網(wǎng)吧常用安全技術(shù)

9.1ARP病毒攻擊長期以來，局域網(wǎng)內(nèi)經(jīng)常會(huì)受到ARP病毒的攻擊，其病毒攻擊的原理是通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，破壞內(nèi)網(wǎng)中的主機(jī)和路由器交換設(shè)備ARP高速緩存機(jī)制，癥狀嚴(yán)重時(shí)會(huì)造成網(wǎng)絡(luò)流量增大、設(shè)備CPU利用率過高、交換機(jī)二層生成樹環(huán)路、短時(shí)間內(nèi)全部斷網(wǎng)或部分?jǐn)嗑W(wǎng)、主機(jī)上網(wǎng)不穩(wěn)定，或者交換機(jī)短時(shí)癱瘓等狀況。9.1.1ARP地址解析協(xié)議在局域網(wǎng)中，IP數(shù)據(jù)包通過以太網(wǎng)進(jìn)行發(fā)送。但以太網(wǎng)設(shè)備并不識(shí)別32位的IP地址，而是以48位以太網(wǎng)地址，傳輸以太網(wǎng)數(shù)據(jù)包（即以“幀”形式發(fā)送。）設(shè)備驅(qū)動(dòng)程序從不檢查IP數(shù)據(jù)報(bào)文中的目的IP地址。這就需要將IP目的地址轉(zhuǎn)換成以太網(wǎng)目的地址。ARP就是用來確定這些映像的協(xié)議，既地址解析協(xié)議。所謂“地址解析”就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過程oARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址，查詢其MAC地址，以保證通信的順利進(jìn)行。每臺(tái)裝有TCP/IP協(xié)議的主機(jī)或服務(wù)器內(nèi)都配有一個(gè)ARP緩存表，表內(nèi)的IP地址與MAC地址——對(duì)應(yīng)。ARP緩存表采用了老化機(jī)制，在同一段時(shí)間內(nèi)如果表中的某一行沒有使用，就會(huì)被刪除，這樣可以減少ARP緩存的長度，加快查詢速度。ir址ir址21?719.10?J219^39.108,2MAC地址OtJ-aB-OO-6^13^03IP地址與MAC地址對(duì)應(yīng)表假設(shè)（主機(jī)A）向（主機(jī)B）傳送數(shù)據(jù),ARP的工作過程為：首先主機(jī)A會(huì)在自己的ARP緩存表中尋找目標(biāo)主機(jī)B的IP地址。若找到，也就知道了B的MAC地址，就可直接把目標(biāo)MAC地址寫入幀內(nèi)發(fā)送給B；若未找到，主機(jī)A就會(huì)在同網(wǎng)段內(nèi)發(fā)送一個(gè)以太網(wǎng)廣播數(shù)據(jù)包，目標(biāo)MAC地址是“FF.FF.FF.FF.FF.F”，即向同一網(wǎng)段內(nèi)的所有主機(jī)發(fā)出這樣的請(qǐng)求包，詢問的MAC地址。此時(shí)，只有目的主機(jī)B在接收到這個(gè)幀時(shí)，會(huì)向A發(fā)出表述“的MAC地址是00-aa-00-64-f5-03”的一個(gè)含有IP和以太網(wǎng)地址對(duì)的數(shù)據(jù)應(yīng)答包。而網(wǎng)絡(luò)上的其它主機(jī)對(duì)ARP詢問不會(huì)給予回應(yīng)。這樣，A就知道了B的MAC地址，也就可以向B傳遞信息了。同時(shí)，A將這個(gè)地址存入高速緩存，更新自己的ARP緩存表。下次再向主機(jī)B發(fā)送信息時(shí)，就可直接從ARP緩存表里查找。9.1.2ARP攻擊原理通過ARP的工作原理可知，系統(tǒng)的ARP緩存表是可以隨時(shí)更新的動(dòng)態(tài)轉(zhuǎn)換表，表中的IP和MAC是可以被修改的，這樣，在以太網(wǎng)中就很容易實(shí)現(xiàn)ARP欺騙。ARP攻擊可分為“中間人”攻擊、MAC/CAM攻擊、DHCP攻擊、地址欺騙等，攻擊形式表現(xiàn)為對(duì)外網(wǎng)和對(duì)內(nèi)網(wǎng)PC機(jī)和網(wǎng)絡(luò)交換機(jī)、DHCP服務(wù)的欺騙。9?1?2?1對(duì)內(nèi)網(wǎng)IP/MAC的欺騙局域網(wǎng)內(nèi)的每個(gè)主機(jī)都用一個(gè)ARP高速緩存，用于存放近期內(nèi)IP地址到MAC硬件地址之間的映射紀(jì)錄。緩存中的IP-MAC條目是根據(jù)ARP響應(yīng)包動(dòng)態(tài)變化的，因此只要網(wǎng)絡(luò)上有ARP響應(yīng)包發(fā)送到本機(jī)，就會(huì)更新ARP高速緩存中的IP-MAC條目。同時(shí)，即使收到的ARP應(yīng)答并非自己請(qǐng)求得到的，主機(jī)也會(huì)將其插入到自己的ARP緩存表中，這就造成了“ARP欺騙”的可能。典型的攻擊是MITM（man-in-the-middle,中間人攻擊）。例如，當(dāng)攻擊者想探聽同一網(wǎng)絡(luò)中兩臺(tái)主機(jī)之間的通信（即使是通過交換機(jī)相連，也可探聽），就分別向這兩臺(tái)主機(jī)發(fā)送一個(gè)ARP應(yīng)答機(jī)，讓兩臺(tái)主機(jī)都“誤”認(rèn)為對(duì)方的MAC地址是攻擊者所在的主機(jī)，這樣，雙方看似“直接”的通訊連接，實(shí)際上都是通過“中間人”所在的主機(jī)間接進(jìn)行的，攻擊者只需更改數(shù)據(jù)包中的一些信息，就能做好轉(zhuǎn)發(fā)工作，從而嗅探到用戶賬號(hào)密碼等機(jī)密信息。目前利用ARP原理編制的工具十分簡單易用，這些工具可以直接嗅探和分析FTP、POP3、SMB、SMTP、HTTP/HTTPS、SSH、MSN等超過30種應(yīng)用的密碼傳輸內(nèi)容，隨時(shí)切斷指定用戶的連接。當(dāng)攻擊者發(fā)送大量持續(xù)偽造的ARP包時(shí)，還會(huì)造成局域網(wǎng)中的機(jī)器ARP緩存混亂，上網(wǎng)不穩(wěn)定。下圖中，的MAC由原來的00-0f-3d-83-76-33被篡改為病毒主機(jī)的MAC00-90-f5-34-5a-23。該網(wǎng)段的網(wǎng)關(guān)地址的MAC被篡改，同時(shí)局域網(wǎng)內(nèi)的部分MAC也被篡改為00-00-00-00-00，導(dǎo)致該網(wǎng)段的許多主機(jī)無法正常上網(wǎng)。nterface：219^219. 0x100S31ntcr-netflddi'ess.Phj/Qicalnddi^css219.219.±08,18-(10—39-04—219.219,丄GE&& 0000-00-flainyaklidflB-l丄一11887-da-0bd^naimic219.2190ei-B7-95-dc-66-50dyn范艸ic219,219-10^lild-13-Sf-fi9-69-4ddynafiiiic219.Z19.108.17300-02-3F-a872d3d<jnapii1c219,219,108.1^0&&-&c-?6?-Bic-92d^nwtlc0&-B0-0P-00-00-00inuailldinua.1id219.219.108-盤砂00-00-00-0W-fl0-B43inva.1id219.219.10S.216ea GG-81--e3dyna.nic被病毒主機(jī)攻擊后的客戶機(jī)ARP緩存表SWITCH的CAM欺騙SWITCH（交換機(jī)）上同樣有著一個(gè)動(dòng)態(tài)的MAC緩存。它會(huì)主動(dòng)學(xué)習(xí)客戶端的MAC地址，并建立維護(hù)端口和MAC地址的對(duì)應(yīng)表，以此建立交換路徑，這就是通常所說的CAM表。也稱MAC-PORT緩存。CAM表的大小是固定的，不同交換機(jī)的CAM表的大小不同，開始時(shí)表內(nèi)并無內(nèi)容，交換機(jī)從來往數(shù)據(jù)幀中學(xué)習(xí)，CAM表也就不斷地填充和更新。對(duì)CAM的攻擊是指利用木馬程序產(chǎn)生欺騙MAC,快速添瞞CAM表，CAM表被填瞞后，交換機(jī)以廣播方式處理通過交換機(jī)的報(bào)文，以前正常的MAC和PORT對(duì)應(yīng)的關(guān)系被破壞，這時(shí)攻擊者就可利用各種嗅探攻擊獲取網(wǎng)絡(luò)信息。CAM表填滿后，流量會(huì)以洪泛方式發(fā)送到所有端口，同時(shí)TRUNK接口上的流量也會(huì)發(fā)給所有接口和鄰接交換機(jī)，這就會(huì)造成交換機(jī)負(fù)載過大、網(wǎng)絡(luò)緩慢、丟包，甚至是癱瘓。在ARP欺騙木馬開始運(yùn)行的時(shí)候，局域網(wǎng)有相當(dāng)數(shù)量的主機(jī)MAC地址會(huì)被更新為病毒主機(jī)的MAC地址（即這些主機(jī)的MAC地址都一致為病毒主機(jī)的MAC地址），只有當(dāng)ARP欺騙的木馬程序停止運(yùn)行時(shí)，才能恢復(fù)到真實(shí)的MAC地址。DHCP服務(wù)的攻擊采用DHCPServer可以自動(dòng)為用戶設(shè)置網(wǎng)絡(luò)IP地址、掩碼、網(wǎng)關(guān)、DNS等網(wǎng)絡(luò)參數(shù)，從而簡化設(shè)置、提高效率。但DHCP的運(yùn)作通常沒有服務(wù)器和客戶端的認(rèn)證機(jī)制，病毒對(duì)其攻擊的方式通常會(huì)表現(xiàn)為DHCPServer的冒充、DHCPServer的DOS攻擊等。所謂冒充,就是耗盡DHCP服務(wù)器所能分配的IP地址，然后冒充合法的DHCP服務(wù)器，為用戶分配一個(gè)經(jīng)過修改的DNSServer，將用戶在毫無察覺的情況下引導(dǎo)到預(yù)先配好的假網(wǎng)站，騙取其賬戶密碼等機(jī)密信息。9.1.3ARP病毒分析ARP病毒多數(shù)屬于木馬程序或蠕蟲類病毒，例如pwsteal.lemir或其變種。病毒運(yùn)作機(jī)理大多是通過組件，用病毒文件覆蓋掉操作系統(tǒng)中的一些驅(qū)動(dòng)程序，然后用病毒的組件注冊(cè)（并監(jiān)視）為內(nèi)核級(jí)驅(qū)動(dòng)設(shè)備，同時(shí)負(fù)責(zé)發(fā)送指令操作驅(qū)動(dòng)程序，例如發(fā)送ARP欺騙包、抓包，過濾包等。這些病毒程序的破壞表現(xiàn)癥狀為，欺騙局域網(wǎng)內(nèi)所有主機(jī)和交換機(jī)，讓局域網(wǎng)中總的信息流量必須經(jīng)過病毒主機(jī)。原來直接通過交換機(jī)上網(wǎng)的其它用戶，轉(zhuǎn)而通過病毒主機(jī)上網(wǎng)，切換時(shí)會(huì)斷線一次。由于ARP欺騙的木馬程序發(fā)作時(shí)會(huì)發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊堵塞，加之自身處理能力的限制，用戶會(huì)感覺上網(wǎng)速度越來越慢。當(dāng)ARP欺騙的木馬程序停止運(yùn)行，用戶會(huì)恢復(fù)為從交換機(jī)上網(wǎng)。out-out-out.oul;■OU七■out?outdtiniEdtinrdtincclti-medtiniedtificdtimedtimedtxnedtimedtimedout-out-out.oul;■OU七■out?outdtiniEdtinrdtincclti-medtiniedtificdtimedtimedtxnedtimedtimedout「out.w.out,:from219,219.1uequLCStj&quesC:bqti.也占tj&questqitebt臨quecltbequestlequestIeque^tlequestFronai?,219.丄0孫.1：eplyfrom219_219_1B8.1-byt-ea*32ibytes=32t±ne*2pis木馬程嗅探導(dǎo)致內(nèi)網(wǎng)主機(jī)短時(shí)間斷網(wǎng)過程9.1.4防御措施根據(jù)ARP病毒對(duì)網(wǎng)主機(jī)和交換機(jī)、DHCP服務(wù)器攻擊的特點(diǎn)，在防治該病毒時(shí)也必須對(duì)這3個(gè)環(huán)節(jié)加強(qiáng)防護(hù)。然而，目前對(duì)ARP的防御還存在著設(shè)備技術(shù)有限、病毒專殺工具不完善，實(shí)施有一定難度等諸多問題，要完全克服ARP協(xié)議缺陷，找到更便捷有效的防御方法，仍然任重道遠(yuǎn)。應(yīng)急措施發(fā)現(xiàn)病毒攻擊時(shí)，首先應(yīng)從病毒源頭直接采取便捷的方法：1、在客戶機(jī)上進(jìn)入MS-DOS窗口，輸入命令“arp-a”，查看網(wǎng)關(guān)IP所對(duì)應(yīng)的正確的MAC地址，將其紀(jì)錄下來。若此時(shí)已經(jīng)不能上網(wǎng)，則先運(yùn)行一次命令“arp-d”將arp緩存中的內(nèi)容刪空，計(jì)算機(jī)便可暫時(shí)恢復(fù)上網(wǎng)（攻擊如果不停止的話），一旦能上網(wǎng)就立刻斷開網(wǎng)絡(luò)（禁用網(wǎng)卡或拔掉網(wǎng)線），然后再運(yùn)行“arp-a”。2、取得網(wǎng)關(guān)的正確MAC地址后，不能上網(wǎng)的情況下，手工綁定網(wǎng)關(guān)IP和正確的MAC,可確保計(jì)算機(jī)不再被攻擊影響。手工綁定的方法是，在MS-DOS窗口下運(yùn)行命令“Arp-s網(wǎng)關(guān)IP網(wǎng)關(guān)MAC”。這時(shí)，類型會(huì)變?yōu)殪o態(tài)（static），也就不會(huì)再受到攻擊的影響。但是，手工綁定在計(jì)算機(jī)重啟后就會(huì)失效，需要再次綁定。對(duì)于這一問題，可寫一個(gè)在每次開機(jī)時(shí)自動(dòng)綁定的批處理文件：@echooffarp-darps網(wǎng)關(guān)IP網(wǎng)關(guān)MAC將文件中的網(wǎng)關(guān)IP地址和MAC地址更改為正確的網(wǎng)關(guān)IP地址和MAC地址，然后放入“windows-開始-程序-啟動(dòng)”中。但是，要想真正徹底根除攻擊，只有找出網(wǎng)段內(nèi)被病毒感染的計(jì)算機(jī)，然后殺毒。定期防御1、 對(duì)于交換設(shè)備，可使用可防御ARP攻擊的交換機(jī)（例如思科等多功能交換機(jī)），綜合運(yùn)用portsecurityfeature、DHCPSnooping、DynamicARPinspectio（nDAI）、IPsourceguard等一些關(guān)鍵技術(shù)，來建立動(dòng)態(tài)的IP+MAC+PORT對(duì)應(yīng)表和綁定關(guān)系、實(shí)時(shí)控制ARP流量、建立DHCP嗅探匹配表等。并合理劃分VLAN，進(jìn)行端口隔離，徹底杜絕在交換環(huán)境中實(shí)施的“中間人”攻擊、MAC/CAM攻擊、DHCP攻擊、地址欺騙等。2、 對(duì)于主機(jī)，應(yīng)及時(shí)安裝、更新防病毒軟件，對(duì)內(nèi)存和硬盤進(jìn)行全面地防毒、殺毒。并及時(shí)下載ANTIARPSNIFFER等專殺工具，保護(hù)本地計(jì)算機(jī)的正常運(yùn)行。3、 及時(shí)更新操作系統(tǒng)、升級(jí)IE、打上各種漏洞補(bǔ)丁。4、 不要隨便共享文件或文件夾，必須共享時(shí)，也應(yīng)先設(shè)置好權(quán)限，盡量不開放可寫或可控制權(quán)限。不要隨便打開或運(yùn)行陌生、可疑的文件和程序，例如郵件中的陌生附件，外掛程序等。關(guān)閉一些不需要的服務(wù)，完全單機(jī)的用戶可直接關(guān)閉SERVER服務(wù)。使用移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行數(shù)據(jù)訪問時(shí)，先對(duì)其進(jìn)行病毒檢查。操作系統(tǒng)應(yīng)設(shè)置6位以上的密碼。5、 使用網(wǎng)絡(luò)防火墻軟件。網(wǎng)絡(luò)防火墻在防病毒過程中的作用至關(guān)重要，它能有效阻止來自網(wǎng)絡(luò)的攻擊和病毒入侵。9.2木馬入侵木馬（TrojanHorse，特洛伊木馬）病毒的名稱，來自于一個(gè)古希臘的特洛伊木馬傳說，現(xiàn)在專指為計(jì)算機(jī)入侵者打開方便之門的程序。在現(xiàn)今的網(wǎng)絡(luò)上，特洛伊木馬和蠕蟲病毒、垃圾郵件已經(jīng)一起構(gòu)成了影響網(wǎng)絡(luò)正常秩序的三大公害。自20世紀(jì)80年代早期出現(xiàn)第一例木馬至今，20多年時(shí)間里，木馬技術(shù)飛速發(fā)展。毫無疑問，今后木馬技術(shù)仍將不斷前進(jìn)，功能會(huì)越來越多樣、偽裝術(shù)和入侵手段將會(huì)越來越高明?；谀抉R入侵的攻與防必將是網(wǎng)絡(luò)安全領(lǐng)域一場(chǎng)曠日持久的對(duì)抗。9.2.1木馬病毒的原理木馬病毒屬于客戶/服務(wù)器模式，分為客戶端和服務(wù)器端。服務(wù)器端程序騙取用戶執(zhí)行后，便植入計(jì)算機(jī)作為響應(yīng)程序；客戶端程序在黑客的計(jì)算機(jī)中執(zhí)行，用于連接服務(wù)器端程序，以監(jiān)視或控制遠(yuǎn)程計(jì)算機(jī)。典型的木馬病毒是服務(wù)器端程序在服務(wù)器上打開一個(gè)特定端口進(jìn)行監(jiān)聽，若有客戶機(jī)向這臺(tái)服務(wù)器的這一端口提出連接請(qǐng)求，服務(wù)器上的相應(yīng)程序就會(huì)自動(dòng)運(yùn)行，來應(yīng)答客戶機(jī)的請(qǐng)求。服務(wù)器端程序與客戶端建立連接后，由客戶端發(fā)出指令，然后服務(wù)器執(zhí)行這些指令后將數(shù)據(jù)傳送至客戶端。9.2.2木馬入侵的步驟攻擊者利用木馬入侵他人電腦，一般按照如下步驟進(jìn)行：1、配置木馬為實(shí)現(xiàn)木馬偽裝和信息反饋，在對(duì)木馬進(jìn)行傳播之前，黑客會(huì)對(duì)木馬進(jìn)行具體配置。2、傳播木馬木馬傳播的方式多種多樣。例如，控制端可將巧妙偽裝的木馬程序以附件形式通過郵件發(fā)送出去，收信人只要打開附件，系統(tǒng)就會(huì)感染木馬?；蛘咭部赏ㄟ^軟件下載，利用系統(tǒng)或軟件的漏洞等進(jìn)行木馬傳播，使木馬入侵被控端。3、運(yùn)行木馬服務(wù)端用戶運(yùn)行木馬或捆綁木馬程序后，木馬就會(huì)自動(dòng)安裝。首先木馬會(huì)將自身拷貝到Windows的系統(tǒng)文件夾中，然后在注冊(cè)表、啟動(dòng)組等位置設(shè)置好木馬觸發(fā)條件。4、實(shí)現(xiàn)遠(yuǎn)程控制控制端和服務(wù)端都在線時(shí)，控制端通過木馬端口與服務(wù)端建立連接，然后就可通過木馬程序?qū)Ψ?wù)端進(jìn)行遠(yuǎn)程控制。9.2.3木馬病毒的特征1、隱蔽性強(qiáng)普通的木馬服務(wù)器端運(yùn)行后都會(huì)生成一個(gè)獨(dú)立進(jìn)程，較高級(jí)的木馬（例如灰鴿子）則可以注冊(cè)為系統(tǒng)后臺(tái)服務(wù)，從而在任務(wù)管理器中實(shí)現(xiàn)進(jìn)程隱藏。新型的DLL木馬則會(huì)采用線程插入技術(shù)，將代碼嵌入正在運(yùn)行的系統(tǒng)進(jìn)程中，從而實(shí)現(xiàn)高級(jí)隱藏。這種木馬既無法通過進(jìn)程管理器來查找，也不能直接終止進(jìn)程的運(yùn)行，危害巨大。2、 啟動(dòng)方式多樣化木馬一般會(huì)借助修改啟動(dòng)分區(qū)的Autoexec.bat批處理文件、自動(dòng)執(zhí)行功能文件AutoRun.inf、注冊(cè)表中的相關(guān)啟動(dòng)項(xiàng)、系統(tǒng)配置文件system.ini和win.ini，以及與某類型文件（例如*.TXT、*.EXE等）建立文件關(guān)聯(lián)等手段來實(shí)現(xiàn)程序的自動(dòng)運(yùn)行，從而達(dá)到隨系統(tǒng)啟動(dòng)或滿足觸發(fā)條件即自動(dòng)運(yùn)行的目的。3、 偽裝方式多樣化為實(shí)現(xiàn)長期隱蔽，木馬除使用常見文件名或擴(kuò)展名（例如dll、win）或者仿制一些不易被人區(qū)別的文件名（例如svcHost.exe）等偽裝手段外，還可能直接借用系統(tǒng)文件中已有的文件名（例如internetexplorer.exe）。有的還將服務(wù)端程序的圖標(biāo)修改成HTML、TXT等文件的圖標(biāo)，具有極大的欺騙性。同時(shí)木馬還可以和其它可執(zhí)行文件（例如FLASH動(dòng)畫、不可信任站點(diǎn)的系統(tǒng)補(bǔ)丁程序等）進(jìn)行捆綁。此外木馬還具有自我銷毀的偽裝術(shù)，新型木馬還能定制端口。4、通訊方式多樣化第一、二代木馬采用的是傳統(tǒng)的C/S模式。即遠(yuǎn)程主機(jī)開放監(jiān)聽端口等待外部連接，客戶端主動(dòng)發(fā)出請(qǐng)求，使用TCP建立連接，進(jìn)行通訊。而第三代木馬則采用“反彈端口”連接技術(shù)，建立連接不再由客戶端主動(dòng)進(jìn)行，而是由服務(wù)端完成，這種方式可以穿透一定設(shè)置的防火墻。為增強(qiáng)隱蔽性，許多木馬程序選擇使用UDP而放棄TCP通訊協(xié)議，通訊雙方只在傳送數(shù)據(jù)的短暫時(shí)間里會(huì)打開端口。而ICMP木馬更是不用連接端口進(jìn)行通訊，只需將木馬服務(wù)器端偽裝成一個(gè)ping.exe的進(jìn)程，傳送ICMP_ECHO封包，修改封包ICMP表頭結(jié)構(gòu)，加上木馬控制信息傳送至木馬程序客戶端，服務(wù)器端則通過接收到的ICMP_ECHOREPLY封包的大小和ICMP_SEQ特征來判斷接收并從中獲得指令和數(shù)據(jù)信息。5、功能強(qiáng)大新型木馬程序功能齊全，主要有：竊取密碼：這是其最常見的功能，通過密碼破解，黑客最終將完全控制遠(yuǎn)程計(jì)算機(jī),還可通過記錄鍵盤輸入竊取銀行賬戶密碼等；文件操作：控制端可通過木馬程序?qū)Ψ?wù)端的文件進(jìn)行刪除、新建、修改、上傳、下載等一系列操作；修改注冊(cè)表：控制端可任意修改服務(wù)端注冊(cè)表；系統(tǒng)操作：包括重啟或關(guān)閉服務(wù)端操作系統(tǒng)、斷開網(wǎng)絡(luò)連接、控制服務(wù)端鼠標(biāo)和鍵盤、監(jiān)視服務(wù)端桌面操作等。9.2.4防護(hù)策略要做好安全防護(hù)，首先必須了解安全的薄弱環(huán)節(jié)所在。安全漏洞主要來自以下三方面：軟件自身安全性差：操作系統(tǒng)本身的設(shè)計(jì)問題所帶來的漏洞，此類漏洞會(huì)被運(yùn)行在該系統(tǒng)之上的應(yīng)用程序所繼承；應(yīng)用軟件程序的漏洞；安全策略不當(dāng)：許多用戶僅僅使用個(gè)別的安全工具進(jìn)行防護(hù)，而不是有針對(duì)性的、各有側(cè)重的采用多種安全工具來保護(hù)系統(tǒng)安全；計(jì)算機(jī)用戶缺乏安全意識(shí)：許多用戶在使用網(wǎng)絡(luò)資源時(shí)，安全意識(shí)淡薄，所以木馬采用心理欺騙的入侵方法往往極易成功。這三個(gè)方面所產(chǎn)生的安全漏洞都可能被黑客利用，成為木馬入侵的突破口，因此必須進(jìn)行全面的系統(tǒng)安全防護(hù)。9.24.1打造堅(jiān)實(shí)的系統(tǒng)防護(hù)1、用戶管理策略黑客可以通過猜測(cè)用戶弱口令、破解用戶密碼等手段進(jìn)行基于認(rèn)證的入侵，然后植入木馬作為后門，對(duì)此，必須做好如下用戶管理工作：停用來賓帳戶，清除其它不必要的帳戶；設(shè)定堅(jiān)固的安全密碼，例如采用復(fù)雜的密碼、設(shè)定密碼最小長度并定期更換密碼；正確設(shè)置帳戶鎖定策略，阻止入侵者不斷嘗試破解登錄密碼的企圖。2、文件共享策略謹(jǐn)慎設(shè)置文件共享，確有需要時(shí)才開放文件共享，進(jìn)行正確的用戶設(shè)置。養(yǎng)成良好的習(xí)慣，共享完畢后及時(shí)關(guān)閉。關(guān)閉默認(rèn)共享“IPC$（命名管道）”是系統(tǒng)特有的一項(xiàng)管理功能，主要用來遠(yuǎn)程管理計(jì)算機(jī)，IPC入侵是黑客入侵的慣用手段之一，也可能成為木馬入侵的突破口。對(duì)此應(yīng)進(jìn)行如下設(shè)置：通過修改注冊(cè)表刪除默認(rèn)共享。個(gè)人用戶也可通過在控制面板的服務(wù)管理器中關(guān)閉Server服務(wù)來解決；通過修改注冊(cè)表禁止空連接，以此杜絕入侵者的反復(fù)試探性連接。3、堵住漏洞操作系統(tǒng)和應(yīng)用軟件漏洞也是黑客入侵的突破口之一，對(duì)于可以登錄訪問Internet微軟官方網(wǎng)站的用戶，建議開啟Windows的自動(dòng)更新功能。對(duì)于無法進(jìn)行自動(dòng)更新的用戶，建議采用手動(dòng)更新，用專用安全工具進(jìn)行漏洞檢查，然后到相關(guān)的可信任安全站點(diǎn)下載補(bǔ)丁進(jìn)行手動(dòng)安裝。對(duì)于安裝的應(yīng)用軟件，也應(yīng)隨時(shí)關(guān)注官方網(wǎng)站公布的安全消息，及時(shí)升級(jí)。4、 堵住黑客的入口端口是計(jì)算機(jī)與外部網(wǎng)絡(luò)相連的連接樞紐，也是木馬入侵計(jì)算機(jī)的第一道屏障，所以端口配置正確與否將直接影響到計(jì)算機(jī)的安全。為安全考慮應(yīng)，應(yīng)當(dāng)關(guān)閉平時(shí)不常使用的協(xié)議和端口。例如，關(guān)閉135端口避免沖擊波病毒攻擊；若計(jì)算機(jī)不提供也不使用文件和打印共享服務(wù)時(shí)，可在TCP/IP設(shè)置項(xiàng)目中禁用NETBIOS服務(wù)，即關(guān)閉137、138、139端口；關(guān)閉445端口避免黑客刺探系統(tǒng)相關(guān)信息；關(guān)閉3389端口防止黑客通過遠(yuǎn)程終端服務(wù)默認(rèn)端口進(jìn)行入侵。對(duì)于其它木馬或蠕蟲病毒的默認(rèn)端口或不安全端口，可以使用專用安全工具或?qū)ψ?cè)表進(jìn)行操作等方法進(jìn)行關(guān)閉。5、 關(guān)閉不必要的服務(wù)Windows操作系統(tǒng)提供了很多系統(tǒng)服務(wù)以方便管理，但開啟太多服務(wù)在給用戶本身帶來方便的同時(shí)，也給入侵者打開了方便之門，因此可以根據(jù)需要在服務(wù)管理器中進(jìn)行設(shè)置，在允許的情況下禁止可能為黑客入侵提供方便的服務(wù)。設(shè)置原則是“最小的權(quán)限+最少的服務(wù)=最大的安全”。使用安全工具軟件保護(hù)系統(tǒng)安全在做好操作系統(tǒng)本身的安全防護(hù)工作的基礎(chǔ)之上，還應(yīng)借助安全工具軟件來保護(hù)系統(tǒng)的安全運(yùn)行。安裝防病毒軟件和網(wǎng)絡(luò)防火墻就是一種比較合適的選擇。1、防病毒軟件，例如金山毒霸、瑞星殺毒軟件等都具備強(qiáng)大的防病毒功能，除具有全面的殺毒功能之外，還能對(duì)內(nèi)存、網(wǎng)頁、文件、引導(dǎo)區(qū)、郵件、注冊(cè)表等項(xiàng)目和漏洞攻擊進(jìn)行實(shí)時(shí)監(jiān)控。安裝此類防病毒軟件和相應(yīng)的最新升級(jí)包，并做好正確