網(wǎng)上銀行安全有道
[ 2007-03-25 02:53:23 | 作者: sun ]
隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展和電子商務(wù)的普及,以互聯(lián)網(wǎng)技術(shù)為核心的網(wǎng)上銀行正日漸取代傳統(tǒng)的銀行業(yè)務(wù)。“網(wǎng)上銀行”為金融企業(yè)的發(fā)展帶來了前所未有的商機(jī),也為廣大用戶提供了快速便捷、形式多樣的金融服務(wù)。作為一種全新的交易渠道,客戶不必親自去銀行網(wǎng)點(diǎn)辦理業(yè)務(wù),只要能夠上網(wǎng),無論在家、辦公室,還是在旅途中,都可以全天24小時安全便捷地管理自己的資產(chǎn),辦理查詢、轉(zhuǎn)賬、繳費(fèi)等銀行業(yè)務(wù)。
然而近年來,假網(wǎng)站、假電子郵件、假短信、惡意木馬病毒等各種新的犯罪手段層出不窮,很多人對處于推廣普及階段的網(wǎng)上銀行了解得不多,特別是對如何確保安全并有效防范各種網(wǎng)絡(luò)詐騙和網(wǎng)絡(luò)盜竊行為知之甚少。為此,國內(nèi)各大商業(yè)銀行相繼推出了一系列安全工具,保障網(wǎng)上銀行交易安全。國內(nèi)最大的商業(yè)銀行中國工商銀行推出了網(wǎng)銀高端安全工具——U盾(個人客戶證書)和最新的電子銀行口令卡,讓客戶在享受網(wǎng)上銀行便利服務(wù)的同時,確保支付交易安全。
安全性作為網(wǎng)絡(luò)銀行賴以生存和得以發(fā)展的核心及基礎(chǔ),從一開始就受到各家銀行的極度重視,包括工行在內(nèi)的各大商業(yè)銀行都采取了有效的技術(shù)和業(yè)務(wù)手段確保網(wǎng)上銀行安全。相信隨著國民金融意識的增強(qiáng)和國家規(guī)范網(wǎng)上行為等相關(guān)法律法規(guī)的出臺,廣大用戶會享受到更好的網(wǎng)上銀行使用環(huán)境。為客戶提供“3A服務(wù)”(任何時間、任何地點(diǎn)、任何方式)的“網(wǎng)上銀行”一定會贏得越來越多用戶的青睞。
然而近年來,假網(wǎng)站、假電子郵件、假短信、惡意木馬病毒等各種新的犯罪手段層出不窮,很多人對處于推廣普及階段的網(wǎng)上銀行了解得不多,特別是對如何確保安全并有效防范各種網(wǎng)絡(luò)詐騙和網(wǎng)絡(luò)盜竊行為知之甚少。為此,國內(nèi)各大商業(yè)銀行相繼推出了一系列安全工具,保障網(wǎng)上銀行交易安全。國內(nèi)最大的商業(yè)銀行中國工商銀行推出了網(wǎng)銀高端安全工具——U盾(個人客戶證書)和最新的電子銀行口令卡,讓客戶在享受網(wǎng)上銀行便利服務(wù)的同時,確保支付交易安全。
安全性作為網(wǎng)絡(luò)銀行賴以生存和得以發(fā)展的核心及基礎(chǔ),從一開始就受到各家銀行的極度重視,包括工行在內(nèi)的各大商業(yè)銀行都采取了有效的技術(shù)和業(yè)務(wù)手段確保網(wǎng)上銀行安全。相信隨著國民金融意識的增強(qiáng)和國家規(guī)范網(wǎng)上行為等相關(guān)法律法規(guī)的出臺,廣大用戶會享受到更好的網(wǎng)上銀行使用環(huán)境。為客戶提供“3A服務(wù)”(任何時間、任何地點(diǎn)、任何方式)的“網(wǎng)上銀行”一定會贏得越來越多用戶的青睞。
IP安全策略 VS 特洛伊木馬
[ 2007-03-25 02:53:11 | 作者: sun ]
當(dāng)木馬悄悄打開某扇“方便之門”(端口)時,不速之客就會神不知鬼不覺地侵入你的電腦。如果被種下木馬其實也不必?fù)?dān)心,首先我們要切斷它們與外界的聯(lián)系(就是 堵住可疑端口)。
在Win 2000/XP/2003系統(tǒng)中,Microsoft管理控制臺(MMC)已將系統(tǒng)的配置功能匯集成配置模塊,大大方便我們進(jìn)行特殊的設(shè)置(以Telnet利用的23端口為例,筆者的操作系統(tǒng)為Win XP)。
操作步驟
首先單擊“運(yùn)行”在框中輸入“mmc”后回車,會彈出“控制臺1”的窗口。我們依次選擇“文件→添加/刪除管理單元→在獨(dú)立標(biāo)簽欄中點(diǎn)擊‘添加’→IP安全策略管理”,最后按提示完成操作。這時,我們已把“IP安全策略,在本地計算機(jī)”(以下簡稱“IP安全策略”)添加到“控制臺根節(jié)點(diǎn)”下。
現(xiàn)在雙擊“IP安全策略”就可以新建一個管理規(guī)則了。右擊“IP安全策略”,在彈出的快捷菜單中選擇“創(chuàng)建IP安全策略”,打開IP安全策略向?qū)Вc(diǎn)擊“下一步→名稱默認(rèn)為‘新IP安全策略’→下一步→不必選擇‘激活默認(rèn)響應(yīng)規(guī)則’”(注意:在點(diǎn)擊“下一步的同時,需要確認(rèn)此時“編輯屬性”被選中),然后選擇“完成→在“新IP安全策略屬性→添加→不必選擇‘使用添加向?qū)А薄?
在尋址欄的源地址應(yīng)選擇“任何IP地址”,目標(biāo)地址選擇“我的IP地址”(不必選擇鏡像)。在協(xié)議標(biāo)簽欄中,注意類型應(yīng)為TCP,并設(shè)置IP協(xié)議端口從任意端口到此端口23,最后點(diǎn)擊“確定”即可。這時在“IP篩選器列表”中會出現(xiàn)一個“新IP篩選器”,選中它,切換到“篩選器操作”標(biāo)簽欄,依次點(diǎn)擊“添加→名稱默認(rèn)為‘新篩選器操作’→添加→阻止→完成”。
新策略需要被激活才能起作用,具體方法是:在“新IP安全策略”上點(diǎn)右鍵,“指派”剛才制定的策略。
效果
現(xiàn)在,當(dāng)我們從另一臺電腦Telnet到設(shè)防的這一臺時,系統(tǒng)會報告登錄失敗;用掃描工具掃描這臺機(jī)子,會發(fā)現(xiàn)23端口仍然在提供服務(wù)。以同樣的方法,大家可以把其它任何可疑的端口都封殺掉,讓不速之客們大叫“不妙”去吧!
在Win 2000/XP/2003系統(tǒng)中,Microsoft管理控制臺(MMC)已將系統(tǒng)的配置功能匯集成配置模塊,大大方便我們進(jìn)行特殊的設(shè)置(以Telnet利用的23端口為例,筆者的操作系統(tǒng)為Win XP)。
操作步驟
首先單擊“運(yùn)行”在框中輸入“mmc”后回車,會彈出“控制臺1”的窗口。我們依次選擇“文件→添加/刪除管理單元→在獨(dú)立標(biāo)簽欄中點(diǎn)擊‘添加’→IP安全策略管理”,最后按提示完成操作。這時,我們已把“IP安全策略,在本地計算機(jī)”(以下簡稱“IP安全策略”)添加到“控制臺根節(jié)點(diǎn)”下。
現(xiàn)在雙擊“IP安全策略”就可以新建一個管理規(guī)則了。右擊“IP安全策略”,在彈出的快捷菜單中選擇“創(chuàng)建IP安全策略”,打開IP安全策略向?qū)Вc(diǎn)擊“下一步→名稱默認(rèn)為‘新IP安全策略’→下一步→不必選擇‘激活默認(rèn)響應(yīng)規(guī)則’”(注意:在點(diǎn)擊“下一步的同時,需要確認(rèn)此時“編輯屬性”被選中),然后選擇“完成→在“新IP安全策略屬性→添加→不必選擇‘使用添加向?qū)А薄?
在尋址欄的源地址應(yīng)選擇“任何IP地址”,目標(biāo)地址選擇“我的IP地址”(不必選擇鏡像)。在協(xié)議標(biāo)簽欄中,注意類型應(yīng)為TCP,并設(shè)置IP協(xié)議端口從任意端口到此端口23,最后點(diǎn)擊“確定”即可。這時在“IP篩選器列表”中會出現(xiàn)一個“新IP篩選器”,選中它,切換到“篩選器操作”標(biāo)簽欄,依次點(diǎn)擊“添加→名稱默認(rèn)為‘新篩選器操作’→添加→阻止→完成”。
新策略需要被激活才能起作用,具體方法是:在“新IP安全策略”上點(diǎn)右鍵,“指派”剛才制定的策略。
效果
現(xiàn)在,當(dāng)我們從另一臺電腦Telnet到設(shè)防的這一臺時,系統(tǒng)會報告登錄失敗;用掃描工具掃描這臺機(jī)子,會發(fā)現(xiàn)23端口仍然在提供服務(wù)。以同樣的方法,大家可以把其它任何可疑的端口都封殺掉,讓不速之客們大叫“不妙”去吧!
看大網(wǎng)站如何保障網(wǎng)絡(luò)安全
[ 2007-03-25 02:53:00 | 作者: sun ]
首先,服務(wù)器上用的是私有的操作系統(tǒng)和數(shù)據(jù)庫,所謂私有,并不是完全自己寫,而是說,全部都是進(jìn)行私有化改造過的,一般使用開源的操作系統(tǒng)和數(shù)據(jù)庫進(jìn)行改造,比如說操作系統(tǒng)使用free bsd的改,數(shù)據(jù)庫使用mysql的改,網(wǎng)站服務(wù)器數(shù)量上百時開始實施這個工程的網(wǎng)站比較多,費(fèi)用是很重要的一方面原因,但更重要的是安全因素。防火墻不僅昂貴,而且會嚴(yán)重降低效率,所以他們一般不會考慮。
改造操作系統(tǒng)的時候,除通信所需的一些命令文件保持原名外,很多命令文件連文件名都換掉(有人認(rèn)為這是小花樣,呵呵),大量功能被重寫,黑客即使拿到權(quán)限坐在服務(wù)器面前,也取不到數(shù)據(jù)。
有網(wǎng)站首席安全官認(rèn)為放一扇門讓別人一個勁砸,不如給人兩條路讓人選擇正確的或者不正確的,所有使用錯誤帳號和密碼去試系統(tǒng)的人,都會被允許以匿名身份登錄到一個shell里,那個shell跟真的系統(tǒng)很象,嗯,只是很象,但其實是個空殼,所有的指令,都會被以最小代價運(yùn)行,調(diào)用假的信息界面出來。有的甚至里面放了陷阱,欺騙性引導(dǎo)黑客自動送上身份資料或其他一些敏感信息,畢竟黑客可能通過境外跳板過來,如果不是黑客主動送上,網(wǎng)站方很難獲得黑客身份資料的。
使用自己的安全策略,對已有的攻擊手段都有相應(yīng)的防護(hù)措施。比如說對syn flood這樣的,就是臨時降低服務(wù)質(zhì)量,降低半連接等待時間,這樣連接的成功率會降低,但是不會造成服務(wù)被停。
網(wǎng)絡(luò)空閑時間經(jīng)常有欺騙性數(shù)據(jù)流在辦公網(wǎng)絡(luò)和服務(wù)器之間流動,使用強(qiáng)度不高的加密方式加密,讓黑客有事做。
網(wǎng)站內(nèi)部工作人員使用業(yè)務(wù)系統(tǒng)登錄網(wǎng)站服務(wù)器時,界面上和一般服務(wù)器一樣,所有的一般命令都可以通過業(yè)務(wù)系統(tǒng)轉(zhuǎn)換為私有操作系統(tǒng)的專用命令而得到執(zhí)行,網(wǎng)站內(nèi)部工作人員也只有很少的知道轉(zhuǎn)換的對照,而且一般都經(jīng)過分權(quán),做操作系統(tǒng)開發(fā)的,不負(fù)責(zé)服務(wù)器的維護(hù),并且不知道安裝某個內(nèi)部版本號操作系統(tǒng)的服務(wù)器被部署到什么地方。
帳號及密碼按規(guī)定必須通過安全的消息平臺傳遞。
有自己部署在不同城市的DNS服務(wù)器,所有部署出去的應(yīng)用都有不在同一機(jī)房的備用系統(tǒng),應(yīng)急機(jī)制設(shè)置在自己的DNS服務(wù)器這一環(huán)節(jié),使用承載其他服務(wù)的服務(wù)器做交叉的安全狀態(tài)監(jiān)測,比如說A1服務(wù)器是A服務(wù)器的備用系統(tǒng),使用CDEFGH等服務(wù)器來做A服務(wù)器安全狀態(tài)監(jiān)測,定時通信,并向A1服務(wù)器傳遞通信成功的信號,當(dāng)失敗率超過某個值的時候,A1自動分擔(dān)A的部分壓力,A1服務(wù)器上原本承擔(dān)的非及時服務(wù)(不面向客戶的,比如說索引服務(wù))被降低優(yōu)先級。所有服務(wù)器之間這么相互監(jiān)測,通過某個機(jī)制保證監(jiān)測是及時有效的。這樣的情況下,即使某家DNS服務(wù)商被攻擊,自己的網(wǎng)站都還能被大部分用戶訪問,因為不同地區(qū)的DNS還沒被刷,用戶還是可以使用那些DNS連接到網(wǎng)站的。
一般而言,使用了這些手段,網(wǎng)站的安全性不能說萬無一失,也是大大提高的。
改造操作系統(tǒng)的時候,除通信所需的一些命令文件保持原名外,很多命令文件連文件名都換掉(有人認(rèn)為這是小花樣,呵呵),大量功能被重寫,黑客即使拿到權(quán)限坐在服務(wù)器面前,也取不到數(shù)據(jù)。
有網(wǎng)站首席安全官認(rèn)為放一扇門讓別人一個勁砸,不如給人兩條路讓人選擇正確的或者不正確的,所有使用錯誤帳號和密碼去試系統(tǒng)的人,都會被允許以匿名身份登錄到一個shell里,那個shell跟真的系統(tǒng)很象,嗯,只是很象,但其實是個空殼,所有的指令,都會被以最小代價運(yùn)行,調(diào)用假的信息界面出來。有的甚至里面放了陷阱,欺騙性引導(dǎo)黑客自動送上身份資料或其他一些敏感信息,畢竟黑客可能通過境外跳板過來,如果不是黑客主動送上,網(wǎng)站方很難獲得黑客身份資料的。
使用自己的安全策略,對已有的攻擊手段都有相應(yīng)的防護(hù)措施。比如說對syn flood這樣的,就是臨時降低服務(wù)質(zhì)量,降低半連接等待時間,這樣連接的成功率會降低,但是不會造成服務(wù)被停。
網(wǎng)絡(luò)空閑時間經(jīng)常有欺騙性數(shù)據(jù)流在辦公網(wǎng)絡(luò)和服務(wù)器之間流動,使用強(qiáng)度不高的加密方式加密,讓黑客有事做。
網(wǎng)站內(nèi)部工作人員使用業(yè)務(wù)系統(tǒng)登錄網(wǎng)站服務(wù)器時,界面上和一般服務(wù)器一樣,所有的一般命令都可以通過業(yè)務(wù)系統(tǒng)轉(zhuǎn)換為私有操作系統(tǒng)的專用命令而得到執(zhí)行,網(wǎng)站內(nèi)部工作人員也只有很少的知道轉(zhuǎn)換的對照,而且一般都經(jīng)過分權(quán),做操作系統(tǒng)開發(fā)的,不負(fù)責(zé)服務(wù)器的維護(hù),并且不知道安裝某個內(nèi)部版本號操作系統(tǒng)的服務(wù)器被部署到什么地方。
帳號及密碼按規(guī)定必須通過安全的消息平臺傳遞。
有自己部署在不同城市的DNS服務(wù)器,所有部署出去的應(yīng)用都有不在同一機(jī)房的備用系統(tǒng),應(yīng)急機(jī)制設(shè)置在自己的DNS服務(wù)器這一環(huán)節(jié),使用承載其他服務(wù)的服務(wù)器做交叉的安全狀態(tài)監(jiān)測,比如說A1服務(wù)器是A服務(wù)器的備用系統(tǒng),使用CDEFGH等服務(wù)器來做A服務(wù)器安全狀態(tài)監(jiān)測,定時通信,并向A1服務(wù)器傳遞通信成功的信號,當(dāng)失敗率超過某個值的時候,A1自動分擔(dān)A的部分壓力,A1服務(wù)器上原本承擔(dān)的非及時服務(wù)(不面向客戶的,比如說索引服務(wù))被降低優(yōu)先級。所有服務(wù)器之間這么相互監(jiān)測,通過某個機(jī)制保證監(jiān)測是及時有效的。這樣的情況下,即使某家DNS服務(wù)商被攻擊,自己的網(wǎng)站都還能被大部分用戶訪問,因為不同地區(qū)的DNS還沒被刷,用戶還是可以使用那些DNS連接到網(wǎng)站的。
一般而言,使用了這些手段,網(wǎng)站的安全性不能說萬無一失,也是大大提高的。
安全知識 探討主動防御型殺毒軟件技術(shù)
[ 2007-03-25 02:52:29 | 作者: sun ]
間諜程序、游戲木馬、黑客程序等網(wǎng)絡(luò)病毒的頻頻爆發(fā),使國內(nèi)外反病毒領(lǐng)域開始意識到,單純依靠“特征碼技術(shù)”已經(jīng)不能適應(yīng)反病毒需求。 那么什么是“主動防御”,它的實現(xiàn)技術(shù)又是怎樣的呢?
所謂“主動防御”,就是全程監(jiān)視進(jìn)程的行為,一但發(fā)現(xiàn)“違規(guī)”行為,就通知用戶,或者直接終止進(jìn)程。它類似于警察判斷潛在罪犯的技術(shù),在成為一個罪犯之前,大多數(shù)的人都有一些異常行為,比如“性格孤僻,有暴力傾向,自私自利,對現(xiàn)實不滿”等先兆,但是并不是說有這些先兆的人就都會發(fā)展為罪犯,或者罪犯都有這些先兆。因此“主動防御”并不能100%發(fā)現(xiàn)病毒,它的成功率大概在60%-80%之間。如果再加上傳統(tǒng)的“特征碼技術(shù)”,幾乎可以發(fā)現(xiàn)100%的惡意程序了。在國外,諾頓,Kaspersky,McAfee等等殺毒巨頭,都已經(jīng)向“主動防御”+“特征碼技術(shù)”過渡了,這是殺毒軟件的必然發(fā)展趨勢。
防火墻是一個運(yùn)用“主動防御”技術(shù)的典型例子,大家都用過防火墻了,對于防火墻經(jīng)常詢問用戶是否放行一個進(jìn)程訪問網(wǎng)絡(luò),或者有不明連接進(jìn)入本機(jī)而發(fā)出警告是否印象深刻呢?其實防火墻就是在全程監(jiān)視進(jìn)程的網(wǎng)絡(luò)行為,一但發(fā)現(xiàn)違反規(guī)則的行為就發(fā)出警告,或者直接根據(jù)用戶設(shè)定拒絕進(jìn)程訪問網(wǎng)絡(luò)。當(dāng)然,現(xiàn)在的防火墻一般都把系統(tǒng)網(wǎng)絡(luò)進(jìn)程(比如services.exe,svchost.exe,lsass.exe等)記在“受信名單”里,這些進(jìn)程是默認(rèn)允許訪問網(wǎng)絡(luò)的,如果禁止的話,操作系統(tǒng)就不正常了,這也是現(xiàn)在很多病毒和木馬都喜歡遠(yuǎn)程注入這些系統(tǒng)進(jìn)程以突破防火墻而訪問網(wǎng)絡(luò)的原因。
下面重點(diǎn)說一下“主動防御”的實現(xiàn)技術(shù)。大家都寫過程序,知道在一個程序里如果要實現(xiàn)自己的功能就必須要通過接口調(diào)用操作系統(tǒng)提供的功能函數(shù),在DOS里幾乎所有的系統(tǒng)功能或第三方插件都是通過中斷提供的,在WINDOWS里一般是通過DLL里的API提供,也有少數(shù)通過INT2E或SYSENTER提供。一個進(jìn)程有怎么樣的行為,通過看它調(diào)用了什么樣的API就大概清楚了,比如它要讀寫文件就必然要調(diào)用CreateFile(),OpenFile(),NtOpenFile(),ZwOpenFile()等函數(shù),要訪問網(wǎng)絡(luò)就必然要使用Socket函數(shù)。因此只要掛接系統(tǒng)API(盡量掛接RING0層的API,如果掛接RING3層的API將有可能被繞過),就可以知道一個進(jìn)程將有什么動作,如果有危害系統(tǒng)的動作該怎么樣處理等等。例如瑞星殺毒,大家可以在它的安裝目錄里找到幾個驅(qū)動文件,其實這些驅(qū)動就是掛接了ntoskrnl.exe,ndis.sys等系統(tǒng)關(guān)鍵模塊里的API,從而對進(jìn)程的普通行為,網(wǎng)絡(luò)行為,注冊表行為進(jìn)行監(jiān)視的。
最后讓我們設(shè)想一下一個“主動防御”型殺毒軟件的一般流程:通過掛接系統(tǒng)建立進(jìn)程的API,殺毒軟件就在一個進(jìn)程建立前對進(jìn)程的代碼進(jìn)行掃描,如果發(fā)現(xiàn)SGDT,SIDT,自定位指令(一般正常軟件不會有這些指令),就提示,如果用戶放行,就讓進(jìn)程繼續(xù)運(yùn)行;接下來監(jiān)視進(jìn)程調(diào)用API的情況,如果發(fā)現(xiàn)以讀寫方式打開一個EXE文件,可能進(jìn)程的線程想感染PE文件,就發(fā)出警告;如果收發(fā)數(shù)據(jù)違反了規(guī)則,發(fā)出提示;如果進(jìn)程調(diào)用了CreateRemoteThread(),則發(fā)出警告(因為CreateRemoteThread()是一個非常危險的API,正常進(jìn)程很少用到,倒是被病毒木馬用得最多)。...。可以想象,未來我們運(yùn)行程序可能要被提示多次,訪問網(wǎng)絡(luò)也被提示多次,各種各樣的提示將大多數(shù)人搞的昏頭轉(zhuǎn)向。想安全就要管嚴(yán),放松就不安全了!
所謂“主動防御”,就是全程監(jiān)視進(jìn)程的行為,一但發(fā)現(xiàn)“違規(guī)”行為,就通知用戶,或者直接終止進(jìn)程。它類似于警察判斷潛在罪犯的技術(shù),在成為一個罪犯之前,大多數(shù)的人都有一些異常行為,比如“性格孤僻,有暴力傾向,自私自利,對現(xiàn)實不滿”等先兆,但是并不是說有這些先兆的人就都會發(fā)展為罪犯,或者罪犯都有這些先兆。因此“主動防御”并不能100%發(fā)現(xiàn)病毒,它的成功率大概在60%-80%之間。如果再加上傳統(tǒng)的“特征碼技術(shù)”,幾乎可以發(fā)現(xiàn)100%的惡意程序了。在國外,諾頓,Kaspersky,McAfee等等殺毒巨頭,都已經(jīng)向“主動防御”+“特征碼技術(shù)”過渡了,這是殺毒軟件的必然發(fā)展趨勢。
防火墻是一個運(yùn)用“主動防御”技術(shù)的典型例子,大家都用過防火墻了,對于防火墻經(jīng)常詢問用戶是否放行一個進(jìn)程訪問網(wǎng)絡(luò),或者有不明連接進(jìn)入本機(jī)而發(fā)出警告是否印象深刻呢?其實防火墻就是在全程監(jiān)視進(jìn)程的網(wǎng)絡(luò)行為,一但發(fā)現(xiàn)違反規(guī)則的行為就發(fā)出警告,或者直接根據(jù)用戶設(shè)定拒絕進(jìn)程訪問網(wǎng)絡(luò)。當(dāng)然,現(xiàn)在的防火墻一般都把系統(tǒng)網(wǎng)絡(luò)進(jìn)程(比如services.exe,svchost.exe,lsass.exe等)記在“受信名單”里,這些進(jìn)程是默認(rèn)允許訪問網(wǎng)絡(luò)的,如果禁止的話,操作系統(tǒng)就不正常了,這也是現(xiàn)在很多病毒和木馬都喜歡遠(yuǎn)程注入這些系統(tǒng)進(jìn)程以突破防火墻而訪問網(wǎng)絡(luò)的原因。
下面重點(diǎn)說一下“主動防御”的實現(xiàn)技術(shù)。大家都寫過程序,知道在一個程序里如果要實現(xiàn)自己的功能就必須要通過接口調(diào)用操作系統(tǒng)提供的功能函數(shù),在DOS里幾乎所有的系統(tǒng)功能或第三方插件都是通過中斷提供的,在WINDOWS里一般是通過DLL里的API提供,也有少數(shù)通過INT2E或SYSENTER提供。一個進(jìn)程有怎么樣的行為,通過看它調(diào)用了什么樣的API就大概清楚了,比如它要讀寫文件就必然要調(diào)用CreateFile(),OpenFile(),NtOpenFile(),ZwOpenFile()等函數(shù),要訪問網(wǎng)絡(luò)就必然要使用Socket函數(shù)。因此只要掛接系統(tǒng)API(盡量掛接RING0層的API,如果掛接RING3層的API將有可能被繞過),就可以知道一個進(jìn)程將有什么動作,如果有危害系統(tǒng)的動作該怎么樣處理等等。例如瑞星殺毒,大家可以在它的安裝目錄里找到幾個驅(qū)動文件,其實這些驅(qū)動就是掛接了ntoskrnl.exe,ndis.sys等系統(tǒng)關(guān)鍵模塊里的API,從而對進(jìn)程的普通行為,網(wǎng)絡(luò)行為,注冊表行為進(jìn)行監(jiān)視的。
最后讓我們設(shè)想一下一個“主動防御”型殺毒軟件的一般流程:通過掛接系統(tǒng)建立進(jìn)程的API,殺毒軟件就在一個進(jìn)程建立前對進(jìn)程的代碼進(jìn)行掃描,如果發(fā)現(xiàn)SGDT,SIDT,自定位指令(一般正常軟件不會有這些指令),就提示,如果用戶放行,就讓進(jìn)程繼續(xù)運(yùn)行;接下來監(jiān)視進(jìn)程調(diào)用API的情況,如果發(fā)現(xiàn)以讀寫方式打開一個EXE文件,可能進(jìn)程的線程想感染PE文件,就發(fā)出警告;如果收發(fā)數(shù)據(jù)違反了規(guī)則,發(fā)出提示;如果進(jìn)程調(diào)用了CreateRemoteThread(),則發(fā)出警告(因為CreateRemoteThread()是一個非常危險的API,正常進(jìn)程很少用到,倒是被病毒木馬用得最多)。...。可以想象,未來我們運(yùn)行程序可能要被提示多次,訪問網(wǎng)絡(luò)也被提示多次,各種各樣的提示將大多數(shù)人搞的昏頭轉(zhuǎn)向。想安全就要管嚴(yán),放松就不安全了!
ADSL防御黑客攻擊的十大方法
[ 2007-03-25 02:52:04 | 作者: sun ]
目前,使用ADSL的用戶越來越多,由于ADSL用戶在線時間長、速度快,因此成為黑客們的攻擊目標(biāo)。現(xiàn)在網(wǎng)上出現(xiàn)了各種越來越詳細(xì)的“IP地址庫”,要知道一些ADSL用戶的IP是非常容易的事情。要怎么保衛(wèi)自己的網(wǎng)絡(luò)安全呢?不妨看看以下方法。
一、取消文件夾隱藏共享
如果你使用了Windows 2000/XP系統(tǒng),右鍵單擊C盤或者其他盤,選擇"共享",你會驚奇地發(fā)現(xiàn)它已經(jīng)被設(shè)置為“共享該文件夾”,而在“網(wǎng)上鄰居”中卻看不到這些內(nèi)容,這是怎么回事呢?
原來,在默認(rèn)狀態(tài)下,Windows 2000/XP會開啟所有分區(qū)的隱藏共享,從“控制面板/管理工具/計算機(jī)管理”窗口下選擇“系統(tǒng)工具/共享文件夾/共享”,就可以看到硬盤上的每個分區(qū)名后面都加了一個“$”。但是只要鍵入“\\計算機(jī)名或者IP\C$”,系統(tǒng)就會詢問用戶名和密碼,遺憾的是,大多數(shù)個人用戶系統(tǒng)Administrator的密碼都為空,入侵者可以輕易看到C盤的內(nèi)容,這就給網(wǎng)絡(luò)安全帶來了極大的隱患。
怎么來消除默認(rèn)共享呢?方法很簡單,打開注冊表編輯器,進(jìn)入“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Sevices\Lanmanworkstation\parameters”,新建一個名為“AutoShareWKs”的雙字節(jié)值,并將其值設(shè)為“0”,然后重新啟動電腦,這樣共享就取消了。
二、拒絕惡意代碼
惡意網(wǎng)頁成了寬帶的最大威脅之一。以前使用Modem,因為打開網(wǎng)頁的速度慢,在完全打開前關(guān)閉惡意網(wǎng)頁還有避免中招的可能性。現(xiàn)在寬帶的速度這么快,所以很容易就被惡意網(wǎng)頁攻擊。
一般惡意網(wǎng)頁都是因為加入了用編寫的惡意代碼才有破壞力的。這些惡意代碼就相當(dāng)于一些小程序,只要打開該網(wǎng)頁就會被運(yùn)行。所以要避免惡意網(wǎng)頁的攻擊只要禁止這些惡意代碼的運(yùn)行就可以了。
運(yùn)行IE瀏覽器,點(diǎn)擊“工具/Internet選項/安全/自定義級別”,將安全級別定義為“安全級-高”,對“ActiveX控件和插件”中第2、3項設(shè)置為“禁用”,其它項設(shè)置為“提示”,之后點(diǎn)擊“確定”。這樣設(shè)置后,當(dāng)你使用IE瀏覽網(wǎng)頁時,就能有效避免惡意網(wǎng)頁中惡意代碼的攻擊。
三、封死黑客的“后門”
俗話說“無風(fēng)不起浪”,既然黑客能進(jìn)入,那說明系統(tǒng)一定存在為他們打開的“后門”,只要堵死這個后門,讓黑客無處下手,便無后顧之憂!
1.刪掉不必要的協(xié)議
對于服務(wù)器和主機(jī)來說,一般只安裝TCP/IP協(xié)議就夠了。鼠標(biāo)右擊“網(wǎng)絡(luò)鄰居”,選擇“屬性”,再鼠標(biāo)右擊“本地連接”,選擇“屬性”,卸載不必要的協(xié)議。其中NETBIOS是很多安全缺陷的根源,對于不需要提供文件和打印共享的主機(jī),還可以將綁定在TCP/IP協(xié)議的NETBIOS關(guān)閉,避免針對NETBIOS的攻擊。選擇“TCP/IP協(xié)議/屬性/高級”,進(jìn)入“高級TCP/IP設(shè)置”對話框,選擇“WINS”標(biāo)簽,勾選“禁用TCP/IP上的NETBIOS”一項,關(guān)閉NETBIOS。
2.關(guān)閉“文件和打印共享”
文件和打印共享應(yīng)該是一個非常有用的功能,但在不需要它的時候,也是黑客入侵的很好的安全漏洞。所以在沒有必要“文件和打印共享”的情況下,我們可以將它關(guān)閉。用鼠標(biāo)右擊“網(wǎng)絡(luò)鄰居”,選擇“屬性”,然后單擊“文件和打印共享”按鈕,將彈出的“文件和打印共享”對話框中的兩個復(fù)選框中的鉤去掉即可。
雖然“文件和打印共享”關(guān)閉了,但是還不能確保安全,還要修改注冊表,禁止它人更改“文件和打印共享”。打開注冊表編輯器,選擇“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\NetWork”主鍵,在該主鍵下新建DWORD類型的鍵值,鍵值名為“NoFileSharingControl”,鍵值設(shè)為“1”表示禁止這項功能,從而達(dá)到禁止更改“文件和打印共享”的目的;鍵值為“0”表示允許這項功能。這樣在“網(wǎng)絡(luò)鄰居”的“屬性”對話框中“文件和打印共享”就不復(fù)存在了。
3.把Guest賬號禁用
有很多入侵都是通過這個賬號進(jìn)一步獲得管理員密碼或者權(quán)限的。如果不想把自己的計算機(jī)給別人當(dāng)玩具,那還是禁止的好。打開控制面板,雙擊“用戶和密碼”,單擊“高級”選項卡,再單擊“高級”按鈕,彈出本地用戶和組窗口。在Guest賬號上面點(diǎn)擊右鍵,選擇屬性,在“常規(guī)”頁中選中“賬戶已停用”。另外,將Administrator賬號改名可以防止黑客知道自己的管理員賬號,這會在很大程度上保證計算機(jī)安全。
4.禁止建立空連接
在默認(rèn)的情況下,任何用戶都可以通過空連接連上服務(wù)器,枚舉賬號并猜測密碼。因此,我們必須禁止建立空連接。方法有以下兩種:
方法一是修改注冊表:打開注冊表“HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA”,將DWORD值“RestrictAnonymous”的鍵值改為“1”即可。
最后建議大家給自己的系統(tǒng)打上補(bǔ)丁,微軟那些沒完沒了的補(bǔ)丁還是很有用的!
四、隱藏IP地址
黑客經(jīng)常利用一些網(wǎng)絡(luò)探測技術(shù)來查看我們的主機(jī)信息,主要目的就是得到網(wǎng)絡(luò)中主機(jī)的IP地址。IP地址在網(wǎng)絡(luò)安全上是一個很重要的概念,如果攻擊者知道了你的IP地址,等于為他的攻擊準(zhǔn)備好了目標(biāo),他可以向這個IP發(fā)動各種進(jìn)攻,如DoS(拒絕服務(wù))攻擊、Floop溢出攻擊等。隱藏IP地址的主要方法是使用代理服務(wù)器。
與直接連接到Internet相比,使用代理服務(wù)器能保護(hù)上網(wǎng)用戶的IP地址,從而保障上網(wǎng)安全。代理服務(wù)器的原理是在客戶機(jī)(用戶上網(wǎng)的計算機(jī))和遠(yuǎn)程服務(wù)器(如用戶想訪問遠(yuǎn)端WWW服務(wù)器)之間架設(shè)一個“中轉(zhuǎn)站”,當(dāng)客戶機(jī)向遠(yuǎn)程服務(wù)器提出服務(wù)要求后,代理服務(wù)器首先截取用戶的請求,然后代理服務(wù)器將服務(wù)請求轉(zhuǎn)交遠(yuǎn)程服務(wù)器,從而實現(xiàn)客戶機(jī)和遠(yuǎn)程服務(wù)器之間的聯(lián)系。很顯然,使用代理服務(wù)器后,其它用戶只能探測到代理服務(wù)器的IP地址而不是用戶的IP地址,這就實現(xiàn)了隱藏用戶IP地址的目的,保障了用戶上網(wǎng)安全。提供免費(fèi)代理服務(wù)器的網(wǎng)站有很多,你也可以自己用代理獵手等工具來查找。
五、關(guān)閉不必要的端口
黑客在入侵時常常會掃描你的計算機(jī)端口,如果安裝了端口監(jiān)視程序(比如Netwatch),該監(jiān)視程序則會有警告提示。如果遇到這種入侵,可用工具軟件關(guān)閉用不到的端口,比如,用“Norton Internet Security”關(guān)閉用來提供網(wǎng)頁服務(wù)的80和443端口,其他一些不常用的端口也可關(guān)閉。
六、更換管理員帳戶
Administrator帳戶擁有最高的系統(tǒng)權(quán)限,一旦該帳戶被人利用,后果不堪設(shè)想。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼,所以我們要重新配置Administrator帳號。
首先是為Administrator帳戶設(shè)置一個強(qiáng)大復(fù)雜的密碼,然后我們重命名Administrator帳戶,再創(chuàng)建一個沒有管理員權(quán)限的Administrator帳戶欺騙入侵者。這樣一來,入侵者就很難搞清哪個帳戶真正擁有管理員權(quán)限,也就在一定程度上減少了危險性。
七、杜絕Guest帳戶的入侵
Guest帳戶即所謂的來賓帳戶,它可以訪問計算機(jī),但受到限制。不幸的是,Guest也為黑客入侵打開了方便之門!網(wǎng)上有很多文章中都介紹過如何利用Guest用戶得到管理員權(quán)限的方法,所以要杜絕基于Guest帳戶的系統(tǒng)入侵。
禁用或徹底刪除Guest帳戶是最好的辦法,但在某些必須使用到Guest帳戶的情況下,就需要通過其它途徑來做好防御工作了。首先要給Guest設(shè)一個強(qiáng)壯的密碼,然后詳細(xì)設(shè)置Guest帳戶對物理路徑的訪問權(quán)限。舉例來說,如果你要防止Guest用戶可以訪問tool文件夾,可以右擊該文件夾,在彈出菜單中選擇“安全”標(biāo)簽,從中可看到可以訪問此文件夾的所有用戶。刪除管理員之外的所有用戶即可。或者在權(quán)限中為相應(yīng)的用戶設(shè)定權(quán)限,比方說只能“列出文件夾目錄”和“讀取”等,這樣就安全多了。
八、安裝必要的安全軟件
我們還應(yīng)在電腦中安裝并使用必要的防黑軟件,殺毒軟件和防火墻都是必備的。在上網(wǎng)時打開它們,這樣即便有黑客進(jìn)攻我們的安全也是有保證的。
九、防范木馬程序
木馬程序會竊取所植入電腦中的有用信息,因此我們也要防止被黑客植入木馬程序,常用的辦法有:
● 在下載文件時先放到自己新建的文件夾里,再用殺毒軟件來檢測,起到提前預(yù)防的作用。
● 在“開始”→“程序”→“啟動”或“開始”→“程序”→“Startup”選項里看是否有不明的運(yùn)行項目,如果有,刪除即可。
● 將注冊表里 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以“Run”為前綴的可疑程序全部刪除即可。
十、不要回陌生人的郵件
有些黑客可能會冒充某些正規(guī)網(wǎng)站的名義,然后編個冠冕堂皇的理由寄一封信給你要求你輸入上網(wǎng)的用戶名稱與密碼,如果按下“確定”,你的帳號和密碼就進(jìn)了黑客的郵箱。所以不要隨便回陌生人的郵件,即使他說得再動聽再誘人也不上當(dāng)。
做好IE的安全設(shè)置
ActiveX控件和 Applets有較強(qiáng)的功能,但也存在被人利用的隱患,網(wǎng)頁中的惡意代碼往往就是利用這些控件編寫的小程序,只要打開網(wǎng)頁就會被運(yùn)行。所以要避免惡意網(wǎng)頁的攻擊只有禁止這些惡意代碼的運(yùn)行。IE對此提供了多種選擇,具體設(shè)置步驟是:“工具”→“Internet選項”→“安全”→“自定義級別”,建議您將ActiveX控件與相關(guān)選項禁用。謹(jǐn)慎些總沒有錯!
另外,在IE的安全性設(shè)定中我們只能設(shè)定Internet、本地Intranet、受信任的站點(diǎn)、受限制的站點(diǎn)。不過,微軟在這里隱藏了“我的電腦”的安全性設(shè)定,通過修改注冊表把該選項打開,可以使我們在對待ActiveX控件和 Applets時有更多的選擇,并對本地電腦安全產(chǎn)生更大的影響。
下面是具體的方法:打開“開始”菜單中的“運(yùn)行”,在彈出的“運(yùn)行”對話框中輸入Regedit.exe,打開注冊表編輯器,點(diǎn)擊前面的“+”號順次展開到:HKEY_CURRE-NT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0,在右邊窗口中找到DWORD值“Flags”,默認(rèn)鍵值為十六進(jìn)制的21(十進(jìn)制33),雙擊“Flags”,在彈出的對話框中將它的鍵值改為“1”即可,關(guān)閉注冊表編輯器。無需重新啟動電腦,重新打開IE,再次點(diǎn)擊“工具→Internet選項→安全”標(biāo)簽,你就會看到多了一個“我的電腦”圖標(biāo),在這里你可以設(shè)定它的安全等級。將它的安全等級設(shè)定高些,這樣的防范更嚴(yán)密。
一、取消文件夾隱藏共享
如果你使用了Windows 2000/XP系統(tǒng),右鍵單擊C盤或者其他盤,選擇"共享",你會驚奇地發(fā)現(xiàn)它已經(jīng)被設(shè)置為“共享該文件夾”,而在“網(wǎng)上鄰居”中卻看不到這些內(nèi)容,這是怎么回事呢?
原來,在默認(rèn)狀態(tài)下,Windows 2000/XP會開啟所有分區(qū)的隱藏共享,從“控制面板/管理工具/計算機(jī)管理”窗口下選擇“系統(tǒng)工具/共享文件夾/共享”,就可以看到硬盤上的每個分區(qū)名后面都加了一個“$”。但是只要鍵入“\\計算機(jī)名或者IP\C$”,系統(tǒng)就會詢問用戶名和密碼,遺憾的是,大多數(shù)個人用戶系統(tǒng)Administrator的密碼都為空,入侵者可以輕易看到C盤的內(nèi)容,這就給網(wǎng)絡(luò)安全帶來了極大的隱患。
怎么來消除默認(rèn)共享呢?方法很簡單,打開注冊表編輯器,進(jìn)入“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Sevices\Lanmanworkstation\parameters”,新建一個名為“AutoShareWKs”的雙字節(jié)值,并將其值設(shè)為“0”,然后重新啟動電腦,這樣共享就取消了。
二、拒絕惡意代碼
惡意網(wǎng)頁成了寬帶的最大威脅之一。以前使用Modem,因為打開網(wǎng)頁的速度慢,在完全打開前關(guān)閉惡意網(wǎng)頁還有避免中招的可能性。現(xiàn)在寬帶的速度這么快,所以很容易就被惡意網(wǎng)頁攻擊。
一般惡意網(wǎng)頁都是因為加入了用編寫的惡意代碼才有破壞力的。這些惡意代碼就相當(dāng)于一些小程序,只要打開該網(wǎng)頁就會被運(yùn)行。所以要避免惡意網(wǎng)頁的攻擊只要禁止這些惡意代碼的運(yùn)行就可以了。
運(yùn)行IE瀏覽器,點(diǎn)擊“工具/Internet選項/安全/自定義級別”,將安全級別定義為“安全級-高”,對“ActiveX控件和插件”中第2、3項設(shè)置為“禁用”,其它項設(shè)置為“提示”,之后點(diǎn)擊“確定”。這樣設(shè)置后,當(dāng)你使用IE瀏覽網(wǎng)頁時,就能有效避免惡意網(wǎng)頁中惡意代碼的攻擊。
三、封死黑客的“后門”
俗話說“無風(fēng)不起浪”,既然黑客能進(jìn)入,那說明系統(tǒng)一定存在為他們打開的“后門”,只要堵死這個后門,讓黑客無處下手,便無后顧之憂!
1.刪掉不必要的協(xié)議
對于服務(wù)器和主機(jī)來說,一般只安裝TCP/IP協(xié)議就夠了。鼠標(biāo)右擊“網(wǎng)絡(luò)鄰居”,選擇“屬性”,再鼠標(biāo)右擊“本地連接”,選擇“屬性”,卸載不必要的協(xié)議。其中NETBIOS是很多安全缺陷的根源,對于不需要提供文件和打印共享的主機(jī),還可以將綁定在TCP/IP協(xié)議的NETBIOS關(guān)閉,避免針對NETBIOS的攻擊。選擇“TCP/IP協(xié)議/屬性/高級”,進(jìn)入“高級TCP/IP設(shè)置”對話框,選擇“WINS”標(biāo)簽,勾選“禁用TCP/IP上的NETBIOS”一項,關(guān)閉NETBIOS。
2.關(guān)閉“文件和打印共享”
文件和打印共享應(yīng)該是一個非常有用的功能,但在不需要它的時候,也是黑客入侵的很好的安全漏洞。所以在沒有必要“文件和打印共享”的情況下,我們可以將它關(guān)閉。用鼠標(biāo)右擊“網(wǎng)絡(luò)鄰居”,選擇“屬性”,然后單擊“文件和打印共享”按鈕,將彈出的“文件和打印共享”對話框中的兩個復(fù)選框中的鉤去掉即可。
雖然“文件和打印共享”關(guān)閉了,但是還不能確保安全,還要修改注冊表,禁止它人更改“文件和打印共享”。打開注冊表編輯器,選擇“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\NetWork”主鍵,在該主鍵下新建DWORD類型的鍵值,鍵值名為“NoFileSharingControl”,鍵值設(shè)為“1”表示禁止這項功能,從而達(dá)到禁止更改“文件和打印共享”的目的;鍵值為“0”表示允許這項功能。這樣在“網(wǎng)絡(luò)鄰居”的“屬性”對話框中“文件和打印共享”就不復(fù)存在了。
3.把Guest賬號禁用
有很多入侵都是通過這個賬號進(jìn)一步獲得管理員密碼或者權(quán)限的。如果不想把自己的計算機(jī)給別人當(dāng)玩具,那還是禁止的好。打開控制面板,雙擊“用戶和密碼”,單擊“高級”選項卡,再單擊“高級”按鈕,彈出本地用戶和組窗口。在Guest賬號上面點(diǎn)擊右鍵,選擇屬性,在“常規(guī)”頁中選中“賬戶已停用”。另外,將Administrator賬號改名可以防止黑客知道自己的管理員賬號,這會在很大程度上保證計算機(jī)安全。
4.禁止建立空連接
在默認(rèn)的情況下,任何用戶都可以通過空連接連上服務(wù)器,枚舉賬號并猜測密碼。因此,我們必須禁止建立空連接。方法有以下兩種:
方法一是修改注冊表:打開注冊表“HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA”,將DWORD值“RestrictAnonymous”的鍵值改為“1”即可。
最后建議大家給自己的系統(tǒng)打上補(bǔ)丁,微軟那些沒完沒了的補(bǔ)丁還是很有用的!
四、隱藏IP地址
黑客經(jīng)常利用一些網(wǎng)絡(luò)探測技術(shù)來查看我們的主機(jī)信息,主要目的就是得到網(wǎng)絡(luò)中主機(jī)的IP地址。IP地址在網(wǎng)絡(luò)安全上是一個很重要的概念,如果攻擊者知道了你的IP地址,等于為他的攻擊準(zhǔn)備好了目標(biāo),他可以向這個IP發(fā)動各種進(jìn)攻,如DoS(拒絕服務(wù))攻擊、Floop溢出攻擊等。隱藏IP地址的主要方法是使用代理服務(wù)器。
與直接連接到Internet相比,使用代理服務(wù)器能保護(hù)上網(wǎng)用戶的IP地址,從而保障上網(wǎng)安全。代理服務(wù)器的原理是在客戶機(jī)(用戶上網(wǎng)的計算機(jī))和遠(yuǎn)程服務(wù)器(如用戶想訪問遠(yuǎn)端WWW服務(wù)器)之間架設(shè)一個“中轉(zhuǎn)站”,當(dāng)客戶機(jī)向遠(yuǎn)程服務(wù)器提出服務(wù)要求后,代理服務(wù)器首先截取用戶的請求,然后代理服務(wù)器將服務(wù)請求轉(zhuǎn)交遠(yuǎn)程服務(wù)器,從而實現(xiàn)客戶機(jī)和遠(yuǎn)程服務(wù)器之間的聯(lián)系。很顯然,使用代理服務(wù)器后,其它用戶只能探測到代理服務(wù)器的IP地址而不是用戶的IP地址,這就實現(xiàn)了隱藏用戶IP地址的目的,保障了用戶上網(wǎng)安全。提供免費(fèi)代理服務(wù)器的網(wǎng)站有很多,你也可以自己用代理獵手等工具來查找。
五、關(guān)閉不必要的端口
黑客在入侵時常常會掃描你的計算機(jī)端口,如果安裝了端口監(jiān)視程序(比如Netwatch),該監(jiān)視程序則會有警告提示。如果遇到這種入侵,可用工具軟件關(guān)閉用不到的端口,比如,用“Norton Internet Security”關(guān)閉用來提供網(wǎng)頁服務(wù)的80和443端口,其他一些不常用的端口也可關(guān)閉。
六、更換管理員帳戶
Administrator帳戶擁有最高的系統(tǒng)權(quán)限,一旦該帳戶被人利用,后果不堪設(shè)想。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼,所以我們要重新配置Administrator帳號。
首先是為Administrator帳戶設(shè)置一個強(qiáng)大復(fù)雜的密碼,然后我們重命名Administrator帳戶,再創(chuàng)建一個沒有管理員權(quán)限的Administrator帳戶欺騙入侵者。這樣一來,入侵者就很難搞清哪個帳戶真正擁有管理員權(quán)限,也就在一定程度上減少了危險性。
七、杜絕Guest帳戶的入侵
Guest帳戶即所謂的來賓帳戶,它可以訪問計算機(jī),但受到限制。不幸的是,Guest也為黑客入侵打開了方便之門!網(wǎng)上有很多文章中都介紹過如何利用Guest用戶得到管理員權(quán)限的方法,所以要杜絕基于Guest帳戶的系統(tǒng)入侵。
禁用或徹底刪除Guest帳戶是最好的辦法,但在某些必須使用到Guest帳戶的情況下,就需要通過其它途徑來做好防御工作了。首先要給Guest設(shè)一個強(qiáng)壯的密碼,然后詳細(xì)設(shè)置Guest帳戶對物理路徑的訪問權(quán)限。舉例來說,如果你要防止Guest用戶可以訪問tool文件夾,可以右擊該文件夾,在彈出菜單中選擇“安全”標(biāo)簽,從中可看到可以訪問此文件夾的所有用戶。刪除管理員之外的所有用戶即可。或者在權(quán)限中為相應(yīng)的用戶設(shè)定權(quán)限,比方說只能“列出文件夾目錄”和“讀取”等,這樣就安全多了。
八、安裝必要的安全軟件
我們還應(yīng)在電腦中安裝并使用必要的防黑軟件,殺毒軟件和防火墻都是必備的。在上網(wǎng)時打開它們,這樣即便有黑客進(jìn)攻我們的安全也是有保證的。
九、防范木馬程序
木馬程序會竊取所植入電腦中的有用信息,因此我們也要防止被黑客植入木馬程序,常用的辦法有:
● 在下載文件時先放到自己新建的文件夾里,再用殺毒軟件來檢測,起到提前預(yù)防的作用。
● 在“開始”→“程序”→“啟動”或“開始”→“程序”→“Startup”選項里看是否有不明的運(yùn)行項目,如果有,刪除即可。
● 將注冊表里 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以“Run”為前綴的可疑程序全部刪除即可。
十、不要回陌生人的郵件
有些黑客可能會冒充某些正規(guī)網(wǎng)站的名義,然后編個冠冕堂皇的理由寄一封信給你要求你輸入上網(wǎng)的用戶名稱與密碼,如果按下“確定”,你的帳號和密碼就進(jìn)了黑客的郵箱。所以不要隨便回陌生人的郵件,即使他說得再動聽再誘人也不上當(dāng)。
做好IE的安全設(shè)置
ActiveX控件和 Applets有較強(qiáng)的功能,但也存在被人利用的隱患,網(wǎng)頁中的惡意代碼往往就是利用這些控件編寫的小程序,只要打開網(wǎng)頁就會被運(yùn)行。所以要避免惡意網(wǎng)頁的攻擊只有禁止這些惡意代碼的運(yùn)行。IE對此提供了多種選擇,具體設(shè)置步驟是:“工具”→“Internet選項”→“安全”→“自定義級別”,建議您將ActiveX控件與相關(guān)選項禁用。謹(jǐn)慎些總沒有錯!
另外,在IE的安全性設(shè)定中我們只能設(shè)定Internet、本地Intranet、受信任的站點(diǎn)、受限制的站點(diǎn)。不過,微軟在這里隱藏了“我的電腦”的安全性設(shè)定,通過修改注冊表把該選項打開,可以使我們在對待ActiveX控件和 Applets時有更多的選擇,并對本地電腦安全產(chǎn)生更大的影響。
下面是具體的方法:打開“開始”菜單中的“運(yùn)行”,在彈出的“運(yùn)行”對話框中輸入Regedit.exe,打開注冊表編輯器,點(diǎn)擊前面的“+”號順次展開到:HKEY_CURRE-NT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0,在右邊窗口中找到DWORD值“Flags”,默認(rèn)鍵值為十六進(jìn)制的21(十進(jìn)制33),雙擊“Flags”,在彈出的對話框中將它的鍵值改為“1”即可,關(guān)閉注冊表編輯器。無需重新啟動電腦,重新打開IE,再次點(diǎn)擊“工具→Internet選項→安全”標(biāo)簽,你就會看到多了一個“我的電腦”圖標(biāo),在這里你可以設(shè)定它的安全等級。將它的安全等級設(shè)定高些,這樣的防范更嚴(yán)密。
沖浪DDoS攻擊的趨勢與防御
[ 2007-03-25 02:51:50 | 作者: sun ]
一、阻斷服務(wù)(Denial of Service)
在探討DDoS 之前我們需要先對 DoS 有所了解,DoS泛指黑客試圖妨礙正常使用者使用網(wǎng)絡(luò)上的服務(wù),例如剪斷大樓的電話線路造成用戶無法通話。而以網(wǎng)絡(luò)來說,由于頻寬、網(wǎng)絡(luò)設(shè)備和服務(wù)器主機(jī)等處理的能力都有其限制,因此當(dāng)黑客產(chǎn)生過量的網(wǎng)絡(luò)封包使得設(shè)備處理不及,即可讓正常的使用者無法正常使用該服務(wù)。例如黑客試圖用大量封包攻擊一般頻寬相對小得多的撥接或 ADSL 使用者,則受害者就會發(fā)現(xiàn)他要連的網(wǎng)站連不上或是反應(yīng)十分緩慢。
DoS 攻擊并非入侵主機(jī)也不能竊取機(jī)器上的資料,但是一樣會造成攻擊目標(biāo)的傷害,如果攻擊目標(biāo)是個電子商務(wù)網(wǎng)站就會造成顧客無法到該網(wǎng)站購物。
二、分布式阻斷服務(wù)(Distributed Denial of Service)
DDoS 則是 DoS 的特例,黑客利用多臺機(jī)器同時攻擊來達(dá)到妨礙正常使用者使用服務(wù)的目的。黑客預(yù)先入侵大量主機(jī)以后,在被害主機(jī)上安裝 DDoS 攻擊程控被害主機(jī)對攻擊目標(biāo)展開攻擊;有些 DDoS 工具采用多層次的架構(gòu),甚至可以一次控制高達(dá)上千臺電腦展開攻擊,利用這樣的方式可以有效產(chǎn)生極大的網(wǎng)絡(luò)流量以癱瘓攻擊目標(biāo)。早在2000年就發(fā)生過針對Yahoo, eBay, Buy.com 和 CNN 等知名網(wǎng)站的DDoS攻擊,阻止了合法的網(wǎng)絡(luò)流量長達(dá)數(shù)個小時。
DDoS 攻擊程序的分類,可以依照幾種方式分類,以自動化程度可分為手動、半自動與自動攻擊。早期的 DDoS 攻擊程序多半屬于手動攻擊,黑客手動尋找可入侵的計算機(jī)入侵并植入攻擊程序,再下指令攻擊目標(biāo);半自動的攻擊程序則多半具有 handler 控制攻擊用的agent 程序,黑客散布自動化的入侵工具植入 agent 程序,然后使用 handler 控制所有agents 對目標(biāo)發(fā)動 DDoS 攻擊;自動攻擊更進(jìn)一步自動化整個攻擊程序,將攻擊的目標(biāo)、時間和方式都事先寫在攻擊程序里,黑客散布攻擊程序以后就會自動掃描可入侵的主機(jī)植入 agent 并在預(yù)定的時間對指定目標(biāo)發(fā)起攻擊,例如近期的 W32/Blaster 網(wǎng)蟲即屬于此類。
若以攻擊的弱點(diǎn)分類則可以分為協(xié)議攻擊和暴力攻擊兩種。協(xié)議攻擊是指黑客利用某個網(wǎng)絡(luò)協(xié)議設(shè)計上的弱點(diǎn)或執(zhí)行上的 bug 消耗大量資源,例如 TCP SYN 攻擊、對認(rèn)證伺服器的攻擊等;暴力攻擊則是黑客使用大量正常的聯(lián)機(jī)消耗被害目標(biāo)的資源,由于黑客會準(zhǔn)備多臺主機(jī)發(fā)起 DDoS 攻擊目標(biāo),只要單位時間內(nèi)攻擊方發(fā)出的網(wǎng)絡(luò)流量高于目標(biāo)所能處理速度,即可消耗掉目標(biāo)的處理能力而使得正常的使用者無法使用服務(wù)。
若以攻擊頻率區(qū)分則可分成持續(xù)攻擊和變動頻率攻擊兩種。持續(xù)攻擊是當(dāng)攻擊指令下達(dá)以后,攻擊主機(jī)就全力持續(xù)攻擊,因此會瞬間產(chǎn)生大量流量阻斷目標(biāo)的服務(wù),也因此很容易被偵測到;變動頻率攻擊則較為謹(jǐn)慎,攻擊的頻率可能從慢速漸漸增加或頻率高低變化,利用這樣的方式延緩攻擊被偵測的時間。
三、從 DDoS 攻擊下存活
那么當(dāng)遭受 DDoS 攻擊的時候要如何設(shè)法存活并繼續(xù)提供正常服務(wù)呢?由先前的介紹可以知道,若黑客攻擊規(guī)模遠(yuǎn)高于你的網(wǎng)絡(luò)頻寬、設(shè)備或主機(jī)所能處理的能力,其實是很難以抵抗攻擊的,但仍然有一些方法可以減輕攻擊所造成的影響。
首先是調(diào)查攻擊來源,由于黑客經(jīng)由入侵機(jī)器進(jìn)行攻擊,因此你可能無法查出黑客是由哪里發(fā)動攻擊,我們必須一步一步從被攻擊目標(biāo)往回推,先調(diào)查攻擊是由管轄網(wǎng)絡(luò)的哪些邊界路由器進(jìn)來,上一步是外界哪臺路由器,連絡(luò)這些路由器的管理者(可能是某個ISP或電信公司)并尋求他們協(xié)助阻擋或查出攻擊來源,而在他們處理之前可以進(jìn)行哪些處理呢?
如果被攻擊的目標(biāo)只是單一 ip,那么試圖改個 ip 并更改其 DNS mapping 或許可以避開攻擊,這是最快速而有效的方式;但是攻擊的目的就是要使正常使用者無法使用服務(wù),更改ip的方式雖然避開攻擊,以另一角度來看黑客也達(dá)到了他的目的。此外,如果攻擊的手法較為單純,可以由產(chǎn)生的流量找出其規(guī)則,那么利用路由器的 ACLs(Access Control Lists)或防火墻規(guī)則也許可以阻擋,若可以發(fā)現(xiàn)流量都是來自同一來源或核心路由器,可以考慮暫時將那邊的流量擋起來,當(dāng)然這還是有可能將正常和異常的流量都一并擋掉,但至少其它來源可以得到正常的服務(wù),這有時是不得已的犧牲。如果行有余力,則可以考慮增加機(jī)器或頻寬作為被攻擊的緩沖之用,但這只是治標(biāo)不治本的做法。最重要的是必須立即著手調(diào)查并與相關(guān)單位協(xié)調(diào)解決。
四、預(yù)防DDoS攻擊
DDoS 必須透過網(wǎng)絡(luò)上各個團(tuán)體和使用者的共同合作,制定更嚴(yán)格的網(wǎng)絡(luò)標(biāo)準(zhǔn)來解決。每臺網(wǎng)絡(luò)設(shè)備或主機(jī)都需要隨時更新其系統(tǒng)漏洞、關(guān)閉不需要的服務(wù)、安裝必要的防毒和防火墻軟件、隨時注意系統(tǒng)安全,避免被黑客和自動化的 DDoS 程序植入攻擊程序,以免成為黑客攻擊的幫兇。
有些 DDoS 會偽裝攻擊來源,假造封包的來源 ip,使人難以追查,這個部份可以透過設(shè)定路由器的過濾功能來防止,只要網(wǎng)域內(nèi)的封包來源是其網(wǎng)域以外的 ip,就應(yīng)該直接丟棄此封包而不應(yīng)該再送出去,如果網(wǎng)管設(shè)備都支持這項功能,網(wǎng)管人員都能夠正確設(shè)定過濾掉假造的封包,也可以大量減少調(diào)查和追蹤的時間。
網(wǎng)域之間保持聯(lián)絡(luò)是很重要的,如此才能有效早期預(yù)警和防治 DDoS 攻擊,有些 ISP會在一些網(wǎng)絡(luò)節(jié)點(diǎn)上放置感應(yīng)器偵測突然的巨大流量,以提早警告和隔絕 DDoS 的受害區(qū)域,降低顧客的受害程度。
在探討DDoS 之前我們需要先對 DoS 有所了解,DoS泛指黑客試圖妨礙正常使用者使用網(wǎng)絡(luò)上的服務(wù),例如剪斷大樓的電話線路造成用戶無法通話。而以網(wǎng)絡(luò)來說,由于頻寬、網(wǎng)絡(luò)設(shè)備和服務(wù)器主機(jī)等處理的能力都有其限制,因此當(dāng)黑客產(chǎn)生過量的網(wǎng)絡(luò)封包使得設(shè)備處理不及,即可讓正常的使用者無法正常使用該服務(wù)。例如黑客試圖用大量封包攻擊一般頻寬相對小得多的撥接或 ADSL 使用者,則受害者就會發(fā)現(xiàn)他要連的網(wǎng)站連不上或是反應(yīng)十分緩慢。
DoS 攻擊并非入侵主機(jī)也不能竊取機(jī)器上的資料,但是一樣會造成攻擊目標(biāo)的傷害,如果攻擊目標(biāo)是個電子商務(wù)網(wǎng)站就會造成顧客無法到該網(wǎng)站購物。
二、分布式阻斷服務(wù)(Distributed Denial of Service)
DDoS 則是 DoS 的特例,黑客利用多臺機(jī)器同時攻擊來達(dá)到妨礙正常使用者使用服務(wù)的目的。黑客預(yù)先入侵大量主機(jī)以后,在被害主機(jī)上安裝 DDoS 攻擊程控被害主機(jī)對攻擊目標(biāo)展開攻擊;有些 DDoS 工具采用多層次的架構(gòu),甚至可以一次控制高達(dá)上千臺電腦展開攻擊,利用這樣的方式可以有效產(chǎn)生極大的網(wǎng)絡(luò)流量以癱瘓攻擊目標(biāo)。早在2000年就發(fā)生過針對Yahoo, eBay, Buy.com 和 CNN 等知名網(wǎng)站的DDoS攻擊,阻止了合法的網(wǎng)絡(luò)流量長達(dá)數(shù)個小時。
DDoS 攻擊程序的分類,可以依照幾種方式分類,以自動化程度可分為手動、半自動與自動攻擊。早期的 DDoS 攻擊程序多半屬于手動攻擊,黑客手動尋找可入侵的計算機(jī)入侵并植入攻擊程序,再下指令攻擊目標(biāo);半自動的攻擊程序則多半具有 handler 控制攻擊用的agent 程序,黑客散布自動化的入侵工具植入 agent 程序,然后使用 handler 控制所有agents 對目標(biāo)發(fā)動 DDoS 攻擊;自動攻擊更進(jìn)一步自動化整個攻擊程序,將攻擊的目標(biāo)、時間和方式都事先寫在攻擊程序里,黑客散布攻擊程序以后就會自動掃描可入侵的主機(jī)植入 agent 并在預(yù)定的時間對指定目標(biāo)發(fā)起攻擊,例如近期的 W32/Blaster 網(wǎng)蟲即屬于此類。
若以攻擊的弱點(diǎn)分類則可以分為協(xié)議攻擊和暴力攻擊兩種。協(xié)議攻擊是指黑客利用某個網(wǎng)絡(luò)協(xié)議設(shè)計上的弱點(diǎn)或執(zhí)行上的 bug 消耗大量資源,例如 TCP SYN 攻擊、對認(rèn)證伺服器的攻擊等;暴力攻擊則是黑客使用大量正常的聯(lián)機(jī)消耗被害目標(biāo)的資源,由于黑客會準(zhǔn)備多臺主機(jī)發(fā)起 DDoS 攻擊目標(biāo),只要單位時間內(nèi)攻擊方發(fā)出的網(wǎng)絡(luò)流量高于目標(biāo)所能處理速度,即可消耗掉目標(biāo)的處理能力而使得正常的使用者無法使用服務(wù)。
若以攻擊頻率區(qū)分則可分成持續(xù)攻擊和變動頻率攻擊兩種。持續(xù)攻擊是當(dāng)攻擊指令下達(dá)以后,攻擊主機(jī)就全力持續(xù)攻擊,因此會瞬間產(chǎn)生大量流量阻斷目標(biāo)的服務(wù),也因此很容易被偵測到;變動頻率攻擊則較為謹(jǐn)慎,攻擊的頻率可能從慢速漸漸增加或頻率高低變化,利用這樣的方式延緩攻擊被偵測的時間。
三、從 DDoS 攻擊下存活
那么當(dāng)遭受 DDoS 攻擊的時候要如何設(shè)法存活并繼續(xù)提供正常服務(wù)呢?由先前的介紹可以知道,若黑客攻擊規(guī)模遠(yuǎn)高于你的網(wǎng)絡(luò)頻寬、設(shè)備或主機(jī)所能處理的能力,其實是很難以抵抗攻擊的,但仍然有一些方法可以減輕攻擊所造成的影響。
首先是調(diào)查攻擊來源,由于黑客經(jīng)由入侵機(jī)器進(jìn)行攻擊,因此你可能無法查出黑客是由哪里發(fā)動攻擊,我們必須一步一步從被攻擊目標(biāo)往回推,先調(diào)查攻擊是由管轄網(wǎng)絡(luò)的哪些邊界路由器進(jìn)來,上一步是外界哪臺路由器,連絡(luò)這些路由器的管理者(可能是某個ISP或電信公司)并尋求他們協(xié)助阻擋或查出攻擊來源,而在他們處理之前可以進(jìn)行哪些處理呢?
如果被攻擊的目標(biāo)只是單一 ip,那么試圖改個 ip 并更改其 DNS mapping 或許可以避開攻擊,這是最快速而有效的方式;但是攻擊的目的就是要使正常使用者無法使用服務(wù),更改ip的方式雖然避開攻擊,以另一角度來看黑客也達(dá)到了他的目的。此外,如果攻擊的手法較為單純,可以由產(chǎn)生的流量找出其規(guī)則,那么利用路由器的 ACLs(Access Control Lists)或防火墻規(guī)則也許可以阻擋,若可以發(fā)現(xiàn)流量都是來自同一來源或核心路由器,可以考慮暫時將那邊的流量擋起來,當(dāng)然這還是有可能將正常和異常的流量都一并擋掉,但至少其它來源可以得到正常的服務(wù),這有時是不得已的犧牲。如果行有余力,則可以考慮增加機(jī)器或頻寬作為被攻擊的緩沖之用,但這只是治標(biāo)不治本的做法。最重要的是必須立即著手調(diào)查并與相關(guān)單位協(xié)調(diào)解決。
四、預(yù)防DDoS攻擊
DDoS 必須透過網(wǎng)絡(luò)上各個團(tuán)體和使用者的共同合作,制定更嚴(yán)格的網(wǎng)絡(luò)標(biāo)準(zhǔn)來解決。每臺網(wǎng)絡(luò)設(shè)備或主機(jī)都需要隨時更新其系統(tǒng)漏洞、關(guān)閉不需要的服務(wù)、安裝必要的防毒和防火墻軟件、隨時注意系統(tǒng)安全,避免被黑客和自動化的 DDoS 程序植入攻擊程序,以免成為黑客攻擊的幫兇。
有些 DDoS 會偽裝攻擊來源,假造封包的來源 ip,使人難以追查,這個部份可以透過設(shè)定路由器的過濾功能來防止,只要網(wǎng)域內(nèi)的封包來源是其網(wǎng)域以外的 ip,就應(yīng)該直接丟棄此封包而不應(yīng)該再送出去,如果網(wǎng)管設(shè)備都支持這項功能,網(wǎng)管人員都能夠正確設(shè)定過濾掉假造的封包,也可以大量減少調(diào)查和追蹤的時間。
網(wǎng)域之間保持聯(lián)絡(luò)是很重要的,如此才能有效早期預(yù)警和防治 DDoS 攻擊,有些 ISP會在一些網(wǎng)絡(luò)節(jié)點(diǎn)上放置感應(yīng)器偵測突然的巨大流量,以提早警告和隔絕 DDoS 的受害區(qū)域,降低顧客的受害程度。
Windows消息鉤子一般都很熟悉了。它的用處很多,耳熟能詳?shù)木陀小面I盤鉤子獲取目標(biāo)進(jìn)程的鍵盤輸入,從而獲得各類密碼以達(dá)到不可告人的目的。朋友想讓他的軟件不被別人的全局鉤子監(jiān)視,有沒有辦法實現(xiàn)呢?答案是肯定的,不過缺陷也是有的。
首先簡單看看全局鉤子如何注入別的進(jìn)程。
消息鉤子是由Win32子系統(tǒng)提供,其核心部分通過NtUserSetWindowsHookEx為用戶提供了設(shè)置消息鉤子的系統(tǒng)服務(wù),用戶通過它注冊全局鉤子。當(dāng)系統(tǒng)獲取某些事件,比如用戶按鍵,鍵盤driver將掃描碼等傳入win32k的KeyEvent處理函數(shù),處理函數(shù)判斷有無相應(yīng)hook,有則callhook。此時,系統(tǒng)取得Hook對象信息,若目標(biāo)進(jìn)程沒有裝載對應(yīng)的Dll,則裝載之(利用KeUserModeCallback“調(diào)用”用戶例程,它與Apc調(diào)用不同,它是仿制中斷返回環(huán)境,其調(diào)用是“立即”性質(zhì)的)。
進(jìn)入用戶態(tài)的KiUserCallbackDispatcher后,KiUserCallbackDispatcher根據(jù)傳遞的數(shù)據(jù)獲取所需調(diào)用的函數(shù)、參數(shù)等,隨后調(diào)用。針對上面的例子,為裝載hook dll,得到調(diào)用的是LoadLibraryExW,隨后進(jìn)入LdrLoadDll,裝載完畢后返回,后面的步驟就不敘述了。
從上面的討論我們可以得出一個最簡單的防侵入方案:在加載hook dll之前hook相應(yīng)api使得加載失敗,不過有一個缺陷:系統(tǒng)并不會因為一次的失敗而放棄,每次有消息產(chǎn)生欲call hook時系統(tǒng)都會試圖在你的進(jìn)程加載dll,這對于性能有些微影響,不過應(yīng)該感覺不到。剩下一個問題就是不是所有的LoadLibraryExW都應(yīng)攔截,這個容易解決,比如判斷返回地址。下面給出一個例子片斷,可以添加一些判斷使得某些允許加載的hook dll被加載。
這里hook api使用了微軟的detours庫,可自行修改。
以下內(nèi)容為程序代碼:
typedef HMODULE (__stdcall *LOADLIB)(
LPCWSTR lpwLibFileName,
HANDLE hFile,
DWORD dwFlags);
extern "C" {
DETOUR_TRAMPOLINE(HMODULE __stdcall Real_LoadLibraryExW(
LPCWSTR lpwLibFileName,
HANDLE hFile,
DWORD dwFlags),
LoadLibraryExW);
}
ULONG user32 = 0;
HMODULE __stdcall Mine_LoadLibraryExW(
LPCWSTR lpwLibFileName,
HANDLE hFile,
DWORD dwFlags)
{
ULONG addr;
_asm mov eax, [ebp+4]
_asm mov addr, eax
if ((user32 & 0xFFFF0000) == (addr & 0xFFFF0000))
{
return 0;
}
HMODULE res = (LOADLIB(Real_LoadLibraryExW)) (
lpwLibFileName,
hFile,
dwFlags);
return res;
}
BOOL ProcessAttach()
{
DetourFunctionWithTrampoline((PBYTE)Real_LoadLibraryExW,
(PBYTE)Mine_LoadLibraryExW);
return TRUE;
}
BOOL ProcessDetach()
{
DetourRemove((PBYTE)Real_LoadLibraryExW,
(PBYTE)Mine_LoadLibraryExW);
return TRUE;
}
CAnti_HookApp::CAnti_HookApp() //在使用用戶界面服務(wù)前調(diào)用ProcessAttach
{
user32 = (ULONG)GetModuleHandle("User32.dll");
ProcessAttach();
}
首先簡單看看全局鉤子如何注入別的進(jìn)程。
消息鉤子是由Win32子系統(tǒng)提供,其核心部分通過NtUserSetWindowsHookEx為用戶提供了設(shè)置消息鉤子的系統(tǒng)服務(wù),用戶通過它注冊全局鉤子。當(dāng)系統(tǒng)獲取某些事件,比如用戶按鍵,鍵盤driver將掃描碼等傳入win32k的KeyEvent處理函數(shù),處理函數(shù)判斷有無相應(yīng)hook,有則callhook。此時,系統(tǒng)取得Hook對象信息,若目標(biāo)進(jìn)程沒有裝載對應(yīng)的Dll,則裝載之(利用KeUserModeCallback“調(diào)用”用戶例程,它與Apc調(diào)用不同,它是仿制中斷返回環(huán)境,其調(diào)用是“立即”性質(zhì)的)。
進(jìn)入用戶態(tài)的KiUserCallbackDispatcher后,KiUserCallbackDispatcher根據(jù)傳遞的數(shù)據(jù)獲取所需調(diào)用的函數(shù)、參數(shù)等,隨后調(diào)用。針對上面的例子,為裝載hook dll,得到調(diào)用的是LoadLibraryExW,隨后進(jìn)入LdrLoadDll,裝載完畢后返回,后面的步驟就不敘述了。
從上面的討論我們可以得出一個最簡單的防侵入方案:在加載hook dll之前hook相應(yīng)api使得加載失敗,不過有一個缺陷:系統(tǒng)并不會因為一次的失敗而放棄,每次有消息產(chǎn)生欲call hook時系統(tǒng)都會試圖在你的進(jìn)程加載dll,這對于性能有些微影響,不過應(yīng)該感覺不到。剩下一個問題就是不是所有的LoadLibraryExW都應(yīng)攔截,這個容易解決,比如判斷返回地址。下面給出一個例子片斷,可以添加一些判斷使得某些允許加載的hook dll被加載。
這里hook api使用了微軟的detours庫,可自行修改。
以下內(nèi)容為程序代碼:
typedef HMODULE (__stdcall *LOADLIB)(
LPCWSTR lpwLibFileName,
HANDLE hFile,
DWORD dwFlags);
extern "C" {
DETOUR_TRAMPOLINE(HMODULE __stdcall Real_LoadLibraryExW(
LPCWSTR lpwLibFileName,
HANDLE hFile,
DWORD dwFlags),
LoadLibraryExW);
}
ULONG user32 = 0;
HMODULE __stdcall Mine_LoadLibraryExW(
LPCWSTR lpwLibFileName,
HANDLE hFile,
DWORD dwFlags)
{
ULONG addr;
_asm mov eax, [ebp+4]
_asm mov addr, eax
if ((user32 & 0xFFFF0000) == (addr & 0xFFFF0000))
{
return 0;
}
HMODULE res = (LOADLIB(Real_LoadLibraryExW)) (
lpwLibFileName,
hFile,
dwFlags);
return res;
}
BOOL ProcessAttach()
{
DetourFunctionWithTrampoline((PBYTE)Real_LoadLibraryExW,
(PBYTE)Mine_LoadLibraryExW);
return TRUE;
}
BOOL ProcessDetach()
{
DetourRemove((PBYTE)Real_LoadLibraryExW,
(PBYTE)Mine_LoadLibraryExW);
return TRUE;
}
CAnti_HookApp::CAnti_HookApp() //在使用用戶界面服務(wù)前調(diào)用ProcessAttach
{
user32 = (ULONG)GetModuleHandle("User32.dll");
ProcessAttach();
}
IDS入侵特征庫創(chuàng)建實例解析
[ 2007-03-25 02:51:24 | 作者: sun ]
IDS要有效地捕捉入侵行為,必須擁有一個強(qiáng)大的入侵特征數(shù)據(jù)庫,這就如同公安部門必須擁有健全的罪犯信息庫一樣。但是,IDS一般所帶的特征數(shù)據(jù)庫都比較死板,遇到“變臉”的入侵行為往往相逢不相識。因此,管理員有必要學(xué)會如何創(chuàng)建滿足實際需要的特征數(shù)據(jù)樣板,做到萬變應(yīng)萬變!本文將對入侵特征的概念、種類以及如何創(chuàng)建特征進(jìn)行介紹,希望能幫助讀者盡快掌握對付“變臉”的方法。
一、特征(signature)的基本概念
IDS中的特征就是指用于判別通訊信息種類的樣板數(shù)據(jù),通常分為多種,以下是一些典型情況及識別方法:
來自保留IP地址的連接企圖:可通過檢查IP報頭(IP header)的來源地址輕易地識別。
帶有非法TCP 標(biāo)志聯(lián)合物的數(shù)據(jù)包:可通過對比TCP報頭中的標(biāo)志集與已知正確和錯誤標(biāo)記聯(lián)合物的不同點(diǎn)來識別。
含有特殊病毒信息的Email:可通過對比每封Email的主題信息和病態(tài)Email的主題信息來識別,或者,通過搜索特定名字的附近來識別。
查詢負(fù)載中的DNS緩沖區(qū)溢出企圖:可通過解析DNS域及檢查每個域的長度來識別利用DNS域的緩沖區(qū)溢出企圖。還有另外一個識別方法是:在負(fù)載中搜索“殼代碼利用”(exploit shellcode)的序列代碼組合。
通過對POP3服務(wù)器發(fā)出上千次同一命令而導(dǎo)致的DoS攻擊:通過跟蹤記錄某個命令連續(xù)發(fā)出的次數(shù),看看是否超過了預(yù)設(shè)上限,而發(fā)出報警信息。
未登錄情況下使用文件和目錄命令對FTP服務(wù)器的文件訪問攻擊:通過創(chuàng)建具備狀態(tài)跟蹤的特征樣板以監(jiān)視成功登錄的FTP對話、發(fā)現(xiàn)未經(jīng)驗證卻發(fā)命令的入侵企圖。
從以上分類可以看出特征的涵蓋范圍很廣,有簡單的報頭域數(shù)值、有高度復(fù)雜的連接狀態(tài)跟蹤、有擴(kuò)展的協(xié)議分析。一葉即可知秋,本文將從最簡單的特征入手,詳細(xì)討論其功能及開發(fā)、定制方法。
另外請注意:不同的IDS產(chǎn)品具有的特征功能也有所差異。例如:有些網(wǎng)絡(luò)IDS系統(tǒng)只允許很少地定制存在的特征數(shù)據(jù)或者編寫需要的特征數(shù)據(jù),另外一些則允許在很寬的范圍內(nèi)定制或編寫特征數(shù)據(jù),甚至可以是任意一個特征;一些IDS系統(tǒng)只能檢查確定的報頭或負(fù)載數(shù)值,另外一些則可以獲取任何信息包的任何位置的數(shù)據(jù)。
二、特征有什么作用?
這似乎是一個答案很明顯的問題:特征是檢測數(shù)據(jù)包中的可疑內(nèi)容是否真正“不可就要”的樣板,也就是“壞分子克隆”。IDS系統(tǒng)本身就帶有這個重要的部分,為什么還需要定制或編寫特征呢?是這樣:也許你經(jīng)常看到一些熟悉的通訊信息流在網(wǎng)絡(luò)上游蕩,由于IDS系統(tǒng)的特征數(shù)據(jù)庫過期或者這些通訊信息本身就不是攻擊或探測數(shù)據(jù),IDS系統(tǒng)并沒有對它們進(jìn)行關(guān)注,而這時你的好奇心升起,想在這些可疑數(shù)據(jù)再次經(jīng)由時發(fā)出報警,想捕捉它們、仔細(xì)看看它們到底來自何方、有何貴干,因此,唯一的辦法就是對現(xiàn)有特征數(shù)據(jù)庫進(jìn)行一些定制配置或者編寫新的特征數(shù)據(jù)了。
特征的定制或編寫程度可粗可細(xì),完全取決于實際需求。或者是只判斷是否發(fā)生了異常行為而不確定具體是什么攻擊名號,從而節(jié)省資源和時間;或者是判斷出具體的攻擊手段或漏洞利用方式,從而獲取更多的信息。我感覺,前者適用于領(lǐng)導(dǎo)同志,后者需要具體做事者使用,宏觀加微觀,敵人別想遛進(jìn)來!
三、首席特征代表:報頭值(Header Values)
報頭值的結(jié)構(gòu)比較簡單,而且可以很清楚地識別出異常報頭信息,因此,特征數(shù)據(jù)的首席候選人就是它。一個經(jīng)典的例子是:明顯違背RFC793中規(guī)定的TCP標(biāo)準(zhǔn)、設(shè)置了SYN和FIN標(biāo)記的TCP數(shù)據(jù)包。這種數(shù)據(jù)包被許多入侵軟件采用,向防火墻、路由器以及IDS系統(tǒng)發(fā)起攻擊。異常報頭值的來源有以下幾種:
因為大多數(shù)操作系統(tǒng)和應(yīng)用軟件都是在假定RFC被嚴(yán)格遵守的情況下編寫的,沒有添加針對異常數(shù)據(jù)的錯誤處理程序,所以許多包含報頭值的漏洞利用都會故意違反RFC的標(biāo)準(zhǔn)定義,明目張膽地揭發(fā)被攻擊對象的偷工減料行為。
許多包含錯誤代碼的不完善軟件也會產(chǎn)生違反RFC定義的報頭值數(shù)據(jù)。
并非所有的操作系統(tǒng)和應(yīng)用程序都能全面擁護(hù)RFC定義,至少會存在一個方面與RFC不協(xié)調(diào)。
隨著時間推移,執(zhí)行新功能的協(xié)議可能不被包含于現(xiàn)有RFC中。
由于以上幾種情況,嚴(yán)格基于RFC的IDS特征數(shù)據(jù)就有可能產(chǎn)生漏報或誤報效果。對此,RFC也隨著新出現(xiàn)的違反信息而不斷進(jìn)行著更新,我們也有必要定期地回顧或更新存在的特征數(shù)據(jù)定義。
非法報頭值是特征數(shù)據(jù)的一個非常基礎(chǔ)的部分,合法但可疑的報頭值也同等重要。例如,如果存在到端口31337或27374的可疑連接,就可報警說可能有特洛伊木馬在活動;再附加上其他更詳細(xì)地探測信息,就能夠進(jìn)一步地判斷是真馬還是假馬。
四、確定特征“候選人”
為了更好地理解如何開發(fā)基于報頭值的特殊數(shù)據(jù),下面通過分析一個實例的整個過程進(jìn)行詳細(xì)闡述。
Synscan是一個流行的用于掃描和探測系統(tǒng)的工具,由于它的代碼被用于創(chuàng)建蠕蟲Ramen的開始片斷而在2001年早期大出風(fēng)頭。Synscan的執(zhí)行行為很具典型性,它發(fā)出的信息包具有多種可分辨的特性,包括:
不同的來源IP地址信息
TCP來源端口21,目標(biāo)端口21
服務(wù)類型0
IP鑒定號碼39426(IP identification number)
設(shè)置SYN和FIN標(biāo)志位
不同的序列號集合(sequence numbers set)
不同的確認(rèn)號碼集合(acknowledgment numbers set)
TCP窗口尺寸1028
下面我們對以上這些數(shù)據(jù)進(jìn)行篩選,看看哪個比較合適做特征數(shù)據(jù)。我們要尋找的是非法、異常或可疑數(shù)據(jù),大多數(shù)情況下,這都反映出攻擊者利用的漏洞或者他們使用的特殊技術(shù)。以下是特征數(shù)據(jù)的候選對象:
只具有SYN和FIN標(biāo)志集的數(shù)據(jù)包,這是公認(rèn)的惡意行為跡象。
沒有設(shè)置ACK標(biāo)志,但卻具有不同確認(rèn)號碼數(shù)值的數(shù)據(jù)包,而正常情況應(yīng)該是0。
來源端口和目標(biāo)端口都被設(shè)置為21的數(shù)據(jù)包,經(jīng)常與FTP服務(wù)器關(guān)聯(lián)。這種端口相同的情況一般被稱為“反身”(reflexive),除了個別時候如進(jìn)行一些特別NetBIOS通訊外,正常情況下不應(yīng)該出現(xiàn)這種現(xiàn)象。“反身”端口本身并不違反TCP標(biāo)準(zhǔn),但大多數(shù)情況下它們并非預(yù)期數(shù)值。例如在一個正常的FTP對話中,目標(biāo)端口一般是21,而來源端口通常都高于1023。
TCP窗口尺寸為1028,IP鑒定號碼在所有數(shù)據(jù)包中為39426。根據(jù)IP RFC的定義,這2類數(shù)值應(yīng)在數(shù)據(jù)包間有所不同,因此,如果持續(xù)不變,就表明可疑。
五、公布最佳特征“得主”
從以上4個候選對象中,我們可以單獨(dú)選出一項作為基于報頭的特征數(shù)據(jù),也可以選出多項組合作為特征數(shù)據(jù)。
選擇一項數(shù)據(jù)作為特征有很大的局限性。例如一個簡單的特征可以是只具有SYN和FIN標(biāo)志的數(shù)據(jù)包,雖然這可以很好地提示我們可能有一個可疑的行為發(fā)生,但卻不能給出為什么會發(fā)生的更多信息。SYN和FIN通常聯(lián)合在一起攻擊防護(hù)墻和其他設(shè)備,只要有它們出現(xiàn),就預(yù)示著掃描正在發(fā)生、信息正在收集、攻擊將要開始。但僅僅這些而已,我們需要的是更多的細(xì)節(jié)資料。
選擇以上4項數(shù)據(jù)聯(lián)合作為特征也不現(xiàn)實,因為這顯得有些太特殊了。盡管能夠精確地提供行為信息,但是比僅僅使用一個數(shù)據(jù)作為特征而言,會顯得遠(yuǎn)遠(yuǎn)缺乏效率。實際上,特征定義永遠(yuǎn)要在效率和精確度間取得折中。大多數(shù)情況下,簡單特征比復(fù)雜特征更傾向于誤報(false positives),因為前者很普遍;復(fù)雜特征比簡單特征更傾向于漏報(false negatives),因為前者太過全面,攻擊軟件的某個特征會隨著時間的推進(jìn)而變化。
多也不行,少亦不可,完全應(yīng)由實際情況決定。例如,我們想判斷攻擊可能采用的工具是什么,那么除了SYN和FIN標(biāo)志以外,還需要什么其他屬性?“反身”端口雖然可疑,但是許多工具都使用到它,而且一些正常通訊也有此現(xiàn)象,因此不適宜選為特征。TCP窗口尺寸1028盡管有一點(diǎn)可疑,但也會自然的發(fā)生。IP鑒定號碼39426也一樣。沒有ACK標(biāo)志的ACK數(shù)值很明顯是非法的,因此非常適于選為特征數(shù)據(jù)。當(dāng)然,根據(jù)環(huán)境的不同,及時地調(diào)整或組合特征數(shù)據(jù),才是達(dá)到最優(yōu)效果的不二法門。
接下來我們真正創(chuàng)建一個特征,用于尋找并確定synscan發(fā)出的每個TCP信息包中的以下屬性:
只設(shè)置了SYN和FIN標(biāo)志
IP鑒定號碼為39426
TCP窗口尺寸為1028
第一個項目太普遍,第二個和第三個項目聯(lián)合出現(xiàn)在同一數(shù)據(jù)包的情況不很多,因此,將這三個項目組合起來就可以定義一個詳細(xì)的特征了。再加上其他的synscan屬性不會顯著地提高特征的精確度,只能增加資源的耗費(fèi)。到此,判別synscan軟件的特征如此就創(chuàng)建完畢了。
六、拓寬特征的“社會關(guān)系”,創(chuàng)建識別更多異常通訊的特征
以上創(chuàng)建的特征可以滿足對標(biāo)準(zhǔn)synscan軟件的探測了。但synscan可能存在多種“變臉”,而其它工具也可能是“變化多端”的,這樣,上述建立的特征必然不能將它們一一識別。這時就需要結(jié)合使用特殊特征和通用特征,才能創(chuàng)建一個更好、更全面的解決方案。如果一個入侵檢測特征既能揭示已知“壞蛋”,還能預(yù)測“潛在的罪犯”,那么它的魅力將大大提高。
首先看一個“變臉”synscan所發(fā)出的數(shù)據(jù)信息特征:
只設(shè)置了SYN標(biāo)志,這純屬正常的TCP數(shù)據(jù)包“長相”。
TCP窗口尺寸總是40而不是1028。40是初始SYN信息包中一個罕見的小窗口尺寸,比正常的數(shù)值1028少見得多。
“反身”端口數(shù)值為53而不是21。老版本的BIND使用“反身”端口用于特殊操作,新版本BIND則不再使用它,因此,經(jīng)常看到這個信息會讓我們睜大懷疑的眼睛。
以上3種數(shù)據(jù)與標(biāo)準(zhǔn)synscan產(chǎn)生的數(shù)據(jù)有很多相似出,因此可以初步推斷產(chǎn)生它的工具或者是synscan的不同版本,或者是其他基于synscan代碼的工具。顯然,前面定義的特征已經(jīng)不能將這個“變臉”識別出來,因為3個特征子項已經(jīng)面目全非。這時,我們可以采取三種方法:
再單獨(dú)創(chuàng)建一個匹配這些內(nèi)容的特殊特征。
調(diào)整我們的探測目標(biāo),只關(guān)注普通的異常行為,而不是特殊的異常行為,創(chuàng)建識別普通異常行為的通用特征。
1和2都創(chuàng)建,既全面撒網(wǎng),也重點(diǎn)垂釣,真實的罪犯必抓,可疑的分子也別跑。
通用特征可以創(chuàng)建如下:
沒有設(shè)置確認(rèn)標(biāo)志,但是確認(rèn)數(shù)值卻非0的TCP數(shù)據(jù)包。
只設(shè)置了SYN和FIN標(biāo)志的TCP數(shù)據(jù)包。
初始TCP窗口尺寸低于一定數(shù)值的TCP數(shù)據(jù)包。
使用以上的通用特征,上面提到過的兩種異常數(shù)據(jù)包都可以有效地識別出來。看來,網(wǎng)大好撈魚啊。
當(dāng)然,如果需要更加詳細(xì)地探測,再在這些通用特征的基礎(chǔ)上添加一些個性數(shù)據(jù)就可以創(chuàng)建出一個特殊特征來。還是那個觀點(diǎn),創(chuàng)建什么樣的特征、創(chuàng)建哪些特征,取決于實際需求,實踐是檢測創(chuàng)建何種特征的唯一標(biāo)準(zhǔn)嗎!
七、報頭值關(guān)鍵元素小結(jié),信息包種類檢查分析
從上面討論的例子中,我們看到了可用于創(chuàng)建IDS特征的多種報頭值信息。通常,最有可能用于生成報頭相關(guān)特征的元素為以下幾種:
IP地址,特別保留地址、非路由地址、廣播地址。
不應(yīng)被使用的端口號,特別是眾所周知的協(xié)議端口號和木馬端口號。
異常信息包片斷。
特殊TCP標(biāo)志組合值。
不應(yīng)該經(jīng)常出現(xiàn)的ICMP字節(jié)或代碼。
知道了如何使用基于報頭的特征數(shù)據(jù),接下來要確定的是檢查何種信息包。確定的標(biāo)準(zhǔn)依然是根據(jù)實際需求而定。因為ICMP和UDP信息包是無狀態(tài)的,所以大多數(shù)情況下,需要對它們的每一個“屬下”都進(jìn)行檢查。而TCP信息包是有連接狀態(tài)的,因此有時候可以只檢查連接中的第一個信息包。例如,象IP地址和端口這樣的特征將在連接的所有數(shù)據(jù)包中保持不變,只對它們檢查一次就可放心。其他特征如TCP標(biāo)志會在對話過程的不同數(shù)據(jù)包中有所不同,如果要查找特殊的標(biāo)志組合值,就需要對每一個數(shù)據(jù)包進(jìn)行檢查。檢查的數(shù)量越多,消耗的資源和時間也就越多。
另外我們還要了解一點(diǎn):關(guān)注TCP、UDP或者ICMP的報頭信息要比關(guān)注DNS報頭信息更方便。因為TCP、UDP以及ICMP都屬于IP協(xié)議,它們的報頭信息和載荷信息都位于IP數(shù)據(jù)包的payload部分,比如要獲取TCP報頭數(shù)值,首先解析IP報頭,然后就可以判斷出這個載荷的“父親”是TCP。而象DNS這樣的協(xié)議,它又包含在UDP和TCP數(shù)據(jù)包的載荷中,如果要獲取DNS的信息,就必須深入2層才能看到真面目。而且,解析此類協(xié)議還需要更多更復(fù)雜的編程代碼,完全不如TCP等簡單。實際上,這個解析操作也正是區(qū)分不同協(xié)議的關(guān)鍵所在,評價IDS系統(tǒng)的好壞也體現(xiàn)在是否能夠很好地分析更多的協(xié)議。
八、結(jié)語
本文對如何定制IDS的關(guān)鍵部件特征數(shù)據(jù)庫做了詳細(xì)地介紹,相信你已經(jīng)對此有了進(jìn)一步的認(rèn)識。入侵者總是狡猾多變的,我們不能讓手中的鋼刀有刃無光,要經(jīng)常地磨礪它、改裝它,才可能以萬變應(yīng)萬變,讓入侵者膽戰(zhàn)心驚!
一、特征(signature)的基本概念
IDS中的特征就是指用于判別通訊信息種類的樣板數(shù)據(jù),通常分為多種,以下是一些典型情況及識別方法:
來自保留IP地址的連接企圖:可通過檢查IP報頭(IP header)的來源地址輕易地識別。
帶有非法TCP 標(biāo)志聯(lián)合物的數(shù)據(jù)包:可通過對比TCP報頭中的標(biāo)志集與已知正確和錯誤標(biāo)記聯(lián)合物的不同點(diǎn)來識別。
含有特殊病毒信息的Email:可通過對比每封Email的主題信息和病態(tài)Email的主題信息來識別,或者,通過搜索特定名字的附近來識別。
查詢負(fù)載中的DNS緩沖區(qū)溢出企圖:可通過解析DNS域及檢查每個域的長度來識別利用DNS域的緩沖區(qū)溢出企圖。還有另外一個識別方法是:在負(fù)載中搜索“殼代碼利用”(exploit shellcode)的序列代碼組合。
通過對POP3服務(wù)器發(fā)出上千次同一命令而導(dǎo)致的DoS攻擊:通過跟蹤記錄某個命令連續(xù)發(fā)出的次數(shù),看看是否超過了預(yù)設(shè)上限,而發(fā)出報警信息。
未登錄情況下使用文件和目錄命令對FTP服務(wù)器的文件訪問攻擊:通過創(chuàng)建具備狀態(tài)跟蹤的特征樣板以監(jiān)視成功登錄的FTP對話、發(fā)現(xiàn)未經(jīng)驗證卻發(fā)命令的入侵企圖。
從以上分類可以看出特征的涵蓋范圍很廣,有簡單的報頭域數(shù)值、有高度復(fù)雜的連接狀態(tài)跟蹤、有擴(kuò)展的協(xié)議分析。一葉即可知秋,本文將從最簡單的特征入手,詳細(xì)討論其功能及開發(fā)、定制方法。
另外請注意:不同的IDS產(chǎn)品具有的特征功能也有所差異。例如:有些網(wǎng)絡(luò)IDS系統(tǒng)只允許很少地定制存在的特征數(shù)據(jù)或者編寫需要的特征數(shù)據(jù),另外一些則允許在很寬的范圍內(nèi)定制或編寫特征數(shù)據(jù),甚至可以是任意一個特征;一些IDS系統(tǒng)只能檢查確定的報頭或負(fù)載數(shù)值,另外一些則可以獲取任何信息包的任何位置的數(shù)據(jù)。
二、特征有什么作用?
這似乎是一個答案很明顯的問題:特征是檢測數(shù)據(jù)包中的可疑內(nèi)容是否真正“不可就要”的樣板,也就是“壞分子克隆”。IDS系統(tǒng)本身就帶有這個重要的部分,為什么還需要定制或編寫特征呢?是這樣:也許你經(jīng)常看到一些熟悉的通訊信息流在網(wǎng)絡(luò)上游蕩,由于IDS系統(tǒng)的特征數(shù)據(jù)庫過期或者這些通訊信息本身就不是攻擊或探測數(shù)據(jù),IDS系統(tǒng)并沒有對它們進(jìn)行關(guān)注,而這時你的好奇心升起,想在這些可疑數(shù)據(jù)再次經(jīng)由時發(fā)出報警,想捕捉它們、仔細(xì)看看它們到底來自何方、有何貴干,因此,唯一的辦法就是對現(xiàn)有特征數(shù)據(jù)庫進(jìn)行一些定制配置或者編寫新的特征數(shù)據(jù)了。
特征的定制或編寫程度可粗可細(xì),完全取決于實際需求。或者是只判斷是否發(fā)生了異常行為而不確定具體是什么攻擊名號,從而節(jié)省資源和時間;或者是判斷出具體的攻擊手段或漏洞利用方式,從而獲取更多的信息。我感覺,前者適用于領(lǐng)導(dǎo)同志,后者需要具體做事者使用,宏觀加微觀,敵人別想遛進(jìn)來!
三、首席特征代表:報頭值(Header Values)
報頭值的結(jié)構(gòu)比較簡單,而且可以很清楚地識別出異常報頭信息,因此,特征數(shù)據(jù)的首席候選人就是它。一個經(jīng)典的例子是:明顯違背RFC793中規(guī)定的TCP標(biāo)準(zhǔn)、設(shè)置了SYN和FIN標(biāo)記的TCP數(shù)據(jù)包。這種數(shù)據(jù)包被許多入侵軟件采用,向防火墻、路由器以及IDS系統(tǒng)發(fā)起攻擊。異常報頭值的來源有以下幾種:
因為大多數(shù)操作系統(tǒng)和應(yīng)用軟件都是在假定RFC被嚴(yán)格遵守的情況下編寫的,沒有添加針對異常數(shù)據(jù)的錯誤處理程序,所以許多包含報頭值的漏洞利用都會故意違反RFC的標(biāo)準(zhǔn)定義,明目張膽地揭發(fā)被攻擊對象的偷工減料行為。
許多包含錯誤代碼的不完善軟件也會產(chǎn)生違反RFC定義的報頭值數(shù)據(jù)。
并非所有的操作系統(tǒng)和應(yīng)用程序都能全面擁護(hù)RFC定義,至少會存在一個方面與RFC不協(xié)調(diào)。
隨著時間推移,執(zhí)行新功能的協(xié)議可能不被包含于現(xiàn)有RFC中。
由于以上幾種情況,嚴(yán)格基于RFC的IDS特征數(shù)據(jù)就有可能產(chǎn)生漏報或誤報效果。對此,RFC也隨著新出現(xiàn)的違反信息而不斷進(jìn)行著更新,我們也有必要定期地回顧或更新存在的特征數(shù)據(jù)定義。
非法報頭值是特征數(shù)據(jù)的一個非常基礎(chǔ)的部分,合法但可疑的報頭值也同等重要。例如,如果存在到端口31337或27374的可疑連接,就可報警說可能有特洛伊木馬在活動;再附加上其他更詳細(xì)地探測信息,就能夠進(jìn)一步地判斷是真馬還是假馬。
四、確定特征“候選人”
為了更好地理解如何開發(fā)基于報頭值的特殊數(shù)據(jù),下面通過分析一個實例的整個過程進(jìn)行詳細(xì)闡述。
Synscan是一個流行的用于掃描和探測系統(tǒng)的工具,由于它的代碼被用于創(chuàng)建蠕蟲Ramen的開始片斷而在2001年早期大出風(fēng)頭。Synscan的執(zhí)行行為很具典型性,它發(fā)出的信息包具有多種可分辨的特性,包括:
不同的來源IP地址信息
TCP來源端口21,目標(biāo)端口21
服務(wù)類型0
IP鑒定號碼39426(IP identification number)
設(shè)置SYN和FIN標(biāo)志位
不同的序列號集合(sequence numbers set)
不同的確認(rèn)號碼集合(acknowledgment numbers set)
TCP窗口尺寸1028
下面我們對以上這些數(shù)據(jù)進(jìn)行篩選,看看哪個比較合適做特征數(shù)據(jù)。我們要尋找的是非法、異常或可疑數(shù)據(jù),大多數(shù)情況下,這都反映出攻擊者利用的漏洞或者他們使用的特殊技術(shù)。以下是特征數(shù)據(jù)的候選對象:
只具有SYN和FIN標(biāo)志集的數(shù)據(jù)包,這是公認(rèn)的惡意行為跡象。
沒有設(shè)置ACK標(biāo)志,但卻具有不同確認(rèn)號碼數(shù)值的數(shù)據(jù)包,而正常情況應(yīng)該是0。
來源端口和目標(biāo)端口都被設(shè)置為21的數(shù)據(jù)包,經(jīng)常與FTP服務(wù)器關(guān)聯(lián)。這種端口相同的情況一般被稱為“反身”(reflexive),除了個別時候如進(jìn)行一些特別NetBIOS通訊外,正常情況下不應(yīng)該出現(xiàn)這種現(xiàn)象。“反身”端口本身并不違反TCP標(biāo)準(zhǔn),但大多數(shù)情況下它們并非預(yù)期數(shù)值。例如在一個正常的FTP對話中,目標(biāo)端口一般是21,而來源端口通常都高于1023。
TCP窗口尺寸為1028,IP鑒定號碼在所有數(shù)據(jù)包中為39426。根據(jù)IP RFC的定義,這2類數(shù)值應(yīng)在數(shù)據(jù)包間有所不同,因此,如果持續(xù)不變,就表明可疑。
五、公布最佳特征“得主”
從以上4個候選對象中,我們可以單獨(dú)選出一項作為基于報頭的特征數(shù)據(jù),也可以選出多項組合作為特征數(shù)據(jù)。
選擇一項數(shù)據(jù)作為特征有很大的局限性。例如一個簡單的特征可以是只具有SYN和FIN標(biāo)志的數(shù)據(jù)包,雖然這可以很好地提示我們可能有一個可疑的行為發(fā)生,但卻不能給出為什么會發(fā)生的更多信息。SYN和FIN通常聯(lián)合在一起攻擊防護(hù)墻和其他設(shè)備,只要有它們出現(xiàn),就預(yù)示著掃描正在發(fā)生、信息正在收集、攻擊將要開始。但僅僅這些而已,我們需要的是更多的細(xì)節(jié)資料。
選擇以上4項數(shù)據(jù)聯(lián)合作為特征也不現(xiàn)實,因為這顯得有些太特殊了。盡管能夠精確地提供行為信息,但是比僅僅使用一個數(shù)據(jù)作為特征而言,會顯得遠(yuǎn)遠(yuǎn)缺乏效率。實際上,特征定義永遠(yuǎn)要在效率和精確度間取得折中。大多數(shù)情況下,簡單特征比復(fù)雜特征更傾向于誤報(false positives),因為前者很普遍;復(fù)雜特征比簡單特征更傾向于漏報(false negatives),因為前者太過全面,攻擊軟件的某個特征會隨著時間的推進(jìn)而變化。
多也不行,少亦不可,完全應(yīng)由實際情況決定。例如,我們想判斷攻擊可能采用的工具是什么,那么除了SYN和FIN標(biāo)志以外,還需要什么其他屬性?“反身”端口雖然可疑,但是許多工具都使用到它,而且一些正常通訊也有此現(xiàn)象,因此不適宜選為特征。TCP窗口尺寸1028盡管有一點(diǎn)可疑,但也會自然的發(fā)生。IP鑒定號碼39426也一樣。沒有ACK標(biāo)志的ACK數(shù)值很明顯是非法的,因此非常適于選為特征數(shù)據(jù)。當(dāng)然,根據(jù)環(huán)境的不同,及時地調(diào)整或組合特征數(shù)據(jù),才是達(dá)到最優(yōu)效果的不二法門。
接下來我們真正創(chuàng)建一個特征,用于尋找并確定synscan發(fā)出的每個TCP信息包中的以下屬性:
只設(shè)置了SYN和FIN標(biāo)志
IP鑒定號碼為39426
TCP窗口尺寸為1028
第一個項目太普遍,第二個和第三個項目聯(lián)合出現(xiàn)在同一數(shù)據(jù)包的情況不很多,因此,將這三個項目組合起來就可以定義一個詳細(xì)的特征了。再加上其他的synscan屬性不會顯著地提高特征的精確度,只能增加資源的耗費(fèi)。到此,判別synscan軟件的特征如此就創(chuàng)建完畢了。
六、拓寬特征的“社會關(guān)系”,創(chuàng)建識別更多異常通訊的特征
以上創(chuàng)建的特征可以滿足對標(biāo)準(zhǔn)synscan軟件的探測了。但synscan可能存在多種“變臉”,而其它工具也可能是“變化多端”的,這樣,上述建立的特征必然不能將它們一一識別。這時就需要結(jié)合使用特殊特征和通用特征,才能創(chuàng)建一個更好、更全面的解決方案。如果一個入侵檢測特征既能揭示已知“壞蛋”,還能預(yù)測“潛在的罪犯”,那么它的魅力將大大提高。
首先看一個“變臉”synscan所發(fā)出的數(shù)據(jù)信息特征:
只設(shè)置了SYN標(biāo)志,這純屬正常的TCP數(shù)據(jù)包“長相”。
TCP窗口尺寸總是40而不是1028。40是初始SYN信息包中一個罕見的小窗口尺寸,比正常的數(shù)值1028少見得多。
“反身”端口數(shù)值為53而不是21。老版本的BIND使用“反身”端口用于特殊操作,新版本BIND則不再使用它,因此,經(jīng)常看到這個信息會讓我們睜大懷疑的眼睛。
以上3種數(shù)據(jù)與標(biāo)準(zhǔn)synscan產(chǎn)生的數(shù)據(jù)有很多相似出,因此可以初步推斷產(chǎn)生它的工具或者是synscan的不同版本,或者是其他基于synscan代碼的工具。顯然,前面定義的特征已經(jīng)不能將這個“變臉”識別出來,因為3個特征子項已經(jīng)面目全非。這時,我們可以采取三種方法:
再單獨(dú)創(chuàng)建一個匹配這些內(nèi)容的特殊特征。
調(diào)整我們的探測目標(biāo),只關(guān)注普通的異常行為,而不是特殊的異常行為,創(chuàng)建識別普通異常行為的通用特征。
1和2都創(chuàng)建,既全面撒網(wǎng),也重點(diǎn)垂釣,真實的罪犯必抓,可疑的分子也別跑。
通用特征可以創(chuàng)建如下:
沒有設(shè)置確認(rèn)標(biāo)志,但是確認(rèn)數(shù)值卻非0的TCP數(shù)據(jù)包。
只設(shè)置了SYN和FIN標(biāo)志的TCP數(shù)據(jù)包。
初始TCP窗口尺寸低于一定數(shù)值的TCP數(shù)據(jù)包。
使用以上的通用特征,上面提到過的兩種異常數(shù)據(jù)包都可以有效地識別出來。看來,網(wǎng)大好撈魚啊。
當(dāng)然,如果需要更加詳細(xì)地探測,再在這些通用特征的基礎(chǔ)上添加一些個性數(shù)據(jù)就可以創(chuàng)建出一個特殊特征來。還是那個觀點(diǎn),創(chuàng)建什么樣的特征、創(chuàng)建哪些特征,取決于實際需求,實踐是檢測創(chuàng)建何種特征的唯一標(biāo)準(zhǔn)嗎!
七、報頭值關(guān)鍵元素小結(jié),信息包種類檢查分析
從上面討論的例子中,我們看到了可用于創(chuàng)建IDS特征的多種報頭值信息。通常,最有可能用于生成報頭相關(guān)特征的元素為以下幾種:
IP地址,特別保留地址、非路由地址、廣播地址。
不應(yīng)被使用的端口號,特別是眾所周知的協(xié)議端口號和木馬端口號。
異常信息包片斷。
特殊TCP標(biāo)志組合值。
不應(yīng)該經(jīng)常出現(xiàn)的ICMP字節(jié)或代碼。
知道了如何使用基于報頭的特征數(shù)據(jù),接下來要確定的是檢查何種信息包。確定的標(biāo)準(zhǔn)依然是根據(jù)實際需求而定。因為ICMP和UDP信息包是無狀態(tài)的,所以大多數(shù)情況下,需要對它們的每一個“屬下”都進(jìn)行檢查。而TCP信息包是有連接狀態(tài)的,因此有時候可以只檢查連接中的第一個信息包。例如,象IP地址和端口這樣的特征將在連接的所有數(shù)據(jù)包中保持不變,只對它們檢查一次就可放心。其他特征如TCP標(biāo)志會在對話過程的不同數(shù)據(jù)包中有所不同,如果要查找特殊的標(biāo)志組合值,就需要對每一個數(shù)據(jù)包進(jìn)行檢查。檢查的數(shù)量越多,消耗的資源和時間也就越多。
另外我們還要了解一點(diǎn):關(guān)注TCP、UDP或者ICMP的報頭信息要比關(guān)注DNS報頭信息更方便。因為TCP、UDP以及ICMP都屬于IP協(xié)議,它們的報頭信息和載荷信息都位于IP數(shù)據(jù)包的payload部分,比如要獲取TCP報頭數(shù)值,首先解析IP報頭,然后就可以判斷出這個載荷的“父親”是TCP。而象DNS這樣的協(xié)議,它又包含在UDP和TCP數(shù)據(jù)包的載荷中,如果要獲取DNS的信息,就必須深入2層才能看到真面目。而且,解析此類協(xié)議還需要更多更復(fù)雜的編程代碼,完全不如TCP等簡單。實際上,這個解析操作也正是區(qū)分不同協(xié)議的關(guān)鍵所在,評價IDS系統(tǒng)的好壞也體現(xiàn)在是否能夠很好地分析更多的協(xié)議。
八、結(jié)語
本文對如何定制IDS的關(guān)鍵部件特征數(shù)據(jù)庫做了詳細(xì)地介紹,相信你已經(jīng)對此有了進(jìn)一步的認(rèn)識。入侵者總是狡猾多變的,我們不能讓手中的鋼刀有刃無光,要經(jīng)常地磨礪它、改裝它,才可能以萬變應(yīng)萬變,讓入侵者膽戰(zhàn)心驚!
“網(wǎng)絡(luò)釣魚”大破解
[ 2007-03-25 02:51:04 | 作者: sun ]
網(wǎng)絡(luò)欺詐有一個很好聽的名字——網(wǎng)絡(luò)釣魚(Phishing),這是“Fishing”和“Phone”的綜合體,由于黑客始祖起初是以電話作案,所以用“Ph”來取代“F”,創(chuàng)造了“Phishing”這個詞。所謂“姜太公釣魚,愿者上鉤”,網(wǎng)絡(luò)中的“欺詐者”,利用欺騙性的電子郵件和偽造的Web站點(diǎn)進(jìn)行詐騙活動,或者布局誘惑網(wǎng)友安裝黑客程序和木馬病毒,以達(dá)到竊取重要數(shù)據(jù)的目的。據(jù)專家透露,“網(wǎng)絡(luò)釣魚”之所以猖狂,是因為在所有接觸詐騙信息的用戶中,總有5%的人會對騙局作出響應(yīng)。
“釣魚”招數(shù)一“發(fā)財郵件”坑你沒商量
Yama很有經(jīng)商頭腦,幾年前,她偶然看到美國一家購物網(wǎng)站上的二手?jǐn)z像器材不錯,比國內(nèi)的價格便宜很多。于是,她讓國外的姐姐開了個北美賬號,通過美國這家購物網(wǎng)買了幾臺很新的二手?jǐn)z像機(jī),然后以小時計費(fèi)租給影視公司,生意很快就做大了。
由于機(jī)器都是通過境外購物網(wǎng)站購買,Yama每天的工作就是泡在網(wǎng)上給買家寫郵件,商量各種購買細(xì)節(jié)。有一天,她忽然收到一封電子郵件,發(fā)件人自稱是紐約賣家Thomas,曾經(jīng)賣給她鏡頭。
Thomas在郵件中說:“我們曾經(jīng)有過很愉快的交易,現(xiàn)在我自己開了家網(wǎng)上攝像器材二手店,你只要過來登記會員,就能直接向我購買。也不用再交給購物網(wǎng)站交易傭金,能省很多錢哦!”
Yama點(diǎn)開郵件中的網(wǎng)頁鏈接,發(fā)現(xiàn)里面的機(jī)器非常新,而且價錢比二手的還低30%。她心想:反正只是注冊一下會員,不妨去看看。雖然在填寫資料時涉及銀行賬號之類的信息,但她還是沒有懷疑。
一場噩夢就這樣開始了。幾天后,當(dāng)Yama再次用這個境外銀行賬號買東西時,發(fā)現(xiàn)卡里只剩下幾美元!她再仔細(xì)翻看Thomas的信,忽然發(fā)現(xiàn),這人根本沒有和自己有過任何交易,完全就是騙子發(fā)來的垃圾郵件。她意識到自己被騙了。
見招拆招:請刪除垃圾郵件不請自到的商業(yè)郵件或垃圾郵件,是網(wǎng)絡(luò)詐騙中很常見的手段。過去,回復(fù)垃圾郵件最多就是招來更多郵件,而現(xiàn)在,一不小心就會讓騙子獲得可乘之機(jī),在電腦上秘密安裝跟蹤軟件,或者布局讓人主動交出資料。
“釣魚”招數(shù)二真假網(wǎng)上銀行
現(xiàn)在通過網(wǎng)上銀行轉(zhuǎn)賬消費(fèi)已經(jīng)不是新鮮事了,王麗見同事每月只要點(diǎn)點(diǎn)鼠標(biāo),就能輕松地用網(wǎng)上銀行業(yè)務(wù)付手機(jī)費(fèi),也想申請一個網(wǎng)上銀行。
一天,王麗收到一封自稱為“工商銀行”的郵件,說可以免費(fèi)開通網(wǎng)上銀行。她點(diǎn)開郵件中的網(wǎng)頁鏈接,看到申請網(wǎng)上銀行業(yè)務(wù)的界面出奇簡單,心里忽然生出些疑問:好像聽同事說申請網(wǎng)上銀行業(yè)務(wù)手續(xù)挺麻煩的,這個怎么就像一般論壇登錄界面呢?謹(jǐn)慎的她沒有繼續(xù)。
第二天上班,她在辦公室聊起這事,網(wǎng)管GG立刻大呼:“這是典型的網(wǎng)絡(luò)詐騙哦!你遇到克隆工行啦!”
“不信?!我給你看!”網(wǎng)管拉著王麗來到電腦前——“真正的工行網(wǎng)上銀行地址是mybank.icbc.com.cn,而你這個是mybank.iclc.com.cn,把‘b’偷換成‘l’,地址很像,網(wǎng)頁內(nèi)容更像,還好你沒繼續(xù)申請,否則就中招嘍!”
沒過幾天,這個工商銀行的克隆網(wǎng)站就被曝光查封了,一起查封的,還有中國農(nóng)業(yè)銀行網(wǎng)址的克隆網(wǎng)站hnp://www.95569.cn。詐騙者利用一字之差這樣的障眼法,蒙騙粗枝大葉的網(wǎng)民。
見招拆招:撥客服電話確認(rèn)真假現(xiàn)在網(wǎng)絡(luò)欺詐者建立的克隆網(wǎng)上銀行系統(tǒng)和真正的網(wǎng)站極為相似,引誘用戶輸入賬號、密碼等信息,進(jìn)而通過真正的網(wǎng)上銀行、網(wǎng)上證券系統(tǒng)或者偽造銀行儲蓄卡、證券交易卡竊得資金。還會利用服務(wù)器上的漏洞,在站點(diǎn)中惡意插入代碼和病毒插件,竊取用戶重要信息。
既然是詐騙,當(dāng)然少不了調(diào)包計。網(wǎng)絡(luò)騙子們可以輕松仿造著名企業(yè)或知名銀行的網(wǎng)站,神不知鬼不覺地把你引入“李鬼”網(wǎng)站,獲取你所有的資料,繼而大肆行騙。
據(jù)銀行有關(guān)人員表示,目前正規(guī)的各家網(wǎng)上銀行都有自己的一套安全措施,數(shù)字證書是辨別真假網(wǎng)站的有效工具,要放心使用網(wǎng)上銀行,就別偷懶,多了解這些安全設(shè)施吧。
說到個人預(yù)防,其實和技術(shù)并沒很大關(guān)系,只要有充分的警惕意識,看到來自網(wǎng)上銀行的郵件通知,順手撥一個客服電話,確認(rèn)信息真假,就可以保證不被假銀行蒙騙。
“釣魚”招數(shù)一“發(fā)財郵件”坑你沒商量
Yama很有經(jīng)商頭腦,幾年前,她偶然看到美國一家購物網(wǎng)站上的二手?jǐn)z像器材不錯,比國內(nèi)的價格便宜很多。于是,她讓國外的姐姐開了個北美賬號,通過美國這家購物網(wǎng)買了幾臺很新的二手?jǐn)z像機(jī),然后以小時計費(fèi)租給影視公司,生意很快就做大了。
由于機(jī)器都是通過境外購物網(wǎng)站購買,Yama每天的工作就是泡在網(wǎng)上給買家寫郵件,商量各種購買細(xì)節(jié)。有一天,她忽然收到一封電子郵件,發(fā)件人自稱是紐約賣家Thomas,曾經(jīng)賣給她鏡頭。
Thomas在郵件中說:“我們曾經(jīng)有過很愉快的交易,現(xiàn)在我自己開了家網(wǎng)上攝像器材二手店,你只要過來登記會員,就能直接向我購買。也不用再交給購物網(wǎng)站交易傭金,能省很多錢哦!”
Yama點(diǎn)開郵件中的網(wǎng)頁鏈接,發(fā)現(xiàn)里面的機(jī)器非常新,而且價錢比二手的還低30%。她心想:反正只是注冊一下會員,不妨去看看。雖然在填寫資料時涉及銀行賬號之類的信息,但她還是沒有懷疑。
一場噩夢就這樣開始了。幾天后,當(dāng)Yama再次用這個境外銀行賬號買東西時,發(fā)現(xiàn)卡里只剩下幾美元!她再仔細(xì)翻看Thomas的信,忽然發(fā)現(xiàn),這人根本沒有和自己有過任何交易,完全就是騙子發(fā)來的垃圾郵件。她意識到自己被騙了。
見招拆招:請刪除垃圾郵件不請自到的商業(yè)郵件或垃圾郵件,是網(wǎng)絡(luò)詐騙中很常見的手段。過去,回復(fù)垃圾郵件最多就是招來更多郵件,而現(xiàn)在,一不小心就會讓騙子獲得可乘之機(jī),在電腦上秘密安裝跟蹤軟件,或者布局讓人主動交出資料。
“釣魚”招數(shù)二真假網(wǎng)上銀行
現(xiàn)在通過網(wǎng)上銀行轉(zhuǎn)賬消費(fèi)已經(jīng)不是新鮮事了,王麗見同事每月只要點(diǎn)點(diǎn)鼠標(biāo),就能輕松地用網(wǎng)上銀行業(yè)務(wù)付手機(jī)費(fèi),也想申請一個網(wǎng)上銀行。
一天,王麗收到一封自稱為“工商銀行”的郵件,說可以免費(fèi)開通網(wǎng)上銀行。她點(diǎn)開郵件中的網(wǎng)頁鏈接,看到申請網(wǎng)上銀行業(yè)務(wù)的界面出奇簡單,心里忽然生出些疑問:好像聽同事說申請網(wǎng)上銀行業(yè)務(wù)手續(xù)挺麻煩的,這個怎么就像一般論壇登錄界面呢?謹(jǐn)慎的她沒有繼續(xù)。
第二天上班,她在辦公室聊起這事,網(wǎng)管GG立刻大呼:“這是典型的網(wǎng)絡(luò)詐騙哦!你遇到克隆工行啦!”
“不信?!我給你看!”網(wǎng)管拉著王麗來到電腦前——“真正的工行網(wǎng)上銀行地址是mybank.icbc.com.cn,而你這個是mybank.iclc.com.cn,把‘b’偷換成‘l’,地址很像,網(wǎng)頁內(nèi)容更像,還好你沒繼續(xù)申請,否則就中招嘍!”
沒過幾天,這個工商銀行的克隆網(wǎng)站就被曝光查封了,一起查封的,還有中國農(nóng)業(yè)銀行網(wǎng)址的克隆網(wǎng)站hnp://www.95569.cn。詐騙者利用一字之差這樣的障眼法,蒙騙粗枝大葉的網(wǎng)民。
見招拆招:撥客服電話確認(rèn)真假現(xiàn)在網(wǎng)絡(luò)欺詐者建立的克隆網(wǎng)上銀行系統(tǒng)和真正的網(wǎng)站極為相似,引誘用戶輸入賬號、密碼等信息,進(jìn)而通過真正的網(wǎng)上銀行、網(wǎng)上證券系統(tǒng)或者偽造銀行儲蓄卡、證券交易卡竊得資金。還會利用服務(wù)器上的漏洞,在站點(diǎn)中惡意插入代碼和病毒插件,竊取用戶重要信息。
既然是詐騙,當(dāng)然少不了調(diào)包計。網(wǎng)絡(luò)騙子們可以輕松仿造著名企業(yè)或知名銀行的網(wǎng)站,神不知鬼不覺地把你引入“李鬼”網(wǎng)站,獲取你所有的資料,繼而大肆行騙。
據(jù)銀行有關(guān)人員表示,目前正規(guī)的各家網(wǎng)上銀行都有自己的一套安全措施,數(shù)字證書是辨別真假網(wǎng)站的有效工具,要放心使用網(wǎng)上銀行,就別偷懶,多了解這些安全設(shè)施吧。
說到個人預(yù)防,其實和技術(shù)并沒很大關(guān)系,只要有充分的警惕意識,看到來自網(wǎng)上銀行的郵件通知,順手撥一個客服電話,確認(rèn)信息真假,就可以保證不被假銀行蒙騙。
McAfee推免費(fèi)版SiteAdvisor安全上網(wǎng)工具
[ 2007-03-25 02:50:50 | 作者: sun ]
McAfee近期宣布推出完全免費(fèi)版McAfee SiteAdvisor上網(wǎng)工具。McAfee SiteAdvisor是業(yè)界第一款Web安全工具,能夠主動地提醒用戶在瀏覽、搜索和即時通信或收發(fā)電子郵件時所遇到的危險站點(diǎn),避免遭到網(wǎng)絡(luò)釣魚、間諜軟件等惡意程序的攻擊。
McAfee SiteAdvisor是由數(shù)名美國麻省理工學(xué)院(MIT)的工程師于2005年4月創(chuàng)建的。創(chuàng)建之初,他們希望Web對其家人和朋友更安全,不再需要花很多休息時間來清理家人計算機(jī)上大量的垃圾郵件、廣告軟件和間諜軟件。
另外,相對而言,傳統(tǒng)的安全公司擅長處理技術(shù)威脅(如病毒),但卻無法有效防止新的"社會工程"伎倆,如間諜軟件感染、身份信息竊取詐騙和發(fā)送大量電子郵件的站點(diǎn)。
為了解決這項難題,MIT的工程師們建立了一個自動測試程序系統(tǒng),它能持續(xù)巡視Web來瀏覽站點(diǎn)、下載文件和在注冊表單中輸入信息。這種用于IE和 Firefox瀏覽器的易用軟件會對安全結(jié)果進(jìn)行匯總,并通過直觀的紅色(危險)、黃色(可疑)和綠色(安全)評級表示出來,從而幫助Web用戶在在線搜索、瀏覽和交易時保持安全狀態(tài),保證Web 安全,并讓每位用戶都可以更安全地使用互聯(lián)網(wǎng)。
SiteAdvisor于2006年4月5日宣布由全球知名的安全廠商邁克菲收購。加入邁克菲之后,極大地提高了SiteAdvisor在全球范圍的影響力,使用邁克菲提供的領(lǐng)先安全技術(shù),從而加快為眾多用戶開發(fā)功能的速度。
目前,SiteAdvisor不僅可以阻止間諜軟件、廣告軟件、瀏覽器攻擊、垃圾郵件和其它網(wǎng)絡(luò)欺詐,而且還可以防止網(wǎng)絡(luò)釣魚攻擊,可以全面的幫助用戶避免高風(fēng)險的網(wǎng)上交易和感染惡意軟件的機(jī)會。下載地址:http://www.siteadvisor.com/download/iemedia.html?cid=22940
McAfee SiteAdvisor是由數(shù)名美國麻省理工學(xué)院(MIT)的工程師于2005年4月創(chuàng)建的。創(chuàng)建之初,他們希望Web對其家人和朋友更安全,不再需要花很多休息時間來清理家人計算機(jī)上大量的垃圾郵件、廣告軟件和間諜軟件。
另外,相對而言,傳統(tǒng)的安全公司擅長處理技術(shù)威脅(如病毒),但卻無法有效防止新的"社會工程"伎倆,如間諜軟件感染、身份信息竊取詐騙和發(fā)送大量電子郵件的站點(diǎn)。
為了解決這項難題,MIT的工程師們建立了一個自動測試程序系統(tǒng),它能持續(xù)巡視Web來瀏覽站點(diǎn)、下載文件和在注冊表單中輸入信息。這種用于IE和 Firefox瀏覽器的易用軟件會對安全結(jié)果進(jìn)行匯總,并通過直觀的紅色(危險)、黃色(可疑)和綠色(安全)評級表示出來,從而幫助Web用戶在在線搜索、瀏覽和交易時保持安全狀態(tài),保證Web 安全,并讓每位用戶都可以更安全地使用互聯(lián)網(wǎng)。
SiteAdvisor于2006年4月5日宣布由全球知名的安全廠商邁克菲收購。加入邁克菲之后,極大地提高了SiteAdvisor在全球范圍的影響力,使用邁克菲提供的領(lǐng)先安全技術(shù),從而加快為眾多用戶開發(fā)功能的速度。
目前,SiteAdvisor不僅可以阻止間諜軟件、廣告軟件、瀏覽器攻擊、垃圾郵件和其它網(wǎng)絡(luò)欺詐,而且還可以防止網(wǎng)絡(luò)釣魚攻擊,可以全面的幫助用戶避免高風(fēng)險的網(wǎng)上交易和感染惡意軟件的機(jī)會。下載地址:http://www.siteadvisor.com/download/iemedia.html?cid=22940
