這是一個病毒樣本eraseme_88446.exe（樣本來自“劍盟”）釋放到系統中的。瑞星今天的病毒庫不報。

C:\windows\alg.exe偷偷潛入系統后，下次開機時會遇到1－2次藍屏重啟。

特點：
1、C:\windows\alg.exe注冊為系統服務，實現啟動加載。
2、C:\windows\alg.exe控制winlogon.exe進程。因此，在WINDOWS下無法終止C:\windows\alg.exe進程。
3、在IceSword的“端口”列表中可見C:\windows\alg.exe打開5－6個端口訪問網絡。
4、C:\windows\alg.exe修改系統文件ftp.exe和tftp.exe。與原系統文件比較，病毒改動后的ftp.exe和tftp.exe文件大小不變，但MD5值均變為09d81f8dca0cbd5b110e53e6460b0d3b（見附圖）。系統原有的正常文件ftp.exe和tftp.exe被改名為backup.ftp和backup.tftp，存放到C:\WINDOWS\system32\Microsoft\目錄下。

手工殺毒流程：
1、清理注冊表：
（1）展開：HKLM\System\CurrentControlSet\Services
刪除：Application Layer Gateway Services（指向 C:\windows\alg.exe）

（2）展開：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
將SFCDisable的建值改為dword:00000000

（3）展開：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
刪除："SFCScan"=dword:00000000

（4）展開：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
刪除："v7b5x2s1i4h3"="12/15/2006, 01:26 PM"

2、重啟系統。顯示隱藏文件。
3、刪除C:\windows\alg.exe。
4、在C:\WINDOWS\system32\Microsoft\目錄下找到backup.ftp，改名為ftp.exe；找到backup.tftp，改名為tftp.exe。然后，將ftp.exe和tftp.exe拖拽到system32文件夾，覆蓋被病毒改寫過的ftp.exe和tftp.exe。

1、上網沖浪前就要做好安全工作：

a、大部分會員使用WINDOWS視窗系統，都盡可能的打上最新系統和IE補丁（升級站點：http://www.windowsupdate.com)；

b、裝一款適合自己的殺毒軟件和防火墻（WINDOWS XP 系統的可以使用系統自帶防火墻），經常升級至最新病毒庫，并打開所有監控；

2、網上沖浪的安全事項：

a、下載的文件先掃描查毒，確認安全后則可打開執行；

b、在瀏覽頁面時出現病毒警報，即時殺毒后也最好馬上全盤查一查。

c、可疑文件提交在線查毒推薦：

VirusTotal http://www.virustotal.com/flash/index_en.html

Jotti Online MalwareScan http://virusscan.jotti.org/

d、確認中毒后，先根據所報病毒名，到搜索站點查詢相關病毒處理辦法，自己學著處理。

e、搜索站點推薦：

google http://www.google.com

baidu http://www.baidu.com

f、建議根據網上相關處理辦法，關閉瀏覽器，終止所有可終止的進程，全盤殺毒，爭取時間在系統重啟動前刪除隱患。

3、斷網后要不定時間的全盤查一查系統：

a、在線掃描本地系統的中文在線網站推薦：

國內外免費在線殺毒 http://hi.baidu.com/teyqiu/blog/item/6ac57d1e077734f41bd57610.html

4、對于自己不能處理的病毒問題，則可以到網上虛心尋求會員朋友幫助解決，記住那也是學習討論交流過程，得益更多。

注意提供給會員朋友的相關信息如下：

a、中毒前后的情況說明（包括瀏覽或下載執行過什么程序，出現什么癥狀，殺毒軟件已報的病毒信息，根據哪個站點已做過哪些處理）

b、提供相關掃描日志，所用掃描日志修復工具推薦：
工具：SRENG http://bbs.360safe.com/viewthread.php?tid=55006&extra=page%3D1

c、常用小型工具推薦：——部分引用了卡卡社區的說明:-)

1>冰刃 Icesword v1.12（新手慎用）

Icesword v1.12這是一斬斷黑手的利刃，它適用于Windows 2000/XP/2003 操作系統, 其內部功能是十分強大，用于查探系統中的幕后黑手-木馬后門，并作出處理。

注意事項：此程序運行時不要激活內核調試器(如softice)，否則系統可能即刻崩潰。另外使用前請保存好您的數據，以防萬一未知的Bug帶來損失。

IceSword目前只為使用32位的x86兼容CPU的系統設計，另外運行IceSword需要管理員權限。

下載地址：http://aqfrs.ys168.com
作者主頁：http://www.blogcn.com/user17/pjf/index.html
說明文本在程序中。

2>killbox v2.0.0.175

國外反病毒論壇很受歡迎的工具軟件，實質是一個刪除任意文件的利器

它不管這個文件是EXE還是DLL等其它文件，也不管這個文件是正在運行中，還是被系統調用了，KillBox 都可以簡單幾步就將文件刪除。

下載地址：http://wx.onlinedown.net/soft/37257.htm

3> Procexp和Autoruns

高級進程管理器和系統啟動項查看工具，下載頁面都有說明及貼圖

下載地址：http://www.sysinternals.com/Files/ProcessExplorerNt.zip

http://www.sysinternals.com/Files/Autoruns.zip

<4>WinsockXPFix

一個小巧的winsock和tcp/ip修復工具。

hijackthis在修復010項時有可能會破壞winsock2的SPI，引起WinXP的Winsock故障，導致所有網絡應用中斷?？梢酝ㄟ^這個工具來修復。

下載地址：http://www.wedoc.com/software/WinsockXPFix.exe
http://www.snapfiles.com/get/winsockxpfix.html

Winsock repair utility designed for Windows 98, 98SE, and ME.

Winsock repair utility designed for Windows XP.

Winsock repair utility for Windows 95/98/98SE/ME.

----入侵檢測和漏洞檢測系統是網絡安全系統的一個重要組成部分，它不但可以實現復雜煩瑣的信息系統安全管理，而且還可以從目標信息系統和網絡資源中采集信息，分析來自網絡外部和內部的入侵信號和網絡系統中的漏洞,有時還能實時地對攻擊作出反應。

----入侵檢測具有監視分析用戶和系統的行為、審計系統配置和漏洞、評估敏感系統和數據的完整性、識別攻擊行為、對異常行為進行統計、自動地收集和系統相關的補丁、進行審計跟蹤識別違反安全法規的行為、使用誘騙服務器記錄黑客行為等功能，使系統管理員可以較有效地監視、審計、評估自己的系統。

----漏洞檢測就是對重要計算機信息系統進行檢查，發現其中可被黑客利用的漏洞。這種技術通常采用兩種策略，即被動式策略和主動式策略。被動式策略是基于主機的檢測，對系統中不合適的設置、脆弱的口令以及其他同安全規則相抵觸的對象進行檢查；而主動式策略是基于網絡的檢測，通過執行一些腳本文件對系統進行攻擊，并記錄它的反應，從而發現其中的漏洞。漏洞檢測的結果實際上就是系統安全性能的一個評估，它指出了哪些攻擊是可能的，因此成為安全方案的一個重要組成部分。

----一個健全的網絡信息系統安全方案應該包括安全效用檢驗、安全審計、安全技術、安全教育與培訓、安全機構與程序和安全規則等內容，是一個復雜的系統工程。安全技術是其中一個重要的環節，入侵檢測和漏洞檢測系統是安全技術的核心。目前經常使用的安全技術有防火墻、防病毒軟件、用戶認證、加密、入侵檢測和漏洞檢測系統等。防火墻作為防護措施中的一層能夠起到一定的作用，但事實證明它是不充分的，防火墻充當了外部網和內部網的一個屏障，但并不是所有的外部訪問都是通過防火墻的。比如，一個未經認證的調制解調器把內部網連到了外部網，就可以繞開防火墻，對系統的安全構成威脅。此外，安全威脅也可能來自內部，而防火墻本身也極容易被外部黑客攻破。入侵檢測和漏洞檢測系統是防火墻的重要補充，并能有效地結合其他網絡安全產品的性能，對網絡安全進行全方位的保護。

入侵檢測
　

----1．常用的入侵檢測技術

----入侵檢測技術可分為五種：

----(1)基于應用的監控技術主要特征是使用監控傳感器在應用層收集信息。由于這種技術可以更準確地監控用戶某一應用的行為，所以這種技術在日益流行的電子商務中也越來越受到注意，其缺點在于有可能降低技術本身的安全。

----(2)基于主機的監控技術主要特征是使用主機傳感器監控本系統的信息。這種技術可以用于分布式、加密、交換的環境中監控，把特定的問題同特定的用戶聯系起來；其缺點在于主機傳感器要和特定的平臺相關聯，對網絡行為不易領會，同時加大了系統的負擔。

----(3)基于目標的監控技術主要特征是針對專有系統屬性、文件屬性、敏感數據、攻擊進程結果進行監控。這種技術不依據歷史數據，系統開銷小，可以準確地確定受攻擊的部位，受到攻擊的系統容易恢復；其缺點在于實時性較差，對目標的檢驗數依賴較大。

----(4)基于網絡的監控技術主要特征是網絡監控傳感器監控包監聽器收集的信息。該技術不需要任何特殊的審計和登錄機制，只要配置網絡接口就可以了，不會影響其他數據源；其缺點在于如果數據流進行了加密，就不能審查其內容，對主機上執行的命令也感覺不到。此外，該技術對高速網絡不是特別有效。

----(5)綜合以上4種方法進行監控其特點是可提高偵測性能，但會產生非常復雜的網絡安全方案，嚴重影響網絡的效率，而且目前還沒有一個統一的業界標準。

----2.入侵檢測技術的選用

----在使用入侵檢測技術時，應該注意具有以下技術特點的應用要根據具體情況進行選擇：

----(1)信息收集分析時間：可分為固定時間間隔和實時收集分析兩種。采用固定時間間隔方法，通過操作系統審計機制和其他基于主機的登錄信息，入侵檢測系統在固定間隔的時間段內收集和分析這些信息，這種技術適用于對安全性能要求較低的系統，對系統的開銷影響較??；但這種技術的缺點是顯而易見的，即在時間間隔內將失去對網絡的保護。采用實時收集和分析技術可以實時地抑制攻擊，使系統管理員及時了解并阻止攻擊，系統管理員也可以記錄黑客的信息；缺點是加大了系統開銷。

----(2)采用的分析類型：可分為簽名分析、統計分析和完整性分析。簽名分析就是同攻擊數據庫中的系統設置和用戶行為模式匹配。在許多入侵檢測系統中，都建有這種已知攻擊的數據庫。這種數據庫可以經常更新，以對付新的威脅。簽名分析的優點在于能夠有針對性地收集系統數據，減少了系統的開銷，如果數據庫不是特別大，那么簽名分析比統計分析更為有效，因為它不需要浮點運算。

----統計分析用來發現偏離正常模式的行為，通過分析正常應用的屬性得到系統的統計特征，對每種正常模式計算出均值和偏差，當偵測到有的數值偏離正常值時，就發出報警信號。這種技術可以發現未知的攻擊，使用靈活的統計方法還可以偵測到復雜的攻擊。當然，如果高明的黑客逐漸改變入侵模式，那么還是可以逃避偵測的，而且統計傳感器發出虛警的概率就會變大。

----完整性分析主要關注某些文件和對象的屬性是否發生了變化。完整性分析通過被稱為消息摘錄算法的超強加密機制，可以感受到微小的變化。這種分析可以偵測到任何使文件發生變化的攻擊，彌補了簽名分析和統計分析的缺陷，但是這種分析的實時性很差。

----(3)偵測系統對攻擊和誤用的反應：有些基于網絡的偵測系統可以針對偵測到的問題作出反應，這一特點使得網絡管理員對付諸如拒絕服務一類的攻擊變得非常容易。這些反應主要有改變環境、效用檢驗、實時通知等。當系統偵測到攻擊時，一個典型的反應就是改變系統的環境，通常包括關閉聯接，重新設置系統。由于改變了系統的環境,因此可以通過設置代理和審計機制獲得更多的信息，從而能跟蹤黑客。狡猾的黑客通常瞄準偵測傳感器和分析引擎進行攻擊，在這種情況下，就有必要對這些傳感器和引擎進行效用評估，看它們能否正常工作。許多實時系統還允許管理員選擇一種預警機制，把發生的問題實時地送往各個地方。

----(4)偵測系統的管理和安裝：用戶采用偵測系統時，需要根據本網的一些具體情況而定。實際上，沒有兩種完全相同的網絡環境，因此，就必須對采用的系統進行配置。比如，可以配置系統的網絡地址、安全條目等。某些基于主機的偵測系統還提供友好的用戶界面，讓用戶說明要傳感器采集哪些信息。一個好的偵測系統會為用戶帶來方便，讓用戶記錄系統中發生的安全問題，在運行偵測系統的時候，還可以說明一些控制功能和效用檢驗機制。

----(5)偵測系統的完整性：所謂完整性就是系統自身的安全性，鑒于偵測系統的巨大作用，系統設計人員要對系統本身的自保性能有足夠的重視，黑客在發動攻擊之前首先要對安全機制有足夠的了解后才會攻擊，所以偵測系統完整性就成為必須解決的問題，經常采用的手段有認證、超強加密、數字簽名等，確保合法使用，保證通信不受任何干擾。

----(6)設置誘騙服務器：有的偵測系統還在安全構架中提供了誘騙服務器，以便更準確地確定攻擊的威脅程度。誘騙服務器的目的就是吸引黑客的注意力，把攻擊導向它，從敏感的傳感器中發現攻擊者的攻擊位置、攻擊路徑和攻擊實質，隨后把這些信息送到一個安全的地方，供以后查用。這種技術是否采用可根據網絡的自身情況而定。

漏洞檢測
　

----1.分類

----漏洞檢測技術可分為5種：

----(1)基于應用的檢測技術它采用被動的、非破壞性的辦法檢查應用軟件包的設置，發現安全漏洞。

----(2)基于主機的檢測技術它采用被動的、非破壞性的辦法對系統進行檢測。通常，它涉及到系統的內核、文件的屬性、操作系統的補丁等問題。這種技術還包括口令解密，把一些簡單的口令剔除。因此，這種技術可以非常準確地定位系統存在的問題，發現系統漏洞。它的缺點是與平臺相關，升級復雜。

----(3)基于目標的檢測技術它采用被動的、非破壞性的辦法檢查系統屬性和文件屬性，如數據庫、注冊號等。通過消息文摘算法，對文件的加密數進行檢驗。其基本原理是消息加密算法和哈希函數，如果函數的輸入有一點變化，那么其輸出就會發生大的變化，這樣文件和數據流的細微變化都會被感知。這些算法加密強度極大，不易受到攻擊，并且其實現是運行在一個閉環上，不斷地處理文件和系統目標屬性，然后產生檢驗數，把這些檢驗數同原來的檢驗數相比較，一旦發現改變就通知管理員。

----(4)基于網絡的檢測技術它采用積極的、非破壞性的辦法來檢驗系統是否有可能被攻擊崩潰。它利用了一系列的腳本對系統進行攻擊，然后對結果進行分析。網絡檢測技術常被用來進行穿透實驗和安全審計。這種技術可以發現平臺的一系列漏洞，也容易安裝。但是，它容易影響網絡的性能，不會檢驗不到系統內部的漏洞。

----(5)綜合的技術它集中了以上4種技術的優點，極大地增強了漏洞識別的精度。

----2.特點

----(1)檢測分析的位置：在漏洞檢測中，第一步是收集數據，第二步是數據分析。在大型網絡中，通常采用控制臺和代理結合的結構，這種結構特別適用于異構型網絡，容易檢測不同的平臺。在不同威脅程度的環境下，可以有不同的檢測標準。

----(2)報表與安裝：漏洞檢測系統生成的報表是理解系統安全狀況的關鍵，它記錄了系統的安全特征，針對發現的漏洞提出需要采取的措施。整個漏洞檢測系統還應該提供友好的界面及靈活的配置特性。安全漏洞數據庫可以不斷更新補充。

----(3)檢測后的解決方案：一旦檢測完畢，如果發現了漏洞，那么系統可有多種反應機制。預警機制可以讓系統發送消息、電子郵件、傳呼等來報告發現了漏洞。報表機制則生成綜合的報表列出所有的漏洞。根據這些報告可以采用有針對性的補救措施。同偵測系統一樣，漏洞檢測有許多管理功能,通過一系列的報表可讓系統管理員對這些結果做進一步的分析。

----(4)檢測系統本身的完整性：同樣，這里有許多設計、安裝、維護檢測系統要考慮的安全問題。安全數據庫必須安全，否則就會成為黑客的工具，因此，加密就顯得特別重要。由于新的攻擊方法不斷出現，所以要給用戶提供一個更新系統的方法，更新的過程也必須給予加密，否則將產生新的危險。實際上，檢測系統本身就是一種攻擊，如果被黑客利用，那么就會產生難以預料的后果。因此，必須采用保密措施，使其不會被黑客利用。

實現模型
　

----入侵檢測和漏洞檢測系統的實現是和具體的網絡拓撲密切相關的，不同的網絡拓撲對入侵檢測和漏洞檢測系統的結構和功能有不同的要求。通常情況下該系統在網絡系統中可設計為兩個部分：安全服務器（Securityserver）和偵測代理（Agent）。

----如附圖所示，偵測代理分布在整個網絡中，大體上有三種：一是主機偵測代理，二是網絡設備偵測代理，三是公用服務器偵測代理。



----主機代理中有主機偵測代理和主機漏洞檢測代理兩種類型，其中偵測代理動態地實現探測入侵信號，并作出相應的反應；漏洞檢測代理檢測系統的配置、日志等，把檢測到的信息傳給安全服務器和用戶。

----在網段上有唯一的代理負責本網段的安全。該代理主要完成本網段的入侵檢測。

----在防火墻的外部還需有專門的代理負責公用服務器的安全，這些代理也要有偵測代理和主機漏洞檢測代理兩種類型。在安全服務器上，有一個網絡漏洞檢測代理從遠程對網絡中的主機進行漏洞檢測。

----入侵檢測代理在結構上由傳感器、分析器、通信管理器等部件組成。顧名思義，傳感器就是安全信息感受器，它偵測諸如多次不合法的登錄，對端口進行掃描等信息。傳感器中有過濾正常和非正常信息的能力，它只接受有意義的安全信息。分析器首先接收來自傳感器的信息，把這些信息同正常數據相比較，將結果送往通信管理器，并動態地作出一定的反應。通信管理器再把這些信息分類，送往安全服務器。

----漏洞檢測代理在結構上由檢測器、檢測單元、通信管理器等部件組成。檢測器是檢測單元的管理器，它決定如何調度檢測單元。檢測單元是一系列的檢測項，通常是一些腳本文件。通信管理器把檢測的結果發給用戶和安全服務器。

----每一個主機代理感受敏感的安全信息，對這些信息進行處理，作出反應，然后把一些信息交給網段代理和安全服務器處理。網段代理對本網段的安全負責，它一邊監視本網段的情況，一邊向安全服務器匯報。

----安全服務器中包含網絡安全數據庫、通信管理器、聯機信息處理器等部件，它的主要功能是和每一個代理進行相互通信，實時處理所有從各代理發來的信息，作出響應的反映，同時對本網的各安全參數進行審計和記錄日志，為完善網絡的安全性能提供參數。它還有一個重要的功能就是控制防火墻。從圖中可以看出這些部件相互協作，為整個系統提供了一個分布式的、完整的解決方案。

結　論
　

----入侵檢測和漏洞檢測技術是計算機網絡系統安全解決方案中非常重要的部分，它極大地提高了整個系統的安全性能。一個分布式的解決方案可以可靠地實現網絡信息系統的安全。通過部署入侵檢測和漏洞檢測系統可以實現：支持內部審計、責任曝光、突發事件處理與調查、估計損失與迅速恢復、改善安全管理過程、發現新的問題、記錄系統發生的問題等。總之，入侵檢測和漏洞檢測技術是一項非常重要的技術，它的完美實現會給計算機網絡安全帶來革命性的變化。

近期讀了一些關于網絡入侵的文章，感覺到增強網絡安全是一項日常性的工作，并不是說網絡設備、服務器配置好了就絕對安全了，操作系統和一些軟件的漏洞是不斷被發現的，比如沖擊波、震蕩波病毒就是利用系統漏洞，同樣利用這些漏洞可以溢出得到系統管理員權限， server-U的提升權限漏洞也可以被利用。在這些漏洞未被發現前，我們覺得系統是安全的，其實還是不安全的，也許漏洞在未公布前已經被部分hacker 所知，也就是說系統和應用軟件我們不知道還會存在什么漏洞，那么日常性的防護就顯得尤為必要。


一、做好基礎性的防護工作，服務器安裝干凈的操作系統，不需要的服務一律不裝，多一項就多一種被入侵的可能性，打齊所有補丁，微軟的操作系統當然推薦WIN2K3，性能和安全性比WIN2K都有所增強，選擇一款優秀的殺毒軟件，至少能對付大多數木馬和病毒 的，安裝好殺毒軟件，設置好時間段自動上網升級，設置好帳號和權限，設置的用戶盡可能的少，對用戶的權限盡可能的小，密碼設置要足夠強壯。對于MSSQL，也要設置分配好權限，按照最小原則分配。最好禁用xp_cmdshell。有的網絡有硬件防火墻，當 然好，但僅僅依靠硬件防火墻，并不能阻擋hacker的攻擊，利用反向連接型的木馬和其他的辦法還是可以突破硬件防火墻的阻擋。WIN2K3系統自帶的防火墻功能還不夠強大，建議打開，但還需要安裝一款優秀的軟件防火墻保護系統，我一般習慣用ZA，論壇有 很多教程了。對于對互聯網提供服務的服務器，軟件防火墻的安全級別設置為最高，然后僅僅開放提供服務的端口，其他一律關閉，對于服務器上所有要訪問網絡的程序，現在防火墻都會給予提示是否允許訪問，根據情況對于系統升級，殺毒軟件自動升級等有必要訪問外網 的程序加到防火墻允許訪問列表。那么那些反向連接型的木馬就會被防火墻阻止，這樣至少系統多了一些安全性的保障，給hacker入侵就多一些阻礙。網絡上有很多基礎型的防護資料，大家可以查查相關服務器安全配置方面的資料。


二、修補所有已知的漏洞，未知的就沒法修補了，所以要養成良好的習慣，就是要經常去關注。了解自己的系統，知彼知己，百戰百勝。所有補丁是否打齊，比如mssql,server-U，論壇程序是否還有漏洞，每一個漏洞幾乎都是致命的，系統開了哪些服務，開了哪些端口，目前開的這些服務中有沒有漏洞可以被黑客應用，經常性的了解當前黑客攻擊的手法和可以被利用的漏洞，檢查自己的系統中是否存在這些漏洞。比如SQL注入漏洞，很多網站 都是因為這個服務器被入侵，如果我們作為網站或者服務器的管理者，我們就應該經常去關注這些技術，自己經常可以用一些安全性掃描工具檢測檢測，比如X- scan，snamp, nbsi，PHP注入檢測工具等，或者是用當前比較流行的hacker入侵工具檢測自己的系統是否存在漏洞，這得針對自己的系統開的服務去檢測，發現漏洞及時修補。網絡管理人員不可能對每一方面都很精通，可以請精通的人員幫助檢測，當然對于公司來說，如果 系統非常重要，應該請專業的安全機構來檢測，畢竟他們比較專業。


三、服務器的遠程管理，相信很多人都喜歡用server自帶的遠程終端，我也喜歡，簡潔速度快。但對于外網開放的服務器來說，就要謹慎了，要想到自己能用，那么這個端口就對外開放了，黑客也可以用，所以也要做一些防護了。一就是用證書策略來限制訪問者，給 TS配置安全證書，客戶端訪問需要安全證書。二就是限制能夠訪問服務器終端服務的IP地址。三是可以在前兩者的基礎上再把默認的3389端口改一下。當然也可以用其他的遠程管理軟件，pcanywh&#101;re也不錯。


四、另外一個容易忽視的環節是網絡容易被薄弱的環節所攻破，服務器配置安全了，但網絡存在其他不安全的機器，還是容易被攻破，“千里之堤，潰于蟻穴 ”。利用被控制的網絡中的一臺機器做跳板，可以對整個網絡進行滲透攻擊，所以安全的配置網絡中的機器也很必要。說到跳板攻擊，水平稍高一點的hacker攻擊一般都會隱藏其真實IP，所以說如果被入侵了，再去追查的話是很難成功的。Hacker利用控制的 肉雞，肉雞一般都是有漏洞被完全控制的計算機，安裝了一些代理程序或者黑客軟件，比如DDOS攻擊軟件，跳板程序等，這些肉雞就成為黑客的跳板，從而隱藏了真實IP。


五、最后想說的是即使大家經過層層防護，系統也未必就絕對安全了，但已經可以抵擋一般的hacker的攻擊了。連老大微軟都不能說他的系統絕對安全。系統即使只開放80端口， 如果服務方面存在漏洞的話，水平高的hacker還是可以鉆進去，所以最關鍵的一點我認為還是關注最新漏洞，發現就要及時修補?！肮ゾ褪欠溃谰褪枪ァ?，這個觀點我比較贊同，我說的意思并不是要去攻擊別人的網站，而是要了解別人的攻擊手法，更好的做好防護。比如不知道什么叫克隆管理員賬號，也許你的機器已經被入侵并被克隆了賬號，可能你還不知道呢?如果知道有這種手法，也許就會更注意這方面。自己的網站 如果真的做得無漏洞可鉆，hacker也就無可奈何了。


希望大家有好的思路和經驗能夠多探討探討，要做好網絡安全還有很多細節需要注意，一個微小的疏忽都可能導致功虧一簣。

MRTG（Multi Router Traffic Grapher）是一個跨平臺的監控網絡鏈路流量負載的工具軟件，目前它可以運行在大多數Unix系統和Windows NT之上。它通過snmp協議從設備得到設備的流量信息，并將流量負載以包含PNG格式的圖形的HTML 文檔方式顯示給用戶，以非常直觀的形式顯示流量負載。

　　或許你還不知道，MRTG還是一個有效的入侵檢測工具。大家都知道，入侵者掃描與破壞后都能生成一些異常的網絡流量，而人們在一般情況下是意識不到的。但是MRTG卻能通過圖形化的形式給管理員提供入侵的信息。并可以查出數周之前的入侵信息，以備管理員參考。

　　一，攻擊行為對服務器造成的信息　

　　1，攻擊者使用CGI漏洞掃描器對潛在的CGI漏洞腳本進行掃描時，HTTP 404 Not Found errors的記錄會增長。

　　2，攻擊者嘗試暴力破解服務器上的帳戶，HTTP 401 Authorization Required errors 的記錄會增長。

　　3，一種新的蠕蟲出現，某一個特定的協議的流量會增長。
　　

　　4，蠕蟲通過傀儡主機，攻擊其他的服務器，出外的流量增加，并增大CPU的負荷。

　　5，入侵者嘗試SQL injection攻擊，HTTP 500 Server Errors記錄會增長。

　　6，垃圾郵件發送者在網絡上尋找中繼SMTP服務器來發送垃圾郵件，會造成SMTP的和DNS lookups流量大增，同時造成CPU負荷增大。

　　7，攻擊者進行DDOS攻擊，會造成ICMP流量，TCP連接，虛假的IP，多播廣播流量大增。造成浪費大量的帶寬。

　　看完上面的，我們可以總結出，攻擊者要入侵必須會影響到服務器的這些資源：: CPU, RAM,磁盤空間，網絡連接和帶寬。入侵者還有可能對服務器建立進程后門，開放端口，他們還對他們的入侵行為進行偽裝掩蓋，避免遭到入侵檢測系統的監視。

　　二，攻擊者使用以下的方法避免被檢測到：　　

　　 1，探測掃描很長時間后，才進行真正的入侵進攻?！　?

　　 2，從多個主機進行攻擊，避免單一的主機記錄?！　?

　　 3，盡量避免入侵造成的CPU, RAM和驅動器的負荷。　　

　　 4，利用管理員無人職守時入侵，在周末或者節假日發起攻擊?！　?

　　 三，對于IIS 6，我們需要監視的是　　

　　 1，網絡流量，包括帶寬，數據包，連接的數量等。　　

　　 2，網絡協議的異常錯誤。　　

　　 3，網站的內外流量，包括用戶的權限設置，外部請求的錯誤流量等?！　?

　　 4，線程和進程。　　

　　 四，在Windows 2003下安裝MRTG 　　

　　在使用MRTG之前，你需要在你的服務器里安裝SNMP 服務。具體步驟如下：從控制面板中選擇添加/刪除程序，點擊添加和刪除windows組件。管理和監視工具中的詳細資料里就可以找到簡單網絡管理協議，即可安裝。

安裝成功后，你需要立刻安全配置一下，我們大家都知道，SNMP在網絡上決不是一個安全的協議，你可以通過http://support.microsoft.com/?kbid=324261這個連接來具體了解。但是我們只是在本地使用SNMP，但是還是建議你通過防火墻屏蔽SNMP的161與162端口和使用IPSec。并且要配置為obscure community string。在管理工具中，在服務中選擇安全，設為只讀訪問。盡管community string安全問題不多，但是你還是要避免使用community string為只讀訪問?！?

　　MRTG是一個用Perl編譯的C程序。你還要安裝ActivePerl來解決支持腳本的問題。下載最新的MRTG?？梢缘?a title="http://people.ee.ethz.ch/~oetiker/webtools/mrtg/pub/下載，" target="_blank">http://people.ee.ethz.ch/~oetiker/webtools/mrtg/pub/下載，

　　注意要選擇.zip的文件下載。這篇文章所使用的版本請到http://securityfocus.com/microsoft/images/burnett_MRTG_files.zip下載。

　　把MRTG解壓到C:\Program Files\MRTG目錄下?！?

　　在你的Inetpub目錄下為MRTG建立一個子目錄。為了安全，不要建立在wwwroot目錄下。然后，使用IIS建立一個MRTG的新站點。如果可能的話，最好能為MRTG站點配置一個主機頭和一個獨立的IP。也可以在一個已存在的目錄下為MRTG站點建立一個合法的虛擬目錄，也能達到同樣的目的。　

　　注意，在新建立的MRTG站點不要運行可執行的腳本，只提供只讀訪問。在NTFS下，要注意對用戶的權限的設置。如果可能的話，最好對指定MRTG站點的IP來選擇特定的主機。　　

　　現在，就可以把配置文件放到C:\Program Files\MRTG\Bin下了，并把index.html 文件拷貝到你的\Inetpub\MRTG 目錄下。　

　　下面，我們來測試一下，在命令提示符下輸入：　

　　C:\ProgramFiles\MRTG>perl mrtg mrtg.cfg

　　如果一些正常的話，就會在在你的MRTG站點就有了一些配置文件。如果安裝失敗，你可以回顧一下你安裝的步驟，是否有錯誤，并參考MRTG 的參考手冊?！?

　　五，具體配置SNMP計數器　　

　　 盡管微軟提供了SNMP的計數器，但是我發現它對一些應用程序支持有些問題，然而，MRTG卻能從很多的應用程序中得到消息。但是我們通過Windows Management Instrumentation (WMI) 也能得到包括所有的計數器的性能信息。同SNMP不同的是，微軟在WMI下了很大的時間和金錢。比如：我想得到關于線程和進程的信息，我可以使用以下的腳本輕易實現：　　

　　Set oWService=GetObject("winmgmts:\\localhost\root\cimv2")

　　Set colItems=oWService.ExecQuery("Sel&#101;ct * FROM Win32_PerfFormattedData_PerfOS_System",,48)

　　For Each Item in colItems

　　 Param1=Param1 + Item.Processes

　　 Param2=Param2 + Item.Threads

　　 Uptime=Item.SystemUptime

Next　　

　　WScript.Echo Param1

　　WScript.Echo Param2

　　WScript.Echo Uptime & " seconds"

　　WScript.Echo "LocalHost"　

　　Another problem I had was getting detailed o&#114; custom web statistics through either SNMP o&#114; WMI. To solve that, I used Microsoft&#39;s LogParser tool to run custom queries from a simple batch file: 　　

　　@for /f "tokens=1,2,3,4* delims=/ " %%i in (&#39;date /t&#39;) do @set year=%%l&& @set month=%%j&& @set day=%%k

　　@set logfile=c:\windows\system32\LogFiles\%1\ex%YEAR:~2,2%%month%%day%.log

　　@If Exist %logfile% (

　　 @logparser "Sel&#101;ct COUNT(*) FROM %logfile% Wh&#101;re (sc-status>= 400AND sc-status<500)

　　 AND TO_TIMESTAMP(date, time) > SUB(SYSTEM_TIMESTAMP(), TO_TIMESTAMP(&#39;5&#39;,&#39;m&#39;))" -q

　　 @logparser "Sel&#101;ct COUNT(*) FROM %logfile% Wh&#101;re (sc-status>= 500AND sc-status<600)

　　 AND TO_TIMESTAMP(date, time) > SUB(SYSTEM_TIMESTAMP(), TO_TIMESTAMP(&#39;5&#39;,&#39;m&#39;))" -q

　　) ELSE (

　　 @Echo %logfile%

　　 @Echo 0

　　)

　　@Echo Unknown

　　@Echo %1
　　

　　 因為微軟的日志記錄工具也非常強大，和MRTG的計數器配合使用，在加上免費的入侵檢測系統Snort，效果會更好。

　　六，最后　

　　在你自定義的完你的計數器完成之后，通過圖行化的狀況就可以輕易的找出入侵者?？梢栽诰W站http：//snmpboy.msft.net看到在Windows 2003 server中的snmp更多的信息。

Windows提供了很多非常有價值的服務，但很多服務都是雙刃劍，用不好就會帶來諸多安全隱患。以下十項服務是對安全威脅較大的服務，建議普通用戶一定要禁用它。


　　Win XP必須禁止的服務

　　1.NetMeeting Remote Desktop Sharing：允許受權的用戶通過NetMeeting在網絡上互相訪問對方。這項服務對大多數個人用戶并沒有多大用處，況且服務的開啟還會帶來安全問題，因為上網時該服務會把用戶名以明文形式發送到連接它的客戶端，黑客的嗅探程序很容易就能探測到這些賬戶信息。

　　2.Universal Plug and Play Device Host：此服務是為通用的即插即用設備提供支持。這項服務存在一個安全漏洞，運行此服務的計算機很容易受到攻擊。攻擊者只要向某個擁有多臺Win XP系統的網絡發送一個虛假的UDP包，就可能會造成這些Win XP主機對指定的主機進行攻擊（DDoS）。另外如果向該系統1900端口發送一個UDP包，令“Location”域的地址指向另一系統的chargen端口，就有可能使系統陷入一個死循環，消耗掉系統的所有資源（需要安裝硬件時需手動開啟）。

　　3.Messenger：俗稱信使服務，電腦用戶在局域網內可以利用它進行資料交換（傳輸客戶端和服務器之間的Net Send和Alerter服務消息，此服務與Windows Messenger無關。如果服務停止，Alerter消息不會被傳輸）。這是一個危險而討厭的服務，Messenger服務基本上是用在企業的網絡管理上，但是垃圾郵件和垃圾廣告廠商，也經常利用該服務發布彈出式廣告，標題為“信使服務”。而且這項服務有漏洞，MSBlast和Slammer病毒就是用它來進行快速傳播的。

　　4.Terminal Services：允許多位用戶連接并控制一臺機器，并且在遠程計算機上顯示桌面和應用程序。如果你不使用Win XP的遠程控制功能，可以禁止它。

　　5.Remote Registry：使遠程用戶能修改此計算機上的注冊表設置。注冊表可以說是系統的核心內容，一般用戶都不建議自行更改，更何況要讓別人遠程修改，所以這項服務是極其危險的。

　　6.Fast User Switching Compatibility：在多用戶下為需要協助的應用程序提供管理。Windows XP允許在一臺電腦上進行多用戶之間的快速切換，但是這項功能有個漏洞，當你點擊“開始→注銷→快速切換”，在傳統登錄方式下重復輸入一個用戶名進行登錄時，系統會認為是暴力破解，而鎖定所有非管理員賬戶。如果不經常使用，可以禁止該服務?；蛘咴凇翱刂泼姘濉脩糍~戶→更改用戶登錄或注銷方式”中取消“使用快速用戶切換”。

　　7.Telnet：允許遠程用戶登錄到此計算機并運行程序，并支持多種 TCP/IP Telnet客戶，包括基于 UNIX 和 Windows 的計算機。又一個危險的服務，如果啟動，遠程用戶就可以登錄、訪問本地的程序，甚至可以用它來修改你的ADSL Modem等的網絡設置。除非你是網絡專業人員或電腦不作為服務器使用，否則一定要禁止它。

　　8.Performance Logs And Alerts：收集本地或遠程計算機基于預先配置的日程參數的性能數據，然后將此數據寫入日志或觸發警報。為了防止被遠程計算機搜索數據，堅決禁止它。

　　9.Remote Desktop Help Session Manager：如果此服務被終止，遠程協助將不可用。

　　10.TCP/IP NetBIOS Helper：NetBIOS在Win 9X下就經常有人用它來進行攻擊，對于不需要文件和打印共享的用戶，此項也可以禁用

進階：可以禁止的服務

　　另外還有一些普通用戶可以按需求禁止的服務： 　

　　1.Alerter：通知所選用戶和計算機有關系統管理級警報。如果你未連上局域網且不需要管理警報，則可將其禁止。 　

　　2.Indexing Service：本地和遠程計算機上文件的索引內容和屬性，提供文件快速訪問。這項服務對個人用戶沒有多大用處。 　

　　3.Application Layer Gateway Service：為Internet連接共享和Internet連接防火墻提供第三方協議插件的支持。如果你沒有啟用Internet連接共享或Windows XP的內置防火墻，可以禁止該服務。 　

　　4.Uninterruptible Power Supply：管理連接到計算機的不間斷電源，沒有安裝UPS的用戶可以禁用。 　

　　5.Print Spooler：將文件加載到內存中以便稍后打印。如果沒裝打印機，可以禁用。 　

　　6.Smart Card：管理計算機對智能卡的讀取訪問。基本上用不上，可以禁用。 　

　　7.Ssdp Discovery Service：啟動家庭網絡上的upnp設備自動發現。具有upnp的設備還不多，對于我們來說這個服務是沒有用的。 　

　　8.Automatic Up&#100;ates：自動從Windows Up&#100;ate網絡更新補丁。利用Windows Up&#100;ate功能進行升級，速度太慢，建議大家通過多線程下載工具下載補丁到本地硬盤后，再進行升級。 　

　　9.Clipbook：啟用“剪貼板查看器”儲存信息并與遠程計算機共享。如果不想與遠程計算機進行信息共享，就可以禁止。 　

　　10.Imapi Cd-burning Com Service：用Imapi管理CD錄制，雖然Win XP中內置了此功能，但是我們大多會選擇專業刻錄軟件，另外如果沒有安裝刻錄機的話，也可以禁止該服務。 　　

　　11.Workstation：創建和維護到遠程服務的客戶端網絡連接。如果服務停止，這些連接都將不可用。 　

　　12.Error Reporting Service：服務和應用程序在非標準環境下運行時，允許錯誤報告。如果你不是專業人員，這個錯誤報告對你來說根本沒用。 　

　　再就是如下幾種服務對普通用戶而言也沒有什么作用，大家可以自己決定取舍，如：Routing and Remote Access、Net Logon、Network DDE和Network DDE DSDM。

一、網站的通用保護方法

　　針對黑客威脅，網絡安全管理員采取各種手段增強服務器的安全，確保WWW服務的正常運行。象在Internet上的Email、ftp等服務器一樣，可以用如下的方法來對WWW服務器進行保護：

　　安全配置

　　關閉不必要的服務，最好是只提供WWW服務，安裝操作系統的最新補丁，將WWW服務升級到最新版本并安裝所有補丁，對根據WWW服務提供者的安全建議進行配置等，這些措施將極大提供WWW服務器本身的安全。

　　防火墻　

　　安裝必要的防火墻，阻止各種掃描工具的試探和信息收集，甚至可以根據一些安全報告來阻止來自某些特定IP地址范圍的機器連接，給WWW服務器增加一個防護層，同時需要對防火墻內的網絡環境進行調整，消除內部網絡的安全隱患。 　

　　漏洞掃描　

　　使用商用或免費的漏洞掃描和風險評估工具定期對服務器進行掃描，來發現潛在的安全問題，并確保由于升級或修改配置等正常的維護工作不會帶來安全問題。 　

　　入侵檢測系統 　　

　　利用入侵檢測系統（IDS）的實時監控能力，發現正在進行的攻擊行為及攻擊前的試探行為，記錄黑客的來源及攻擊步驟和方法。 　　

　　這些安全措施都將極大提供WWW服務器的安全，減少被攻擊的可能性。

　　二、網站的專用保護方法

　　盡管采用的各種安全措施能防止很多黑客的攻擊，然而由于各種操作系統和服務器軟件漏洞的不斷發現，攻擊方法層出不窮，技術高明的黑客還是能突破層層保護，獲得系統的控制權限，從而達到破壞主頁的目的。這種情況下，一些網絡安全公司推出了專門針對網站的保護軟件，只保護網站最重要的內容--網頁。一旦檢測到被保護的文件發生了{非正常的}改變，就進行恢復。一般情況下，系統首先需要對正常的頁面文件進行備份，然后啟動檢測機制，檢查文件是否被修改，如果被修改就需要進行恢復。我們對以下幾個方面的技術進行分析比較： 　

監測方式 　　

　　本地和遠程：檢測可以是在本地運行一個監測端，也可以在網絡上的另一臺主機。如果是本地的話，監測端進程需要足夠的權限讀取被保護目錄或文件。監測端如果在遠端的話，WWW服務器需要開放一些服務并給監測端相應的權限，較常見的方式是直接利用服務器的開放的WWW服務，使用HTTP協議來監測被保護的文件和目錄。也可利用其它常用協議來檢測保護文件和目錄，如FTP等。采用本地方式檢測的優點是效率高，而遠程方式則具有平臺無關性，但會增加網絡流量等負擔。 　

　　定時和觸發：絕大部分保護軟件是使用的定時檢測的方式，不論在本地還是遠程檢測都是根據系統設定的時間定時檢測，還可將被保護的網頁分為不同等級，等級高的檢測時間間隔可以設得較短，以獲得較好的實時性，而將保護等級較低的網頁文件檢測時間間隔設得較長，以減輕系統的負擔。觸發方式則是利用操作系統提供的一些功能，在文件被創建、修改或刪除時得到通知，這種方法的優點是效率高，但無法實現遠程檢測。 　

　　比較方法 　

　　在判斷文件是否被修改時，往往采用被保護目錄和備份庫中的文件進行比較，比較最常見的方式全文比較。使用全文比較能直接、準確地判斷出該文件是否被修改。然而全文比較在文件較大較多時效率十分低下，一些保護軟件就采用文件的屬性如文件大小、創建修改時間等進行比較，這種方法雖然簡單高效，但也有嚴重的缺陷：{惡意入侵者}可以通過精心構造，把替換文件的屬性設置得和原文件完全相同，{從而使被惡意更改的文件無法被檢測出來}。另一種方案就是比較文件的數字簽名，最常見的是MD5簽名算法，由于數字簽名的不可偽造性，數字簽名能確保文件的相同。

　　恢復方式 　　

　　恢復方式與備份庫存放的位置直接相關。如果備份庫存放在本地的話，恢復進程必須有寫被保護目錄或文件的權限。如果在遠程則需要通過文件共享或FTP的方式來進行，那么需要文件共享或FTP的帳號，并且該帳號擁有對被保護目錄或文件的寫權限。 　

　　備份庫的安全 　

　　當黑客發現其更換的主頁很快被恢復時，往往會激發起進一步破壞的欲望，此時備份庫的安全尤為重要。網頁文件的安全就轉變為備份庫的安全。對備份庫的保護一種是通過文件隱藏來實現，讓黑客無法找到備份目錄。另一種方法是對備份庫進行數字簽名，如果黑客修改了備份庫的內容，保護軟件可以通過簽名發現，就可停止WWW服務或使用一個默認的頁面。

　　通過以上分析比較我們發現各種技術都有其優缺點，需要結合實際的網絡環境來選擇最適合的技術方案。

　　三、網站保護的缺陷

　　盡管網站保護軟件能進一步提高系統的安全，仍然存在一些缺陷。首先這些保護軟件都是針對靜態頁面而設計，而現在動態頁面占據的范圍越來越大，盡管本地監測方式可以檢測腳本文件，但對腳本文件使用的數據庫卻無能為力。 　　

　　另外，有些攻擊并不是針對頁面文件進行的，前不久泛濫成災的"Red Code"就是使用修改IIS服務的一個動態庫來達到攻擊頁面的目的。另一個方面，網站保護軟件本身會增加WWW服務器的負載，在WWW服務器負載本身已經很重的情況下，一定好仔細規劃好使用方案。 　　

　　四、結論

　　本文討論了網站常用的保護方法，詳細地分析比較了專用網站保護軟件采用的各種技術實現和優缺點，并指出了其缺陷。安全雖不是使用某個工具或某些工具就可以解決的，但使用這些工具能幫助提高安全性，減少安全風險。

一、WINDOWS系統

windows對..\的支持
windows對.的忽略
二、*nix系統

freebsd系統下/的利用
大小寫的區分
三，iis與apache

解析文件類型的利用
iis6的特性
apache文件名解析缺陷漏洞
四、配置文件的位置
==================================

一、WINDOWS系統

1、windows對..\的支持

特性：win系統下可以用..\進行跨目錄操作
利用：web入侵中進行跨目錄操作時，在web程序過濾了/的情況下，我們可以通過..\突破。
實例：MolyX Board的attachment.php中attach變量過慮不嚴漏洞（http://4ngel.net/article/50.htm）在angel的文章里提供的解決方案里，只過濾了/，并沒有對\過濾，導致在win主機上漏洞依舊，詳見：http://www.4ngel.net/blog/hei/index.php?action=show&id=92

2、windows對.的忽略

特性：win系統下在文件后綴后的.將被忽略，如test.php. 與test.php是等同的
利用：導致上傳文件時，被利用上傳webshell
實例：缺

二、*nix系統

1、freebsd系統下/的利用 (ps：也有可能存在于其他系統)

特性：freebsd下因系統文件格式不同導致可以利用/進行目錄列片攻擊：如在freebsd下運行cat / 得到根目錄下的所有文件夾及文件：

cat /

.
.. .snap(
dev\
usr
var stand犅p
etc? cdromg? distsg?
bin? boot唜<
lib \ libexec
mnt ? proc唜?( rescue?? root唜?? sbin唜??
tmp

sys ? .cshrc?? .profile
? COPYRIGHTe?
compat?
home]D? entropy \t service ( d greenarmy玩

利用：mysql注射時可以配合load_file()進行目錄列片攻擊。如load_file(0x2F) [0x2F為/的hex值] ，load_file(0x2Froot0x2F)

2、大小寫的區分

特性：*nix系統是文件格式區分大小寫，而windows系統不區分。
利用：最簡單的利用也是最直接的 用來區分web服務器使用的系統
實例：分別提交
http://www.4ngel.net/blog/hei/index.php 正常返回
http://www.4ngel.net/blog/hei/inDex.php 提示文件不存在
這個說明www.4ngel.net主機為非windows系統。

三，iis與apache

1、解析文件類型的利用

iis在支持asp外，還支持asa,cer,cdx,htr
apache+php在支持php外，還支持php3,php4,phpx等
由于web程序的過慮不足，導致可以上傳webshell

2、iis6的特性

IIS 6.0 目錄名里包含有文件.asp會導致其目錄下任意文件當做asp文件來運行。如我們把webshell保存到test.asp/webshell.gif,當iis6下訪問http://xxx/test.asp/webshell.gif 時webshell.gif被當作asp文件來解析。可以利用到通過數據庫備用得到的webshell，存放后門等方面。

3、apache文件名解析缺陷漏洞

apache 文件名解析時，是從后面開始檢查后綴，按最后一個合法后綴執行。如：cmdshell.php.heige 因為heige不被apache解析，所以apache把這個文件當php文件解析了.
利用：
a、有的web程序安裝后，會把install.php改名為install.php.lock，install.php.bak等等
實例：BMForum等
b、挖掘上傳漏洞
實例：Discuz!等
c、.....

四、配置文件的位置

每個系統都自己特定的配置文件（包括第3方軟件的配置文件）其位置也是相對固定的。文件內容包含了服務器的敏感信息。在我們利用web漏洞任意操作文件時（如 include包含漏洞，mysql注射load_file()的利用，等等）讀取或下載這些配置文件，導致敏感信息的泄露。如：
windows系統：boot.ini mysql的%SYSTEMROOT%/my.ini servu的c:\program files\serv-u\servudeamon.ini 等等
*nix系統的 etc/目錄下的文件 等等

小結

本文只是個人的一些經驗的整理,由于個人的知識有限,如果有什么不對的或者你有好的發現和經驗,等待您的分享!

引言 對“IP地址盜用”的解決方案絕大多數都是采取MAC與IP地址綁定策略，這種做法是十分危險的，本文將就這個問題進行探討。在這里需要聲明的是，本文是處于對對MAC與IP地址綁定策略安全的憂慮，不帶有任何黑客性質。


為什么要綁定MAC與IP 地址


影響網絡安全的因素很多，IP地址盜用或地址欺騙就是其中一個常見且危害極大的因素?，F實中，許多網絡應用是基于IP的，比如流量統計、賬號控制等都將IP地址作為標志用戶的一個重要的參數。如果有人盜用了合法地址并偽裝成合法用戶，網絡上傳輸的數據就可能被破壞、竊聽，甚至盜用，造成無法彌補的損失。


盜用外部網絡的IP地址比較困難，因為路由器等網絡互連設備一般都會設置通過各個端口的IP地址范圍，不屬于該IP地址范圍的報文將無法通過這些互連設備。但如果盜用的是Ethernet內部合法用戶的IP地址，這種網絡互連設備顯然無能為力了。“道高一尺，魔高一丈”，對于Ethernet內部的IP地址被盜用，當然也有相應的解決辦法。綁定MAC地址與IP地址就是防止內部IP盜用的一個常用的、簡單的、有效的措施。


MAC與IP 地址綁定原理


IP地址的修改非常容易，而MAC地址存儲在網卡的EEPROM中，而且網卡的MAC地址是唯一確定的。因此，為了防止內部人員進行非法IP盜用(例如盜用權限更高人員的IP地址，以獲得權限外的信息)，可以將內部網絡的IP地址與MAC地址綁定，盜用者即使修改了IP地址，也因MAC地址不匹配而盜用失?。憾矣捎诰W卡MAC地址的唯一確定性，可以根據MAC地址查出使用該MAC地址的網卡，進而查出非法盜用者。


目前，很多單位的內部網絡，尤其是學校校園網都采用了MAC地址與IP地址的綁定技術。許多防火墻（硬件防火墻和軟件防火墻）為了防止網絡內部的IP地址被盜用，也都內置了MAC地址與IP地址的綁定功能。


從表面上看來，綁定MAC地址和IP地址可以防止內部IP地址被盜用，但實際上由于各層協議以及網卡驅動等實現技術，MAC地址與IP地址的綁定存在很大的缺陷，并不能真正防止內部IP地址被盜用。


破解MAC與IP地址綁定策略


IP地址和MAC地址簡介


現行的TCP/IP網絡是一個四層協議結構，從下往上依次為鏈路層、網絡層、傳輸層和應用層。


Ethernet協議是鏈路層協議，使用的地址是MAC地址。MAC地址是Ethernet網卡在Ethernet中的硬件標志，網卡生產時將其存于網卡的EEPROM中。網卡的MAC地址各不相同，MAC地址可以唯一標志一塊網卡。在Ethernet上傳輸的每個報文都含有發送該報文的網卡的MAC地址。


Ethernet根據Ethernet報文頭中的源MAC地址和目的MAC來識別報文的發送端和接收端。IP協議應用于網絡層，使用的地址為IP地址。使用IP協議進行通訊，每個IP報文頭中必須含有源IP和目的IP地址，用以標志該IP報文的發送端和接收端。在Ethernet上使用IP協議傳輸報文時，IP報文作為Ethernet報文的數據。IP地址對于Ethernet交換機或處理器是透明的。用戶可以根據實際網絡的需要為網卡配置一個或多個IP地址。MAC地址和IP地址之間并不存在一一對應的關系。


MAC地址存儲在網卡的EEPROM中并且唯一確定，但網卡驅動在發送Ethernet報文時，并不從EEPROM中讀取MAC地址，而是在內存中來建立一塊緩存區，Ethernet報文從中讀取源MAC地址。而且，用戶可以通過操作系統修改實際發送的Ethernet報文中的源MAC地址。既然MAC地址可以修改，那么MAC地址與IP地址的綁定也就失去了它原有的意義。


破解方案


下圖是破解試驗的結構示意圖。其內部服務器和外部服務器都提供Web服務，防火墻中實現了MAC地址和IP地址的綁定。報文中的源MAC地址與1P地址對如果無法與防火墻中設置的MAC地址與1P地址對匹配，將無法通過防火墻。主機2和內部服務器都是內部網絡中的合法機器；主機1是為了做實驗而新加入的機器。安裝的操作系統是W2000企業版，網卡是3Com的。


試驗需要修改主機1中網卡的MAC和IP地址為被盜用設備的MAC和IP地址。首先，在控制面板中選擇“網絡和撥號連接”，選中對應的網卡并點擊鼠標右鍵，選擇屬性，在屬性頁的“常規”頁中點擊“配置”按鈕。在配置屬性頁中選擇“高級”，再在“屬性”欄中選擇“Network Address”，在“值”欄中選中輸人框，然后在輸人框中輸人被盜用設備的MAC地址，MAC地址就修改成功了。


然后再將IP地址配置成被盜用設備的IP地址。盜用內部客戶機IP地址：將主機1的MAC地址和IP地址分別修改為主機2的MAC地址和IP地址。主機1可以訪問外部服務器，能夠順利地通過防火墻，訪問權限與主機2沒有分別。而且，與此同時主機2也可以正常地訪問外部服務器，完全不受主機1的影響。無論是主機2還是防火墻都察覺不到主機1的存在。主機1如果訪問內部服務器，根本無需通過防火墻，更是暢通無阻了。


盜用內部服務器IP地址：將主機1的MAC地址和U地址修改為內部服務器的MAC地址和IP地址。主機1也提供Web服務。為了使效果更明顯，主機1上提供的Web服務內容與內部服務器提供的內容不同。


因為在實際的實驗中主機1與主機2連在同一個HUB上，主機2的訪問請求總是先被主機1響應，主機2期望訪問的是內部服務器，得到的卻總是主機1提供的內容。更一般地，主機2如果試圖訪問內部服務器，獲得的到底是主機1提供的內容還是內部服務器提供的內容具有隨機性，要看它的訪問請求首先被誰響應，在后面的分析中我們將進一步對此進行闡述。


盜用服務器的MAC和IP危害可能更大，如果主機1提供的Web內容和內部服務器中的內容一樣，那么主機2將無法識別它訪問的到底是哪個機器；如果Web內容中要求輸人賬號、密碼等信息，那么這些信息對于主機1來說則是一覽無遺了。


破解成功的原因


上面的實驗驗證了綁定MAC地址與IP地址的確存在很大的缺陷，無法有效地防止內部IP地址被盜用。接下來，將從理論上對該缺陷進行詳細的分析。


缺陷存在的前提是網卡的混雜接收模式，所謂混雜接收模式是指網卡可以接收網絡上傳輸的所有報文，無論其目的MAC地址是否為該網卡的MAC地址。正是由于網卡支持混雜模式，才使網卡驅動程序支持MAC地址的修改成為可能；否則，就算修改了MAC地址，但是網卡根本無法接收相應地址的報文，該網卡就變得只能發送，無法接收，通信也就無法正常進行了。


MAC地址可以被盜用的直接原因是網卡驅動程序發送Ethernet報文的實現機制。Ethernet報文中的源MAC地址是驅動程序負責填寫的，但驅動程序并不從網卡的EEPROM中讀取MAC，而是在內存中建立一個MAC地址緩存區。網卡初始化的時候將EEPROM中的內容讀入到該緩存區。如果將該緩存區中的內容修改為用戶設置的MAC地址，以后發出去的Ethernet報文的源地址就是修改后的MAC地址了。


如果僅僅是修改MAC地址，地址盜用并不見得能夠得逞。Ethernet是基于廣播的，Ethernet網卡都能監聽到局域網中傳輸的所有報文，但是網卡只接收那些目的地址與自己的MAC地址相匹配的Ethernet報文。如果有兩臺具有相同MAC地址的主機分別發出訪問請求，而這兩個訪問請求的響應報文對于這兩臺主機都是匹配的，那么這兩臺主機就不只接收到自己需要的內容，而且還會接收到目的為另外一臺同MAC主機的內容。


按理說，兩臺主機因為接收了多余的報文后，都應該無法正常工作，盜用馬上就會被察覺，盜用也就無法繼續了；但是，在實驗中地址被盜用之后，各臺實驗設備都可以互不干擾的正常工作。這又是什么原因呢?答案應該歸結于上層使用的協議。


目前，網絡中最常用的協議是TCP/IP協議，網絡應用程序一般都是運行在TCP或者UDP之上。例如，實驗中Web服務器采用的HTTP協議就是基于TCP的。在TCP或者UDP中，標志通信雙方的不僅僅是IP地址，還包括端口號。在一般的應用中，用戶端的端口號并不是預先設置的，而是協議根據一定的規則生成的，具有隨機性。像上面利用IE來訪問Web服務器就是這樣。UDP或者TCP的端口號為16位二進制數，兩個16位的隨機數字相等的幾率非常小，恰好相等又談何容易?兩臺主機雖然MAC地址和IP地址相同，但是應用端口號不同，接收到的多余數據由于在TCP/UDP層找不到匹配的端口號，被當成無用的數據簡單地丟棄了，而TCP/UDP層的處理對于用戶層來說是透明的；所以用戶可以“正確無誤”地正常使用相應的服務，而不受地址盜用的干擾。


當然，某些應用程序的用戶端口號可能是用戶或者應用程序自己設置的，而不是交給協議來隨機的生成。那么，結果又會如何呢?例如，在兩臺MAC地址和IP地址都相同的主機上，啟動了兩個端口相同的應用程序，這兩個應用是不是就無法正常工作了呢?其實不盡然。


如果下層使用的是UDP協議，兩個應用將互相干擾無法正常工作。如果使用的是TCP協議，結果就不一樣了。因為TCP是面向連接的，為了實現重發機制，保證數據的正確傳輸，TCP引入了報文序列號和接收窗口的概念。在上述的端口號匹配的報文中，只有那些序列號的偏差屬于接收窗口之內的報文才會被接收，否則，會被認為是過期報文而丟棄。TCP協議中的報文的序列號有32位，每個應用程序發送的第一個報文的序列號是嚴格按照隨機的原則產生的，以后每個報文的序列號依次加1。


窗口的大小有16位，也就是說窗口最大可以是216，而序列號的范圍是232，主機期望接收的TCP數據的序列號正好也處于對方的接收范圍之內的概率為1/216，可謂小之又小。 TCP的序列號本來是為了實現報文的正確傳輸，現在卻成了地址盜用的幫兇。


解決MAC與IP地址綁定被破解的方法


解決MAC與IP地址綁定被破解的方法很多，主要以下幾種。


交換機端口、MAC地址和IP地址三者綁定的方法；代理服務與防火墻相結合的方法；用PPPoE協議進行用戶認證的方法；基于目錄服務策略的方法；統一身份認證與計費軟件相結合的方法等（這些方法的實現原理和過程可以參考拙作《校園網IP地址盜用解決方案》）。在這里筆者尤其推薦最后一種方法，這種方法是將校園網辦公自動化系統和網絡計費軟件結合在一起而實現的，這在校園網信息化建設的今天具有很強的實踐性。

一日，忽然聽朋友說，他在上網的時候，不知點擊了什么東西，而將他的硬盤全部給格式化了。筆者首先的念頭就是:該不會是中了那個有名的國產宏病毒"七月殺手"?不過這個宏病毒是在系統Autoexec.bat文件中加入了"deltree c:/y"，應該不會格式化整個硬盤。


曾經在某個雜志上看到過一個介紹，說什么IE瀏覽器可以通過執行ActiveX而把硬盤格式化，而且記得當時還公布了源代碼，只是當時公布的源代碼是針對西班牙版的Windows，對中文版的Windows沒有用，說不定那些代碼現在已經被一些高手給改成了針對中文Windows的呢。


問問自己的朋友，他也是稀里糊涂地被格式化掉硬盤的，當時進入的網站也不記得了。


沒有辦法，筆者只好自己跑到國內的一些網站去找類似的主題文章?；侍觳回摽嘈娜?，終于找到了幾個可以格式化硬盤的HTML文件。網站上的版主出自好心，提醒下載的網友:只能供自己研究，不可害人。


考慮到危險性，筆者先用記事本隨便打開其中一個看看源代碼，沒有想到這個源文件竟給加了密，里面是用JavaScript寫的腳本，加密的部分好像只是一些字符的定義，而真正的腳本內容也只是顯示一些字符在屏幕上。


因為自己的機器是剛裝好的，沒有什么特別重要的數據，所以就抱著"過把癮就死"的念頭，用IE瀏覽器打開了這個HTML文件。


接著，瀏覽器發出一個警告:"該頁上的ActiveX控件與頁上的其它部分進行交互可能不安全，是否允許進行交互?"。


如果你選擇"是"，則就會運行那些不安全控件。不過筆者試的這個HTML文件只是給大家開個玩笑，你打開它后，它說什么"你的C盤已經被它強行輸入格式化，一旦重新啟動就格式化了。


請不要啟動，立即保存有用的文件。"等諸如此類的話。筆者仔細檢查了一下Windows啟動程序里的內容，也沒有什么變化，于是放心大膽地重啟，果然是開的玩笑。

在下載的另外一個HTML文件中，看看源代碼，不禁嚇了一跳。程序僅有的不足30代代碼中有24行都是調用Windows里自帶的format.com命令，真是夠狠的。除了A、B兩個驅外，只要你能夠分的區C-Z，都會被格式化。


為了驗證其效果，又不想筆者的硬盤被格式化，筆者把Windows里自帶的format.com給改了名字，然后用IE打開該HTML文件，瀏覽器同樣發出一個警告:"該頁上的某些軟件(ActiveX控件)可能不安全。建議您不要運行。是否允許運行?"。


當你選擇"是"的時候，會彈出幾十個DOS窗口，可能是因為它找不到format.com這個文件，找開的所有DOS窗口都是什么顯示也沒有。


它不但調用了format.com，另外還加上了一些參數，如快速格式化等，再加上格式化時窗口就已經自動完成了硬盤格式化的工作，等你發現時也已經悔之晚矣。幸好筆者事先已經把硬盤里的format.com給改了名字，否則后果可想而知。


看來現在通過HTML文件來格式化中文版的Windows確實是可以做到的。以后大家上網可要小心點啦。不過，大家也不必怕被噎著而不吃飯，只要你按下面的方法做，照樣能痛快淋漓地進行網上沖浪。


一、不要隨便打開陌生人寄來的Email的附件，現在對于HTML文件，打開時如果出現所謂的"頁面含有不安全的ActiveX"等信息時都該小心了，最好不要運行該ActiveX控件。


二、將Windows系統里比較危險的一些程序改名，比如format.com、deltree.exe等。我們在Windows下真正用到這些DOS命令的情況并不是很多，所以對直接調用DOS命令來惡意破壞系統的代碼，改名不失為一種對付的好方法。你可以改為一些容易記的名字，如format.com改為format-1.com。


三、注意更新自己的系統，系統不一定是要最新的版本，但是其安全性方面的補丁就一定要注意，最好能去下載并安裝上。我們常用的反病毒、反黑客程序要定期去更新。


值得注意的是:對于筆者這次用到的格式化硬盤的HTML文件，還沒有什么反病毒、反黑客程序能夠做出反應(這也難怪，因為這個惡意代碼并不屬于病毒和黑客程序的范疇)。


四、在網上遇到的一些非法網站，如果它要求你下載或者點擊什么東西，要先看看說明，最好不要輕易相信。以前報紙上介紹的因為下載一個程序而造成撥號上網用戶支付國際長途電話費就是一個慘痛的教訓。


像筆者的朋友那樣因為在網上不聽網頁版主的勸告，硬要去試一試那些程序，結果糊里糊涂地硬盤被格，這個教訓大家也要好好地汲取。