輕松斬斷入侵 局域網簡單攻防實錄

　　現在很多單位或公司都組建了自己的內部局域網，以此來共享資源，協同工作。大家注意得多的是如何保障局域網服務器的安全，防止來自互聯網的攻擊，而忽視了來自局域網內部的攻擊，常言說“家賊難防”，這是因為來自局域網內部作案比較隱蔽性而導致難以防范。那麼，到底這些搗蛋者會經常采用什麼常用手段呢？面對這些，我們不得不防，正所謂兵來將擋，水來土淹，跟我來……

　　一、小心局域網終結者

　　對於局域網用戶來說，最大的優點是可以共享局域網中的資源，但這有時候也會碰到麻煩，偏偏在要共享其他計算機上的共享資源時，卻無緣無故從網絡中斷開了，可過一會兒又通了，你說氣不氣，這就可能是局域網某一用戶在用“局域網終結者”把你的計算機從網絡中強行斷開了！

　　局域網終結者主界面窗口如圖1，其原理是：用於構造虛假ARP包來欺騙網絡主機，使得被指定的主機被從網絡中斷開；程序只對以路由作為劃分的同一局域內主機產生作用。使用方法也非常簡單，將目標IP地址加入到阻斷列表中即可。如果退出程序或將目標IP從列表中移除後目標主機將在30至60後恢復正常工作（有的系統可能需要更長時間）。

圖1

　　要注意的是，在使用局域網終結者之前請先安裝好WinPcap3.0。　　下載URL ?id=2779&down=1

　　二、防范共享資源入侵

　　一般局域網中的服務器都使用的是Win 2000 Server/WINDOWS XP系統，而客戶端計算機使用的操作系統有Win98或Win2000 Pro/XP等。 比如現在有一台客戶機已經登錄到域domain，，則它可使用默認共享方式入侵服務器：在該客戶機的網絡鄰居地址欄中輸入\\server\admin$，便可進入Win2000的系統目錄Win NT，此時該用戶可以刪除文件。若再輸入\\server\d$，即可進入服務器上的D盤，此時該客戶機用戶已經具備服務器的管理員權限，這是相當危險的。居心叵測的人可以通過新建Winstart.bat或者Wininit.ini文件，並在其中加入格式化C盤的語句，使系統丟失所有C盤文件； 或是在服務器的啟動項中加入現在任何流行木馬的啟動程序，後果也不堪設想。

　　Win2000/XP采用默認共享方式來方便遠程維護，但同時也給了有心者可乘之機。怎麼辦？可能通過修改注冊表來關閉默認共享，打開注冊表編輯器，依次打開HKEY_L0CAl_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver，若系統為Win2000 Pro，則新建Autosharewks的DWORD值，並設鍵值為0；若系統為Win2000 Server，則新建Autoshareserver的DWORD值，並設鍵值為0。重新啟動計算機後就關閉了默認共享。

　　不過不要以為這樣別人就不能通過共享來入侵服務器了，裝有Win2000平台的客戶機還可以通過IPS$的空連接入侵服務器。客戶機用戶可以先用端口掃描軟件，這裡以X-Scan 2.3為藍本，在“掃描參數”對話窗口中填入服務器的IP地址，在“掃描模塊”對話窗口中選擇“sql server弱口令”和“nt-server弱口令”，單擊“開始掃描”即開始探測，當得到nt-server弱口令後，可在客戶機的命令行狀態窗口中輸入命令：“net use \\192.168.0.1\ipc$ "wmgwmg" /user:snow”來建立一IPC$對話，運行命令：net user guest /active:yes 將Guest帳戶激活，然後運行命令：net localgroup administrators guest /add 將GUEST帳戶添加到管理員組（如圖2），然後設置好後門，這樣就可以進行遠程控制啦。

圖2

　　夠危險吧！管理員怎麼禁止IPS$空連接呢？在注冊表編輯器找到子鍵HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA，修改Restrict Anony-mous的DWORD值為0000001。或者是運行命令：net share ipc$ /delete

·局域網中無法相互訪問的解決方法·小型公司辦公局域網搭建實例·組建大學宿捨局域網不求人 有線篇·局域網速度慢的解決方法·網管必備 局域網常見十大錯誤及解決·局域網內查看 誰在訪問你的共享文件·如何有效測試局域網網速·超過253台機器的局域網如何設置IP(圖示·輕松控制局域網內P2P下載軟件·局域網的配置管理(1)—必備常識

　　三、抵擋Ping洪水攻擊

　　WINDOWS 提供一個PING程序，使用它可以測試網絡是否連接，偶在此講的Ping洪水攻擊也稱為ICMP入侵，它是利用Windows系統的漏洞來入侵的。在工作中的命令行狀態運行如下命令：“ping -1 65500 -t 192.168.0.1”，192.168.0.1是局域網服務器的IP地址（如圖3），這樣就會不斷地向服務發送大量的數據請求，如果局域網內的計算機很多，且同時都運行了命令：“ping -l 65500 -t 192.168.0.1”，想一想有什麼結果呢？呵呵~~~ 服務器將會因CPU使用率居高不下而崩潰，這種攻擊方式也稱DoS攻擊（拒絕服務攻擊），即在一個時段內連續向服務器發出大量請求，服務器來不及回應而死機。

圖3

　　在抵擋PING洪水攻擊，建議安裝網絡防火牆（如天網），在設置裡面選擇“不允許別人用Ping命令探測本機”。當然也可在“管理工具”中打開“本地安全策略”，進入“IP安全策略”進行IP安全配置。

　　網管員在保障網絡安全的同時，常常只重視來自網絡外的威脅，其實內網的安全同樣非常重要。我們在這裡舉幾個簡單的例子，希望以此引起大家的注意。