计算机安全问题

1、IP 地址盗用技术简介及防范措施一、 IP 地址盗用方法分析IP 地址的盗用方法多种多样，其常用方法主要有以下几种：1、 静态修改IP地址对于任何一个TCP/IP实现来说，IP地址都是其用户配置的必选项。如果用户在配置TCP/IP或修改TCP/IP 配置时，使用的不是授权机构分配的IP 地址，就形成了是一个逻辑地址，是一个需要用户设置的值，因此无法限制用户对于IPIP 地址盗用。由于 IP 地址地址的静态修改，除非使用DHCP服务器分配IP地址，但又会带来其它管理问题。2、 成对修改IP-MAC地址对于静态修改IP 地址的问题，现在很多单位都采用静态路由技术加以解决。针对静态路由技术， IP

2、盗用技术又有了新的发展，即成对修改IP-MAC 地址。 MAC 地址是设备的硬件地址，对于我们常用的以太网来说，即俗称的计算机网卡地址。每一个网卡的MAC 地址在所有以太网设备中必须是唯一的，它由IEEE 分配，是固化在网卡上的，一般不能随意改动。但是，现在的一些兼容网卡，其MAC地址可以使用网卡配置程序进行修改。如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址，那静态路由技术就无能为力了。另外，对于那些MAC 地址不能直接修改的网卡来说，用户还可以采用软件的办法来修改MAC地址，即通过修改底层网络软件达到欺骗上层网络软件的目的。3、 动态修改IP地址对于一些

3、黑客高手来说，自己的 IP 地址（或 IP-MAC直接编写程序在网络上收发数据包，绕过上层网络软件，地址对 ），达到 IP 欺骗并不是一件很困难的事。动态修改二、防范技术针对IP 盗用问题，网络专家采用了各种防范技术，现在比较通常的防范技术主要是根据 TCP/IP的层次结构，在不同的层次采用不同的方法来防止IP 地址的盗用。1、 交换机控制解决IP 地址的最彻底的方法是使用交换机进行控制，即在 TCP/IP 第二层进行控制：使 用交换机提供的端口的单地址工作模式，即交换机的每一个端口只允许一台主机通过该端口访问网络，任何其它地址的主机的访问被拒绝。但此方案的最大缺点在于它需要网络上全部采用交换

4、机提供用户接入，这在交换机相对昂贵的今天不是一个能够普遍采用的解决方案。2、 路由器隔离采用路由器隔离的办法其主要依据是MAC地址作为以太网卡地址全球唯一不能改变。其实现方法为通过系，和事先合法的SNM 胁议定期扫描校园网各路由器的ARP 表, 获得当前 IP 和 MACIP 和 MAC 地址比较，如不一致，则为非法访问。对于非法访问，有几种勺对照关办法可以制止，如：a. 使用正确的IP 与 MAC 地址映射覆盖非法的IP-MAC 表项；b. 向非法访问的主机发送ICMP 不可达的欺骗包，干扰其数据发送；修改路由器的存取控制列表，禁止非法访问。路由器隔离的另外一种实现方法是使用静态ARP表，即

5、路由器中IP与MAC地址的映射不通过ARP来获得，而采用静态设置。这样，当非法访问的IP地址和MAC地址不一致时，路由器根据正确的静态设置转发的帧就不会到达非法主机。路由器隔离技术能够较好地解决IP 地址的盗用问题，但是如果非法用户针对其理论依据进行破坏，成对修改IP-MAC 地址，对这样的IP 地址盗用它就无能为力了。3、 防火墙与代理服务器使用防火墙与代理服务器相结合，也能较好地解决 IP 地址盗用问题：防火墙用来隔离 内部网络和外部网络，用户访问外部网络通过代理服务器进行。使用这样的办法是将 IP 防 盗放到应用层来解决，变 IP 管理为用户身份和口令的管理，因为用户对于网络的使用归根

6、结底是要使用网络应用。这样实现的好处是，盗用 IP 地址只能在子网内使用，失去盗用的 意义；合法用户可以选择任意一台 IP 主机使用，通过代理服务器访问外部网络资源，而无 权用户即使盗用 IP ，也没有身份和密码，不能使用外部网络。如何防止ASP 木马在服务器上运行如果您的服务器正在受ASP 木马的困扰，那么希望这篇文章能帮您解决您所面临的问题。目前比较流行的ASP 木马主要通过三种技术来进行对服务器的相关操作。一、使用 FileSystemObject组件FileSystemObject可以对文件进行常规操作可以通过修改注册表，将此组件改名，来防止此类木马的危害。HKEY_CLASSES_R

7、OOTScripting.FileSystemObject改名为其它的名字，如：改为 FileSystemObject_ChangeName 自己以后调用的时候使用这个就可以正常调用此组件了 也要将 clsid 值也改一下项目的值也可以将其删除，来防止此类木马的危害。注销此组件命令：RegSrv32 /u C:WINNTSYSTEMscrrun.dll禁止Guest 用户使用scrrun.dll 来防止调用此组件。使用命令：cacls C:WINNTsystem32scrrun.dll /e /d guests二、使用 WScript.Shell组件WScript.Shell可以调用系统内核运

8、行DOS 基本命令可以通过修改注册表，将此组件改名，来防止此类木马的危害。及改名为其它的名字，如：改为 WScript.Shell_ChangeName 或自己以后调用的时候使用这个就可以正常调用此组件了也要将clsid 值也改一下项目的值项目的值也可以将其删除，来防止此类木马的危害。三、使用 Shell.Application组件Shell.Applicatio n可以调用系统内核运行DOS 基本命令可以通过修改注册表，将此组件改名，来防止此类木马的危害。HKEY_CLASSES_ROOTShell.Application及改名为其它的名字，如：改为 Shell.Application_Ch

9、angeName 或自己以后调用的时候使用这个就可以正常调用此组件了也要将clsid 值也改一下项目的值项目的值也可以将其删除，来防止此类木马的危害。禁止Guest 用户使用shell32.dll 来防止调用此组件。使用命令：cacls C:WINNTsystem32shell32.dll /e /d guests注：操作均需要重新启动WEB 服务后才会生效。四、调用Cmd.exe禁用Guests 组用户调用cmd.execacls C:WINNTsystem32Cmd.exe /e /d guests通过以上四步的设置基本可以防范目前比较流行的几种木马， 但最有效的办法还是通过 综合安全设置

10、， 将服务器、程序安全都达到一定标准，才可能将安全等级设置较高，防范更 多非法入侵。普遍存在的在线安全四个误区Internet 上，很多机器都因为很糟糕的在线安全设置，无意间在机器和系统中留下了 “后门”，也就相当于给入侵者打开了大门。 如果入侵者们在你的设置中发现了安全方面的 漏洞， 就会对你发起攻击。其结果可能影响不太， 如降低你的速度或者让你的机器崩溃；也 可能很严重，例如打开你的机密文件、偷窃口令和信用卡密码。但是很多人并不以为然，因 为他们在网络安全方面还存在四个误区。误区一：我没有连接其他网络，所以很安全。 可以上网的独立机器，与一台商业网络中心的机器相比， 所使用的网络协议仍然有

11、一些甚至全部相同，而一台商业网络中心的机器还可能安装了公共防火墙或者有专门负责安全的人员。与此形成强烈对比的是，一些用于家庭、 办公室、 小公司的个人用机却是门户大开，完全没有防范入侵者的能力。这种威胁是很现实的：如果你使用了CableModem 或是 DSL 连接上网，而且在网上的时间很长，一天里也许就会有2 到 4 个卑鄙的入侵者企图攻击你。误区二：我用拨号上网，所以是安全的。每次当你开始拨号上网，你使用的IP 地址都会不同，也就是动态IP，所以相比静态IP 的用户而言，入侵者的确很难找到你，但是有一些入侵软件已经发展到可以在 1个小时以内逐个扫描上万个IP 地址的能力，所以只要入侵者使用

12、了这些工具，即使是拨号上网的用户也可能受到攻击。误区三： 我使用了防病毒软件，所以很安全。一个好的病毒软件确实是在线安全不可或缺的部分， 但是也是很小的一个部分。它能够通过检测病毒和类似的问题保护你，但是它们 对防范入侵者、对带有恶意的合法程序却无能为力。误区四：我使用了防火墙，所以很安全。防火墙是很有用处， 但是如果你的机器总是采用一些不够安全的方式接收和发送数据，而你又仅仅依靠一些附加的程序提供安全，这就等 于把所有的蛋放在一个篮子里，一旦防火墙软件出现Bug 或者有漏洞，那你就很危险了。另外，防火墙对于病毒一类的软件完全没有防范能力，尤其是那些带有恶意的，悄悄地向你的机器发送或提取数据的

13、程序。最后， 一些防火墙软件还可能帮倒忙，因为它们的厂商在广告中把产品的特点已经广泛介绍出去，可能招致一些专门针对它们弱点的攻击。用 Windows 工具揪出隐藏的“ QQ 尾巴” QQ 尾巴”是利用Win dows 系统下 In ternet Explorer 的 iFrame 系统漏洞自动运行的一种恶意木马程序。该木马病毒会偷偷潜藏在用户的系统中，发作时会寻找QQ 窗口并给在线 QQ好友发送诸如“有我的照片”、“这是一个很不错的网站”或“快去这看看，里面有蛮好的东西”之类的假消息， 诱惑用户点击一个网站，如果有人信以为真点击该链接的话，就会被 病毒感染，然后成为毒源，继续传播。用户除了可以

14、下载“QQ 尾巴专杀工具”等对其进行查杀外，还可以使用Win dows 查找工具将它从用户系统中“甩”出去。用户从开始菜单中选择“查找T 文件或文件夹”并打开系统“查找”对话框：步骤一：切换到“名称与位置”选项卡，在“名称”和“包含文字”框中输入QQ 那段“虚假消息”的文字，如一段网址或“一个很不错的网站”等，将“搜索”范围指定到并选中“包含子文件夹”选项。步骤二：切换到“日期”选项卡，选中“查找所有文件”选项并在其右侧下拉菜单列表中选择“创建时间”，在“介于x年x月x日和x年x月x日”选项中选择发现QQ 发生异常的上一个可以正常聊天的日期，当然也可以是浏览过QQ 信息中虚假网址的当天。步骤三

15、：进行完上述所有设置后，单击“查找”，Windows查找工具会分别在文件夹中找到一个名为Se ndmess的应用程序和文件夹中找到一个名为Younv的应用程序，用户在安全模式下将它们进行清除一下即可完成“QQ 尾巴”木马病毒的查杀。用命令检查电脑是否被安装木马一些基本的命令往往可以在保护网络安全上起到很大的作用，下面几条命令的作用就非常突出。检测网络连接如果你怀疑自己的计算机上被别人安装了木马，或者是中了病毒，但是手里没有完善的工具来检测是不是真有这样的事情发生，那可以使用Windows 自带的网络命令来看看谁在连接你的计算机。具体的命令格式是：netstat -an这个命令能看到所有和本地计

16、算机建立连接的IP ，它包含四个部分proto （ 连接方式）、local address （ 本地连接地址） 、 foreign address （ 和本地建立连接的地址） 、state （ 当前端口状态） 。通过这个命令的详细信息，我们 就可以完全监控计算机上的连接，从而达到控制计算机的目的。禁用不明服务很多朋友在某天系统重新启动后会发现计算机速度变慢了，不管怎么优化都慢，用杀毒软件也查不出问题，这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务，比如IIS 信息服务等，这样你的杀毒软件是查不出来的。但是别急，可以通过“net start ”来查看系统中究竟有什么服务在开启，

17、如果发现了不是自己开放的服务，我们就可以有针对性地禁用这个服务了。方法就是直接输入“net start ”来查看服务，再用“net stop server”来禁止服务。轻松检查账户很长一段时间，恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户，但这个账户是不经常用的，然后使用工具把这个账户提升到管理员权限，从表面上看来这个账户还是和原来一样，但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。为了避免这种情况，可以用很简单的方法对账户进行检测。首先在命令行下输入net user ，查看计算机上有些什么用

18、户，然后再使用“net user+ 用户名”查看这个用户是属于什么权限的，一般除了Administrator是 administrators组 的，其他都不是! 如果你发现一个系统内置的用户是属于administrators组的，那几乎肯定你被入侵了，而且别人在你的计算机上克隆了账户。快使用“net user用户名 /del ”来删掉这个用户吧！电脑病毒最新隐身趋势及应对方法目前病毒的反杀毒技术有了新动向， 主要是采用了隐身方法。病毒采用的隐身方法据称有下列两种：一是频繁自我删除启动项和文件，就是开机后删除，关机前再创建，例如Backdoor/Byshell.a；二是隐藏进程、文件名 （ 只能

19、在安全模式下看到 ）和服务， 例如灰鸽子病毒最新变种 Backdoor/Huigezi.2005 。过去手工杀毒的三步方法就是，停止病毒进程，删除病毒文件，删除病毒启动项。现在这些方法将不好使了。那么， 现在应该如何对付这种新病毒呢？其实办法还是有的。对付第一种病毒的方法非常简单， 就是非正常关机（突然停电 ） 。这种方法过去我就用过，例如新浪网站偷偷安装的一个游戏插件，其启动项无法去掉，因为找不到它的进程，无法停止它，所以删除了启动项后关机时它又创建了启动项 （简直就是“准病毒” ）， 后来就是用突然停电的方式解决的。顺便 说一句，非正常关机对硬盘不利，所以不到迫不得已就别这样干。对付第二种病毒较难，需要在安全模式下才能发现并删除它