用户登陆
最新评论
文章搜索
局域网中应对攻击与防御战略 一、来自局域网黑客工具的攻击
1、黑篇
基于局域网的黑客工具有很多,下面笔者以“局域网查看工具V1.70”为例演示。这是一款功能强大的局域网工具,但是这么强大的功能如果被别有用心的人利用,就会对局域网内共享数据的安全产生威胁。
(1).搜索局域网内计算机:“局域网查看工具V1.70”的使用很简单,软件启动后可以选择搜索工作组、计算机、共享文件夹,也可以跳过这些步骤直接搜索所有在局域网内共享的文件。
(2).搜索敏感资料:在搜索结果中我们可以看到,局域网中的所有共享资源一目了然,后面可以看到该共享资源所在计算机的IP地址,试着打开该共享文件夹,结果自然是不攻自破。(图1)
(3).其他功能:另外攻击者可以通过该工具轻易地复制或者上传文件,如果被植入木马病毒那服务器或者客户端就被完全控制了。如果服务器或者客户端的密码不够强大,那么就可以很容易地通过该工具进行远程控制。
2、防篇
对于基于工具的攻击我们同样运用工具来预防,笔者以Lockdown来演示。Lockdown的功能比较强大,如果在局域网上有其他计算机连接到你的电脑上时,Lockdown会自动把对方和你之间的连接过程记录下来,使得对方的连接完全在你的监视之下。此时你不仅能够记录到对方的IP地址,还可以把对方主机的名称也一并记录下来。这样,即便被人非法入侵也可以根据记录顺藤摸瓜,拉出幕后黑手。另外,Lockdown还可以对有关局域网共享连接进行设定,而且可以监测所有连接到计算机用户的使用情况。
(1).共享文件管理及设置:在局域网中可能有人会趁你不在的时候把一个很隐蔽的文件夹设置为共享,然后在通过这种方式侵入你的计算机,而一般情况下你是很难发现这些共享的文件夹,所以Lockdown就在这里显示了当前计算机所有共享的文件夹名称。仔细查看一下,如果其中有些文件夹并不是经你同意共享的,那就果断的将这个隐患关闭。
(2).查看当前连接:Windows中一般无法查看出到底有哪些连接到你的计算机中,而在Lockdown的这个标签下就显示了当前所有连接到计算机上的用户,以及他们所进行的操作,比如进入了哪些文件夹,运行了哪些程序文件等等。同时,在窗口右边还提供了计算机建立连接的时间,IP地址、用户名等有用的信息,通过这个窗口能够很快了解到哪些非法用户登陆到你的计算机。 (图2)
(3).查看历史连接记录:也许在你外出的时候会有人使用你计算机中的资源那么怎样才能知道呢?通过这个标签就可以查看所有连接的详细记录情况。除去和当前共享连接一样拥有其他用户调用的文件资源、连接时间、IP地址和用户名信息之外,更增加了断开连接时间和连接总时间,这样能够更加完整地了解到别人对你计算机资源的使用情况。除了对局域网的防护外,Lockdown对常见木马的查杀也为那些疏于防范的用户加了一把锁。
二、抵挡Ping洪水攻击
1、黑篇
WINDOWS 提供一个PING程序,使用它可以测试网络是否连接,Ping洪水攻击也称为ICMP入侵,它是利用Windows系统的漏洞来入侵的。在工作中的命令行状态运行如下命令:
“ping 192.168.1.1 -t -l 65500”,192.168.1.1是局域网服务器的IP地址(如图3),这样就会不断地向服务发送大量的数据请求,如果局域网内的计算机很多,且同时都运行了命令:“ping 192.168.1.1 -t -l 65500”,想一想有什么结果呢?服务器将会因CPU使用率居高不下而崩溃,这种攻击方式也称DoS攻击(拒绝服务攻击),即在一个时段内连续向服务器发出大量请求,服务器来不及回应而死机。 (图3)
2、防篇
在抵挡PING洪水攻击,建议安装网络防火墙(如天网),在设置里面选择“不允许别人用Ping命令探测本机”。(飘雪注:基本上现在的XP都默认禁止Ping了,偶也不知道这文章是哪一年的了,作者居然还推荐用天网,my god)(图4)
当然也可在“管理工具”中打开“本地安全策略”,进入“IP安全策略”进行IP安全配置。系统防火墙也可以防御ping攻击,在防火墙的“高级设置”的“ICMP”选项卡下确认没有勾选“允许传入的回显请求”(图5)
三、防范IPC$入侵
1、黑篇
一般局域网中的服务器都使用的是Windows 2000/2003 server系统,而客户端计算机使用的操作系统有Win2000 Pro/XP等。
恶意攻击者在客户端首先用端口扫描软件进行扫描检测服务器的漏洞或者弱口令,然后实施攻击。比如X-Scan,进行相应的设置就可以检测到比如“sql server弱口令”、“nt-server弱口令”等敏感信息。当得到nt-server弱口令后,可在客户机的命令行状态窗口中输入命令:
net use \\192.168.1.18\ipc$ "123" /user:administrator”来建立一IPC$对话,然后通过命令:copy m.exe \\192.168.1.18\c$上传木马,最后通过命令:net time \\192.168.1.18确定服务器当前时间,接着输入命令:at 13:56 \\192.168.1.18\c$\m.exe在服务器端运行木马,控制服务器。(图6)
其次客户端也可以使用默认共享方式入侵服务器:在该客户机的网络邻居地址栏中输入\\server\admin$,便可进入服务器的系统目录,此时该用户可以删除件。若再输入\\server\d$,即可进入服务器上的D盘,此时该客户机用户已经具备服务器的管理员权限,这是相当危险的。居心叵测的人可以通过上传脚本或者木马创建管理员用户或者通过木马来控制服务器,其后果不堪设想。
[上一页] [1] [2] [下一页]
1、黑篇
基于局域网的黑客工具有很多,下面笔者以“局域网查看工具V1.70”为例演示。这是一款功能强大的局域网工具,但是这么强大的功能如果被别有用心的人利用,就会对局域网内共享数据的安全产生威胁。
(1).搜索局域网内计算机:“局域网查看工具V1.70”的使用很简单,软件启动后可以选择搜索工作组、计算机、共享文件夹,也可以跳过这些步骤直接搜索所有在局域网内共享的文件。
(2).搜索敏感资料:在搜索结果中我们可以看到,局域网中的所有共享资源一目了然,后面可以看到该共享资源所在计算机的IP地址,试着打开该共享文件夹,结果自然是不攻自破。(图1)
(3).其他功能:另外攻击者可以通过该工具轻易地复制或者上传文件,如果被植入木马病毒那服务器或者客户端就被完全控制了。如果服务器或者客户端的密码不够强大,那么就可以很容易地通过该工具进行远程控制。
2、防篇
对于基于工具的攻击我们同样运用工具来预防,笔者以Lockdown来演示。Lockdown的功能比较强大,如果在局域网上有其他计算机连接到你的电脑上时,Lockdown会自动把对方和你之间的连接过程记录下来,使得对方的连接完全在你的监视之下。此时你不仅能够记录到对方的IP地址,还可以把对方主机的名称也一并记录下来。这样,即便被人非法入侵也可以根据记录顺藤摸瓜,拉出幕后黑手。另外,Lockdown还可以对有关局域网共享连接进行设定,而且可以监测所有连接到计算机用户的使用情况。
(1).共享文件管理及设置:在局域网中可能有人会趁你不在的时候把一个很隐蔽的文件夹设置为共享,然后在通过这种方式侵入你的计算机,而一般情况下你是很难发现这些共享的文件夹,所以Lockdown就在这里显示了当前计算机所有共享的文件夹名称。仔细查看一下,如果其中有些文件夹并不是经你同意共享的,那就果断的将这个隐患关闭。
(2).查看当前连接:Windows中一般无法查看出到底有哪些连接到你的计算机中,而在Lockdown的这个标签下就显示了当前所有连接到计算机上的用户,以及他们所进行的操作,比如进入了哪些文件夹,运行了哪些程序文件等等。同时,在窗口右边还提供了计算机建立连接的时间,IP地址、用户名等有用的信息,通过这个窗口能够很快了解到哪些非法用户登陆到你的计算机。 (图2)
(3).查看历史连接记录:也许在你外出的时候会有人使用你计算机中的资源那么怎样才能知道呢?通过这个标签就可以查看所有连接的详细记录情况。除去和当前共享连接一样拥有其他用户调用的文件资源、连接时间、IP地址和用户名信息之外,更增加了断开连接时间和连接总时间,这样能够更加完整地了解到别人对你计算机资源的使用情况。除了对局域网的防护外,Lockdown对常见木马的查杀也为那些疏于防范的用户加了一把锁。
二、抵挡Ping洪水攻击
1、黑篇
WINDOWS 提供一个PING程序,使用它可以测试网络是否连接,Ping洪水攻击也称为ICMP入侵,它是利用Windows系统的漏洞来入侵的。在工作中的命令行状态运行如下命令:
“ping 192.168.1.1 -t -l 65500”,192.168.1.1是局域网服务器的IP地址(如图3),这样就会不断地向服务发送大量的数据请求,如果局域网内的计算机很多,且同时都运行了命令:“ping 192.168.1.1 -t -l 65500”,想一想有什么结果呢?服务器将会因CPU使用率居高不下而崩溃,这种攻击方式也称DoS攻击(拒绝服务攻击),即在一个时段内连续向服务器发出大量请求,服务器来不及回应而死机。 (图3)
2、防篇
在抵挡PING洪水攻击,建议安装网络防火墙(如天网),在设置里面选择“不允许别人用Ping命令探测本机”。(飘雪注:基本上现在的XP都默认禁止Ping了,偶也不知道这文章是哪一年的了,作者居然还推荐用天网,my god)(图4)
当然也可在“管理工具”中打开“本地安全策略”,进入“IP安全策略”进行IP安全配置。系统防火墙也可以防御ping攻击,在防火墙的“高级设置”的“ICMP”选项卡下确认没有勾选“允许传入的回显请求”(图5)
三、防范IPC$入侵
1、黑篇
一般局域网中的服务器都使用的是Windows 2000/2003 server系统,而客户端计算机使用的操作系统有Win2000 Pro/XP等。
恶意攻击者在客户端首先用端口扫描软件进行扫描检测服务器的漏洞或者弱口令,然后实施攻击。比如X-Scan,进行相应的设置就可以检测到比如“sql server弱口令”、“nt-server弱口令”等敏感信息。当得到nt-server弱口令后,可在客户机的命令行状态窗口中输入命令:
net use \\192.168.1.18\ipc$ "123" /user:administrator”来建立一IPC$对话,然后通过命令:copy m.exe \\192.168.1.18\c$上传木马,最后通过命令:net time \\192.168.1.18确定服务器当前时间,接着输入命令:at 13:56 \\192.168.1.18\c$\m.exe在服务器端运行木马,控制服务器。(图6)
其次客户端也可以使用默认共享方式入侵服务器:在该客户机的网络邻居地址栏中输入\\server\admin$,便可进入服务器的系统目录,此时该用户可以删除件。若再输入\\server\d$,即可进入服务器上的D盘,此时该客户机用户已经具备服务器的管理员权限,这是相当危险的。居心叵测的人可以通过上传脚本或者木马创建管理员用户或者通过木马来控制服务器,其后果不堪设想。
[上一页] [1] [2] [下一页]
引用通告地址 (0):
http://www.pxue.com/trackback.asp?tbID=1121
http://www.pxue.com/trackback.asp?tbID=1121&CP=GBK