在當今的信息時代,計算機網絡的應用已經深入到了社會的各個角落,人們的生活與網絡越來越密不可分,而網絡系統的安全、可靠性成為用戶最為關注的焦點。為了更好地保護網絡安全,筆者總結了一些安全防范技巧,希望能對大家有所幫助。
在當今的信息時代,計算機網絡的應用已經深入到了社會的各個角落,人們的生活與網絡越來越密不可分,而網絡系統的安全、可靠性成為用戶最為關注的焦點。為了更好地保護網絡安全,筆者總結了一些安全防范技巧,希望能對大家有所幫助。
一、防范ICMP利用
ICMP是Internet Control and Message Protocal(網際控制信息協議)的縮寫,它是TCP/IP協議族的一個子協議,ICMP報文是專門用來在網絡路由器與主機之間傳遞控制消息的,它能告訴主機路由是否可以到達,網絡連接是否暢通,也能通知路由器、目標主機是否可以訪問等,比如我們經常使用的Ping和Tracert工具就是利用ICMP協議中的ECHO request報文進行的。
ICMP協議對于網絡安全具有極其重要的意義。不過ICMP協議也存在一個致命的缺陷——易偽造,一些別有用心的人可以利用SOCK_RAW編程直接改寫報文的ICMP首部和IP首部,這樣的報文攜帶的源地址是偽造的,而且在目的端根本無法追查。社會上所出現的不少基于ICMP的攻擊軟件,通過網絡架構缺陷制造的ICMP風暴等,就是依據這個原理。如果該報文被非法利用的話,就會導致網絡的主機、路由器輕易地遭受到攻擊,給網絡安全帶來麻煩。對于網絡終端用戶來說,關閉ICMP重定向報文,往往能有效避免黑客利用ICMP報文,來攻擊網絡終端;在關閉ICMP重定向報文時,可以打開注冊表編輯窗口,再依次展開HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters子鍵,在圖1所示的右邊子窗口中,檢查是否有名為“EnablelCMP Redirect”的雙字節值,要是沒有的話,可以依次單擊注冊表界面中的“編輯”/“新建”/“雙字節值”命令,來重新創建一個,并將該雙字節值設置為“0”,最后關閉注冊表編輯窗口,重新啟動一下系統,就能使設置生效了。
另外,如果將ICMP協議用來進行通訊的話,黑客可以制作出不需要任何TCP/UDP端口的木馬,那么在網絡中傳輸的一些重要隱私信息,就有可能被黑客截聽到,為此你也有必要設置一下系統,讓系統禁止相應該報文,以確保網絡傳輸的安全;在關閉該報文時,你可以在注冊表編輯界面中,找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfaces子鍵,在圖2窗口的右側區域,右擊空白位置,執行快捷菜單中的“新建”/“雙字節值”命令,將新建的雙字節值命名為“PerformRouteDiscoer”并將其數值設置為“0”,之后我們再重新將系統啟動一下,我們的設置就可以生效了。
二、防范IE執行惡意程序
我們都知道,IE6.0為用戶提供了更加可靠的個人隱私及安全保護措施,比如在“Internet選項”窗口中新增了“隱私”選項卡,用戶可以在其中直接設置瀏覽時的隱私級別;在“工具”→“選項”→“高級”選項中還增加了一些進一步提高安全性的選項,如關閉瀏覽器時清空Internet臨時文件等等……這時千萬不要覺得天下太平了!IE的安全設置都是針對非本地的頁面或交互的,對于本地的安全設置IE是最大信任的。如果你注意看IE的安全設置,都是對Internet和Intranet上WEB服務器而言的,根本就沒有對本地文件的安全設置。概括說來就是IE對本地安全采用最大信任原則;這樣一來,非法攻擊者就能通過IE,來執行事先“植入”到本地系統中的惡意程序,從而實現對你的網絡或系統進行監控,無論IE瀏覽器怎樣設置都毫無用處。其實他們的手段非常簡單,只是在網頁中增加一個簡單的JavaScript代碼,即可捕獲媒體播放器生成的ID號。那么有沒有辦法讓非法攻擊者,無法通過IE運行本地硬盤中的任何程序呢?答案是肯定的,你可以按照下的方法,以避免通過IE執行惡意程序:首先打開系統“運行”對話框,執行注冊表編輯命令“Regedit”在隨后出現的編輯窗口中,我們在注冊表中依次展開子鍵HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones,在圖3窗口的右側區域中,檢查一下是否有“Flags”二進制值,要是沒有的話你可以依次單擊菜單欄中的“編輯”/“新建”/“雙字節值”命令,來重新創建一個,并將該雙字節值設置為“1”,關閉注冊表編輯器。無需重新啟動電腦,重新打開IE,再次點擊“工具→Internet選項→安全”標簽,你就會在圖4所示的窗口中看到“我的電腦”選項,這表明IE的安全訪問控制功能,也適合于本地硬盤了;下面,你可以選中“我的電腦”選項,再單擊“自定義級別”按鈕,再隨后出現的設置窗口中,將“運行ActiveX控制和插件”、“下載ActiveX控件”參數,均設置為“禁用”就可以萬事大吉了。
三、揪出惡意攻擊程序
當你發現系統中有陌生端口被打開時,一定很緊張吧!是不是系統正在遭受黑客的攻擊呢?你怎樣才能分辨出該端口是不是木馬開放的端口?或者在進程列表中發現陌生的進程時,是否想知道該進程在你的系統中開了什么端口?這時用一款木馬查殺工具對系統進行一下查殺就能解決問題,可是手頭沒有木馬查殺工具怎么辦?其實使用手工方法也能揪出惡意攻擊程序。
(1) 根據進程查端口號
在開始菜單的“運行”框中輸入“cmd.exe”進入命令提示符窗口,先鍵入“tasklist”命令將列出系統正在運行的進程列表,把你要查的進程所對應的“PID”號記下或復制。把進程的PID號記下后,接下來就用這個PID號把該進程所開的端口顯示出來了。在當前的命令符下繼續鍵入“netstat -ano findstr 1140”命令,其中“netstat -ano”參數表示以數字形式顯示所有活動的TCP連接以及計算機正在偵聽的TCP、UDP端口 并且顯示對應的進程ID PID 號;“ findstr 1140”表示查找進程PID為“1140”的TCP連接以及TCP、UDP端口的偵聽情況(在實際應用中,需要把你剛才記下或復制的PID號替換掉這里的1140)。按“回車”鍵后,就會顯示出該進程所開的端口號。#p#分頁標題#e#
(2) 根據端口號查進程
在命令提示符窗口中輸入“netstat -ano”命令,列出系統當前的端口列表,該命令的作用已在上面提過了。-o參數的作用主要是顯示各端口對應的進程PID號,現在把你要查的端口對應的進程PID號記下或復制。然后在命令提示符下繼續輸入“tasklist /fi ″PID eq 788 ″”(在實際應用中,需要把你復制或記下的PID號替換掉這里的788),這行語句“/fi”參數表示在“tasklist”中篩選,而“PID eq 788”則是指定篩選的條件,按“回車”鍵后,就會顯示出端口對應的進程。
(3) 查出進程對應的程序
知道了端口和進程的關聯后,如何再進一步查出該進程是那個軟件或程序的進程呢?
下面的操作就需要用到Windows 2000(Server或Professional版都可以)安裝光盤中的一個工具。首先在安裝光盤的“SupportTools”目錄下,用解壓軟件打開“support.cab”壓縮包,找到“tlist.exe”文件,將此文件釋放到任一目錄,如“D:Support”。然后在命令提示符窗口中切換到此目錄,運行“tlist.exe”命令,把要查的進程對應的PID號記下或復制(第一列就是進程的PID號),然后繼續輸入“tlist.exe 2012”命令(你輸入的時候,需要將剛才記下的PID號替換掉這里的2012),“CmdLine ”后面顯示的就是該進程對應的軟件所在的目錄。另外,返回信息中還列出了該進程所調用的文件,得到了這些信息就可以很容易查出進程對應的程序了。要是發現該程序不是你自己打開的話,那么十有八九是一個惡意程序,此時你必須及時執行“taskkill.exe PID ”命令(taskkill.exe可以在WinXP系統安裝盤中找到)將該進程關閉掉,以免惡意程序繼續監控你的系統。
四、防范硬盤被非法共享
很多上網的朋友都遇到過這樣的麻煩,在瀏覽到含有惡意代碼的網頁時,自己的系統硬盤就可能被設置為共享狀態了,更為危險的是,你在硬盤屬性窗口中“覺察”不到硬盤已經被非法共享了。為了避免硬盤被惡意網頁非法設置為共享,你可以按照下面的步驟來達到目的。首先,硬盤此刻是否已經被非法共享了。檢查時,我們可以打開注冊表編輯窗口,在注冊表編輯器展開分支“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionNetworkLanMan”,看看“LanMan”項下面是否有“RWC$”鍵值,要是有的話,就表明硬盤已經被惡意網頁設置為了共享,而且共享名稱是“RWC$”;這時你可以將LanMan下面的“RWC$”鍵值先刪除掉;然后把windowssystem下面的Vserver.vxd(Microsoft 網絡上的文件與打印機共享,虛擬設備驅動程序)刪掉,接著再進入到注冊表編輯界面,我們將鼠標定位于分支“HKEY_LOCAL_MACHINESystemCurrentControlSetServicesVxD”上(如圖5),并將該分支下所屬的“Vserver”鍵值刪掉,最后退出注冊表編輯窗口,重新啟動一下系統,今后無論什么惡意網頁,都不能將你的硬盤設置為隱藏共享了,永絕這類網頁的后路吧!
