网络入侵实例及防范措施概要

1、网络入侵及防范措施随着计算机网络技术的发展，现在计算机网络已经融入了我们的生活。但是计算 机网络的普遍应用过程中，又有着很多的网络安全隐患存在我们的生活和工作 中，并影响着不同层次的网络使用者。作为现在计算机网络的使用者，我们应该 对计算机网络带来的威胁提高警惕。本文主要介绍了影响网络安全的主要因素及 其防范措施。1 .网络入侵实例假设在局域网内计算机的操作系统为GHOST版的Windows XP,用户使用的是系统默认的Administratorh账户登录了此系统且密码为空。现在我们很多用户的 计算机都存在着这样的网络安全漏洞，黑客常常利用系统的这一漏洞入侵系统， 并对系统进行破坏。下面我们使

2、用本机作为黑客，虚拟机来模拟黑客入侵局域网 内的某一台计算机，并使虚拟机反复重新启动的过程。现在我们假设一下，局域网内的某一台计算机IP地址是192.168.56.101,黑客在入侵远程计算机时首先要与此计算机建立网络上的连接，并取得其管理员的权 限。作为黑客应该在本机上编辑好.bat文件，文件名称为sysconfig.bat,其内容为 shutdown命令，以使计算机重新启动。sysconfig.bat文件后，黑客将通过命令符 将此文件复制到远程计算机上，其后在本机通过命令进入注册表，通过连接网络 注册表，进入到远程计算机的注册表中，修改远程计算机注册表的开机启动项， 使其开机时则执行sys

3、config.bat文件，这样就可以使远程计算机每次启动都会执 行sysconfig.bat文件，并使其重新启动。下面则是此次模拟黑客入侵远程计算机 的具体步骤及图示：(1)在本地计算机编辑批处理文件 sysconfig.bat,打开记事本，写入如下命令： shutdown -r+15。该命令表示计算机在15秒后重新启动。将此文本另存为 sysconfig.bat 文件。(2)使用net use命令与远程计算机建立连接。在建立连接前，对虚拟机做如下设 置：开始一运行，输入gpedit.msc打开组策略，找到一Windows®置一安全设置一 本地策略一安全选项II,将本地帐户的共享和安

4、全模式设置为 总典一本地用户以 自己的身份验证II,再将使用空白密码的本地帐户只允许进行控制台登录设置为禁用1|0设置完成后本地计算机可以使用命令与远程计算机建立连接了。其命令为：ipc$ II user: II administralo户帐户是Administrator,密码为空。其命令图示如图 1:Ri 邑雹是 CAW*cmc图3连接网络注册表(5)连接到远程计算机的注册表后，找到注册表中的开机启动项所在的位置： HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun ,修 改注册表的开机启动项。在注册表空白处鼠标右键，新建字

5、符串值，名字为 start:,数值数据为sysconfig.bat文件在远程计算机的路径图1连接远程计算机(3)本机与远程计算机建立连接后，将sysconfig.bat文件复制到远程计算机，本机使用 copy命令：copy sysconfig.bat 192.168.56.101admin$ 如图 2所示：(4)打开注册表编辑器，连接到远程计算机的注册表。本机使用 regedit命令打开 注册表编辑器，鼠标单击 TC件I菜单项，选择选接网络注册表II,连接到远程计 算机192.168.56.101的注册表。具体如图3所示：图2复制文件到远程计算机选择计菖忙对象类型W .位置输入要选择的对象名称

6、娅口):检查名称您)192 163.56 101*1级Q) - 查找位置®:WORKGROUP选择此对象类型3 计算机J ：%X192 . L £iH .Sb .lifi Xipc$ "" Zunar" a"*dH inis t fa tor'vcfr" rTI >cnpy ri IV rcnnf .bat、U,七 J无g . El Mriiiin、安置制 1个文铝m i 丁匚 in l¥t PAtor >c4c:windowssysconfig.bat, 其设置具体如图4所示。启动项修改完成后

7、远程计算机 每次开机或重启时就会执行sysconfig.bat文件。图4编辑开机启动项路径(6)在本机命令行下使用shutdown命令使远程计算机重启，命令为：shutdown -r 弋10 -m 192.168.56.101,命令完成后远程计算机就会在 10秒后重新启动。待远 程计算机启动后会自动执行开机启动项中的sysconfig.bat文件，继续反复重新启动。其结果如图5所示：图5系统重新启动(7)在本机命令行下使用命令清除入侵痕迹：net use * /del /y,此命令表示断开所有已建立的连接，并清除入侵痕迹。2 .典型的网络入侵方式常见的网络入侵方式分为：IPC$入侵(附带 注册

8、表入侵)、Telnet入侵和135端 口入侵三种方式。2.1 眩$入侵IPC$可以被理解为一种 气用通道II,可以在连接双方建立一条安全的通道，实现 对远程计算机的访问，简单的说就是一种特殊的共享资源。由于我们在使用Windows时，不仅提供了 IPC$共享功能的同时，而且还启动了默认共享即所有的 逻辑共享(C$,D$,E$)和系统文件夹共享(admin$)。以上的这些，虽然为 用户提供了方便，但是在有意和无意中，使系统的安全性降低了很多。对于用户 而言，注册表应该相当熟悉。注册表是 Windows中的一个重要数据库用于存储系 统和应用程序的设置信息。黑客如果想远程计算机执行某一特定程序，只要

9、通过 修改远程计算机注册表中启动项就可以实现。2.2 Telnet 入侵Telnet协议是TCP/IP协议族中的一员，是Internet远程登录服务的标准协议和主 要方式。它为用户提供了在本地计算机上完成远程计算机工作的能力。在客户端 使用者的电脑使用telnet连接程序，用它就可以连接到开启 Telnet服务的计算 机。只要连接到了远程计算机，本机使用者就可以在Telnet的程序中输入命令，这些命令就可以在远程计算机上运行，对远程计算机进行控制。2.3 135端口入侵在 Windows系统中有一个十分重要的服务 RPC (Remote Procedure Call ,即远 程过程调用，很多其

10、他服务或程序都依赖于它，所以这项服务一般不能禁用。对 于这项服务运行的端口号就是135。因此很多黑客入侵电脑时会经过此端口号进 行入侵。3 .网络入侵的防范措施3.1 对于IPC$入侵的防范措施根据IPC$入侵的实际情况而言，常用的防范措施有：(1)停用系统自带的默认共享，即 C$、ADMIN$等，可以在命令符下使用以下命 令来停用这些默认共享：net share C$/del(2)在运行中使用services.ms端令打开服务，关闭以下服务：server服务(文件共 享服务)、Remote Registry服务(远程注册表服务)、Task Schedulee服务(任务计划服务)，同时需要开启

11、的服务有：内置防火墙、安全中心通知和自动更新 等服务。(3)同时在我们需要开启共享服务时，在防火墙例外规则中允许TC件和打印机共享II,反之则关闭即可。(4)控制用户账户：停用不需要的账户、管理员账户改名(最好是中文)及为管理 员帐户设置强密码。同时我们还可以利用控制用户登录的模式来保证网络的安 全，将本地账户的共享和安全模式设置为 以来宾II,再将使用空白密码的本地账 户设置为只允许控制台登录。这样就切断了 Telnet入侵账户的关键。3.2 对于Telnet入侵的防范措施根据Telnet入侵的特点，我们可以采取以下措施：关闭计算机的Telnet服务。在运行中输入services.ms端令打开服务，将 Telnet服务关闭。(2)开启计算机的防火墙及为计算机管理员账户设置复杂的用户名及强密码。3.3 对于135端口入侵的防范措施根据135端口入侵的特点，常用的防范措施有以下几种：(1)我们利用网络防火墙屏蔽系统中的135端口，这样就将黑客入侵的关键给消灭 了。除此之外，我们还应该关注 139、445等端口。(2)增加当前系统中管理员帐号密码的强度，比如密码中至少有6位以上，并且其中包括大小写字母、数