萬盛學電腦網

 萬盛學電腦網 >> 健康知識 >> 輕松斬斷入侵 局域網簡單攻防實錄

輕松斬斷入侵 局域網簡單攻防實錄

  現在很多單位或公司都組建了自己的內部局域網,以此來共享資源,協同工作。大家注意得多的是如何保障局域網服務器的安全,防止來自互聯網的攻擊,而忽視了來自局域網內部的攻擊,常言說“家賊難防”,這是因為來自局域網內部作案比較隱蔽性而導致難以防范。那麼,到底這些搗蛋者會經常采用什麼常用手段呢?面對這些,我們不得不防,正所謂兵來將擋,水來土淹,跟我來……

  一、小心局域網終結者

  對於局域網用戶來說,最大的優點是可以共享局域網中的資源,但這有時候也會碰到麻煩,偏偏在要共享其他計算機上的共享資源時,卻無緣無故從網絡中斷開了,可過一會兒又通了,你說氣不氣,這就可能是局域網某一用戶在用“局域網終結者”把你的計算機從網絡中強行斷開了!

  局域網終結者主界面窗口如圖1,其原理是:用於構造虛假ARP包來欺騙網絡主機,使得被指定的主機被從網絡中斷開;程序只對以路由作為劃分的同一局域內主機產生作用。使用方法也非常簡單,將目標IP地址加入到阻斷列表中即可。如果退出程序或將目標IP從列表中移除後目標主機將在30至60後恢復正常工作(有的系統可能需要更長時間)。

圖1

  要注意的是,在使用局域網終結者之前請先安裝好WinPcap3.0。  下載URL ?id=2779&down=1


  二、防范共享資源入侵

  一般局域網中的服務器都使用的是Win 2000 Server/WINDOWS XP系統,而客戶端計算機使用的操作系統有Win98或Win2000 Pro/XP等。 比如現在有一台客戶機已經登錄到域domain,,則它可使用默認共享方式入侵服務器:在該客戶機的網絡鄰居地址欄中輸入\\server\admin$,便可進入Win2000的系統目錄Win NT,此時該用戶可以刪除文件。若再輸入\\server\d$,即可進入服務器上的D盤,此時該客戶機用戶已經具備服務器的管理員權限,這是相當危險的。居心叵測的人可以通過新建Winstart.bat或者Wininit.ini文件,並在其中加入格式化C盤的語句,使系統丟失所有C盤文件; 或是在服務器的啟動項中加入現在任何流行木馬的啟動程序,後果也不堪設想。

  Win2000/XP采用默認共享方式來方便遠程維護,但同時也給了有心者可乘之機。怎麼辦?可能通過修改注冊表來關閉默認共享,打開注冊表編輯器,依次打開HKEY_L0CAl_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver,若系統為Win2000 Pro,則新建Autosharewks的DWORD值,並設鍵值為0;若系統為Win2000 Server,則新建Autoshareserver的DWORD值,並設鍵值為0。重新啟動計算機後就關閉了默認共享。

  不過不要以為這樣別人就不能通過共享來入侵服務器了,裝有Win2000平台的客戶機還可以通過IPS$的空連接入侵服務器。客戶機用戶可以先用端口掃描軟件,這裡以X-Scan 2.3為藍本,在“掃描參數”對話窗口中填入服務器的IP地址,在“掃描模塊”對話窗口中選擇“sql server弱口令”和“nt-server弱口令”,單擊“開始掃描”即開始探測,當得到nt-server弱口令後,可在客戶機的命令行狀態窗口中輸入命令:“net use \\192.168.0.1\ipc$ "wmgwmg" /user:snow”來建立一IPC$對話,運行命令:net user guest /active:yes 將Guest帳戶激活,然後運行命令:net localgroup administrators guest /add 將GUEST帳戶添加到管理員組(如圖2),然後設置好後門,這樣就可以進行遠程控制啦。

圖2

  夠危險吧!管理員怎麼禁止IPS$空連接呢?在注冊表編輯器找到子鍵HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA,修改Restrict Anony-mous的DWORD值為0000001。或者是運行命令:net share ipc$ /delete


·局域網中無法相互訪問的解決方法·小型公司辦公局域網搭建實例·組建大學宿捨局域網不求人 有線篇·局域網速度慢的解決方法·網管必備 局域網常見十大錯誤及解決·局域網內查看 誰在訪問你的共享文件·如何有效測試局域網網速·超過253台機器的局域網如何設置IP(圖示·輕松控制局域網內P2P下載軟件·局域網的配置管理(1)—必備常識

  三、抵擋Ping洪水攻擊

  WINDOWS 提供一個PING程序,使用它可以測試網絡是否連接,偶在此講的Ping洪水攻擊也稱為ICMP入侵,它是利用Windows系統的漏洞來入侵的。在工作中的命令行狀態運行如下命令:“ping -1 65500 -t 192.168.0.1”,192.168.0.1是局域網服務器的IP地址(如圖3),這樣就會不斷地向服務發送大量的數據請求,如果局域網內的計算機很多,且同時都運行了命令:“ping -l 65500 -t 192.168.0.1”,想一想有什麼結果呢?呵呵~~~ 服務器將會因CPU使用率居高不下而崩潰,這種攻擊方式也稱DoS攻擊(拒絕服務攻擊),即在一個時段內連續向服務器發出大量請求,服務器來不及回應而死機。

圖3

  在抵擋PING洪水攻擊,建議安裝網絡防火牆(如天網),在設置裡面選擇“不允許別人用Ping命令探測本機”。當然也可在“管理工具”中打開“本地安全策略”,進入“IP安全策略”進行IP安全配置。

  網管員在保障網絡安全的同時,常常只重視來自網絡外的威脅,其實內網的安全同樣非常重要。我們在這裡舉幾個簡單的例子,希望以此引起大家的注意。

copyright © 萬盛學電腦網 all rights reserved