魏　賓　李桂巖

[摘要]計(jì)算機(jī)漏洞攻防的相關(guān)知識(shí)和利用操作系統(tǒng)漏洞攻擊計(jì)算機(jī)的方式,對(duì)如何防范漏洞措施做詳細(xì)論述。

[關(guān)鍵詞]系統(tǒng)漏洞 漏洞防范

中圖分類號(hào):TP3文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1671-7597(2009)0920075-01

在互聯(lián)網(wǎng)高速發(fā)展的今天,網(wǎng)絡(luò)作為一種重要的信息傳遞手段,對(duì)經(jīng)濟(jì)的發(fā)展和人們之間的交流起著越來越重要的作用。在網(wǎng)絡(luò)蓬勃發(fā)展的同時(shí),網(wǎng)絡(luò)安全也到了令人堪憂的地步。本文簡要介紹計(jì)算機(jī)漏洞攻防的相關(guān)知識(shí)和利用操作系統(tǒng)漏洞攻擊計(jì)算機(jī)的方式,對(duì)如何防范漏洞做了詳細(xì)論述。

一、IPC$共享漏洞

IPC$是共享“命名管道”的資源,是為了讓進(jìn)程間通信而放開的命名管道,可以通過驗(yàn)證用戶名和密碼獲得相應(yīng)的權(quán)限,在遠(yuǎn)程管理計(jì)算機(jī)和查看計(jì)算機(jī)的共享資源時(shí)使用。Windows的默認(rèn)安裝允許任何用戶通過空用戶連接(IPC$)得到系統(tǒng)所有賬號(hào)和共享列表,一些別有用心者正是利用這項(xiàng)功能,對(duì)計(jì)算機(jī)用戶的主機(jī)賬號(hào)通過猜解進(jìn)行攻擊。如果主機(jī)上存在具有權(quán)限的弱口令賬號(hào),一旦賬號(hào)和密碼被攻擊者通過非常手段得到,那么攻擊者會(huì)利用主機(jī)開放的IPC$、C$等共享攻入系統(tǒng),從而完全控制主機(jī)。

IPC$共享漏洞防范:

1.通過修改注冊(cè)表禁止建立空連接(IPC$)。

在Windows中,單擊“開始”-“運(yùn)行”,在命令框中輸入regedit,回車打開注冊(cè)表編輯器。找到[HKEY_LOCAL_MACHINESYSTEMCurrentContr

olSetControlLSA],將RestyrictAnonymous=DWORD鍵值改為:00000001.

2.通過修改注冊(cè)表禁止管理共享。

打開注冊(cè)表編輯器,找到 [HKEY_LOCAL_MACHINESYSTEMCurrentCon

TrolSetServicesLanmanServerParameters],將AutoShareServer(DWORD)

鍵值改為:00000000.

3.關(guān)閉默認(rèn)共享。

單擊“開始”-“運(yùn)行”,在命令框中輸入cmd,在DOS中輸入net share,可查看本機(jī)開放的共享。根據(jù)實(shí)際情況刪除共享,其命令為:

netshare IPC$/delete

netshare admin$/delete

netshare C$/delete

4.永久關(guān)閉IPC$和默認(rèn)共享的服務(wù)。

打開“控制面板”中“管理工具”,找到“服務(wù)”,將Server服務(wù)的屬性的“啟動(dòng)類型”改為“已禁用”。

二、windows輸入法漏洞

啟動(dòng)windows進(jìn)行到登錄驗(yàn)證界面是,任何用戶都可以打開各種輸入法的幫助欄,并且可以利用其中一些功能訪問文件系統(tǒng),即繞過windows用戶登錄驗(yàn)證機(jī)制,以管理員權(quán)限訪問整個(gè)系統(tǒng),此漏洞危害相當(dāng)大,進(jìn)入系統(tǒng)后還可以利用TerminalServer遠(yuǎn)程通信對(duì)系統(tǒng)進(jìn)行攻擊。

windows輸入法漏洞防范:

1.給系統(tǒng)打上安全補(bǔ)丁。

2.刪除輸入法的幫助文件和不用的輸入法。

3.修改遠(yuǎn)程終端端口。

進(jìn)入注冊(cè)表編輯器,找到[HKEY_LOCAL_MACHINESYSTEMCurrentCont

rolSetControlTerminal ServerWds dpwdTds cp]和[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationRDP-tcp],在十進(jìn)制狀態(tài)下修改PortNumber任意的端口號(hào),注意此兩個(gè)端口號(hào)必須一致,且不能和本機(jī)已開發(fā)的端口重復(fù)。

4.修改注冊(cè)表實(shí)現(xiàn)隱藏賬號(hào)。

進(jìn)入注冊(cè)表編輯器,找到[HKEY_LOCAL_MACHINESOFTWAREMicrosoft

WindowsNTCurrentVersionWinlogonSpecialAccountsUserList],創(chuàng)建新的DWORD,將這個(gè)值名稱設(shè)為要隱藏的賬號(hào)名,值設(shè)為0。

三、Unicode漏洞

對(duì)于IIS(Internet信息服務(wù))的漏洞中,擴(kuò)展Unicode目錄遍歷漏洞/解碼漏洞是對(duì)系統(tǒng)威脅最大的漏洞。Unicode是一種編碼形式,為系統(tǒng)自動(dòng)識(shí)別。利用這個(gè)漏洞攻擊服務(wù)器,可以很輕松的拿到計(jì)算機(jī)的最高權(quán)限。

對(duì)此漏洞防范:

1.對(duì)安裝操作系統(tǒng)的分區(qū)中SCRIPTS、MSADC等目錄沒有必要使用的情況下,應(yīng)該刪除該文件夾或者改名。

2.安裝系統(tǒng)時(shí)不要使用默認(rèn)WINNT路徑,可改為其他的文件夾。

3.安裝安全補(bǔ)丁。

四、DDoS漏洞

DoS又叫做“拒絕服務(wù)攻擊”,通常以消耗服務(wù)器資源為目的,通過偽造超過服務(wù)器處理能力的請(qǐng)求數(shù)據(jù)造成服務(wù)器響應(yīng)阻塞,使正常用戶的請(qǐng)求得不到應(yīng)答,以實(shí)現(xiàn)攻擊目的。由于DoS攻擊工具的泛濫以及所針對(duì)的協(xié)議層的缺陷短時(shí)間無法改變的事實(shí),使其成為流傳最廣、最難防范的攻擊方式。

由于DDoS攻擊的惡劣性(往往可利用一批受控制的網(wǎng)絡(luò)終端向某個(gè)公共端口發(fā)起沖擊,來勢兇猛且令人難以防備,具有極大破壞力)難以被偵測和控制,因此網(wǎng)絡(luò)安全技術(shù)廠商趨于共識(shí):在網(wǎng)絡(luò)中配置整體聯(lián)動(dòng)安全體系,通過軟硬件技術(shù)結(jié)合,深入網(wǎng)絡(luò)終端的全局防范措施。及安裝系統(tǒng)補(bǔ)丁程序,以及不斷提升網(wǎng)絡(luò)安全策略,都是防范DDoS攻擊的有效辦法。在可以預(yù)見的未來,必將會(huì)堵住DDoS漏洞。

五、RPC漏洞

RPC調(diào)用是windows使用的一個(gè)協(xié)議,提供這樣一個(gè)交互過程的通訊機(jī)制,它允許在一臺(tái)計(jì)算機(jī)運(yùn)行一個(gè)程序,而在另一臺(tái)遠(yuǎn)程系統(tǒng)上無縫執(zhí)行代碼。RPC在處理通過TCP/IP進(jìn)行信息交換的過程中存在漏洞,其問題在于沒有正確處理畸形消息而造成的。此漏洞主要影響使用RPC服務(wù)的接口DCOM,而監(jiān)聽這個(gè)接口,就能激活遠(yuǎn)程的請(qǐng)求。攻擊者利用此漏洞,就可以利用系統(tǒng)用戶權(quán)限執(zhí)行惡意代碼。沖擊波、震蕩波就是根據(jù)這個(gè)漏洞編寫的。

RPC漏洞防范:

1.關(guān)閉TCP/IP端口。打開系統(tǒng)中網(wǎng)絡(luò)連接屬性,單擊Internet協(xié)議TCP/IP屬性對(duì)話框中“高級(jí)”,選擇“TCP/IP篩選”屬性,在TCP和UDP端口設(shè)置中選擇“只允許”,添加相應(yīng)的端口,如80用于瀏覽器,其他端口根據(jù)應(yīng)用程序的設(shè)置進(jìn)行相應(yīng)修改。

2.使用金山網(wǎng)鏢等軟件設(shè)置。

3.下載RPC補(bǔ)丁。

六、操作系統(tǒng)或軟件緩沖區(qū)溢出

系統(tǒng)在不檢查程序與緩沖之間變化的情況,隨意接受任意長度的數(shù)據(jù)輸入,把溢出數(shù)據(jù)放入堆棧中,系統(tǒng)還照常執(zhí)行命令,攻擊者只需發(fā)送超出緩沖區(qū)所處理的長度指令,系統(tǒng)就會(huì)進(jìn)入不穩(wěn)定狀態(tài),攻擊者配置一串攻擊字符,就可以訪問根目錄,從而對(duì)系統(tǒng)擁有絕對(duì)控制權(quán)。

此類漏洞防范:

1.安裝補(bǔ)丁是最簡單、最快捷的方法。

2.防火墻過濾UDP和TCP的138、139、445端口。

3.使用系統(tǒng)捆綁的Internet連接防火墻(ICF)。

4.停止WorkStation等不必要的服務(wù)。

打開控制面板中“服務(wù)”,選擇WorkStation服務(wù),將其啟動(dòng)改為“手動(dòng)”或“禁用”,再將服務(wù)停掉即可。停掉其他服務(wù)類似。

以上對(duì)windows操作系統(tǒng)主要的漏洞和對(duì)其防范做了論述,未能詳盡。由于Internet傳播信息快速廣泛,同時(shí)各種系統(tǒng)與軟件的安全漏洞不斷發(fā)現(xiàn)和公布,筆者希望能夠起到讀者對(duì)信息安全和計(jì)算機(jī)安全重視的作用,使其養(yǎng)成及時(shí)安裝系統(tǒng)補(bǔ)丁等防范措施的習(xí)慣,增強(qiáng)讀者的安全防范意識(shí),減少計(jì)算機(jī)與網(wǎng)絡(luò)的安全隱患。