防止駭客入侵ADSL的一些技巧

隨著各地ADSL網路的蓬勃發展，實現永久連接、隨時線上已不再是遙遠的夢，但是，我們必須明白，永久連入Internet同樣也意味著遭受入侵的可能性大大增加。知己知彼，方能百戰不殆，讓我們瞭解一下駭客入侵ADSL用戶的方法和防範手段吧。　

駭客入侵ADSL用戶的方法

在很多地方都是包月制的，這樣的話，駭客就可以用更長的時間進行埠以及漏洞的掃瞄，甚至採用線上暴力破解的方法盜取密碼，或者使用嗅探工具守株待兔般等待對方自動把用戶名和密碼送上門。

要完成一次成功的網路攻擊，一般有以下幾步。第一步就是要收集目標的各種資訊，為了對目標進行徹底分析，必須盡可能收集攻擊目標的大量有效資訊，以便最後分析得到目標的漏洞列表。分析結果包括：作業系統類型，作業系統的版本，打開的服務，打開服務的版本，網路拓撲結構，網路設備，防火牆等。　　

駭客掃瞄使用的主要是TCP/IP堆疊指紋的方法。實現的手段主要是三種：　　

1.TCP ISN採樣：尋找初始化序列規定長度與特定的OS是否匹配。　　

2.FIN探測：發送一個FIN包（或者是任何沒有ACK或SYN標記的包）到目標的一個開放的埠，然後等待回應。許多系統會返回一個RESET（重定標記）。　　

3.利用BOGUS標記：通過發送一個SYN包，它含有沒有定義的TCP標記的TCP頭，利用系統對標記的不同反應，可以區分一些作業系統。　　

4.利用TCP的初始化視窗：只是簡單地檢查返回包裏包含的視窗長度，根據大小來唯一確認各個作業系統。　

掃瞄技術雖然很多，原理卻很簡單。這裏簡單介紹一下掃瞄工具Nmap(Network mapper)。這號稱是目前最好的掃瞄工具，功能強大，用途多樣，支援多種平臺，靈活機動，方便易用，攜帶性強，留跡極少；不但能掃瞄出TCP/UDP埠，還能用於掃瞄/偵測大型網路。　　

注意這裏使用了一些真實的功能變數名稱，這樣可以讓掃瞄行為看起來更具體。你可以用自己網路裏的名稱代替其中的addresses/names。你最好在取得允許後再進行掃瞄，否則後果可要你自己承擔哦。　　

nmap -v target.example.com　　

這個命令對target.example.com上所有的保留TCP埠做了一次掃瞄，-v表示用詳細模式。　　

nmap -sS -O target.example.com/24　　

這個命令將開始一次SYN的半開掃瞄，針對的目標是target.example.com所在的C類子網，它還試圖確定在目標上運行的是什麼作業系統。這個命令需要管理員許可權，因為用到了半開掃瞄以及系統偵測。

發動攻擊的第二步就是與對方建立連接，查找登錄資訊。現在假設通過掃瞄發現對方的機器建立有IPC$。IPC$是共用「具名管道」的資源，它對於程式間的通訊很重要，在遠端管理電腦和查看電腦的共用資源時都會用到。利用IPC$，駭客可以與對方建立一個空連接（無需用戶名和密碼），而利用這個空連接，就可以獲得對方的用戶列表。　　

第三步，使用合適的工具軟體登錄。打開命令行視窗，鍵入命令：net use 222.222.222.222ipc$ 「administrator」 /user:123456

這裏我們假設administrator的密碼是123456。如果你不知道管理員密碼，還需要找其他密碼破解工具幫忙。登錄進去之後，所有的東西就都在駭客的控制之下了。
防範方法

因為ADSL用戶一般線上時間比較長，所以安全防護意識一定要加強。每天上網十幾個小時，甚至通宵開機的人不在少數吧，而且還有人把自己的機器做成Web或者ftp伺服器供其他人訪問。日常的防範工作一般可分為下面的幾個步驟來作。　　

步驟一，一定要把Guest帳號禁用。有很多入侵都是通過這個帳號進一步獲得管理員密碼或者許可權的。如果不想把自己的電腦給別人當玩具，那還是禁止的好。打開控制面板，雙擊「用戶和密碼」，選擇「高級」選項卡。單擊「高級」按鈕，彈出本地用戶和組視窗。在Guest帳號上麵點擊右鍵，選擇屬性，在「常規」頁中選中「帳戶已停用」。　　

步驟二，停止共用。Windows 2000安裝好之後，系統會創建一些隱藏的共用。點擊開始→運行→cmd，然後在命令行方式下鍵入命令「net share」就可以查看它們。網上有很多關於IPC入侵的文章，都利用了默認共用連接。要禁止這些共用，打開管理工具→電腦管理→共用檔夾→共用，在相應的共用檔夾上按右鍵，點「停止共用」就行了。　　

步驟三，儘量關閉不必要的服務，如Terminal Services、IIS（如果你沒有用自己的機器作Web伺服器的話）、RAS（遠端存取服務）等。還有一個挺煩人的Messenger服務也要關掉，否則總有人用消息服務發來網路廣告。打開管理工具→電腦管理→服務和應用程式→服務，看見沒用的就關掉。　　

步驟四，禁止建立空連接。在默認的情況下，任何用戶都可以通過空連接連上伺服器，枚舉帳號並猜測密碼。我們必須禁止建立空連接，方法有以下兩種：　　

(1)修改註冊表：　　

HKEY_Local_MachineSystemCurrent-ControlSetControlLSA下，將DWORD值RestrictAnonymous的鍵值改成1。　　

(2)修改Windows 2000的本地安全策略：　　

設置「本地安全策略→本地策略→選項」中的RestrictAnonymous（匿名連接的額外限制）為「不容許枚舉SAM帳號和共用」。　　

步驟五，如果開放了Web服務，還需要對IIS服務進行安全配置：　　

(1) 更改Web服務主目錄。右鍵單擊「默認Web站點→屬性→主目錄→本地路徑」，將「本地路徑」指向其他目錄。　　

(2) 刪除原默認安裝的Inetpub目錄。　　

(3) 刪除以下虛擬目錄: _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

(4) 刪除不必要的IIS副檔名映射。方法是：右鍵單擊「默認Web站點→屬性→主目錄→配置」，打開應用程式視窗，去掉不必要的應用程式映射。如不用到其他映射，只保留.asp、.asa即可。　　

(5) 備份IIS配置。可使用IIS的備份功能，將設定好的IIS配置全部備份下來，這樣就可以隨時恢復IIS的安全配置。

不要以為這樣就萬事大吉，微軟的作業系統我們又不是不知道，bug何其多，所以一定要把微軟的補丁打全。　　

最後，建議大家選擇一款實用的防火牆。比如Network ICE Corporation公司出品的Black ICE。它的安裝和運行十分簡單，就算對網路安全不太熟悉也沒有關係，使用缺省的配置就能檢測絕大多數類型的駭客攻擊。對於有經驗的用戶，還可以選擇「Tools」中的「Advanced Firewall Settings」，來針對特定的IP位址或者UDP的特定埠進行接受或拒絕配置，以達到特定的防禦效果。