个人网络安全防卫手册.docx

个人网络安全防卫手册.docx

《个人网络安全防卫手册.docx》由会员分享，可在线阅读，更多相关《个人网络安全防卫手册.docx（30页珍藏版）》请在冰点文库上搜索。

个人网络安全防卫手册

个人网络安全防卫手册

网络技术的飞速发展，随之而来的不仅仅是惬意与便利，资料的使用、数据的安全更是让我们忧心仲仲，网络安全事件层出不穷。

毫不夸张地说，无论是企业用户，还是个人用户，只是你上网，就身处危险之中！

如何将这种危险降到最低点？

本文试着将各种攻击伎俩列出，并给出详细的解决方案，希望能给你营造出一个安全的网络环境。

一、网络攻击概览

1.服务拒绝攻击

服务拒绝攻击企图通过使你的服务计算机崩溃或把它压跨来阻止你提供服务，服务拒绝攻击是最容易实施的攻击行为，主要包括：

（1）死亡之ping（pingofdeath）：

由于在网络技术形成早期，路由器对数据包的最大尺寸都有限制，许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方死机。

（2）泪滴（teardrop）：

泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现攻击。

IP分段含有指示该分段所包含的是原包的哪一段的信息，某些TCP/IP（包括Servicepack4以前的NT）在收到含有重叠偏移的伪造分段时将崩溃。

（3）UDP洪水（UDPflood）：

各种各样的假冒攻击利用简单的TCP/IP服务，如Chargen和Echo来传送毫无用处的占满带宽的数据。

通过伪造与某一主机的Chargen服务之间的一次的UDP连接，回复地址指向开着Echo服务的一台主机，这样就生成在两台主机之间的足够多的无用数据流，如果足够多的数据流就会导致带宽的服务攻击。

（4）SYN洪水（SYNflood）：

一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息，因为他们只有有限的内存缓冲区用于创建连接，如果这一缓冲区充满了虚假连接的初始信息，该服务器就会对接下来的连接停止响应，直到缓冲区里的连接企图超时。

在一些创建连接不受限制的实现里，SYN洪水具有类似的影响。

未来的SYN洪水令人担忧，由于释放洪水的并不寻求响应，所以无法从一个简单高容量的传输中鉴别出来。

（5）Land攻击：

在Land攻击中，一个特别打造的SYN包它的原地址和目标地址都被设置成某一个服务器地址，此举将导致接受服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉，对Land攻击反应不同，许多UNIX实现将崩溃，NT变得极其缓慢（大约持续五分钟）。

（6）Smurf攻击：

一个简单的Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求（ping）数据包来淹没受害主机的方式进行，最终导致该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞，比pingofdeath洪水的流量高出一或两个数量级。

更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方雪崩。

（7）Fraggle攻击：

Fraggle攻击对Smurf攻击作了简单的修改，使用的是UDP应答消息而非ICMP。

（8）电子邮件炸弹：

电子邮件炸弹是最古老的匿名攻击之一，通过设置一台机器不断的大量的向同一地址发送电子邮件，攻击者能够耗尽接受者网络的带宽。

（9）畸形消息攻击：

各类操作系统上的许多服务都存在此类问题，由于这些服务在处理信息之前没有进行适当正确的错误校验，在收到畸形的信息可能会崩溃。

2.利用型攻击

利用型攻击是一类试图直接对你的机器进行控制的攻击，最常见的有三种：

（1）口令猜测：

一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的用户账号，成功的口令猜测能提供对机器的控制。

（2）特洛伊木马：

特洛伊木马是一种或是直接由一个黑客，或是通过一个不令人起疑的用户秘密安装到目标系统的程序。

一旦安装成功并取得管理员权限，安装此程序的人就可以直接远程控制目标系统。

最有效的一种叫做后门程序，恶意程序包括：

NetBus、BackOrifice和BO2k,用于控制系统的良性程序如：

netcat、VNC、pcAnywhere。

理想的后门程序透明运行。

（3）缓冲区溢出：

由于在很多的服务程序中大意的程序员使用象strcpy（）,strcat（）类似的不进行有效位检查的函数，最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾，这样当发生缓冲区溢出时，返回指针指向恶意代码，这样系统的控制权就会被夺取。

3.信息收集型攻击

信息收集型攻击并不对目标本身造成危害，如名所示这类攻击被用来为进一步入侵提供有用的信息。

主要包括：

扫描技术、体系结构刺探、利用信息服务。

（1）扫描技术：

地址扫描：

运用ping这样的程序探测目标地址，对此作出响应的表示其存在。

端口扫描：

通常使用一些软件，向大范围的主机连接一系列的TCP端口，扫描软件报告它成功的建立了连接的主机所开的端口。

慢速扫描：

由于一般扫描侦测器的实现是通过监视某个时间帧里一台特定主机发起的连接的数目（例如每秒10次）来决定是否在被扫描，这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。

体系结构探测：

黑客使用具有已知响应类型的数据库的自动工具，对来自目标主机的、对坏数据包传送所作出的响应进行检查。

由于每种操作系统都有其独特的响应方法（NT和Solaris的TCP/IP堆栈具体实现有所不同），通过将此独特的响应与数据库中的已知响应进行对比，黑客经常能够确定出目标主机所运行的操作系统。

（2）利用信息服务：

DNS域转换：

DNS协议不对转换或信息性的更新进行身份认证，这使得该协议被人以一些不同的方式加以利用。

如果你维护着一台公共的DNS服务器，黑客只需实施一次域转换操作就能得到你所有主机的名称以及内部IP地址。

Finger服务：

黑客使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。

上进行过滤。

LDAP服务：

黑客使用LDAP协议窥探网络内部的系统和它们的用户的信息。

4.假消息攻击

用于攻击目标配置不正确的消息，主要包括：

DNS高速缓存污染、伪造电子邮件。

（1）DNS高速缓存污染：

由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证，这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。

（2）伪造电子邮件：

由于SMTP并不对邮件的发送者的身份进行鉴定，因此黑客可以对你的内部客户伪造电子邮件，声称是来自某个客户认识并相信的人，并附带上可安装的特洛伊木马程序，或者是一个引向恶意网站的连接。

二、一般性防卫原则

对一些常见的攻击技术有所了解，可以使我们更好地防范黑客的攻击。

其实，许多网络安全危机，有多半来自于用户本身没有具备基本的网络安全常识。

导致黑客有机会入侵计算机，达到破坏的目的。

因此，不管是企业或个人用户加强本身的网络保防知识，有其绝对的必要性。

1.必要的网络安全知识

（1）不要开启来路不明的邮件：

许多黑客入侵主机的方式，都是先寄发内含入侵程序的E-mail给对方，骗取对方开启附在邮件内的的执行文件，只要收件者在不知情的情况下执行了，入侵程序便无声无息的进驻到计算机里，任由黑客进进出出，不仅窃取重要机密文件，甚至破坏掉整部计算机的硬盘资料。

因此，强烈建议经常收发电子邮件的朋友（尤其在公司），开启每一封邮件时，不妨多留意，遇到来路不明的信件（如广告信），尤其内含附加文件，且扩展名为EXE的文件，请别开启，因为这很有可能是黑客入侵程序。

最好的方式是将整封信件直接删除。

（2）小心邮件中的网页：

即使不含执行文件的邮件，都有可能是危险的！

因为E-mail支持HTM格式的关系，使寄件者可以利用这个技术将邮件内容以网页（WebPage）的方式寄出，而利用IE浏览器的安全漏洞。

这些漏洞，可以让黑客撰写一些简单的JAVA程序，只要上网者点击上面的按钮，就可能让黑客从你的硬盘中窃取重要的文件（如，密码文件等）。

因此，就算你只是开启网页，都可能遭受黑客的入侵。

（3）密码设定勿过于简单：

一般使用者，面对账号或是邮件密码的设定，常常随便就以简单的数字，或是单纯的英文名字、单字设定。

更离谱的是，有人就直接将密码跟账号设定成同一个，等于给了黑客最容易猜中的机率。

因为黑客有时要入侵计算机，若是遇到有密码保护的主机时，通常会试着先以简单的可能猜对方的密码，若这道防线被这么轻易的突破，那就失去设定密码的意义。

因此，建议你在设定密码时，最好能以英文加上特定的数字（例如自己的生日），只要设定的密码愈复杂，就对网络安全的防护愈有保障。

（4）严禁账号及密码外借他人：

有些朋友常常将自己的账号与密码借给他人，虽然心想才借一下不要紧，但却不知这是相当危险的行为。

就算对方是多么熟的朋友，但毕竟密码已经不只自己知道而已，这就可能造成账号与密码外流，被人拿来做些犯法的事情了。

这种情形常发生在初学上网的朋友，由于不知该如何设定密码，便找来朋友或是计算机公司的工程师来帮忙，这时如果对方是有心人，可能会记住你的账号跟密码，变成对方“免费”的账号，而受害者往往在接到拨接帐单时才惊觉，到时就为时已晚了。

因此若是你不得已将账号及密码借给他人，也希望你能在最短的时间内更改原来的密码，以避免他人用原来的密码登录你的账号。

（5）加强服务器主机的独立性：

只要是局域网络架构，一定有一台以上的主机服务器，提供所有计算机的连结并予以控制。

通常，这些计算机就是黑客攻击的目标。

因此，企业内部应该对于服务器主机的安全性加强控制，尽可能的将其独立，不要将重要的资料放置此处，利用某些方式将重要机密资料独立于其他机器，再另外由公司内部的网络进行连结。

（6）架构网络安全防卫系统：

有鉴于网络入侵的严重性，不少网络安全软件公司，致力开发并研究出不少防卫系统安全的技术，列举如下：

防火墙：

英文原名为Firewall。

它是一种文件在主机服务器与外界网络中间的“过滤器”。

其功能就是有效地阻绝外界非法存取内部资料。

资料加密：

网络上一些有心人士，会针对特定的资料在传输时，加以从中拦截，进而窃取机密文件。

因此为了防范这种状况发生，便是先把资料用钥匙（KEY）进行重新编码，使拦截者即使得到资料，也无法获知内容。

而这个钥匙则是由一连串的数字所组成。

认证身分：

最常见的方式就是在登录主机时，系统询问你账号及密码，以开放一定程度的使用权限。

然而，随着科技的进步，认证身份的方式千奇百怪，例如，指纹辨识、视网膜辨识、声音辨识、笔迹动态辨识等。

这都是为了取得更高的保防功能。

网络监控：

这是一种由监视封包资料传送情形，来适时提醒系统管理者，是否传送不正常现象的防范措施。

因为只要封包在传送期间，没有照着既定的路径进行，或是出现不正常现象，就有可能是遭到有心人士的拦截了。

2.网络服务的安全性

所谓网络服务是指一般人上网要做的事情。

例如，用浏览器在WWW上面获知讯息，以E-mail方式与远方的朋友联络，使用FTP传输文件或是Telnet到BBS站，与网友们聊个天南地北。

虽然网络上可以做这么多事，但只要稍不小心，可能你在不知不觉中，已经受到黑客的入侵了。

因此了解网络服务的安全性，是你必备的上网常识喔！

（1）WWW世界的陷阱：

当你在使用IE或Netscape浏览器遨游在WWW中时，必须要小心某些看似怪异，或者主题不明确的网站。

可别以为浏览网页不会有什么问题，殊不知点点网页上的按钮，也可以让黑客从你的计算机中将你的密码文件回传到自己的计算机中。

而且，这只是其中一种从WWW上窃取资料的方法。

（2）FTP：

FTP是一种文件传输的服务，通过网络上架设的FTP主机，管理者可以提供访客上传或下载文件的服务，但这也同样存在着资料被黑客恶意入侵破坏的风险。

而且这些网站有许多是所谓的“地下网站”，专门提供一些非法软件的取得服务，而这些软件由于来源不明，内含病毒或黑客程序的机率相当高，若没有高度的警觉心，你就很有可能成为黑客的下一个目标。

（3）E-mail：

E-mail恐怕是每个上网者必用的网络服务。

它强调实时、迅速、环保等多种优质条件的特性，使现在的人们大大地改变了以往用纸跟邮票来传送邮件的习惯。

不过E-mail是目前网络上传递病毒与黑客程序最佳的途径。

唯有加强自己本身的危机意识和网络安全常识，才能在享受这个科技带来的便利外，更能多一层安全上的保障。

（4）Telnet：

Telnet是一种远程登录的网络服务。

这个技术最常见的应用就是BBS。

只要你接触网络有一段时间，应该都见识过BBS的威力吧！

在一开始时，系统会要求你键入账号和密码，而当你键入数据时，这组账号及密码会以不加密的方式，直接送到提供服务的主机端。

这段过程，相当容易遭到有心人士的从中撷取资料，而对于一般人惯性的将许多账号及密码都设为同一组的缘故，恐怕这个损失将难以估计了。

（5）NEWS：

这是网络上供人讨论网站的新闻群组，由于这样的群组强调纯文字的特性，舍弃了图片与其他费时的网络资源，因此深获一般想上网获得实时讯息的朋友喜爱。

不过在NEWS上常常有许多内容及吸引人的广告文章，让人产生一种不劳而获的幻想。

若警觉性不高，可能你就中了黑客的圈套，而一步一步陷进去了。

三、操作系统安全配置

操作系统是你使用计算机的起点，所有对资料、文件的操作都需要通过操作系统来协同完成。

由于操作系统本身所存在的一些缺陷，使得黑客能在你的计算机系统中随意进出。

配置一个安全的计算机系统，将黑客“拒之门外”。

（一）Windows2000服务器安全配置

1.定制自己的Windows2000Server

（1）版本的选择：

Windows2000有各种语言的版本，对于我们来说，可以选择英文版或简体中文版。

强烈建议，在语言不成为障碍的情况下，请一定使用英文版。

要知道，微软的产品是以Bug&Patch而著称的，中文版的Bug远远多于英文版，而补丁一般还会迟至少半个月（也就是说一般微软公布了漏洞后你的机子还会有半个月处于无保护状况）。

（2）组件的定制：

Windows2000在默认情况下会安装一些常用的组件。

但是，正是这个默认安装是极度危险的你应该确切地知道你需要哪些服务，而且仅仅安装你确实需要的服务。

根据安全原则，最少的服务+最小的权限=最大的安全。

典型的Web服务器需要的最小组件选择是：

只安装IIS的ComFiles、IISSnap-In、WWWServer组件。

如果你确实需要安装其他组件，请慎重，特别是IndexingService、FrontPage2000ServerExtensions、InternetServiceManager（HTML）这几个危险服务。

（3）管理应用程序的选择：

选择一个好的远程管理软件是非常重要的事，这不仅仅是安全方面的要求，也是应用方面的需要。

Windows2000的终端服务是基于RDP（远程桌面协议）的远程控制软件，它速度快，操作方便，比较适合用来进行常规操作。

但是，终端服务也有其不足之处，由于它使用的是虚拟桌面，当你使用终端服务进行安装软件或重启服务器等与真实桌面交互的操作时，往往会出现哭笑不得的现象，例如，使用终端服务重启微软的认证服务器（Compaq,IBM等）可能会直接关机。

所以，为了安全起见，建议再配备一个远程控制软件作为辅助，与终端服务互补，如PcAnyWhere就是一个不错的选择。

2.正确安装Windows2000Server

（1）分区和逻辑盘的分配。

有一些朋友为了省事，将硬盘仅仅分为一个逻辑盘，所有的软件都装在C盘上。

建议最少建立两个分区，一个系统分区，一个应用程序分区，这是因为，微软的IIS经常会有泄漏源码/溢出的漏洞，如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取Admin。

推荐的安全配置是建立三个逻辑驱动器，第一个大于2GB，用来装系统和重要的日志文件，第二个放IIS，第三个放FTP，这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。

（2）安装顺序的选择：

Windows2000在安装中有几个顺序是一定要注意的：

首先，何时接入网络。

Windows2000在安装时有一个漏洞，在你输入Administrator密码后，系统就建立了ADMIN$的共享，但是并没有用你刚刚输入的密码来保护它，这种情况一直持续到你再次启动后，在此期间，任何人都可以通过ADMIN$进入你的机器；同时，只要安装一完成，各种服务就会自动运行，而这时的服务器是满身漏洞，非常容易进入的，因此，在完全安装并配置好Windows2000之前，一定不要把主机接入网络。

其次，补丁的安装。

补丁的安装应该在所有应用程序安装完之后，因为补丁程序往往要替换/修改某些系统文件，如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。

例如，IIS的HotFix就要求每次更改IIS的配置都需要安装。

3.端口

端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，端口配置正确与否直接影响到主机的安全。

一般来说，仅打开你需要使用的端口会比较安全，配置的方法：

打开“本地连接属性”对话框，依次点击“Internet协议（TCP/IP）→高级→选项→TCP/IP筛选→属性”，在打开的对话框中启用TCP/IP筛选。

4.IIS

IIS是微软的组件中漏洞最多的一个，所以IIS的配置是我们的重点：

（1）将＼Inetpub目录彻底删掉，然后在D盘建一个Inetpub目录，在IIS管理器中将主目录指向D:

＼Inetpub。

（2）将IIS安装时默认的Scripts等虚拟目录一概删除，如果你需要什么权限的目录可以自己建（特别注意写权限和执行程序的权限，没有必要千万不要给）。

（3）应用程序配置：

在IIS管理器中删除必须之外的任何无用映射。

（4）为了保险起见，你可以使用IIS的备份功能，将上面的设定全部备份下来，这样就可以随时恢复IIS的安全配置。

如果你怕IIS负荷过高导致服务器满负荷死机，也可以在性能中打开CPU限制，例如将IIS的最大CPU使用率限制在70%。

5.账号安全

Windows2000的账号安全是另一个重点，首先，默认安装允许任何用户通过空用户得到系统所有账号/共享列表，这个本来是为了方便局域网用户共享文件的，但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。

很多朋友都知道可以通过更改注册表HKEYLOCALMACHINE＼System＼CurrentControlSet＼Control＼LSA-RestrictAnonymous=1来禁止139空连接，实际上Windows2000的本地安全策略就有这样的选项RestrictAnonymous（匿名连接的额外限制），这个选项有三个值：

0：

None.Relyondefaultpermissions（无，取决于默认的权限）。

这个值是系统默认的，什么限制都没有，远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表等，对服务器来说这样的设置非常危险。

1：

DonotallowenumerationofSAMaccountsandshares（不允许枚举SAM帐号和共享）。

这个值是只允许非NULL用户存取SAM账号信息和共享信息。

2：

Noaccesswithoutexplicitanonymouspermissions（没有显式匿名权限就不允许访问）。

这个值是在Windows2000中才支持的，需要注意的是，如果你一旦使用了这个值，你的共享估计就全部完蛋，所以我推荐你还是设为1比较好。

好了，入侵者现在没有办法拿到我们的用户列表，我们的账户安全了……慢着，至少还有一个账户是可以跑密码的，这就是系统内建的Administrator。

怎么办？

在“计算机管理→用户账号”中右击Administrator，然后改名。

然后再来把HKEYLOCALMACHINE＼Software＼Microsoft＼WindowsNT＼CurrentVersion＼Winlogon项中的“Don'tDisplayLastUserName”串数据改成1，这样系统不会自动显示上次的登录用户名。

将服务器注册表＼HKEYLOCALMACHINE＼Software＼Microsoft＼WindowsNT＼CurrentVersion＼Winlogon项中的Don'tDisplayLastUserName串数据修改为1，隐藏上次登陆控制台的用户名。

6．安全日志

Windows2000的默认安装是不开启任何安全审核的。

请你到“本地安全策略”的“审核策略”中打开相应的审核。

推荐的审核是：

　　账户管理成功/失败

登录事件成功/失败

对象访问失败

策略更改成功/失败

特权使用失败

系统事件成功/失败

目录服务访问失败

账户登录事件成功/失败

与之相关的是在“账户策略”的“密码策略”中设定：

密码复杂性要求启用

密码长度最小值6位

强制密码历史5次

最长存留期30天

在”账户策略”的“账户锁定策略”中设定：

账户锁定3次错误登录

锁定时间20分钟

复位锁定计数20分钟

　　7.目录和文件权限

为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵，我们还必须设置目录和文件的访问权限，Windows2000的访问权限分为：

读取、写入、读取及执行、修改、列目录、完全控制。

在默认的情况下，大多数的文件夹对所有用户是完全敞开的，你需要根据应用的需要进行权限重设。

在进行权限控制时，请记住以下几个原则：

（1）权限是累计的：

如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限。

（2）拒绝的权限要比允许的权限高。

如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也不能访问这个资源。

（3）文件权限比文件夹权限高。

（4）仅给用户真正需要的权限，权限的最小化原则是安全的重要保障。

8.预防DoS

在注册表＼HKEYLOCALMACHINE＼SYSTEM＼CurrentControlSet＼Services＼Tcpip＼Parameters中更改以下值可以帮助你防御一定强度的DoS攻击：

名称类型值

SynAttackProtectREGDWORD2　　

EnablePMTUDiscoveryREGDWORD0　　

NoNameReleaseOnDemandREGDWORD1　　

EnableDeadGWDetectREGDWORD0　　

KeepAliveTimeREGDWORD300,000　　

PerformRouterDiscoveryREGDWORD0　　

EnableICMPRedirectsREGDWORD0　　

9.ICMP攻击

ICMP的风暴攻击和碎片攻击也是NT主机比较头疼的攻击方法，其实应付的方法也很简单，Windows2000自带一个Routing&RemoteAccess工具，这个工具初具路由器的雏形。

在这个工具中，我们可以轻易地定义输入输出包过滤器。

例如，设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文。

（二）Windows98安全配置

有时候，可能会有很多人共用一台计算机。

每个使用者都不愿意将包含自己隐私的文件让其他人看到，但