互聯(lián)網(wǎng)這個(gè)自由世界，導(dǎo)致一些別有用心的人利用網(wǎng)絡(luò)缺陷去攻擊網(wǎng)民。目前最為普遍的一種攻擊手段就是“郵件炸彈”，這也是我們這些個(gè)人用戶在網(wǎng)絡(luò)安全中最需要注意的地方。那什么是郵件炸彈，它有哪些危害，知道了厲害之后，我們?cè)摬扇≡鯓拥霓k法去對(duì)付電子郵件炸彈，以免遭非法用戶的“暗算”?對(duì)于這些問題的答案，相信大家在看完本篇文章后，一定是很清楚了。

　　郵件炸彈的概念

　　談起“炸彈”，腦海中馬上會(huì)出現(xiàn)一種戰(zhàn)爭(zhēng)場(chǎng)面，而所謂的電子郵件炸彈，危害與炸彈是一樣的，只不過(guò)是電子的，郵件炸彈具體說(shuō)，指的是郵件發(fā)送者，利用特殊的電子郵件軟件，在很短的時(shí)間內(nèi)連續(xù)不斷地將郵件郵寄給同一個(gè)收信人，在這些數(shù)以千萬(wàn)計(jì)的大容量信件面前收件箱肯定不堪重負(fù)，而最終“爆炸身亡”。

　　我們往往會(huì)把郵件炸彈與郵件Spaming混淆，其實(shí)這兩者實(shí)質(zhì)不盡相同。Spaming指的是發(fā)件者在同一時(shí)間內(nèi)將同一電子郵件寄出給千萬(wàn)個(gè)不同的用戶(或寄到新聞組)，主要是一些公司用來(lái)宣傳其產(chǎn)品的廣告方式，這種方式一般不會(huì)對(duì)收件人造成太大的傷害。

　　郵件炸彈的危害

　　郵件炸彈可以說(shuō)是目前網(wǎng)絡(luò)中最“流行”的一種惡作劇，而用來(lái)制作惡作劇的特殊程序也稱為E-mail Bomber。當(dāng)某人所作所為引起了好事者不滿時(shí)，好事者就可以通過(guò)這種手段來(lái)發(fā)動(dòng)進(jìn)攻。這種攻擊手段不僅會(huì)干擾用戶的電子郵件系統(tǒng)的正常使用，甚至它還能影響到郵件系統(tǒng)所在的服務(wù)器系統(tǒng)的安全，造成整個(gè)網(wǎng)絡(luò)系統(tǒng)全部癱瘓，所以郵件炸彈具有很大危害。

　　郵件炸彈可以大量消耗網(wǎng)絡(luò)資源，常常導(dǎo)致網(wǎng)絡(luò)塞車，使大量的用戶不能正常地工作。通常，網(wǎng)絡(luò)用戶的信箱容量是很有限的，在有限的空間中，如果用戶在短時(shí)間內(nèi)收到上千上萬(wàn)封電子郵件，那么經(jīng)過(guò)一輪郵件炸彈轟炸后的電子郵件的總?cè)萘亢苋菀拙桶延脩粲邢薜年嚨財(cái)D垮。這樣用戶的郵箱中將沒有多余的空間接納新的郵件，那么新郵件將會(huì)被丟失或者被退回，這時(shí)用戶的郵箱已經(jīng)失去了作用;另外，這些郵件炸彈所攜帶的大容量信息不斷在網(wǎng)絡(luò)上來(lái)回傳輸，很容易堵塞帶寬并不富裕的傳輸信道，這樣會(huì)加重服務(wù)器的工作強(qiáng)度，減緩了處理其他用戶的電子郵件的速度，從而導(dǎo)致了整個(gè)過(guò)程的延遲。

　　預(yù)防炸彈襲擊的措施

　　遭受“炸彈”襲擊后，第一個(gè)舉動(dòng)可能就是對(duì)那些無(wú)聊之人表示極端的憤慨，同時(shí)也想“以其人之道還治其人之身”，讓這些“惡人”也嘗嘗“中彈”的滋味，于是有憤憤不平者可能會(huì)想到用電子郵件中的回復(fù)和轉(zhuǎn)信的功能將整個(gè)炸彈“回放”給發(fā)件人。然而這些狡猾的“惡人”可能想到他們的舉動(dòng)會(huì)遭人唾罵、遭人報(bào)復(fù)，為避免“殺身之禍”，這些人早已將退路準(zhǔn)備好，他們把電子郵件中的發(fā)信人和收信人的兩個(gè)地址欄都改換成了被攻擊者的郵件地址，如果你想報(bào)復(fù)他們的話，你的“回禮”行動(dòng)不僅不能夠成功，而且他們還會(huì)讓你“搬起石頭砸自己的腳”，使你的郵箱“雪上加霜”，你所寄出的電子郵件就會(huì)永無(wú)止境地返回給自己。

　　作戰(zhàn)方法

　　報(bào)復(fù)肯定不是好方法，還是要預(yù)防為主。下面筆者推薦幾種“作戰(zhàn)方案”供大家參考：
　向ISP求援

　　一旦信箱被轟炸了，但自己又沒有好的辦法來(lái)對(duì)付它，這時(shí)你應(yīng)該做的就是拿起電話向你上網(wǎng)的ISP服務(wù)商求援，他們就會(huì)采取辦法幫你清除E-mail Bomb。

　　不要“惹是生非”在聊天室同人聊天，在論壇上與人爭(zhēng)鳴，都要注意言辭不可過(guò)激，更不能進(jìn)行人身攻擊。否則……




　　采用過(guò)濾功能

　　在郵件軟件中安裝一個(gè)過(guò)濾器(比如說(shuō)E-mail notify)是一種最有效的防范措施。在接收任何電子郵件之前預(yù)先檢查發(fā)件人的資料， 如果覺得有可疑之處，可以將之刪除，不讓它進(jìn)入你的郵件系統(tǒng)。但這種做法有時(shí)會(huì)誤刪除一些有用的郵件。如果擔(dān)心有人惡意破壞你的信箱，給你發(fā)來(lái)一個(gè)“重磅炸彈”，你可以在郵件軟件中啟用過(guò)濾功能，把你的郵件服務(wù)器設(shè)置為，超過(guò)你信箱容量的大郵件時(shí)，自動(dòng)進(jìn)行刪除。

　　使用轉(zhuǎn)信功能

　　有些郵件服務(wù)器為了提高服務(wù)質(zhì)量往往設(shè)有“自動(dòng)轉(zhuǎn)信”功能，利用該功能可以在一定程度上解決容量特大郵件的攻擊。假設(shè)你申請(qǐng)了一個(gè)轉(zhuǎn)信信箱，利用該信箱的轉(zhuǎn)信功能和過(guò)濾功能，可以將那些不愿意看到的郵件統(tǒng)統(tǒng)過(guò)濾掉，刪除在郵件服務(wù)器中，或者將垃圾郵件轉(zhuǎn)移到自己其他免費(fèi)的信箱中，或者干脆放棄使用被轟炸的郵箱，另外重新申請(qǐng)一個(gè)新的信箱。

　　謹(jǐn)慎使用自動(dòng)回信功能

　　所謂“自動(dòng)回信”就是指對(duì)方給你的這個(gè)信箱發(fā)來(lái)一封信而你沒有及時(shí)收取的話，郵件系統(tǒng)會(huì)按照你事先的設(shè)定自動(dòng)給發(fā)信人回復(fù)一封確認(rèn)收到的信件。這個(gè)功能本來(lái)給大家?guī)?lái)了方便，但也有可能制造成郵件炸彈!試想一下，如果給你發(fā)信的人使用的郵件賬號(hào)系統(tǒng)也開啟了自動(dòng)回信功能，那么當(dāng)你收到他發(fā)來(lái)的信而沒有及時(shí)收取時(shí)，你的系統(tǒng)就會(huì)給他自動(dòng)發(fā)送一封確認(rèn)信。恰巧他在這段時(shí)間也沒有及時(shí)收取信件，那么他的系統(tǒng)又會(huì)自動(dòng)給你發(fā)送一封確認(rèn)收到的信。如此一來(lái)，這種自動(dòng)發(fā)送的確認(rèn)信便會(huì)在你們雙方的系統(tǒng)中不斷重復(fù)發(fā)送，直到把你們雙方的信箱都撐爆為止!

　　用專用工具來(lái)對(duì)付

　　如果你的郵箱不幸已經(jīng)“中彈”，而且你還想繼續(xù)使用這個(gè)信箱名的話，可以用一些郵件工具軟件如PoP-It來(lái)清除這些垃圾信息。這些清除軟件可以登錄到郵件服務(wù)器上,使用其中的命令來(lái)刪除不需要的郵件，保留有用的信件。

隨著動(dòng)網(wǎng)論壇的廣泛應(yīng)用和動(dòng)網(wǎng)上傳漏洞的被發(fā)現(xiàn)以及SQL注入式攻擊越來(lái)越多的被使用，WEBSHELL讓防火墻形同虛設(shè)，一臺(tái)即使打了所有微軟補(bǔ)丁、只讓80端口對(duì)外開放的WEB服務(wù)器也逃不過(guò)被黑的命運(yùn)。難道我們真的無(wú)能為力了嗎？其實(shí)，只要你弄明白了NTFS系統(tǒng)下的權(quán)限設(shè)置問題，我們可以對(duì)crackers們說(shuō)：NO!

要打造一臺(tái)安全的WEB服務(wù)器，那么這臺(tái)服務(wù)器就一定要使用NTFS和Windows NT/2000/2003。眾所周知，Windows是一個(gè)支持多用戶、多任務(wù)的操作系統(tǒng)，這是權(quán)限設(shè)置的基礎(chǔ)，一切權(quán)限設(shè)置都是基于用戶和進(jìn)程而言的，不同的用戶在訪問這臺(tái)計(jì)算機(jī)時(shí)，將會(huì)有不同的權(quán)限。DOS是個(gè)單任務(wù)、單用戶的操作系統(tǒng)。但是我們能說(shuō)DOS沒有權(quán)限嗎？不能！當(dāng)我們打開一臺(tái)裝有DOS操作系統(tǒng)的計(jì)算機(jī)的時(shí)候，我們就擁有了這個(gè)操作系統(tǒng)的管理員權(quán)限，而且，這個(gè)權(quán)限無(wú)處不在。所以，我們只能說(shuō)DOS不支持權(quán)限的設(shè)置，不能說(shuō)它沒有權(quán)限。隨著人們安全意識(shí)的提高，權(quán)限設(shè)置隨著NTFS的發(fā)布誕生了。

Windows NT里，用戶被分成許多組，組和組之間都有不同的權(quán)限，當(dāng)然，一個(gè)組的用戶和用戶之間也可以有不同的權(quán)限。下面我們來(lái)談?wù)凬T中常見的用戶組。

Administrators：管理員組，默認(rèn)情況下，Administrators中的用戶對(duì)計(jì)算機(jī)/域有不受限制的完全訪問權(quán)。分配給該組的默認(rèn)權(quán)限允許對(duì)整個(gè)系統(tǒng)進(jìn)行完全控制。所以，只有受信任的人員才可成為該組的成員。

Power Users：高級(jí)用戶組，Power Users 可以執(zhí)行除了為 Administrators 組保留的任務(wù)外的其他任何操作系統(tǒng)任務(wù)。分配給 Power Users 組的默認(rèn)權(quán)限允許 Power Users 組的成員修改整個(gè)計(jì)算機(jī)的設(shè)置。但Power Users 不具有將自己添加到 Administrators 組的權(quán)限。在權(quán)限設(shè)置中，這個(gè)組的權(quán)限是僅次于Administrators的。

Users：普通用戶組，這個(gè)組的用戶無(wú)法進(jìn)行有意或無(wú)意的改動(dòng)。因此，用戶可以運(yùn)行經(jīng)過(guò)驗(yàn)證的應(yīng)用程序，但不可以運(yùn)行大多數(shù)舊版應(yīng)用程序。Users 組是最安全的組，因?yàn)榉峙浣o該組的默認(rèn)權(quán)限不允許成員修改操作系統(tǒng)的設(shè)置或用戶資料。Users 組提供了一個(gè)最安全的程序運(yùn)行環(huán)境。在經(jīng)過(guò) NTFS 格式化的卷上，默認(rèn)安全設(shè)置旨在禁止該組的成員危及操作系統(tǒng)和已安裝程序的完整性。用戶不能修改系統(tǒng)注冊(cè)表設(shè)置、操作系統(tǒng)文件或程序文件。Users 可以關(guān)閉工作站，但不能關(guān)閉服務(wù)器。Users 可以創(chuàng)建本地組，但只能修改自己創(chuàng)建的本地組。

Guests：來(lái)賓組，按默認(rèn)值，來(lái)賓跟普通Users的成員有同等訪問權(quán)，但來(lái)賓帳戶的限制更多。

Everyone：顧名思義，所有的用戶，這個(gè)計(jì)算機(jī)上的所有用戶都屬于這個(gè)組。

其實(shí)還有一個(gè)組也很常見，它擁有和Administrators一樣、甚至比其還高的權(quán)限，但是這個(gè)組不允許任何用戶的加入，在察看用戶組的時(shí)候，它也不會(huì)被顯示出來(lái)，它就是SYSTEM組。系統(tǒng)和系統(tǒng)級(jí)的服務(wù)正常運(yùn)行所需要的權(quán)限都是靠它賦予的。由于該組只有這一個(gè)用戶SYSTEM，也許把該組歸為用戶的行列更為貼切。

權(quán)限是有高低之分的，有高權(quán)限的用戶可以對(duì)低權(quán)限的用戶進(jìn)行操作，但除了Administrators之外，其他組的用戶不能訪問 NTFS 卷上的其他用戶資料，除非他們獲得了這些用戶的授權(quán)。而低權(quán)限的用戶無(wú)法對(duì)高權(quán)限的用戶進(jìn)行任何操作。

我們平常使用計(jì)算機(jī)的過(guò)程當(dāng)中不會(huì)感覺到有權(quán)限在阻撓你去做某件事情，這是因?yàn)槲覀冊(cè)谑褂糜?jì)算機(jī)的時(shí)候都用的是Administrators中的用戶登陸的。這樣有利也有弊，利當(dāng)然是你能去做你想做的任何一件事情而不會(huì)遇到權(quán)限的限制。弊就是以 Administrators 組成員的身份運(yùn)行計(jì)算機(jī)將使系統(tǒng)容易受到特洛伊木馬、病毒及其他安全風(fēng)險(xiǎn)的威脅。訪問 Internet 站點(diǎn)或打開電子郵件附件的簡(jiǎn)單行動(dòng)都可能破壞系統(tǒng)。不熟悉的 Internet 站點(diǎn)或電子郵件附件可能有特洛伊木馬代碼，這些代碼可以下載到系統(tǒng)并被執(zhí)行。如果以本地計(jì)算機(jī)的管理員身份登錄，特洛伊木馬可能使用管理訪問權(quán)重新格式化您的硬盤，造成不可估量的損失，所以在沒有必要的情況下，最好不用Administrators中的用戶登陸。Administrators中有一個(gè)在系統(tǒng)安裝時(shí)就創(chuàng)建的默認(rèn)用戶——Administrator，Administrator 帳戶具有對(duì)服務(wù)器的完全控制權(quán)限，并可以根據(jù)需要向用戶指派用戶權(quán)利和訪問控制權(quán)限。因此強(qiáng)烈建議將此帳戶設(shè)置為使用強(qiáng)密碼。永遠(yuǎn)也不可以從 Administrators 組刪除 Administrator 帳戶，但可以重命名或禁用該帳戶。由于大家都知道“管理員”存在于許多版本的 Windows 上，所以重命名或禁用此帳戶將使惡意用戶嘗試并訪問該帳戶變得更為困難。對(duì)于一個(gè)好的服務(wù)器管理員來(lái)說(shuō)，他們通常都會(huì)重命名或禁用此帳戶。Guests用戶組下，也有一個(gè)默認(rèn)用戶——Guest，但是在默認(rèn)情況下，它是被禁用的。如果沒有特別必要，無(wú)須啟用此賬戶。我們可以通過(guò)“控制面板”——“管理工具”——“計(jì)算機(jī)管理”——“用戶和用戶組”來(lái)查看用戶組及該組下的用戶。

我們用鼠標(biāo)右鍵單擊一個(gè)NTFS卷或NTFS卷下的一個(gè)目錄，選擇“屬性”——“安全”就可以對(duì)一個(gè)卷，或者一個(gè)卷下面的目錄進(jìn)行權(quán)限設(shè)置，此時(shí)我們會(huì)看到以下七種權(quán)限：完全控制、修改、讀取和運(yùn)行、列出文件夾目錄、讀取、寫入、和特別的權(quán)限。“完全控制”就是對(duì)此卷或目錄擁有不受限制的完全訪問。地位就像Administrators在所有組中的地位一樣。選中了“完全控制”，下面的五項(xiàng)屬性將被自動(dòng)被選中。“修改”則像Power users，選中了“修改”，下面的四項(xiàng)屬性將被自動(dòng)被選中。下面的任何一項(xiàng)沒有被選中時(shí)，“修改”條件將不再成立。“讀取和運(yùn)行”就是允許讀取和運(yùn)行在這個(gè)卷或目錄下的任何文件，“列出文件夾目錄”和“讀取”是“讀取和運(yùn)行”的必要條件。“列出文件夾目錄”是指只能瀏覽該卷或目錄下的子目錄，不能讀取，也不能運(yùn)行。“讀取”是能夠讀取該卷或目錄下的數(shù)據(jù)。“寫入”就是能往該卷或目錄下寫入數(shù)據(jù)。而“特別”則是對(duì)以上的六種權(quán)限進(jìn)行了細(xì)分。讀者可以自行對(duì)“特別”進(jìn)行更深的研究，鄙人在此就不過(guò)多贅述了。

下面我們對(duì)一臺(tái)剛剛安裝好操作系統(tǒng)和服務(wù)軟件的WEB服務(wù)器系統(tǒng)和其權(quán)限進(jìn)行全面的刨析。服務(wù)器采用Windows 2000 Server版，安裝好了SP4及各種補(bǔ)丁。WEB服務(wù)軟件則是用了Windows 2000自帶的IIS 5.0，刪除了一切不必要的映射。整個(gè)硬盤分為四個(gè)NTFS卷，C盤為系統(tǒng)卷，只安裝了系統(tǒng)和驅(qū)動(dòng)程序；D盤為軟件卷，該服務(wù)器上所有安裝的軟件都在D盤中；E盤是WEB程序卷，網(wǎng)站程序都在該卷下的WWW目錄中；F盤是網(wǎng)站數(shù)據(jù)卷，網(wǎng)站系統(tǒng)調(diào)用的所有數(shù)據(jù)都存放在該卷的WWWDATABASE目錄下。這樣的分類還算是比較符合一臺(tái)安全服務(wù)器的標(biāo)準(zhǔn)了。希望各個(gè)新手管理員能合理給你的服務(wù)器數(shù)據(jù)進(jìn)行分類，這樣不光是查找起來(lái)方便，更重要的是這樣大大的增強(qiáng)了服務(wù)器的安全性，因?yàn)槲覀兛梢愿鶕?jù)需要給每個(gè)卷或者每個(gè)目錄都設(shè)置不同的權(quán)限，一旦發(fā)生了網(wǎng)絡(luò)安全事故，也可以把損失降到最低。當(dāng)然，也可以把網(wǎng)站的數(shù)據(jù)分布在不同的服務(wù)器上，使之成為一個(gè)服務(wù)器群，每個(gè)服務(wù)器都擁有不同的用戶名和密碼并提供不同的服務(wù)，這樣做的安全性更高。不過(guò)愿意這樣做的人都有一個(gè)特點(diǎn)——有錢。好了，言歸正傳，該服務(wù)器的數(shù)據(jù)庫(kù)為MS-SQL，MS-SQL的服務(wù)軟件SQL2000安裝在d:\ms-sqlserver2K目錄下，給SA賬戶設(shè)置好了足夠強(qiáng)度的密碼，安裝好了SP3補(bǔ)丁。為了方便網(wǎng)頁(yè)制作員對(duì)網(wǎng)頁(yè)進(jìn)行管理，該網(wǎng)站還開通了FTP服務(wù)，F(xiàn)TP服務(wù)軟件使用的是SERV-U 5.1.0.0，安裝在d:\ftpservice\serv-u目錄下。殺毒軟件和防火墻用的分別是Norton Antivirus和BlackICE，路徑分別為d:\nortonAV和d:\firewall\blackice，病毒庫(kù)已經(jīng)升級(jí)到最新，防火墻規(guī)則庫(kù)定義只有80端口和21端口對(duì)外開放。網(wǎng)站的內(nèi)容是采用動(dòng)網(wǎng)7.0的論壇，網(wǎng)站程序在e:\www\bbs下。細(xì)心的讀者可能已經(jīng)注意到了，安裝這些服務(wù)軟件的路徑我都沒有采用默認(rèn)的路徑或者是僅僅更改盤符的默認(rèn)路徑，這也是安全上的需要，因?yàn)橐粋€(gè)黑客如果通過(guò)某些途徑進(jìn)入了你的服務(wù)器，但并沒有獲得管理員權(quán)限，他首先做的事情將是查看你開放了哪些服務(wù)以及安裝了哪些軟件，因?yàn)樗枰ㄟ^(guò)這些來(lái)提升他的權(quán)限。一個(gè)難以猜解的路徑加上好的權(quán)限設(shè)置將把他阻擋在外。相信經(jīng)過(guò)這樣配置的WEB服務(wù)器已經(jīng)足夠抵擋大部分學(xué)藝不精的黑客了。讀者可能又會(huì)問了：“這根本沒用到權(quán)限設(shè)置嘛！我把其他都安全工作都做好了，權(quán)限設(shè)置還有必要嗎？”當(dāng)然有！智者千慮還必有一失呢，就算你現(xiàn)在已經(jīng)把系統(tǒng)安全做的完美無(wú)缺，你也要知道新的安全漏洞總是在被不斷的發(fā)現(xiàn)。權(quán)限將是你的最后一道防線！那我們現(xiàn)在就來(lái)對(duì)這臺(tái)沒有經(jīng)過(guò)任何權(quán)限設(shè)置，全部采用Windows默認(rèn)權(quán)限的服務(wù)器進(jìn)行一次模擬攻擊，看看其是否真的固若金湯。

假設(shè)服務(wù)器外網(wǎng)域名為http://www.webserver.com，用掃描軟件對(duì)其進(jìn)行掃描后發(fā)現(xiàn)開放WWW和FTP服務(wù)，并發(fā)現(xiàn)其服務(wù)軟件使用的是IIS 5.0和Serv-u 5.1，用一些針對(duì)他們的溢出工具后發(fā)現(xiàn)無(wú)效，遂放棄直接遠(yuǎn)程溢出的想法。打開網(wǎng)站頁(yè)面，發(fā)現(xiàn)使用的是動(dòng)網(wǎng)的論壇系統(tǒng)，于是在其域名后面加個(gè)/upfile.asp，發(fā)現(xiàn)有文件上傳漏洞，便抓包，把修改過(guò)的ASP木馬用NC提交，提示上傳成功，成功得到WEBSHELL，打開剛剛上傳的ASP木馬，發(fā)現(xiàn)有MS-SQL、Norton Antivirus和BlackICE在運(yùn)行，判斷是防火墻上做了限制，把SQL服務(wù)端口屏蔽了。通過(guò)ASP木馬查看到了Norton Antivirus和BlackICE的PID，又通過(guò)ASP木馬上傳了一個(gè)能殺掉進(jìn)程的文件，運(yùn)行后殺掉了Norton Antivirus和BlackICE。再掃描，發(fā)現(xiàn)1433端口開放了，到此，便有很多種途徑獲得管理員權(quán)限了，可以查看網(wǎng)站目錄下的conn.asp得到SQL的用戶名密碼，再登陸進(jìn)SQL執(zhí)行添加用戶，提管理員權(quán)限。也可以抓SERV-U下的ServUDaemon.ini修改后上傳，得到系統(tǒng)管理員權(quán)限。還可以傳本地溢出SERV-U的工具直接添加用戶到Administrators等等。大家可以看到，一旦黑客找到了切入點(diǎn)，在沒有權(quán)限限制的情況下，黑客將一帆風(fēng)順的取得管理員權(quán)限。

那我們現(xiàn)在就來(lái)看看Windows 2000的默認(rèn)權(quán)限設(shè)置到底是怎樣的。對(duì)于各個(gè)卷的根目錄，默認(rèn)給了Everyone組完全控制權(quán)。這意味著任何進(jìn)入電腦的用戶將不受限制的在這些根目錄中為所欲為。系統(tǒng)卷下有三個(gè)目錄比較特殊，系統(tǒng)默認(rèn)給了他們有限制的權(quán)限，這三個(gè)目錄是Documents and settings、Program files和Winnt。對(duì)于Documents and settings，默認(rèn)的權(quán)限是這樣分配的：Administrators擁有完全控制權(quán)；Everyone擁有讀&運(yùn)，列和讀權(quán)限；Power users擁有讀&運(yùn)，列和讀權(quán)限；SYSTEM同Administrators；Users擁有讀&運(yùn)，列和讀權(quán)限。對(duì)于Program files，Administrators擁有完全控制權(quán)；Creator owner擁有特殊權(quán)限；Power users有完全控制權(quán)；SYSTEM同Administrators；Terminal server users擁有完全控制權(quán)，Users有讀&運(yùn)，列和讀權(quán)限。對(duì)于Winnt，Administrators擁有完全控制權(quán)；Creator owner擁有特殊權(quán)限；Power users有完全控制權(quán)；SYSTEM同Administrators；Users有讀&運(yùn)，列和讀權(quán)限。而非系統(tǒng)卷下的所有目錄都將繼承其父目錄的權(quán)限，也就是Everyone組完全控制權(quán)！

現(xiàn)在大家知道為什么我們剛剛在測(cè)試的時(shí)候能一帆風(fēng)順的取得管理員權(quán)限了吧？權(quán)限設(shè)置的太低了！一個(gè)人在訪問網(wǎng)站的時(shí)候，將被自動(dòng)賦予IUSR用戶，它是隸屬于Guest組的。本來(lái)權(quán)限不高，但是系統(tǒng)默認(rèn)給的Everyone組完全控制權(quán)卻讓它“身價(jià)倍增”，到最后能得到Administrators了。那么，怎樣設(shè)置權(quán)限給這臺(tái)WEB服務(wù)器才算是安全的呢？大家要牢記一句話：“最少的服務(wù)+最小的權(quán)限=最大的安全”對(duì)于服務(wù)，不必要的話一定不要裝，要知道服務(wù)的運(yùn)行是SYSTEM級(jí)的哦，對(duì)于權(quán)限，本著夠用就好的原則分配就是了。對(duì)于WEB服務(wù)器，就拿剛剛那臺(tái)服務(wù)器來(lái)說(shuō)，我是這樣設(shè)置權(quán)限的，大家可以參考一下：各個(gè)卷的根目錄、Documents and settings以及Program files，只給Administrator完全控制權(quán)，或者干脆直接把Program files給刪除掉；給系統(tǒng)卷的根目錄多加一個(gè)Everyone的讀、寫權(quán)；給e:\www目錄，也就是網(wǎng)站目錄讀、寫權(quán)。最后，還要把cmd.exe這個(gè)文件給挖出來(lái)，只給Administrator完全控制權(quán)。經(jīng)過(guò)這樣的設(shè)置后，再想通過(guò)我剛剛的方法入侵這臺(tái)服務(wù)器就是不可能完成的任務(wù)了。可能這時(shí)候又有讀者會(huì)問：“為什么要給系統(tǒng)卷的根目錄一個(gè)Everyone的讀、寫權(quán)？網(wǎng)站中的ASP文件運(yùn)行不需要運(yùn)行權(quán)限嗎？”問的好，有深度。是這樣的，系統(tǒng)卷如果不給Everyone的讀、寫權(quán)的話，啟動(dòng)計(jì)算機(jī)的時(shí)候，計(jì)算機(jī)會(huì)報(bào)錯(cuò)，而且會(huì)提示虛擬內(nèi)存不足。當(dāng)然這也有個(gè)前提——虛擬內(nèi)存是分配在系統(tǒng)盤的，如果把虛擬內(nèi)存分配在其他卷上，那你就要給那個(gè)卷Everyone的讀、寫權(quán)。ASP文件的運(yùn)行方式是在服務(wù)器上執(zhí)行，只把執(zhí)行的結(jié)果傳回最終用戶的瀏覽器，這沒錯(cuò)，但ASP文件不是系統(tǒng)意義上的可執(zhí)行文件，它是由WEB服務(wù)的提供者——IIS來(lái)解釋執(zhí)行的，所以它的執(zhí)行并不需要運(yùn)行的權(quán)限。

經(jīng)過(guò)上面的講解以后，你一定對(duì)權(quán)限有了一個(gè)初步了了解了吧？想更深入的了解權(quán)限，那么權(quán)限的一些特性你就不能不知道了，權(quán)限是具有繼承性、累加性 、優(yōu)先性、交叉性的。

繼承性是說(shuō)下級(jí)的目錄在沒有經(jīng)過(guò)重新設(shè)置之前，是擁有上一級(jí)目錄權(quán)限設(shè)置的。這里還有一種情況要說(shuō)明一下，在分區(qū)內(nèi)復(fù)制目錄或文件的時(shí)候，復(fù)制過(guò)去的目錄和文件將擁有它現(xiàn)在所處位置的上一級(jí)目錄權(quán)限設(shè)置。但在分區(qū)內(nèi)移動(dòng)目錄或文件的時(shí)候，移動(dòng)過(guò)去的目錄和文件將擁有它原先的權(quán)限設(shè)置。

累加是說(shuō)如一個(gè)組GROUP1中有兩個(gè)用戶USER1、USER2，他們同時(shí)對(duì)某文件或目錄的訪問權(quán)限分別為“讀取”和“寫入”，那么組GROUP1對(duì)該文件或目錄的訪問權(quán)限就為USER1和USER2的訪問權(quán)限之和，實(shí)際上是取其最大的那個(gè)，即“讀取”+“寫入”=“寫入”。 又如一個(gè)用戶USER1同屬于組GROUP1和GROUP2，而GROUP1對(duì)某一文件或目錄的訪問權(quán)限為“只讀”型的，而GROUP2對(duì)這一文件或文件夾的訪問權(quán)限為“完全控制”型的，則用戶USER1對(duì)該文件或文件夾的訪問權(quán)限為兩個(gè)組權(quán)限累加所得，即：“只讀”+“完全控制”=“完全控制”。

優(yōu)先性，權(quán)限的這一特性又包含兩種子特性，其一是文件的訪問權(quán)限優(yōu)先目錄的權(quán)限，也就是說(shuō)文件權(quán)限可以越過(guò)目錄的權(quán)限，不顧上一級(jí)文件夾的設(shè)置。另一特性就是“拒絕”權(quán)限優(yōu)先其它權(quán)限，也就是說(shuō)“拒絕”權(quán)限可以越過(guò)其它所有其它權(quán)限，一旦選擇了“拒絕”權(quán)限，則其它權(quán)限也就不能取任何作用，相當(dāng)于沒有設(shè)置。

交叉性是指當(dāng)同一文件夾在為某一用戶設(shè)置了共享權(quán)限的同時(shí)又為用戶設(shè)置了該文件夾的訪問權(quán)限，且所設(shè)權(quán)限不一致時(shí)，它的取舍原則是取兩個(gè)權(quán)限的交集，也即最嚴(yán)格、最小的那種權(quán)限。如目錄A為用戶USER1設(shè)置的共享權(quán)限為“只讀”，同時(shí)目錄A為用戶USER1設(shè)置的訪問權(quán)限為“完全控制”，那用戶USER1的最終訪問權(quán)限為“只讀”。

權(quán)限設(shè)置的問題我就說(shuō)到這了，在最后我還想給各位讀者提醒一下，權(quán)限的設(shè)置必須在NTFS分區(qū)中才能實(shí)現(xiàn)的，F(xiàn)AT32是不支持權(quán)限設(shè)置的。同時(shí)還想給各位管理員們一些建議：

1.養(yǎng)成良好的習(xí)慣，給服務(wù)器硬盤分區(qū)的時(shí)候分類明確些，在不使用服務(wù)器的時(shí)候?qū)⒎?wù)器鎖定，經(jīng)常更新各種補(bǔ)丁和升級(jí)殺毒軟件。

2.設(shè)置足夠強(qiáng)度的密碼，這是老生常談了，但總有管理員設(shè)置弱密碼甚至空密碼。

3.盡量不要把各種軟件安裝在默認(rèn)的路徑下。

4.在英文水平不是問題的情況下，盡量安裝英文版操作系統(tǒng)。

5.切忌在服務(wù)器上亂裝軟件或不必要的服務(wù)。

6.牢記：沒有永遠(yuǎn)安全的系統(tǒng)，經(jīng)常更新你的知識(shí)。

當(dāng)您安裝新的 Windows XP Home、Professional 計(jì)算機(jī)時(shí)，需要確保系統(tǒng)安裝了最新的更新軟件和安全軟件，以便在連接至 Internet 之前防御病毒和其它潛在威脅。連接至 Internet 后，定期更新操作系統(tǒng)和防病毒軟件也同樣重要。

下面這些步驟可幫助您以最新可用的 Windows XP 安全工具來(lái)設(shè)置新計(jì)算機(jī)。

第1步：正確安裝系統(tǒng)補(bǔ)丁

安裝完Windows XP后，我們接著馬上需要進(jìn)行Windows XP SP2的安裝（硬盤剩余空間最好不要小于1.6GB），該補(bǔ)丁是2004年7月前發(fā)現(xiàn)的Windows XP系統(tǒng)安全漏洞的總包。

第2步：驗(yàn)證防火墻

安裝完Windows XP SP2后，應(yīng)該已安裝了 Windows 防火墻（XP SP防火墻的設(shè)置見隨后的教程）。

要驗(yàn)證計(jì)算機(jī)是否安裝了 SP2，單擊“開始”、“我的電腦”，然后單擊“查看系統(tǒng)信息”以彈出“系統(tǒng)屬性”窗口。此信息列在“系統(tǒng)：”標(biāo)題下。“系統(tǒng)屬性”窗口

第3步：獲取軟件更新

? 激活 Windows 自動(dòng)更新。

? 插入調(diào)制解調(diào)器或網(wǎng)線以訪問 Internet，然后啟動(dòng)“網(wǎng)絡(luò)連接向?qū)А薄?

? 連接后，讓 Windows Update 安裝最新的安全更新和軟件更新。

一旦完成了所有更新且設(shè)定設(shè)置，您就可以在 Internet 沖浪了！只是要記住，勤于了解計(jì)算機(jī)安全技術(shù)很重要，因此，請(qǐng)定期運(yùn)行 Windows Update，檢查最新的下載和產(chǎn)品更新，保持啟用自動(dòng)更新并了解最新的安全威脅。同時(shí)多學(xué)習(xí)網(wǎng)絡(luò)安全防范知識(shí)。

當(dāng)服務(wù)器被攻擊時(shí)，最容易被人忽略的地方，就是記錄文件，服務(wù)器的記錄文件了黑客活動(dòng)的蛛絲馬跡。在這里，我為大家介紹一下兩種常見的網(wǎng)頁(yè)服務(wù)器中最重要的記錄文件，分析服務(wù)器遭到攻擊后，黑客在記錄文件中留下什么記錄。

目前最常見的網(wǎng)頁(yè)服務(wù)器有兩種：Apache和微軟的Internet Information Server （簡(jiǎn)稱IIS）。這兩種服務(wù)器都有一般版本和SSL認(rèn)證版本，方便黑客對(duì)加密和未加密的服務(wù)器進(jìn)行攻擊。

IIS的預(yù)設(shè)記錄文件地址在 c:winntsystem32logfilesw3svc1的目錄下，文件名是當(dāng)天的日期，如yymmdd.log。系統(tǒng)會(huì)每天產(chǎn)生新的記錄文件。預(yù)設(shè)的格式是W3C延伸記錄文件格式（W3C Extended Log File Format），很多相關(guān)軟件都可以解譯、分析這種格式的檔案。記錄文件在預(yù)設(shè)的狀況下會(huì)記錄時(shí)間、客戶端IP地址、method（GET、POST等）、URI stem（要求的資源）、和HTTP狀態(tài)（數(shù)字狀態(tài)代碼）。這些字段大部分都一看就懂，可是HTTP狀態(tài)就需要解讀了。一般而言，如果代碼是在200到299代表成功。常見的200狀態(tài)碼代表符合客戶端的要求。300到399代表必須由客戶端采取動(dòng)作才能滿足所提出的要求。400到499和500到599代表客戶端和服務(wù)器有問題。最常見的狀態(tài)代碼有兩個(gè)，一個(gè)是404，代表客戶端要求的資源不在服務(wù)器上，403代表的是所要求的資源拒絕服務(wù)。Apache記錄文件的預(yù)設(shè)儲(chǔ)存位置在/usr/local/apache/logs。最有價(jià)值的記錄文件是access_log，不過(guò) ssl_request_log和ssl_engine_log也能提供有用的資料。 access_log記錄文件有七個(gè)字段，包括客戶端IP地址、特殊人物識(shí)別符、用戶名稱、日期、Method Resource Protocol（GET、POST等；要求哪些資源；然后是協(xié)議的版本）、HTTP狀態(tài)、還有傳輸?shù)淖止?jié)。

我在這里所用的是與黑客用的相似的模擬攻擊網(wǎng)站方式和工具。

分析過(guò)程

網(wǎng)頁(yè)服務(wù)器版本是很重要的信息，黑客一般先向網(wǎng)頁(yè)服務(wù)器提出要求，讓服務(wù)器送回本身的版本信息。只要把「HEAD / HTTP/1.0」這個(gè)字符串用常見的netcat utility和OpenSSL binary送到開放服務(wù)器的通訊端口就成了。注意看下面的示范：



C:>nc -n 10.0.2.55 80

HEAD / HTTP/1.0

HTTP/1.1 200 OK

Server: Microsoft-IIS/4.0

Date: Sun, 08 Mar 2001 14:31:00 GMT

Content-Type: text/html

Set-Cookie: ASPSESSIONIDGQQQQQPA=IHOJAGJDECOLLGIBNKMCEEED; path=/

Cache-control: private


這種形式的要求在IIS和Apache的記錄文件中會(huì)生成以下記錄：



IIS: 15:08:44 11.1.2.80 HEAD /Default.asp 200

Linux: 11.1.2.80 - - [08/Mar/2001:15:56:39 -0700] "HEAD / HTTP/1.0" 200 0


雖然這類要求合法，看似很平常，不過(guò)卻常常是網(wǎng)絡(luò)攻擊的前奏曲。access_log和IIS的記錄文件沒有表明這個(gè)要求是連到SSL服務(wù)器還是一般的網(wǎng)頁(yè)服務(wù)器，可是Apache的 ssl_request_log和ssl_engine_log（在/usr/local/apache/logs目錄下）這兩個(gè)記錄文件就會(huì)記錄是否有聯(lián)機(jī)到SSL服務(wù)器。請(qǐng)看以下的ssl_request_log記錄文件：



[07/Mar/2001:15:32:52 -0700] 11.1.1.50 SSLv3 EDH-RSA-DES-CBC3-SHA "HEAD / HTTP/1.0" 0


第三和第四個(gè)字段表示客戶端使用的是哪種加密方式。以下的ssl_request_log分別記錄從OpenSSL、 Internet Explorer和Netscape客戶端程序發(fā)出的要求。



[07/Mar/2001:15:48:26 -0700] 11.1.1.50 SSLv3 EDH-RSA-DES-CBC3-SHA "GET / HTTP/1.0" 2692

[07/Mar/2001:15:52:51 -0700] 10.0.2.55 TLSv1 RC4-MD5 "GET / HTTP/1.1" 2692

[07/Mar/2001:15:54:46 -0700] 11.1.1.50 SSLv3 EXP-RC4-MD5 "GET / HTTP/1.0" 2692

[07/Mar/2001:15:55:34 –0700] 11.1.2.80 SSLv3 RC4-MD5 “GET / HTTP/1.0” 2692



另外黑客通常會(huì)復(fù)制一個(gè)網(wǎng)站（也就是所謂的鏡射網(wǎng)站。），來(lái)取得發(fā)動(dòng)攻擊所需要的信息。網(wǎng)頁(yè)原始碼中的批注字段常有目錄、文件名甚至密碼的有用資料。復(fù)制網(wǎng)站常用的工具包括窗口系統(tǒng)的Teleport Pro（網(wǎng)址：http://www.tenmax.com/teleport/pro/home.htm）和Unix系統(tǒng)的wget（網(wǎng)址：http://www.gnu.org/manual/wget/）。在這里我為大家分析wget和TeleportPro這兩個(gè)軟件攻擊網(wǎng)頁(yè)服務(wù)器后記錄文件中的內(nèi)容。這兩個(gè)軟件能全面快速搜尋整個(gè)網(wǎng)站，對(duì)所有公開的網(wǎng)頁(yè)提出要求。只要檢查一下記錄文件就知道，要解譯鏡射這個(gè)動(dòng)作是很簡(jiǎn)單的事。以下是IIS的記錄文件：



16:28:52 11.1.2.80 GET /Default.asp 200

16:28:52 11.1.2.80 GET /robots.txt 404

16:28:52 11.1.2.80 GET /header_protecting_your_privacy.gif 200

16:28:52 11.1.2.80 GET /header_fec_reqs.gif 200

16:28:55 11.1.2.80 GET /photo_contribs_sidebar.jpg 200

16:28:55 11.1.2.80 GET /g2klogo_white_bgd.gif 200

16:28:55 11.1.2.80 GET /header_contribute_on_line.gif 200



注：11.1.2.80這個(gè)主機(jī)是Unix系統(tǒng)的客戶端，是用wget軟件發(fā)出請(qǐng)求。


16:49:01 11.1.1.50 GET /Default.asp 200

16:49:01 11.1.1.50 GET /robots.txt 404

16:49:01 11.1.1.50 GET /header_contribute_on_line.gif 200

16:49:01 11.1.1.50 GET /g2klogo_white_bgd.gif 200

16:49:01 11.1.1.50 GET /photo_contribs_sidebar.jpg 200

16:49:01 11.1.1.50 GET /header_fec_reqs.gif 200

16:49:01 11.1.1.50 GET /header_protecting_your_privacy.gif 200


注：11.1.1.50系統(tǒng)是窗口環(huán)境的客戶端，用的是TeleportPro發(fā)出請(qǐng)求。

注意：以上兩個(gè)主機(jī)都要求robots.txt這個(gè)檔，其實(shí)這個(gè)檔案是網(wǎng)頁(yè)管理員的工具，作用是防止wget和TeleportPro這類自動(dòng)抓文件軟件對(duì)某些網(wǎng)頁(yè)從事抓取或搜尋的動(dòng)作。如果有人提出robots.txt檔的要求，常常代表是要鏡射整個(gè)網(wǎng)站。但，TeleportPro和wget這兩個(gè)軟件都可以把要求robots.txt這個(gè)文件的功能取消。另一個(gè)偵測(cè)鏡射動(dòng)作的方式，是看看有沒有同一個(gè)客戶端IP反復(fù)提出資源要求。

黑客還可以用網(wǎng)頁(yè)漏洞稽核軟件：Whisker，來(lái)偵查網(wǎng)頁(yè)服務(wù)器有沒有安全后門（主要是檢查有沒有cgi-bin程序，這種程序會(huì)讓系統(tǒng)產(chǎn)生安全漏洞）。以下是IIS和Apache網(wǎng)頁(yè)服務(wù)器在執(zhí)行Whisker后產(chǎn)生的部分記錄文件。



IIS：

13:17:56 11.1.1.50 GET /SiteServer/Publishing/viewcode.asp 404

13:17:56 11.1.1.50 GET /msadc/samples/adctest.asp 200

13:17:56 11.1.1.50 GET /advworks/equipment/catalog_type.asp 404

13:17:56 11.1.1.50 GET /iisadmpwd/aexp4b.htr 200

13:17:56 11.1.1.50 HEAD /scripts/samples/details.idc 200

13:17:56 11.1.1.50 GET /scripts/samples/details.idc 200

13:17:56 11.1.1.50 HEAD /scripts/samples/ctguestb.idc 200

13:17:56 11.1.1.50 GET /scripts/samples/ctguestb.idc 200

13:17:56 11.1.1.50 HEAD /scripts/tools/newdsn.exe 404

13:17:56 11.1.1.50 HEAD /msadc/msadcs.dll 200

13:17:56 11.1.1.50 GET /scripts/iisadmin/bdir.htr 200

13:17:56 11.1.1.50 HEAD /carbo.dll 404

13:17:56 11.1.1.50 HEAD /scripts/proxy/ 403

13:17:56 11.1.1.50 HEAD /scripts/proxy/w3proxy.dll 500

13:17:56 11.1.1.50 GET /scripts/proxy/w3proxy.dll 500


Apache：

11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cfcache.map HTTP/1.0" 404 266

11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cfide/Administrator/startstop.html
HTTP/1.0" 404 289

11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cfappman/index.cfm HTTP/1.0" 404 273

11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cgi-bin/ HTTP/1.0" 403 267

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "GET /cgi-bin/dbmlparser.exe HTTP/1.0" 404 277

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /_vti_inf.html HTTP/1.0" 404 0

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /_vti_pvt/ HTTP/1.0" 404 0

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/webdist.cgi HTTP/1.0" 404 0

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/handler HTTP/1.0" 404 0

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/wrap HTTP/1.0" 404 0

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/pfdisplay.cgi HTTP/1.0" 404 0



大家要偵測(cè)這類攻擊的關(guān)鍵，就在于從單一IP地址發(fā)出大量的404 HTTP狀態(tài)代碼。只要注意到這類信息，就可以分析對(duì)方要求的資源；于是它們就會(huì)拼命要求提供 cgi-bin scripts（Apache 服務(wù)器的 cgi-bin 目錄；IIS服務(wù)器的 scripts目錄）。

小結(jié)

網(wǎng)頁(yè)如果被人探訪過(guò)，總會(huì)在記錄文件留下什么線索。如果網(wǎng)頁(yè)管理員警覺性夠高，應(yīng)該會(huì)把分析記錄文件作為追查線索，并且在檢查后發(fā)現(xiàn)網(wǎng)站真的有漏洞時(shí)，就能預(yù)測(cè)會(huì)有黑客攻擊網(wǎng)站。

接下來(lái)我要向大家示范兩種常見的網(wǎng)頁(yè)服務(wù)器攻擊方式，分析服務(wù)器在受到攻擊后黑客在記錄文件中痕跡。

（1）MDAC攻擊

MDAC攻擊法可以讓網(wǎng)頁(yè)的客戶端在IIS網(wǎng)頁(yè)服務(wù)器上執(zhí)行命令。如果有人開始攻擊IIS服務(wù)器，記錄文件就會(huì)記下客戶端曾經(jīng)呼叫msadcs.dll文檔：



17:48:49 12.1.2.8 GET /msadc/msadcs.dll 200

17:48:51 12.1.2.8 POST /msadc/msadcs.dll 200


（2）利用原始碼漏洞

第二種攻擊方式也很普遍，就是會(huì)影響ASP和Java網(wǎng)頁(yè)的暴露原始碼漏洞。 最晚被發(fā)現(xiàn)的安全漏洞是 +.htr 臭蟲，這個(gè)bug會(huì)顯示ASP原始碼。 如果有人利用這個(gè)漏洞攻擊，就會(huì)在IIS的記錄文件里面留下這些線索：



17:50:13 11.1.2.80 GET /default.asp+.htr 200


網(wǎng)頁(yè)常會(huì)只讓有權(quán)限的使用者進(jìn)入。接下來(lái)我們要讓各位看 Apache的access_log記錄文件會(huì)在登錄失敗時(shí)留下什么線索：



12.1.2.8 - user [08/Mar/2001:18:58:29 -0700] "GET /private/ HTTP/1.0" 401 462


注：第三欄里面的使用者名稱是「user」。還有要注意HTTP的狀態(tài)代號(hào)是401，代表非法存取。

虛擬主機(jī)服務(wù)商在運(yùn)營(yíng)過(guò)程中可能會(huì)受到黑客攻擊，常見的攻擊方式有SYN，DDOS等。通過(guò)更換IP，查找被攻擊的站點(diǎn)可能避開攻擊，但是中斷服務(wù)的時(shí)間比較長(zhǎng)。比較徹底的解決方法是添置硬件防火墻。不過(guò)，硬件防火墻價(jià)格比較昂貴。可以考慮利用Linux系統(tǒng)本身提供的防火墻功能來(lái)防御。

1. 抵御SYN

SYN攻擊是利用TCP/IP協(xié)議3次握手的原理，發(fā)送大量的建立連接的網(wǎng)絡(luò)包，但不實(shí)際建立連接，最終導(dǎo)致被攻擊服務(wù)器的網(wǎng)絡(luò)隊(duì)列被占滿，無(wú)法被正常用戶訪問。Linux內(nèi)核提供了若干SYN相關(guān)的配置，用命令：


sysctl -a | grep syn


看到：


net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5


tcp_max_syn_backlog是SYN隊(duì)列的長(zhǎng)度，tcp_syncookies是一個(gè)開關(guān)，是否打開SYN Cookie功能，該功能可以防止部分SYN攻擊。tcp_synack_retries和tcp_syn_retries定義SYN的重試次數(shù)。加大SYN隊(duì)列長(zhǎng)度可以容納更多等待連接的網(wǎng)絡(luò)連接數(shù)，打開SYN Cookie功能可以阻止部分SYN攻擊，降低重試次數(shù)也有一定效果。

調(diào)整上述設(shè)置的方法是：

增加SYN隊(duì)列長(zhǎng)度到2048：


sysctl -w net.ipv4.tcp_max_syn_backlog=2048


打開SYN COOKIE功能：


sysctl -w net.ipv4.tcp_syncookies=1


降低重試次數(shù)：


sysctl -w net.ipv4.tcp_synack_retries=3
sysctl -w net.ipv4.tcp_syn_retries=3


為了系統(tǒng)重啟動(dòng)時(shí)保持上述配置，可將上述命令加入到/etc/rc.d/rc.local文件中。



2. 抵御DDOS

DDOS，分布式拒絕訪問攻擊，是指黑客組織來(lái)自不同來(lái)源的許多主機(jī)，向常見的端口，如80，25等發(fā)送大量連接，但這些客戶端只建立連接，不是正常訪問。由于一般Apache配置的接受連接數(shù)有限（通常為256），這些“假” 訪問會(huì)把Apache占滿，正常訪問無(wú)法進(jìn)行。

Linux提供了叫ipchains的防火墻工具，可以屏蔽來(lái)自特定IP或IP地址段的對(duì)特定端口的連接。使用ipchains抵御DDOS，就是首先通過(guò)netstat命令發(fā)現(xiàn)攻擊來(lái)源地址，然后用ipchains命令阻斷攻擊。發(fā)現(xiàn)一個(gè)阻斷一個(gè)。

打開ipchains功能

首先查看ipchains服務(wù)是否設(shè)為自動(dòng)啟動(dòng)：

chkconfig --list ipchains

輸出一般為：

ipchains 0:off 1:off 2:on 3:on 4:on 5:on 6:off

如果345列為on，說(shuō)明ipchains服務(wù)已經(jīng)設(shè)為自動(dòng)啟動(dòng)如果沒有，可以用命令：

chkconfig --add ipchains

將ipchains服務(wù)設(shè)為自動(dòng)啟動(dòng)。

其次，察看ipchains配置文件/etc/sysconfig/ipchains是否存在。如果這一文件不存在，ipchains即使設(shè)為自動(dòng)啟動(dòng)，也不會(huì)生效。缺省的ipchains配置文件內(nèi)容如下：


# Firewall configuration written by lokkit
# Manual customization of this file is not recommended.
# Note: ifup-post will punch the current nameservers through the
# firewall; such entries will *not* be listed here.
:input ACCEPT
:forward ACCEPT
:output ACCEPT
-A input -s 0/0 -d 0/0 -i lo -j ACCEPT
# allow http,ftp,smtp,ssh,domain via tcp; domain via udp
-A input -p tcp -s 0/0 -d 0/0 pop3 -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 http -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 https -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 ftp -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 smtp -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 ssh -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 domain -y -j ACCEPT
-A input -p udp -s 0/0 -d 0/0 domain -j ACCEPT
# deny icmp packet
#-A input -p icmp -s 0/0 -d 0/0 -j DENY
# default rules
-A input -p tcp -s 0/0 -d 0/0 0:1023 -y -j REJECT
-A input -p tcp -s 0/0 -d 0/0 2049 -y -j REJECT
-A input -p udp -s 0/0 -d 0/0 0:1023 -j REJECT
-A input -p udp -s 0/0 -d 0/0 2049 -j REJECT
-A input -p tcp -s 0/0 -d 0/0 6000:6009 -y -j REJECT
-A input -p tcp -s 0/0 -d 0/0 7100 -y -j REJECT


如果/etc/sysconfig/ipchains文件不存在，可以用上述內(nèi)容創(chuàng)建之。創(chuàng)建之后，啟動(dòng)ipchains服務(wù)：/etc/init.d/ipchains start

用netstat命令發(fā)現(xiàn)攻擊來(lái)源

假如說(shuō)黑客攻擊的是Web 80端口，察看連接80端口的客戶端IP和端口，命令如下：netstat -an -t tcp | grep ":80" | grep ESTABLISHED | awk '{printf "%s %s\n",$5,$6}' | sort

輸出：


161.2.8.9:123 FIN_WAIT2
161.2.8.9:124 FIN_WAIT2
61.233.85.253:23656 FIN_WAIT2
...


第一欄是客戶機(jī)IP和端口，第二欄是連接狀態(tài)。如果來(lái)自同一IP的連接很多（超過(guò)50個(gè)），而且都是連續(xù)端口，就很可能是攻擊。如果只希望察看建立的連接，用命令：


netstat -an -t tcp | grep ":80"
| grep ESTABLISHED | awk '{printf "%s %s\n",$5,$6}' | sort





用ipchains阻斷攻擊來(lái)源

用ipchains阻斷攻擊來(lái)源，有兩種方法。一種是加入到/etc/sysconfig/ipchains里，然后重啟動(dòng)ipchains服務(wù)。另一種是直接用ipchains命令加。屏蔽之后，可能還需要重新啟動(dòng)被攻擊的服務(wù)，是已經(jīng)建立的攻擊連接失效,加入/etc/sysconfig/ipchains.

假定要阻止的是218.202.8.151到80的連接，編輯/etc/sysconfig/ipchains文件，在:output ACCEPT

行下面加入：

-A input -s 218.202.8.151 -d 0/0 http -y -j REJECT

保存修改，重新啟動(dòng)ipchains：

/etc/init.d/ipchains restart

如果要阻止的是218.202.8的整個(gè)網(wǎng)段，加入：

-A input -s 218.202.8.0/255.255.255.0 -d 0/0 http -y -j REJECT


直接用命令行

加入/etc/sysconfig/ipchains文件并重起ipchains的方法，比較慢，而且在ipchains重起的瞬間，可能會(huì)有部分連接鉆進(jìn)來(lái)。最方便的方法是直接用ipchains命令。假定要阻止的是218.202.8.151到80的連接，命令：

ipchains -I input 1 -p tcp -s 218.202.8.151 -d 0/0 http -y -j REJECT

如果要阻止的是218.202.8的整個(gè)網(wǎng)段，命令：

ipchains -I input 1 -p tcp -s 218.202.8.0/255.255.255.0 -d 0/0 http -y -j REJECT

其中，-I的意思是插入，input是規(guī)則連，1是指加入到第一個(gè)。

您可以編輯一個(gè)shell腳本，更方便地做這件事，命令：

vi blockit

內(nèi)容：


#!/bin/sh
if [ ! -z "$1" ] ; then
echo "Blocking: $1"
ipchains -I input 1 -p tcp -s "$1" -d 0/0 http -y -j REJECT
else
echo "which ip to block?"
fi


保存，然后：


chmod 700 blockit


使用方法：


./blockit 218.202.8.151
./blockit 218.202.8.0/255.255.255.0


上述命令行方法所建立的規(guī)則，在重起之后會(huì)失效，您可以用ipchains-save命令打印規(guī)則:

ipchains-save

輸出：


:input ACCEPT
:forward ACCEPT
:output ACCEPT
Saving `input'.
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i lo -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 110:110 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80:80 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 88:88 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 89:89 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 90:90 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 91:91 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 8180:8180 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 443:443 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 21:21 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 25:25 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 53:53 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 9095:9095 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 8007:8007 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 53:53 -p 17 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 0:1023 -p 6 -j REJECT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 2049:2049 -p 6 -j REJECT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 0:1023 -p 17 -j REJECT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 2049:2049 -p 17 -j REJECT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 6000:6009 -p 6 -j REJECT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 7100:7100 -p 6 -j REJECT -y


您需要把其中的"Saving `input'."去掉，然后把其他內(nèi)容保存到/etc/sysconfig/ipchains文件，這樣，下次重起之后，建立的規(guī)則能夠重新生效。



3. 如果使用iptables

RH 8.0以上開始啟用iptables替代ipchains，兩者非常類似，也有差別的地方。

* 啟用iptables

如果/etc/sysconfig/下沒有iptables文件，可以創(chuàng)建：


# Firewall configuration written by lokkit
# Manual customization of this file is not recommended.
# Note: ifup-post will punch the current nameservers through the
# firewall; such entries will *not* be listed here.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Lokkit-0-50-INPUT - [0:0]
-A INPUT -j RH-Lokkit-0-50-INPUT
-A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport ftp -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport ssh -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport http -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport smtp -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport pop3 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport mysql -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2001 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport domain -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport domain -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 0:1023 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2049 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 0:1023 -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 2049 -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 6000:6009 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 7100 --syn -j REJECT
COMMIT


以上配置允許了ftp, ssh, http, smtp, pop3, mysql, 2001(Prim@Hosting ACA端口)，domain端口。

啟動(dòng)iptables

/etc/init.d/iptables start

設(shè)置iptables為自動(dòng)啟動(dòng)

chkconfig --level 2345 iptables on

用iptables屏蔽IP

iptables -I RH-Lokkit-0-50-INPUT 1 -p tcp -m tcp -s 213.8.166.227 --dport 80 --syn -j REJECT

注意到，和ipchains的區(qū)別是：

-I 后面跟的規(guī)則名稱的參數(shù)和ipchains不同，不是統(tǒng)一的input，而是在/etc/sysconfig/iptables里定義的那個(gè)多了-m tcp指定端口的參數(shù)是--dport 80多了--syn參數(shù)，可以自動(dòng)檢測(cè)sync攻擊。

使用iptables禁止ping：


-A INPUT -p icmp -m icmp --icmp-type 8 -m
limit --limit 6/min --limit-burst 2 -j
ACCEPT-A INPUT -p icmp -m icmp --icmp-type 8 -j
REJECT --reject-with icmp-port-unreachable

如果通過(guò)路由器接入互聯(lián)網(wǎng)，不安裝防病毒軟件是否安全？是不是應(yīng)該安裝殺毒軟件？

即便使用路由器接入互聯(lián)網(wǎng)，也一定要安裝防病毒軟件。路由器具有地址轉(zhuǎn)換及開閉TCP/IP通信端口的功能。這些功能雖然可防止病毒傳播等一些來(lái)自互聯(lián)網(wǎng)的攻擊，但其中仍有無(wú)法阻止的攻擊。

路由器無(wú)法完全防止攻擊

比如，路由器無(wú)法防御郵件附件中的病毒。因?yàn)椴《疽炎鳛猷]件的一部分存入個(gè)人電腦。另外，無(wú)法檢測(cè)出從網(wǎng)上下載的軟件中包含的病毒。

那么，路由器可防止何種攻擊呢？互聯(lián)網(wǎng)上的TCP/IP通信使用全球通用IP地址與聯(lián)絡(luò)方的個(gè)人電腦等終端交換數(shù)據(jù)。全球通用IP地址是用戶接入互聯(lián)網(wǎng)時(shí)服務(wù)提供商分配的IP地址。路由器具有可在多臺(tái)個(gè)人電腦上共享這一通用IP地址的功能（稱為IP偽裝等，IP Masquerade）。

如使用地址轉(zhuǎn)換功能，則可在共用一條接入線路的各個(gè)人電腦上使用固定IP（Private IP）地址。固定IP地址是一種可在不直接接入互聯(lián)網(wǎng)的LAN中自由使用的IP地址，由路由器自動(dòng)分配。

路由器的安全功能

幾乎所有路由器都具有數(shù)據(jù)包過(guò)濾功能，可根據(jù)不同的端口號(hào)進(jìn)行數(shù)據(jù)控制。

固定IP不能在互聯(lián)網(wǎng)中使用(不能路由)，要想通過(guò)互聯(lián)網(wǎng)直接訪問分配有這種地址的個(gè)人電腦非常困難。也就是說(shuō)，經(jīng)路由器接入互聯(lián)網(wǎng)的個(gè)人電腦受到外部入侵的可能性很小。

另外，TCP/IP通信中還使用了端口號(hào)。數(shù)據(jù)通過(guò)IP地址傳送至目標(biāo)個(gè)人電腦，但為了分清目標(biāo)個(gè)人電腦中哪個(gè)應(yīng)用軟件使用該數(shù)據(jù)，因此需要使用端口號(hào)。一般應(yīng)用軟件使用的端口號(hào)都是固定的，路由器根據(jù)端口號(hào)決定數(shù)據(jù)的通過(guò)或攔截（關(guān)閉端口等）。

最近肆虐的W32/MSBlaster等病毒利用的就是使用特定端口號(hào)的軟件（服務(wù)）中存在的漏洞，因此只正確使用路由器的端口關(guān)閉功能可以有效防止此類病毒的感染。

一）如何在注冊(cè)表被鎖定的情況下修復(fù)注冊(cè)表


注冊(cè)表被鎖定這一招是比較惡毒的，它使普遍用戶即使會(huì)簡(jiǎn)單修改注冊(cè)表使其恢復(fù)的條件下，困難又多了一層。癥狀是在開始菜單中點(diǎn)擊“運(yùn)行”，在運(yùn)行框中輸入regedit命令時(shí)，注冊(cè)表不能夠使用，并發(fā)現(xiàn)系統(tǒng)提示你沒有權(quán)限運(yùn)行該程序，然后讓你聯(lián)系系統(tǒng)管理員。


這是由于注冊(cè)表編輯器：


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下的DWORD值“DisableRegistryTools”被修改為“1”的緣故，將其鍵值恢復(fù)為“0”即可恢復(fù)注冊(cè)表的使用。


解決辦法:


（1）可以自己動(dòng)手制作一個(gè)解除注冊(cè)表鎖定的工具，就是用記事本編輯一個(gè)任意名字的.reg文件，比如recover.reg，內(nèi)容如下：

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableRegistryTools"=dword:00000000


要特別注意的是：如果你用這個(gè)方法制作解除注冊(cè)表鎖定的工具，一定要嚴(yán)格按照上面的書寫格式進(jìn)行，不能遺漏更不能修改（其實(shí)你只需將上述內(nèi)容“復(fù)制”、“粘貼”到你機(jī)器記事本中即可）；完成上述工作后，點(diǎn)擊記事本的文件菜單中的“另存為”項(xiàng)，文件名可以隨意，但文件擴(kuò)展名必須為.reg（切記）,然后點(diǎn)擊“保存”。這樣一個(gè)注冊(cè)表解鎖工具就制作完成了，之后你只須雙擊生成的工具圖標(biāo)，其會(huì)提示你是否將這個(gè)信息添加進(jìn)注冊(cè)表，你要點(diǎn)擊“是”，隨后系統(tǒng)提示信息已成功輸入注冊(cè)表，再點(diǎn)擊“確定”即可將注冊(cè)表解鎖了。


(2)也可以直接下載下面這個(gè)解鎖工具，下載完成運(yùn)行后可直接解鎖注冊(cè)表編輯器：


http://it.rising.com.cn/antivirus/net_virus/spiteful/enable.reg


（二）篡改IE的默認(rèn)頁(yè)


有些IE被改了起始頁(yè)后，即使設(shè)置了“使用默認(rèn)頁(yè)”仍然無(wú)效，這是因?yàn)镮E起始頁(yè)的默認(rèn)頁(yè)也被篡改了。具體說(shuō)就是以下注冊(cè)表項(xiàng)被修改：


HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL


“Default_Page_URL”這個(gè)子鍵的鍵值即起始頁(yè)的默認(rèn)頁(yè)。


解決辦法：


運(yùn)行注冊(cè)表編輯器，然后展開上述子鍵，將“Default_Page_UR”子鍵的鍵值中的那些篡改網(wǎng)站的網(wǎng)址改掉就行了，或者將其設(shè)置為IE的默認(rèn)值。


（三）修改IE瀏覽器缺省主頁(yè)，并且鎖定設(shè)置項(xiàng)，禁止用戶更改


主要是修改了注冊(cè)表中IE設(shè)置的下面這些鍵值(DWORD值為1時(shí)為不可選)：


HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel

"Settings"=dword:1


HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel

"Links"=dword:1


HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel

"SecAddSites"=dword:1


解決辦法：


將上面這些DWORD值改為“0”即可恢復(fù)功能。


（四）IE的默認(rèn)首頁(yè)灰色按扭不可選


這是由于注冊(cè)表HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel


下的DWORD值“homepage”的鍵值被修改的緣故。原來(lái)的鍵值為“0”，被修改后為“1”（即為灰色不可選狀態(tài)）。


解決辦法：


將“homepage”的鍵值改為“0”即可。


（五）IE標(biāo)題欄被修改


在系統(tǒng)默認(rèn)狀態(tài)下，是由應(yīng)用程序本身來(lái)提供標(biāo)題欄的信息，但也允許用戶自行在上述注冊(cè)表項(xiàng)目中填加信息，而一些惡意的網(wǎng)站正是利用了這一點(diǎn)來(lái)得逞的：它們將串值Window Title下的鍵值改為其網(wǎng)站名或更多的廣告信息，從而達(dá)到改變?yōu)g覽者IE標(biāo)題欄的目的。


具體說(shuō)來(lái)受到更改的注冊(cè)表項(xiàng)目為：


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Window Title


HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title


解決辦法：


①在Windows啟動(dòng)后，點(diǎn)擊“開始”→“運(yùn)行”菜單項(xiàng)，在“打開”欄中鍵入regedit，然后按“確定”鍵；


②展開注冊(cè)表到


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下，在右半部分窗口中找到串值“Window Title” ，將該串值刪除即可，或?qū)indow Title的鍵值改為“IE瀏覽器”等你喜歡的名字；


③同理，展開注冊(cè)表到


HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main


然后按②中所述方法處理。


④退出注冊(cè)表編輯器，重新啟動(dòng)計(jì)算機(jī)，運(yùn)行IE，你會(huì)發(fā)現(xiàn)困擾你的問題被解決了！


（六）IE右鍵菜單被修改


受到修改的注冊(cè)表項(xiàng)目為：

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt


下被新建了網(wǎng)頁(yè)的廣告信息，并由此在IE右鍵菜單中出現(xiàn)！


解決辦法：


打開注冊(cè)標(biāo)編輯器，找到


HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt


刪除相關(guān)的廣告條文即可，注意不要把下載軟件FlashGet和Netants也刪除掉，這兩個(gè)可是“正常”的，除非你不想在IE的右鍵菜單中見到它們。


（七）IE默認(rèn)搜索引擎被修改


在IE瀏覽器的工具欄中有一個(gè)搜索引擎的工具按鈕，可以實(shí)現(xiàn)網(wǎng)絡(luò)搜索，被篡改后只要點(diǎn)擊那個(gè)搜索工具按鈕就會(huì)鏈接到那個(gè)篡改網(wǎng)站。出現(xiàn)這種現(xiàn)象的原因是以下注冊(cè)表被修改：


HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch


HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant


解決辦法：


運(yùn)行注冊(cè)表編輯器，依次展開上述子鍵，將“CustomizeSearch”和“SearchAssistant”的鍵值改為某個(gè)搜索引擎的網(wǎng)址即可。


（八）系統(tǒng)啟動(dòng)時(shí)彈出對(duì)話框


受到更改的注冊(cè)表項(xiàng)目為：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon


在其下被建立了字符串“LegalNoticeCaption”和“LegalNoticeText”，其中“LegalNoticeCaption”是提示框的標(biāo)題，“LegalNoticeText”是提示框的文本內(nèi)容。由于它們的存在，就使得我們每次登陸到Windwos桌面前都出現(xiàn)一個(gè)提示窗口，顯示那些網(wǎng)頁(yè)的廣告信息！


解決辦法：


打開注冊(cè)表編輯器，找到


HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon


這一個(gè)主鍵，然后在右邊窗口中找到“LegalNoticeCaption”和“LegalNoticeText”這兩個(gè)字符串，刪除這兩個(gè)字符串就可以解決在登陸時(shí)出現(xiàn)提示框的現(xiàn)象了。


（九）IE默認(rèn)連接首頁(yè)被修改


IE瀏覽器上方的標(biāo)題欄被改成“歡迎訪問……網(wǎng)站”的樣式，這是最常見的篡改手段，受害者眾多。


受到更改的注冊(cè)表項(xiàng)目為：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page


HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page


通過(guò)修改“Start Page”的鍵值，來(lái)達(dá)到修改瀏覽者IE默認(rèn)連接首頁(yè)的目的，如瀏覽“萬(wàn)花谷”就會(huì)將你的IE默認(rèn)連接首頁(yè)修改為“http://on888.home.chinaren.com ”，即便是出于給自己的主頁(yè)做廣告的目的，也顯得太霸道了一些，這也是這類網(wǎng)頁(yè)惹人厭惡的原因。


解決辦法：


①在Windows啟動(dòng)后，點(diǎn)擊“開始”→“運(yùn)行”菜單項(xiàng)，在“打開”欄中鍵入regedit，然后按“確定”鍵；


②展開注冊(cè)表到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下，在右半部分窗口中找到串值“Start Page”雙擊 ，將Start Page的鍵值改為“about:blank”即可；


③同理，展開注冊(cè)表到

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

在右半部分窗口中找到串值“Start Page”，然后按②中所述方法處理。


④退出注冊(cè)表編輯器，重新啟動(dòng)計(jì)算機(jī)，一切OK了！


特殊例子：當(dāng)IE的起始頁(yè)變成了某些網(wǎng)址后，就算你通過(guò)選項(xiàng)設(shè)置修改好了，重啟以后又會(huì)變成他們的網(wǎng)址啦，十分的難纏。其實(shí)他們是在你機(jī)器里加了一個(gè)自運(yùn)行程序，它會(huì)在系統(tǒng)啟動(dòng)時(shí)將你的IE起始頁(yè)設(shè)成他們的網(wǎng)站。


解決辦法：運(yùn)行注冊(cè)表編輯器regedit.exe，然后依次展開

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run


主鍵，然后將其下的registry.exe子鍵刪除，然后刪除自運(yùn)行程序c:\Program Files\registry.exe，最后從IE選項(xiàng)中重新設(shè)置起始頁(yè)。


（十）IE中鼠標(biāo)右鍵失效


瀏覽網(wǎng)頁(yè)后在IE中鼠標(biāo)右鍵失效，點(diǎn)擊右鍵沒有任何反應(yīng)！


有的網(wǎng)絡(luò)流氓為了達(dá)到其惡意宣傳的目的，將你的右鍵彈出的功能菜單進(jìn)行了修改，并且加入了一些亂七八糟的東西，甚至為了禁止你下載，將IE窗口中單擊右鍵的功能都屏蔽掉。


解決辦法：


1.右鍵菜單被修改。打開注冊(cè)表編輯器，找到HKEY_CURRENT_USER＼Software＼Microsoft＼Internet Explorer＼MenuExt，刪除相關(guān)的廣告條文。


2.右鍵功能失效。打開注冊(cè)表編輯器，展開到HKEY_CURRENT_USER＼Software＼Policies＼Microsoft＼Internet Explorer＼Restrictions，將其DWORD值"NoBrowserContextMenu"的值改為0。


（十一）查看“源文件”菜單被禁用


在IE窗口中點(diǎn)擊“查看”→“源文件”，發(fā)現(xiàn)“源文件”菜單已經(jīng)被禁用。


惡意網(wǎng)頁(yè)修改了注冊(cè)表，具體的位置為：


在注冊(cè)表

HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer


下建立子鍵“Restrictions”，然后在“Restrictions”下面建立兩個(gè)DWORD值：


“NoViewSource”和“NoBrowserContextMenu”，并為這兩個(gè)DWORD值賦值為“1”。


在注冊(cè)表

HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions

下，將兩個(gè)DWORD值：“NoViewSource”和“NoBrowserContextMenu”的鍵值都改為了“1”。


通過(guò)上面這些鍵值的修改就達(dá)到了在IE中使鼠標(biāo)右鍵失效，使“查看”菜單中的“源文件”被禁用的目的。


解決辦法：


將以下內(nèi)容另存為后綴名為.reg的注冊(cè)表文件，比如說(shuō)unlock.reg，雙擊unlock.reg導(dǎo)入注冊(cè)表，不用重啟電腦，重新運(yùn)行IE就會(huì)發(fā)現(xiàn)IE的功能恢復(fù)正常了。


REGEDIT4


HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions


“NoViewSource”=dword:00000000


"NoBrowserContextMenu"=dword:00000000


HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions


“NoViewSource”=dword:00000000


“NoBrowserContextMenu”=dword:00000000

很多網(wǎng)絡(luò)管理員還沒有認(rèn)識(shí)到他們的路由器能夠成為攻擊的熱點(diǎn)，路由器操作系統(tǒng)同網(wǎng)絡(luò)操作系統(tǒng)一樣容易受到黑客的攻擊。大多數(shù)中小企業(yè)沒有雇傭路由器工程師，也沒有把這項(xiàng)功能當(dāng)成一件必須要做的事情外包出去。因此，網(wǎng)絡(luò)管理員和經(jīng)理人既不十分了解也沒有時(shí)間去保證路由器的安全。下面是保證路由器安全的十個(gè)基本的技巧。

　　1.更新你的路由器操作系統(tǒng):就像網(wǎng)絡(luò)操作系統(tǒng)一樣，路由器操作系統(tǒng)也需要更新，以便糾正編程錯(cuò)誤、軟件瑕疵和緩存溢出的問題。要經(jīng)常向你的路由器廠商查詢當(dāng)前的更新和操作系統(tǒng)的版本。


　　2.修改默認(rèn)的口令:據(jù)卡內(nèi)基梅隆大學(xué)的計(jì)算機(jī)應(yīng)急反應(yīng)小組稱，80%的安全事件都是由于較弱或者默認(rèn)的口令引起的。避免使用普通的口令，并且使用大小寫字母混合的方式作為更強(qiáng)大的口令規(guī)則。

　　3.禁用HTTP設(shè)置和SNMP(簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議):你的路由器的HTTP設(shè)置部分對(duì)于一個(gè)繁忙的網(wǎng)絡(luò)管理員來(lái)說(shuō)是很容易設(shè)置的。但是，這對(duì)路由器來(lái)說(shuō)也是一個(gè)安全問題。如果你的路由器有一個(gè)命令行設(shè)置，禁用HTTP方式并且使用這種設(shè)置方式。如果你沒有使用你的路由器上的SNMP，那么你就不需要啟用這個(gè)功能。思科路由器存在一個(gè)容易遭受GRE隧道攻擊的SNMP安全漏洞。

　　4.封鎖ICMP(互聯(lián)網(wǎng)控制消息協(xié)議)ping請(qǐng)求:ping和其它ICMP功能對(duì)于網(wǎng)絡(luò)管理員和黑客都是非常有用的工具。黑客能夠利用你的路由器上啟用的ICMP功能找出可用來(lái)攻擊你的網(wǎng)絡(luò)的信息。

　　5.禁用來(lái)自互聯(lián)網(wǎng)的telnet命令:在大多數(shù)情況下，你不需要來(lái)自互聯(lián)網(wǎng)接口的主動(dòng)的telnet會(huì)話。如果從內(nèi)部訪問你的路由器設(shè)置會(huì)更安全一些。

　　6.禁用IP定向廣播:IP定向廣播能夠允許對(duì)你的設(shè)備實(shí)施拒絕服務(wù)攻擊。一臺(tái)路由器的內(nèi)存和CPU難以承受太多的請(qǐng)求。這種結(jié)果會(huì)導(dǎo)致緩存溢出。

　　7.禁用IP路由和IP重新定向:重新定向允許數(shù)據(jù)包從一個(gè)接口進(jìn)來(lái)然后從另一個(gè)接口出去。你不需要把精心設(shè)計(jì)的數(shù)據(jù)包重新定向到專用的內(nèi)部網(wǎng)路。

　　8.包過(guò)濾:包過(guò)濾僅傳遞你允許進(jìn)入你的網(wǎng)絡(luò)的那種數(shù)據(jù)包。許多公司僅允許使用80端口(HTTP)和110/25端口(電子郵件)。此外，你可以封鎖和允許IP地址和范圍。

　　9.審查安全記錄:通過(guò)簡(jiǎn)單地利用一些時(shí)間審查你的記錄文件，你會(huì)看到明顯的攻擊方式，甚至安全漏洞。你將為你經(jīng)歷了如此多的攻擊感到驚奇。

　　10.不必要的服務(wù):永遠(yuǎn)禁用不必要的服務(wù)，無(wú)論是路由器、服務(wù)器和工作站上的不必要的服務(wù)都要禁用。思科的設(shè)備通過(guò)網(wǎng)絡(luò)操作系統(tǒng)默認(rèn)地提供一些小的服務(wù)，如echo(回波), chargen(字符發(fā)生器協(xié)議)和discard(拋棄協(xié)議)。這些服務(wù)，特別是它們的UDP服務(wù)，很少用于合法的目的。但是，這些服務(wù)能夠用來(lái)實(shí)施拒絕服務(wù)攻擊和其它攻擊。包過(guò)濾可以防止這些攻擊。

縱觀今年全球病毒的發(fā)展，不難發(fā)現(xiàn)蠕蟲病毒接踵而至，著實(shí)讓殺毒市場(chǎng)火了一把。蠕蟲病毒信手拈來(lái)，如庫(kù)爾尼科娃、Sircam、紅色代碼、藍(lán)色代碼、本拉登等等，一個(gè)比一個(gè)厲害，一個(gè)比一個(gè)惡毒，令人防不勝防，只要你上網(wǎng)，不經(jīng)意之間就有可能染上病毒而渾然不知。



現(xiàn)在人們還沒有養(yǎng)成定期進(jìn)行系統(tǒng)升級(jí)、維護(hù)的習(xí)慣，這也是最近受病毒侵害感染率高的原因之一。只要培養(yǎng)良好的預(yù)防病毒意識(shí)，并充分發(fā)揮殺毒軟件的防護(hù)能力，完全可以將大部分病毒拒之門外。


1、安裝防毒軟件：鑒于現(xiàn)今病毒無(wú)孔不入，安裝一套防毒軟件很有必要。首次安 裝時(shí)，一定要對(duì)計(jì)算機(jī)做一次徹底的病毒掃描，盡管麻煩一點(diǎn)，但可以確保系統(tǒng)尚未受過(guò)病毒感染。另外建議你每周至少更新一次病毒定義碼或病毒引擎（引擎的更新速度比病毒定義碼要慢得多），因?yàn)樽钚碌姆啦《拒浖攀亲钣行У摹６ㄆ趻呙栌?jì)算機(jī)也是一個(gè)良好的習(xí)慣。


2、注意軟盤、光盤媒介：在使用軟盤、光盤或活動(dòng)硬盤其他媒介之前，一定要對(duì) 之進(jìn)行掃描，不怕一萬(wàn)，就怕萬(wàn)一。


3、下載注意點(diǎn)：下載一定要從比較可*的站點(diǎn)進(jìn)行，對(duì)于互聯(lián)網(wǎng)上的文檔與電子 郵件，下載后也須不厭其煩做病毒掃描。


4、用常識(shí)進(jìn)行判斷：來(lái)歷不明的郵件決不要打開，遇到形跡可疑或不是預(yù)期中的 朋友來(lái)信中的附件，決不要輕易運(yùn)行，除非你已經(jīng)知道附件的內(nèi)容。


5、禁用Windows Scripting Host。許多病毒，特別是蠕蟲病毒正是鉆了這項(xiàng)“空子”，使得用戶無(wú)需點(diǎn)擊附件，就可自動(dòng)打開一個(gè)被感染的附件。


6、使用基于客戶端的防火墻或過(guò)濾措施，以增強(qiáng)計(jì)算機(jī)對(duì)黑客和惡意代碼的攻擊 的免疫力。或者在一些安全網(wǎng)站中，可對(duì)自己的計(jì)算機(jī)做病毒掃描，察看它是否存在安全漏洞與病毒。如果你經(jīng)常在線，這一點(diǎn)很有必要，因?yàn)槿绻愕南到y(tǒng)沒有加設(shè)有效防護(hù)，你的個(gè)人資料很有可能會(huì)被他人竊取。


7、警惕欺騙性或文告性的病毒。這類病毒利用了人性的弱點(diǎn)，以子虛烏有的說(shuō)辭 來(lái)打動(dòng)你，記住，天下沒有免費(fèi)的午餐，一旦發(fā)現(xiàn)，盡快刪除。更有病毒偽裝成殺毒軟件騙人。


8、使用其它形式的文檔，比如說(shuō)辦公處理?yè)Q用.wps或.pdf文檔以防止宏病毒。當(dāng)然，這不是徹底避開病毒的萬(wàn)全之策，但不失為一個(gè)避免病毒纏繞的好方法。

在網(wǎng)絡(luò)給我們的工作學(xué)習(xí)帶來(lái)極大方便的同時(shí)，病毒、木馬、后門以及黑客程序也嚴(yán)重影響著信息的安全。這些程序感染計(jì)算機(jī)的一個(gè)共同特點(diǎn)是在注冊(cè)表中寫入信息，來(lái)達(dá)到如自動(dòng)運(yùn)行、破壞和傳播等目的。以下是筆者在網(wǎng)上收集的，通過(guò)修改注冊(cè)表來(lái)對(duì)付病毒、木馬、后門以及黑客程序，保證個(gè)人計(jì)算機(jī)的安全。






1.預(yù)防Acid Battery v1.0木馬的破壞

在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices下若在右邊窗口中如發(fā)現(xiàn)了“Explorer”鍵值，則說(shuō)明中了YAI木馬，將它刪除。

2.預(yù)防YAI木馬的破壞

在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices下，若在右邊窗口中如發(fā)現(xiàn)了“Batterieanzeige”鍵值，則說(shuō)明中了YAI木馬，將它刪除。

3.預(yù)防Eclipse 2000木馬的破壞

在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices下，若在右邊窗口中如發(fā)現(xiàn)了“bybt”鍵值，則將它刪除。然后在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices下刪除右邊的鍵值“cksys”，重新啟動(dòng)電腦。

4.預(yù)防BO2000的破壞

在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices下，若在右邊窗口中如發(fā)現(xiàn)了“umgr32.exe”鍵值，則說(shuō)明中了BO2000，將它刪除。

5.預(yù)防愛蟲的破壞

在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run下，若在右邊窗口中如發(fā)現(xiàn)了“MSKernel32”鍵值，就將它刪除。

6.禁止出現(xiàn)IE菜單中“工具”欄里“interner選項(xiàng)”

把c:\windows\system下的名為inetcpl.cpl更名為inetcpl.old或則別的名字后就會(huì)出現(xiàn)禁止使用的情況把名字再換回來(lái)，就可以恢復(fù)使用。

7.預(yù)防BackDoor的破壞

在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run下，若在右邊窗口中如發(fā)現(xiàn)了“Notepad”鍵值，就將它刪除。

8.預(yù)防WinNuke的破壞

在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\
MSTCP下，若在右邊的窗口中新建或修改字符串“BSDUrgent”，設(shè)其值為0。

9.預(yù)防KeyboardGhost的破壞

在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServices下如發(fā)現(xiàn)KG.EXE這一鍵值，就將它刪除，并查找KG.exe文件和kg.dat文件，將它們都刪除。

10.查找NetSpy黑客程序

在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run下，若在右邊的窗口中尋找鍵“NetSpy”，如果存在，就說(shuō)明已經(jīng)裝有NetSpy黑客程序，把它刪除。

11.清理訪問“網(wǎng)絡(luò)鄰居”后留下的字句信息

在HEKY_CURRENT_USER/Network/Recent下，刪除下面的主鍵。

12.取消登陸時(shí)自動(dòng)撥號(hào)

在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/
Network/RealModeNet下修改右邊窗口中的“autologon”為“01 00 00 00 00”。

13.取消登錄時(shí)選擇用戶

已經(jīng)刪除了所有用戶，但登錄時(shí)還要選擇用戶，我們要取消登錄時(shí)選擇用戶，就要在HKEY_LOCAL_MACHINE\Network\Logon下，在右邊的窗口中，修改“UserProfiles”值為“0”。

14.隱藏上機(jī)用戶登錄的名字

在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Winlogon下，若在右邊的窗口中新建字符串“DontDisplayLastUserName”，設(shè)值為“1”。