張凱

【摘 要】關(guān)于網(wǎng)絡(luò)安全問(wèn)題的研究一直以來(lái)都是計(jì)算機(jī)互聯(lián)網(wǎng)技術(shù)發(fā)展過(guò)程中備受關(guān)注的一個(gè)課題。尤其是在網(wǎng)絡(luò)技術(shù)快速發(fā)展的今天，網(wǎng)絡(luò)入侵問(wèn)題常有發(fā)生，給一些網(wǎng)站或程序的正常運(yùn)行帶來(lái)極大的影響。為此，加強(qiáng)對(duì)網(wǎng)絡(luò)入侵的安全檢查分析就顯得非常有必要?，F(xiàn)本文就通過(guò)分析網(wǎng)絡(luò)入侵的途徑和，來(lái)探討網(wǎng)絡(luò)的安全防范措施，并就其具體的安全檢查方法進(jìn)行研究。

【關(guān)鍵詞】計(jì)算機(jī)；網(wǎng)絡(luò)；入侵；安全；檢查

計(jì)算機(jī)犯罪是在信息科技不斷發(fā)展并廣泛應(yīng)用的推動(dòng)下產(chǎn)生的一種新的犯罪形式，這種通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)實(shí)施犯罪行為的人群大都具有較高的計(jì)算機(jī)應(yīng)用能力，對(duì)于網(wǎng)絡(luò)的內(nèi)部運(yùn)作技術(shù)了如指掌，并能夠利用一定的技術(shù)手段來(lái)瓦解網(wǎng)站的安全防護(hù)程序或防火墻，達(dá)到網(wǎng)絡(luò)入侵的目的。這種黑客侵襲事件對(duì)社會(huì)造成的影響是較為惡劣的，不但會(huì)對(duì)公民的個(gè)人隱私或秘密造成泄漏，甚至?xí)构酒髽I(yè)或國(guó)家軍事等重要機(jī)密丟失，從而給企業(yè)造成嚴(yán)重的經(jīng)濟(jì)損失，給國(guó)家安全帶來(lái)極大的危害。為此，無(wú)論是個(gè)人還是公司，又或是國(guó)家部門，都必須要加強(qiáng)網(wǎng)絡(luò)安全防御，防止網(wǎng)絡(luò)入侵行為的發(fā)生，保證計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行的安全穩(wěn)定。

1.網(wǎng)絡(luò)入侵的途徑

計(jì)算機(jī)病毒入侵主要有源代碼嵌入攻擊型、代碼取代攻擊型、系統(tǒng)修改型和外殼附加型四種方式，而對(duì)網(wǎng)絡(luò)入侵來(lái)講主要分為主動(dòng)入侵和被動(dòng)入侵。

1.1主動(dòng)入侵

這種網(wǎng)絡(luò)入侵方式是用戶自己主動(dòng)在電腦中植入病毒或輸入木馬程序而引起的入侵。當(dāng)然這種操作并未是用戶自身愿意的，甚至有些用戶是在不知情的情況下執(zhí)行了病毒或木馬程序。例如用戶在使用計(jì)算機(jī)網(wǎng)絡(luò)的過(guò)程中，瀏覽了一些被植入惡意病毒的網(wǎng)站或網(wǎng)頁(yè)，就很容易使這些病毒或木馬程度鉆操作系統(tǒng)漏洞的空子而引起電腦中毒，通常都是在用戶瀏覽這些網(wǎng)站時(shí)，病毒或木馬程序就自動(dòng)下載并安裝執(zhí)行，從而能夠在用戶不知情的情況下實(shí)現(xiàn)用戶主動(dòng)執(zhí)行病毒的目的。除此之外，還有一種主動(dòng)入侵方式是以可移動(dòng)磁盤作為介質(zhì)進(jìn)行傳播的，這類病毒較為隱蔽，很難被用戶察覺(jué)，但當(dāng)可移動(dòng)磁盤被插在電腦客戶端時(shí)，一旦用戶連接了互聯(lián)網(wǎng)，病毒的服務(wù)端就能夠都對(duì)該電腦發(fā)起病毒入侵，從而控制電腦終端的操作。

1.2被動(dòng)入侵

所謂被動(dòng)入侵就是由破壞者發(fā)出攻擊命令來(lái)對(duì)電腦或網(wǎng)絡(luò)程序進(jìn)行入侵的行為。例如在掃描系統(tǒng)口令時(shí)，若系統(tǒng)存在一定漏洞就極易遭受入侵者的溢出攻擊或者SQL注入攻擊，但若系統(tǒng)的安全防護(hù)性能較好，且用戶自身具備一定的安全防范意識(shí)，基本都能保證系統(tǒng)口令的安全。被動(dòng)入侵的成功幾率相對(duì)較低。

2.網(wǎng)絡(luò)入侵的安全防范措施

為了能夠保證計(jì)算機(jī)或網(wǎng)站的安全與正常運(yùn)行，用戶必須具備較高的安全意識(shí)，并采取一定的措施方法來(lái)防止網(wǎng)絡(luò)入侵。在此筆者提出幾種網(wǎng)絡(luò)的安全防范措施，具有很高的可行性。

（1）及時(shí)更新計(jì)算機(jī)操作系統(tǒng)中的補(bǔ)丁程序，在計(jì)算機(jī)操作系統(tǒng)安裝完成后，不要立刻連接網(wǎng)絡(luò)，要先安裝一定的操作系統(tǒng)安全補(bǔ)丁程序，尤其是高危漏洞的補(bǔ)丁程序，更是必須安裝的重要程序。很多病毒入侵都是利用這些操作系統(tǒng)漏洞來(lái)實(shí)現(xiàn)木馬程序安裝的。

（2）安裝可靠的殺毒軟件與防火墻。目前市場(chǎng)中有多款殺毒軟件產(chǎn)品，要選擇最新最可靠的殺毒軟件安裝在計(jì)算機(jī)中，并設(shè)置一定的防火墻。在日常使用中注意對(duì)病毒庫(kù)的及時(shí)更新。

（3）謹(jǐn)慎瀏覽網(wǎng)站或下載軟件。因?yàn)楫?dāng)前市場(chǎng)中的多數(shù)程序軟件都是盜版軟件，且大都攜帶捆綁一定的病毒，因此在瀏覽網(wǎng)站或下載軟件時(shí)一定要具有安全防范意識(shí)，不瀏覽莫名其妙的網(wǎng)站，不下載來(lái)歷不明的程序。

3.具體的安全檢查方法

3.1檢查計(jì)算機(jī)用戶

在被入侵的計(jì)算機(jī)中，極有可能添加了新用戶或者對(duì)用戶進(jìn)行了克隆。可以按以下方式進(jìn)行檢查：①查看目前用戶。使用“net localgroup administrators”查看當(dāng)前的具有管理員權(quán)限用戶列表，也可以通過(guò)執(zhí)行“l(fā)usrmgr.msc”命令來(lái)查看本地用戶和組。②可以使用“mt –chkuser”查看用戶是否被克隆。

3.2查看網(wǎng)絡(luò)連接情況

使用“netstat-an->netlog-1.txt”命令將目前端口開(kāi)放情況以及網(wǎng)絡(luò)連接情況生成netlog-1文本文件，便于查看網(wǎng)絡(luò)開(kāi)放的端口和連接的IP地址等，可以用來(lái)追蹤入侵者。

3.3查看遠(yuǎn)程終端服務(wù)

①查看“Terminal Services”服務(wù)啟動(dòng)情況。

打開(kāi)管理工具中的“服務(wù)”控制面板，查找名稱為“Terminal Services”的服務(wù)，然后直接雙擊該服務(wù)名稱就可以查看遠(yuǎn)程終端開(kāi)放情況?！癟erminal Services”啟動(dòng)類型有自動(dòng)、手動(dòng)和禁用。如果發(fā)現(xiàn)其啟動(dòng)類型為自動(dòng)，則說(shuō)明極有可能被人入侵。

②使用dos命令“query/quser”。

使用“query user /quser”命令可以直接查看目前遠(yuǎn)程終端服務(wù)連接情況，不過(guò)該命令只能在Windows2000/2003Server中使用，在WindowsXP中需要到系統(tǒng)目錄下的dllcache目錄下執(zhí)行。在WindowsXp中默認(rèn)連接就是控制臺(tái)連接，即sessionname為“console”。

說(shuō)明：在進(jìn)行檢查前，需要先行確定是否存在query.exe和quser.exe這兩個(gè)文件以及其相應(yīng)的文件大小，入侵者在入侵成功后，既有可能將query.exe和quser.exe這兩個(gè)文件刪除或者進(jìn)行替換，query.exe和quser.exe文件大小分別為10，752和18，432字節(jié)。

③使用netstat-an|find"3389"查看網(wǎng)絡(luò)連接及其端口開(kāi)放情況。

使用netstat-an|find"3389"命令可以查看目前正在使用遠(yuǎn)程終端的連接及其3389端口開(kāi)放情況。

3.4 Web服務(wù)器的安全檢查

①SQL Server 2000等數(shù)據(jù)庫(kù)安全檢查。

目前對(duì)Web服務(wù)器進(jìn)行SQL注入是一種主流攻擊方式，SQL注入攻擊最有可能留下痕跡的就是SQL Server2000等數(shù)據(jù)庫(kù)中的臨時(shí)表，通過(guò)HDSI等軟件進(jìn)行SQL注入攻擊，在數(shù)據(jù)庫(kù)中會(huì)留下臨時(shí)表。因此可以通過(guò)數(shù)據(jù)庫(kù)的企業(yè)管理器或者查詢處理器進(jìn)行表的瀏覽，直接查看最新創(chuàng)建表的情況。

②Web日志文件檢查。

如果Web服務(wù)設(shè)置日志記錄，則系統(tǒng)會(huì)在缺省的“%SystemRoot%＼system32＼Logfiles”目錄下對(duì)用戶訪問(wèn)等信息進(jìn)行記錄。日志文件能夠記錄入侵者所進(jìn)行的操作以及入侵者的IP地址等。

3.5使用事件查看器查看安全日志等

事件查看器中有安全性、系統(tǒng)和應(yīng)用程序三類日志文件，可以通過(guò)在運(yùn)行“eventvwr.msc”調(diào)用事件查看器。安全性日志中包含了特權(quán)使用、用戶、時(shí)間和計(jì)算機(jī)等信息，這些信息可以作為判斷入侵者入侵時(shí)間以及采用什么方式進(jìn)行登陸等信息。不過(guò)默認(rèn)情況下，日志文件記錄的選項(xiàng)較少，需要通過(guò)組策略進(jìn)行設(shè)置。

3.6查看硬盤以及系統(tǒng)所在目錄新近產(chǎn)生的文件

如果及時(shí)發(fā)現(xiàn)入侵，則可以通過(guò)以下一些方法來(lái)查看入侵者所上傳或安裝的木馬程序文件。

①查看系統(tǒng)目錄文件，可以使用DOS命令“dir/od/a”或者資源管理器查看最新文件。DOS命令“dir/od/a”查看系統(tǒng)最新文件（包含隱藏文件）以日期進(jìn)行排序。

②查看系統(tǒng)盤下用戶所在文件的臨時(shí)目錄temp，如“D：＼Documents and Settings＼simeon＼Local Settings＼Temp”，該目錄下會(huì)保留操作的一些臨時(shí)文件。

③查看歷史文件夾，歷史文件夾中會(huì)保留一些入侵者訪問(wèn)網(wǎng)絡(luò)的一些信息，可以通過(guò)訪問(wèn)用戶所在的目錄如“D：＼Documents and Settings＼simeon＼Local Settings＼History”進(jìn)行查看。

④查看回收站，回收站可能會(huì)存在入侵者刪除的一些文件記錄。通過(guò)查看文件創(chuàng)建日期和跟蹤文件所在位置來(lái)進(jìn)行入侵時(shí)間等判斷。

⑤查看recent文件夾，recent文件夾中會(huì)保留一些最近操作時(shí)的一些快捷方式。通過(guò)這些快捷方式可以了解入侵者進(jìn)（下轉(zhuǎn)第428頁(yè)）（上接第412頁(yè)）行的一些操作。

3.7使用port/mport/fport等工具檢查端口開(kāi)放情況

port/mport/fport等都是用來(lái)檢查端口開(kāi)放情況以及端口由哪些程序打開(kāi)。

3.8檢查Rootkit

Rootkit是攻擊者用來(lái)隱藏自己的蹤跡和保留root訪問(wèn)權(quán)限的工具，利用Rootkit技術(shù)而編寫(xiě)的木馬程序，功能強(qiáng)大，且具有較高的隱蔽性，危害非常大，目前可以通過(guò)RootkitRevealer、Blacklight以及Klister等Rootkit檢測(cè)工具檢測(cè)系統(tǒng)是否存在Rootkit類型的木馬。

4.結(jié)束語(yǔ)

綜上所述，網(wǎng)絡(luò)入侵是當(dāng)前互聯(lián)網(wǎng)技術(shù)應(yīng)用中的存在的最大問(wèn)題，但當(dāng)前的技術(shù)還不能完全將病毒問(wèn)題解決掉，需要用戶在計(jì)算機(jī)的日常使用中，提高安全防范意識(shí)，加強(qiáng)對(duì)計(jì)算機(jī)的安全防護(hù)。本文給出了一些計(jì)算機(jī)被入侵后的一些常規(guī)的安全檢查方法，通過(guò)這些安全檢查方法可以檢測(cè)入侵者留在被入侵計(jì)算機(jī)上的“痕跡”，方便進(jìn)行安全評(píng)估，對(duì)網(wǎng)絡(luò)安全管理具有一定的參考價(jià)值。

【參考文獻(xiàn)】

[1]胡昌振.網(wǎng)絡(luò)入侵檢測(cè)原理與技術(shù).北京：理工大學(xué)出版.

[2]唐正軍等.網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).電子工業(yè)出版社.