下面是小编给大家带来的防止ADSL被入侵的安全问题(共含8篇),以供大家参考,我们一起来看看吧!同时,但愿您也能像本文投稿人“远方一定是成功”一样,积极向本站投稿分享好文章。
自从进入21世纪以来,ADSL网络就像离弦的箭一样飞速发展,ADSL宽带也普及到了每一个家庭,与此同时也带来了许多新问题,例如盗号。就像为什么Windows的病毒比Linux多,原因就在于用户数量庞大,其中的经济利益促使非法行为诞生。
许多网友都有过ADSL帐号被盗的经历,特别是你的宽带业务限时、限量时,无端端的就损失了不少的金钱,有时甚至在月底的时候支付了高昂的上网费用。
很多ADSL用户往往用路由的方式来共享宽带资源,对于大多数的普通用户来说,只要路由设置完毕,局域网内的机器能上网了,就认为万事OK了,其实事实远非如此。
黑客凭借简单工具就可以轻易地突破您的路由器,入侵您的局域网、盗取您的帐户密码,从而为您带来不可估量的损失。
那么应该如何保护自己的帐号不让别人轻易的盗取呢?我们就从黑客的入侵手段来制定防御策略。
通常黑客都是利用IP扫描工具扫描一个ADSL网段,从结果中获取哪个IP地址是可以连接的,之后再扫描80端口,就可以获得已经开放了80端口的计算机。再80端口信息中能得到该80端口是由什么程序开放的。黑客就可以根据经验来判断哪个是ASDL路由器,通过IE浏览器就能登录到该路由器。
这时就出现另一个问题了,登录路由器需要提供用户名和密码,黑客如何知道的。实际上这里就是非常关键的一步了,许多网友在购买路由器后直接接上网线就使用,根本不在意登录用户名和密码。这时黑客就可以完全利用路由器默认的用户名密码登录到路由器。
至此黑客就完全得到了路由器的控制权,然后进入ADSL帐号设置界面,通过查看此网页的源代码就能轻松的得到ADSL账户的用户名和密码。
所以,盗号是否成功的关键就是路由器的登录用户名和密码。用户在购买路由器后一定要修改用户名和密码,至少要修改用户名。那么就是说修改了密码就安全了?非也。黑客还能用密码破解器来暴力破解你的密码,所以在修改密码时一定要设置一个比较复杂的组合密码,比如英文加数字再加逗号、点、杠之类的特殊符号。只要不让黑客登录到你的路由器,他就没法轻松的获取你的ADSL帐号。
除此之外,黑客还能利用路由器入侵到你的计算机,只要控制了路由器,你的计算机基本就等于暴露给他了。
那么我们还要在计算机上做一些相应的安全措施,防止个人资料流入黑客的手里。
1.取消文件夹隐藏共享
在默认状态下,Windows /XP会开启所有分区的隐藏共享,从“控制面板/管理工具/计算机管理”窗口下选择“系统工具/共享文件夹/共享”,就可以看到硬盘上的每个分区名后面都加了一个“$”。但是只要键入“\计算机名或者IPC$”,系统就会询问用户名和密码,遗憾的是,大多数个人用户系统 Administrator的密码都为空,入侵者可以轻易看到C盘的内容,这就给网络安全带来了极大的隐患。
怎么来消除默认共享呢?方法很简单,打开注册表编辑器,进入“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Sevices/
Lanmanworkstation/parameters”,新建一个名为“AutoShareWKs”的双字节值 ,并将其值设为“0”,然后重新启动电脑,这样共享就取消了。
2.关闭不必要的端口
黑客在入侵时常常会扫描你的计算机端口,如果安装了端口监视程序,该监视程序则会有警告提示。如果遇到这种入侵, 可用工具软件关闭用不到的端口,其他一些不常用的端口也可关闭。
3.更换管理员帐户
道理和路由器登录用户一样,黑客想要控制你的计算机,必须得到管理员权限的帐号。通常用户使用电脑时都是用administrator登录,如果将administrator禁用,并建立一个其他名称的管理员帐号,黑客就没那么容易入侵你的电脑,因为黑客是不能通过普通手段获取管理员帐号名称的。
4.Guest帐户的入侵
Guest帐户即所谓的来宾帐户,它可以访问计算机,但受到限制。不幸的是,Guest也为黑客入侵打开了方便之门!网上有很多文章中都介绍过如何利用Guest用户得到管理员权限的方法,所以要杜绝基于Guest帐户的系统入侵。
禁用或彻底删除Guest帐户是最好的办法,但在某些必须使用到Guest帐户的情况下,就需要通过其它途径来做好防御工作了。首先要给Guest设一个强壮的密码,然后详细设置Guest帐户对物理路径的访问权限。举例来说,如果你要防止Guest用户可以访问tool文件夹,可以右击该文件夹,在弹出菜单中选择“安全”标签,从中可看到可以访问此文件夹的所有用户。删除管理员之外的所有用户即可。或者在权限中为相应的用户设定权限,比方说只能“列出文件夹目录”和“读取”等,这样就安全多了。
随着各地ADSL网络的蓬勃发展,实现永久连接、随时在线已不再是遥远的梦,但是,我们必须明白,永久连入Internet同样也意味着遭受入侵的可能性大大增加,知己知彼,方能百战不殆,让我们了解一下 入侵ADSL用户的方法和防范手段吧。
入侵ADSL用户的方法
在很多地方都是包月制的,这样的话, 就可以用更长的时间进行端口以及漏洞的扫描,甚至采用在线暴力的方法 ,或者使用嗅探工具守株待兔般等待对方自动把用户名和密码送上门。
要完成一次成功的网络攻击,一般有以下几步。第一步就是要收集目标的各种信息,为了对目标进行彻底分析,必须尽可能收集攻击目标的大量有效信息,以便最后分析得到目标的漏洞列表。分析结果包括:操作系统类型,操作系统的版本,打开的服务,打开服务的版本,网络拓扑结构,网络设备,防火墙。
扫描使用的主要是TCP/IP堆栈指纹的方法。实现的手段主要是三种:
1.TCPISN采样:寻找初始化序列规定长度与特定的OS是否匹配。
2.FIN探测:发送一个FIN包C或者是任何没有ACK或SYN标记的包到目标的一个开放的端口,然后等待回应。许多系统会返回一个RESETC复位标记。
3.利用BOGUS标记:通过发送一个SYN包,它含有没有定义的TCP标记的TCP头,利用系统对标记的不同反应,可以区分一些操作系统。
4.利用TCP的初始化窗口:只是简单地检查返回包里包含的窗口长度,根据大小来唯一确认各个操作系统。
扫描技术虽然很多,原理却很简单。这里简单介绍一下扫描工具NmapCNetworkmapper,这号称是目前最好的扫描工具,功能强大,用途多样,支持多种平台,灵活机动,方便易用,携带性强,留迹极少;不但能扫描出TCP/UDP端口,还能用于扫描/侦测大型网络。
注意这里使用了一些真实的域名,这样可以让扫描行为看起来更具体。你可以用自己网络里的名称代替其中的addresses/names。你最好在取得允许后再进行扫描,否则后果可要你自己承担哦。
nmap-vtarget.example.com
这个命令对target.example.com上所有的保留TCP端口做了一次扫描,-v表示用详细模式,
nmap-sS-Otarget.example.com/24
这个命令将开始一次SYN的半开扫描,针对的目标是target.example.com所在的C类子网,它还试图确定在目标上运行的是什么操作系统。这个命令需要管理员权限,因为用到了半开扫描以及系统侦测。
发动攻击的第二步就是与对方建立连接,查找登录信息。现在假设通过扫描发现对方的机器建立有IPC$。IPC$是共享“命名管道”的资源,它对于程序间的通讯很重要,在远程管理计算机和查看计算机的共享资源时都会用到。利用IPC$, 可以与对方建立一个空连接(无需用户名和密码),而利用这个空连接,就可以获得对方的用户列表。
第三步,使用合适的工具软件登录。打开命令行窗口,键入命令:netuse222.222.222.222ipc$“administrator”/user:123456
这里我们假设administrator的密码是123456。如果你不知道管理员密码,还需要找其他密码工具帮忙。登录进去之后,所有的东西就都在 的控制之下了。
防范方法
因为ADSL用户一般在线时间比较长,所以安全防护意识一定要加强。每天上网十几个小时,甚至通宵开机的人不在少数吧,而且还有人把自己的机器做成Web或者ftp服务器供其他人访问。日常的防范工作一般可分为下面的几个步骤来作。
步骤一,一定要把Guest帐号禁用。有很多入侵都是通过这个帐号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具,那还是禁止的好。打开控制面板,双击“用户和密码”,选择“高级”选项卡。单击“高级”按钮,弹出本地用户和组窗口。在Guest帐号上面点击右键,选择属性,在“常规”页中选中“帐户已停用”。
步骤二,停止共享。Windows2000安装好之后,系统会创建一些隐藏的共享。点击开始→运行→cmd,然后在命令行方式下键入命令“netshare”就可以查看它们。网上有很多关于IPC入侵的文章,都利用了默认共享连接。要禁止这些共享,打开管理工具→计算机管理→共享文件夹→共享,在相应的共享文件夹上按右键,点“停止共享”就行了。
一、扫描,发现开着ftp,。。。。没常见漏洞。。。。。决定arp欺骗,进行嗅探,
二、找嗅探主机: C:\ping www.hacker.com.cn Pinging www.hacker.com.cn [211.157.102.239] with 32 bytes of data: 开始扫描 211.157.102.1-211.157.102.255 80+1433 端口,找
要盗取他人的ADSL账号密码,或者恶意破坏别人的设备配置参数,就必须获得攻击对象的ADSLModem登录口令,这样才能够登录ADSLModem的Web管理页面,
ADSL的不安全因素:
通过物理地址能够轻松计算出本地区ADSL上网IP地址段。
启用ADSL路由功能默认打开Web和FTP服务。
ADSL默认简单用户名和密码。
.确定攻击范围
电信为每个地区的上网用户都分配了几个IP地址段,每次在上网时都会获得不同的IP地址,这个IP地址位于被分配的IP地址段中,整个C段IP地址的用户都是处于同一地区的。大家可以根据自己地区的情况,适当地调节IP地址中的第二位数字,找到同一地区的上网用户IP。
.寻找漏洞
要寻找有登录漏洞的ADSLModem,需要用一些专业的扫描工具如X-Scan等,扫描指定的这个IP地址范围内满足如下条件的IP:
a.同时开放了Web和FTP服务的主机;
b.该IP主机存在着FTP弱口令漏洞。
扫描的主机要满足这两个条件的原因是:我们指定的IP地址段都是宽带拨号上网的个人用户,对于个人用户来说,在电脑上同时开放Web和FTP服务的很少,很少有人利用动态的IP地址来建立网站或FTP站点的。但是我们在扫描时,可以发现存在着大量满足这两个条件的主机,这主要是由于启用ADSLModem的路由功能后,默认会自动打开ADSLModem的Web和FTP服务功能,以方便用户对ADSLModem进行设置。
用X-Scan扫描器扫描同时满足上面两个条件的IP地址,扫描结束后自动弹出扫描结果页面,从扫描结果中可以迅速获得大量存在登录口令漏洞的ADSLModem的IP地址(图),
可以看到用户名与弱口令均为“root”,在后面登录该IP地址时,可以看到扫到的全是“GlobeanVirata”型号的ADSLModem。
图
进入ADSLModem的管理页面后,可以找到设置拨号连接的配置页面。在管理页面中点击“主页”标签,接着点击其中的“快速设置”项,就可以看到oE拨号连接设置了。
在“”下就可以看到ADSL宽带账号(用户名)和以“*”号表示的密码了(图),可以看到有7位密码。但由于是“*”号显示,我们怎么能够知道是哪7位密码呢?
图
巧取法:查看网页源代码
在浏览器的菜单中点击“查看→源文件”,会打开一个记事本文件,其中包含了我们正在远程查看的ADSLModem配置页面的源代码。
接下来,在记事本的菜单中点击“编辑→查找”,输入关键词“密码”进行查找。
在源文件中可以找到如下语句“密码:”,其中“value=“797””中的数值“797”就是用户的ADSL密码。
豪夺法:数据嗅探
刚才所介绍的方法对于大部分的ADSLModem来说是有效的,但是面对那些不能查看网页源代码的ADSLModem,我们该怎么办?
此时应该采用比较强硬的办法夺取账号、密码。我们可以通过嗅探法,从ADSLModem与本机传输的数据中揪出密码。
嗅探数据的工具很多,可以使用Commview、ifferpro等嗅探工具,但由于我们只要嗅探通过网页发送的数据,因此可以使用一些比较简单的工具,如“WSockExpert.exe”等。
我们可在WSockExpert窗口中间的嗅探窗口中找到第二行数据,点击这一行数据后会在下方的窗口中显示详细的数据信息。可以找到以下语句“MacWanUsrName=085DSL797
在中国,每天有上百个站被 入侵,其中不乏大中型企业,更可恶的是被攻击者入侵拿了webshaell之后把主页给改了,当然据我了解,初学 者为了炫耀自己拿了别人得网站,所以把改主页当成自己需要的炫耀空间了,有 精神的 ,在发现漏洞会主动联系该漏洞网站的站长,告诉其漏洞所在处,避免被一些没良心的 入侵挂马,损了企业形象不说,还让浏览该网站的网民沦为肉鸡。我朋友cOIツ,发现了凤凰网iis6.0解析漏洞,前前后后和管理员联系了10多个电话,才把漏洞修复。该漏洞可以拿到webshell,如果被 挂马,后果不堪设想。
不多废话了,简单介绍下如何防止中小 的入侵,避免企业形象受损。以下根据我个人经验简介
一:数据库地址,后台管理地址, 大多数网站都是从网上下载的源码,所以必须得把这俩个默认的地址改掉,不然你知我知,从何安全?
二:密码安全,后台密码尽量使用数字加大小写字母,切勿使用弱口令及网址名称,弱口令比如admin,admin888,123456。你的网站网址如果是sesail.com,密码切勿使用带有sesail的密码,安全防范中这是需要注意的,
要经常做到不定期更改密码。
三:注入漏洞,这个漏洞已经存在好几年了,cookie注入.数据库注入等,但是很多网站还是存在这个问题,如果不懂注入,站长可以从网上下载个阿D注入工具或者明小子(下载地址:www.heibai.net/download/Soft/Soft_2610.htm),扫下你的网站就知道了,前提是网站是动态asp或php的哦。
四:文件上传限制,许多网站都提供文件图片上传,但是文件上传要做好数据包限制,限制只能上传jpg gif doc等.或许你会问,直接限制asp文件就行了,其实不然,如果攻击者抓包,改包.伪造包,一样可以突破限制。
五:社工学,攻击者手段可能很多,但是个人注意加强安全意识很重要,身为站长责任自然是保证网站的安全,所以攻击者可能伪装成客户或合作伙伴,通过QQ.电子邮件给你发合作文档,应谨慎打开,因为发过来的可能是文档,可能是文档夹杂着木马。如果你打开了,这时你的QQ密码已经沦陷。或许你的QQ密码就是网站后台登陆密码,又或许你的QQ空间暴露了你的朋友,通过以上步骤,欺骗你朋友中木马,拿到QQ密码后,伪装你的朋友给你发带木马的图片。
攻击手段无处不不在,但是我们要做到基础防护,在有基础的前提下继续延伸,只有自身强大,
才能避免外敌
当然,后门程序如果不运行也就无法发挥作用,不过很多 会诱骗他人使用后门程序,如果是朋友,去他机器偷偷地装上就行了。一般情况下, 会和不熟悉的人搞好关系,然后就可以问他:“我有一个不错的程序要不要看看?”或者“给你一张我的照片怎么样?”,当那个可怜的人说“行呀!给我传过来吧!”他们的第一步就达成了:)。第二步就是伪装术了。简单一些的话是直接把后门程序改名,改成一些常见的名称如ICQNuke、Readme等或者更改后缀,变成TXT或者图片文件格式,
这样当他双击这些伪装的程序后就达到了运行的目的了。复杂一些的方法是利用Winzip的SelfExtrator软件把后门程序和一些其他的东西一起制作成一个自解压的压缩包,然后利用设定解压后自动运行Setup程序的功能来运行指定的“后门”程序。这样当他双击自解压程序后,还没等回过味来,程序就已经运行完了。
对于高手来说,他们经常会编写一些程序,把“后门”藏在其中。最后,当 知道了别人的IP后,就可以利用客户服务程序去接管目标机器了。
1、禁止IPC空连接
Cracker可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了,打开注册表,找到Local_Machine\System\
CurrentControlSet\Control\
LSA-RestrictAnonymous 把这个值改成”1”即可。
2、禁止At命令
Cracker往往给你个木马然后让它运行,这时他就需要at命令了。打开管理工具-服务,禁用task scheduler服务即可。
3、关闭超级终端服务
如果你开了的话,这个漏洞都烂了,我不说了。
4、关闭SSDP Discover Service服务
这个服务主要用于启动家庭网络设备上的UPnP设备,服务同时会启动5000端口。可能造成DDOS攻击,让CPU使用达到100%,从而使计算机崩溃。照理说没人会对个人机器费力去做DDOS,但这个使用过程中也非常的占用带宽,它会不断的向外界发送数据包,影响网络传输速率,所以还是关了好。
5、关闭Remote Regisry服务
看看就知道了,允许远程修改注册表?除非你真的脑子进水了。
6、禁用TCP/IP上的NetBIOS
网上邻居-属性-本地连接-属性-Internet协议(TCP/IP)属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样Cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。
7、关闭DCOM服务
这就是135端口了,除了被用做查询服务外,它还可能引起直接的攻击,关闭方法是:在运行里输入dcomcnfg,在弹出的组件服务窗口里选择默认属性标签,取消“在此计算机上启用分布式COM”即可。
8、把共享文件的权限从“everyone”组改成“授权用户”
“everyone” 在win中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成“everyone”组。包括打印共享,默认的属性就是“everyone”组的,一定不要忘了改。
9、取消其他不必要的服务
请根据自己需要自行决定,下面给出HTTP/FTP服务器需要最少的服务作为参考:
l Event Log
l License Logging Service
l Windows NTLM Security Support Provider
l Remote Procedure Call (RPC) Service
l Windows NT Server or Windows NT Workstation
l IIS Admin Service
l MSDTC
l World Wide Web Publishing Service
l Protected Storage
10、更改TTL值
Cracker可以根据ping回的TTL值来大致判断你的操作系统,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
.
实际上你可以自己更改的:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\
Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦,
11、账户安全
首先禁止一切账户,除了你自己,呵呵。然后把Administrator改名。我呢就顺手又建了个Administrator账户,不过是什么权限都没有的那种,然后打开记事本,一阵乱敲,复制,粘贴到“密码”里去,呵呵,来破密码吧!破完了才发现是个低级账户,看你崩溃不?
12、取消显示最后登录用户
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Current Version\
Winlogon:DontDisplayLastUserName把值改为1。
13、删除默认共享
有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是2K为管理而设置的默认共享,必须通过修改注册表的方式取消它:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\
Parameters:AutoShareServer类型是REG_DWORD把值改为0即可。
14、禁用LanManager 身份验证
Windows NT Servers Service Pack 4 和后续的版本都支持三种不同的身份验证方法: LanManager (LM) 身份验证;Windows NT(也叫NTLM)身份验证;Windows NT Version 2.0 (也叫NTLM2) 身份验证;
默认的情况下,当一个客户尝试连接一台同时支持LM 和 NTLM 身份验证方法的服务器时,LM 身份验证会优先被使用。所以建议禁止LM 身份验证方法。
1. 打开注册表编辑器;
2. 定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa;
3. 选择菜单“编辑”,“添加数值”;
4. 数值名称中输入:LMCompatibilityLevel ,数值类型为:DWORD,单击 确定;
5. 双击新建的数据,并根据具体情况设置以下值:
0 - 发送 LM 和 NTLM响应;
1 - 发送 LM 和 NTLM响应;
2 - 仅发送 NTLM响应;
3 - 仅发送 NTLMv2响应;(Windows 2000有效)
4 - 仅发送 NTLMv2响应,拒绝 LM;(Windows 2000有效)
5 - 仅发送 NTLMv2响应,拒绝 LM 和 NTLM;(Windows 2000有效)
6. 关闭注册表编辑器;
7. 重新启动机器.
如此猖獗,应该采取什么样的有效手段来防止 的入侵呢?俗话说:亡羊补牢,为时未晚,
防止 的入侵的防范措施
,
人类社会总是在邪恶势力的不断斗争中向前发展的,魔高一尺,道高一丈,总有办法有效地阻止 的入侵,保护好自己的计算机系统的。 企业要建立自己的计算机安全系统
★ ADSL
★ linux中centos被入侵后的检查linux操作系统
★ 远古入侵观后感
★ 入侵的技术
