由于現在用XP的用戶相對多一點，所以以下基本都是針對XP的，當然有很多都是通用的，

由于考慮到新手，所以講的都是基礎的。

計算機個人密碼

添加一個合法用戶，盡量不使用管理員賬號登陸。這里告訴大家一個小技巧，把管理員賬號

的名稱（ADMINISTRATOR）改成一個不起眼的名字（控制面板-用戶帳戶里改）。

然后建立一個受限的用戶（名字設為admini）,限制他的種種操作，并設置繁雜的密碼；

還有設置復雜的口令，更改有助于防止口令蠕蟲輕易的進入系統。

二：禁用沒用的服務

關閉了這些服務不僅增加了安全系數，而且可以使你的愛機提速

不過當你遇到禁用了某些服務后有些東西不能用了就馬上去看看被禁用的服務的說明；

三：關閉不用的端口

如果覺得下面的端口所對應的服務沒用，那么就關了好了

下面是幾個常見的端口的關閉方法

1、139端口的關閉

139端口是NetBIOSSession端口，用來文件和打印共享

關閉139口聽方法是在“網絡和撥號連接”中“本地連接”中選取“Internet協議（TCP/IP）”

屬性,進入“高級TCP/IP設置”“WINS設置”里面有一項“禁用TCP/IP的NETBIOS”,打勾

就關閉了139端口。

2、445端口的關閉

修改注冊表，添加一個鍵值

HKEYLOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗

口建立一個SMBDeviceEnabled為REGDWORD類型鍵值為0

這樣就ok了

3、3389端口的關閉

xp：我的電腦上點右鍵選屬性一＞遠程,將里面的遠程協助和遠程桌面兩個選項框里的勾去掉。

\vin2000server開始一＞程序一＞管理工具一〉服務里找到TerminalServices服務項，

選中屬性選項將啟動類型改成手動，并停止該服務。

win2000pro開始一＞設置一＞控制面板一＞管理工具一＞服務里找到TerminalServices

服務項，選中屬性選項將啟動類型改成手動，并停止該服務。

四：漏洞檢測，補丁

下面是天網的一個檢測個人系統漏洞的網址，大家可以去檢測一下自己的系統

http://pfw.sky./news/info/list.php?sessid=&sortid=17

還有瑞星殺毒軟件也有檢測系統漏洞的功能（打開瑞星-工具-系統漏洞掃描）

當發現漏洞后就要去堵漏洞了，接卜來就是打補「，不僅可以增強兼容性外，更重要的是堵

上已發現的安全漏洞。但是不是打上所以的補丁就最好，最好當你下載前先看一下是什么內

容的，如果是你已經關閉了服的務之類的補「就不用下了。

卜一面是上海交大的下載頁面，安全系數高點，可以卜載系統未打的補丁

http://windowsupdate.sjtu.edu.cn/

五：殺毒軟件和防火墻

要系統安全，防火墻是很重要的，當然，有了防火墻也不是沒事了，還要記得定時升級殺毒

軟件殺毒。一般一新期一次差不多了。

建議不要裝過多的防火墻和殺毒軟件，這樣可以加快啟動，也可以避免某些沖突。下面的防

火墻和殺毒軟件是新手區推薦的

http://hackbase,com/bbs/viewthread.php?tid=34405

六：數據備份

系統還原是默認打開的，它會自動備分，當遇到不可解決的問題時，可以嘗試一下系統還原,

而不用重裝系統。開始-運行輸入msconfig在一般這項里有“開始系統還原一項”如果要還

原就點這里了；

一旦黑客定位了你的網絡，他通常會選定?個H標進行滲透。通常這個目標會是安全漏洞最

多或是他擁有最多攻擊工具的主機。非法入侵系統的方法有很多，你應當對這些方法引起注

--艇

屈、O

常見攻擊類型和特征

攻擊特征是攻擊的特定指紋。入侵監測系統和網絡掃描器就是根據這些特征來識別和防

范攻擊的。下面簡要回顧一些特定地攻擊滲透網絡和主機的方法。

常見的攻擊方法

你也許知道許多常見的攻擊方法，下面列出了?些：

?字典攻擊：黑客利用一些自動執行的程序猜測用戶命和密碼，審計這類攻擊通常需要

做全面的日志記錄和入侵監測系統（IDS）。

?Man-in-the-middle攻擊：黑客從合法的傳輸過程中嗅探到密碼和信息。防范這類攻

擊的有效方法是應用強壯的加密。

?劫持攻擊：在雙方進行會話時被第三方（黑客）入侵，黑客黑抻其中?方，并冒充他

繼續與?另一方進行會話。雖然不是個完全的解決方案，但強的驗證方法將有助于防范這種攻

擊。

-病毒攻擊：病毒是能夠自我復制和傳播的小程序，消耗系統資源。在審計過程中，你

應當安裝最新的反病毒程序，并對用戶進行防病毒教育。

?非法服務：非法服務是任何未經同意便運行在你的操作系統上的進程或服務。你會在

接下來的課程中學到這種攻擊。

?拒絕服務攻擊：利用各種程序（包括病毒和包發生器）使系統崩潰或消耗帶寬。

容易遭受攻擊的目標

最常遭受攻擊的目標包括路由器、數據庫、Web和FTP服務器，和與協議相關的服務，

如DNS、WINS和SMB。本課將討論這些通常遭受攻擊的目標。

路由器

連接公網的路由器由于被暴露在外，通常成為被攻擊的對象。許多路由器為便于管理使

用SNMP協議，尤其是SNMPvl,成為潛在的問題。許多網絡管理員未關閉或加密Telnet會話,

若明文傳輸的口令被截取，黑客就可以重新配置路由器，這種配置包括關閉接口，重新配置

路山跳計數等等。物理安全同樣值得考慮。必須保證路由器不能被外人物理接觸到進行終端

會話。

過濾Telnet

為了避免未授權的路由器訪問，你應利用防火墻過濾掉路由器外網的telnet端口和

SNMP[161,162]端口

技術提示：許多網絡管理員習慣于在配置完路由器后將Telnet服務禁止抻，因為路由器

并不需要過多的維護工作。如果需要額外的配置，你可以建立物理連接。

路由器和消耗帶寬攻擊

最近對Yahoo、e-Bay等電子商務網站的攻擊表明迅速重新配置路由器的重要性。這些攻

擊是由下列分布式拒絕服務攻擊工具發起的：

?TribalFloodNetwork（TFN）

?TribalFloodNetwork（TFN2k）

,Stacheldraht（TFN的一個變種）

?Trinoo（這類攻擊工具中最早為人所知的）

因為許多公司都由ISP提供服務，所以他們并不能直接訪問路由器。在你對系統進行審

計時，要確保網絡對這類消耗帶寬式攻擊的反映速度。你將在后面的課程中學習如何利用路

由器防范拒絕服務攻擊。

數據庫

黑客最想得到的是公司或部門的數據庫。現在公司普遍將幣:要數據存儲在關系型或面向

對象的數據庫中，這些信息包括：

?雇員數據，如個人信息和薪金情況。

?市場和銷售情況。

?重要的研發信息。

?貨運情況。

黑客可以識別并攻擊數據庫。每種數據庫都有它的特征。如SQLServer使用1433/1434

端口，你應該確保防火墻能夠對該種數據庫進行保護。你會發現，很少有站點應用這種保護,

尤其在網絡內部。

服務器安全WEB和FTP這兩種服務器通常置于DMZ,無法得到防火墻的完全保護，所以也

特別容易遭到攻擊。Web和FTP服務通常存在的問題包括：

?用戶通過公網發送未加密的信息；

?操作系統和服務存在眾所周知的漏洞導致拒絕服務攻擊或破壞系統；

?舊有操作系統中以root權限初始運行的服務，一旦被黑客破壞，入侵者便可以在產

生的命令解釋器中運行任意的代碼。

Web頁面涂改

近來，未經授權對Web服務器進行攻擊并涂改缺省主頁的攻擊活動越來越多。許多企業、

政府和公司都遭受過類似的攻擊。有時這種攻擊是出于政治目的。大多數情況下Web頁面的

涂改意味著存在這入侵的漏洞。這些攻擊通常包括Man-in-the-middle攻擊（使用包嗅探器）

和利用緩沖區溢出。有時，還包括劫持攻擊和拒絕服務攻擊。

郵件服務

廣泛使用的SMTP、POP3和IMAP一般用明文方式進行通信。這種服務可以通過加密進行

驗證但是在實際應用中通信的效率不高。乂由于大多數人對多種服務使用相同的密碼，攻擊

者可以利用嗅探器得到用戶名和密碼，再利用它攻擊其它的資源，例如WindowsNT服務器。

這種攻擊不僅僅是針對NT系統。許多不同的服務共享用戶名和密碼。你已經知道?個薄弱環

節可以破壞整個的網絡。FTP和SMTP服務通常成為這些薄弱的環節。

與郵件服務相關的問題包括:

?利用字典和暴力攻擊POP3的loginshell；

?在一些版本中sendmai1存在緩沖區溢出和其它漏洞；

?利用E-mail的轉發功能轉發大量的垃圾信件

名稱服務

攻擊者通常把攻擊焦點集中在DNS服務上。由于DNS使用UDP,而UDP連接又經常被各

種防火墻規則所過濾，所以許多系統管理員發現將DNS服務器至于防火墻之后很困難。因此,

DNS服務器經常暴露在外，使它成為攻擊的目標。DNS攻擊包括：

?未授權的區域傳輸；

?DNS毒藥，這種攻擊是指黑客在主DNS服務器向輔DNS服務器進行區域傳輸時插入錯誤的

DNS信息，?旦成功，攻擊者便可以使輔DNS服務器提供錯誤的名稱到IP地址的解析信息；

?拒絕服務攻擊；

其它的一些名稱服務也會成為攻擊的目標，如下所示：

?WINS,“Coke”通過拒絕服務攻擊來攻擊沒有打補丁的NT系統。

?SMB服務（包括Windows的SMB和UNIX的Samba）這些服務易遭受Man-in-the-middle

攻擊，被捕獲的數據包會被類似LOphtCrack這樣的程序破解。

?NFS和NIS服務。這些服務通常會遭受Man-in-the-middle方式的攻擊。

在審計各種各樣的服務時，請考慮升級提供這些服務的進程。

審計系統BUG

作為安全管理者和審計人員，你需要對由操作系統產生的漏洞和可以利用的軟件做到心

中有數。早先版本的MicrosoftHS允許用戶在地址欄中運行命令，這造成了IIS主要的安

全問題。其實，最好的修補安全漏洞的方法是升級相關的軟件。為了做到這些，你必須廣泛

地閱讀和與其他從事安全工作的人進行交流，這樣，你才能跟上最新的發展。這些工作會幫

助你了解更多的操作系統卜一的特定問題。

雖然大多數的廠商都為其產品的問題發布了修補方法，但你必須充分理解補上了哪些漏

洞。如果操作系統或程序很復雜，這些修補可能在補上舊問題的同時又開啟了新的漏洞。因

此，你需要在實施升級前進行測試。這些測試工作包括在隔離的網段中驗證它是否符合你的

需求。當然也需要參照值得信賴的網絡刊物和專家的觀點。

審計TrapDoor和RootKit

Rootkit是用木馬替代合法程序。TrapDoor是系統上的bug,當執行合法程序時卻產

生了非預期的結果。如老版本的UNIXsendmail,在執行debug命令時允許用戶以root權限

執行腳本代碼，一個收到嚴格權限控制的用戶可以很輕易的添加用戶賬戶。

雖然rootkit通常出現在UNIX系統中，但攻擊者也可以通過看起來合法的程序在

WindowsNT中置入后門。象NetBus,BackOrifice和MastersofParadise等后門程序可以

使攻擊者滲透并控制系統。木馬可以由這些程序產生。如果攻擊者夠狡猾，他可以使這些木

馬程序避開一些病毒檢測程序，當然用最新升級的病毒檢測程序還是可以發現它們的蹤跡。

在對系統進行審計時，你可以通過校驗分析和掃描開放端口的方式來檢測是否存在rootkit

等問題。

審計和后門程序

通常，在服務器匕運行的操作系統和程序都存在代碼上的漏洞。例如，最近的商業Web

瀏覽器就發現了許多安全問題。攻擊者通常知道這些漏洞并加以利用。就象你己經知道的

RedButton,它利用了WindowsNT的漏洞使攻擊者可以得知缺省的管理員賬號，即使賬號的

名稱已經更改。后門（backdoor）也指在操作系統或程序中未記錄的入口。程序設計人員為

了便于快速進行產品支持有意在系統或程序中留下入口。不同于bug,這種后門是由設計者

有意留下的。例如，像Quake和Doom這樣的程序含有后門入口允許未授權的用戶進入游戲安

裝的系統。雖然看來任何系統管理員都不會允許類似的程序安裝在網絡服務器匕但這種情

況還是時有發生。

從后門程序的危害性，我們可以得出結論，在沒有首先閱讀資料和向值得信賴的同事咨

詢之前不要相信任何新的服務或程序。在你進行審計時，請花費一些時間仔細記錄任何你不

了解它的由來和歷史的程序。

審計拒絕服務攻擊

WindowsNT易遭受拒絕服務攻擊，主要是由于這種操作系統比較流行并且沒有受到嚴格

的檢驗。針對NT服務的攻擊如此頻繁的原因可以歸結為：發展勢頭迅猛但存在許多漏洞。在

審計WindowsNT網絡時，?定要花時間來驗證系統能否經受這種攻擊的考驗。打補丁是?種

解決方法。當然，如果能將服務器置于防火墻的保護之下或應用入侵監測系統的話就更好了。

通常很容易入侵UNIX操作系統，主要因為它被設計來供那些技術精湛而且心理健康的人使

用。在審計UNIX系統時，要注意Finger服務，它特別容易造成緩沖區溢出。

緩沖區溢出

緩沖區溢出是指在程序重寫內存塊時出現的問題。所有程序都需要內存空間和緩沖區來

運行。如果有正確的權限，操作系統可以為程序分配空間。C和C++等編程語言容易造成緩沖

區溢出，主要因為它們不先檢查是否有存在的內存塊就直接調用系統內存。一個低質量的程

序會不經檢查就重寫被其它程序占用的內存，而造成程序或整個系統死掉，而留下的shell

有較高的權限，易被黑客利用運行任意代碼。

據統計，緩沖區溢出是當前最緊迫的安全問題。要獲得關于緩沖區溢出的更多信息，請

訪問Http:〃www-4.ibm.com/software/de…verflows/index.heml

Telnet的拒絕服務攻擊

Windows中的Telnet一直以來都是網絡管理員們最喜愛的網絡實用工具之一，但是一個

新的漏洞表明，在Windows2000中Telnet在守護其進程時，在已經被初始化的會話還未被復

位的情況卜很容易受到一種普通的拒絕服務攻擊。Telnet連接后，在初始化的對話還未被復

位的情況下，在一定的時間間隔之后，此時如果連接用戶還沒有提供登錄的用戶名及密碼，

Telnet的對話將會超時。直到用戶輸入一個字符之后連接才會被復位。如果惡意用戶連接到

Windows2000的Telnet守護進程中，并且對該連接不進行復位的話，他就可以有效地拒絕其

他的任何用戶連接該Telnet服務器，主要是因為此時Telnet的客戶連接數的最大值是1。

在此期間任何其他試圖連接該Telnet服務器的用戶都將會收到如下錯誤信息：

MicrosoftWindowsWorkstationallowsonly1TelnetClientLicenseServerhas

closedconnection

察看“列出當前用戶”選項時并不會顯示超時的會話，因為該會話還沒有成功地通過認

證。

WindowsNT的TCPport3389存在漏洞

WindowsNTServer4.0終端服務器版本所作的DoS攻擊。這個安全性弱點讓遠端使用

者可以迅速的耗盡WindowsNTTerminalServer上所有可用的內存，造成主機上所有登陸

者斷線，并且無法再度登入。

說明：

1.WindowsNTServer4.0終端服務器版本在TCPport3389監聽終端連接(terminal

connection),一旦某個TCP連接連上這個端口，終端服務器會開始分配系統資源，以處理

新的客戶端連接，并作連接的認證工作。

2.此處的漏洞在于：在認證工作完成前，系統需要撥出相當多的資源去處理新的連接,

而系統并未針對分配出去的資源作節制。因此遠端的攻擊者可以利用建立大量TCP連接到

port3389的方法，造成系統存儲體配置達到飽和。

3.此時服務器上所有使用者連接都會處于超時狀態，而無法繼續連接到服務器匕遠端

攻擊者仍能利用一個僅耗用低頻寬的程式，做出持續性的攻擊，讓此服務器處於最多記憶體

被耗用的狀態，來避免新的連接繼續產生。

4.在國外的測試報告中指出，長期持續不斷針對此項弱點的攻擊，甚至可以導致服務器

持續性當機，除非重新開機，服務器將無法再允許新連接的完成。

解決方案:

1.以卜是修正程序的網址：

ftp://ftp.microsoft.com/bussys/w…sa/NT40tse/hotfixespostSP4/F1ood-fix/

［注意］:因為行數限制，上面網址請合并為行。

2.更詳細資料請參考Microsoft網站的網址：

http:〃www.microsoft.com/security/bulletins/ms99-028.asp.

防范拒絕服務攻擊

你可以通過以卜方法來減小拒絕服務攻擊的危害：

?加強操作系統的補丁等級。

?如果有雇員建立特定的程序，請特別留意代碼的產生過程。

?只使用穩定版本的服務和程序。

審計非法服務，特洛伊木馬和蠕蟲

非法服務開啟一個秘密的端口，提供未經許可的服務，常見的非法服務包括：

,NetBus

?BackOrifice和BackOrifice2000

,Girlfriend

?冰河2.X

?秘密的建立共享的程序

許多程序將不同的非法服務聯合起來。例如，Back0rifice2000允許你將HTTP服務配置

在任意端口。你可以通過掃描開放端口來審計這類服務，確保你了解為什么這些端口是開放

的。如果你不知道這些端口的用途，用包嗅探器和其它程序來了解它的用途。

技術提示：不要混淆非法服務和木馬。木馬程序通常包含非法服務，而且，木馬程序還

可以包含擊鍵記錄程序，蠕蟲或病毒.

特洛伊木馬

特洛伊木馬是在執行看似正常的程序時還同時運行了未被察覺的有破壞性的程序。木馬

通常能夠將重要的信息傳送給攻擊者。攻擊者可以把任意數量的程序植入木馬。例如，他們

在一個合法的程序中安放rootkit或控制程序。還有一些通常的策略是使用程序來捕獲密碼

和口令的hash值。類似的程序可以通過E-mail把信息發送到任何地方。

審計木馬

掃描開放端口是審計木馬攻擊的途徑之一。如果你無法說明一個開放端口用途，你也許

就檢測到一個問題。所以，盡量在你的系統上只安裝有限的軟件包，同時跟蹤這些程序和服

務的漏洞。許多TCP/IP程序動態地使用端口，因此，你不應將所有未知的端口都視為安全漏

洞。在建立好網絡基線后，你便可以確定哪些端口可能存在問題了。

蠕蟲

Melissa病毒向我們展示了TCP/IP網絡是如何容易遭受蠕蟲攻擊的。在你審計系統時，

通常需要配置防火墻來排除特殊的活動。防火墻規則的設置超出了本術的范圍。但是，作為

審計人員，你應當對建議在防火墻上.過濾那些從不信任的網絡來的數據包和端口有所準備。

蠕蟲靠特定的軟件傳播。例如，在2000年三月發現的Win32/Melting.worm蠕蟲只能攻

擊運行MicrosoftOutlook程序的Windows操作系統。這種蠕蟲可以自行傳播，癱瘓任何種

類的Windows系統而且使它持續地運行不穩定。

結合所有攻擊定制審計策略

攻擊者有兩個共同的特點。首先，他們將好幾種不同的方法和策略集中到一次攻擊中。

其次，他們在?次攻擊中利用好幾種系統。綜合應用攻擊策略可以增強攻擊的成功率。同時

利用好幾種系統使他們更不容易被捕獲。

例如，在實施IP欺騙時，攻擊者通常會先實施拒絕服務攻擊以確保被攻擊主機不會建立

任何連接。大多數使用Man-in-the-middle的攻擊者會先捕獲SMB的密碼，再使用LOphtCrack

這樣的程序進行暴力破解攻擊。

滲透策略

你已經了解到那些網絡設備和服務是通常遭受攻擊的目標和黑客活動的攻擊特征。現在,

請參考下列的一些場景。它們將有助于你在審計過程中關注那些設備和服務。請記住，將這

些攻擊策略結合起來的攻擊是最容易成功的。

物理接觸

如果攻擊者能夠物理接觸操作系統，他們便可以通過安裝和執行程序來使驗證機制無效。

例如，攻擊者可以重啟系統，利用其它啟動盤控制系統。由于?種文件系統可以被另種所

破壞，所以你可以使用啟動盤獲得有價值的信息，例如有管理權限的賬號。

物理攻擊的簡單例子包括通過重新啟動系統來破壞Windows95或98的屏幕鎖定功能。更

簡單的物理攻擊是該系統根本就沒有進行屏幕鎖定。

操作系統策略

近來，美國白宮的Web站點(http:〃www.whitehouse,gov)被?個缺乏經驗的攻擊者黑

掉。攻擊者偵查出該Web服務器(wwwl.whitehouse,gov)運行的操作系統是Solaris7。雖

然Solaris7被成為藝術級的操作系統，但管理員并沒有改變系統的缺省設置。雖然該站點

的管理員設置了tripwire,但攻擊者還是使用phf/ufsrestore命令訪問了Web服務器。

較弱的密碼策略

上面白宮網站被黑的例子可能是由于該系統管理員使用FTP來升級服務器。雖然使用FTP

來更新網站并沒有錯，但大多數FTP會話使用明文傳輸密碼。很明顯，該系統管理員并沒有

意識到這種安全隱患。又由于大多數系統管理員在不同的服務上使用相同的密碼，這使攻擊

者能夠獲得系統的訪問權。更基本的，你可以保證/etc/passwd文件的安全。

NetBIOSAuthenticationTool(NAT)

當攻擊者以WindowsNT為H標時，他們通常會使用NetBIOSAuthenticationTool(NAT)

來測試弱的口令。這個程序可以實施字典攻擊。當然它也有命令行界面，這種界面的攻擊痕

跡很小。而且命令行界面的程序也很好安裝和使用。在使用NAT時，你必須指定三個文本文

件和IP地址的范圍。當然，你也可以指定一個地址。NAT使用兩個文本文件來實施攻擊而第

三個來存儲攻擊結果。第?個文本文件包含?個用戶列表，第二個文件中是你輸入的猜測密

碼。

當使用命令行版本時，語法格式為：

nat-uusername,txt-ppasswordlist,txt-ooutputfile,txt

即使服務器設置了密碼的過期策略和鎖定，攻擊者還是可以利用NAT反復嘗試登錄來騷

擾管理員。通過簡單地鎖定所有已知的賬號，攻擊者會極大地影響服務器的訪問，這也是一

些系統管理員不強行鎖定賬號的原因。

較弱的系統策略

到此為止，你已經學習了一些外部攻擊。然而，對于管理員來說最緊迫的是大多數公司

都存在不好的安全策略。如果安全策略很弱或干脆沒有安全策略，通常會導致弱的密碼和系

統策略。通常，公司并不采取簡單的預防措施，比如需要非空的或有最小長度要求的密碼。

忽略這些限制會給攻擊者留下很大的活動空間。

審計文件系統漏洞

不論你的操作系統采取何種文件系統(FAT,NTFS或NFS),每種系統都有它的缺陷。例

如，缺省情況下NTFS在文件夾和共享創建之初everyone組可完全控制。由于它是操作系統

的組成部分(WindowsNT),因此也成為許多攻擊的目標。NFS文件系統可以共享被遠程系統

掛接，因此這也是攻擊者入侵系統的途徑之一。

IP欺騙和劫持：實例

IP欺騙是使驗證無效的攻擊手段之一，也是如何組合攻擊策略攻擊網絡的典型實例。1P

欺騙利用了Internet開放式的網絡設計和傳統的建立在UNIX操作系統之間信任關系。主要

的問題是使用TCP/IP協議的主機假設所有從合法IP地址發來的數據包都是有效的。攻擊者

可以利用這一缺陷，通過程序來發送虛假的IP包，從而建立TCP連接，攻擊者可以使一個系

統看起來象另一個系統。

許多UNIX操作系統通過rhosts和rlogin在非信任的網絡上(如Internet)建立信任

的連接。這種傳統的技術是流行的管理工具并減輕了管理負擔。通常，這種系統由于把UNIX

的驗證機制和IP地址使用相結合從而提供了適當的安全。然而，這種驗證機制是如此的獨立

于IP地址不會被偽造的假設，以至于很容易被擊破。

Non-blindspoofing和Blindspoofing

Non-blindspoofing是指攻擊者在同一-物理網段上操縱連接。Blindspoofing是指攻擊

者在不同的物理網段操縱連接。后者在實施上更困難，但也時常發生。

進行IP欺騙的攻擊者需要一些程序，包括：

?一個包嗅探器

?一個能夠同時終止TCP連接、產生另一個TCP連接、進行IP偽裝的程序

IP欺騙涉及了三臺主機。像先前分析的那樣，使用驗證的服務器必須信任和它建立連接

的主機。如果缺乏天生的安全特性，欺騙是非常容易的。

思考下列的場景，有三臺主機分別是A,B和C。A使用TCPSYN連接與合法用戶B初始?

個連接。但是B并沒有真正參與到這次連接中，因為C已經對B實施了拒絕服務攻擊。所以，

雖然A認為是在與B對話，但實際上是與C對話。IP欺騙實際上組合了兒種攻擊手法包括對

系統實施了拒絕服務攻擊，還包括利用驗證技術。

作為審計人員，你不應該說服管理員終止這種信任關系，相反，你應當建議使用防火墻

規則來檢測有問題的包。

TCP/IP序列號生成方法

TCP的InitialSequenceNumber(ISN)的預測

正常的TCP連接基于一個三次握手(3-wayhandshake),一個客戶端(Client)向服務器

(Server)發送一個初始化序列號ISNc,隨后，服務器相應這個客戶端ACK(ISNc),并且發送

自己的初始化序列號ISNs,接著，客戶端響應這個ISNs(如卜圖)，三次握手完成。

C--〉S:(ISNc)

S-->C:ACK(ISNc)+ISNs

C-->S:ACK(ISNs)

C---〉S:data

and/or

S---〉C:data

下面，我以Windows2000AdvancedServer為例，來說一下兩臺主機是如何進行三次握

手。

我們可以看到：

1)Smartboy首先發送一個seq:32468329的包給服務器202.116.128.6?

2)然后,202.116.128.6響應主機Smartboy,它送給Smartboy自己的

seq:3333416325而且響應Smartboy的ack:3240689240。

3)Smartboy再響應服務器202.116.128.6,seq:3240689240,ack:3333416326o

三次握手完畢，兩臺兒建立起連接。

可以看出，在三次握手協議中，Clinet一定要監聽服務器發送過來的ISNs,TCP使用

的sequencenumber是一個32位的計數器，從0-4294967295。TCP為每一個連接選擇一個初

始序號ISN,為了防止因為延遲、重傳等擾亂三次握手，ISN不能隨便選取，不同系統有不同

算法。理解TCP如何分配ISN以及ISN隨時間變化的規律，對于成功地進行IP欺騙攻擊很重

要?

在Unix系統里，基于遠程過程調用RPC的命令，比如rlogin、rep、rsh等等，根據

/etc/hosts.equiv以及$H0ME/.rhosts文件進行安全校驗，其實質是僅僅根據源IP地址進行

用戶身份確認，以便允許或拒絕用戶RPC。這就給與了那些攻擊者進行IP地址欺騙的機會。

讓我們看X是如何冒充T來欺騙S,從而建立一個非法連接：

X——>S:SYNdSNx),SRC=T

S——>T:SYNdSNs),ACK(ISNT)(*)

X——>S:ACK(ISNs+l),SRC=T(**)

X——>S:ACK(ISNs+1),SRC=T,攻擊命令(可能是一些特權命令)

但是，T必須要在第(**)中給出ISNs,問題是ISNs在第(*)步中發給了T(X當然很

難截取到)，幸運的是，TCP協議有一個約定：ISN變量每秒增加250,000次，這個增加值在

許多版本比較舊的操作系統中都是一個常量，在FreeBSD4.3中是125000次每秒，這就給X

一個可乘之機。

看一下X是如何猜出ISNs:

a、首先，X發送一個SYN包來獲取服務器現在的ISNs

X-〉S:(ISNx)

S--〉X:ACK(ISNx)+ISNs#(1)

b、緊接著，X冒充T向服務器發送SYN包

X--)S:SYN(ISNx),SRC=T(2)

c、于是，服務器發出一個響應包給T(這個包X是收不到的)

S--〉T:SYN(ISNs$),ACK(ISNT)(3)

d、X計算ISNs$:

ISNs$=ISNs#+RTTXIncrementofISN(4)

其中,RTT(RoundTripTime),是一個包往返X和S所用的時間，可以通過Ping來得到。

上圖顯示了roundtriptimes(RTT)大概是0。

IncrementofISN是協議棧的初始序列號每秒鐘增加的值，以Unix為例，當沒有外部

連接發生時，服務器的1SN每秒增加128,000,有連接的時候，服務器的ISN每秒增加64,000。

e、于是，

X-->S:ACK（ISNs$）(冒充可信主機成功了)

x—>s:惡意的命令或竊取機密消息的命令

在評價以下的解決方案時有幾點要注意：

1.該解決方案是否很好地滿足TCP的穩定性和可操作性的要求？

2.該解決方案是否容易實現？

3.該解決方案對性能的影響如何？

4.該解決方案是否經得起時間的考驗？

以卜的幾種方案各有各的優點和缺點，它們都是基于增強ISN生成器的目標提出的。

配置和使用密碼安全協議

TCP的初始序列號并沒有提供防范連接攻擊的相應措施。TCP的頭部缺少加密選項用于強

加密認證，于是，■?種叫做IPSec的密碼安全協議的技術提出了。IPSec提供了一種加密技

術（Endtoendcryptographic）,使系統能驗證一個包是否屬于一個特定的流。這種加密技

術是在網絡層實現的。其它的在傳輸層實現的解決方案（如SSL/TLS和SSH1/SSH2）,只能

防止一個無關的包插入一個會話中，但對連接重置（拒絕服務）卻無能為力，原因是因為連

接處理是發生在更低的層。【PSec能夠同時應付著兩種攻擊（包攻擊和連接攻擊）。它直接集

成住網絡層的安全模型里面。

上面的解決方案并不需要對TCP協議做任何得修改，RFC2385（“基于TCPMD5簽名選項

的BGP會話保護）和其他的技術提供了增加TCP頭部的密碼保護，但是，卻帶來了收到拒絕服

務攻擊利互操作性和性能方面的潛在威脅。使用加密安全協議有幾個優于其它方案的地方。

TCP頭部加密防止了Hijacking和包擾亂等攻擊行為，而TCP層仍然能夠提供返回?個簡單

增加ISN的機制，使方案提供了最大程度的可靠性。但實現IPSec非常復雜，而且它需要客

戶機支持，考慮到可用性，許多系統都選擇使用RFC1948。

使用RFC1948

在RFC1948中，Bellovin提出了通過使用4-tuples的HASH單向加密函數,能夠使遠程

攻擊者無從下手（但不能阻止同一網段的攻擊者通過監聽網絡上的數據來判斷ISN）,

Newsham在他的論文［refnewsham］中提到：

RFC1948［refl］提出了一種不容易攻擊（通過猜測）的TCPISN的生成方法。此方法通

過連接標識符來區分序列號空間。每?個連接標識符由本地地址，本地端口，遠程地址，遠

程端口來組成，并由一個函數計算標識符分的序列號地址空間偏移值（唯一）。此函數不能被

攻擊者獲得，否則，攻擊者可以通過計算獲得ISN。于是，1SN就在這個偏移值上增加。ISN

的值以這種方式產生能夠抵受上面提到的對ISN的猜測攻擊。

一旦全局ISN空間由上述方法來生成，所有的對TCPISN的遠程攻擊都變得不合實際。

但是，需要指出的，即使我們依照RFC1948來實現ISN的生成器，攻擊者仍然可以通過特定

的條件來獲得ISN（這一點在后面敘述）.

另外,用加密的強哈希算法（MD5）來實現ISN的生成器會導致TCP的建立時間延長。所以，

有些生成器（如Linuxkernel）選擇用減少了輪數的MD4函數來提供足夠好的安全性同時

又把性能卜降變得最低。削弱哈希函數的一個地方是每幾分鐘就需要對生成器做一次re-key

的處理，經過了,次re-key的處理后，安全性提高了，但是，RFC793提到的可靠性卻變成

另一個問題。

我們已經知道，嚴格符合RFC1948的ISN生成方法有一個潛在的危機：

一個攻擊者如果以前合法擁有過一個IP地址，他通過對ISN進行大量的采樣，可以估計

到隨后的ISN的變化規律。在以后，盡管這個IP地址已經不屬于此攻擊者，但他仍然可以通

過猜測ISN來進行IP欺騙。

以下,我們可以看到RFC1948的弱點：

ISN=M+F（sip,sport,dip,dport,

）

其中

ISN32位的初始序列號

M單調增加的計數器

F單向散列哈希函數（例如MD4orMD5）

sip源IP地址

sport源端口

dip目的IP地址

dport目的端口

哈希函數可選部分，使遠程攻擊者更難猜到ISN.

ISN自身的值是按照一個常數值穩定增加的，所以F（）需要保持相對的穩定性。而根據

Bellovin所提出的，是個系統特定的值（例如機器的啟動時間，密碼，初始隨機數等），

這些值并不會經常變。

但是，如果Hash函數在實現上存在漏洞（我們無法保證一個絕對安全的Hash函數，況

且，它的實現又與操作系統密切相關），攻擊者就可以通過大量的采樣，來分析，其中，源

IP地址，源端口，目的IP地址，目的端口都是不變的，這減少了攻擊者分析的難度。

LinuxTCP的ISN生成器避免了這一點。它每5分鐘計算一次值,把泄漏的風險降到了最

低。

有個辦法可以做的更好：

<M=M+R(t)

ISN=M+F(sip,sport,dip,dport,)

其中

R(t)是一個關于時間的隨機函數

很有必要這樣做，因為它使攻擊者猜測ISN的難度更大了(弱點在理論上還是存在的)。

其它一些方法

構造TCPISN生成器的一些更直接的方法是：筒單地選取一些隨機數作為ISNo這就是

給定個32位的空間，指定lSN=R(t)。(假設R()是完全的非偽隨機數生成函數)

固然，對于完全隨機的ISN值，攻擊者猜測到的可能性是1/232是，隨之帶來的一個

問題是ISN空間里面的值的互相重復。這違反了許多RFC(RFC793,RFC1185,RFC1323,

RFC1948等)的假設一一ISN單調增加。這將對TCP協議的穩定性和可靠性帶來不可預計的問

題。

其它一些由NielsProvos(來自OpenBSD組織)結合完全隨機方法和RFC1948解決方

案：

ISN=((PRNG(t))?16)+R(t)32位

其中

PRNG(t)：一組隨機指定的連續的16位數字0x00000000—OxffffOOOO

R(t)：16位隨機數生成器(它的高位msb設成0)0x00000000—OxOOOOffff

上面的公式被用于設計OpenBsd的ISN生成器，相關的源代碼可以從下面的網址獲得

http://ww.openbsd.org/cgi-bin/cvsweb/src/...inet/tcp_subr.c

Provos的實現方法有效地生成了?組在給定時間內的不會重復的ISN的值，每兩個ISN

值都至少相差32K,這不但避免了隨機方法造成的ISN的值的沖突，而且避免了因為哈希函數

計算帶來的性能上的下降，但是，它太依賴于系統時鐘，?旦系統時鐘狀態給攻擊者知道了，

就存在著系統的全局ISN狀態泄密的危機。

TCPISN生成器的構造方法的安全性評估

ISN與PRNGs（偽隨機數生成器）

我們很難用一臺計算機去生成-些不可預測的數字，因為，計算機被設計成一種以重復

和準確的方式去執行一套指令的機器。所以，每個固定的算法都可以在其他機器上生成同樣

的結果。如果能夠推斷遠程主機的內部狀態，攻擊者就可以預測它的輸出；即使不知道遠程

主機的PNRG函數，但因為算法最終會使ISN回繞，按一定的規律重復生成以前的ISN,所以，

攻擊者仍然可以推斷ISN。幸運的是，目前條件下，ISN的重復可以延長到幾個月甚至幾年。

但是，仍然有部分PRNG生成器在產生500個元素后就開始回繞。解決偽隨機數的方法是引入

外部隨機源，擊鍵延時，I/O中斷，或者其它對攻擊者來說不可預知的參數。把這種方法和

一個合理的HASH函數結合起來，就可以產生出32位的不可預知的TCPISN的值，同時又隱

蔽了主機的PNRG的內部狀態。不幸的是，很少的TCPISN產生器是按這種思路去設計的，但

即使是這樣設計的產生器，也會有很多的實現上的漏洞使這個產生器產生的ISN具有可猜測

性。

RFC1948的建議提供了一種比較完善的方法，但是，對攻擊者來說，ISN仍然存在著可分

析性和猜測性。其中，PRNG的實現是個很關鍵的地方。

大多數的攻擊者都知道操作系統存放文件的缺省位置。如果部門的管理者使用Windows98操

作系統和MicrosoftWord,Excel或Access,他很可能使用、deskto\Mydocuments目錄。攻

擊者同樣知道\windows\start\menu\programs\startupH錄的重要性。攻擊者可能不知道誰

在使用操作系統或文件和目錄的布局情況。通過猜測電子表格，數據庫和字處理程序缺省存

儲文件的情況，攻擊者可以輕易地獲得信息。

雖然攻擊者無法通過瀏覽器控制系統，但這是建立控制的第一步。利用Cross-frame

browsingbug獲得的信息要比從網絡偵查和滲透階段獲得的信息更詳細。通過閱讀文件的內

容，攻擊者會從服務器上獲得足夠的信息，要想阻止這種攻擊手段，系統管理員必須從根本

上重新配置服務器。

審計UNIX文件系統

Rootkit充斥在互聯網上，很難察覺并清除它們。從本質上來說，rootkit是一種木馬。

大多數的rootkit用各種各樣的偵查和記錄密碼的程序替代了合法的Is,su和ps程序。審

計這類程序的最好方法是檢查象Is,su和ps等命令在執行時是否正常。大多數替代rootkit

的程序運行異常，或者有不同的的文件大小。在審計UNIX系統時，要特別注意這些奇怪的現

象。下表1列出了常見的UNIX文件的存放位置。

文件名

存放位置

根目錄

/sbin

管理命令

/bin

用戶命令；通常符號連接至/usr/bin

/usr

大部分操作系統

/usr/bin

大部分系統命令

/usr/local

本地安裝的軟件包

/usr/include

包含文件（用于軟件開發）

/usr/src

源代碼

/usr/local/src

本地安裝的軟件包的源代碼

/usr/sbin

管理命令的另一個存放位置

/var

數據（日志文件，假脫機文件）

/vr/log

日志文件

/export

被共享的文件系統

/home

用戶主目錄

/opt

可選的軟件

/tmp

臨時文件

/proc

虛擬的文件系統，用來訪問內核變量

審計WindowsNT

下列出了在WindowsNT中通常文件的存放位置

文件名

位置

\winnt

系統文件目錄；包含regedit.exe和注冊表日志

\winnt\system32

包含許多子目錄,包括config(存放security.log,event,log和application,log文件)

\winnt\profiles

存放與所有用戶相關的信息，包括管理配置文件

\winnt\system32\config

包含SAM和SAM.LOG文件，NT注冊表還包含密碼值

\inetpub

缺省情況下，包含HS4.0的文件，包括\ftproot,\wwroot

\programfiles

服務器上運行的大多數程序的安裝目錄

LOphtCrack工具

LOphtCrack被認為是對系統攻擊和防御的有效工具。它對于進行目錄攻擊和暴力攻擊十

分有效。它對于破解沒有使用像！@#￥%'&*()等特殊字符的密碼非常迅速。LOphtCrack可

以從http:〃www.lOpht.com上獲得。

LOpht使用文字列表對密碼進行字典攻擊，如果字典攻擊失敗，它會繼續使用暴力攻擊。

這種組合可以快速獲得密碼。LOpht可以在各種各樣的情況下工作。你可以指定IP地址來攻

擊WindowsNT系統。然而，這種方式需要首先登錄到H標機器。LOpht還可以對SAM數據庫

文件進行攻擊。管理員從\winnt\repair目錄拷貝出SAM賬號數據庫.第三中方式是配置運

行LOpht的計算機嗅探到密碼。LOpht可以監聽網絡匕傳輸的包含密碼的會話包，然后對其

進行字典攻擊。這種方式使用LOpht需要在類似WindowsNT這樣的操作系統之上，并且你還

需要物理地處于傳輸密碼的兩個操作系統之間。

JohntheRipper和Crack是在基于UNIX的操作系統上常見的暴力破解密碼的程序。這

兩個工具被用來設計從UNIX上獲取密碼。所有版本的UNIX操作系統都將用戶賬號數據庫存

放在/etc/passwd或/etc/shadow文件中。這些文件在所有UNIX系統中存放在相同的位置。

為了使UNIX正常運行，每個用戶都必須有讀取該文件的權限。

JohntheRipper和Crack是最常見的從shadow和passwd文件中獲得密碼的程序。這

些工具將所有的密碼組合與passwd或shadow文件中加密的結果進行比較。一旦發現有吻合

的結果就說明找到了密碼。

在你審計UNIX操作系統時，清注意類似的問題。雖然許多掃描程序，如NetRecon和ISS

InternetScanner可以模仿這種工具類型，許多安全專家還是使用I像LOpht和Johnthe

Ripper來實施審計工作。

信息重定向

一旦攻擊者控制了系統，他便可以進行程序和端口轉向。端口轉向成功后，他們可以操

控連接并獲得有價值的信息。例如，有些攻擊者會禁止像FTP的服務，然后把FTP的端口指

向另一臺計算機。那臺計算機會收到所有原來那臺主機的連接和文件。

相似的攻擊目標還包括重定向SMTP端口，它也允許攻擊者獲得重要的信息。例如，攻擊

者可以獲得所有使用SMTP來傳送E-mai1賬號的電子商務服務器的信息.即使這些傳輸被加

密，攻擊者還是可以獲得這些傳輸的信息并用字典攻擊這些信息。

通常，攻擊者滲透你的操作系統的目的是通過它來滲透到網絡上其它的操作系統。例如，

NASA服務器是攻擊者通常的攻擊目標，不僅因為他們想要獲取該服務器上的信息，更主要的

是許多組織都和該服務器有信任的連接關系，比如DepartmentofDefenseo

因此，許多情況下，攻擊者希望攻擊其它的系統。為了防止類似的情況發生，美國政府

要求那些直接連到政府部門的公司必須按照RainbowSeries的標準來實施管理。從1970年

開始，該系列標準幫助系統