除了ADSL撥號上網(wǎng)外，小區(qū)寬帶上網(wǎng)也是很普遍的上網(wǎng)方式。如果你采用的是小區(qū)寬帶上網(wǎng)，是否覺得路由器僅僅就是個(gè)上網(wǎng)工具呢？其實(shí)不然，利用好你的路由器，還能夠防范黑客的攻擊呢。下面就讓我們來實(shí)戰(zhàn)一番。

　　目的：限制外部電腦連接本小區(qū)的192.168.0.1這臺主機(jī)的23(telnet)、80(www)、3128等Port。

　　前提：Router接內(nèi)部網(wǎng)絡(luò)的接口是Ethernet0/1，每一個(gè)命令之后按Enter執(zhí)行，以Cisco路由為準(zhǔn)。

　　步驟1 在開始菜單中選擇運(yùn)行，在彈出的對話框中輸入“cmd”并回車，出現(xiàn)窗口后，在提示符下連接路由器，指令格式為“telnet 路由器IP地址”。當(dāng)屏幕上要求輸入telnet password時(shí)(多數(shù)路由器顯示的是“Login”字樣)，輸入密碼并確認(rèn)無誤后，再輸入指令enable，屏幕上顯示要求輸入enable password時(shí)輸入密碼。

　　提示：這兩個(gè)密碼一般由路由器生產(chǎn)廠商或者經(jīng)銷商提供，可以打電話查詢。

　　步驟2 輸入指令Router# configure termihal即可進(jìn)入路由器的配置模式，只有在該模式下才能對路由器進(jìn)行設(shè)置。

　　步驟3 進(jìn)入配置模式后，輸入指令Router (config)#access -list 101 deny tcp any host 192.168.0.1 eq telnet，該指令的作用是設(shè)定訪問列表(access list)，該命令表示拒絕連接到IP地址為192.168.0.1的主機(jī)的屬于端口(Port) 23(telnet)的任何請求。

　　步驟4 輸入Router (config)#aecess -list 101 deny tcp any host 192.168.0.1 eq www 指令以拒絕來自任何地方對IP地址為192.168.0.1的主機(jī)的屬于端口80(www)的請求。

　　步驟5 最后需要拒絕的是來自任何地方對IP地址為192.168.0.1的主機(jī)屬于端口3128的訪問，這需要輸入指令Router(config)#access list 101 deny tcp any host 192.168.0.1 eq 3128來完成。

　　步驟6 到此，已經(jīng)設(shè)置好我們預(yù)期的訪問列表了，但是，為了讓其他的所有IP能夠順利訪問，我們還需要輸入Router(config)#aceess -list 101 permit ip any any來允許其他訪問請求。

　　但是，為了讓路由器能夠執(zhí)行我們所做的訪問列表，我們還需要把這個(gè)列表加入到接口檢查程序，具體操作如下。

　　輸入指令Router(config)#interface eO/1進(jìn)入接口(interface) ethernet 0/1，然后鍵入指令Router(config-if)#ip access-group 101 out 將訪問列表實(shí)行于此接口上。這樣一來，任何要離開接口的TCP封包，均須經(jīng)過此訪問列表規(guī)則的檢查，即來自任何地方對IP地址為192.168.0.1的主機(jī)，端口(port)屬于telnet(23)，www(80)，3128的訪問一律拒絕通過。最后，輸入指令write將設(shè)定寫入啟動配置，就大功告成了。

　　這樣一來，你的主機(jī)就安全多了，雖然只是禁止了幾個(gè)常用端口，但是能把不少搞惡作劇的人拒之門外。另外，如果看見有什么端口可能會遭到攻擊或者有漏洞了，你也可以通過上面的方法來將漏洞堵住。

每一項(xiàng)服務(wù)都對應(yīng)相應(yīng)的端口，比如眾如周知的WWW服務(wù)的端口是80，smtp是25，ftp是21，win2000安裝中默認(rèn)的都是這些服務(wù)開啟的。對于個(gè)人用戶來說確實(shí)沒有必要，關(guān)掉端口也就是關(guān)閉無用的服務(wù)。


“控制面板”的“管理工具”中的“服務(wù)”中來配置。


1、關(guān)閉7.9等等端口：關(guān)閉Simple TCP/IP Service,支持以下TCP/IP服務(wù)：Character Generator,Daytime, Discard, Echo, 以及 Quote of the Day。


2、關(guān)閉80口：關(guān)掉WWW服務(wù)。在“服務(wù)”中顯示名稱為"World Wide Web Publishing Service"，通過 Internet 信息服務(wù)的管理單元提供 Web 連接和管理。


3、關(guān)掉25端口：關(guān)閉Simple Mail Transport Protocol (SMTP)服務(wù)，它提供的功能是跨網(wǎng)傳送電子郵件。


4、關(guān)掉21端口：關(guān)閉FTP Publishing Service,它提供的服務(wù)是通過 Internet 信息服務(wù)的管理單元提供 FTP 連接和管理。


5、關(guān)掉23端口：關(guān)閉Telnet服務(wù)，它允許遠(yuǎn)程用戶登錄到系統(tǒng)并且使用命令行運(yùn)行控制臺程序。


6、還有一個(gè)很重要的就是關(guān)閉server服務(wù)，此服務(wù)提供RPC支持、文件、打印以及命名管道共享。關(guān)掉它就關(guān)掉了win2k的默認(rèn)共享，比如ipc$、c$、admin$等等，此服務(wù)關(guān)閉不影響您的其他操作。


7、還有一個(gè)就是139端口，139端口是NetBIOS　Session端口，用來文件和打印共享，注意的是運(yùn)行samba的unix機(jī)器也開放了139端口，功能一樣。以前流光2000用來判斷對方主機(jī)類型不太準(zhǔn)確，估計(jì)就是139端口開放既認(rèn)為是NT機(jī)，現(xiàn)在好了。


關(guān)閉139口聽方法是在“網(wǎng)絡(luò)和撥號連接”中“本地連接”中選取“Internet協(xié)議(TCP/IP)”屬性，進(jìn)入“高級TCP/IP設(shè)置”“WINS設(shè)置”里面有一項(xiàng)“禁用TCP/IP的NETBIOS”，打勾就關(guān)閉了139端口。


對于個(gè)人用戶來說，可以在各項(xiàng)服務(wù)屬性設(shè)置中設(shè)為“禁用”，以免下次重啟服務(wù)也重新啟動，端口也開放了。

大家在使用DOS的過程中，經(jīng)常在命令行方式下遇到一些錯(cuò)誤信息提示，由于往往是英文的，導(dǎo)致一些人看到后不知是怎么回事，更不知該如何解決了。下面，我就將常見的DOS命令行方式下的錯(cuò)誤信息向大家介紹一下。

[英文] Bad command or file name

[譯文] 錯(cuò)誤的命令或文件名

錯(cuò)誤原因和解決：

這大概是大家最常見到的錯(cuò)誤提示了，它的意思是輸入的命令無效。當(dāng)輸入的命令既不是DOS內(nèi)部命令，而且系統(tǒng)在查找路徑或指定路徑中找不到相應(yīng)的可執(zhí)行文件的話，就會出現(xiàn)此錯(cuò)誤信息。您可以檢查輸入的命令是否正確，如是否打錯(cuò)了字母等。

[英文] Access Denied

[譯文] 拒絕存取

錯(cuò)誤原因和解決：

這也是一個(gè)常見的錯(cuò)誤，出現(xiàn)的情況很多，如在用DEL命令刪除具有只讀屬性的文件，或者在多任務(wù)環(huán)境下有多個(gè)進(jìn)程同時(shí)存取同一文件，以及試圖在設(shè)有只讀權(quán)限的網(wǎng)絡(luò)文件夾中寫入文件的時(shí)候。解決的方法也很簡單，只需去掉文件的只讀、隱含等屬性，或保證同一時(shí)候只有一個(gè)進(jìn)程在讀寫文件，及去掉網(wǎng)絡(luò)文件夾的只讀權(quán)限即可。

[英文] Drive not ready

[譯文] 驅(qū)動器未準(zhǔn)備好

錯(cuò)誤原因和解決：

相信大家都遇到過這個(gè)錯(cuò)誤信息吧！尤其是在存取可移動磁盤（包括軟盤和光盤）的時(shí)候更是常見到。解決方法是將磁盤插好后重試即可。

[英文] Write protect error

[譯文] 寫保護(hù)錯(cuò)誤

錯(cuò)誤原因和解決：

當(dāng)試圖向?qū)懥吮Ｗo(hù)的磁盤（通常是軟盤）寫入信息的時(shí)候就會出現(xiàn)該錯(cuò)誤。將磁盤的寫保護(hù)去掉即可。

[英文] General error

[譯文] 常規(guī)錯(cuò)誤

錯(cuò)誤原因和解決：

此錯(cuò)誤通常出現(xiàn)在DOS無法識別指定的磁盤的格式的情況下，如軟盤未格式化。用FORMAT等命令格式化磁盤或轉(zhuǎn)換成DOS能識別的格式即可。

[英文] Abort,Retry,Ignore,Fail?

[譯文] 中止，重試，忽略，失敗？

錯(cuò)誤原因和解決：

此錯(cuò)誤信息的出現(xiàn)頻率非常高，比如在磁盤未準(zhǔn)備好的時(shí)候。輸入A則取消操作，然后返回DOS提示符下，輸入R則表示再試一次，輸入I則表示忽略此錯(cuò)誤并繼續(xù)，最好不要使用，輸入F則表示跳過此錯(cuò)誤，經(jīng)常選擇此項(xiàng)。

[英文] File not found

[譯文] 文件未找到

錯(cuò)誤原因和解決：

在使用很多命令的時(shí)候若找不到指定的文件就會出現(xiàn)該提示。例如使用DIR命令的時(shí)候，若指定的文件不存在，該錯(cuò)誤信息就會出現(xiàn)。解決方法是將文件名輸入正確。

[英文] Incorrect DOS version

[譯文] 錯(cuò)誤的DOS版本

錯(cuò)誤原因和解決：

當(dāng)要執(zhí)行的命令發(fā)現(xiàn)當(dāng)前的DOS版本與這個(gè)命令所期待的DOS版本不相同的時(shí)候就會出現(xiàn)此錯(cuò)誤信息。具體情況和解決方法請見本站的“DOS文章”欄目中的文章。

[英文] Invalid directory

[譯文] 非法目錄

錯(cuò)誤原因和解決：

如果輸入了不存在或無效的目錄的時(shí)候就會出現(xiàn)該提示。可檢查是否輸入有誤。

[英文] Invalid Drive Specification

[譯文] 指定的驅(qū)動器非法

錯(cuò)誤原因和解決：

當(dāng)輸入的驅(qū)動器不存在的時(shí)候就會出現(xiàn)該提示。請檢查是否存在該驅(qū)動器。有些驅(qū)動器（如NTFS卷，光驅(qū)，網(wǎng)絡(luò)驅(qū)動器等）則需要加載相應(yīng)的驅(qū)動程序才能被識別。

[英文] Syntax error

[譯文] 語法錯(cuò)誤

錯(cuò)誤原因和解決：

此命令在使用一些批處理命令（如IF，F(xiàn)OR等）時(shí)比較常見，可檢查是否輸入了無效的語法。以FOR命令為例，它的語法是FOR %F IN (文件名) DO 命令，不能將此語法格式弄錯(cuò)了（如輸反了或漏了等），必須輸入正確的命令才能得到相就的結(jié)果。

[英文] Required parameter missing

[譯文] 缺少必要的參數(shù)

錯(cuò)誤原因和解決：

如果在執(zhí)行命令（如DEL）漏掉了它要正常完成功能所需的參數(shù)時(shí)，就會出現(xiàn)該提示。

[英文] Invalid parameter

[譯文] 非法參數(shù)

錯(cuò)誤原因和解決：

出現(xiàn)在執(zhí)行命令時(shí)輸入了無效的參數(shù)。可以檢查輸入的參數(shù)是否正確，有沒有拼寫錯(cuò)誤等。如果您不知道有哪些參數(shù)的話，通常可以使用此命令的/?選項(xiàng)來看參數(shù)列表。


[英文] Not enough memory 或 Insufficient memory

[譯文] 內(nèi)存不足

錯(cuò)誤原因和解決：

如果在執(zhí)行程序時(shí)程序發(fā)現(xiàn)所需的內(nèi)存大于可以使用的內(nèi)存（通常是指常規(guī)內(nèi)存）時(shí)就會出現(xiàn)此信息。造成內(nèi)存不足的情況如執(zhí)行了過多過大的內(nèi)存駐留程序，或系統(tǒng)內(nèi)存未經(jīng)過很好的配置等。大家可以看本欄目中的“DOS下內(nèi)存的配置”。

[英文] Divide overflow 或 Divide by zero

[譯文] 除數(shù)為零

錯(cuò)誤原因和解決：

如果在系統(tǒng)不穩(wěn)定，與其它程序有沖突，或程序本身有問題的情況下運(yùn)行程序的話就會出現(xiàn)此錯(cuò)誤。可以重新啟動系統(tǒng)后再運(yùn)行此程序試試。

[英文] Runtime error xxx

[譯文] 運(yùn)行時(shí)間錯(cuò)誤xxx

錯(cuò)誤原因和解決：

和以上的“除數(shù)為零”錯(cuò)誤類似。如果xxx的值為200的話，可以見“DOS文章”欄目。

[英文] Error in EXE file

[譯文] EXE文件有錯(cuò)誤

錯(cuò)誤原因和解決：

通常是這個(gè)可執(zhí)行文件已經(jīng)損壞，已不能夠再使用。使用一個(gè)好的就可以了。

以上是常見的DOS命令行方式下的錯(cuò)誤信息，大家可以利用上文將故障排除。

自帶的關(guān)于網(wǎng)絡(luò)的命令行工具很多，比如大家熟悉的Ping、Tracert、Ipconfig、Telnet、Ftp、Tftp、Netstat，還有不太熟悉的Nbtstat、Pathping、Nslookup、Finger、Route、Netsh等等。

這些命令又可分成三類：網(wǎng)絡(luò)檢測（如Ping）、網(wǎng)絡(luò)連接（如Telnet）和網(wǎng)絡(luò)配置（如Netsh）。前面兩種相對簡單，本文只介紹兩個(gè)網(wǎng)絡(luò)配置工具。

Netsh

在遠(yuǎn)程Shell中使用Netsh首先要解決一個(gè)交互方式的問題。前面說過，很多Shell不能再次重定向輸出輸出，所以不能在這種環(huán)境下交互地使用Ftp等命令行工具。解決的辦法是，一般交互式的工具都允許使用腳本（或者叫應(yīng)答文件）。比如ftp -s:filename。Netsh也是這樣：netsh -f filename。

Netsh命令的功能非常多，可以配置IAS、DHCP、RAS、WINS、NAT服務(wù)器，TCP/IP協(xié)議，IPX協(xié)議，路由等。我們不是管理員，一般沒必要了解這么多，只需用netsh來了解目標(biāo)主機(jī)的網(wǎng)絡(luò)配置信息。

1、TCP/IP配置


echo interface ip >s
echo show config >>s
netsh -f s
del s


由此你可以了解該主機(jī)有多個(gè)網(wǎng)卡和IP，是否是動態(tài)分配IP(DHCP)，內(nèi)網(wǎng)IP是多少（如果有的話）。

這個(gè)命令和ipconfig /all差不多。

注意，以下命令需要目標(biāo)主機(jī)啟動remoteaccess服務(wù)。如果它被禁用，請先通過導(dǎo)入注冊表解禁，然后


net start remoteaccess

<strong>2、ARP</strong>

echo interface ip >s
echo show ipnet >>s
netsh -f s
del s


這個(gè)比arp -a命令多一點(diǎn)信息。


3、TCP/UDP連接


echo interface ip >s
echo show tcpconn >>s
echo show udpconn >>s
netsh -f s
del s


這組命令和netstat -an一樣。

4、網(wǎng)卡信息

如果Netsh命令都有其他命令可代替，那它還有什么存在的必要呢？下面這個(gè)就找不到代替的了。


echo interface ip >s
echo show interface >>s
netsh -f s
del s


Netsh的其他功能，比如修改IP，一般沒有必要使用（萬一改了IP后連不上，就“叫天不應(yīng)叫地不靈”了），所以全部略過。

IPSec

首先需要指出的是，IPSec和TCP/IP篩選是不同的東西，大家不要混淆了。TCP/IP篩選的功能十分有限，遠(yuǎn)不如IPSec靈活和強(qiáng)大。下面就說說如何在命令行下控制IPSec。

XP系統(tǒng)用ipseccmd，2000下用ipsecpol。遺憾的是，它們都不是系統(tǒng)自帶的。ipseccmd在xp系統(tǒng)安裝盤的SUPPORT\TOOLS\SUPPORT.CAB中，ipsecpol在2000 Resource Kit里。而且，要使用ipsecpol還必須帶上另外兩個(gè)文件：ipsecutil.dll和text2pol.dll。三個(gè)文件一共119KB。

IPSec可以通過組策略來控制，但我找遍MSDN，也沒有找到相應(yīng)的安全模板的語法。已經(jīng)配置好的IPSec策略也不能被導(dǎo)出為模板。所以，組策略這條路走不通。IPSec的設(shè)置保存在注冊表中(HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local)，理論上可以通過修改注冊表來配置IPSec。但很多信息以二進(jìn)制形式存放，讀取和修改都很困難。相比之下，上傳命令行工具更方便。

關(guān)于Ipsecpol和Ipseccmd的資料，網(wǎng)上可以找到很多，因此本文就不細(xì)說了，只是列舉一些實(shí)用的例子。

在設(shè)置IPSec策略方面，ipseccmd命令的語法和ipsecpol幾乎完全一樣，所以只以ipsecpol為例：

1、防御Rpc-dcom攻擊


ipsecpol -p myfirewall -r rpc-dcom -f *+0:135:tcp *+0:135:udp *+0:137:udp *+0:138:udp *+0:139:tcp
*+0:445:tcp *+0:445:udp -n BLOCK -w reg -x


這條命令關(guān)閉了本地主機(jī)的TCP135,139,445和udp135,137,138,445端口。

具體含義如下：


-p myfirewall 指定策略名為myfirewall
-r rpc-dcom 指定規(guī)則名為rpc-dcom
-f ...... 建立7個(gè)篩選器。*表示任何地址(源)；0表示本機(jī)地址(目標(biāo))；+表示鏡像(雙向)篩選。
詳細(xì)語法見ipsecpol -?
-n BLOCK 指定篩選操作是"阻塞"。注意，BLOCK必須是大寫。
-w reg 將配置寫入注冊表，重啟后仍有效。
-x 立刻激活該策略。



2、防止被Ping


ipsecpol -p myfirewall -r antiping -f *+0::icmp -n BLOCK -w reg -x


如果名為myfirewall的策略已存在，則antiping規(guī)則將添加至其中。

注意，該規(guī)則同時(shí)也阻止了該主機(jī)ping別人。

3、對后門進(jìn)行IP限制

假設(shè)你在某主機(jī)上安裝了DameWare Mini Remote Control。為了保護(hù)它不被別人暴破密碼或溢出，應(yīng)該限制對其服務(wù)端口6129的訪問。


ipsecpol -p myfw -r dwmrc_block_all -f *+0:6129:tcp -n BLOCK -w reg
ipsecpol -p myfw -r dwmrc_pass_me -f 123.45.67.89+0:6129:tcp -n PASS -w reg -x


這樣就只有123.45.67.89可以訪問該主機(jī)的6129端口了。

如果你是動態(tài)IP，應(yīng)該根據(jù)IP分配的范圍設(shè)置規(guī)則。比如：


ipsecpol -p myfw -r dwmrc_block_all -f *+0:6129:tcp -n BLOCK -w reg
ipsecpol -p myfw -r dwmrc_pass_me -f 123.45.67.*+0:6129:tcp -n PASS -w reg -x


這樣就允許123.45.67.1至123.45.67.254的IP訪問6129端口。

在寫規(guī)則的時(shí)候，應(yīng)該特別小心，不要把自己也阻塞了。如果你不確定某個(gè)規(guī)則的效果是否和預(yù)想的一樣，可以先用計(jì)劃任務(wù)"留下后路"。例如：


c:\>net start schedule
Task Scheduler 服務(wù)正在啟動 ..
Task Scheduler 服務(wù)已經(jīng)啟動成功。

c:\>time /t
12:34

c:\>at 12:39 ipsecpol -p myfw -y -w reg


新加了一項(xiàng)作業(yè)，其作業(yè) ID = 1。

然后，你有5分鐘時(shí)間設(shè)置一個(gè)myfw策略并測試它。5分鐘后計(jì)劃任務(wù)將停止該策略。

如果測試結(jié)果不理想，就刪除該策略。


c:\>ipsecpol -p myfw -o -w reg


注意，刪除策略前必須先確保它已停止。不停止它的話，即使刪除也會在一段時(shí)間內(nèi)繼續(xù)生效。持續(xù)時(shí)間取決于策略的刷新時(shí)間，默認(rèn)是180分鐘。

如果測試通過，那么就啟用它。


c:\>ipsecpol -p myfw -x -w reg


最后說一下查看IPSec策略的辦法。

對于XP很簡單，一條命令搞定--ipseccmd show filters

而ipsecpol沒有查詢的功能。需要再用一個(gè)命令行工具netdiag。它位于2000系統(tǒng)安裝盤的SUPPORT\TOOLS\SUPPORT.CAB中。（已經(jīng)上傳了三個(gè)文件，也就不在乎多一個(gè)了。）

Netdiag需要RemoteRegistry服務(wù)的支持。所以先啟動該服務(wù)：

Net start remoteregistry

不啟動RemoteRegistry就會得到一個(gè)錯(cuò)誤：


[FATAL] Failed to get system information of this machine.


netdiag這個(gè)工具功能十分強(qiáng)大，與網(wǎng)絡(luò)有關(guān)的信息都可以獲取！不過，輸出的信息有時(shí)過于詳細(xì)，超過命令行控制臺cmd.exe的輸出緩存，而不是每個(gè)遠(yuǎn)程cmd shell都可以用more命令來分頁的。

查看Ipsec策略的命令是：


netdiag /debug /test:ipsec


然后是一長串輸出信息。IPSec策略位于最后。

軟件安裝

一個(gè)軟件/工具的安裝過程，一般來說只是做兩件事：拷貝文件到特定目錄和修改注冊表。只要搞清楚具體的內(nèi)容，那么就可以自己在命令行下實(shí)現(xiàn)了。（不考慮安裝后需要注冊激活等情況）

WinPcap是個(gè)很常用的工具，但必須在窗口界面下安裝。在網(wǎng)上也可以找到不用GUI的版本（但還是有版權(quán)頁），其實(shí)我們完全可以自己做一個(gè)。

以WinPcap 3.0a 為例。通過比較安裝前后的文件系統(tǒng)和注冊表快照，很容易了解整個(gè)安裝過程。

除去反安裝的部分，關(guān)鍵的文件有三個(gè)：wpcap.dll，packet.dll和npf.sys。前面兩個(gè)文件位于system32目錄下，第三個(gè)在system32\drivers下。而注冊表的變化是增加了一個(gè)系統(tǒng)服務(wù)NPF。注意，是系統(tǒng)服務(wù)（即驅(qū)動）不是Win32服務(wù)。

作為系統(tǒng)服務(wù)，不但要在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下增加主鍵，在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root下也增加主鍵。而后者默認(rèn)只有SYSTEM身份才可以修改。幸運(yùn)的是，并不需要手動添加它，winpcap被調(diào)用時(shí)會自動搞定。甚至完全不用手動修改注冊表，所有的事winpcap都會自己完成，只需要將三個(gè)文件復(fù)制到合適的位置就行了。


作為范例，還是演示一下如何修改注冊表：利用前面說過的inf文件來實(shí)現(xiàn)。


[Version]
Signature="$WINDOWS NT$"
[DefaultInstall.Services]
AddService=NPF,,winpcap_svr
[winpcap_svr]
DisplayName=Netgroup Packet Filter
ServiceType=0x1
StartType=3
ErrorControl=1
ServiceBinary=%12%\npf.sys


將上面這些內(nèi)容保存為_wpcap_.inf文件。

再寫一個(gè)批處理_wpcap_.bat：


rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 %CD%\_wpcap_.inf
del _wpcap_.inf
if /i %CD%==%SYSTEMROOT%\system32 goto COPYDRV
copy packet.dll %SYSTEMROOT%\system32\
copy wpcap.dll %SYSTEMROOT%\system32\
del packet.dll
del wpcap.dll
:COPYDRV
if /i %CD%==%SYSTEMROOT%\system32\drivers goto END
copy npf.sys %SYSTEMROOT%\system32\drivers\
del npf.sys
:END
del %0


然后用Winrar將所有文件（5個(gè)）打包為自解壓的exe，并將『高級自解壓選項(xiàng)』->『解壓后運(yùn)行』設(shè)置為_wpcap_.bat，命令行的winpcap安裝包就制作完成了。

注意，批處理最后一行沒有回車符。否則會因?yàn)檎谶\(yùn)行而無法刪除自己。

所有的軟件安裝，基本上可以套用這個(gè)思路。但也有例外的，那就是系統(tǒng)補(bǔ)丁的安裝。

由于系統(tǒng)補(bǔ)丁有可能要替換正在被執(zhí)行或訪問的文件，所以用copy命令是不行的。

幸好，Windows補(bǔ)丁包支持命令行安裝。

比如：


KB824146.exe -n -z -q

-n 不保留備份
-z 不重起
-q 安靜模式


如果有一堆補(bǔ)丁要打，那么用RAR打包成自解壓文件，外加一個(gè)批處理。


for %%f in (KB??????.exe) do %%f -n -z -q
for %%f in (KB??????.exe) do del %%f
del %0


Windows腳本

很多事用腳本來做是很簡潔的。下面給出幾個(gè)常用腳本的echo版。

1、顯示系統(tǒng)版本


@echo for each ps in getobject _ >ps.vbs
@echo ("winmgmts:\\.\root\cimv2:win32_operatingsystem").instances_ >>ps.vbs
@echo wscript.echo ps.caption^&" "^&ps.version:next >>ps.vbs
cscript //nologo ps.vbs & del ps.vbs


2、列舉進(jìn)程


@echo for each ps in getobject _ >ps.vbs
@echo ("winmgmts:\\.\root\cimv2:win32_process").instances_ >>ps.vbs
@echo wscript.echo ps.handle^&vbtab^&ps.name^&vbtab^&ps.executablepath:next >>ps.vbs
cscript //nologo ps.vbs & del ps.vbs


3、終止進(jìn)程


@echo for each ps in getobject _ >pk.vbs
@echo ("winmgmts:\\.\root\cimv2:win32_process").instances_ >>pk.vbs
@echo if ps.handle=wscript.arguments(0) then wscript.echo ps.terminate:end if:next >>pk.vbs


要終止PID為123的進(jìn)程，使用如下語法：


cscript pk.vbs 123


如果顯示一個(gè)0，表示終止成功。

然后：


del pk.vbs


4、重啟系統(tǒng)


@echo for each os in getobject _ >rb.vbs
@echo ("winmgmts:{(shutdown)}!\\.\root\cimv2:win32_operatingsystem").instances_ >>rb.vbs
@echo os.win32shutdown(2):next >>rb.vbs & cscript //nologo rb.vbs & del rb.vbs


5、列舉自啟動的服務(wù)


@echo for each sc in getobject("winmgmts:\\.\root\cimv2:win32_service").instances_ >sc.vbs
@echo if sc.startmode="Auto" then wscript.echo sc.name^&" - "^&sc.pathname >>sc.vbs
@echo next >>sc.vbs & cscript //nologo sc.vbs & del sc.vbs


6、列舉正在運(yùn)行的服務(wù)

@echo for each sc in getobject("winmgmts:\\.\root\cimv2:win32_service").instances_ >sc.vbs
@echo if sc.state="Running" then wscript.echo sc.name^&" - "^&sc.pathname >>sc.vbs
@echo next >>sc.vbs & cscript //nologo sc.vbs & del sc.vbs



7、顯示系統(tǒng)最后一次啟動的時(shí)間


@echo for each os in getobject _ >bt.vbs
@echo ("winmgmts:\\.\root\cimv2:win32_operatingsystem").instances_ >>bt.vbs
@echo wscript.echo os.lastbootuptime:next >>bt.vbs & cscript //nologo bt.vbs & del bt.vbs

VoIP存在很多安全隱患，面臨很多安全威脅，但是這不是說VoIP的安全性就不可救藥，實(shí)際上隨著安全事件的屢次發(fā)生，眾多VoIP廠商也在不斷的實(shí)踐中積累著經(jīng)驗(yàn)，通過一些措施來更大限度的保障VoIP的安全。

　　但提高VoIP的安全性要雙管齊下，除了VoIP廠商要摒棄VoIP安全是一個(gè)附加產(chǎn)品的觀念，將安全技術(shù)一并根植于VoIP產(chǎn)品本身外；對于VoIP使用者而言，要充分意識到, VoIP設(shè)備的安全直接影響著整個(gè)企業(yè)基礎(chǔ)網(wǎng)絡(luò)的安全，作為管理者不要認(rèn)為采用VoIP產(chǎn)品僅僅是添加了一部網(wǎng)絡(luò)電話，如果不做好完備的防護(hù)措施，它很有可能將成為黑客輕松進(jìn)入企業(yè)內(nèi)網(wǎng)的一扇門，因此企業(yè)應(yīng)選用來自IT或數(shù)據(jù)部門的專業(yè)人士來管理IP通訊系統(tǒng)，而并非原有的語音部門，這些人必須比管理傳統(tǒng)PBX的專業(yè)人員更謹(jǐn)慎小心。

　　可以看出VoIP面臨的安全問題實(shí)際上大部分是IP網(wǎng)絡(luò)所面臨的問題。因此常規(guī)的安全措施是首先要保證的，另外VoIP應(yīng)用的特殊性使其需要特殊的措施來加強(qiáng)安全性，下面筆者推薦幾種防范小措施。這幾個(gè)措施可能并沒有使用什么高深的技術(shù)，但采取這幾種措施之后可能會幫助你的網(wǎng)絡(luò)堵住VoIP大漏洞。

　　VoIP統(tǒng)一到一個(gè)VLAN中 便于設(shè)置QoS策略

　　筆者見到很多用戶部署VoIP時(shí)，往往采用VoIP和一般性數(shù)據(jù)混合在一個(gè)網(wǎng)絡(luò)之中。這種部署方式的最大軟肋在于，因VoIP對帶寬以及QoS的需求與一般數(shù)據(jù)并不相同，將直接導(dǎo)致交換、路由器以及網(wǎng)絡(luò)上諸多安全設(shè)備的傳輸效能大大降低。

　　將VoIP數(shù)據(jù)與一般性數(shù)據(jù)進(jìn)行甄別之后，分開傳輸無疑是最恰當(dāng)?shù)姆椒ā６@一方法也是思科等VoIP設(shè)備供應(yīng)商們的推薦方法之一。

　　具體方法是，將語音和數(shù)據(jù)劃分到不同的虛擬局域網(wǎng)（VLAN）中分開，讓語音和數(shù)據(jù)在不同的虛擬局域網(wǎng)上傳輸；將VoIP統(tǒng)一到同一個(gè)VLAN中，在同一VLAN中傳輸?shù)臄?shù)據(jù)對服務(wù)質(zhì)量（QoS）要求相同，可以簡化服務(wù)質(zhì)量（QoS）設(shè)置。QoS設(shè)置簡化后，用戶只需為VoIP虛擬局域網(wǎng)賦予優(yōu)先級即可。有一點(diǎn)需要注意，當(dāng)VoIP如果要通過路由器進(jìn)行傳輸，仍需要第三層服務(wù)質(zhì)量。

　　這種方法帶來直接的好處是，兩者分開還可以將語音網(wǎng)絡(luò)從數(shù)據(jù)VLAN中隱藏起來，可以有效地解決數(shù)據(jù)欺騙、DoS攻擊等，因此沒有了可能會發(fā)起攻擊的計(jì)算機(jī)，你的VoIP網(wǎng)絡(luò)就會安全很多。

加固你的VoIP服務(wù)器防范竊聽

　　實(shí)際上，將VoIP信號統(tǒng)一到同一個(gè)VLAN中，除了上述優(yōu)點(diǎn)之外，還可以大大降低竊聽電話現(xiàn)象的發(fā)生。如果語音包被人用分析儀獲取，重放語音就輕而易舉。虛擬局域網(wǎng)可以阻止有人從外面發(fā)動攻擊。

　　俗話說"家賊難防"，上述方法只能防范外部網(wǎng)絡(luò)電話的竊聽行為，對內(nèi)部攻擊卻難以預(yù)防。因?yàn)閮?nèi)部人員只要將任意一個(gè)終端設(shè)備接入網(wǎng)絡(luò)之中，進(jìn)行適當(dāng)配置，披上偽裝成為VoIP虛擬局域網(wǎng)的一部分，就可以任意竊聽。要防止這種破壞，最好的辦法就是購買具有強(qiáng)加密功能的VoIP電話，而這種方法要奏效，每只電話都要有加密功能。這種防范方法造價(jià)高，其保密效果到底能提升到何種程度，都很難說。

　　另外一種更為直接有效的方法是"釜底抽薪"。也就是將VoIP服務(wù)器從物理上杜絕內(nèi)部和外部攻擊者，以避免別有用心者利用偵聽技術(shù)來截取VoIP信息。具體方法是，鎖定能夠訪問VoIP管理界面的IP地址和MAC地址，同時(shí)在SIP網(wǎng)關(guān)前放置防火墻，以達(dá)到只允許合法用戶才可以進(jìn)入相關(guān)VoIP系統(tǒng)。

　　譬如說，Ingate公司的防火墻就是為基于SIP的VoIP系統(tǒng)而設(shè)計(jì)。Ingate最近宣布，如今其產(chǎn)品已通過了認(rèn)證，能夠與Avaya公司的基于SIP的產(chǎn)品協(xié)同工作。確保你實(shí)施的VoIP系統(tǒng)基于SIP，那樣以后需要安全選項(xiàng)功能時(shí)不至于只能求助于你現(xiàn)有的VoIP廠商。

　　有些用戶不僅使用防火墻，還對相關(guān)的VoIP數(shù)據(jù)包進(jìn)行加密。然而你可知道，僅僅加密發(fā)送出去的數(shù)據(jù)是不夠的，還必須加密所有呼叫信號。加密語音數(shù)據(jù)包可以防止語音插入。例如可以通過實(shí)時(shí)安全協(xié)議（SRTP）來加密節(jié)點(diǎn)之間的通信，通過TLS來加密整個(gè)過程。

　　監(jiān)視跟蹤、網(wǎng)絡(luò)冗余等手段抵御DoS攻擊

　　竊取VoIP帳號是黑客借助VoIP網(wǎng)絡(luò)偽裝成合法客戶，進(jìn)入企業(yè)網(wǎng)絡(luò)最常用的方法之一。為了竊取帳號，黑客可以說是不擇手段，甚至是采用暴力破解方法來攻擊某一個(gè)帳號的密碼，試圖破解控制它。這勢必會引起網(wǎng)絡(luò)流量驟增，引發(fā)DoS攻擊幾率大大增加。

　　通過部署合適的監(jiān)視工具和入侵檢測系統(tǒng)，可以幫助你發(fā)現(xiàn)試圖攻入你的VoIP網(wǎng)絡(luò)的各種嘗試。通過仔細(xì)觀察這些工具所記錄下來的日志，有助于你及時(shí)發(fā)現(xiàn)各種數(shù)據(jù)流量的異常狀況，從而可以發(fā)現(xiàn)是否有人試圖使用暴力破解帳號進(jìn)入網(wǎng)絡(luò)。

　　不得不承認(rèn)，無論你的防范多么嚴(yán)密，總會有攻擊的發(fā)生，因此請做好準(zhǔn)備應(yīng)對DoS攻擊或病毒導(dǎo)致網(wǎng)絡(luò)癱瘓，其中一個(gè)辦法就是增加冗余設(shè)計(jì)，一旦現(xiàn)在運(yùn)行著的系統(tǒng)遭受攻擊或出現(xiàn)意外，可以自動切換到另一套設(shè)備上，這樣可以最大限度地減少損失，為你發(fā)現(xiàn)并解決問題提供充裕的時(shí)間。

　　VoIP網(wǎng)絡(luò)的安全性很大程度上取決于網(wǎng)絡(luò)內(nèi)設(shè)備的操作系統(tǒng)和運(yùn)行在其上的各種應(yīng)用。及時(shí)維護(hù)操作系統(tǒng)和VoIP應(yīng)用系統(tǒng)的補(bǔ)丁，對于防范來自惡意軟件或病毒的威脅是非常重要的。事實(shí)上，很多攻擊都是利用了系統(tǒng)的漏洞。這一點(diǎn)與IP網(wǎng)絡(luò)的安全防御是一致的。

　　制定一個(gè)計(jì)劃，把自己的角色轉(zhuǎn)換成一個(gè)黑客的身份，那么嘗試用各種辦法來攻擊你的VoIP系統(tǒng)吧，盡管找不到攻擊入口并不代表你的VoIP系統(tǒng)就是安全的，但是如果能找到入口，那么別人也可以，趕快采取辦法來堵住這個(gè)漏洞。

　　加固VoIP網(wǎng)絡(luò)的辦法絕不僅如此，本文只撿一些必要的幾點(diǎn)進(jìn)行介紹。然而這并不是最重要的，比這更重要的是，我們要正確面對VoIP存在的安全問題，既要承認(rèn)它的存在，又要相信通過合理、良好的設(shè)計(jì)和良好的安全習(xí)慣，我們可以把其安全風(fēng)險(xiǎn)控制在可以接受的范圍之內(nèi)。

這些東西惡心程度..我不想再說了..如題寫分析..

運(yùn)行 logo1_.exe
釋放文件
C:\WINDOWS\logo1_.exe (與威金病毒文件存放路徑和文件名相同..)
C:\WINDOWS\SYSTEM32.vxd
C:\WINDOWS\SYSTEM32.TMP
C:\WINDOWS\SYSTEM32.vxd.dat
-----------------------------------------------------
寫入注冊表
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"logo1_.exe"="C:\WINDOWS\logo1_.exe"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"logo1_.exe"="C:\WINDOWS\logo1_.exe"-
-----------------------------------------------------
logo1_.exe 運(yùn)行后 調(diào)用 cmd.exe 執(zhí)行命令 cmd.exe /c dir X:\*.exe /s /b >>C:\WINDOWS\SYSTEM32.vxd.dat
X為某個(gè)盤..
而后感染 X 盤內(nèi)的所有 .exe 文件..
感染后同樣釋放一個(gè)同名文件 后輟為 .exe.tmp
X盤內(nèi)
system volume information
recycled
倆個(gè)文件夾內(nèi)的 .exe 文件 感染后釋放同名文件 后輟為 .exe.dat
新添加的..
X 盤內(nèi)的每個(gè)文件夾內(nèi)釋放一個(gè) _desktop.ini
是學(xué)威金 還是 本來就出自 威金作者手里呢?
同時(shí)連入網(wǎng)絡(luò)下載木馬..這次文件名換了..
分別為
C:\WINDOWS\1.exe(Dro&#112;per.LMir.agi)
C:\WINDOWS\2.exe(瑞星不報(bào))
C:\WINDOWS\3.exe(Trojan.PSW.ZhengTu.aay)
C:\WINDOWS\4.exe(Trojan.PSW.LMir.lru)
C:\WINDOWS\5.exe(Trojan.Agent.zez)
C:\WINDOWS\6.exe(Trojan.DL.Agent.blt)
C:\WINDOWS\7.exe(Trojan.PSW.LMir.ljc)
C:\WINDOWS\8.exe(Trojan.PSW.WLOnline.cv)
被感染的.exe 文件..頭部寫入:19613字節(jié)尾部:5字節(jié)
匯編還看到些東西..
嘗試結(jié)束進(jìn)程
ravmon.exe
ravtask.exe
ravmon.exe
mcshield.exe
vstskmgr.exe
naprdmgr.exe
up&#100;aterui.exe
tbmon.exe
ravmond.exe
trojdie.kxp
frogagent.exe
rundll32.exe
system32\drivers\spoclsv.exe(反熊貓一道? 熊貓干威金 威金干熊貓精彩)
作者留下的字..還是不變..
地址=004081B7
反匯編=MOV EDX,1_.0040858C
文本字串=瑞星 卡巴 金山 諾盾 愛老虎油！！！！！！
--------------------------------------------------------------
簡單說說變化..
⒈ 感染的速度比上次那個(gè)快多了..上次是一個(gè)盤一個(gè)盤來..這次是除系統(tǒng)盤..其他盤一次性感染..
⒉ go.exe 和 autorun.inf 飛走咯..
⒊ _desktop.ini 都跟威金 學(xué)吧..
⒋ 結(jié)束安全軟件進(jìn)程和熊貓進(jìn)程..

在浩浩互聯(lián)網(wǎng)中，安全問題越來越重要，如何維護(hù)博客用戶的利益，保障網(wǎng)站的信息安全?

　　日前，有消息稱，病毒可在博客日志系統(tǒng)中隨意嵌入惡意代碼，這些惡意代碼可以傳播有害程序，從而讓博客網(wǎng)站稱為病毒的源頭。在浩浩互聯(lián)網(wǎng)中，安全問題越來越重要，如何維護(hù)博客用戶的利益，保障網(wǎng)站的信息安全?

　　日前筆者就此采訪了有關(guān)博客網(wǎng)站的技術(shù)負(fù)責(zé)人。

　　他們一致認(rèn)為網(wǎng)站安全是博客網(wǎng)站的頭等大事。為此各家博客網(wǎng)站都做了一定的預(yù)防病毒措施。技術(shù)專家介紹國內(nèi)外的博客網(wǎng)站在安全問題上已經(jīng)進(jìn)行了多年的探索，并已經(jīng)形成一套有效的安全機(jī)制。

　　我們可以從以下方面略作分析：

　　1，JavaScript代碼由系統(tǒng)管理

　　博客網(wǎng)站向來倡導(dǎo)自由化，個(gè)性化，為了使用戶的頁面更加生動有趣，博客網(wǎng)站允許用戶自行定制JavaScript特效，但為了防止用戶嵌入危險(xiǎn)的JavaScript代碼，博客網(wǎng)站為用戶提供的JavaScript代碼是由博客網(wǎng)站自己提供，用戶自身不得編寫JavaScript代碼，而且提供的JavaScript代碼通過了安全專家的精心挑選，這樣便從根本上杜絕了惡意代碼的滋生。

　　2，全方位監(jiān)控回復(fù)內(nèi)容

　　博客網(wǎng)站采用先進(jìn)的智能識別技術(shù)，其中之一便是能夠?qū)碜酝籌P的評論內(nèi)容進(jìn)行攔截，還可以通過先進(jìn)的算法發(fā)現(xiàn)兩篇評論的相似性，這樣便阻止了大量垃圾評論信息的產(chǎn)生，其次還通過智能學(xué)習(xí)功能，一旦發(fā)現(xiàn)評論中的惡意鏈接，就將其記錄到數(shù)據(jù)庫，防止其在此的出現(xiàn)。而且博客網(wǎng)站還允許用戶自行管理評論內(nèi)容，這樣雙管齊下，有效治理了回復(fù)中的安全隱患。

　　3，安全的附件監(jiān)控

　　信息時(shí)代到來，人們已經(jīng)不能僅僅滿足于文字的閱讀，而是更希望看到聲色并茂的有趣內(nèi)容，博客網(wǎng)站為了滿足用戶追求，允許用戶在自己的頁面中加入Flash等有趣的多媒體內(nèi)容，但博客網(wǎng)站一貫重視用戶的信息安全，通過大量工作，提出了一攬子解決方案，這些方案的實(shí)施既確保了用戶內(nèi)容的聲色并茂，同時(shí)也保證了安全，這些方案中比如限制用戶上載文件的類型，通過分析程序?qū)ξｋU(xiǎn)的flash進(jìn)行過濾都是很有效的方法。

　　技術(shù)專家介紹說，博客網(wǎng)站在努力提高自身技術(shù)的同時(shí)，也在努力工作在世界科技的最尖端，通過研究搜索引擎惡意鏈接分析技術(shù)(Search Engine SPAM)，目前已經(jīng)自行研發(fā)了一套有效的解決方案，消除了LinkSPAM ,保證了博客網(wǎng)站整體的清新。這樣就可以讓戶在發(fā)表自己的文章時(shí)悠然自得，倍感愜意!

　　博客中國的技術(shù)專家透露，博客網(wǎng)正在努力的尋求與世界知名信息安全公司的合作，開發(fā)了一套類似Email filter的保護(hù)系統(tǒng)，稱為blog filter ，這套系統(tǒng)的背后便是整套的安全解決體系，全方位的保護(hù)用戶的安全。

談起木馬，想必70%以上的服務(wù)器管理員都是談馬色變。有多少管理員沒有被木馬騷擾過，應(yīng)該很少。但作為通過80端口訪問的服務(wù)器端程序木馬，更讓服務(wù)器管理員大為頭疼。尤其是虛擬主機(jī)的安全問題更為嚴(yán)重。以ASP虛擬主機(jī)的情況最為嚴(yán)重，很多虛擬主機(jī)不得不大費(fèi)周折的去彌補(bǔ)。更者.Net主機(jī)的安全如果做不好，.Net的木馬功能強(qiáng)大的讓人瞠目結(jié)舌。

不僅僅是在asp,或asp.net 上，jsp也存在木馬，而且功能上也是相當(dāng)之強(qiáng)大。幾款JSP應(yīng)用服務(wù)器默認(rèn)運(yùn)行權(quán)限是ROOT，在window環(huán)境下也就是SYSTEM，要命的權(quán)限。JSP木馬強(qiáng)大到一般的服務(wù)端網(wǎng)頁后門無法比擬的程序。不僅僅是java.io.*,java.util.*,java.net.*包提供了強(qiáng)大的功能，而且在默認(rèn)權(quán)限上也是強(qiáng)大的支持。

JSP木馬如何防止我在GOOGLE上晃了半天也沒找一個(gè)好的解決方法，介紹上找到的都是Java沙箱的安全機(jī)制。java.policy的配置不是一般人能搞定的，而且不同的應(yīng)用程序都需要不同的配置感覺不是一般的麻煩了。看了一些關(guān)于java.security.acl包的應(yīng)用，頭大，也是麻煩。既然應(yīng)用到window環(huán)境下，何不嘗試使用Windows的ACL來做做文章？

拿Resin服務(wù)器做為例子：
1.建立新用戶組A，及其所屬用戶名a
2.將Resin注冊為window服務(wù)，自啟動
3.編輯resin服務(wù)屬性將啟動用戶改為a
4.編輯Resin服務(wù)器文件夾安全屬性為A組完全控制，當(dāng)然也可以根據(jù)不同情況給予特殊設(shè)定
5.將建立的網(wǎng)站目錄給于用戶a 讀取，寫入，刪除安全權(quán)限
6.驅(qū)除所有驅(qū)動器其他文件夾內(nèi)everyone權(quán)限,最好可以拒絕A組訪問，讀？不行.
這時(shí)，啟動Resin服務(wù)看看JSP木馬是不是不能運(yùn)行了？沒權(quán)限! 網(wǎng)絡(luò)上現(xiàn)有的幾個(gè)JSP木馬基本上都在這里掛了，看看可以，跳出去這個(gè)圈子不可能。

執(zhí)行安全配置有幾點(diǎn)值得注意：

1.resin應(yīng)用服務(wù)器目錄名搞的復(fù)雜些，最好連你自己都不記得
2.網(wǎng)站根文件名最好也復(fù)雜些，如果你打算把它忘記那也最好不過（很多人的想象力豐富的很吶，大意不得）
3.網(wǎng)站目錄下寫權(quán)限最好能根據(jù)需要給，能不給的絕不少給，不能不給也絕不多給
4.特別目錄下的你甚至可以用Servlet中的filter進(jìn)行過濾，別忘了全局filter的功能弓雖的很（這是對服務(wù)器管理員說的，取服務(wù)器環(huán)境變量在這里可以完全屏蔽掉）

通過上面的一番配置，JSP通過Web程序上傳JSP后門的可能不大，即使傳上去也只能在自己的目錄里折騰，只要他跳不出目錄，而且只是低權(quán)限運(yùn)行也就無所謂他干什么了。當(dāng)然安全是相對，首先保證沒問題的首當(dāng)其沖的就是window(linux)服務(wù)器的安全，這樣從全局看，這臺jsp服務(wù)器是安全的。

apache設(shè)置類似

在Internet大眾化及Web技術(shù)飛速演變的今天，在線安全所面臨的挑戰(zhàn)日益嚴(yán)峻。伴隨著在線信息和服務(wù)的可用性的提升，以及基子Web的攻擊和破壞的增長，安全風(fēng)險(xiǎn)達(dá)到了前所未有的高度。由于眾多安全工作集中在網(wǎng)絡(luò)本身上面，Web應(yīng)用程序幾乎被遺忘了。也許這是因?yàn)閼?yīng)用程序過去常常是在一臺計(jì)算機(jī)上運(yùn)行的獨(dú)立程序，如果這臺計(jì)算機(jī)安全的話，那么應(yīng)用程序就是安全的。如今，情況大不一樣了，Web應(yīng)用程序在多種不同的機(jī)器上運(yùn)行：客戶端、Web服務(wù)器、數(shù)據(jù)庫服務(wù)器和應(yīng)用服務(wù)器。而且，因?yàn)樗麄円话憧梢宰屗械娜耸褂茫赃@些應(yīng)用程序成為了眾多攻擊活動的后臺旁路。

由于Web服務(wù)器提供了幾種不同的方式將請求轉(zhuǎn)發(fā)給應(yīng)用服務(wù)器，并將修改過的或新的網(wǎng)頁發(fā)回給最終用戶，這使得非法闖入網(wǎng)絡(luò)變得更加容易。

而且，許多程序員不知道如何開發(fā)安全的應(yīng)用程序。他們的經(jīng)驗(yàn)也許是開發(fā)獨(dú)立應(yīng)用程序或Intranet Web應(yīng)用程序，這些應(yīng)用程序沒有考慮到在安全缺陷被利用時(shí)可能會出現(xiàn)災(zāi)難性后果。

其次，許多Web應(yīng)用程序容易受到通過服務(wù)器、應(yīng)用程序和內(nèi)部已開發(fā)的代碼進(jìn)行的攻擊。這些攻擊行動直接通過了周邊防火墻安全措施，因?yàn)槎丝?0或443（SSL，安全套接字協(xié)議層）必須開放，以便讓應(yīng)用程序正常運(yùn)行。Web應(yīng)用程序攻擊包括對應(yīng)用程序本身的DoS（拒絕服務(wù)）攻擊、改變網(wǎng)頁內(nèi)容以及盜走企業(yè)的關(guān)鍵信息或用戶信息等。

總之，Web應(yīng)用攻擊之所以與其他攻擊不同，是因?yàn)樗鼈兒茈y被發(fā)現(xiàn)，而且可能來自任何在線用戶，甚至是經(jīng)過驗(yàn)證的用戶。迄今為止，該方面尚未受到重視，因?yàn)槠髽I(yè)用戶主要使用防火墻和入侵檢測解決方案來保護(hù)其網(wǎng)絡(luò)的安全，而防火墻和入侵檢測解決方案發(fā)現(xiàn)不了Web攻擊行動。

常見的Web應(yīng)用安全漏洞

下面將列出一系列通常會出現(xiàn)的安全漏洞，并且簡單解釋一下這些漏洞是如何產(chǎn)生的。

已知弱點(diǎn)和錯(cuò)誤配置

已知弱點(diǎn)包括Web應(yīng)用使用的操作系統(tǒng)和第三方應(yīng)用程序中的所有程序錯(cuò)誤或者可以被利用的漏洞。這個(gè)問題也涉及到錯(cuò)誤配置，包含有不安全的默認(rèn)設(shè)置或管理員沒有進(jìn)行安全配置的應(yīng)用程序。一個(gè)很好的例子就是你的Web服務(wù)器被配置成可以讓任何用戶從系統(tǒng)上的任何目錄路徑通過，這樣可能會導(dǎo)致泄露存儲在Web服務(wù)器上的一些敏感信息，如口令、源代碼或客戶信息等。

隱藏字段

在許多應(yīng)用中，隱藏的HTML格式字段被用來保存系統(tǒng)口令或商品價(jià)格。盡管其名稱如此，但這些字段并不是很隱蔽的，任何在網(wǎng)頁上執(zhí)行“查看源代碼”的人都能看見。許多Web應(yīng)用允許惡意的用戶修改HTML源文件中的這些字段，為他們提供了以極小成本或無需成本購買商品的機(jī)會。這些攻擊行動之所以成功，是因?yàn)榇蠖鄶?shù)應(yīng)用沒有對返回網(wǎng)頁進(jìn)行驗(yàn)證；相反，它們認(rèn)為輸入數(shù)據(jù)和輸出數(shù)據(jù)是一樣的。

后門和調(diào)試漏洞

開發(fā)人員常常建立一些后門并依靠調(diào)試來排除應(yīng)用程序的故障。在開發(fā)過程中這樣做可以，但這些安全漏洞經(jīng)常被留在一些放在Internet上的最終應(yīng)用中。一些常見的后門使用戶不用口令就可以登錄或者訪問允許直接進(jìn)行應(yīng)用配置的特殊URL。

跨站點(diǎn)腳本編寫

一般來說，跨站點(diǎn)編寫腳本是將代碼插入由另一個(gè)源發(fā)送的網(wǎng)頁之中的過程。利用跨站點(diǎn)編寫腳本的一種方式是通過HTML格式，將信息帖到公告牌上就是跨站點(diǎn)腳本編寫的一個(gè)很好范例。惡意的用戶會在公告牌上帖上包含有惡意的JavaScript代碼的信息。當(dāng)用戶查看這個(gè)公告牌時(shí)，服務(wù)器就會發(fā)送HTML與這個(gè)惡意的用戶代碼一起顯示。客戶端的瀏覽器會執(zhí)行該代碼，因?yàn)樗J(rèn)為這是來自Web服務(wù)器的有效代碼。

參數(shù)篡改

參數(shù)篡改包括操縱URL字符串，以檢索用戶以其他方式得不到的信息。訪問Web應(yīng)用的后端數(shù)據(jù)庫是通過常常包含在URL中的SQL調(diào)用來進(jìn)行的。惡意的用戶可以操縱SQL代碼，以便將來有可能檢索一份包含所有用戶、口令、信用卡號的清單或者儲存在數(shù)據(jù)庫中的任何其他數(shù)據(jù)。

更改cookie

更改cookie指的是修改存儲在cookie中的數(shù)據(jù)。網(wǎng)站常常將一些包括用戶ID、口令、帳號等的cookie存儲到用戶系統(tǒng)上。通過改變這些值，惡意的用戶就可以訪問不屬于他們的帳戶。攻擊者也可以竊取用戶的cookie并訪問用戶的帳戶，而不必輸入ID和口令或進(jìn)行其他驗(yàn)證。

輸入信息控制

輸入信息檢查包括能夠通過控制由CGI腳本處理的HTML格式中的輸入信息來運(yùn)行系統(tǒng)命令。例如，使用CGI腳本向另一個(gè)用戶發(fā)送信息的形式可以被攻擊者控制來將服務(wù)器的口令文件郵寄給惡意的用戶或者刪除系統(tǒng)上的所有文件。

緩沖區(qū)溢出

緩沖區(qū)溢出是惡意的用戶向服務(wù)器發(fā)送大量數(shù)據(jù)以使系統(tǒng)癱瘓的典型攻擊手段。該系統(tǒng)包括存儲這些數(shù)據(jù)的預(yù)置緩沖區(qū)。如果所收到的數(shù)據(jù)量大于緩沖區(qū)，則部分?jǐn)?shù)據(jù)就會溢出到堆棧中。如果這些數(shù)據(jù)是代碼，系統(tǒng)隨后就會執(zhí)行溢出到堆棧上的任何代碼。Web應(yīng)用緩沖區(qū)溢出攻擊的典型例子也涉及到HTML文件。如果HTML文件上的一個(gè)字段中的數(shù)據(jù)足夠的大，它就能創(chuàng)造一個(gè)緩沖器溢出條件。

直接訪問瀏覽

直接訪問瀏覽指直接訪問應(yīng)該需要驗(yàn)證的網(wǎng)頁。沒有正確配置的Web應(yīng)用程序可以讓惡意的用戶直接訪問包括有敏感信息的URL或者使提供收費(fèi)網(wǎng)頁的公司喪失收入。

Web應(yīng)用安全兩步走

Web應(yīng)用攻擊能夠給企業(yè)的財(cái)產(chǎn)、資源和聲譽(yù)造成重大破壞。雖然Web應(yīng)用增加了企業(yè)受攻擊的危險(xiǎn)，但有許多方法可以幫助減輕這一危險(xiǎn)。首先，必須教育開發(fā)人員了解安全編碼方法。僅此項(xiàng)步驟就會消除大部分Web應(yīng)用的安全問題。其次，堅(jiān)持跟上所有廠商的最新安全補(bǔ)丁程序。如果不對已知的缺陷進(jìn)行修補(bǔ)，和特洛伊木馬一樣，攻擊者就能很容易地利用你的Web應(yīng)用程序穿過防火墻訪問Web服務(wù)器、數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器等等。將這兩項(xiàng)步驟結(jié)合起來，就會大大減少Web應(yīng)用受到攻擊的風(fēng)險(xiǎn)。同時(shí)管理人員必須采取嚴(yán)格措施，以保證不讓任何東西從這些漏洞中溜過去

通過下面 10 步來保護(hù) IIS：


1.為IIS 應(yīng)用程序和數(shù)據(jù)專門安裝一個(gè)NTFS 設(shè)備。如果有可能，不要允許IUSER（或其它任何匿名用戶名）去訪問任何其它設(shè)備。如果應(yīng)用程序因?yàn)槟涿脩魺o法訪問其它設(shè)備上的程序而出了問題，馬上使用Sysinternals 的FileMon 檢測出哪個(gè)文件無法訪問，并吧這個(gè)程序轉(zhuǎn)移到IIS 設(shè)備上。如果無法做到這些，就允許IUSER 訪問且只能訪問這個(gè)文件。


2.在設(shè)備上設(shè)置NTFS 權(quán)限：


Developers = Full（所有權(quán)限）


IUSER = Read and execute only（讀和執(zhí)行權(quán)限）


System and admin = Full（所有權(quán)限）


3.使用一個(gè)軟件_blank">防火墻，確認(rèn)沒有終端用戶能夠訪問 IIS 計(jì)算機(jī)上的除了 80 端口之外的其它端口。


4.使用Microsoft 工具鎖定計(jì)算機(jī)：IIS Lockdown和UrlScan.


5.啟用IIS 事件日志。除了使用IIS 事件日志之外，如果有可能的話，盡量也對_blank">防火墻啟用事件日志。


6.把日志文件從默認(rèn)的存儲位置移走，并保證對它們的備份。為日志文件建立一個(gè)重復(fù)的拷貝，以確保這個(gè)放在第二位置的拷貝是可用的。


7.在計(jì)算機(jī)上啟用Windows 審核，因?yàn)楫?dāng)我們試圖去追蹤那些攻擊者的行為的時(shí)候，我們總是缺少足夠的數(shù)據(jù)。通過使用審核日志，甚至有可能擁有一個(gè)腳本來進(jìn)行可疑行為的審核，這個(gè)腳本隨后會向管理員發(fā)送一個(gè)報(bào)告。這聽起來好像有點(diǎn)走極端了，不過如果對你的組織來說安全性非常重要的話，這樣做是最好的選擇。建立審核制度來報(bào)告任何失敗帳戶登錄行為。另外，同IIS日志文件一樣，把它的默認(rèn)存儲位置(c:\winnt\system32\config\secevent.log)改到另外一個(gè)地方，并確保它有一個(gè)備份和一個(gè)重復(fù)的拷貝。


8.一般來說，盡你所能的查找安全方面的文章（從不同的地方），并按照它們進(jìn)行實(shí)踐。在IIS和安全實(shí)踐方面，它們說的通常被你懂得的要好一些，而且不要只信服其他人（比如說我）告訴你的東西。


9.訂閱一份IIS 缺陷列表郵件，并堅(jiān)持按時(shí)對它進(jìn)行閱讀。其中一個(gè)列表是Internet Security Systems（Internet 安全系統(tǒng)）的X-Force Alerts and Advisories


10.最后，確保你定期的對Windows 進(jìn)行了更新，并檢驗(yàn)補(bǔ)丁是否被成功的安裝了。