防范局域網(wǎng)內(nèi)服務(wù)器入侵

1、防范局域網(wǎng)內(nèi)服務(wù)器入侵防范局域網(wǎng)內(nèi)服務(wù)器入侵防范共享入侵比如，在某局域網(wǎng)中，服務(wù)器裝有Win2000Server系統(tǒng)且采用NTFS分區(qū)，客戶機(jī)計(jì)算機(jī)分別為Wkl、Wk2……WkN，并裝有Win98或Win2000Pro系統(tǒng)。假如其中一臺(tái)客戶機(jī)的用戶名為YD_xlpos，密碼為Ei（9，已經(jīng)登錄到域domain，則它可使用默認(rèn)共享方式入侵服務(wù)器：在該客戶機(jī)的網(wǎng)絡(luò)鄰居地址欄中輸入serveradmin$，便可進(jìn)入Win2000的系統(tǒng)目

2、錄WinNT，此時(shí)該用戶可以刪除文件。若再輸入serverd$，即可進(jìn)入服務(wù)器上的D盤，此時(shí)該客戶機(jī)用戶已經(jīng)具備服務(wù)器的管理員權(quán)限，這是相當(dāng)危險(xiǎn)的。居心叵測的人可以通過新建Winstart.bat或者Wininit.ini文件，并在其中加入格式化C盤的語句，使系統(tǒng)丟失所有C盤文件或是在服務(wù)器的啟動(dòng)項(xiàng)中加入現(xiàn)在任何流行木馬的啟動(dòng)程序，后果也不堪設(shè)想。Win2000采用默認(rèn)共享方式以便遠(yuǎn)程維護(hù)，但同樣給了黑客可乘之機(jī)。打開注冊表編輯器

3、，定位到HKEY_L0CAl_MACHINESYSTEMCurrentControlSetServiceslanmanserver，若系統(tǒng)為Win2000Pro，則新建Autosharewks的DWD值，并設(shè)鍵值為0；若系統(tǒng)為Win2000Server，則新建Autoshareserver的DWD值，并設(shè)鍵值為0。重新啟動(dòng)計(jì)算機(jī)后默認(rèn)共享便不會(huì)再出現(xiàn)。不過危險(xiǎn)并沒有消除，裝有Win2000平臺(tái)的客戶機(jī)還可以通過IPS$的空

4、連接入侵服務(wù)器?？蛻魴C(jī)用戶可以先用端口掃描軟件XScan填入服務(wù)器的IP，在掃描模塊里選擇sqlserver弱口令和ntserver弱口令，當(dāng)?shù)玫絥tserver弱口令后，可在客戶機(jī)的cmd窗口中輸入“use192.168.0.88ips$／user：用戶”來建立空連接，然后激活Guest，并添加管理員權(quán)限，安裝后門(如cat)后就可以進(jìn)行遠(yuǎn)程控制。管理員怎么禁止IPS$空連接呢可定位到注冊表HKEY_LOCAL_MACHINES

5、YSTEMCurrentControlSetControlLSA修改RestrictAnonymous的DWD值為0000001。防范Ping入侵Ping入侵方式也叫ICMP入侵，它也利用了Windows系統(tǒng)的漏洞。在Wk1的DOS窗口中輸入“ping165500t192.168.0.88”(服務(wù)器的IP地址)，則可看到服務(wù)器上系統(tǒng)托盤的小電腦一直在閃動(dòng)，那是客戶機(jī)Wk1在向服務(wù)器發(fā)出請求。我們試想，如果局域網(wǎng)內(nèi)的計(jì)算機(jī)

6、很多，并在每臺(tái)計(jì)算機(jī)的Aotoexec.bat文件中加入“pingl65500t192.168.0.88”，那會(huì)怎么樣服務(wù)器將會(huì)因CPU使用率居高不下而崩潰，這也就是有名的DoS服務(wù)(拒絕服務(wù))攻擊：在一個(gè)時(shí)段內(nèi)連續(xù)向服務(wù)器發(fā)出大量請求，服務(wù)器來不及回應(yīng)而死機(jī)。對(duì)付這類攻擊可安裝網(wǎng)絡(luò)防火墻，如天網(wǎng)等，在設(shè)置里面選擇“不允許別人用Ping命令探測本機(jī)”或者在“管理工具”中點(diǎn)擊“本地安全策略”，進(jìn)入“IP安全策略”，在本地機(jī)器中進(jìn)

7、行設(shè)置(設(shè)置過程略)。維護(hù)和管理服務(wù)器黑客入侵服務(wù)器，必須知道服務(wù)器的IP地址和所開放的端口，因此可以在網(wǎng)上鄰居中隱藏服務(wù)器的IP地址，為服務(wù)器的計(jì)算機(jī)名保密。建立服務(wù)器通訊端口列表，屏蔽一些敏感的端口如139、3389、5000了解部分病毒或者木馬的常用連接端口，如“冰河”的7626端口、“廣外女生”的6267端口。安裝病毒防火墻和網(wǎng)絡(luò)防火墻，定期對(duì)病毒庫進(jìn)行更新，按計(jì)劃查毒殺毒。定期用DOS命令stata或者SuperSc

8、an軟件對(duì)服務(wù)器開放的端口進(jìn)行檢測，將檢測結(jié)果和以往備份的端口列表進(jìn)行比較。若發(fā)現(xiàn)未知端口有異常連接建立或者正在監(jiān)聽，特別是高端端口，網(wǎng)吧來繼續(xù)破壞，這也是不行的。我又試用了各種防火墻軟件，證明也無法攔住這樣的攻擊包，沒有一個(gè)防火墻產(chǎn)品可以屏蔽非法的ARP包。使用天網(wǎng)2.5和金山網(wǎng)鏢，甚至用斷開網(wǎng)絡(luò)選項(xiàng)都無法擋住攻擊。我后來在網(wǎng)上找到了一個(gè)叫做“……”（為防止別有用心的人用來干壞事，我略去這個(gè)軟件的名字，轉(zhuǎn)貼者也就是本人注）的軟件，果然

9、可以達(dá)到這個(gè)效果，證明這樣的攻擊軟件在網(wǎng)上是大量存在的，大家可以去google里搜索下載這個(gè)軟件。我現(xiàn)在唯一能告訴他的辦法就是遇到攻擊就拔網(wǎng)線，各位高手，還有沒有什么低廉方便的手段能解決這個(gè)問題啊，我朋友都急死了，再這樣他的網(wǎng)吧就做不下去了。請大家?guī)蛶兔Γ?！謝謝：）分析:網(wǎng)上關(guān)于ARP的資料已經(jīng)很多了，就不用我都說了。用某一位高手的話來說，“我們能做的事情很多，唯一受限制的是我們的創(chuàng)造力和想象力”。ARP也是如此。以下討論的機(jī)子有一個(gè)要

10、攻擊的機(jī)子：10.5.4.178硬件地址：52:54:4C:98:EE:2F我的機(jī)子：:10.5.3.69硬件地址：52:54:4C:98:ED:C5網(wǎng)關(guān)：10.5.0.3硬件地址：00:90:26:3D:0C:F3一臺(tái)交換機(jī)另一端口的機(jī)子：10.5.3.3硬件地址：52:54:4C:98:ED:F7一：用ARP破WINDOWS的屏保原理：利用IP沖突的級(jí)別比屏保高，當(dāng)有沖突時(shí)，就會(huì)跳出屏保。關(guān)鍵：ARP包的數(shù)量適當(dāng)。[root@szt

11、cwwtools]#.send_arp10.5.4.17800:90:26:3D:0C:F310.5.4.17852:54:4C:98:EE:2F40二：用ARP導(dǎo)致IP沖突，死機(jī)原理：WINDOWS9X，NT4在處理IP沖突時(shí)，處理不過來，導(dǎo)致死機(jī)。注：對(duì)WINDOWS2K，LINUX相當(dāng)于flooding只是比一般的FLOODING有效的多.對(duì)LINUX，明顯系統(tǒng)被拖慢。[root@sztcwwtools]#.send_arp10.

12、5.4.17800:90:26:3D:0C:F310.5.4.17852:54:4C:98:EE:2F999999999三：用ARP欺騙網(wǎng)關(guān)，可導(dǎo)致局域網(wǎng)的某臺(tái)機(jī)子出不了網(wǎng)關(guān)。原理：用ARP應(yīng)答包去刷新對(duì)應(yīng)著要使之出不去的機(jī)子。[root@sztcwwtools]#.send_arp10.5.4.17852:54:4C:98:EE:2210.5.4.17800:90:26:3D:0C:F31注意：如果單單如上的命令，大概只能有效幾秒鐘，