典型IPC漏洞网络入侵研究及防范.docVIP

典型IPC漏洞网络入侵研究及防范摘要：该文分析了典型的IPC漏洞网络入侵攻击的过程，从系统策略、系统服务、计算机端口等方面研究，给出了防范策略及方法，通过批处理命令编制脚本程序并注入系统注册表中，使其启动系统时自动运行，实现阻止入侵的安全防护。 关键词：IPC漏洞；网络入侵；系统服务；端口；注册表；安全防护 中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）13-3006-06 随着计算机网络的快速发展，信息安全问题日趋严重。信息系统的安全指存储信息的计算机、数据库的安全和传输信息的网络的安全[1]。信息系统的安全包括1）机密性2）完整性3）可用性4）真实性。常见的安全威胁有特洛伊木马 、蠕虫、网络黑客入侵攻击、病毒攻击等 ，这些攻击往往是综合运用[2]。对于广大计算机用户了解攻击过程，并加以防范尤其重要。 1 网络入侵概述 网络入侵攻击已成为网络信息安全最大威胁，它包括系统漏洞攻击、网络报文嗅探、系统口令破解 、拒绝服务（DoS）攻击 、缓冲区溢出攻击、IIS溢出、格式化字符串攻击、SQL Injection攻击。 1.1网络入侵 使用相关计算机和网络技术来获得非法或未授权的网络或文件访问，入侵进入内部网或计算机的行为。网络攻击与入侵已经成为一种最为常见的网络犯罪手段。 1.2黑客（Hacker）”定义 是指网络的攻击者或非法侵入者。黑客攻击与入侵指未经他人许可利用计算机网络非法侵入内部网络和计算机，窃取或修改资料信息、破坏软硬件系统。 1.3 IPC$入侵 IPC$ 是共享“命名管道”的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。 1.4空会话 空会话是在没有信任的情况下与客户机建立的会话（即未提供用户名与密码），借助空连接可以列举目标主机上的用户和共享，访问 everyone 权限的共享等，通过空会话可以得到户列表，而大多数弱口令扫描工具就是利用这个用户列表来进行口令猜解的，掌握用户列表大大增加了猜解口令的成功率。 1.5端口 计算机”端口”是英文port的意译，可以认为是计算机与外界通讯交流的出口。软件领域的端口一般指网络中面向连接服务和无连接服务的通信协议端口，是一种抽象的软件结构，包括一些数据结构和I/O（基本输入输出）缓冲区。如果远程服务器没有监听 139 或 445 端口， IPC$ 会话是无法建立的 [3] 。 1.6身份验证 NTLM（NT LAN Manager）是微软提出了WindowsNT挑战/响应验证机制，NTLM是以当前用户的身份（本机的帐户和密码登录）向Telnet服务器发送登录请求的，如果当前用户和远程登录计算机身份不一致，操作将失败。NTLM身份验证选项有三个值。0：不使用NTLM身份验证。1：先尝试NTLM身份验证，如果失败，再使用用户名和密码。2：只使用NTLM身份验证。默认是2。 2 典型网络入侵 2.1确定攻击目标 攻击者在进行攻击之前首先要确定攻击要达到的目的，利用入侵工具，如x-scan等扫描网络中计算机，寻找目标计算机。 2.2收集信息 收集被攻击计算机的信息， 包括目标计算机所在网络的信息，目标计算机开放的端口、防火墙信息、开放的系统服务、用户信息、操作系统等。 2.3漏洞挖掘 根据收集的信息进行分析，是否有空密码的情况以及存在弱口令。一些重要端口如：137～139，445，3389等端口是否开启。 一些重要服务如：提供 RPC 支持、文件、打印以及命名管道共享的”Server”服务是否开启。Windows的用户名安全验证NTLM是否启用。Windows开启的默认盘共享，如：磁盘默认共享和系统Admin$共享情况。防火墙（Firewall）是否开启。 2.4攻击系统 破解用户的口令 ，登录目标系统，提升权限，浏览用户信息，种植并运行冰河、Radmin等木马程序，进行远程监控。 2.5留下后门 最好自己写后门程序，用别人的程序总是相对容易被发现。 2.6清除日志 攻击者在取得用户权限后，为了避免被发现，就要考虑清除用户主机的相关日志，因为日志 系统往往会记录攻击者的相关攻击过程和信息。Windows2000的日志文件通常有应用程序日志、安全日志、系统日志、DNS服务器日志、FTP 日志、WWW日志等等。 3 典型的ipc网络入侵攻击过程 1）用x-scan、Namp等入侵工具扫描网络 空口令计算机。”net user ＼＼ip地址＼ipc$