在当今的信息时代,计算机网络的应用已经深入到了社会的各个角落,人们的生活与网络越来越密不可分,而网络系统的安全、可靠性成为用户最为关注的焦点。为了更好地保护网络安全,笔者总结了一些安全防范技巧,希望能对大家有所帮助。
在当今的信息时代,计算机网络的应用已经深入到了社会的各个角落,人们的生活与网络越来越密不可分,而网络系统的安全、可靠性成为用户最为关注的焦点。为了更好地保护网络安全,笔者总结了一些安全防范技巧,希望能对大家有所帮助。
一、防范ICMP利用
ICMP是Internet Control and Message Protocal(网际控制信息协议)的缩写,它是TCP/IP协议族的一个子协议,ICMP报文是专门用来在网络路由器与主机之间传递控制消息的,它能告诉主机路由是否可以到达,网络连接是否畅通,也能通知路由器、目标主机是否可以访问等,比如我们经常使用的Ping和Tracert工具就是利用ICMP协议中的ECHO request报文进行的。
ICMP协议对于网络安全具有极其重要的意义。不过ICMP协议也存在一个致命的缺陷——易伪造,一些别有用心的人可以利用SOCK_RAW编程直接改写报文的ICMP首部和IP首部,这样的报文携带的源地址是伪造的,而且在目的端根本无法追查。社会上所出现的不少基于ICMP的攻击软件,通过网络架构缺陷制造的ICMP风暴等,就是依据这个原理。如果该报文被非法利用的话,就会导致网络的主机、路由器轻易地遭受到攻击,给网络安全带来麻烦。对于网络终端用户来说,关闭ICMP重定向报文,往往能有效避免黑客利用ICMP报文,来攻击网络终端;在关闭ICMP重定向报文时,可以打开注册表编辑窗口,再依次展开HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters子键,在图1所示的右边子窗口中,检查是否有名为“EnablelCMP Redirect”的双字节值,要是没有的话,可以依次单击注册表界面中的“编辑”/“新建”/“双字节值”命令,来重新创建一个,并将该双字节值设置为“0”,最后关闭注册表编辑窗口,重新启动一下系统,就能使设置生效了。
另外,如果将ICMP协议用来进行通讯的话,黑客可以制作出不需要任何TCP/UDP端口的木马,那么在网络中传输的一些重要隐私信息,就有可能被黑客截听到,为此你也有必要设置一下系统,让系统禁止相应该报文,以确保网络传输的安全;在关闭该报文时,你可以在注册表编辑界面中,找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfaces子键,在图2窗口的右侧区域,右击空白位置,执行快捷菜单中的“新建”/“双字节值”命令,将新建的双字节值命名为“PerformRouteDiscoer”并将其数值设置为“0”,之后我们再重新将系统启动一下,我们的设置就可以生效了。
二、防范IE执行恶意程序
我们都知道,IE6.0为用户提供了更加可靠的个人隐私及安全保护措施,比如在“Internet选项”窗口中新增了“隐私”选项卡,用户可以在其中直接设置浏览时的隐私级别;在“工具”→“选项”→“高级”选项中还增加了一些进一步提高安全性的选项,如关闭浏览器时清空Internet临时文件等等……这时千万不要觉得天下太平了!IE的安全设置都是针对非本地的页面或交互的,对于本地的安全设置IE是最大信任的。如果你注意看IE的安全设置,都是对Internet和Intranet上WEB服务器而言的,根本就没有对本地文件的安全设置。概括说来就是IE对本地安全采用最大信任原则;这样一来,非法攻击者就能通过IE,来执行事先“植入”到本地系统中的恶意程序,从而实现对你的网络或系统进行监控,无论IE浏览器怎样设置都毫无用处。其实他们的手段非常简单,只是在网页中增加一个简单的JavaScript代码,即可捕获媒体播放器生成的ID号。那么有没有办法让非法攻击者,无法通过IE运行本地硬盘中的任何程序呢?答案是肯定的,你可以按照下的方法,以避免通过IE执行恶意程序:首先打开系统“运行”对话框,执行注册表编辑命令“Regedit”在随后出现的编辑窗口中,我们在注册表中依次展开子键HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones,在图3窗口的右侧区域中,检查一下是否有“Flags”二进制值,要是没有的话你可以依次单击菜单栏中的“编辑”/“新建”/“双字节值”命令,来重新创建一个,并将该双字节值设置为“1”,关闭注册表编辑器。无需重新启动电脑,重新打开IE,再次点击“工具→Internet选项→安全”标签,你就会在图4所示的窗口中看到“我的电脑”选项,这表明IE的安全访问控制功能,也适合于本地硬盘了;下面,你可以选中“我的电脑”选项,再单击“自定义级别”按钮,再随后出现的设置窗口中,将“运行ActiveX控制和插件”、“下载ActiveX控件”参数,均设置为“禁用”就可以万事大吉了。
三、揪出恶意攻击程序
当你发现系统中有陌生端口被打开时,一定很紧张吧!是不是系统正在遭受黑客的攻击呢?你怎样才能分辨出该端口是不是木马开放的端口?或者在进程列表中发现陌生的进程时,是否想知道该进程在你的系统中开了什么端口?这时用一款木马查杀工具对系统进行一下查杀就能解决问题,可是手头没有木马查杀工具怎么办?其实使用手工方法也能揪出恶意攻击程序。
(1) 根据进程查端口号
在开始菜单的“运行”框中输入“cmd.exe”进入命令提示符窗口,先键入“tasklist”命令将列出系统正在运行的进程列表,把你要查的进程所对应的“PID”号记下或复制。把进程的PID号记下后,接下来就用这个PID号把该进程所开的端口显示出来了。在当前的命令符下继续键入“netstat -ano findstr 1140”命令,其中“netstat -ano”参数表示以数字形式显示所有活动的TCP连接以及计算机正在侦听的TCP、UDP端口 并且显示对应的进程ID PID 号;“ findstr 1140”表示查找进程PID为“1140”的TCP连接以及TCP、UDP端口的侦听情况(在实际应用中,需要把你刚才记下或复制的PID号替换掉这里的1140)。按“回车”键后,就会显示出该进程所开的端口号。#p#分页标题#e#
(2) 根据端口号查进程
在命令提示符窗口中输入“netstat -ano”命令,列出系统当前的端口列表,该命令的作用已在上面提过了。-o参数的作用主要是显示各端口对应的进程PID号,现在把你要查的端口对应的进程PID号记下或复制。然后在命令提示符下继续输入“tasklist /fi ″PID eq 788 ″”(在实际应用中,需要把你复制或记下的PID号替换掉这里的788),这行语句“/fi”参数表示在“tasklist”中筛选,而“PID eq 788”则是指定筛选的条件,按“回车”键后,就会显示出端口对应的进程。
(3) 查出进程对应的程序
知道了端口和进程的关联后,如何再进一步查出该进程是那个软件或程序的进程呢?
下面的操作就需要用到Windows 2000(Server或Professional版都可以)安装光盘中的一个工具。首先在安装光盘的“SupportTools”目录下,用解压软件打开“support.cab”压缩包,找到“tlist.exe”文件,将此文件释放到任一目录,如“D:Support”。然后在命令提示符窗口中切换到此目录,运行“tlist.exe”命令,把要查的进程对应的PID号记下或复制(第一列就是进程的PID号),然后继续输入“tlist.exe 2012”命令(你输入的时候,需要将刚才记下的PID号替换掉这里的2012),“CmdLine ”后面显示的就是该进程对应的软件所在的目录。另外,返回信息中还列出了该进程所调用的文件,得到了这些信息就可以很容易查出进程对应的程序了。要是发现该程序不是你自己打开的话,那么十有八九是一个恶意程序,此时你必须及时执行“taskkill.exe PID ”命令(taskkill.exe可以在WinXP系统安装盘中找到)将该进程关闭掉,以免恶意程序继续监控你的系统。
四、防范硬盘被非法共享
很多上网的朋友都遇到过这样的麻烦,在浏览到含有恶意代码的网页时,自己的系统硬盘就可能被设置为共享状态了,更为危险的是,你在硬盘属性窗口中“觉察”不到硬盘已经被非法共享了。为了避免硬盘被恶意网页非法设置为共享,你可以按照下面的步骤来达到目的。首先,硬盘此刻是否已经被非法共享了。检查时,我们可以打开注册表编辑窗口,在注册表编辑器展开分支“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionNetworkLanMan”,看看“LanMan”项下面是否有“RWC$”键值,要是有的话,就表明硬盘已经被恶意网页设置为了共享,而且共享名称是“RWC$”;这时你可以将LanMan下面的“RWC$”键值先删除掉;然后把windowssystem下面的Vserver.vxd(Microsoft 网络上的文件与打印机共享,虚拟设备驱动程序)删掉,接着再进入到注册表编辑界面,我们将鼠标定位于分支“HKEY_LOCAL_MACHINESystemCurrentControlSetServicesVxD”上(如图5),并将该分支下所属的“Vserver”键值删掉,最后退出注册表编辑窗口,重新启动一下系统,今后无论什么恶意网页,都不能将你的硬盘设置为隐藏共享了,永绝这类网页的后路吧!
