网络安全九大绝招
一、端口监听
很多人都已经知道了可以借助NETSTAT -AN来查看当前的连接与开放的端口,但NETSTAT并不万能,比如你的Win95遭到OOB攻击的时候,不等NETSTAT你就已经死机了。为此,出现了一种特殊的小工具——端口监听程序。端口监听并不是一项复杂的技术,但却能解决一些局部问题,当OOB攻击风行的时候,有些程序员期望借助端口监听的简单方式堵住这一漏洞,于是就有了象ICMPWATCH、ANTINUKE、NUKENABER等工具,而后来BO、NETBUS等流行起来,也有人试图通过NUKENABER来监听12345、31337这样的端口,来发现木马并防止黑客的攻击,后来出现的一些专门针对BO设计的程序,如BS120的前期版本也主要是依靠端口监听的方法,当然随着木马的日趋泛滥和木马Server端端口的可定义性,这种方法还是被放弃了。
不过值得一提的是ANTINUKE,这虽然是一个只有几十K的小程序,但他带有一个反击的功能,就是说,会用OOB攻击的方式反击发包向你139端口的人,而且它会使HACKTEK这样的扫描器在扫描到139时发生溢出而终止,大家不妨实验一下。
NUKENABER的优点在于他可以监听多个端口,Port magic也有这样的功能。
另外需要说明的是,端口监听还用于实现对共享目录访问的监测和控制,我们都知道远程访问一台机器的共享目录实际是访问139端口,那么只要对本机139的监听就可以察觉对远程的访问请求,这样的软件有很多,如ProtectX、NetAlert等等,他们的功能比较近似,都可以记录或显示试图连接你机器的IP地址并发出警告,可以让你选择拒绝还是允许。
有些端口监听工具,不仅可以被动监听,也提供了一些有意思的功能,比如fakeserv让你的机器开放多个端口,使扫描者误认为你开放了Wingate、TELNET等多种服务,忙了一塌糊涂,结果才发现是个骗局。不仅浪费时间,而且还被你记录了IP。还有的让你的机器开放12345、31337等端口,待到有人用木马的客户端连接上来时,就发给他警告信息或利用木马本身的漏洞让他死机。
端口扫描器的缺陷就是只能监视固定的端口,面对越发恶劣的安全环境,仅仅凭借简单的端口监控程序是不够的。
二、木马检测与清除
在一些程序员选择网络方式监控木马的同时,另一些程序员则采用与杀毒软件类似的特征匹配的方式来查找木马。于是出现了一些木马的检测与清除的工具。这些工具有的是针对多种木马的集成工具,比如,TDS(Trojan Defence Suite)和CLEANER,尽管TDS声称其能检测360种木马程序,超过了CLEANER声称的200多种,但论影响力,还是CLEANER名头更响。也有的工具是针对一种或少数几种木马的小程序,比如专门查解BO的工具就不下20种,有BOKILLER、BO2KSS、BO2Klean-eng、anti-bos、UN Back Orifice等等;再如查解NETspy的Remover等等,一个有意思的事情是一些木马的专用清除工具就是木马作者本人写的,非常典型的例子就是YAI的作者写的YAICLEANER。另外,目前比较好的杀毒软件都可以清除百种以上的木马,比如AVP清除木马的能力决不比CLEANER差。
三、砍信工具
前一段时间,看了一例特别好笑的报道,说一个孩子如何网上反黑,大意是这个孩子的邮箱遭到了轰炸,结果这个孩子手持鼠标,警惕的盯着屏幕,不停的查看邮箱,不停的收信,防止被邮件炸弹撑满如何如何。类似无聊的报道难免会误导一些网络的初学者,其实邮件轰炸的解决决不意味着你需要把全部的信件都收下来,你的目的只是为了把无用邮件删掉。对一般用户,我们建议选择POP3和WEB收信都支持的免费信箱作为自己的主力信箱(千万不要暴露你在ISP的信箱,超过了额定容量是要计费的),这样收到不多的垃圾邮件时,可以直接以WEB方式删除,而如果遭到成百上千的邮件轰炸,那么就直接用砍信工具砍好了,它会按照你的命令批量删除垃圾邮件(当然要求你的信箱必须支持POP3,如果信箱只能从WEB登录就不可能了)。据说echom一分钟可以砍一千封信,如果你中文不好你可以考虑一个国产工具Mailcut。
四、密码保护
为了防止VIEW之类的工具查出密码,出现了一些为用户保存密码的工具,比较典型的是PTD(Password Tracker Deluxe),PTD决不仅仅是一个密码加密存储的程序,他还会在你需要密码的时候为你调出密码,当然运行这个软件本身也要有密码验证,否则就没有意义了。
五、资源保护信息加密
大家可能会使用ZIP加密码或者DOC加密码的方式来保护自己的关键信息,但是否尝试过为自己的目录或其他资源加上密码呢?The Lock就是这样一个工具。另外如果你的一些信息需要加密变换的话,以下软件会帮助你Arctic Security+、EasyCode等等,这些软件就是用同一个密码,奇数次运行是加密,偶数次运行是解密,给人很不舒服的感觉。不过这种加密的方法的特点就是文件中不包含密钥本身,如果你忘记了密码的话,想要还原就非常困难了。上述的工具我见到的都是DOS下版本,使用不是很方便,有一个Win9X下Cryptext,在右键菜单中加入了一个加解密功能。
六、资源保护
目前还有一些保护文件和目录资源的工具,Magic Folders 是一个保护目录的工具,File Protector则能够保护单个的文件。
另外,尽管9X的帐户功能不够强大,但如果充分发掘出来还是有些作用的,通过注册表的设置可以使非法访问者不能使用任何驱动器、不能查看任何信息、不能进入MSDOS方式、桌面上什么都没有,当然也不能运行Regedit(否则还有什么意义)。我们可以用Win9X的策略编辑器完成这项工作,如果你觉得太复杂,国人写的超级兔子,尽管不够强大,但也可以一用。
七、本机监控
大家常常遗憾的就是,象Win9X这样的桌面系统,没有类似UNIX或NT系统的LOG机制,即使有人非法使用了你的电脑,你可能也不知道,如果有一个日志工具,能记录系统运行信息,岂不是很好。应当说,这种防范虽然不可靠,但不失为一种亡羊补牢的方法,DOS时代有这样一个案例,清华火星人发现了一个来访者偷偷COPY了他们的源码,发现的方法很简单,就是因为该机器运行了DOSKEY命令。针对Win9X系统,Swordlea写过一个alllog,属于PC黑匣子类的工具,另外,补充一点在他的ALL DO IT工具包中还有一个可以替代屏保的程序ALLSHUT,不会被传统的破解屏保的工具破解,不过我可是通过测试版的一个BUG并解开,把Swordlea的桌面换成“江海客到此一游”:-),不过现在的ALL DO IT已经比较完善了。 KaoLin Studio工作室有一个叫SOSRec的东西,也是记录操作轨迹的,功能可能和ALLLOG差不多。
八、集成工具
某些工具集成了一些安全的解决方式,比如把木马清除和端口监控结合起来,组合出了相对强大的工具,最典型的当属LOCKDOWN2000,应当说他操作方便,功能也不弱。非常适合电脑的初学者使用。但我始终强调的就是LOCKDOWN2000是一种集成的安全工具,而不是一种防火墙软件,所以LOCKDOWN2000并不像大家想象的那么强大,比如LOCKDOWN2000并不能防御IGMP攻击,这并不奇怪。确实,对于查找木马防止对共享目录的入侵方面LOCKDOWN做的不错,但希望用他来对付IGMP、或者SYN攻击,则有些强人所难了。
九、PC防火墙
在说到PC防火墙时先简单讲一点关于防火墙的知识,防火墙,顾名思义,是起到内部和外部隔离的作用,传统的防火墙有代理型、包过滤型和复合型三种,包过滤防火墙速度快,允许用户包访问目的地址,只是根据一套原则进行过滤,选择那些包可以通过,那些被阻截下来,如果包过滤机制瘫痪了,那么内网就失去保护暴露在外网面前;而代理防火墙与我们常说的代理服务器比较象,但在安全方面更为强大,他用一套服务程序,与用户请求和目的服务器分别打交道。如果代理防火墙瘫痪了,那么内网和外网间就断开了。
少数网友提出过这样的问题,他们从我的站点上下载安装了Abrinet SessionWALL,但他为什么还是无法抵御IGMP攻击,通俗的说,问题就在于这是一种代理机制的防火墙,是用来保护内网段的,他并不保护防火墙的机器本身,而所谓PC FIREWALL是保护单机的而不是保护网段的,他只能是基于包过滤的。最强大的PC防火墙当属ConSeal PC FIREWALL,目前版本为2.55,该软件为商品软件,发布15试用的License。国内好的PC FIREWALL乏善可陈,相对比较好的当属“网络卫兵”。 ConSeal PC FIREWALL虽然强大,但不懂网络的新手掌握起来比较困难,但网络卫兵则比较简明,似乎上手容易些。