当前位置： >
教你防止黑客入侵ADSL的一些技巧
时间： 10:01 　　作者：网络信息安全教育部
& & 随着各地ADSL网络的蓬勃发展，实现永久连接、随时在线已不再是遥远的梦，但是，我们必须明白，永久连入Internet同样也意味着遭受入侵的可能性大大增加。知己知彼，方能百战不殆，让我们了解一下黑客入侵ADSL用户的方法和防范手段吧。　&
黑客入侵ADSL用户的方法&
　　在很多地方都是包月制的，这样的话，黑客就可以用更长的时间进行端口以及漏洞的扫描，甚至采用在线暴力破解的方法盗取密码，或者使用嗅探工具守株待兔般等待对方自动把用户名和密码送上门。&
　　要完成一次成功的网络攻击，一般有以下几步。第一步就是要收集目标的各种信息，为了对目标进行彻底分析，必须尽可能收集攻击目标的大量有效信息，以便最后分析得到目标的漏洞列表。分析结果包括：操作系统类型，操作系统的版本，打开的服务，打开服务的版本，网络拓扑结构，网络设备，防火墙等。　　&
黑客扫描使用的主要是TCP/IP堆栈指纹的方法。实现的手段主要是三种：　　&
　　1.TCP ISN采样：寻找初始化序列规定长度与特定的OS是否匹配。　　&
　　2.FIN探测：发送一个FIN包（或者是任何没有ACK或SYN标记的包）到目标的一个开放的端口，然后等待回应。许多系统会返回一个RESET（复位标记）。　　&
　　3.利用BOGUS标记：通过发送一个SYN包，它含有没有定义的TCP标记的TCP头，利用系统对标记的不同反应，可以区分一些操作系统。　　&
　　4.利用TCP的初始化窗口：只是简单地检查返回包里包含的窗口长度，根据大小来唯一确认各个操作系统。　&
　　扫描技术虽然很多，原理却很简单。这里简单介绍一下扫描工具Nmap(Network mapper)。这号称是目前最好的扫描工具，功能强大，用途多样，支持多种平台，灵活机动，方便易用，携带性强，留迹极少；不但能扫描出TCP/UDP端口，还能用于扫描/侦测大型网络。　　&
　　注意这里使用了一些真实的域名，这样可以让扫描行为看起来更具体。你可以用自己网络里的名称代替其中的addresses/names。你最好在取得允许后再进行扫描，否则后果可要你自己承担哦。　　&
　　nmap -v 　　&
　　这个命令对上所有的保留TCP端口做了一次扫描，-v表示用详细模式。　　&
　　nmap -sS -O /24　　&
　　这个命令将开始一次SYN的半开扫描，针对的目标是所在的C类子网，它还试图确定在目标上运行的是什么操作系统。这个命令需要管理员权限，因为用到了半开扫描以及系统侦测。&
　　发动攻击的第二步就是与对方建立连接，查找登录信息。现在假设通过扫描发现对方的机器建立有IPC$。IPC$是共享&命名管道&的资源，它对于程序间的通讯很重要，在远程管理计算机和查看计算机的共享资源时都会用到。利用IPC$，黑客可以与对方建立一个空连接（无需用户名和密码），而利用这个空连接，就可以获得对方的用户列表。　　&
　　第三步，使用合适的工具软件登录。打开命令行窗口，键入命令：net use 222.222.222.222ipc$ &administrator& /user:123456&
　　这里我们假设administrator的密码是123456。如果你不知道管理员密码，还需要找其他密码破解工具帮忙。登录进去之后，所有的东西就都在黑客的控制之下了。
　　因为ADSL用户一般在线时间比较长，所以安全防护意识一定要加强。每天上网十几个小时，甚至通宵开机的人不在少数吧，而且还有人把自己的机器做成Web或者ftp服务器供其他人访问。日常的防范工作一般可分为下面的几个步骤来作。　　&
　　步骤一，一定要把Guest帐号禁用。有很多入侵都是通过这个帐号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具，那还是禁止的好。打开控制面板，双击&用户和密码&，选择&高级&选项卡。单击&高级&按钮，弹出本地用户和组窗口。在Guest帐号上面点击右键，选择属性，在&常规&页中选中&帐户已停用&。　　&
　　步骤二，停止共享。Windows 2000安装好之后，系统会创建一些隐藏的共享。点击开始&运行&cmd，然后在命令行方式下键入命令&net share&就可以查看它们。网上有很多关于IPC入侵的文章，都利用了默认共享连接。要禁止这些共享，打开管理工具&计算机管理&共享文件夹&共享，在相应的共享文件夹上按右键，点&停止共享&就行了。　　&
　　步骤三，尽量关闭不必要的服务，如Terminal Services、IIS（如果你没有用自己的机器作Web服务器的话）、RAS（远程访问服务）等。还有一个挺烦人的Messenger服务也要关掉，否则总有人用消息服务发来网络广告。打开管理工具&计算机管理&服务和应用程序&服务，看见没用的就关掉。　　&
　　步骤四，禁止建立空连接。在默认的情况下，任何用户都可以通过空连接连上服务器，枚举帐号并猜测密码。我们必须禁止建立空连接，方法有以下两种：　　&
　　(1)修改注册表：　　&
　　HKEY_Local_MachineSystemCurrent-ControlSetControlLSA下，将DWORD值RestrictAnonymous的键值改成1。　　&
　　(2)修改Windows 2000的本地安全策略：　　&
　　设置&本地安全策略&本地策略&选项&中的RestrictAnonymous（匿名连接的额外限制）为&不容许枚举SAM账号和共享&。　　&
　　步骤五，如果开放了Web服务，还需要对IIS服务进行安全配置：　　&
　　(1) 更改Web服务主目录。右键单击&默认Web站点&属性&主目录&本地路径&，将&本地路径&指向其他目录。　　&
　　(2) 删除原默认安装的Inetpub目录。　?
　　(3) 删除以下虚拟目录: _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。&
　　(4) 删除不必要的IIS扩展名映射。方法是：右键单击&默认Web站点&属性&主目录&配置&，打开应用程序窗口，去掉不必要的应用程序映射。如不用到其他映射，只保留.asp、.asa即可。　　&
　　(5) 备份IIS配置。可使用IIS的备份功能，将设定好的IIS配置全部备份下来，这样就可以随时恢复IIS的安全配置。&
　　不要以为这样就万事大吉，微软的操作系统我们又不是不知道，bug何其多，所以一定要把微软的补丁打全。
COWCC提示：提高网络安全意识，学习网络安全知识&【】
构建网络信用
地址：中国?广东?广州?天河区中山大道西8号  　邮政编号：510631    电话：020-    邮箱：
诚信、透明、规范、网站亮证更权威；构建网络信用、提升品牌竞争优势；网站亮证才是硬道理，方便网民识别、信任、认可官方网站，让网民安心、省心、放心
中文官方网站认证中心COWCC                                  
     内容字号：
段落设置：
字体设置：
精准搜索请尝试：
如何抓到入侵网站的黑客？
来源：作者：shotgun责编：晨风
按照时间划分，一次犯罪是由犯罪动机、犯罪方法和犯罪后果三个部分构成的，那么侦破也相应的可以从这三个部分分别入手。先来看动机，最难侦破的是无动机犯罪，例如走在街上临时起意做了个案子，回家后洗心革面重新做人，这种案子往往会成为“悬案”，除非当事人主动承认或者再次犯案。绝大多数的犯罪都是有动机的，冲突口角、获取利益、炫耀出名等等，发生计算机犯罪案件后，侦破过程中往往最先要分析的是动机：被拒绝服务攻击，那么会不会是竞争对手？或者之前发生口角争执的用户？非正常离职的员工？等等，通过列出有动机人的嫌疑名单，可以有效缩小进一步侦破的范围。实际发生过一个案子：有人拒绝服务攻击游戏公司，然后上门推销“拒绝服务防御”设备，攻击者对自己的技术很有信心，也确实没有留下什么痕迹，可是动机分析很容易就锁定了嫌疑犯，一次突击搜查就直接拿到了证据。其次看方法，分析犯罪手法可以得出很多的结论，有点类似于大家看的《罪案现场调查》中对血迹、弹道和DNA进行分析，比如不久前发生的12306拖库事件，通过对公布出来的库进行比对分析，就得到了攻击者是利用现有的“第三方社工库”进行“撞库攻击”的结论，这样就通过追踪“第三方社工库”来获取犯罪嫌疑人的特征。再比如对攻击工具（例如木马）的分析，可以得出犯罪嫌疑人的开发平台、使用的语言，如果是第三方下载的，那么也就知道了常去的网站，这些都可以是破案的线索。（美国几次公布中国黑客攻击的证据，其中就有大量对工具语言版本的分析作为支撑）如果攻击者一点痕迹都没留下，其实也相当于留下了痕迹，我们可以判定此人是经验丰富的高手，业内能符合这个特征的人并不多，可以大大缩短怀疑的名单。最后则是后果，犯罪嫌疑人进行计算机犯罪总是有其目的的，无非是名和利，为名者常常喜欢炫耀，而为利者则避免不了异常的收入和开支，这些都会形成破绽，结合之前的动机和方法，往往能锁定对象。如果出现高智商反社会罪犯，纯粹出于兴趣进行随机犯罪，这才是最头疼的。技术力量在计算机犯罪侦破中所能起到的作用是巨大的，除了之前说的“痕迹分析”外，还可能通过攻击路径溯源分析直接定位攻击者。此外，在锁定嫌疑人进行了搜查之后，技术支持往往还要进行证据分析，如果犯罪嫌疑人已经销毁了证据，还可能要进行证据恢复等等。实际发生计算机犯罪案件时，会根据影响不同而调动不同级别的资源，因此大案要案的破案率明显较高。曾经有一次黑客攻击被误以为是邪教报复，公安部副部长亲自督办，大半夜电信运营商分区拉闸判断攻击位置，定位到攻击城市后，我司的工程师开着商务车运送协议分析设备一个机房一个机房接入检测，天还没亮执法人员就堵住了嫌疑犯大门……中美在打击计算机犯罪上究竟有哪些不同？首先，美国更重视针对计算机犯罪的执法队伍的培养，美国的执法人员薪水待遇和社会地位都较高，制度也灵活，因此比较容易招募到水平较高的技术人员，或者通过和大学、研究机构和厂商的合作获得较强的技术支持力量。去年在旧金山召开的RSA信息安全峰会上，美国国土安全局直接摆了一个摊子现场招人。而位于圣迭戈的海军罪案调查处也正大光明的到处递名片谈合作。与之相对应的是，国内目前执法力量对比黑色产业资源明显不足，公安体系内技术出身的骨干缺少、人员流失、经费不足、案件数量太大，受害者的自我保护意识严重不足（例如完全不知道要保护现场，常常出了问题就直接格式化重装了），这些都是造成计算机犯罪破案率偏低的原因。此外很重要的一点，美国司法机构强调“毒树之果”原则，如果司法程序有瑕疵，即使抓到罪犯，起诉也会失败，而中国暂时还没有这样的问题。因此美国在计算机犯罪的前期侦查上更谨慎，对技术依赖更高，反过来中国的执法机构却可以通过怀疑假设加上搜查验证的方式快速结案。而美国计算机犯罪相关的黑色产业链也远没有中国发达，从待处理案件的数量上，美国要远低于中国，但是高智商反社会人格犯罪比例却更高，因此挑战也很大。补充两点：1、美国的黑色/灰色产业链远没有中国发达，这点大家去看看中美网银/在线购物的安全防御水平就知道了。原因很多，主要是美国的社会保障比较好、普通人安全感强，所以为了赚钱去做黑产的很少，倒是为了兴趣搞破解黑客的多；此外，美国的信用体系也比较完备，破坏法律的成本很高。2、为什么锁定高手就能缩小清单，是因为在国内，具备最顶尖能力的黑客（无论白帽黑帽）大多都是在国家清单上的，即使暂时不在，也会和业内其他的高手有交往或合作，毕竟一次复杂的攻击需要的技能和支持太多，远不是一个独行侠靠一己之力能掌握的，大家看侦探小说，有的案子发生后侦探只需要去当地的帮会询问，往往就能得到明确的线索，信息安全界也是如此，总是有千丝万缕的联系。3、国外来源的攻击并非没有办法追查，通过逆向攻击溯源是一种方法，通过类似CERT的机构要求国外配合协查也是一种办法。注：作者为信息安全从业人员，曾在某大学教过公安部委托培训信息安全硕士《攻防与技术侦破》专业课。
大家都在买
软媒旗下软件：||||||||
IT之家，软媒旗下科技门户网站 - 爱科技，爱这里。
Copyright (C) , All Rights Reserved.
版权所有 鲁ICP备号入侵网站_网络攻防技术_图文_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
评价文档：
入侵网站_网络攻防技术
上传于||暂无简介
大小：4.43MB
登录百度文库，专享文档复制特权，财富值每天免费拿！
你可能喜欢