隨著計(jì)算機(jī)的普及和網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，人們也越來(lái)越依賴于計(jì)算機(jī)和網(wǎng)絡(luò)。因此，網(wǎng)絡(luò)安全應(yīng)該也必須引起注意。網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)、網(wǎng)絡(luò)、通訊、密碼、信息安全、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科，涉及面極廣，而且不斷更新和發(fā)展。國(guó)家對(duì)信息產(chǎn)業(yè)的扶持，使國(guó)內(nèi)的網(wǎng)絡(luò)狀況逐漸好轉(zhuǎn)，更多的服務(wù)器的開通，更快的寬帶網(wǎng)得逐漸普及，各種各樣的攻擊行為在網(wǎng)上也越來(lái)越頻繁化和簡(jiǎn)單化。因此，網(wǎng)絡(luò)安全的嚴(yán)峻性對(duì)網(wǎng)絡(luò)管理員的水平提出了極高的要求。本文將詳細(xì)介紹各種系統(tǒng)最常見的一些安全問題以及對(duì)應(yīng)的解決辦法。

關(guān)于WindowsNT

 　　國(guó)內(nèi)站點(diǎn)中，NT站點(diǎn)最多，占91.4%，其余不足10%的多為類Unix系統(tǒng)（如SunOS、HP-Unix、SCO Unix、Linux、BSD Unix等）,而恰恰NT的漏洞最多。由于微軟的技術(shù)壟斷，NT的漏洞一般很難迅速、完美地解決。NT把用戶信息和加密口令保存與SAM文件中，即安全帳戶管理（Security Accounts Management)數(shù)據(jù)庫(kù)，由于NT的加密過程與Win9x一樣簡(jiǎn)單，因此NT口令比Unix(linux)口令更加脆弱，更容易受到一本簡(jiǎn)單黑客字典的攻擊。（NT5.0已改進(jìn)了它的加密程序，但國(guó)內(nèi)跑得最多的依然是NT4.0）。

 　　NT首當(dāng)其沖的漏洞就是SMB漏洞，其導(dǎo)致SAM數(shù)據(jù)庫(kù)和其他NT服務(wù)器及NT/9x工作站上的文件可能被SMB的后門所共享。SMB(Server Message Block 服務(wù)器消息塊）是微軟早期的LAN產(chǎn)品的一種繼承協(xié)議，即基于Windows95/98/NT平臺(tái)的共享功能。在LAN中，共享功能提供了網(wǎng)絡(luò)中硬盤，CDROM，打印機(jī)的資源共享，極大方便了網(wǎng)絡(luò)的使用。由于LAN局限在內(nèi)部使用，并未引起較大安全問題。當(dāng)LAN連上因特網(wǎng)，成為一個(gè)子網(wǎng)絡(luò)時(shí)，人們通常還是認(rèn)為，共享功能僅限于LAN使用，其實(shí)不然，通過因特網(wǎng)，是可以訪問到LAN中的共享資源。共享資源有兩種訪問方式，一種是只讀方式，另一種是完全訪問方式。通?；诜奖闶褂玫目紤]，共享資源都沒有設(shè)置口令，而且，有些還打開了完全訪問方式。這僅我知道的此類軟件就有老掉牙的Logion、Redbutton和NetHackerII。用這些軟件訪問LAN不需要Administrator訪問權(quán)或者交互式訪問權(quán)。NT在安裝后，每個(gè)磁盤都會(huì)缺省地被設(shè)置成共享，這時(shí)后，Internet和LAN上的任何人都可以用命令行方式連接服務(wù)器。如在開始-運(yùn)行里鍵入“\\IPADDRESS\C$,\\IPADDRESS\D&……”或在Dos下連接。當(dāng)前。對(duì)于使用SMB進(jìn)行NT組網(wǎng)，還沒有任何其他可選的方法。
 
　　建議：安裝NT后，立即修改磁盤共享屬性；嚴(yán)格控制共享，請(qǐng)加上復(fù)雜的口令；打印服務(wù)器應(yīng)認(rèn)真對(duì)待，任何人都可以通過SMB漏洞將你的打印驅(qū)動(dòng)替換成木馬或夾入病毒；安裝防火墻，截止從端口135到142的所有TCP和UDP連接，這樣有利于控制，其中包括對(duì)基于RPC工作于135端口的安全漏洞的控制。

另一大漏洞就是注冊(cè)表訪問漏洞。NT的缺省Registry權(quán)限有很多不恰當(dāng)之處。第一，Registry的缺省權(quán)限設(shè)置是對(duì)Everyone（所有人）的Full Control（完全控制）和Create（創(chuàng)建），這可能導(dǎo)致注冊(cè)表文件被不知情用戶或惡意用戶修改、刪除或替換。第二，NT的缺省狀態(tài)下是允許用戶遠(yuǎn)程訪問NT的注冊(cè)表。這將導(dǎo)致嚴(yán)重的安全隱患。
 
　　建議：立即關(guān)掉“遠(yuǎn)程注冊(cè)表造訪”，使用第三方的工具軟件如Enterprise Administrator來(lái)管理注冊(cè)表，必要時(shí)將其鎖住?；蚴謩?dòng)修改注冊(cè)表——在HKEY_Local_Machine\System\CurrentControlSet\Control\SecurePipeServer下添加Winreg項(xiàng)(Reg_SZ類型），再在其下添加Description值（Reg_SZ類型），輸入字符串“Registry sever",重啟計(jì)算機(jī)。

  　　NT的進(jìn)程定期處理機(jī)制有較大漏洞。NT允許非特權(quán)用戶運(yùn)行某些特別的程序，導(dǎo)致NT系統(tǒng)崩潰或者掛起。CPUHOG是一個(gè)只有5行的小程序，它可以使NT掛起；NTCrash與前者類似，這類軟件在Internet上到處可見。一些掃描器也可以使NT拒絕服務(wù)，如經(jīng)典的SATAN和InternetScanner,它們都可以使NT崩潰。甚至用一條簡(jiǎn)單的Ping命令（對(duì)，就是Win9x/Nt中的Ping）也可以服務(wù)器重啟。如“Ping -l 65524 host.domain.com ”。究其原因，在于NT對(duì)較大的ICMP包是很脆弱的，如果向NT發(fā)一條指定包大小為64K的Ping命令，NT的TCP/IP Stack將不會(huì)正常工作。此種情況會(huì)使系統(tǒng)離線工作，直至重啟。
 
　　建議：趕快去下載Service Pack 6，立即安裝。

  　　帳戶設(shè)置不合理也是人為的安全因素，如果和NT密碼的脆弱性聯(lián)合起來(lái)，又是一個(gè)嚴(yán)重的隱患。通常入侵者最感興趣的是Administrator帳戶，次之是Guest帳戶。因此，必須嚴(yán)格地設(shè)置域和帳戶。
 
　　建議：必須設(shè)置兩個(gè)或兩個(gè)以上的系統(tǒng)管理員帳戶，以免萬(wàn)一入侵者已得到最高權(quán)限并將口令更改。并且將原Administrator帳戶改名，加上復(fù)雜的口令，再設(shè)置一個(gè)沒有任何權(quán)限的假Administrator帳戶，以欺騙入侵者；取消Guest帳戶或者加上復(fù)雜的口令；設(shè)置口令嘗試次數(shù)上限，達(dá)到即鎖住該帳戶，以防止窮舉口令；關(guān)注系統(tǒng)日志，對(duì)大量Login失敗記錄應(yīng)保持警惕。

 　　LAN中的不友好用戶和惡意用戶也應(yīng)注意。通常LAN中的用戶得到管理員權(quán)限的成功概率高達(dá)70%，而其他用戶則不到5%，因?yàn)楸揪W(wǎng)用戶通常較熟悉管理員的工作習(xí)慣，而且窮舉口令在局域網(wǎng)中也比從互聯(lián)網(wǎng)上快得多（LAN中100次/秒，Internet中3-5次/秒）。“我用NetHackerII試著監(jiān)聽了本段局域網(wǎng)僅兩分鐘，就得到了一個(gè)叫“super99”的明文共享口令；而密文口令，可以保存成SMB文本，送L0phtCracker解密。L0phtCracker2.52 在48小時(shí)內(nèi)，幾乎能解90%以上的密碼（當(dāng)然要一個(gè)好字典哦:-)）。現(xiàn)在的入侵者在服務(wù)器久攻不下后，會(huì)用IP掃描器掃描服務(wù)器所在網(wǎng)段（如馮志宏大俠的“月光搜索”），得到本網(wǎng)段的工作站的IP，然后挨個(gè)嘗試，找出最脆弱的一臺(tái)攻擊，得手后即開始監(jiān)聽，伺機(jī)竊得管理員口令。而且在寬帶網(wǎng)逐漸普及的今天，攻擊的速度也越來(lái)越快。可能原來(lái)需要一個(gè)月跑出來(lái)的口令，現(xiàn)在只需一天或幾小時(shí)。
 
　　建議：采用Switch HUB 后就只能監(jiān)聽本網(wǎng)段；嚴(yán)格設(shè)定域和工作組，用拓?fù)浣Y(jié)構(gòu)將各個(gè)域分開。

另外，Modem撥入式訪問也應(yīng)引起注意。不要將電話號(hào)碼透露給任何人，不要將記有號(hào)碼的介質(zhì)隨意放置，并要給此種訪問加上口令。 NT在默認(rèn)狀況下用緊急修復(fù)盤更新后，整個(gè)SAM數(shù)據(jù)庫(kù)會(huì)被復(fù)制到%system%repair\sam._下，而且對(duì)所有人可讀。因此在修復(fù)后，立即將其改為對(duì)所有人不可讀。
 
關(guān)于泛Unix

 　　NT由于界面友好，操作簡(jiǎn)單，被中小型企業(yè)廣泛采用；而Unix由于對(duì)管理人員要求較高，常常用于大型企業(yè)和ISP。因此，若此類服務(wù)器被摧毀，損失將是驚人的。

 　　Unix系統(tǒng)中的/etc/passwd文件是整個(gè)系統(tǒng)中最重要的文件，它包含了每個(gè)用戶的信息（加密后的口令也可能存與/etc/shadow文件中）。它每一行分為7個(gè)部分，依次為用戶登錄名，加密過的口令，用戶號(hào)，用戶組號(hào)，用戶全名，用戶主目錄和用戶所用的Shell程序，其中用戶號(hào)（UID）和用戶組號(hào)（GID)用于Unix系統(tǒng)唯一地標(biāo)識(shí)用戶和同組用戶及用戶的訪問權(quán)限。這個(gè)文件是用DES不可逆算法加密的，只能用John之類的軟件窮舉，因此，此文件成為入侵者的首要目標(biāo)。通常黑客用FTP匿名登錄后將passwd Get回去，就用John開始跑了。所以一定要把此文件設(shè)為不可讀不可寫。另注意，opasswd或passwd.old是passwd的備份，它們可能存在，如果存在，一定也要設(shè)為不可讀不可寫

 　　文件許可權(quán)也是應(yīng)高度注意的問題。用ls -l 可以看到文件的權(quán)限。r表示可讀，w表示可寫，x表示可執(zhí)行；第一個(gè)rwx表示文件屬主的訪問權(quán)限，第二個(gè)rwx表示文件屬主同組用戶的訪問權(quán)限，第三個(gè)rwx表示其他用戶的訪問權(quán)限。改變文件的屬主和組名可用chown和chgrp,但修改后原屬主和組名就無(wú)法修改回來(lái)了。用ls -l看時(shí)，目錄前面有個(gè)d，在Unix中，目錄也是文件，所以目錄許可也類似與文件許可。

 　　用戶目錄下的.profile文件在用戶登錄時(shí)就被執(zhí)行，若此文件對(duì)其他人是可寫的則系統(tǒng)的任何用戶都能修改此文件，比如上傳木馬，加入后門。如“echo "++">.rhosts”就可隨意進(jìn)出其他用戶帳號(hào)，再開始攻擊，從而嫁禍他人。應(yīng)設(shè)置用戶ID許可和同組用戶ID許可；并將umask命令加入每個(gè)用戶的.profile文件，以避免特絡(luò)依木馬攻擊和各種模擬Login的誘騙。同時(shí)應(yīng)多用ls -l查看自己的目錄，包括以.開頭的文件。任何不屬于自己但存在于自己目錄的文件應(yīng)立即引起懷疑和追究。

 　　最好不設(shè)匿名帳戶或來(lái)賓帳戶（anonymouse & guest）如果一定要設(shè)，請(qǐng)?jiān)?etc/passwd中將其shell設(shè)為/bin/failure，使其不能訪問任何shell。（注意：Linux中是設(shè)為/bin/false）。打開chroot（如chroot -s）,使其訪問的文件限定在一定目錄下。

 　　作為root登錄后，應(yīng)時(shí)刻保持清醒，知道自己下一步該做什么，因?yàn)槟愕囊稽c(diǎn)微小的疏忽都可能給整個(gè)系統(tǒng)帶來(lái)不良后果 ，甚至導(dǎo)致系統(tǒng)崩潰。盡量少用root登錄，而以具有同樣權(quán)限的其他帳戶登錄，或用普通帳戶登錄后再用su命令取得管理員權(quán)限。這樣做是為了避免可能潛在的嗅探器監(jiān)聽和加載木馬。給你的root 帳戶加上足夠復(fù)雜的口令，并定期更換。

 　　Unix可執(zhí)行文件的目錄如/bin可由所有的用戶進(jìn)行讀訪問，這樣用戶就可以從可執(zhí)行文件中得到其版本號(hào)，從而知道它會(huì)有什么樣的漏洞。如從Telnet就可以知道sendmail的版本號(hào)。禁止對(duì)某些文件的訪問雖不能完全禁止黑客地攻擊，但至少可以使攻擊變得更加困難。
如果是SunOS系統(tǒng)，請(qǐng)及時(shí)關(guān)注Sun的補(bǔ)丁信息，因?yàn)镾unOS系統(tǒng)被侵入的事件較多，而且國(guó)內(nèi)絕大部分重要的網(wǎng)絡(luò)都采用SunOS系統(tǒng)。據(jù)報(bào)道，有30%上有嚴(yán)重的root級(jí)安全問題，如最經(jīng)典的例子：SunOS V4安裝時(shí)會(huì)創(chuàng)建一個(gè)/rhosts文件，這個(gè)文件允許Internet上的任何人可以登錄主機(jī)并獲得超級(jí)用戶權(quán)限。SUN的本意是方便管理員從網(wǎng)上進(jìn)行安裝，但也為入侵者大開其門。比較新的例子有SunOS的rpc.ttdbserver存在巨大漏洞，可以使任何人遠(yuǎn)程登錄取得root級(jí)權(quán)限并不需要何口令，接著一條rm -fr * 的命令就可以…… 建議網(wǎng)絡(luò)管理員去下載最新的補(bǔ)丁。并且注意的是，通常管理員對(duì)核心主機(jī)非常關(guān)注，會(huì)及時(shí)補(bǔ)上補(bǔ)丁，但同網(wǎng)絡(luò)內(nèi)的其他主機(jī)的管理卻沒有跟上，入侵者雖然通常無(wú)法直接突破核心主機(jī)，但往往通過這一點(diǎn)，先突破附近的電腦，進(jìn)入LAN網(wǎng)絡(luò)，在利用嗅探器等方式監(jiān)視LAN，獲取通向服務(wù)器的途徑。所以，同網(wǎng)段的機(jī)器都應(yīng)該同等級(jí)重視。

 　　這里將常見的系統(tǒng)漏洞的版本號(hào)總結(jié)一下，如果您的版本號(hào)與此相同，請(qǐng)立即升級(jí)系統(tǒng)或安裝補(bǔ)丁程序。

Linux 1.2.13可以利用CGI輕松獲得root權(quán)限（這個(gè)太老了吧?。?br /> XFree86 3.1.2 的某個(gè)漏洞可使其他替罪羊代為刪除任何文件
 Sendmail8.7-8.8.2 for Linux ,FreeBSD有root級(jí)漏洞
 SunOS Version4.0 有root 級(jí)漏洞
關(guān)于CGI等

 　　CGI 是主頁(yè)安全漏洞的主要來(lái)源。CGI(COMMOM GATE INTERFACE)是外部應(yīng)用程序與WEB服務(wù)器交互的一個(gè)標(biāo)準(zhǔn)接口，它可以完成客戶端與服務(wù)器的交互操作。CGI帶來(lái)了動(dòng)態(tài)的網(wǎng)頁(yè)服務(wù),但是INTERNET的宗旨是面向每個(gè)人的，任何人可在任何時(shí)候任意多次通過INTERNET訪問某WEB服務(wù)器，而這些特性又會(huì)給INTERNET帶來(lái)安全上的問題。CGI程序設(shè)計(jì)不當(dāng),就可能暴露未經(jīng)授權(quán)的數(shù)據(jù),例如,一個(gè)最早的CGI漏洞:在瀏覽器里輸入
http://www.xxxx.xxxx.com/cgi-bin/phf?Qalias=x%0a/bin/cat /etc/passwd 就可以看到Unix服務(wù)器的passwd文件。

　　/msads/Samples/SELECTOR/showcode.asp可以看到NT服務(wù)器上的任何文件。這些root級(jí)漏洞幾乎均來(lái)自與用戶的交互，這種交互性在給主頁(yè)帶來(lái)活力的同時(shí)，成為Web服務(wù)器的一個(gè)潛在危險(xiǎn)。
 
　　那么究竟應(yīng)如何防止這些數(shù)據(jù)的入侵呢?首先服務(wù)器應(yīng)對(duì)輸入數(shù)據(jù)的長(zhǎng)度有嚴(yán)格限制，在使用POST方法時(shí)，環(huán)境變量CONTENT－LENGTH能確保合理的數(shù)據(jù)長(zhǎng)度，對(duì)總的數(shù)據(jù)長(zhǎng)度和單個(gè)變量的數(shù)據(jù)長(zhǎng)度都應(yīng)有檢查功能；另外，GET方法雖可以自動(dòng)設(shè)定長(zhǎng)度，但不要輕信這種方法，因?yàn)榭蛻艨梢院苋菀椎貙ET改為POST。CGI程序還應(yīng)具有檢查異常情況的功能，在檢查出陌生數(shù)據(jù)后CGI還應(yīng)能及時(shí)處理這些情況。CGI在增加上這些功能后，很可能變得很繁瑣。在實(shí)際應(yīng)用當(dāng)中還要在程序的繁瑣度和安全性上折衷考慮。“黑客”還可以想出其他辦法進(jìn)攻服務(wù)器，比如以CET和POST以外的方法傳輸數(shù)據(jù)，通過改變路徑信息盜竊傳統(tǒng)上的密碼文件/etc/passwd, 在HTML里增加radio選項(xiàng)等等。最后，要對(duì)CGI進(jìn)行全面的測(cè)試，確保沒有隱患再小心使用。
ASP也是一大問題。ASP由于強(qiáng)大的功能、簡(jiǎn)單的開發(fā)和維護(hù)成為了當(dāng)前開發(fā)Web程序的首選。但ASP一直BUG不斷。如IIS3.0時(shí)在ASP后加一個(gè)$Data就得到源碼；IIS4.0時(shí)在ASP后加%81或%82也有同樣功效。另外 showcode.asp、codebrws.asp等也有漏洞。管理員可以下載SP6補(bǔ)丁，并留意有關(guān)ASP漏洞的報(bào)道。

 　　近來(lái)郵件病毒一再升溫，惡意的VBScript也漫天飛。黑客可以將惡意的VBS代碼夾在超文本中，加上以over方式觸發(fā)的鏈接，將信以HTML格式寄給你，當(dāng)你的鼠標(biāo)挨上鏈接，具有特殊功能的VBS就被執(zhí)行，簡(jiǎn)單的如亂刪你的文件，復(fù)雜的如得到你的系統(tǒng)目錄字符串，然后在注冊(cè)表中將你的C盤改為共享或更隱蔽一點(diǎn)的就是將startup目錄改為共享，最后用SMB共享軟件連接服務(wù)器，上傳木馬。因此，尤其注意異常的郵件，先用殺毒軟件掃一遍，如不放心就用記事本打開看；如果看都不敢看，簡(jiǎn)單——Delete了事！

關(guān)于密碼 

 　　這可以說是老生常談，因此其重要性不必我再浪費(fèi)口舌。密碼一定要長(zhǎng)，至少7位以上，最好8位。如Unix一共是128個(gè)字符（0x00～0xff），小于0x20的都是控制符，不能作為口令輸入，0x7f為轉(zhuǎn)義符，也不能輸入，那么共有128-32-1=95個(gè)字符可作為口令輸入。如果passwd為6位，包括任意5個(gè)字母和一位數(shù)字或符號(hào)，則其可能性為52*52*52*52*52*43=16,348,773,000(163億種可能性)。這純粹是理論估算，實(shí)際上密碼比這有規(guī)律得多。英文常用詞條約5000條，從5000個(gè)詞中任取一個(gè)字母與一個(gè)字符合成口令，僅有5000*2*2*2*2*2*43=6,880,000(688萬(wàn)種可能性)，現(xiàn)在一臺(tái)賽揚(yáng)600上每秒可算10萬(wàn)次，則需要時(shí)間為6880000/100000/60=1.146667（分鐘）僅需1分鐘！而就算全部窮舉，也只要16348773000/100000/60/60=9.621864（小時(shí)）因此6位密碼十分不可靠。而8位（7個(gè)字母和一個(gè)字符）要（52*52*52*52*52*52*52*43）/100000/3600≈26017.52（小時(shí)）≈1084（天）≈2.97（年）。你看，你的密碼僅僅加了兩位，別人就要多算近3年，舉手之勞，何樂而不為之？現(xiàn)在很多解密工具都采用分層解密。如先嘗試用用戶名或用戶名的變形來(lái)試，再用中文和英文字典來(lái)試，最后再用所有可能的組合來(lái)窮舉。但一般來(lái)說，除非黑客對(duì)你十分感興趣，才會(huì)進(jìn)行費(fèi)時(shí)頗多的第三步。因此，密碼不要用8位以下數(shù)字，不要用自己的中英文名，不要用字典上的詞，數(shù)字和字母交替夾雜，并最好加入@#$%!&*?之類的字符。但你一定要記熟，別自己進(jìn)不了root！

 　　以上是對(duì)現(xiàn)有安全狀況的總結(jié)和建議，當(dāng)然最好的辦法還是安裝防火墻（取決于你的財(cái)力）。你還應(yīng)經(jīng)常瀏覽一下安全網(wǎng)站，推薦Root Shell(http://www.rootshell.com),它可是最好的安全網(wǎng)站喲,搜集了大量的最新和經(jīng)典的漏洞及解決方法。你甚至還可以到黑客站點(diǎn)去轉(zhuǎn)一下，“知己知彼，百戰(zhàn)不殆”嘛。

網(wǎng)絡(luò)安全所面臨的問題及解決方案 doc版下載 http://chabaoo.cn/books/75942.html

最新評(píng)論