《计算机安全问题》由会员分享,可在线阅读,更多相关《计算机安全问题(5页珍藏版)》请在金锄头文库上搜索。
1、IP地址盗用技术简介及防范措施一、IP地址盗用方法分析 IP地址的盗用方法多种多样,其常用方法主要有以下几种: 1、静态修改IP地址 对于任何一个TCP/IP实现来 说,IP地址都是其用户配置的必选项。如果用户在配置TCP/IP或修改TCP/IP配置时,使用的不是授权机构分配的IP地址,就形成了IP地址盗用。由于IP地址是一个逻辑地址,是一个需要用户设置的值,因此无法限制用户对于IP地址的静态修改,除非使用DHCP服务器分配IP地址,但又会带来其它管理问题。 2、成对修改IP-MAC地址 对于静态修改IP地址的问题,现在很多单位都采用静态路由技术加以解决。针对静态路由技术,IP盗用技术又有了新
2、的发展,即成对修改IP-MAC地址。MAC地址是设备的硬件地址,对于我们常用的以太网来说,即俗称的计算机网卡地址。每一个网卡的MAC地址在所有以太网设备中必须是唯一的,它由IEEE分配,是固化在网卡上的,一般不能随意改动。但是,现在的一些兼容网卡,其MAC地址可以使用网卡配置程序进行修改。如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址,那静态路由技术就无能为力了。 另外,对于那些MAC地址不能直接修改的网卡来说,用户还可以采用软件的办法来修改MAC地址,即通过修改底层网络软件达到欺骗上层网络软件的目的。 3、动态修改IP地址 对于一些黑客高手来说,直接编写程
3、序在网络上收发数据包,绕过上层网络软件,动态修改自己的IP地址(或IP-MAC地址对),达到IP欺骗并不是一件很困难的事。二、防范技术 针对IP盗用问题,网络专家采用了各种防范技术,现在比较通常的防范技术主要是根据TCP/IP的层次结构,在不同的层次采用不同的方法来防止IP地址的盗用。 1、交换机控制 解决IP地址的最彻底的方法是使用交换机进行控制,即在TCP/IP第二层进行控制:使用交换机提供的端口的单地址工作模式,即交换机的每一个端口只允许一台主机通过该端口访问网络,任何其它地址的主机的访问被拒绝。但此方案的最大缺点在于它需要网络上全部采用交换机提供用户接入,这在交换机相对昂贵的今天不是一
4、个能够普遍采用的解决方案。 2、路由器隔离 采用路由器隔离的办法其主要依据是MAC地址作为以太网卡地址全球唯一不能改变。其实现方法为通过SNMP协议定期扫描校园网各路由器的ARP表,获得当前IP和MAC的对照关系,和事先合法的IP和MAC地址比较,如不一致,则为非法访问。对于非法访问,有几种办法可以制止,如: a.使用正确的IP与MAC地址映射覆盖非法的IP-MAC表项; b.向非法访问的主机发送ICMP不可达的欺骗包,干扰其数据发送; c.修改路由器的存取控制列表,禁止非法访问。 路由器隔离的另外一种实现方法是使用静态ARP表,即路由器中IP与MAC地址的映射不通过ARP来获得,而采用静态设
5、置。这样,当非法访问的IP地址和MAC地址不一致时,路由器根据正确的静态设置转发的帧就不会到达非法主机。 路由器隔离技术能够较好地解决IP地址的盗用问题,但是如果非法用户针对其理论依据进行破坏,成对修改IP-MAC地址,对这样的IP地址盗用它就无能为力了。 3、防火墙与代理服务器 使用防火墙与代理服务器相结合,也能较好地解决IP地址盗用问题:防火墙用来隔离内部网络和外部网络,用户访问外部网络通过代理服务器进行。使用这样的办法是将IP防盗放到应用层来解决,变IP管理为用户身份和口令的管理,因为用户对于网络的使用归根结底是要使用网络应用。这样实现的好处是,盗用IP地址只能在子网内使用,失去盗用的意
6、义;合法用户可以选择任意一台IP主机使用,通过代理服务器访问外部网络资源,而无权用户即使盗用IP,也没有身份和密码,不能使用外部网络。 如何防止ASP木马在服务器上运行如果您的服务器正在受ASP木马的困扰,那么希望这篇文章能帮您解决您所面临的问题。目前比较流行的ASP木马主要通过三种技术来进行对服务器的相关操作。一、使用FileSystemObject组件FileSystemObject可以对文件进行常规操作可以通过修改注册表,将此组件改名,来防止此类木马的危害。HKEY_CLASSES_ROOTScripting.FileSystemObject 改名为其它的名字,如:改为FileSyste
7、mObject_ChangeName自己以后调用的时候使用这个就可以正常调用此组件了也要将clsid值也改一下HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID项目的值也可以将其删除,来防止此类木马的危害。注销此组件命令:RegSrv32 /u C:WINNTSYSTEMscrrun.dll 禁止Guest用户使用scrrun.dll来防止调用此组件。使用命令:cacls C:WINNTsystem32scrrun.dll /e /d guests二、使用WScript.Shell组件WScript.Shell可以调用系统内核运行DOS基本命令可以
8、通过修改注册表,将此组件改名,来防止此类木马的危害。HKEY_CLASSES_ROOTWScript.Shell及HKEY_CLASSES_ROOTWScript.Shell.1 改名为其它的名字,如:改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName自己以后调用的时候使用这个就可以正常调用此组件了也要将clsid值也改一下HKEY_CLASSES_ROOTWScript.ShellCLSID项目的值 HKEY_CLASSES_ROOTWScript.Shell.1CLSID项目的值也可以将其删除,来防止此类木马的危害。三、使用Shell
9、.Application组件Shell.Application可以调用系统内核运行DOS基本命令可以通过修改注册表,将此组件改名,来防止此类木马的危害。HKEY_CLASSES_ROOTShell.Application 及HKEY_CLASSES_ROOTShell.Application.1 改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName自己以后调用的时候使用这个就可以正常调用此组件了也要将clsid值也改一下HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的
10、值 HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值也可以将其删除,来防止此类木马的危害。禁止Guest用户使用shell32.dll来防止调用此组件。使用命令:cacls C:WINNTsystem32shell32.dll /e /d guests 注:操作均需要重新启动WEB服务后才会生效。四、调用Cmd.exe禁用Guests组用户调用cmd.exe cacls C:WINNTsystem32Cmd.exe /e /d guests通过以上四步的设置基本可以防范目前比较流行的几种木马,但最有效的办法还是通过综合安全设置,将服务器、程序安全都达到一定
11、标准,才可能将安全等级设置较高,防范更多非法入侵。普遍存在的在线安全四个误区 Internet上,很多机器都因为很糟糕的在线安全设置,无意间在机器和系统中留下了“后门”,也就相当于给入侵者打开了大门。如果入侵者们在你的设置中发现了安全方面的漏洞,就会对你发起攻击。其结果可能影响不太,如降低你的速度或者让你的机器崩溃;也可能很严重,例如打开你的机密文件、偷窃口令和信用卡密码。但是很多人并不以为然,因为他们在网络安全方面还存在四个误区。 误区一:我没有连接其他网络,所以很安全。可以上网的独立机器,与一台商业网络中心的机器相比,所使用的网络协议仍然有一些甚至全部相同,而一台商业网络中心的机器还可能安
12、装了公共防火墙或者有专门负责安全的人员。与此形成强烈对比的是,一些用于家庭、办公室、小公司的个人用机却是门户大开,完全没有防范入侵者的能力。这种威胁是很现实的:如果你使用了Cable Modem或是DSL连接上网,而且在网上的时间很长,一天里也许就会有2到4个卑鄙的入侵者企图攻击你。 误区二:我用拨号上网,所以是安全的。每次当你开始拨号上网,你使用的IP地址都会不同,也就是动态IP,所以相比静态IP的用户而言,入侵者的确很难找到你,但是有一些入侵软件已经发展到可以在1个小时以内逐个扫描上万个IP地址的能力,所以只要入侵者使用了这些工具,即使是拨号上网的用户也可能受到攻击。 误区三:我使用了防病
13、毒软件,所以很安全。一个好的病毒软件确实是在线安全不可或缺的部分,但是也是很小的一个部分。它能够通过检测病毒和类似的问题保护你,但是它们对防范入侵者、对带有恶意的合法程序却无能为力。 误区四:我使用了防火墙,所以很安全。防火墙是很有用处,但是如果你的机器总是采用一些不够安全的方式接收和发送数据,而你又仅仅依靠一些附加的程序提供安全,这就等于把所有的蛋放在一个篮子里,一旦防火墙软件出现Bug或者有漏洞,那你就很危险了。另外,防火墙对于病毒一类的软件完全没有防范能力,尤其是那些带有恶意的,悄悄地向你的机器发送或提取数据的程序。最后,一些防火墙软件还可能帮倒忙,因为它们的厂商在广告中把产品的特点已经
14、广泛介绍出去,可能招致一些专门针对它们弱点的攻击。用Windows工具揪出隐藏的“QQ尾巴”“QQ尾巴”是利用Windows系统下Internet Explorer的iFrame系统漏洞自动运行的一种恶意木马程序。该木马病毒会偷偷潜藏在用户的系统中,发作时会寻找QQ窗口并给在线QQ好友发送诸如“有我的照片”、“这是一个很不错的网站”或“快去这看看,里面有蛮好的东西”之类的假消息,诱惑用户点击一个网站,如果有人信以为真点击该链接的话,就会被病毒感染,然后成为毒源,继续传播。用户除了可以下载“QQ尾巴专杀工具”等对其进行查杀外,还可以使用Windows查找工具将它从用户系统中“甩”出去。用户从开始
15、菜单中选择“查找文件或文件夹”并打开系统“查找”对话框:步骤一:切换到“名称与位置”选项卡,在“名称”和“包含文字”框中输入QQ那段“虚假消息”的文字,如一段网址或“一个很不错的网站”等,将“搜索”范围指定到C:WINDOWS并选中“包含子文件夹”选项。步骤二:切换到“日期”选项卡,选中“查找所有文件”选项并在其右侧下拉菜单列表中选择“创建时间”,在“介于年月日和年月日”选项中选择发现QQ发生异常的上一个可以正常聊天的日期,当然也可以是浏览过QQ信息中虚假网址的当天。步骤三:进行完上述所有设置后,单击“查找”,Windows查找工具会分别在C:WINDOWS文件夹中找到一个名为Sendmess的应用程序和C:WINDOWSTEMP文件夹中找到一个名为Younv的应用程序,用户在安全模式下将它们进行清除一下即可完成“QQ尾巴”木马病毒的查杀。用命令检查电脑是否被安装木马一些基本的命令往往可以在保护网络安全上起到很大的作用,下面几条命令的作用就非常突出。检测网络连接如果你怀疑自己的计
