抵御黑客和防火墙设置
9.1揪出打开可疑端口的程序通过netstat程序可以查看系统开放的端口,但不能直接查看开放端口对应的程序。要想查看开放端口对应的程序,可以借助进程标识符PID。
选择【开始】?【所有程序】?【附件】?【命令提示符】菜单项,打开【命令提示符】窗口。在其中输入“netstat –ano”,然后按下【Enter】键,此时窗口会显示当前端口以及对应的进程标识符(PID)。
在该窗口中输入“tasklist”命令并按下【Enter】键,此时窗口显示当前系统中正在运行的应用程序及其对应的进程标识符。
先从netstat –ano命令显示结果中找到可疑的端口,然后根据其进程标识符在tasklist命令中查找对应的程序,就能够知道可以端口对应的程序名了。从而判断可疑端口是否是一个恶意程序打开的,进而采取终止进程及删除恶意程序的安全措施。
9.2ADSL上网的安全隐患
通过ADSL上网的用户,最好将ADSL猫设置为地址转换方式(NAT)。这种方式最大的好处是:设置完毕后ADSL猫就是一个防火墙,基本上可以抵御从外到内的攻击,即使服务端口开放(包括系统开放的端口和中了木马开放的服务端口),黑客和类似振荡波一类的病毒也奈何不了计算机。
但是上述防火墙只能防止从外到内的连接,不能防止从内到外的连接,反弹型木马就是利用防火墙的这一特性来躲避限制的。反弹型木马虽然十分隐蔽,但也不是没有马脚,防范这类木马最好的办法就是使用第三方防火墙。
v ADSL猫的最大安全隐患就是很多用户都不改变默认密码,这样黑客如果进入到用户的“猫”做个端口映射就有可能进入计算机,所以一定要把默认密码改变。
9.3改变FTP服务器默认端口
默认情况下,FTP服务器使用的端口号是21,这种默认设置会给黑客利用FTP服务带来便利,所以一般建议更改此端口号。
打开IIS信息服务控制台,展开【FTP】站点,右键单击【默认FTP站点】项,从弹出的快捷菜单中选择【属性】菜单项,打开【默认 FTP 站点 属性】对话框,切换到【FTP 站点】选项卡,在【TCP 端口】文本框中输入其他值就可以了。
v 默认情况下在Windows XP系统中没有安装【Internet 信息服务(IIS)】,用户可以在【控制面板】中的【添加或删除程序】中的【Windows组件向导】对话框中选择后安装。
9.4利用UltraEdit关闭蠕虫病毒可利用的135端口
135端口常被蠕虫病毒用来攻击计算机系统,更新微软相关补丁还是必要的,另外也可以设法将此端口屏蔽。
使用UltraEdit打开系统system32目录下的rpcss.dll文件。
查找3100330035,替换为3000300030。
查找31000330035,替换为3000300030,这样替换的意思是将135端口更改为000。
至此修改已经完成,下面解决修改后文件的保存问题。因为该文件正在运行,在Windows环境下是不能覆盖的。如果用户使用的是FAT32文件系统,那么直接引导进入DOS环境,将修改好的文件覆盖掉原来的文件即可。
如果是NTFS格式,进入安全模式。然后启动pulist(可以到网上下载)列出进程,然后用pskill(可以到网上下载)杀掉svchost.exe程序。然后再把修改后的rpcss.dll文件覆盖到原来的位置。
覆盖后重新启动,使用netstat –an命令,可以看到Windows XP下存在TCP135,但是UDP里面已经没有135端口了。
9.5使用批处理来查看开放端口和对应的进程
通过使用netstat和tasklist可以查看可以的开放端口和进程。为了方便起见,可以将这两个命令做成一个批处理文件放在桌面上随时使用。
打开记事本,在其中输入以下内容
Netstat –ano
Tasklist
Pause
然后将此代码另存为一个扩展名为.bat的文件即可。
9.6禁用Messenger服务
Messenger服务是Microsoft集成在Windows XP系统里的一个通信组件,默认情况下是打开的。该服务用户传输客户端和服务器之间的NET SEND和Alerter服务消息。对于单机用户而言,关闭此服务不会带来任何影响,建议关闭。
选择【开始】?【运行】菜单项,在弹出的【运行】对话框中输入“Services.msc”,然后按下【Enter】键,打开【服务】窗口,双击【Messenger】服务,打开【Messenger 的属性(本地计算机)】对话框,将启动类型设置为【已禁用】即可。
9.8利用天网防火墙防止别人用Ping命令探测
对于一般的上网用户来说,使用天网防火墙防Ping是最简单的一种办法。应用此方法防Ping不需要进行复杂的设置,只需要进行简单的操作即可。
启动天网防火墙后单击【IP规则访问按钮】 ,此时天网防火墙呈现下图所示。
在其中选中【防止别人用Ping命令探测】复选框即可。
9.9捆绑MAC地址以免IP地址被盗
要把IP地址和MAC地址捆绑,首先要查看MAC地址。
在【命令提示符】窗口中输入“ipconfig/all”,按下【Enter】键后出现下图所示的信息。
接着在命令提示符下输入ARP-s xxx.xxx.xxx.xxx 00-E0-4C-DB-04-7F(xxx.xxx.xxx.xxx是ip地址),按下【Enter】后就可以将MAC地址和IP地址捆绑在一起了。
v ARP命令仅对局域网的上网代理服务器有用,而且是针对静态IP地址,如果此用Modem拨号上网或是动态IP地址就不起作用了。
9.10在IE中设置代理服务器隐藏IP地址
设置浏览器或软件使用代理服务器好处很多,主要包括两点:一是在上网的时候防止被人入侵及攻击,其次是加快打开网页的速度。现在几乎每个与网络有关的软件都提供“代理设置”,只要简单设置一下就可以把真实的IP隐藏起来。
在IE中设置代理服务器的方法如下。
l 局域网的用户
在IE窗口中选择【工具】【Internet 选项】菜单项,打开【Internet 选项】对话框,切换到【连接】选项卡,单击 按钮打开【局域网(LAN)设置】对话框。选中【为 LAN 使用代理服务器(X)】复选框,在【地址】和【端口】分别输入代理服务器的地址和端口号,最后单击 按钮即可。
l 拨号上网用户
在IE窗口中选择【工具】【Internet 选项】菜单项,打开【Internet 选项】对话框,切换到【连接】选项卡,选中【拨号连接】,然后单击 按钮打开【拨号连接 设置】对话框,选中【对此连接使用代理服务器】复选框,在【地址】和【端口】分别输入代理服务器的地址和端口号,最后单击 按钮即可。
9.11使用天网防火墙关闭和打开指定端口
关闭端口可以通过系统自带的IP安全策略功能做到,这在前面已经介绍了,其实通过天网防火墙也可以达到关闭端口的目的。
1.关闭端口
当用户在上网的时候是最易受到攻击或感染病毒的时候,用户通过“netstat -an”命令后查出自己的系统莫名其妙地打开了某些端口,特别是一些高端端口(大多木马使用高端端口),用户就应该注意了,应该使用对天网防火墙将这些高端端口封闭掉,下面就以关闭139端口为例来介绍一下使用天网防火墙封闭端口的方法。
首先将天网防火墙的安全级别设置为【自定义】级别,此时出现【自定义IP规则】对话框,然后单击【增加规则】按钮 弹出【增加IP规则】对话框。
用户可以在【名称】文本框处输入任意名字,为了以便查阅这里输入“关闭139”,在【说明】中的文本框中同样可以任意输入或不输入,这里输入“关闭139端口”。
在【数据包方向】的下拉列表框中选择【接收或发送】选项,在【对方IP地址】的下拉列表框中选择【任何地址】选项。
在【数据包协议类型】下拉列表框中选择【TCP】选项,此时会出现下图所示的窗口。
在【本地端口】的设置中,在【从】和【到】各自的文本框中输入“139”,在【对方端口】的设置中,在【从】和【到】各自的文本框中输入“0”,在【TCP 标知位】的设置中选中【SYN】复选框。
在【满足上面条件时】的下拉列表框中选择【拦截】选项(当然用户也可以根据个人喜好,选中【记录】、【警告】或【发声】等复选框)。
单击 按钮返回到自定义窗口,选中【关闭139】项后单击 按钮将新规则上移到TCP协议的第一条,如下图所示。
单击 按钮会弹出【天网防火墙提示信息】对话框,最后单击 按钮即可。
其它端口的关闭设置方法类似;如要开放端口的,可以选中该规则,然后单击【修改规则】 按钮,在弹出的【修改IP规则】对话框中,在【当满足上面条件时】中将【拦截】改为【通行】就可以开放此端口了。
2.打开端口
大家所熟悉BT使用的端口为6881-6889这九个端口,而防火墙的默认设置是不允许访问这些端口的,它只允许BT软件访问网络,所以有时在一定程度上影响了BT下载速度。当然用户关了防火墙就没什么影响了,但机器就可能就不安全了。下面以打开6881-6889端口为例介绍使用天网防火墙打开端口的方法。
首先将天网防火墙的安全级别设置为【自定义】级别,然后单击【增加规则】按钮 弹出【增加IP规则】对话框。
用户可以在【名称】文本框处输入任意名字,为了以便查阅这里输入“BT”,在【说明】中的文本框中同样可以任意输入或不输入,这里输入“打开BT端口6881-6889”。
在【数据包方向】的下拉列表框中选择【接收或发送】选项,在【对方IP地址】的下拉列表框中选择【任何地址】选项。
在【数据包协议类型】下拉列表框中选择【TCP】选项,在【本地端口】的设置中,在【从】文本框中输入“6881”,在【到】文本框中输入“6889”,在【对方端口】的设置中,在【从】和【到】各自的文本框中输入“0”,在【TCP 标知位】的设置中选中所有的复选框。
在【满足上面条件时】的下拉列表框中选择【通行】选项(当然用户也可以根据个人喜好,选中【记录】、【警告】或【发声】等复选框),此时如下图所示。
单击 按钮返回到自定义窗口,选中该项后单击 按钮将新规则上移到TCP协议的第一条,最后单击 保存即可。
9.12天网防火墙常见日志分析
防火墙日志可以说是一盘大杂烩,其中会保存系统收到的各种不安全信息的时间、类型等等。通过分析这些日志,可以发现曾经发生过或正在进行的系统入侵行为。
防火墙日志并不复杂,但要看懂它还是需要了解一些基础概念(如端口、协议等)。尽管每种防火墙日志不一样,但在记录方式上大同小异,主要包括:时间、允许或拦截(Accept或Block)、通讯类型、源IP地址、源端口、目标地址和目标端口等。下面将以常见的天网防火墙日志为例,向用户介绍如何分析防火墙日志,并进而找出系统漏洞和可能存在的攻击行为。
天网防火墙会把所有不合规则的数据包拦截并记录到日志中,如果用户选择了监视所有TCP和UDP数据包,那么用户发送和接收的每个数据包都将被记录。
一般日志分为三行,第一行反映了数据包的发送、接受时间、发送者IP地址、对方通讯端口、数据包类型、本机通讯端口等等情况;第二行为TCP数据包的标志位,共有六位标志位,分别是:URG、ACK、PSH、RST、SYN、FIN,在日志上显示时只标出第一个字母,它们的简单含义如下。
ACK:确认标志,提示远端系统已经成功接收所有数据。
SYN:同步标志,该标志仅在建立TCP连接时有效,它提示TCP连接的服务端检查序列编号。
FIN:结束标志,带有该标志位的数据包用来结束一个TCP会话,但对应端口还处于开放状态,准备接收后续数据。
RST:复位标志,用于复位相应的TCP连接。
PSH:推标志,该标志置位时,接收端不将该数据进行队列处理,而是尽可能快将数据转由应用处理。在处理telnet或rlogin等交互模式的连接时,该标志总是置位的。
URG:紧急标志,用来处理避免TCP数据流中断。
第三行是对数据包的处理方法,对于不符合规则的数据包会拦截或拒绝,对符合规则的但被设为监视的数据包会显示为“继续下一规则”。
下面举些常见典型例子来介绍一下。
① 记录1: 202、121、0、112尝试用PING来探测本机,
TCP标志:S,
该操作被拒绝。
解释:该记录显示了在22:30:56时,从IP地址202、121、0、112向用户的电脑发出PING命令来探测主机信息,但被拒绝了。
人们常用PING命令来确定一个合法IP是否存在,当别人用PING命令来探测用户的机器时,如果用户的电脑安装了TCP/IP协议,就会返回一个回音ICMP包,但如果用户在防火墙规则里选中了“防止别人用PING命令探测主机”项,用户的电脑就不会返回给对方这种ICMP包,这样别人就无法用PING命令探测用户的电脑,也就以为用户的电脑不存在。如果偶尔一两条这样的记录也没什么大惊小怪的,但如果在日志里显示有很多个来自同一IP地址的记录,那就很有可能是别人用黑客工具探测你主机信息。
② 记录2: 61、114、155、11试图连接本机的http端口,
TCP标志:S,
该操作被拒绝。
解释:本机的http端口是HTTP协议的端口,主要用来进行HTTP协议数据交换,比如网页浏览,提供WEB服务。对于服务器,该记录表示有人通过此端口访问服务器的网页,而对于个人用户一般没这项服务,如果个人用户在日志里见到大量来自不同IP和端口号的此类记录,而TCP标志都为S(即连接请求)的话,则用户很可能是受到SYN洪水攻击了。另外,像“红色代码”类的病毒,主要是攻击服务器,也会出现上面的情况。
③ 记录3: 31、14、78、110试图连接本机的木马冰河端口,
TCP标志:S,
该操作被拒绝。
解释:这就是个害怕的记录啦,假如用户没有中木马,也就不能打开7626端口,当然没什么事。但是现在木马如果已植入用户的机子,用户已中了冰河木马,木马程序自动打开7626端口,迎接远方黑客的到来并控制用户的机子,但用户装了防火墙以后,即使用户中了木马,该操作也被禁止。对于常见的木马,防火墙会给出相应的木马名称,但对于不常见的木马,天网只会给出连接端口号,这时用户就得靠自己的经验或查找有关资料来分析该端口的是和哪种木马程序相关联,从而判断对方的企图并采取相应措施,封了那个端口。
④ 记录4: 接收到228、121、22、55的IGMP数据包,
该包被拦截。
这是日志中最常见的,也是最普遍的攻击形式。IGMP(Internet Group Management Protocol)是用于组播的一种协议,实际上是对Windows的用户是没什么用途的,但由于Windows中存在IGMP漏洞,当向安装有Windows 9X操作系统的机子发送长度和数量较大的IGMP数据包时,会导致系统TCP/IP栈崩溃,系统直接蓝屏或死机,这就是所谓的IGMP攻击。在标志中表现为大量来自同一IP的IGMP数据包。一般在自定义IP规则里已经设定了该规则,只要选中就可以了。
⑤ 记录5: 192、168、0、110的1294端口停止对本机发送数据包,
TCP标志:FA,
继续下一规则。
⑥ 本机应答192、168、0、110的1294端口,
TCP标志:A,
继续下一规则。
从上面两条记录看就知道发送数据包的机子是局域网里的机子,而且本机也做出了应答,因此说明此条数据的传输是符合规则的。为何有此记录,那是用户在防火墙规则中选中了“TCP数据包监视”项,这样通过TCP传输的数据包都会被记录下来,所以用户不要以为有新的记录就是人家在攻击自己,这样的日志是正常的。
防火墙的日志内容远不只上面几种,如果用户碰到一些不正常的连接,自己手头资料和网上资料就是用户寻找问题的法宝,或上防火墙主页上看看,这有助于用户改进防火墙规则的设置,使用户上网更安全。
9.13彻底隐藏上网IP地址
要想彻底隐藏真实的IP地址,常用的方法是使用匿名代理。不过匿名代理不是最好的办法,原因是匿名代理也分成几个级别,各个级别的匿名能力不同。
① HTTP请求头(HEADER)不包括特殊环境变量的匿名代理,最安全。
② HTTP请求头添加特殊环境变量的匿名代理,比较安全。
③ HTTP请求头包含客户机及其他无关IP的匿名代理,不太安全。因为它会掺杂进其他无关IP,也会显示用户的真实IP。
由于网上提供的匿名代理一般没有注明其代理级别,所以不能判断它的匿名级别。为此,用户可以到著名的检测网(http://www.stilllistener.com/checkpoint1/Java/)检测它的匿名性。
v 要完全匿名,还应该在【Internet 选项】对话框中切换到【安全】选项卡,单击 按钮弹出【安全设置】对话框,用户在其中将Active和Java全部关闭。否则网站仍可以用Java检测出用户的真实IP。
v “活动脚本”关闭后可以避免系统信息及浏览器信息等的泄漏。但也能注册邮箱了,所以最好不用匿名代理时将Active和Java选项全部开启。
9.14开启路由器防火墙功能
在路由器具有防火墙的功能,用户应该启动该功能。
在地址栏中输入路由器的IP地址(一般为192.168.1.1),然后按下【Enter】键,弹出【连接到 192.168.1.1】对话框。
在其中输入用户名和密码(具体的用户名和密码参见购买路由器时携带的说明书),然后按下【Enter】键进入到路由器设置界面,选择【安全设置】?【防火墙设置】项,选中【开启防火墙】复选框,最后进行保存即可。
9.15修改路由器默认用户名和密码
路由器在出厂的时候有一个默认的用户名和密码,如果外人知道你使用的是那一款路由器,而你又没有修改默认的用户名和密码,那么它就可以通过默认的用户名和密码来登录路由器。
用户可以通过下面的方法来修改路由器默认的用户名和密码。
在地址栏中输入路由器的IP地址(一般为192.168.1.1),然后按下【Enter】键,弹出【连接到192.168.1.1】对话框。在其中输入用户名和密码(具体的用户名和密码参见购买路由器时携带的说明书),然后按下【Enter】键进入到路由器设置界面,在其中输入用户名和密码(具体的用户名和密码参见购买路由器时携带的说明书),然后按下【Enter】键进入到路由器设置界面,选择【系统工具】?【修改登录口令】项,在右边的窗格中输入原用户名和口令以及新用户名和口令,最后单击 按钮保存即可。
9.16设置ICF允许在特殊情况时Ping本机
ICMP即Internet控制信息协议,最常用的Ping命令就是基于ICMP的。默认情况下,ICF禁用了应用协议的信息请求,如不允许Ping本机。如果由于特殊需要而想Ping本机,可以按下面方法进行操作。
在【网络连接】窗口中右键单击【本地连接】图标,从弹出的快捷菜单中选择【属性】菜单项,弹出【本地连接 属性】对话框,然后切换到【高级】选项卡。
单击 按钮弹出【Windows 防火墙】对话框,切换到【高级】选项卡。
单击 按钮弹出【ICMP 设置】对话框,选中【允许传入的回显请求】复选框,最后连续单击 按即可。
9.17启用ICF安全日志保存被攻击的证据
建立安全日志可以使服务器在受到恶意攻击后保留可靠的证据,ICF具备这方面的功能。
在【网络连接】窗口中右键单击【本地连接】图标,从弹出的快捷菜单中选择【属性】菜单项,弹出【本地连接 属性】对话框,然后切换到【高级】选项卡。
单击 按钮弹出【Windows 防火墙】对话框,切换到【高级】选项卡。
单击 按钮弹出【ICMP 设置】对话框,选中【记录被丢弃的数据包】和【记录成功的连接】复选框,这样就可以通过查看相应目录中保存的日志文件了解到攻击者的信息档案了。
页:
[1]