典型的IPC漏洞网络入侵分析及防范
开篇:润墨网以专业的文秘视角,为您筛选了一篇典型的IPC漏洞网络入侵分析及防范范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:该文分析了典型的ipc漏洞网络入侵攻击的过程,从系统策略、系统服务、计算机端口等方面研究,给出了防范策略及方法,通过批处理命令编制脚本程序并注入系统注册表中,使其启动系统时自动运行,实现阻止入侵的安全防护。
关键词:IPC漏洞;网络入侵;系统服务;端口;注册表;安全防护
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)13-3006-06
随着计算机网络的快速发展,信息安全问题日趋严重。信息系统的安全指存储信息的计算机、数据库的安全和传输信息的网络的安全[1]。信息系统的安全包括1)机密性2)完整性3)可用性4)真实性。常见的安全威胁有特洛伊木马 、蠕虫、网络黑客入侵攻击、病毒攻击等 ,这些攻击往往是综合运用[2]。对于广大计算机用户了解攻击过程,并加以防范尤其重要。
1 网络入侵概述
网络入侵攻击已成为网络信息安全最大威胁,它包括系统漏洞攻击、网络报文嗅探、系统口令破解 、拒绝服务(DoS)攻击 、缓冲区溢出攻击、IIS溢出、格式化字符串攻击、SQL Injection攻击。
1.1网络入侵
使用相关计算机和网络技术来获得非法或未授权的网络或文件访问,入侵进入内部网或计算机的行为。网络攻击与入侵已经成为一种最为常见的网络犯罪手段。
1.2黑客(Hacker)”定义
是指网络的攻击者或非法侵入者。黑客攻击与入侵指未经他人许可利用计算机网络非法侵入内部网络和计算机,窃取或修改资料信息、破坏软硬件系统。
1.3 IPC$入侵
IPC$ 是共享“命名管道”的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。
1.4空会话
空会话是在没有信任的情况下与客户机建立的会话(即未提供用户名与密码),借助空连接可以列举目标主机上的用户和共享,访问 everyone 权限的共享等,通过空会话可以得到户列表,而大多数弱口令扫描工具就是利用这个用户列表来进行口令猜解的,掌握用户列表大大增加了猜解口令的成功率。
1.5端口
计算机"端口"是英文port的意译,可以认为是计算机与外界通讯交流的出口。软件领域的端口一般指网络中面向连接服务和无连接服务的通信协议端口,是一种抽象的软件结构,包括一些数据结构和I/O(基本输入输出)缓冲区。如果远程服务器没有监听 139 或 445 端口, IPC$ 会话是无法建立的 [3] 。
1.6身份验证
NTLM(NT LAN Manager)是微软提出了WindowsNT挑战/响应验证机制,NTLM是以当前用户的身份(本机的帐户和密码登录)向Telnet服务器发送登录请求的,如果当前用户和远程登录计算机身份不一致,操作将失败。NTLM身份验证选项有三个值。0:不使用NTLM身份验证。1:先尝试NTLM身份验证,如果失败,再使用用户名和密码。2:只使用NTLM身份验证。默认是2。
2 典型网络入侵
2.1确定攻击目标
攻击者在进行攻击之前首先要确定攻击要达到的目的,利用入侵工具,如x-scan等扫描网络中计算机,寻找目标计算机。
2.2收集信息
收集被攻击计算机的信息, 包括目标计算机所在网络的信息,目标计算机开放的端口、防火墙信息、开放的系统服务、用户信息、操作系统等。
2.3漏洞挖掘
根据收集的信息进行分析,是否有空密码的情况以及存在弱口令。一些重要端口如:137~139,445,3389等端口是否开启。
一些重要服务如:提供 RPC 支持、文件、打印以及命名管道共享的”Server”服务是否开启。Windows的用户名安全验证NTLM是否启用。Windows开启的默认盘共享,如:磁盘默认共享和系统Admin$共享情况。防火墙(Firewall)是否开启。
2.4攻击系统
破解用户的口令 ,登录目标系统,提升权限,浏览用户信息,种植并运行冰河、Radmin等木马程序,进行远程监控。
2.5留下后门
最好自己写后门程序,用别人的程序总是相对容易被发现。
2.6清除日志
攻击者在取得用户权限后,为了避免被发现,就要考虑清除用户主机的相关日志,因为日志 系统往往会记录攻击者的相关攻击过程和信息。Windows2000的日志文件通常有应用程序日志、安全日志、系统日志、DNS服务器日志、FTP 日志、WWW日志等等。
3 典型的ipc网络入侵攻击过程
1)用x-scan、Namp等入侵工具扫描网络 空口令计算机。”net user \\ip地址\ipc$ "administrator" /user:" "”进行ipc空连接。
2)用网络命令”nbtstat –a”枚举被攻击计算机的用户名列表或”net share”查看开启的所有共享。
3)用smbcrack、HackerDicBuilder等软件破解用户的口令,
4)利用”telnet”远程登录,并窥视开放默认共享的磁盘中的信息。
5)用”net user \\ip地址\ipc$ "密码" /user:"用户名"”进行ipc 非空链接, 将木马程序复制到开放的共享目录里,用at命令启动。
6)留下后门。去除Ntlm身份认证,开启磁盘共享,添加用户并提升权限。
4 网络入侵的防范
网络入侵的防范主要有防火墙,入侵检测(Intrusion Detection),蜜罐技术等。这里给出网络入侵的防范的入侵防御方法,并通过系统命令以及设置注册表来实现。[5]
4.1从计算机本地安全策略上进行防范
禁止空连接后枚举用户列表,这样入侵者无法得到被入侵者的正在使用的用户列表,无法用有效用户名进行破解口令及登陆入侵。
禁止空密码登陆枚举计算机用户列表功能。
4.2关闭重要端口
由于没有139(TCP)端口和445端口的支持,是无法建立IPC$的,因此屏蔽139(TCP)端口和445端口同样可以阻止IPC$入侵攻击过程;3389端口提供Windows远程终端服务。文件传输协议(FTP:File Transfer Protocol)使得主机间可以共享文件,21端口是FTP服务的标准端口。
4.3关闭相关服务
Windows一些关键服务必须关闭,它们是网络入侵必须依赖。例如:IPC$连接必须的”Server”服务使计算机可以共享网络上的资源 ;任务计划服务”Schedule”允许程序在指定时间运行;”Telnet”服务它为用户提供了在本地计算机上完成远程主机工作的能力。”Telnet”服务。”Remote Registry”服务允许远程用户能修改此计算机上的注册表。
4.4其它
5 结论
随着internet广泛应用,入侵方式的呈现不确定性、复杂化和多样化,网络安全面临巨大挑战。通过本文给出预防IPC系统漏洞典型入侵的基本思路和方法,能给广大计算机用户提供网络安全方面的启示。
参考文献:
[1] 胡道元,闵京华.网络安全[M].北京:清华大学版社,2004.
[2] 姚玉献.网络安全与入侵检测[J].计算机安全,2007(3).
[3] 宋大庆,颜定军.技术及安全漏洞与应对措施[J].计算机安全,2009.
[4] DirtilyE.Denning.An intrusion—detection model.IEEE Transactions on Software Engineering,2007,13(2):222-232.
[5] 邓吉.黑客攻防实战详解[M].北京:电子工业出版社,2006.