨時需要從網(wǎng)絡上找的工具,首先將IE的安全級別調(diào)整到高,然后在網(wǎng)絡上進行查找,不要去任何不明站點下載,盡量選擇如華軍、天空等大型網(wǎng)站進行下載,下載后確保當前殺毒軟件已升級到最新版本,升級完畢后對下載的軟件進行一次殺毒,確認正常后方能使用。對于下載的新工具對以后維護需要使用的話,將該工具保存到e:tools下,并在該目錄中的readme.txt文件中做好相應記錄,記錄該工具的名稱,功能,使用方法。并且在該文件夾中的rar文件夾中保留一份該工具的winrar壓縮文件備份,設置解壓密碼。
3.服務器的數(shù)據(jù)備份工作,每服務器至少保證每月備份一次系統(tǒng)數(shù)據(jù),系統(tǒng)備份采用ghost方式,對于ghost文件固定存放在e:ghost文件目錄下,文件名以備份的日期命名,如0824.gho,每服務器至少保證每兩周備份一次應用程序數(shù)據(jù),每服務器至少保證每月備份一次用戶數(shù)據(jù),備份的數(shù)據(jù)固定存放在e:databak文件夾,針對各種數(shù)據(jù)再建立對應的子文件夾,如serv-u用戶數(shù)據(jù)放在該文件夾下的servu文件夾下,iis站點數(shù)據(jù)存放在該文件夾下的iis文件夾下。
4.服務器的監(jiān)控工作,每天正常工作期間必須保證監(jiān)視所有服務器狀態(tài),一旦發(fā)現(xiàn)服務停止要及時采取相應措施。對于發(fā)現(xiàn)服務停止,首先檢查該服務器上同類型的服務是否中斷,如所有同類型的服務都已中斷及時登陸服務器查看相關(guān)原因并針對該原因嘗試重新開啟對應服務。
5.服務器的相關(guān)日志操作,每服務器保證每月對相關(guān)日志進行一次清理,清理前對應的各項日志如應用程序日志、安全日志、系統(tǒng)日志等都應選擇“保存日志”。所有的日志文件統(tǒng)一保存在e:logs下,應用程序日志保存在e:logsapp中,系統(tǒng)程序日志保存在e:logssys中,安全日志保存在e:logssec中。對于另外其他一些應用程序的日志,也按照這個方式進行處理,如ftp的日志保存在e:logsftp中。所有的備份日志文件都以備份的日期命名,如20050824.evt。對于不是單文件形式的日志,在對應的記錄位置下建立一個以日期命名的文件夾,將這些文件存放在該文件夾中。
6.服務器的補丁修補、應用程序更新工作,對于新出的漏洞補丁,應用程序方面的安全更新一定要在發(fā)現(xiàn)的第一時間給每服務器打上應用程序的補丁。
7.服務器的隱患檢查工作,主要包括安全隱患、性能等方面。每服務器必須保證每月重點的單獨檢查一次。每次的檢查結(jié)果必須做好記錄。
8.不定時的相關(guān)工作,每服務器由于應用軟件更改或其他某原因需要安裝新的應用程序或卸載應用程序等操作必須知會所有管理員。
9.定期的管理密碼更改工作,每服務器保證至少每兩個月更改一次密碼,對于SQL服務器由于如果SQL采用混合驗證更改系統(tǒng)管理員密碼會影響數(shù)據(jù)庫的使用則不予修改。
相關(guān)建議:對每服務器設立一個服務器管理記載,管理員每次登陸系統(tǒng)都應該在此中進行詳細的記錄,共需要記錄以下幾項:登入時間,退出時間,登入時服務器狀態(tài)[包含不明進程記錄,端口連接狀態(tài),系統(tǒng)帳號狀態(tài),內(nèi)存/CPU狀態(tài)],詳細操作情況記錄[詳細記錄下管理員登陸系統(tǒng)后的每一步操作]。無論是遠程登陸操作還是物理接觸操作都要進行記錄,然后將這些記錄按照各服務器歸檔,按時間順序整理好文檔。
對于數(shù)據(jù)備份、服務器定時重啟等操作建議將服務器分組,例如分成四組,每月的周六晚備份一組服務器的數(shù)據(jù),每周的某一天定時去重啟一組的服務器,這樣對于工作的開展比較方便,這些屬于固定性的工作。另外有些工作可以同步進行,如每月一次的數(shù)據(jù)備份、安全檢查和管理員密碼修改工作,先進行數(shù)據(jù)備份,然后進行安全檢查,再修改密碼。對于需要的即時操作如服務器補丁程序的安裝、服務器不定時的故障維護等工作,這些屬于即時性的工作,但是原則上即時性的工作不能影響固定工作的安排。
管理員日常注意事項
在服務器管理過程中,管理員需要注意以下事項:
1.對自己的每一次操作應做好詳細記錄,具體見上述建議,以便于后來檢查。
2.努力提高自身水平,加強學習。
