魏　賓　李桂巖

[摘要]計算機漏洞攻防的相關知識和利用操作系統(tǒng)漏洞攻擊計算機的方式,對如何防范漏洞措施做詳細論述。

[關鍵詞]系統(tǒng)漏洞 漏洞防范

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)0920075-01

在互聯(lián)網(wǎng)高速發(fā)展的今天,網(wǎng)絡作為一種重要的信息傳遞手段,對經(jīng)濟的發(fā)展和人們之間的交流起著越來越重要的作用。在網(wǎng)絡蓬勃發(fā)展的同時,網(wǎng)絡安全也到了令人堪憂的地步。本文簡要介紹計算機漏洞攻防的相關知識和利用操作系統(tǒng)漏洞攻擊計算機的方式,對如何防范漏洞做了詳細論述。

一、IPC$共享漏洞

IPC$是共享“命名管道”的資源,是為了讓進程間通信而放開的命名管道,可以通過驗證用戶名和密碼獲得相應的權限,在遠程管理計算機和查看計算機的共享資源時使用。Windows的默認安裝允許任何用戶通過空用戶連接(IPC$)得到系統(tǒng)所有賬號和共享列表,一些別有用心者正是利用這項功能,對計算機用戶的主機賬號通過猜解進行攻擊。如果主機上存在具有權限的弱口令賬號,一旦賬號和密碼被攻擊者通過非常手段得到,那么攻擊者會利用主機開放的IPC$、C$等共享攻入系統(tǒng),從而完全控制主機。

IPC$共享漏洞防范:

1.通過修改注冊表禁止建立空連接(IPC$)。

在Windows中,單擊“開始”-“運行”,在命令框中輸入regedit,回車打開注冊表編輯器。找到[HKEY_LOCAL_MACHINESYSTEMCurrentContr

olSetControlLSA],將RestyrictAnonymous=DWORD鍵值改為:00000001.

2.通過修改注冊表禁止管理共享。

打開注冊表編輯器,找到 [HKEY_LOCAL_MACHINESYSTEMCurrentCon

TrolSetServicesLanmanServerParameters],將AutoShareServer(DWORD)

鍵值改為:00000000.

3.關閉默認共享。

單擊“開始”-“運行”,在命令框中輸入cmd,在DOS中輸入net share,可查看本機開放的共享。根據(jù)實際情況刪除共享,其命令為:

netshare IPC$/delete

netshare admin$/delete

netshare C$/delete

4.永久關閉IPC$和默認共享的服務。

打開“控制面板”中“管理工具”,找到“服務”,將Server服務的屬性的“啟動類型”改為“已禁用”。

二、windows輸入法漏洞

啟動windows進行到登錄驗證界面是,任何用戶都可以打開各種輸入法的幫助欄,并且可以利用其中一些功能訪問文件系統(tǒng),即繞過windows用戶登錄驗證機制,以管理員權限訪問整個系統(tǒng),此漏洞危害相當大,進入系統(tǒng)后還可以利用TerminalServer遠程通信對系統(tǒng)進行攻擊。

windows輸入法漏洞防范:

1.給系統(tǒng)打上安全補丁。

2.刪除輸入法的幫助文件和不用的輸入法。

3.修改遠程終端端口。

進入注冊表編輯器,找到[HKEY_LOCAL_MACHINESYSTEMCurrentCont

rolSetControlTerminal ServerWds dpwdTds cp]和[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationRDP-tcp],在十進制狀態(tài)下修改PortNumber任意的端口號,注意此兩個端口號必須一致,且不能和本機已開發(fā)的端口重復。

4.修改注冊表實現(xiàn)隱藏賬號。

進入注冊表編輯器,找到[HKEY_LOCAL_MACHINESOFTWAREMicrosoft

WindowsNTCurrentVersionWinlogonSpecialAccountsUserList],創(chuàng)建新的DWORD,將這個值名稱設為要隱藏的賬號名,值設為0。

三、Unicode漏洞

對于IIS(Internet信息服務)的漏洞中,擴展Unicode目錄遍歷漏洞/解碼漏洞是對系統(tǒng)威脅最大的漏洞。Unicode是一種編碼形式,為系統(tǒng)自動識別。利用這個漏洞攻擊服務器,可以很輕松的拿到計算機的最高權限。

對此漏洞防范:

1.對安裝操作系統(tǒng)的分區(qū)中SCRIPTS、MSADC等目錄沒有必要使用的情況下,應該刪除該文件夾或者改名。

2.安裝系統(tǒng)時不要使用默認WINNT路徑,可改為其他的文件夾。

3.安裝安全補丁。

四、DDoS漏洞

DoS又叫做“拒絕服務攻擊”,通常以消耗服務器資源為目的,通過偽造超過服務器處理能力的請求數(shù)據(jù)造成服務器響應阻塞,使正常用戶的請求得不到應答,以實現(xiàn)攻擊目的。由于DoS攻擊工具的泛濫以及所針對的協(xié)議層的缺陷短時間無法改變的事實,使其成為流傳最廣、最難防范的攻擊方式。

由于DDoS攻擊的惡劣性(往往可利用一批受控制的網(wǎng)絡終端向某個公共端口發(fā)起沖擊,來勢兇猛且令人難以防備,具有極大破壞力)難以被偵測和控制,因此網(wǎng)絡安全技術廠商趨于共識:在網(wǎng)絡中配置整體聯(lián)動安全體系,通過軟硬件技術結(jié)合,深入網(wǎng)絡終端的全局防范措施。及安裝系統(tǒng)補丁程序,以及不斷提升網(wǎng)絡安全策略,都是防范DDoS攻擊的有效辦法。在可以預見的未來,必將會堵住DDoS漏洞。

五、RPC漏洞

RPC調(diào)用是windows使用的一個協(xié)議,提供這樣一個交互過程的通訊機制,它允許在一臺計算機運行一個程序,而在另一臺遠程系統(tǒng)上無縫執(zhí)行代碼。RPC在處理通過TCP/IP進行信息交換的過程中存在漏洞,其問題在于沒有正確處理畸形消息而造成的。此漏洞主要影響使用RPC服務的接口DCOM,而監(jiān)聽這個接口,就能激活遠程的請求。攻擊者利用此漏洞,就可以利用系統(tǒng)用戶權限執(zhí)行惡意代碼。沖擊波、震蕩波就是根據(jù)這個漏洞編寫的。

RPC漏洞防范:

1.關閉TCP/IP端口。打開系統(tǒng)中網(wǎng)絡連接屬性,單擊Internet協(xié)議TCP/IP屬性對話框中“高級”,選擇“TCP/IP篩選”屬性,在TCP和UDP端口設置中選擇“只允許”,添加相應的端口,如80用于瀏覽器,其他端口根據(jù)應用程序的設置進行相應修改。

2.使用金山網(wǎng)鏢等軟件設置。

3.下載RPC補丁。

六、操作系統(tǒng)或軟件緩沖區(qū)溢出

系統(tǒng)在不檢查程序與緩沖之間變化的情況,隨意接受任意長度的數(shù)據(jù)輸入,把溢出數(shù)據(jù)放入堆棧中,系統(tǒng)還照常執(zhí)行命令,攻擊者只需發(fā)送超出緩沖區(qū)所處理的長度指令,系統(tǒng)就會進入不穩(wěn)定狀態(tài),攻擊者配置一串攻擊字符,就可以訪問根目錄,從而對系統(tǒng)擁有絕對控制權。

此類漏洞防范:

1.安裝補丁是最簡單、最快捷的方法。

2.防火墻過濾UDP和TCP的138、139、445端口。

3.使用系統(tǒng)捆綁的Internet連接防火墻(ICF)。

4.停止WorkStation等不必要的服務。

打開控制面板中“服務”,選擇WorkStation服務,將其啟動改為“手動”或“禁用”,再將服務停掉即可。停掉其他服務類似。

以上對windows操作系統(tǒng)主要的漏洞和對其防范做了論述,未能詳盡。由于Internet傳播信息快速廣泛,同時各種系統(tǒng)與軟件的安全漏洞不斷發(fā)現(xiàn)和公布,筆者希望能夠起到讀者對信息安全和計算機安全重視的作用,使其養(yǎng)成及時安裝系統(tǒng)補丁等防范措施的習慣,增強讀者的安全防范意識,減少計算機與網(wǎng)絡的安全隱患。