《网络安全基础知识》

网络平安根底知识主讲：戴维英客常用攻击手段及防御措施个人用户忠告及建议内容提要网络平安概述单位网络平安措施推荐F关注网络平安的必要性一.网络平安概述网络平安现状概述导致网络平安问题的原因Internet网络呈爆炸式增长Internet用户数〔百万〕互联网用户数每半年翻一番亿美元Internet商业应用快速增长E-mailWeb浏览Intranet站点E-Commerce电子交易复杂程度时间Internet变得越来越重要Internet变得越来越重要Internet已成为全球最重要的信息传播工具！——2001年不完全统计：Internet现在普及186个国家容纳近60万个网络提供了包括600个大型联网图书馆400个联网的学术文献库2000种网上杂志900种网上新闻报纸50多万个Web网站在内的多种效劳总共近100万个信息源为世界各地的网民提供大量信息资源交流和共享的空间。互联网数据量每100天翻一番Internet变得越来越重要Internet目前的开展规模连接计算机2亿多台Internet用户已超过5亿人Internet的开展速度是历史上开展最快的一种信息网络技术以商业化后到达5000万用户为例电视用了13年，收音机用了38年，100年Internet从商业化到达5000万用户用了4年时间Internet正在以超过摩尔定理(Moore)的速度开展Metcalfe定律〔第四定律〕：网络性能的增长速度等于连在网上的PC数目的平方(Cn2)，即网络的频宽每年提高了3倍。——正如尼尔·巴雷特在?信息国的状态?一书中所言：“要想预言Internet的开展，简直就像企图用弓箭追赶飞行中的子弹。在你每次用手指按动键盘的同时，Internet就已经在不断变化了。〞网络带宽vs.CPU性能第三定律：“吉尔德定律〞(Gilder’sLaw)：——在未来25年，主干网的带宽每6个月增长一倍，其增长速度是摩尔定律预测的CPU增长速度的3倍。——Internet的飞速开展加速了社会的信息化过程，由于信息价值的提高，信息的最主要的载体——网络、计算机成为不法分子攻击的目标。Internet变得越来越重要已确定的信息系统平安的脆弱性〔即允许非授权访问或破坏网络的软件与硬件问题〕的数量在近年迅速增加2001年：10902003年：41291995—2003全球信息系统脆弱性问题资料来源：://2003年2月8日1988-2002接到正式报告的攻击事件资料来源：://实际上发生的攻击事件远远超过这个数字6132252406773133423402412257327343734985921756526588209401000020000300004000050000600007000080000198819891990199119921993199419951996199719981999200020012002混合型威胁(RedCode,Nimda)拒绝服务攻击(Yahoo!,eBay)发送大量邮件的病毒(LoveLetter/Melissa)多变形病毒(Tequila)特洛伊木马病毒网络入侵70,00060,00050,00040,00030,00020,00010,000已知威胁的数量网络平安问题日益突出关注网络平安的必要性一.网络平安概述网络平安现状概述导致网络平安问题的原因网络信息平安问题涉及国家平安

—政治平安第一次(1997)：印尼金融危机、排华反华第二次〔1999.05):北约轰炸我驻南使馆第三次〔1999.07〕:李提“两国论〞第四次〔2000.02〕:日本右翼事件/教科书第五次〔2001.2〕:日航歧视华人事件第六次〔2001.05〕:中美撞机事件中外黑客大战6次高潮网络信息平安问题涉及国家平安

—政治平安2001年2月8日，中央企业工作委员会直属的高新技术企业集团武汉邮电科学研究院被黑，首页页头被加上“这里是信息产业部邮科院的网站，但已经被黑〞的字样。由于武汉邮电科学研究院在我国光纤研究领域和在武汉市的地位，其网站被黑引起了社会的广泛关注，据称也引起了国家信息部的注意。这是2001年国内第一次有影响的黑客事件。2001年12月,九运会期间信息系统运作获得圆满成功，抵御数十万次黑客攻击，创下全运会史上的五个第一。仅在开幕式当天，就出现了总数达35万次的三次袭击顶峰，此后平均每天有3—5万次的攻击。网管发现，几乎世界各地都有黑客参与攻击，其中不乏一些“颇负盛名〞的俄罗斯、美国黑客。由于采用了防火墙设备，并派人24小时监控，九运会网络安然无恙，黑客们只得无功而返。网络信息平安问题涉及国家平安

—政治平安2000年2月，日本右翼分子举行集会，企图否认南京大屠杀暴行，引起中国黑客愤慨，中国黑客连番袭击日本网站。2月8日——9日，中国最大网站新浪网招致黑客长达18小时的袭击，其电子邮箱完全陷入瘫痪。2001年11月1日，国内网站新浪被一家美国黄色网站攻破，以致沾染黄污。网页维护单位已迅速将黄色网站屏蔽。新浪网站搜索引擎提供的100多条“留学生回流〞相关新闻标题中，标题“中国留学生回流热〞的链接被指向一家全英文的美国成人黄色网站，图片极为污秽，不堪入目。2001年11月3日，中国青年报两次被黑，北京青年报网站遭到不明黑客袭击。网站被修改为黑色底色，并挂有巴西国旗。11月4日，北京青年报网站再次被黑客攻击。据称，黑客的两次攻击都是善意的，不知道这是北京青年报的自嘲还是黑客们真是善意的，总之，我们再一次发现我们网络的脆弱，不然不知道怎样解释两天的两次善意被黑。1996年8月17日，美国司法部的网络效劳器遭到“黑客〞入侵，并将“美国司法部〞的主页改为“美国不公正部〞，将司法部部长的照片换成了阿道夫·希特勒，将司法部徽章换成了纳粹党徽，并加上一幅色情女郎的图片作为所谓司法部部长的助手。1996年9月18日，黑客光临美国中央情报局的网络效劳器，将其主页由“中央情报局〞改为“中央愚蠢局〞。1996年12月29日，黑客侵入美国空军的全球网网址并将其主页肆意改动，其中空军介绍、新闻发布等内容被替换成一段简短的黄色录象，且声称美国政府所说的一切都是谎话。迫使美国国防部一度关闭了其他80多个军方网址。2000年3月6日晚6时50分，美国白宫网站主页被黑:在白宫上空飘扬的美国国旗竟变成了骷髅头的海盗旗；在克林顿与戈尔的合影中，戈尔成了独眼龙。更可笑的是，几分钟后白宫上悬挂的旗帜又摇身一变成了一美女剪影，而戈尔那么变成了一个汉堡包。此后不久，主页又被黑客修改，在美国国旗位置出现了三排歪歪扭扭的红色字体：Hackerswashere〔黑客到此一游〕。网络信息平安问题涉及国家平安

—政治平安美国发生的案例：CIAHOMEPAGEDOJHOMEPAGEUSAFHOMEPAGE美国被黑的WEB页面美国历年被攻击的情况引自ComputerEmergenceResponseTeam,CERT网络信息平安问题涉及国家平安

—经济平安1997年12月19日至1999年8月18日：有人先后19次入侵某证券公司上海分公司电脑数据库，非法操作股票价格，累计挪用金额1290万元。1998年2月25日：黑客入侵中国公众多媒体通信网广州蓝天bbs系统并得到系统的最高权限，系统失控长达15小时。为国内报道首例网上黑客案件。1998年9月22日，黑客入侵扬州工商银行电脑系统，将72万元注入其户头，提出26万元。为国内首例利用计算机盗窃银行巨款案件。1999年4月16日：黑客入侵中亚信托投资公司上海某证券营业部，造成340万元损失。1999年11月14日至17日：新疆乌鲁木齐市发生首起针对银行自动提款机的黑客案件，用户的信用卡被盗1.799万元。2000年3月6日至8日：黑客攻击实华开EC123网站达16次，同一时期，号称全球最大的中文网上书店“当当书店〞也遭到屡次黑客攻击。国内几起典型案例：平安事件造成经济损失(1)1988年康奈尔大学的研究生罗伯特.莫里斯(22岁)针对UNIX的缺陷设计了一个“蠕虫〞程序,感染了6000台计算机，使Internet不能正常运行，造成的经济损失达1亿美元。他因此被判三年缓刑、罚款1万美元、做400小时的社区效劳。1994年末，俄罗斯黑客弗拉基米尔·利文与其伙伴从圣彼得堡的一家小软件公司的联网计算机上，向美国CITYBANK银行发动了一连串攻击，通过电子转帐方式，从CITYBANK银行在纽约的计算机主机里窃取1100万美元。1995年，“世界头号电脑黑客〞凯文·米特尼克被捕。他被指控闯入许多电脑网络，包括入侵北美空中防务体系、美国国防部，偷窃了2万个信用号卡和复制软件。1999年4月26日，台湾人编制的CIH病毒的大爆发，有统计说我国大陆受其影响的PC机总量达36万台之多。有人估计在这次事件中，经济损失高达近12亿元。2005年，英国有500万人仅被网络诈骗就造成经济损失达5亿美元。“头号电脑黑客〞凯文米特尼克

KevinMitnick1995年2月被送上法庭，“到底还是输了〞。2000年1月出狱，3年内被禁止使用电脑、及互联网。〔材料引自?骇世黑客?余开亮张兵编〕平安事件造成经济损失(2)2000年2月份黑客攻击的浪潮，是互连网问世以来最为严重的黑客事件。三天内黑客使美国数家顶级互联网站——雅虎、亚马逊、EBAY、CNN陷入瘫痪，造成直接经济损失12亿美元，造成Internet的速度降低20%，并引起股市动乱：引起美国道穷斯股票指数下降了200多点。成长中的高科技股纳斯达克股票也一度下跌了80个点。平安事件造成的经济损失(3)2000年5月4日，“爱虫〞病毒大爆发，据美国加利福尼亚州的名为“电脑经济〞的研究机构发布的初步统计数据： “爱虫〞大爆发两天之后，全球约有4500万台电脑被感染，造成的损失已经到达26亿美元。此后几天里，“爱虫〞病毒所造成的损失还将以每天10亿美元到15亿美元的速度增加。——爱虫病毒造成的损失超过100亿美元！平安事件造成的经济损失(4)在2001年7月开始发作的“红色代码〞病毒造成大面积网络瘫痪，直接经济损失超过26亿美元。臭名昭著的“求职信〞病毒在2001年12月爆发，产生大量病毒邮件堵塞效劳器，造成损失达数百亿美元……2001年5月、2001年10月至11月和2002年2至4月，我国出现了病毒感染的3次顶峰。在这三个时间段中恰好是“欢乐时光〞病毒、“尼姆达〞病毒、“求职信〞病毒和GOP等病毒的高发期。平安事件造成的经济损失(5)2003年1月“蠕虫王〞病毒使得网络大面积瘫痪，银行自动提款机运做中断，直接经济损失超过26亿美元。令全世界闻风丧胆、令所有企业深恶痛绝的“冲击波〞病毒2003年7月发作，使得大量网络瘫痪，造成了数十亿美金的损失。2004年1月，“MyDoom〞病毒发作，产生大量垃圾邮件，攻击SCO和微软网站，给全球经济造成了300多亿美元的损失……2003年8月29日，18岁美国青年杰弗里·李·帕森被FBI逮捕其编写的“冲击波〞蠕虫病毒自8月11日下午在因特网上传播以来，已在全球范围内感染了大约50万台电脑，造成大批电脑瘫痪和网络连接速度减慢。——新华社/路透编写病毒的黑客编写病毒的黑客病毒造成的损失程度2001年计算机病毒攻击给全球造成损失130亿美元2002年电脑病毒攻击造成大约200-300亿美元损失2003年的损失那么到达550亿美元2004年仅MyDoom病毒的损失就高达300亿美元……恶意代码攻击的年度损失网络平安问题涉及国家平安

——社会稳定 ——互连网上散布的虚假信息、有害信息对社会管理秩序造成的危害，要比现实社会中一个造谣要大的多。1999年4月，河南商都热线一个BBS，一张说交通银行郑州支行行长携巨款外逃的帖子，造成了社会的动乱，三天十万人上街排队，挤提了十个亿。网上治安问题，民事问题，人身侮辱事件……来自上海，四川的举报网上赌博，网上色情 信息战——敌对双方为争夺对于信息的获取权、控制权和使用权而展开的斗争。 它是以计算机网络为战场，计算机技术为核心、为武器，是一场智力的较量，以攻击敌方的信息系统为主要手段，破坏敌方核心的信息系统，是现代战争的“第一个打击目标〞。其手段有：计算机病毒、逻辑炸弹、后门〔BackDoor〕、黑客、电磁炸弹、纳米机器人和芯片细菌等。美国联邦调查局计算机犯罪组负责人吉姆•塞特尔曾经说：给他10个世界顶级黑客，组成一个特别小组，90天内他就可以“关掉〞美国就像关掉一台计算机一样。网络信息平安问题涉及国家平安

——信息战有组织、大规模的网络攻击预谋行为：国家级、集团级无硝烟的战争：跨国界、隐蔽性、低花费、跨领域、高技术性、情报不确定性美国的“信息战执行委员会〞：网络防护中心〔1999年〕信息作战中心〔2000年〕网络攻击演练〔2002年〕?MC02演习?要害目标：金融支付中心、证券交易中心空中交管中心、铁路调度中心电信网管中心、军事指挥中心网络信息平安问题涉及国家平安

——信息战因特网平安漏洞危害在增大信息战的威胁在增加电力交通通讯控制播送工业金融医疗网络信息平安问题涉及国家平安

——信息战信息战重要实例1990年海湾战争，被称为“世界上首次全面信息战〞，充分显示了现代高技术条件下“制信息权〞的关键作用。美军通过向带病毒芯片的打印机设备发送指令，致使伊拉克军队系统瘫痪，轻易地摧毁了伊军的防空系统。多国部队运用精湛的信息技术,仅以伤亡百余人的代价取得了歼敌十多万的成果。在科索沃战争中，美国的电子专家成功侵入了南联盟防空体系的计算机系统。当南联盟军官在计算机屏幕上看到敌机目标的时候，天空上其实什么也没有。通过这种方法，美军成功迷惑了南联盟，使南联盟浪费了大量的人力物力资源。同样的方法还应用到南联盟首领米洛舍维奇的头上，美军雇佣黑客闯入瑞士银行系统，调查米氏的存款情况并加以删除，从心理上给予米氏以沉重的打击。美军1996～2004年对信息战的投资预计达170.23亿美元，1995年对计算机病毒武器研制的拨款为15亿美元，1996年对开发信息平安保密技术款额为10亿美元。在白宫Internet平安会议上，克林顿一次宣布拨款$900万，用于资助训练Internet平安专家和建立联邦Internet平安所，拔款$20亿用于建设网络根底设施以打击网络恐怖活动。我国打赢信息对抗的高层规划？网络信息平安问题涉及国家平安

——信息战信息时代的国际形势在信息时代，世界的格局是： 一个信息霸权国家， 十几个信息主权国家， 多数信息殖民地国家。在这样的一个格局中，我们只有一个定位：

反对信息霸权，保卫信息主权！关注网络平安的必要性一.网络平安概述网络平安现状概述导致网络平安问题的原因导致网络信息平安问题的原因内因：——人们的认识能力和实践能力的局限性〔1〕设计上的问题：Internet从一开始就缺乏平安的总体设想和设计，TCP/IP协议是在可信环境下，为网络互联而专门设计的，缺乏平安措施的考虑。〔历史造成〕 SYNFlood——伪造源地址的半开扫描，DoS〔2〕实现上的问题:Windows3.1—300万行代码，Windows2000—5000万行代码PingofDeath(死亡之ping)—Ping-t-l65550对方IP人为的后门和设计中的Bug〔3〕配置上的问题:默认的效劳〔4〕管理上的问题：弱的口令操作系统的平安问题1997—2000操作系统漏洞统计

securityfocus操作系统的平安问题2001年操作系统漏洞统计

Wewilldemonstratethat62%ofallsystemscanbepenetratedinlessthan30minutes.Morethanhalfofallattackswillcomefrominsideyourownorganization.fromTNN请看抓“肉鸡〞过程导致网络信息平安问题的原因外因外因黑客在网上的攻击活动每年以十倍速增长美国每年因黑客而造成的经济损失近百亿美元世界著名的黑客组织及其标志29A西班牙的黑客组织，其成员如下：名字 国家 Benny 捷克 GriYo

西班牙 LordJulus

罗马尼亚Mandragore

法国 Super 西班牙 Tcp

西班牙 TheMentalDriller

西班牙 VirusBuster

西班牙 TOPDEVICEASMMOEBIUSZULUSnakebasket來源:CSI/FBIComputerCrimeSurvey,March1998.21%48%72%89%外国政府竞争对手黑客不满的雇员导致网络信息平安问题的原因国内的另一个统计：操作系统漏洞操作系统失效计算机病毒破坏来自内部人员破坏自然灾害来自外部的破坏原因不明电源系统失效管理人员失误造成的损害黑客常用攻击手段及防御措施个人用户忠告及建议内容提要网络平安概述单位网络平安措施推荐F常见攻击手段及防御措施二.黑客常用攻击手段及防御措施网络攻防技术根底系统平安性配置指南局域网数据库效劳器交换机磁盘阵列路由器网络效劳器WWW效劳器基带ModemINTERNETModem池网ISDN、ADSL接入设备无线网Modem无线接入设备无线接入ModemCableModemCable接入设备PCMCIA无线接入PCMCIA参加Internet方式10101101010100110101100010111011010010010101010传输媒介网卡网络信息传输过程例如两个计算机交换文件文件传送模块计算机

1计算机2文件传送模块只看这两个文件传送模块好似文件及文件传送命令是按照水平方向的虚线传送的把文件交给下层模块进行发送把收到的文件交给上层模块再设计一个通信效劳模块文件传送模块计算机

1计算机

2文件传送模块只看这两个通信效劳模块好似可直接把文件可靠地传送到对方把文件交给下层模块进行发送把收到的文件交给上层模块通信效劳模块通信效劳模块再设计一个网络接入模块文件传送模块计算机

1计算机2文件传送模块通信效劳模块通信效劳模块网络接入模块网络接入模块通信网络网络接口网络接口网络接入模块负责做与网络接口细节有关的工作例如，规定传输的帧格式，帧的最大长度等。TCP/IP协议体系结构TCP协议的三次“握手〞TCP协议的四次“挥手〞分布式进程通信的c/s模式客户端Client效劳器端Server常见攻击手段及防御措施二.黑客常用攻击手段及防御措施网络攻防技术根底系统平安性配置指南成功的攻击=目的+手段+系统漏洞Attacker攻击的目的获取控制权好奇、恶作剧、证明实力执行进程获取文件和传输中的数据获取超级用户权限、越权使用资源对系统进行非法访问进行不许可操作、越权使用拒绝效劳涂改信息、暴露信息G.MarkHardy常用攻击手段漏洞扫描特洛伊木马网络嗅探〔Sniffer〕技术拒绝效劳和分布式拒绝效劳口令猜测欺骗技术缓冲区溢出常用攻击工具标准的TCP/IP工具(ping,telnet…)端口扫描和漏洞扫描(ISS-Safesuit,Nmap,portscaner…)网络包分析仪(snifferPro,networkmonitor)口令破解工具(lc4,fakegina)木马(BO2k,冰河,…)攻击的三个阶段准备阶段：寻找目标，收集信息实施阶段：获得初始的访问控制权与特权善后工作：去除踪迹，留下后门G.MarkHardy攻击的五个步骤一次成功的攻击，都可以归纳成根本的五步骤，但是根据实际情况可以随时调整。归纳起来就是“黑客攻击五部曲〞：1、隐藏IP2、踩点扫描3、获得系统或管理员权限(入侵攻击过程)4、种植后门5、在网络中隐身!!!典型的网络攻击过程示意图选中攻击目标获取普通用户权限擦除入侵痕迹安装后门新建帐号获取超级用户权限攻击其它主机获取或修改信息从事其它非法活动扫描网络利用系统已知的漏洞、通过输入区向CGI发送特殊的命令、发送特别大的数据造成缓冲区溢出、猜测已知用户的口令，从而发现突破口。截获篡改伪造中断被动攻击主动攻击目的站源站源站源站源站目的站目的站目的站被动攻击：〔破坏保密性〕消息内容分析通信量分析主动攻击中断〔破坏可用性〕篡改〔破坏完整性〕伪造〔破坏真实性〕典型的网络攻击方式和分类!!!——利用WindowsNT/2000空会话原理利用WindowsNT/2000对NetBIOS的缺省信赖通过TCP端口139返回主机的大量信息实例如果通过端口扫描获知TCP端口139已经翻开netuse\\21\IPC$“口令〞/USER:“用户名"在攻击者和目标主机间建立连接net usez:\\21\c$copyabc.exe\\21\admin$\system32nettime\\21at\\2121:05abc.exeWindows2000还有另一个SMB端口445针对Win系统的网络攻击术常识!!!常用攻击手段——分别介绍漏洞扫描特洛伊木马网络嗅探〔Sniffer〕技术拒绝效劳〔DOS〕和分布式拒绝效劳口令猜测欺骗技术缓冲区溢出系统信息收集扫描目的远程操作系统识别网络结构分析其他敏感信息收集漏洞检测错误的配置系统安全漏洞弱口令检测常用攻击手段－漏洞扫描扫描类型－地址扫描PingReplyXXX.XXX.XXX.XXX扫描类型－端口扫描主机可使用的端口号为0～65535，前1024个端口是保存端口，这些端口被提供给特定的效劳使用。常用的效劳都是使用标准的端口，只要扫描到相应的端口开着，就能知道目标主机上运行着什么效劳。然后入侵者才能针对这些效劳进行相应的攻击。扫描类型－漏洞扫描漏洞扫描是使用漏洞扫描程序对目标系统进行信息查询，通过漏洞扫描，可以发现系统中存在的不平安的地方。例如：操作系统漏洞弱口令用户应用程序漏洞配置错误等

高级扫描术－慢速扫描如果扫描是对非连续性端口、源地址不一致、时间间隔很长且没有规律的扫描的话，这些扫描的记录就会淹没在其他众多杂乱的日志内容中使用慢速扫描的目的就是骗过防火墙和入侵检测系统而收集信息。虽然扫描所用的时间较长，但是这是一种较难发现的扫描

高级扫描术－乱序扫描普通的扫描器在扫描远程系统的端口时，对端口扫描的顺序是有序的，这种按照一定的顺序扫描端口的方式很容易被入侵检测系统觉察。乱序扫描的端口号的顺序是随机生产的，这种方式能有效的欺骗某些入侵检测系统而不会被入侵检测系统觉察扫描器SATANSAINTSSSStrobeX-Scan……ISS(安氏)PingerPortscanSuperscan流光扫描工具：X-Scan-v3.2扫描内容包括：远程操作系统类型及版本标准端口状态及端口Banner信息SNMP信息，CGI漏洞，IIS漏洞，RPC漏洞，SSL漏洞SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVERNT-SERVER弱口令用户，NT效劳器NETBIOS信息注册表信息等。扫描器实例：X-Scan反扫描对策禁止/关闭不必要的效劳/端口屏蔽敏感信息合理配置防火墙和IDS陷阱技术Honeypot僚机策略……缓冲区溢出漏洞(OOB)什么是缓冲区溢出？

简单地说，缓冲区溢出就是向堆栈中分配的局部数据块中写入了超出其实际分配大小的数据，导致数据越界，结果覆盖了原先的堆栈数据。缓冲区溢出可以:使主机系统瘫痪；获取系统的登录账号；获得系统的超级用户权限。暴力破解系统用户密码使用简单字典文件，利用工具软件GetNTUser可将管理员密码破解出来。暴力破解邮箱密码邮箱的密码一般需要设置到八位以上，否那么七位以下的密码容易被破解。尤其七位全部是数字，更容易被破解。案例电子邮箱暴力破解：工具软件：黑雨——POP3邮箱密码暴力破解器ver2.3.1木马木马是一种可以驻留在对方系统中的一种程序。木马一般由两局部组成：效劳器端和客户端。驻留在对方效劳器的称之为木马的效劳器端，远程的可以连到木马效劳器的程序称之为客户端。木马的功能是通过客户端可以操纵效劳器，进而操纵对方的主机。木马程序在外表上看上去没有任何的损害，实际上隐藏着可以控制用户整个计算机系统、翻开后门等危害系统平安的功能。木马＝特洛伊木马木马来自于“特洛伊木马〞，英文名称为TrojanHorse。传说希腊人围攻特洛伊城，久久不能攻克，后来军师想出了一个特洛伊木马计，让士兵藏在巨大的特洛伊木马中部队假装撤退而将特洛伊木马丢弃在特洛伊城下，让敌人将其作为战利品拖入城中，到了夜里，特洛伊木马内的士兵便趁着夜里敌人庆祝胜利、放松警惕的时候从特洛伊木马里悄悄地爬出来，与城外的部队里应外合攻下了特洛伊城。由于特洛伊木马程序的功能和此类似，故而得名。是登录屏还是特洛伊木马?G.MarkHardy吃惊吗!G.MarkHardyGINA木马！木马的分类远程访问型特洛伊木马键盘记录型特洛伊木马密码发送型特洛伊木马破坏型特洛伊木马代理木马FTP型特洛伊木马网页型木马……常见的Trojans木马的植入方式利用系统漏洞安装电子邮件附件、浏览网页、FTP文件下载、QQ等方式传播手工放置木马的查杀安装杀毒软件和防火墙检查INI文件查看win.ini中的“run=〞、“load=〞查看system.ini中的“shell=explorer.exe程序名〞后面所加载的程序。木马的查杀检查注册表：在注册表中，最有可能隐藏木马的地方是HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceExHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce检查注册表其他可能隐藏木马的注册表项还有：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinlogonHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceExHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnceHKEY_CURRENT_USER\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\windows\LoadHKEY_CURRENT_USER\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\windows\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\ AppInit_DLLs木马的查杀检查效劳开始\程序\管理工具\效劳检查系统进程系统信息\软件环境\正在运行任务(win98)、Pstools(winnt/2k)检查开放端口Netstat–an(win98)、Fport(winnt/2k)监视网络通讯防火墙、网络监视器(win2k)、Sniffer对可疑文件的分析W32Dasm、IDA、Soft-ice木马的查杀木马的查杀木马端口列表：:///main.htm://wwwmodon/threat/threat-ports.htm://chebucto.ns.ca/~rakerman/port-table.html网络监听/嗅探〔Sniffer〕定义

嗅探器(Sniffer)是能够从网络设备上捕获网络报文的一种工具Sniffer名称的来由

通用网络公司开发的一个程序－>NAI监听工具—pswmonitor该工具软件功能比较强大，可以监听的一个网段所有的用户名和密码，而且还可以指定发送的邮箱，设置的界面如下图。请演示：pswmonitor监听工具GW(Server)1C翻开IP转发功能2C发送假冒的arp包给B,声称自己是GW的IP地址3B给外部发送数据，首先发给C4C再转发给GW普通用户B嗅探者CARP欺骗+Sniffer(一种中间人攻击)交换环境中的嗅探器Sniffer危害嗅探器能够捕获口令能够捕获专用的或者机密的信息危害网络邻居的平安获取更高级别的访问权限获得进一步进行攻击需要的信息网络监听平安对策规划网络合理分段，采用交换机、路由器、网桥等设备，相互信任的主机处于同一网段采用加密会话对平安性要求高的数据通讯进行加密传输例如采用目前比较流行的SSL协议以及使用SSH这样的平安产品传送敏感使用一次性口令技术(OTP)为了防止ARP欺骗，使用永久的ARP缓存条目使用检测工具TripWarAnti-Sniffer〔L0pht，notfree〕拒绝效劳攻击(DOS)拒绝效劳攻击的简称是：DoS〔DenialofService〕攻击，但凡造成目标计算机拒绝提供效劳的攻击都称为DoS攻击，其目的是使目标计算机或网络无法提供正常的效劳。最常见的DoS攻击是：计算机网络带宽攻击和连通性攻击。带宽攻击是以极大的通信量冲击网络，使网络所有可用的带宽都被消耗掉，最后导致合法用户的请求无法通过。连通性攻击指用大量的连接请求冲击计算机，最终导致计算机无法再处理合法用户的请求。TCPSYNAttackPingofDeath消耗系统资源(带宽、内存、队列、CPU…)系统宕机……阻止授权用户正常访问网络(慢、不能连接、没有响应……)CPU拒绝效劳攻击DOS!!!拒绝效劳攻击为什么要进行Dos攻击放置木马需要重启使用IP欺骗，使冒用主机瘫痪使得被攻击的目标主机的日志系统失效常见DoS攻击种类死亡之Ping,land,teardrop,SYNfloodICMP:smurf拒绝效劳：LAND攻击攻击者InternetCode目标2欺骗性的IP包源地址2Port139目的地址2Port139TCPOpenG.MarkHardy攻击者InternetCode目标2IP包欺骗源地址2Port139目的地址2Port139包被送回它自己崩溃G.MarkHardy拒绝效劳：LAND攻击LAND攻击防范：代理类的防火墙攻击者InternetCode目标2IP包欺骗源地址2Port139目标地址2Port139TCPOpen防火墙防火墙把有危险的包阻隔在网络外G.MarkHardyTCP同步泛滥攻击者InternetCode目标欺骗性的IP包源地址不存在目标地址是TCPOpenG.MarkHardyTCPSYN泛滥攻击者InternetCode目标同步应答响应源地址目标地址不存在TCPACK崩溃G.MarkHardyTCPSYN泛滥攻击的平安对策G.MarkHardy法一：缩短SYNTimeout时间——由于SYNFlood攻击的效果取决于效劳器上保持的SYN半连接数，这个值=SYN攻击的频度x

SYNTimeout，所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间，例如设置为20秒以下〔过低的SYNTimeout设置可能会影响客户的正常访问〕，可以成倍的降低效劳器的负荷。法二：设置SYNCookie——就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被丢弃。Smuff攻击第一步：攻击者向被利用网络A的播送地址发送一个ICMP协议的’echo’请求数据报，该数据报源地址被伪造成第二步：网络A上的所有主机都向该伪造的源地址返回一个‘echo’响应，造成该主机效劳中断。常见的拒绝效劳……分布式拒绝效劳〔DDOS〕以破坏系统或网络的可用性为目标常用的工具：Trin00TFN/TFN2KStacheldraht很难防范伪造源地址，流量加密很难跟踪clienttargethandler...agent...DoSICMPFlood/SYNFlood/UDPFloodDDoS分布式拒绝效劳攻击步骤1ScanningProgram不安全的计算机Hacker攻击者使用扫描工具探测扫描大量主机以寻找潜在入侵目标。1InternetHacker被控制的计算机(代理端)黑客设法入侵有平安漏洞的主机并获取控制权。这些主机将被用于放置后门、sniffer或守护程序甚至是客户程序。2Internet分布式拒绝效劳攻击步骤2Hacker

黑客在得到入侵计算机清单后，从中选出满足建立网络所需要的主机，放置已编译好的守护程序，并对被控制的计算机发送命令。3被控制计算机〔代理端〕MasterServerInternet分布式拒绝效劳攻击步骤3Hacker

UsingClientprogram,

黑客发送控制命令给主机，准备启动对目标系统的攻击4被控制计算机〔代理端〕TargetedSystemMasterServerInternet分布式拒绝效劳攻击步骤4InternetHacker

主机发送攻击信号给被控制计算机开始对目标系统发起攻击。5MasterServerTargetedSystem被控制计算机〔代理端〕分布式拒绝效劳攻击步骤5TargetedSystemHacker目标系统被无数的伪造的请求所淹没，从而无法对合法用户进行响应，DDOS攻击成功。6MasterServerUserRequestDeniedInternet被控制计算机〔代理端〕分布式拒绝效劳攻击步骤6分布式拒绝效劳攻击DDOS攻击的效果：由于整个过程是自动化的，攻击者能够在5秒钟内入侵一台主机并安装攻击工具。也就是说，在短短的一小时内可以入侵数千台主机。并使某一台主机可能要遭受1000MB/S数据量的猛烈攻击，这一数据量相当于1.04亿人同时拨打某公司的一部号码。分布式拒绝效劳攻击预防DDOS攻击的措施确保主机不被入侵且是平安的；周期性审核系统；检查文件完整性；优化路由和网络结构；优化对外开放访问的主机；在网络上建立一个过滤器〔filter〕或侦测器(sniffer)，在攻击信息到达之前阻挡攻击信息。对付DDoS攻击的方法1．定期扫描现有的网络主节点，清查可能存在的平安漏洞。对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用最正确位置，因此对这些主机本身加强主机平安是非常重要的。2．在骨干节点上的防火墙的配置至关重要。防火墙本身能抵御DDOS攻击和其它一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样保护真正的主机不被瘫痪。对付DDoS攻击的方法3．用足够的机器承受黑客攻击。这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿。4．充分利用网络设备保护网络资源。所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。假设其他效劳器死掉，其中的数据会丧失，而且重启效劳器又是一个漫长的过程。对付DDoS攻击的方法5．使用Inexpress、ExpressForwarding过滤不必要的效劳和端口，即在路由器上过滤假IP。比方Cisco公司的CEF〔CiscoExpressForwarding〕可以针对封包SourceIP和RoutingTable做比较，并加以过滤。6．使用UnicastReversePathForwarding检查访问者的来源。它通过反向路由表查询的方法检查访问者的IP地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户，很难查出它来自何处，因此，利用UnicastReversePathForwarding可减少假IP地址的出现，有助于提高网络平安性。对付DDoS攻击的方法7．过滤所有RFC1918IP地址。RFC1918IP地址是内部网的IP地址，像、和，它们不是某个网段的固定IP地址，而是Internet内部保存的区域性IP地址，应该把它们过滤掉。8．限制SYN/ICMP流量。用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量时，说明不是正常的网络访问，而是有黑客入侵。对付正在进行的DDOS方法如果用户正在遭受攻击，他所能做的抵御工作非常有限。因为在原本没有准备好的情况下有大流量的灾难性攻击冲向用户，很可能用户在还没回过神之际，网络已经瘫痪。但是，用户还是可以抓住时机寻求一线希望的。首先，检查攻击来源，通常黑客会通过很多假的IP地址发起攻击，此时，用户假设能够分辨出哪些是真IP地址，哪些是假IP地址，然后了解这些IP来自哪些网段，再找网段管理员把机器关掉，即可消除攻击。其次，找出攻击者所经过的路由，把攻击屏蔽掉。假设黑客从某些端口发动攻击，用户可把这些端口屏蔽掉，以狙击入侵。最后一种比较折衷的方法是在路由器上滤掉ICMP包。欺骗攻击纯技术性利用了TCP/IP协议的缺陷不涉及系统漏洞较为罕见1994.12.25，凯文.米特尼克利用IP欺骗技术攻破了SanDiego计算中心1999年，RSASecurity公司网站遭受DNS欺骗攻击1998年，台湾某电子商务网站遭受Web欺骗攻击，造成大量客户的信用卡密码泄漏欺骗攻击的主要类型：IP欺骗攻击Web欺骗攻击DNS欺骗攻击后门程序BO、netbusService/Daemon帐户其他新一代恶意代码〔蠕虫、木马〕2002网络攻击手段的融合常见攻击手段及防御措施二.黑客常用攻击手段及防御措施网络攻防技术根底系统平安性配置指南1、不要选择从网络上安装虽然微软支持在线安装，但这绝对不平安。在系统未全部安装完之前不要连入网络，特别是Internet！甚至不要把一切硬件都连接好来安装。因为Windows2000安装时，在输入用户管理员账号“Administrator〞的密码后，系统会建立一个“ADMIN〞的共享账号，但是并没有用刚输入的密码来保护它，这种情况一直会持续到计算机再次启动。在此期间，任何人都可以通过“ADMIN〞进入系统；同时，安装完成，各种效劳会马上自动运行，而这时的效劳器还到处是漏洞，非常容易从外部侵入。——拔线安装2、要选择NTFS格式来分区

最好所有的分区都是NTFS格式，因为NTFS格式的分区在平安性方面更加有保障。就算其他分区采用别的格式(如FAT32)，但至少系统所在的分区中应是NTFS格式。 另外，应用程序不要和系统放在同一个分区中，以免攻击者利用应用程序的漏洞(如微软的IIS的漏洞)导致系统文件的泄漏，甚至让入侵者远程获取管理员权限。——分区格式3、系统版本的选择

WIN2000有各种语言的版本，对于我们来说，可以选择英文版或简体中文版，我强烈建议：在语言不成为障碍的情况下，请一定使用英文版。要知道，微软的产品是以Bug&Patch而著称的，中文版的Bug远远多于英文版，而补丁一般还会迟至少半个月〔也就是说一般微软公布了漏洞后你的机子还会有半个月处于无保护状况〕——及时补丁4、组件的定制

Win2000在默认情况下会安装一些常用的组件，但是正是这个默认安装是很危险的，你应该确切的知道你需要哪些效劳，而且仅仅安装你确实需要的效劳，根据平安原那么，最少的效劳+最小的权限=最大的平安。典型的WEB效劳器需要的最小组件选择是：只安装IIS的ComFiles，IISSnap-In，WWWServer组件。如果你确实需要安装其他组件，请慎重，特别是：IndexingService,FrontPage2000ServerExtensions,InternetServiceManager(HTML)这几个危险效劳。——最少效劳5、分区和逻辑盘的分配

建议最少建立两个分区，一个系统分区，一个应用程序分区，这是因为，微软的IIS经常会有泄漏源码/溢出的漏洞，如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。推荐的平安配置是建立三个逻辑驱动器，第一个大于2G，用来装系统和重要的日志文件，第二个放IIS，第三个放FTP，这样无论IIS或FTP出了平安漏洞都不会直接影响到系统目录和系统文件。——分区分放IIS和FTP是对外效劳的，比较容易出问题。而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。〔这个可能会导致程序开发人员和站点编辑的苦恼〕5、分区和逻辑盘的分配

6、安装杀毒软件

杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序，因此一定要运行杀毒程序并把它设为开机自动运行，并注意经常升级病毒库。

——杀毒升级及时7、安装防火墙——有关防火墙请参见介绍：——设阻断点根本概念2个条件：策略执行、自身免疫2个默认平安策略3个术语防火墙的分类分组〔包〕过滤、应用代理、状态检测四种防火墙体系结构模型包过滤、屏蔽主机、双/多宿主、屏蔽子网防火墙系统的实现策略、步骤、实现、工具8、安装系统补丁 到微软网站下载最新的补丁程序：经常访问微软和一些平安站点，下载最新的ServicePack和漏洞补丁，是保障效劳器长久平安的唯一方法。——系统补漏9、安装顺序的选择

首先，何时接入网络： Win2000在安装时的ADMIN$的共享的漏洞；同时，只要安装一完成，各种效劳就会自动运行，而这时的效劳器是满身漏洞，非常容易进入的，因此，在完全安装并配置好Win2000SERVER之前，一定不要把主机接入网络。——顺序合理 其次，补丁的安装：补丁的安装应该在所有应用程序安装完之后。因为补丁程序往往要替换/修改某些系统文件，如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果，例如：IIS的HotFix就要求每次更改IIS的配置都需要安装。

注册表的构造系统对注册表预定了六个主管键字：HKEY_CLASSES_ROOT：文件扩展名与应用的关联及OLE信息

HKEY_USERS：用户根据个人爱好设置的信息。HKEY_CURRENT_USER：当前登录用户控制面板选项和桌面等的设置，以及映射的网络驱动器

HKEY_LOCAL_MACHINE：计算机硬件与应用程序信息

HKEY_DYN_DATA：即插即用和系统性能的动态信息

HKEY_CURRENT_CONFIG：计算机硬件配置信息注册表的双重入口问题在注册表中经常出现双重入口〔分支〕，例如，有一些在HKEY_CLASSES_ROOT中的键同样会在HKEY_LOCAL_MACHINE中出现。如果这些相同的分支出现在两个不同的根键中，那么，哪个根键有效呢?

注册表的子键都有严格的组织。某些相同的信息会出现在超过一个的子键中，如果您只修改了一个子键，那么该修改是否作用于系统依赖于该子键的等级。一般来说，系统信息优先于用户等级。例如，一个设置项同时出现在HKEY_LOCAL_MACHINE和HKEY_USER子键中，通常由HKEY_LOCAL_MACHINE中的数据起作用。要注意的是，这种情况只发生在您直接编辑注册表时。如果您从“控制面板〞中更改系统配置，那么所有出现该设置项的地方均会发生相应的改变。注册表的修改备份注册表不少安装程序(或你自己直接处理)都可能搞乱你系统的注册表，从而引发不测，所以我们应该定期地备份user.dat和system.dat文件。但目前的资源管理器(或者是DOS)都不能直接复制这两个文件.注册表平安实例1、让用户只使用指定的程序

为防止用户非法运行或者修改程序，导致整个计算机系统处于混乱状态，我们可以通过修改注册表来到达让用户只能使用指定的程序的目的，从而保证系统的平安。设置时，可以在注册表编辑器窗口中依次翻开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer键值，然后在右边的窗口中新建一个DWORD串值，名字取为“RestrictRun〞，把它的值设为“1〞。然后在RestrictRun的主键下分别添加名为“1〞、“2〞、“3〞等字符串值，然后将“1〞，“2〞、“3〞等字符串的值设置为我们允许用户使用的程序名。例如将“1〞、“2〞、“3〞分别设置为word.EXE、notepad.EXE、write.EXE，那么用户只能使用word、记事本、写字板了，这样我们的系统将会做到最大的保障，也可以限制用户运行不必要的软件了。注册表平安实例2、预防WinNuke的破坏

现在有一个叫WinNuke的程序，能对计算机中的Windows系统有破坏作用，为防止该程序破坏Windows操作系统，导致整个计算机系统瘫痪，所以我们有必要预防WinNuke的破坏性。我们可以在注册表中对其进行设置，以保证系统的平安。设置时，在编辑器操作窗口中用鼠标依次单击键值HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\MSTCP，然后在右边的窗口中新建或修改字符串“BSDUrgent〞，并把其值设置为0，这样就可以预防WinNuke对系统的破坏了。

注册表平安实例3、隐藏一个效劳器

1、翻开注册表编辑器，并在编辑器对话框中用鼠标依次单击如下分支：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters键值。

2、用鼠标单击该键值下面的Hidden数值名称，如果未发现此名称，那么添加一个，其数据类型为REG_DWORD。

3、接着用鼠标双击此项，在弹出的“DWORD编辑器〞对话框中输入1即可。

4、最后单击“确定〞按钮，并退出注册表编辑窗口，重新启动计算机就可以在局域网中隐藏一个效劳器了。注册表平安实例4、不允许用户拨号访问

如果用户的计算机上面有重要的信息，有可能不允许其他人随便访问。那么如何禁止其他人拨入访问你的计算机，减少平安隐患呢，具体步骤为：

1、翻开注册表编辑器，并在编辑器中依次展开以下键值：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Network]；

2、在编辑器右边的列表中用鼠标选择“NoDialIn〞键值，如果没有该键值，必须新建一个DWORD值，名称设置为“NoDialIn〞；

3、接着用鼠标双击“NoDialIn〞键值，编辑器就会弹出一个名为“字符串编辑器〞的对话框，在该对话框的文本栏中输入数值“1〞，其中0代表禁止拨入访问功能，1代表允许拨入访问功能；

4、退出后重新登录网络，上述设置就会起作用。注册表平安实例5、限制使用系统的某些特性

1、运行注册表编辑器，进入HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System键值；

2、如果不存在该键值，就新建一个；

3、然后将该键值下方的DisableTaskManager的值设为1，表示将阻止用户运行任务管理器。

4、接着将NoDispAppearancePage设为1，表示将不允许用户在控制面板中改变显示模式；

5、下面再将NoDispBackgroundPage设为1，表示将不允许用户改变桌面背景和墙纸。FWindows系列操作系统的平安性系统的安装系统常见平安漏洞及其解决方案系统注册表平安配置实例Windows2000系统平安配置操作系统根本平安配置检查项〔12项〕操作系统平安配置小结Windows2000系统平安配置工具DDOS的防御IIS平安配置1、物理平安效劳器应该安放在安装了监视器的隔离房间内，并且监视器要保存15天以上的摄像记录。另外，机箱，键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在平安的地方。2、停止Guest帐号在计算机管理的用户里面把Guest帐号停用，任何时候都不允许Guest帐号登陆系统。为了保险起见，最好给Guest加一个复杂的密码，可以翻开记事本，在里面输入一串包含特殊字符,数字，字母的长字符串。用它作为Guest帐号的密码。并且修改Guest帐号的属性，设置拒绝远程访问，如下图。3限制用户数量去掉所有的测试帐户、共享帐号和普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不使用的帐户。帐户很多是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。对于国内的WindowsNT/2000主机，如果系统帐户超过10个，一般能找出一两个弱口令帐户，所以帐户数量不要大于10个。我曾经发现一台主机197个帐户中竟然有180个帐号都是弱口令帐户。4多个管理员帐号虽然这点看上去和上面有些矛盾，但事实上是服从上面规那么的。创立一个一般用户权限帐号用来处理电子邮件以及处理一些日常事物，另一个拥有Administrator权限的帐户只在需要的时候使用。因为只要登录系统以后，密码就存储再WinLogon进程中，当有其他用户入侵计算机的时候就可以得到登录用户的密码，尽量减少Administrator登录的次数和时间。可以让管理员使用“RunAS〞命令来执行一些需要特权才能作的一些工作，以方便管理。5管理员帐号改名Windows2000中的Administrator帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比方改成：guestone。具体操作的时候只要选中帐户名改名就可以了，如下图。6陷阱帐号所谓的陷阱帐号是创立一个名为“Administrator〞的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些Scripts忙上一段时间了，并且可以借此发现它们的入侵企图。或者在它的loginscripts上面做点手脚。可以将该用户隶属的组修改成Guests组，如下图。7更改默认权限共享文件的权限从“Everyone〞组改成“授权用户〞。“Everyone〞在Windows2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候不要把共享文件的用户设置成“Everyone〞组。包括打印共享，默认的属性就是“Everyone〞组的，一定不要忘了改。设置某文件夹共享默认设置如下图。8平安密码好的密码对于一个网络是非常重要的，但是也是最容易被忽略的。一些网络管理员创立帐号的时候往往用公司名，计算机名，或者一些别的一猜就到的字符做用户名，然后又把这些帐户的密码设置得比较简单，比方：“welcome〞、“iloveyou〞、“letmein〞或者和用户名相同的密码等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码，还要注意经常更改密码。这里给好密码下了个定义：平安期内无法破解出来的密码就是好密码，也就是说，如果得到了密码文档，必须花43天或者更长的时间才能破解出来，密码策略是42天必须改密码。9设置屏幕保护密码设置屏幕保护密码是防止内部人员破坏效劳器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序，浪费系统资源，黑屏就可以了。还有一点，所有系统用户所使用的机器也最好加上屏幕保护密码。将屏幕保护的选项“密码保护〞选中就可以了，并将等待时间设置为最短时间“1分钟〞，如下图。10使用NTFS分区把效劳器的所有分区都改成NTFS格式。NTFS文件系统要比FAT、FAT32的文件系统平安得多。11运行防毒软件Windows2000/NT效劳器一般都没有安装防毒软件的，一些好的杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序。设置了放毒软件，“黑客〞们使用的那些有名的木马就毫无用武之地了，并且要经常升级病毒库。12保障备份盘的平安一旦系统资料被黑客破坏，备份盘将是恢复资料的唯一途径。备份完资料后，把备份盘防在平安的地方。不能把资料备份在同一台效劳器上，这样的话还不如不要备份。FWindows系列操作系统的平安性系统的安装系统常见平安漏洞及其解决方案系统注册表平安配置实例Windows2000系统平安配置操作系统根本平安配置检查项〔12项〕操作系统平安配置小结Windows2000系统平安配置工具DDOS的防御IIS平安配置操作系统平安策略利用Windows2000的平安配置工具来配置平安策略，微软提供了一套的基于管理控制台的平安配置和分析工具，可以配置效劳器的平安策略。在管理工具中可以找到“本地平安策略〞，主界面如下图。可以配置四类平安策略：帐户策略、本地策略、公钥策略和IP平安策略。在默认的情况下，这些策略都是没有开启的。1〕禁止建立空连接〔IPC＄〕 默认情况下，任何用户都可通过空连接连上效劳器，进而枚举出账号，猜测密码。我们可以通过修改注册表来禁止建立空连接：即把“Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous〞的值改成“1〞即可。如果使用“2〞可能会造成你的一些效劳无法启动，如SQLServer。2〕禁止管理共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters项对于效劳器，添加键值“AutoShareServer〞，类型为“REG_DWORD〞，值为“0〞。对于客户机，添加键值“AutoShareWks〞，类型为“REG_DWORD〞，值为“0〞。(关闭server效劳)3)、停止不必要的效劳效劳开的太多也不是个好事，将没有必要的效劳通通关掉吧！特别是连管理员都不知道是干什么的效劳，还开着干什么！关掉！免得给系统带来灾难。另外，管理员如果不外出，不需要远程管理你的计算机的话，最好将一切的远程网络登录功能都关掉。注意，除非特别需要，否那么禁用“TaskScheduler〞、“RunAsService〞效劳！关闭一项效劳的方法很简单，运行cmd.exe之后，直接netstopservername即可。Windows2000可禁用的效劳服务名说明ComputerBrowser维护网络上计算机的最新列表以及提供这个列表Taskscheduler允许程序在指定时间运行RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务Removablestorage管理可移动媒体、驱动程序和库RemoteRegistryService允许远程注册表操作PrintSpooler将文件加载到内存中以便以后打印。要用打印机的用户不能禁用这项服务IPSECPolicyAgent管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序DistributedLinkTrackingClient当文件在网络域的NTFS卷中移动时发送通知Com+EventSystem提供事件的自动发布到订阅COM组件6)、设置生存时间以禁止黑客判断主机类型HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersDefaultTTLREG_DWORD0-0xff(0-255十进制,默认值128)指定传出IP数据包中设置的默认生存时间(TTL)值。TTL决定了IP数据包在到达目标前在网络中生存的最大时间。它实际上限定了IP数据包在丢弃前允许通过的路由器数量.有时利用此数值来探测远程主机操作系统。

4)、使用组策略，IP策略gpedit.mscmmc.exe5)、防范SYN攻击〔见后面的专题〕平安和应用在很多时候是矛盾的。因此，你需要在其中找到平衡点！黑客常用攻击手段及防御措施个人用户忠告及建议内容提要网络平安概述单位网络平安措施推荐F保护网络平安的常用手段1〕制定详细的平安策略。2〕安装防火墙。3〕加强主机平安。4〕采用加密和认证技术。5〕加强入侵检测。6〕安装备份恢复与审计报警系统。怎样才能发现入侵者1.在入侵者正在行动时，捉住入侵者。例如，当管理员正在工作时，发现有人使用超级用户的户头通过拨号终端登录。而超级用户口令只有管理员本人知道。2.根据系统发生的一些改变推断系统已被入侵。例如，管理员可能发现在/etc/passwd文件中突然多出了一个户头，或者收到从入侵者那里发来的一封嘲弄的电子邮件。一些系统中，操