大王子i的blog

迎国庆乐中秋，为答谢新老客户的厚爱，补天科技推出大型优惠活动！冰盾DDoS防火墙，威盾IIS防火墙所有版本一律8折优惠，量大更优！截止日期：10月10日。订购电话：010-51661195  手机：15910590599   15811551560

 　 目前造成网络不安全的主要因素是系统、协议及数据库等的设计上存在缺陷。由于当今的计算机网络操作系统在本身结构设计和代码设计时偏重考虑系统使用时的方便性，导致了系统在远程访问、权限控制和口令管理等许多方面存在安全漏洞。

　　网络互连一般采用TCP/IP协议，它是一个工业标准的协议簇，但该协议簇在制订之初，对安全问题考虑不多，协议中有很多的安全漏洞。同样，数据库管理系统(DBMS)也存在数据的安全性、权限管理及远程访问等方面问题，在DBMS或应用程序中可以预先安置从事情报收集、受控激发、定时发作等破坏程序。

　　由此可见，针对系统、网络协议及数据库等，无论是其自身的设计缺陷，还是由于人为的因素产生的各种安全漏洞，都可能被一些另有图谋的黑客所利用并发起攻击。因此若要保证网络安全、可靠，则必须熟知黑客网络攻击的一般过程。只有这样方可在黑客攻击前做好必要的防备，从而确保网络运行的安全和可靠。

　　一、黑客攻击网络的一般过程

　　1、信息的收集

　　信息的收集并不对目标产生危害，只是为进一步的入侵提供有用信息。黑客可能会利用下列的公开协议或工具，收集驻留在网络系统中的各个主机系统的相关信息：

　　(1)TraceRoute程序 能够用该程序获得到达目标主机所要经过的网络数和路由器数。

　　(2)SNMP协议 用来查阅网络系统路由器的路由表，从而了解目标主机所在网络的拓扑结构及其内部细节。

　　(3)DNS服务器 该服务器提供了系统中可以访问的主机IP地址表和它们所对应的主机名。

　　(4)Whois协议 该协议的服务信息能提供所有有关的DNS域和相关的管理参数。

　　(5)Ping实用程序 可以用来确定一个指定的主机的位置或网线是否连通。

　　2、系统安全弱点的探测

　　在收集到一些准备要攻击目标的信息后，黑客们会探测目标网络上的每台主机，来寻求系统内部的安全漏洞，主要探测的方式如下：

　　(1)自编程序 对某些系统，互联网上已发布了其安全漏洞所在，但用户由于不懂或一时疏忽未打上网上发布的该系统的”补丁”程序，那么?客就可以自己编写一段程序进入到该系统进行破坏。

　　(2)慢速扫描 由于一般扫描侦测器的实现是通过监视某个时间段里一台特定主机发起的连接的数目来决定是否在被扫描，这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。

　　(3)体系结构探测 黑客利用一些特殊的数据包传送给目标主机，使其作出相对应的响应。由于每种操作系统的响应时间和方式都是不一样的，?客利用这种特征把得到的结果与准备好的数据库中的资料相对照，从中便可轻而易举地判断出目标主机操作系统所用的版本及其他相关信息。

　　(4)利用公开的工具软件 像审计网络用的安全分析工具SATAN、Internet的电子安全扫描程序IIS等一些工具对整个网络或子网进行扫描，寻找安全方面的漏洞。

　　3、建立模拟环境，进行模拟攻击

　　根据前面两小点所得的信息，建立一个类似攻击对象的模拟环境，然后对此模拟目标进行一系列的攻击。在此期间，通过检查被攻击方的日志，观察检测工具对攻击的反应，可以进一步了解在攻击过程中留下的”痕迹”及被攻击方的状态，以此来制定一个较为周密的攻击策略。

　　4、具体实施网络攻击

　　入侵者根据前几步所获得的信息，同时结合自身的水平及经验总结出相应的攻击方法，在进行模拟攻击的实践后，将等待时机，以备实施真正的网络攻击。

　　二、协议欺骗攻击及其防范措施

　　1、源IP地址欺骗攻击

　　许多应用程序认为若数据包可以使其自身沿着路由到达目的地，并且应答包也可回到源地，那么源IP地址一定是有效的，而这正是使源IP地址欺骗攻击成为可能的一个重要前提。

　　假设同一网段内有两台主机A和B，另一网段内有主机X。B 授予A某些特权。X 为获得与A相同的特权，所做欺骗攻击如下：首先，X冒充A，向主机 B发送一个带有随机序列号的SYN包。主机B响应，回送一个应答包给A，该应答号等于原序列号加1。然而，此时主机A已被主机X利用拒绝服务攻击 “淹没”了，导致主机A服务失效。

　　结果，主机A将B发来的包丢弃。为了完成三次握手，X还需要向B回送一个应答包，其应答号等于B向A发送数据包的序列号加1。此时主机X 并不能检测到主机B的数据包(因为不在同一网段)，只有利用TCP顺序号估算法来预测应答包的顺序号并将其发送给目标机B。如果猜测正确，B则认为收到的ACK是来自内部主机A。此时，X即获得了主机A在主机B上所享有的特权，并开始对这些服务实施攻击。

　　要防止源IP地址欺骗行为，可以采取以下措施来尽可能地保护系统免受这类攻击：

　　(1)抛弃基于地址的信任策略 阻止这类攻击的一种十分容易的办法就是放弃以地址为基础的验证。不允许r类远程调用命令的使用;删除.rhosts 文件;清空/etc/hosts.equiv 文件。这将迫使所有用户使用其它远程通信手段，如telnet、ssh、skey等等。

　　(2)使用加密方法 在包发送到 网络上之前，我们可以对它进行加密。虽然加密过程要求适当改变目前的网络环境，但它将保证数据的完整性、真实性和保密性。

　　(3)进行包过滤 可以配置路由器使其能够拒绝网络外部与本网内具有相同IP地址的连接请求。而且，当包的IP地址不在本网内时，路由器不应该把本网主机的包发送出去。有一点要注意，路由器虽然可以封锁试图到达内部网络的特定类型的包。但它们也是通过分析测试源地址来实现操作的。因此，它们仅能对声称是来自于内部网络的外来包进行过滤，若你的网络存在外部可信任主机，那么路由器将无法防止别人冒充这些主机进行IP欺骗。

　　2、源路由欺骗攻击

　　在通常情况下，信息包从起点到终点所走的路是由位于此两点间的路由器决定的，数据包本身只知道去往何处，而不知道该如何去。源路由可使信息包的发送者将此数据包要经过的路径写在数据包里，使数据包循着一个对方不可预料的路径到达目的主机。下面仍以上述源IP欺骗中的例子给出这种攻击的形式：

　　主机A享有主机B的某些特权，主机X想冒充主机A从主机B(假设IP为aaa.bbb.ccc.ddd)获得某些服务。首先，攻击者修改距离X最近的路由器，使得到达此路由器且包含目的地址aaa.bbb.ccc.ddd的数据包以主机X所在的网络为目的地;然后，攻击者X利用IP欺骗向主机B发送源路由(指定最近的路由器)数据包。当B回送数据包时，就传送到被更改过的路由器。这就使一个入侵者可以假冒一个主机的名义通过一个特殊的路径来获得某些被保护数据。

　　为了防范源路由欺骗攻击，一般采用下面两种措施：

　　对付这种攻击最好的办法是配置好路由器，使它抛弃那些由外部网进来的却声称是内部主机的报文。 在路由器上关闭源路由。用命令no ip source-route。

　　三、拒绝服务攻击及预防措施

　　在拒绝服务攻击中，攻击者加载过多的服务将对方资源全部使用，使得没有多余资源供其他用户无法使用。SYN Flood攻击是典型的拒绝服务攻击。

　　SYN Flood常常是源IP地址欺骗攻击的前奏，又称半开式连接攻击，每当我们进行一次标准的TCP连接就会有一个三次握手的过程，而SYN Flood在它的实现过程中只有三次握手的前两个步骤，当服务方收到请求方的SYN并回送SYN-ACK确认报文后，请求方由于采用源地址欺骗等手段，致使服务方得不到ACK回应，这样，服务方会在一定时间内处于等待接收请求方ACK报文的状态，一台服务器可用的TCP连接是有限的，如果恶意攻击方快速连续的发送此类连接请求，则服务器的系统可用资源、网络可用带宽急剧下降，将无法向其它用户提供正常的网络服务。

　　为了防止拒绝服务攻击，我们可以采取以下的预防措施：

　　(1) 建议在该网段的路由器上做些配置的调整，这些调整包括限制Syn半开数据包的流量和个数。

　　(2)要防止SYN数据段攻击，我们应对系统设定相应的内核参数，使得系统强制对超时的Syn请求连接数据包复位，同时通过缩短超时常数和加长等候队列使得系统能迅速处理无效的Syn请求数据包。

　　(3)建议在路由器的前端做必要的TCP拦截，使得只有完成TCP三次握手过程的数据包才可进入该网段，这样可以有效地保护本网段内的服务器不受此类攻击。

　　(4)对于信息淹没攻击，我们应关掉可能产生无限序列的服务来防止这种攻击。比如我们可以在服务器端拒绝所有的ICMP包，或者在该网段路由器上对ICMP包进行带宽方面的限制，控制其在一定的范围内。
   
    (5)可以使用防火墙来进行防御DDOS攻击，比如国内的冰盾抗DDOS防火墙，防御这种攻击的效果也是很不错的，并且还有IDS防御系统，可以防御黑客入侵。

　　总之，要彻底杜绝拒绝服务攻击，最好的办法是惟有追根溯源去找到正在进行攻击的机器和攻击者。 要追踪攻击者可不是一件容易的事情，一旦其停止了攻击行为，很难将其发现。惟一可行的方法是在其进行攻击的时候，根据路由器的信息和攻击数据包的特征，采用逐级回溯的方法来查找其攻击源头。这时需要各级部门的协同配合方可有效果。

　　四、其他网络攻击行为的防范措施

　　协议攻击和拒绝服务攻击是黑客惯于使用的攻击方法，但随着网络技术的飞速发展，攻击行为千变万化，新技术层出不穷。下面将阐述一下网络嗅探及缓冲区溢出的攻击原理及防范措施。

　　1、针对网络嗅探的防范措施

　　网络嗅探就是使网络接口接收不属于本主机的数据。计算机网络通常建立在共享信道上，以太网就是这样一个共享信道的网络，其数据报头包含目的主机的硬件地址，只有硬件地址匹配的机器才会接收该数据包。一个能接收所有数据包的机器被称为杂错节点。通常账户和口令等信息都以明文的形式在以太网上传输，一旦被黑客在杂错节点上嗅探到，用户就可能会遭到损害。

　　对于网络嗅探攻击，我们可以采取以下措施进行防范：

　　(1)网络分段 一个网络段包括一组共享低层设备和线路的机器，如交换机，动态集线器和网桥等设备，可以对数据流进行限制，从而达到防止嗅探的目的。

　　(2)加密 一方面可以对数据流中的部分重要信息进行加密，另一方面也可只对应用层加密，然而后者将使大部分与网络和操作系统有关的敏感信息失去保护。选择何种加密方式这就取决于信息的安全级别及网络的安全程度。

　　(3)一次性口令技术 口令并不在网络上传输而是在两端进行字符串匹配，客户端利用从服务器上得到的Challenge和自身的口令计算出一个新字符串并将之返回给服务器。在服务器上利用比较算法进行匹配，如果匹配，连接就允许建立，所有的Challenge和字符串都只使用一次。

　　(4)禁用杂错节点 安装不支持杂错的网卡，通常可以防止IBM兼容机进行嗅探。

　　2、缓冲区溢出攻击及其防范措施

　　缓冲区溢出攻击是属于系统攻击的手段，通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。当然，随便往缓冲区中填东西并不能达到攻击的目的。最常见的手段是通过制造缓冲区溢出使程序运行一个用户shell，再通过shell执行其它命令。如果该程序具有root权限的话，攻击者就可以对系统进行任意操作了。

　　缓冲区溢出对网络系统带来了巨大的危害，要有效地防止这种攻击，应该做到以下几点：

　　(1)程序指针完整性检查 在程序指针被引用之前检测它是否改变。即便一个攻击者成功地改变了程序的指针，由于系统事先检测到了指针的改变，因此这个指针将不会被使用。

　　(2)堆栈的保护 这是一种提供程序指针完整性检查的编译器技术，通过检查函数活动记录中的返回地址来实现。在堆栈中函数返回地址后面加了一些附加的字节，而在函数返回时，首先检查这个附加的字节是否被改动过。如果发生过缓冲区溢出的攻击，那么这种攻击很容易在函数返回前被检测到。但是，如果攻击者预见到这些附加字节的存在，并且能在溢出过程中同样地制造他们，那么他就能成功地跳过堆栈保护的检测。

　　(3)数组边界检查 所有的对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内进行。最直接的方法是检查所有的数组操作，通常可以采用一些优化技术来减少检查次数。目前主要有这几种检查方法：Compaq C编译器、Jones Kelly C数组边界检查、Purify存储器存取检查等。

　　未来的竞争是信息竞争，而网络信息是竞争的重要组成部分。其实质是人与人的对抗，它具体体现在安全策略与攻击策略的交锋上。为了不断增强信息系统的安全防御能力，必须充分理解系统内核及网络协议的实现，真正做到洞察对方网络系统的”细枝末节”，同时应该熟知针对各种攻击手段的预防措施，只有这样才能尽最大可能保证网络的安全。

 如果有需要冰盾防火墙的朋友，可以联系我（QQ：929931618），价格优惠，购买数量多更有惊喜！

　　虽然说亡羊补牢可以将木马后门造成的损失降至最低，但最好的方法显然是防患于未然。
　　
　　1.后门防范基本功
　　
　　首先要关闭本机不用的端口或只允许指定的端口访问；其次要使用专杀木马的软件，为了有效地防范木马后门；第三是要学会对进程操作，时时注意系统运行状况，看看是否有一些不明进程正运行并及时地将不明进程终止掉。
　　
　　2.安全配置Web服务器
　　
　　如果公司或企业建立了主页，该如何保证自己的Web服务器的安全性呢？
　　
　　首先要关闭不必要的服务；其次是建立安全账号策略和安全日志；第三是设置安全的IIS，删除不必要的IIS组件和进行IIS安全配置。
　　
　　在IIS安全配置时候，要注意修改默认的“Inetpub”目录路径。可以删除C盘的“Inetpub”目录，然后在D盘重建一个“Inetpub”，而后在IIS管理器中将主目录指向新建立的“Inetpub”路径。此外，还需要删除默认的“scripts”、“print”等虚拟目录，然后在IIS管理器中删除不必要的映射，一般情况下保留ASP、ASA就可以了。
　　
　　具体方法是在“IIS信息服务”管理器中右击主机名，选择“属性”→“主目录”标签，点击“高级”按钮，在“映射”标签中就可以删除不必要的映射了。另外，在属性窗口中选择“网站”标签，然后勾选“启用日志”，并选择“使用W3C扩充日志文件格式”项，每天记录客户IP地址、用户名、服务器端口、方法、URI字根、HTTP状态、用户代理等，而且每天都应审查日志。
　　
　　在上面的基础工作之后，还需要设置Web站点目录的访问权限。
　　
　　一般情况下，不要给予目录以写入和允许目录浏览权限，只给予。ASP文件目录以脚本的权限，而不要给予执行权限。在“IIS信息服务”管理器中展开网站的虚拟目录，然后右键点击某个虚拟目录，选择“属性”→“虚拟目录”标签，在“本地路径”下可设置对该目录权限为“读取”或“目录浏览”等。另外也可以通过NTFS分区格式，严格地设置用户目录权限。
　　
　　而针对企业中最为核心的数据，更要加强对于Access数据库下载的防护。
　　
　　当使用Access作为后台数据库时，如果有人通过各种方法知道或者猜到了服务器的Access数据库的路径和数据库名称，就可以下载这个Access数据库文件，这是非常危险的。因此，一般情况下要更改默认的数据库文件名，为你的数据库文件名称起个复杂的非常规的名字，并把它放在比较深的文件目录下。另外，还可以为Access数据库文件加上打开密码。
　　
　　打开IIS网站属性设置对话窗口，选择“主目录”选项卡，点击“配置”按钮，打开“应用程序配置”对话窗口。而后，点击“添加”按钮，在“可执行文件”中输入“asp.dll”，在“扩展名”中输入“。mdb”，勾选“限制为”项，并输入“禁止”，确定应用后完成设置即可。以后，当入侵者企图下载数据时，将会提示禁止访问。
　　
　　最后要配置安全的SQL服务器
　　
　　SQL Server是各种网站系统中使用得最多的数据库系统，一旦遭受攻击，后果是非常严重的。虽然默认的SA用户具有对SQL Server数据库操作的全部权限，但是SA账号的黩认设置为空口令，所以一定要为SA账号设置一个复杂的口令。而且，要严格控制数据库用户的权限，轻易不要给用户直接的查询、更改、插入、删除权限，可以只给用户以访问视图和执行存储过程的权限。
　　
　　在选择建立网站的Web程序时一定要注意安全性。许多网站系统虽然功能强大，但由于编程人员的安全意识所至，存在着一些很严重的安全漏洞，比如常见的SQL注入漏洞、暴库等，都有可能被黑客利用。同时，我们平时还应该做好网站服务器的数据备份，以便在出现意外时及时地进行数据恢复。

　　大致的敏感端口有:23、135、137-139、445、1433、3389等等。
　　
　　23端口关闭大法:开始-运行-CMD.net stop telnet;
　　
　　135端口关闭大法:控制面版-管理工具-服务-找到 remote procedure call(rpc)右击-属性-服务状态-禁用，OK;
　　
　　137-138.445端口关闭大法:右击-网上邻居-属性/本地连接 -属性，在microsoft 网络客户端前的小勾去掉， 这就关掉了445。 接着也把 microsoft 网络的文件和打印机共享的小勾也去掉，就关掉了137-138。
　　
　　139端口关闭大法:这个可是大头，我用扫描鸡扫了一次，竟然可以看到用户等信息!139..右点-网上邻居-属性-本地连接-属性，点击 internet协议/(TCP/IP) ，接着点下面的属性，接着点高级。在出现的栏的上端出现IP设置/ DNS/WINS/选项，接着点 WINS，在下下面有NETBIOS设置，把默认改到禁用 TCP/IP上的NETBIOS，确定。搞定139。

　　新建个空白文件 C:\WINDOWS\system32\inetsrv\YingMu.dll
　　
　　然后在IIS扩展名映射里设置下。
　　
　　.mdb    C:\WINDOWS\system32\inetsrv\YingMu.dll
　　
　　这样就下载不了mdb的数据库了，其它不想让别人访问到的扩展名也可以这样设置。
     

       另外也可以通过威盾IIS防火墙防御这种恶意行为，在防火墙里开启安全过过滤功能，然后在安全过滤-URL过滤里将.mdb添加进去，点击应用就可以了，如果有人恶意下载的话，防火墙就可以立即阻止，并记录其ip地址，日期等信息。

  为了庆祝祖国成立六十周年，补天科技特举办“我为祖国做贡献  普及冰盾保安全”以实际行动回报大家的厚爱，特举行优惠促销活动（活动期限：9月1至9月30日止），活动内容如下：

  补天科技将推出600套冰盾特价版享受6折优惠，此版本可以终身使用，不限网卡数量，所有网卡全部保护；不限IP数量，所有IP全部保护；不绑定IP，用户可自由更换，一次购买，包安装成功。此版本不提供退款、升级、售后服务。

欢迎来电咨询：010-51661195
QQ:929931618

手机:15811551560

补天科技

    Serv-U是目前搭建FTP服务器使用最普遍的服务器软件之一，因此如何用它搭建一个安全的FTP服务器是众多用户苦心钻研的事情。下面就将在日常使用中总地出来的防范经验与大家一起共享。

    一、安装时的两点注意

    在安装Serv-U时，就应该注意尽量不要将其安装在默认的C:\Program Files\Serv-U目录下，应该更换一个不易被猜测到的目录。其次在安装时选择安装组件时，一般只要选中“Server program files”和“Administrator program files”两项即可，而另外的“ReadMe and Version text files”和“Online help files”则是说明和在线帮助不需要安装。相同的道理，在安装其它应用软件时，尤其是服务器类软件时，应遵守“够用”的原则，即只安装需要使用的组件即可。

    二、初次设置尤重要

    安装好Serv-U初次运行时，会自动弹出创建域和账户操作向导窗口。由于使用向导创建的账户会带来一些未知的安全问题，因此在这里建议单击“取消”按钮，改用手工来创建。

    在Serv-U处于运行状态时，我们需要修改默认的管理口令。因为默认的口令为空，对此我们中需要单击主界面上“设置/更改密码”按钮，在弹出的“设置或更改管理员密码”窗口，此时在“新密码”和“重复新密码”窗口中连续输入自己欲设置的口令，注意一定要设置的复杂一些。这样用户在设置一些本地服务时将必须输入口令才能完成。

    三、账户设置须仔细

    1.账户失效时间

    对于新账的账户，必须认真设置其权限。首先如果账户有使用时间限制，那么一定需要在“帐号”标签中设置帐户自动“移除”的时间，这主要是针对一些临时账户用户。

    2.防范大容量文件攻击

    其次为了防范大容量文件攻击，提醒大家需要限制最大速度。切换到“常规”标签，我们可以看到默认状态下“最大上传速度”和“最大下载速度”都是空白一片，则表示没有限制，这样一些黑客就会这个漏洞传送大容量的文件，从而导致FTP处理不过来使程序停止响应或自动关闭。因此，用户可以根据需要填写一个限制的速度，单位是KB/秒，一般填写1000KB/秒左右为宜。另外“空闲超时”和“会话超时”也建议设置一个数值，通常的10分钟左右即可。

    3.目录访问权限

    一般来说，我们不需要将多余的权限授予用户。因此，需要根据其账户类型，在“目录访问”标签中选择相应的操作类型即可。但是有一点需要注意的是，不管是什么用户，建议都不要授予其“运行”权限，因为在取得webshell后就可以很容易的运行攻击程序来破坏Serv-U的正常工作。

    4.限制访问来源

    通常情况下，用户登录FTP时的IP地址都相对固定，即使是使用ADSL这类拨号上网动态IP地址用户，其用于自动分配的IP地址都是有一个相对固定的范围的。对此，我们可以切换到“IP访问”标签，将“编辑规则”设为“允许访问”，然后在“规则”中输入允许访问的IP地址或IP地址段，输入之后单击“添加”按钮，可以添加多条规则。

    另外我们也可以从系统日志中查找蛛丝马迹，发现来明不明的IP地址，可以将其添加到“拒绝访问”列表中。

    四、启用SSL

    默认状态下，Serv-U的数据传输都是以明文方式传送的，这样很容易被一些嗅探工具捕获。对此，我们可以启用SSL加密。

    首先在Serv-U的管理窗口左侧选择“本地服务器”下的“设置”项，在右侧选择“SSL证书”标签，然后在“普通名称”中填入实际使用的FTP地址，其它的项目随便填写，填好后单击“应用”按钮完成SSL证书的创建。

    接下来，我们就可以在域列表中选择自己已经创建好的域，然后在右侧的“安全性”下拉菜单中选中“只允许SSL/TLS进程”选项，再单击“应用”按钮即可启用当前域的SSL加密功能了。

    不过要注意的是，启用SSL加密后，默认的FTP端口21将被改成990，对此需要告知用户，否则无法成功连接到FTP服务器。

    五、认真查阅日志

    用户访问FTP服务器，Serv-U都会忠诚的做下详实的记录，这些记录中包括用户访问的IP地址、连接时间、断开时间、上传下载的文件等。在管理窗口左侧选择要查看的域，然后再选择“活动”项，在右侧选择“域日志”，这样在这里即可显示详细的日志信息了。通过这些日志信息可以判断是否有恶意攻击。

    六、注意升级

    每一次补丁的发布都会弥补一些缺陷，因此建议大家在可能的情况下需要关注安全新闻，注意打补丁及时升级。这同样是网络安全中通用的一条法则。

    随着信息化办公的普及，远程访问的需求也水涨船高。越来越多的企业，已经不再只满足于信息化系统只能够在企业内部使用。由于员工出差、客户要求访问等原因，近几年远程访问的热度不断升高。一些远程访问工具，也纷纷面世。如电子邮件、FTP、远程桌面等工具为流离在外的企业员工，提供了访问企业内部网络资源的渠道。 

    但是，毋庸置疑的，对企业内部网络资源的远程访问增加了企业网络的脆弱性，产生了许多安全隐患。因为大多数提供远程访问的应用程序本身并不具备内在的安全策略，也没有提供独立的安全鉴别机制。

    或者说，需要依靠其他的安全策略，如IPSec技术或者访问控制列表来保障其安全性。所以，远程访问增加了企业内部网络被攻击的风险。笔者在这里试图对常见的远程入侵方式进行分析总结，跟大家一起来提高远程访问的安全性。

    一、针对特定服务的攻击

    企业往往会在内部网络中部署一些HTTP、FTP服务器。同时，通过一定的技术，让员工也可以从外部访问这些服务器。而很多远程访问攻击，就是针对这些服务所展开的。诸如这些支持SMTP、POP等服务的应用程序，都有其内在的安全隐患。给入侵者开了一道后门。

     如WEB服务器是企业常用的服务。可惜的是，WEB服务器所采用的HTTP服务其安全性并不高。现在通过攻击WEB服务器而进行远程访问入侵的案例多如牛毛。

    入侵者通过利用WEB服务器和操作系统存在的缺陷和安全漏洞，可以轻易的控制WEB服务器并得到WEB内容的访问权限。如此，入侵者得手之后，就可以任意操作数据了。即可以在用户不知情的情况下秘密窃取数据，也可以对数据进行恶意更改。

    针对这些特定服务的攻击，比较难于防范。但是，并不是一点对策都没有。采取一些有效的防治措施，仍然可以在很大程度上避免远程访问的入侵。如采取如下措施，可以起到一些不错的效果。

    1、采用一些更加安全的服务。就拿WEB服务器来说吧。现在支持WEB服务器的协议主要有两种，分别为HTTP与HTTPS。其中HTTP协议的漏洞很多，很容易被入侵者利用，成为远程入侵企业内部网络的跳板。

    而HTTPS则相对来说安全的多。因为在这个协议中，加入了一些安全措施，如数据加密技术等等。在一定程度上可以提高WEB服务器的安全性。所以，网络安全人员在必要的时候，可以采用一些比较安全的协议。当然，天下没有免费的午餐。服务器要为此付出比较多的系统资源开销。

   2、对应用服务器进行升级。其实，很多远程服务攻击，往往都是因为应用服务器的漏洞所造成的。如常见的WEB服务攻击，就是HTTP协议与操作系统漏洞一起所产生的后果。

    如果能够及时对应用服务器操作系统进行升级，把操作系统的漏洞及时补上去，那么就可以提高这些服务的安全性，防治他们被不法之人所入侵。

    3、可以选择一些有身份鉴别功能的服务。如TFTP、FTP都是用来进行文件传输的协议。可以让企业内部用户与外部访问者之间建立一个文件共享的桥梁。可是这两个服务虽然功能类似，但是安全性上却差很远。

    TFTP是一个不安全的协议，他不提供身份鉴别贡呢功能。也就是说，任何人只要能够连接到TFTP服务器上，就可以进行访问。而FTP则提供了一定的身份验证功能。虽然其也允许用户匿名访问，但是只要网络安全人员限制用户匿名访问，那么就可以提高文件共享的安全性。

    二、针对远程节点的攻击

    远程节点的访问模式是指一台远程计算机连接到一个远程访问服务器上，并访问其上面的应用程序。如我们可以通过Telent或者SSH技术远程登陆到路由器中，并执行相关的维护命令，还可以远程启动某些程序。在远程节点的访问模式下，远程服务器可以为远程用户提供应用软件和本地存储空间。现在远程节点访问余越来越流行。不过，其安全隐患也不小。

    一是增强了网络设备等管理风险。因为路由器、邮箱服务器等等都允许远程管理。若这些网络设备的密码泄露，则即使在千里之外的入侵者，仍然可以通过远程节点访问这些设备。

    更可怕的是，可以对这些设备进行远程维护。如入侵者可以登陆到路由器等关键网络设备，并让路由器上的安全策略失效。如此的话，就可以为他们进一步攻击企业内部网络扫清道路。而有一些人即使不攻击企业网络，也会搞一些恶作剧。所以如果网络安全管理人员允许管理员进行远程节点访问，那么就要特别注意密码的安全性。要为此设立比较复杂的密码，并经常更换。

    二是采取一些比较安全的远程节点访问方法。如对于路由器或者其他应用服务器进行远程访问的话，往往即可以通过HTTP协议，也可以通过SSH协议进行远程节点访问。他们的功能大同小异。都可以远程执行服务器或者路由器上的命令、应用程序等等。但是，他们的安全性上就有很大的差异。Telent服务其安全性比较差，因为其无论是密码还是执行代码在网络中都是通过明文传输的。如此的话，其用户名与密码泄露的风险就比较大。

    如别有用心的入侵者可以通过网络侦听等手段窃取网络中明文传输的用户名与密码。这会给这些网络设备带来致命的打击。而SSH协议则相对来说比较安全，因为这个服务在网络上传输的数据都是加密处理过的。它可以提高远程节点访问的安全性。像Cisco公司提供的网络设备，如路由器等等，还有Linux基础上的服务器系统，默认情况下，都支持SSH服务。

    而往往会拒绝启用Telent服务等等。这也主要是出于安全性的考虑。不过基于微软的服务器系统，其默认情况下，支持Telent服务。不过，建议大家还是采用SSH服务为好。其安全性更高。

    三、针对远程控制的攻击

    远程控制是指一个远程用户控制一台位于其他地方的计算机。这台计算机可能是有专门用途的服务器系统，也可能是用户自己的计算机。他跟远程节点访问类似，但又有所不同。当用户通过远程节点访问服务器，则用户自己并不知道有人在访问自己。而通过远程控制访问的话，则在窗口中可以直接显现出来。

    因为远程用户使用的计算机只是作为键盘操作和现实之用，远程控制限制远程用户只能够使用驻留在企 控制的计算机上的软件程序。如像QQ远程协助，就是远程控制的一种。

    相对来说，远程控制要比节点访问安全性高一点。如一些远程控制软件往往会提供加强的审计和日志功能。有些远程控制软件，如QQ远程协助等，他们还需要用户提出请求，对方才能够进行远程控制。但是，其仍然存在一些脆弱性。

    一是只需要知道用户名与口令，就可以开始一个远程控制会话。也就是说，远程控制软件只会根据用户名与密码来进行身份验证。所以，如果在一些关键服务器上装有远程控制软件，最好能够采取一些额外的安全措施。

    如Windows服务器平台上有一个安全策略，可以设置只允许一些特定的MAC地址的主机可以远程连接到服务器上。通过这种策略，可以让只有网络管理人员的主机才能够进行远程控制。无疑这个策略可以大大提高远程控制的安全性。

    二是采用一些安全性比较高的远程控制软件。一些比较成熟的远程控制软件除了远程控制的基本功能之外，还提供了一些身份验证方式以供管理员选择。管理员可以根据安全性需求的不同，选择合适的身份验证方式。

    另外，其还具有加强的审计与日志功能，可以翔实的纪录远程控制所做的一些更改与访问的一些数据。当我们安全管理人员怀疑远程控制被入侵者利用时，则可以通过这些日志来查询是否有入侵者侵入。

    三是除非有特殊的必要，否则不要装或者开启远程控制软件。即使采取了一些安全措施，其安全隐患仍然存在。为此，除非特别需要，才开启远程控制软件。

　　微软表示，在实施Strider HoneyMonkey研究计划的第一个月里，已经查找到了链接到287个站点上的752个Web地址，可以自动感染未打补丁的机器。同时还发现了有一种攻击利用以前未曾发现的漏洞，甚至可以入侵一个安装完整Windows XP SP2补丁的机器。

　　微软最初在五月份开始讨论蜜猴程序，并在上个星期公布了一项有关其细节的研究报告。

　　该计划目前是在一个相对比较小的范围内进行的;目前他只能查找无需用户交互而自动安装的恶意代码，而不考虑目前基于社会工程学的成功率日益提高的复杂攻击，诸如钓鱼攻击。

　　不过，据微软计算机安全和系统管理研究组的负责人王一民表示，微软相信，自动化的处理方法有可能成为一个非常有价值的工具，用于检测尚未广泛传播的新类型攻击。在攻击者的圈子里，通常共享新的漏洞，会快速散布到多数站点。

　　王一民在报告中提到，“尽管手动分析通常能提供非常有用的详细信息，诸如什么漏洞被利用了和什么恶意程序被安装了等，但是这种分析不是局部的，不能提供问题的一个全面图解。”

　　例如，在7月初，微软的蜜猴们发现了一个Windows XP SP2的漏洞，当时没有其他站点在利用它。两个星期后，287个站点中的40个已经在利用这一漏洞。它是利用了以前未被发现的在COM对象、Jview事件探查器(javaprxy.dll)中的BUG，上月底该漏洞已被修补。

　　新安全系统使用了一系列的蜜猴，这个名字来自于“蜜罐”，一个专门等待黑客攻击的被动式安全研究服务器系统。每一个蜜猴是一个运行在虚拟机上的打着不同级别补丁的Windows XP系统。最初是一个没有打任何补丁的蜜猴在网络上查找潜在的恶意站点。当某个站点被发现安装了恶意代码后，这个虚拟机就被废弃了，另一个新的取代它的位置。

　　目标URL然后被移交给另一个具有更高安全级别的虚拟机，来看看系统是否还会被这个站点的恶意代码感染。如此循环，直到装有所有补丁的Windows XP 系统，微软如此表示。

　　王一民表示，系统会建立一个基于整个过程的拓扑图，可以查找出造成大量漏洞网页的几个主要罪魁祸首。

　　在蜜猴系统中运行了许多不同的工具来监视恶意站点，包括微软的rootkit检测和移除程序-Stider GhostBuster。

　　微软表示，计划最后将在几个不同地理位置分散的部署数百个蜜猴来检查不同的站点。

　　两名俄罗斯人及一位佛州人士周一被控犯有黑客罪名，警方指称他们合伙侵入了Heartland支付系统，7-Eleven以及Hannaford兄弟超市 等公司的网络系统，并窃取了超过1.3亿块信用卡的帐户数据。其中这位佛州罪犯现年28岁，是迈阿密人士，警方此前已经指控他犯有从8家主要的零售商站点 上窃取4000万张信用卡数据的罪名，受害的零售商包括TJ Maxx。不过警方并没有透露另外两名俄罗斯人的名字。这起案件据称是美国有史以来最大规模的黑客窃密案件。

　　这起案件被认为是美国司法部有史以来处理的规模最大的黑客窃密案件，按法庭的声明，除了Heartland, 7-Eleven,以及Hannaford兄弟超市这三家企业之外，还有另外两家不愿意透露名称的公司也是受害者。

　　这三名罪犯的具体罪名是自2006年10月份起即开始密谋侵入受害公司的计算机网络系统，并窃取有关的数据。犯罪分子们使用SQL注入攻击技术来窃取数据，并利用木马软件控制了位于加州，伊利诺伊州，新泽西，拉脱维亚，乌克兰以及荷兰的肉机，并利用这些肉机发起攻击。这种SQL注入式攻击会向程序中插入一段非法代码，并利用这段代码来攻击数据库数据层的一个漏洞，从而能从数据库中肆意提取需要的数据。

　　他们还同时非法在受害者的机器上安装后门及嗅探器软件，这些软件能实时地监控并拦截受害机器向外发送的数据，为了隐藏自己，他们还使用了代理服务器，他们编写的木马程序能巧妙地规避杀毒软件的检测，还可以自动删除木马软件的线程。

　　更糟糕的是，他们还试图将窃取到的信息进行倒卖。数罪并罚，他们的罪行最高可判35年监禁，并处125万美元罚金。看起来他们的千手绝技只能留到监狱中来发挥了。