三、防范IPC$入侵 1、黑篇
一般局域网中的服务器都使用的是Windows 2000/2003 server系统,而客户端计算机使用的操作系统有Win2000 Pro/XP等。
恶意攻击者在客户端首先用端口扫描软件进行扫描检测服务器的漏洞或者弱口令,然后实施攻击。比如X-Scan,进行相应的设置就可以检测到比如“sql server弱口令”、“nt-server弱口令”等敏感信息。当得到nt-server弱口令后,可在客户机的命令行状态窗口中输入命令:
net use \\192.168.1.18\ipc$ "123" /user:administrator”来建立一IPC$对话,然后通过命令:copy m.exe \\192.168.1.18\c$上传木马,最后通过命令:net time \\192.168.1.18确定服务器当前时间,接着输入命令:at 13:56 \\192.168.1.18\c$\m.exe在服务器端运行木马,控制服务器。(图6)
其次客户端也可以使用默认共享方式入侵服务器:在该客户机的网络邻居地址栏中输入\\server\admin$,便可进入服务器的系统目录,此时该用户可以删除件。若再输入\\server\d$,即可进入服务器上的D盘,此时该客户机用户已经具备服务器的管理员权限,这是相当危险的。居心叵测的人可以通过上传脚本或者木马创建管理员用户或者通过木马来控制服务器,其后果不堪设想。
2、防篇
Win2000/XP采用默认共享方式来方便远程维护,但同时也给了有心者可乘之机。怎么办?可能通过修改注册表来关闭默认共享,打开注册表编辑器,依次打开HKEY_L0CAl_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver,若系统为Win2000 Pro,则新建Autosharewks的DWORD值,并设键值为0;若系统为Win2000 Server,则新建Autoshareserver的DWORD值,并设键值为0。重新启动计算机后就关闭了默认共享。
管理员怎么禁止IPS$空连接呢?在注册表编辑器找到子键HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA,修改Restrict Anony-mous的DWORD值为0000001。或者是运行命令:net share ipc$ /delete (图7)
四、ARP欺骗 1、黑篇
ARP欺骗仅存在于局域网中,因为局域网是依赖MAC地址作为源地址、目的地址来传输数据帧的。在局域网传输数据过程中需要将IP地址转为对应的MAC地址用于数据帧传输,如果找不到请求的目标IP对应的MAC地址,则广播ARP request包请求解析该IP对应的MAC地址。恶意攻击者而在局域网中任意构造一个ARP包或者传播ARP病毒,这样导致局域网ARP欺骗。使得局域网地址解析故障,造成网络瘫痪。 实际网络中存在多样的欺骗方式,但都是通过广播精心构造的ARP包来修改PC端ARP缓存中的IP-MAC对应关系,只是选择了修改“源IP地址、源MAC地址、目的IP地址、目的MAC地址”其中某项实现欺骗目的。
2、防篇
(1).PC端:如果是windows系统在cmd模式下,执行arp-a,显示当前系统ARP缓存表,检查缓存中的IP-MAC对应关系是否正确,正常情况下IP-MAC是一一对应的。另外可先使用arp-d清除当前ARP缓存表,再开始观察是否存在ARP欺骗的情况。
(2).网络设备端:通过show arp命令检测ARP缓存信息。如果某MAC地址对应多个IP地址,则说明该MAC地址的PC正在广播ARP欺骗包(如果某设备存在多IP地址,这种情况是正常的)。另一种恶意欺骗是该MAC地址域网中根本就不存在。
(3).还有个比较简单的方法,装个sniffer监听网络中所有ARP包,由于ARP欺骗往往使用广播形式传播,即使在交换机环境下也明显能监听到某PC端正在狂发ARP包。下图是笔者用“科来网络分析系统”检测并定位到ARP毒源主机。(图8)
(4).安装ARP防火墙,这样防火墙产品很多,比如彩影ARP防火墙、金山ARP防火墙、AntiARP-DNS防火墙、ARP卫士、360ARP防火墙。图9是笔者用360ARP防火墙检测到的ARP欺骗。(图9)
(5).反欺骗,通过命令设置一个错误的网关地址,反欺骗ARP病毒,如图10。然后再添加一条静态路由,设置正确的网关如图11,用来正常的网络访问,并且比那条用来欺骗ARP病毒的那条路由的权限要高。(图10)(图11)
五、嗅探 1、黑篇
局域网是监听嗅探的温床,这是由嗅探的原理决定的。攻击者在局域网内的一台主机、网关上放入监听程序,从而可以监听出网络的状态、数据流动情况以及传输数据的信息。因为在通常条件下,用户的所有信息,包括帐号和密码都是以明文的方式在网络上传输的。在局域网中进行嗅探技术门槛比较底,而且类似sniffer这样的嗅探工具非常多,几乎是傻瓜式的操作,因此,只要具有初步的TCP/IP知识的人利用嗅探程序获取用户的各种信息并不是一件很困难的事,危害极大。如下图是笔者在局域网中用sniffer嗅探到的某用户登陆FTP服务器时的用户名和密码。(图12)
2、防篇
(1).检测
当局域网中存在用户的帐户密码被窃取的事件时,网络管理员就应该进行网络监听的检测。检测的方法是:用正确的IP地址和错误的物理地址ping某可疑的客户端,如果该客户端运行监听程序就会有响应。这是因为正常的机器不接收错误的物理地址,处理监听状态的机器能接收就会响应。其次,向网上发大量不存在的物理地址的包,由于监听程序要分析和处理大量的数据包会占用很多的CPU资源,这将导致性能下降。通过比较前后该机器性能加以判断。这种方法难度比较大。另外,使用反监听工具如antisniffer等进行检测 。
(2).防范
网络分段:从逻辑或物理上对网络分段,网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项措施。其目的是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法监听。
数据加密:数据经过加密后,通过监听仍然可以得到传送的信息,但显示的是乱码如图13。使用加密技术的缺点是影响数据传输速度以及使用一个弱加密术比较容易被攻破。系统管理员和用户需要在网络速度和安全性上进行折中。
划分VLAN:运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,可以防止大部分基于网络监听的入侵。
总结:局域网中的“黑”与“防”永远是对立的,总是此消彼长,它们的斗争永远不会结束。作为网络管理员如何才能掌握斗争的主动权呢?做好安全部署,以预防为主,防在黑之前。当然,还要掌握一定的防黑技巧,在不幸被黑后能分析原因,找到根源维护局域网的安全
参考:
www.wxbenet.com