我爱电脑技术论坛's Archiver

炉火纯青 发表于 2008-6-6 21:00

轻松斩断入侵 局域网简单攻防实录

轻松斩断入侵 局域网简单攻防实录#f-o/q#X%htp
现在很多单位或公司都组建了自己的内部局域网,以此来共享资源,协同工作。大家注意得多的是如何保障局域网服务器的安全,防止来自互联网的攻击,而忽视了来自局域网内部的攻击,常言说“家贼难防”,这是因为来自局域网内部作案比较隐蔽性而导致难以防范。那么,到底这些捣蛋者会经常采用什么常用手段呢?面对这些,我们不得不防,正所谓兵来将挡,水来土淹,跟我来…… m | d5tf#s i7M/b BbN
  一、小心局域网终结者
T-@5ZTi1oF7h \(WT9jhA
  对于局域网用户来说,最大的优点是可以共享局域网中的资源,但这有时候也会碰到麻烦,偏偏在要共享其他计算机上的共享资源时,却无缘无故从网络中断开了,可过一会儿又通了,你说气不气,这就可能是局域网某一用户在用“局域网终结者”把你的计算机从网络中强行断开了!
*]9dvp/H4q$z r'V!_.Ev
  局域网终结者主界面窗口如图1,其原理是:用于构造虚假ARP包来欺骗网络主机,使得被指定的主机被从网络中断开;程序只对以路由作为划分的同一局域内主机产生作用。使用方法也非常简单,将目标IP地址加入到阻断列表中即可。如果退出程序或将目标IP从列表中移除后目标主机将在30至60后恢复正常工作(有的系统可能需要更长时间)。
YQI%xz3c )xZ z? u9|-`z
[attach]29570[/attach]
] ?XKf?^ \]5{4K l Y
5r%M1y1jhRf'J~I,Xv
要注意的是,在使用局域网终结者之前请先安装好WinPcap3.0。
!Y4zo!@J-U[   下载URL [url]http://www.chinesehack.org/down/show.asp?id=2779&down=1[/url]
)?*FV n](L'n I;_Pc6v&S
二、防范共享资源入侵
;yG8PNK XR f:H l(u7c yI o j7Zs
  一般局域网中的服务器都使用的是Win 2000 Server/WINDOWS XP系统,而客户端计算机使用的操作系统有Win98或Win2000 Pro/XP等。X]\9@1z8p
    比如现在有一台客户机已经登录到域domain,则它可使用默认共享方式入侵服务器:在该客户机的网络邻居地址栏中输入\\server\admin$,便可进入Win2000的系统目录Win NT,此时该用户可以删除文件。若再输入\\server\d$,即可进入服务器上的D盘,此时该客户机用户已经具备服务器的管理员权限,这是相当危险的。居心叵测的人可以通过新建Winstart.bat或者Wininit.ini文件,并在其中加入格式化C盘的语句,使系统丢失所有C盘文件; 或是在服务器的启动项中加入现在任何流行木马的启动程序,后果也不堪设想。 !y-c3UE9Ge$i q j
#LP5yoI1@
  Win2000/XP采用默认共享方式来方便远程维护,但同时也给了有心者可乘之机。怎么办?可能通过修改注册表来关闭默认共享,打开注册表编辑器,依次打开HKEY_L0CAl_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver,若系统为Win2000 Pro,则新建Autosharewks的DWORD值,并设键值为0;若系统为Win2000 Server,则新建Autoshareserver的DWORD值,并设键值为0。重新启动计算机后就关闭了默认共享。 t\$A$mvY
DqNf0V,o
  不过不要以为这样别人就不能通过共享来入侵服务器了,装有Win2000平台的客户机还可以通过IPS$的空连接入侵服务器。客户机用户可以先用端口扫描软件,这里以X-Scan 2.3为蓝本,在“扫描参数”对话窗口中填入服务器的IP地址,在“扫描模块”对话窗口中选择“sql server弱口令”和“nt-server弱口令”,单击“开始扫描”即开始探测,当得到nt-server弱口令后,可在客户机的命令行状态窗口中输入命令:“net use \\192.168.0.1\ipc$ "wmgwmg" /user:snow”来建立一IPC$对话,运行命令:net user guest /active:yes 将Guest帐户激活,然后运行命令:net localgroup administrators guest /add 将GUEST帐户添加到管理员组(如图2),然后设置好后门,这样就可以进行远程控制啦。
-L&u J+OLD$ov?+U P/Z6cc1U
[attach]29571[/attach]
Y4p2SDy(f}G7s8w
's^2B-tvI| 8} v$TVW B |2U
够危险吧!管理员怎么禁止IPS$空连接呢?在注册表编辑器找到子键HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA,修改Restrict Anony-mous的DWORD值为0000001。或者是运行命令:net share ipc$ /delete
W$GJ3bbz{K |$t&N:\5dFs2} l
4o!eoDU,ks@
 三、抵挡Ping洪水攻击
j3yAM j PdLO 0L^8f Y%l t;{ mVcl
  WINDOWS 提供一个PING程序,使用它可以测试网络是否连接,偶在此讲的Ping洪水攻击也称为ICMP入侵,它是利用Windows系统的漏洞来入侵的。在工作中的命令行状态运行如下命令:“ping -1 65500 -t 192.168.0.1”,192.168.0.1是局域网服务器的IP地址(如图3),这样就会不断地向服务发送大量的数据请求,如果局域网内的计算机很多,且同时都运行了命令:“ping -l 65500 -t 192.168.0.1”,想一想有什么结果呢?呵呵~~~ 服务器将会因CPU使用率居高不下而崩溃,这种攻击方式也称DoS攻击(拒绝服务攻击),即在一个时段内连续向服务器发出大量请求,服务器来不及回应而死机。 @&j dT]E
6X ll(b E$LA,tv

S&TQ [8U+n [attach]29572[/attach]
S*t[.] C"yh {I(\ ]yb2zn/d:J
在抵挡PING洪水攻击,建议安装网络防火墙(如天网),在设置里面选择“不允许别人用Ping命令探测本机”。当然也可在“管理工具”中打开“本地安全策略”,进入“IP安全策略”进行IP安全配置。
#k'IoRG|9B 6by ]yCQ?F tO,dz
  网管员在保障网络安全的同时,常常只重视来自网络外的威胁,其实内网的安全同样非常重要。我们在这里举几个简单的例子,希望以此引起大家的注意。

页: [1]
   

Powered by Discuz! Archiver 6.1.0  © 2001-2007 Comsenz Inc.