瑞星卡卡安全论坛

首页 » 技术交流区 » 入侵防御(HIPS) » 局域网中应对攻击与防御战略
鲁迪飞 - 2008-11-23 9:10:00
信息化进程中,大大小小的企业纷纷搭建了局域网,满足共享资源、协同工作、移动办公等需要。网络管理员们也非常重视网络的安全,但大家把更多的注意力用在防来自外部INTERNET的威胁。当大家把视线都投入外部的时候,来自内部的打击往往是毁灭性的。常言说家贼难防,这是因为来自局域网内部作案比较隐蔽性而导致难以防范。那来自内部的威胁有哪些呢?如何防呢?下面我们来看看局域网中的黑与防。
  一、来自局域网黑客工具的攻击
  1、黑篇
  基于局域网的黑客工具有很多,下面笔者以局域网查看工具V1.70”为例演示。这是一款功能强大的局域网工具,但是这么强大的功能如果被别有用心的人利用,就会对局域网内共享数据的安全产生威胁。
  (1).搜索局域网内计算机:局域网查看工具V1.70”的使用很简单,软件启动后可以选择搜索工作组、计算机、共享文件夹,也可以跳过这些步骤直接搜索所有在局域网内共享的文件。
  (2).搜索敏感资料:在搜索结果中我们可以看到,局域网中的所有共享资源一目了然,后面可以看到该共享资源所在计算机的IP地址,试着打开该共享文件夹,结果自然是不攻自破。(1)
   


   
    (3).
其他功能:另外攻击者可以通过该工具轻易地复制或者上传文件,如果被植入木马病毒那服务器或者客户端就被完全控制了。如果服务器或者客户端的密码不够强大,那么就可以很容易地通过该工具进行远程控制。

  2、防篇
  对于基于工具的攻击我们同样运用工具来预防,笔者以Lockdown来演示。Lockdown的功能比较强大,如果在局域网上有其他计算机连接到你的电脑上时,Lockdown会自动把对方和你之间的连接过程记录下来,使得对方的连接完全在你的监视之下。此时你不仅能够记录到对方的IP地址,还可以把对方主机的名称也一并记录下来。这样,即便被人非法入侵也可以根据记录顺藤摸瓜,拉出幕后黑手。另外,Lockdown还可以对有关局域网共享连接进行设定,而且可以监测所有连接到计算机用户的使用情况。
  (1).共享文件管理及设置:在局域网中可能有人会趁你不在的时候把一个很隐蔽的文件夹设置为共享,然后在通过这种方式侵入你的计算机,而一般情况下你是很难发现这些共享的文件夹,所以Lockdown就在这里显示了当前计算机所有共享的文件夹名称。仔细查看一下,如果其中有些文件夹并不是经你同意共享的,那就果断的将这个隐患关闭。
  (2).查看当前连接:Windows中一般无法查看出到底有哪些连接到你的计算机中,而在Lockdown的这个标签下就显示了当前所有连接到计算机上的用户,以及他们所进行的操作,比如进入了哪些文件夹,运行了哪些程序文件等等。同时,在窗口右边还提供了计算机建立连接的时间,IP地址、用户名等有用的信息,通过这个窗口能够很快了解到哪些非法用户登陆到你的计算机。 (2)
  


    (3).查看历史连接记录:也许在你外出的时候会有人使用你计算机中的资源那么怎样才能知道呢?通过这个标签就可以查看所有连接的详细记录情况。除去和当前共享连接一样拥有其他用户调用的文件资源、连接时间、IP地址和用户名信息之外,更增加了断开连接时间和连接总时间,这样能够更加完整地了解到别人对你计算机资源的使用情况。除了对局域网的防护外,Lockdown对常见木马的查杀也为那些疏于防范的用户加了一把锁。

二、抵挡Ping洪水攻击

  1、黑篇
  WINDOWS 提供一个PING程序,使用它可以测试网络是否连接,Ping洪水攻击也称为ICMP入侵,它是利用Windows系统的漏洞来入侵的。在工作中的命令行状态运行如下命令:
  “ping 192.168.1.1 -t -l 65500”192.168.1.1是局域网服务器的IP地址(如图3),这样就会不断地向服务发送大量的数据请求,如果局域网内的计算机很多,且同时都运行了命令:“ping 192.168.1.1 -t -l 65500”,想一想有什么结果呢?服务器将会因CPU使用率居高不下而崩溃,这种攻击方式也称DoS攻击(拒绝服务攻击),即在一个时段内连续向服务器发出大量请求,服务器来不及回应而死机。 (3)
   



   
    2
、防篇
  在抵挡PING洪水攻击,建议安装网络防火墙(如天网),在设置里面选择不允许别人用Ping命令探测本机(4)
  



当然也可在管理工具中打开本地安全策略,进入“IP安全策略进行IP安全配置。系统防火墙也可以防御ping攻击,在防火墙的高级设置“ICMP”选项卡下确认没有勾选允许传入的回显请求”(5)

   



用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; 360SE)
鲁迪飞 - 2008-11-23 9:10:00
三、防范IPC$入侵  1、黑篇
  一般局域网中的服务器都使用的是Windows 2000/2003 server系统,而客户端计算机使用的操作系统有Win2000 Pro/XP等。
  恶意攻击者在客户端首先用端口扫描软件进行扫描检测服务器的漏洞或者弱口令,然后实施攻击。比如X-Scan,进行相应的设置就可以检测到比如“sql server弱口令”、“nt-server弱口令”等敏感信息。当得到nt-server弱口令后,可在客户机的命令行状态窗口中输入命令:
  net use \\192.168.1.18\ipc$ "123" /user:administrator”来建立一IPC$对话,然后通过命令:copy m.exe \\192.168.1.18\c$上传木马,最后通过命令:net time \\192.168.1.18确定服务器当前时间,接着输入命令:at 13:56 \\192.168.1.18\c$\m.exe在服务器端运行木马,控制服务器。(图6)
  

    其次客户端也可以使用默认共享方式入侵服务器:在该客户机的网络邻居地址栏中输入\\server\admin$,便可进入服务器的系统目录,此时该用户可以删除件。若再输入\\server\d$,即可进入服务器上的D盘,此时该客户机用户已经具备服务器的管理员权限,这是相当危险的。居心叵测的人可以通过上传脚本或者木马创建管理员用户或者通过木马来控制服务器,其后果不堪设想。


    2、防篇
  Win2000/XP采用默认共享方式来方便远程维护,但同时也给了有心者可乘之机。怎么办?可能通过修改注册表来关闭默认共享,打开注册表编辑器,依次打开HKEY_L0CAl_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver,若系统为Win2000 Pro,则新建Autosharewks的DWORD值,并设键值为0;若系统为Win2000 Server,则新建Autoshareserver的DWORD值,并设键值为0。重新启动计算机后就关闭了默认共享。
  管理员怎么禁止IPS$空连接呢?在注册表编辑器找到子键HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA,修改Restrict Anony-mous的DWORD值为0000001。或者是运行命令:net share ipc$ /delete (图7)

   
     四、ARP欺骗
  1、黑篇
  ARP欺骗仅存在于局域网中,因为局域网是依赖MAC地址作为源地址、目的地址来传输数据帧的。在局域网传输数据过程中需要将IP地址转为对应的MAC地址用于数据帧传输,如果找不到请求的目标IP对应的MAC地址,则广播ARP request包请求解析该IP对应的MAC地址。恶意攻击者而在局域网中任意构造一个ARP包或者传播ARP病毒,这样导致局域网ARP欺骗。使得局域网地址解析故障,造成网络瘫痪。 实际网络中存在多样的欺骗方式,但都是通过广播精心构造的ARP包来修改PC端ARP缓存中的IP-MAC对应关系,只是选择了修改“源IP地址、源MAC地址、目的IP地址、目的MAC地址”其中某项实现欺骗目的。
  2、防篇
  (1).PC端:如果是windows系统在cmd模式下,执行arp-a,显示当前系统ARP缓存表,检查缓存中的IP-MAC对应关系是否正确,正常情况下IP-MAC是一一对应的。另外可先使用arp-d清除当前ARP缓存表,再开始观察是否存在ARP欺骗的情况。
  (2).网络设备端:通过show arp命令检测ARP缓存信息。如果某MAC地址对应多个IP地址,则说明该MAC地址的PC正在广播ARP欺骗包(如果某设备存在多IP地址,这种情况是正常的)。另一种恶意欺骗是该MAC地址域网中根本就不存在。
  (3).还有个比较简单的方法,装个sniffer监听网络中所有ARP包,由于ARP欺骗往往使用广播形式传播,即使在交换机环境下也明显能监听到某PC端正在狂发ARP包。下图是笔者用“科来网络分析系统”检测并定位到ARP毒源主机。(图8)
  



    (4).安装ARP防火墙,这样防火墙产品很多,比如彩影ARP防火墙、金山ARP防火墙、AntiARP-DNS防火墙、ARP卫士、360ARP防火墙。图9是笔者用360ARP防火墙检测到的ARP欺骗。(图9)


   
  (5).反欺骗,通过命令设置一个错误的网关地址,反欺骗ARP病毒,如图10。然后再添加一条静态路由,设置正确的网关如图11,用来正常的网络访问,并且比那条用来欺骗ARP病毒的那条路由的权限要高。(图10)(图11)
  



  五、嗅探
  1、黑篇
  局域网是监听嗅探的温床,这是由嗅探的原理决定的。攻击者在局域网内的一台主机、网关上放入监听程序,从而可以监听出网络的状态、数据流动情况以及传输数据的信息。因为在通常条件下,用户的所有信息,包括帐号和密码都是以明文的方式在网络上传输的。在局域网中进行嗅探技术门槛比较底,而且类似sniffer这样的嗅探工具非常多,几乎是傻瓜式的操作,因此,只要具有初步的TCP/IP知识的人利用嗅探程序获取用户的各种信息并不是一件很困难的事,危害极大。如下图是笔者在局域网中用sniffer嗅探到的某用户登陆FTP服务器时的用户名和密码。(图12)


   
     2、防篇
  (1).检测
  当局域网中存在用户的帐户密码被窃取的事件时,网络管理员就应该进行网络监听的检测。检测的方法是:用正确的IP地址和错误的物理地址ping某可疑的客户端,如果该客户端运行监听程序就会有响应。这是因为正常的机器不接收错误的物理地址,处理监听状态的机器能接收就会响应。其次,向网上发大量不存在的物理地址的包,由于监听程序要分析和处理大量的数据包会占用很多的CPU资源,这将导致性能下降。通过比较前后该机器性能加以判断。这种方法难度比较大。另外,使用反监听工具如antisniffer等进行检测 。
  (2).防范
  网络分段:从逻辑或物理上对网络分段,网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项措施。其目的是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法监听。
  数据加密:数据经过加密后,通过监听仍然可以得到传送的信息,但显示的是乱码如图13。使用加密技术的缺点是影响数据传输速度以及使用一个弱加密术比较容易被攻破。系统管理员和用户需要在网络速度和安全性上进行折中。
  划分VLAN:运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,可以防止大部分基于网络监听的入侵。
  总结:局域网中的“黑”与“防”永远是对立的,总是此消彼长,它们的斗争永远不会结束。作为网络管理员如何才能掌握斗争的主动权呢?做好安全部署,以预防为主,防在黑之前。当然,还要掌握一定的防黑技巧,在不幸被黑后能分析原因,找到根源维护局域网的安全

参考:www.wxbenet.com
帅哥阿福 - 2008-11-23 9:16:00
学习了,谢楼主分享。
1
查看完整版本: 局域网中应对攻击与防御战略