匡鳳飛

(福建師范大學(xué)閩南科技學(xué)院)

?

局域網(wǎng)服務(wù)器入侵分析與應(yīng)對策略*

匡鳳飛

(福建師范大學(xué)閩南科技學(xué)院)

文中介紹了局域網(wǎng)服務(wù)器常見入侵方式、應(yīng)對策略及有關(guān)防范工具，并強(qiáng)調(diào)了建立日常服務(wù)器入侵防范機(jī)制的必要性.

局域網(wǎng)；服務(wù)器入侵；應(yīng)對策略

1 服務(wù)器在局域網(wǎng)內(nèi)常見入侵分析

1.1 常規(guī)掃描入侵

局域網(wǎng)的服務(wù)器端口常會(huì)受到來自外界的不良掃描風(fēng)險(xiǎn).通過不同的端口掃描，能夠挖掘一定的IP地址，同時(shí)還能夠打開掃描對象的傳輸層UDP或TCP端口.對于執(zhí)迷于掃描服務(wù)器端口的人而言，利用端口掃描器等輔助工具能夠滿足其技術(shù)需求.端口掃描器雖然在功能和用途上官方聲稱僅作為學(xué)習(xí)研究使用，但卻成為了最有效的服務(wù)器入侵幫兇，是黑客最常使用的工具.常見的端口掃描器包括Port Scanner1.1，X-Scan掃描器，UltraScan、Ping掃描器、NetScan、Ping Pro等工具.

1.2 默認(rèn)共享入侵

在局域網(wǎng)中出現(xiàn)默認(rèn)共享入侵的概率也是相當(dāng)大的.例如某局域網(wǎng)的服務(wù)器安裝windows server 2008系統(tǒng).，服務(wù)器上的個(gè)人計(jì)算機(jī)或工作組Work1、Work2…Work N，同時(shí)安裝兩種不同的操作系統(tǒng)Windows 10或Windows 2008.設(shè)定其中的一臺計(jì)算機(jī)，用戶名為JQ_123，密碼為aaaaaa，已經(jīng)處于登陸狀態(tài)，那么對這臺計(jì)算機(jī)而言就能夠使用默認(rèn)共享入侵方式，在其網(wǎng)絡(luò)鄰居的相關(guān)地址欄中輸入serveradmin$，能夠進(jìn)入Windows 2008系統(tǒng)目錄Windows NT中，不法人員可以直接刪掉其中的某個(gè)文件.輸入serverd$后將進(jìn)入服務(wù)器中的D盤，那么服務(wù)器實(shí)際已經(jīng)處于該計(jì)算機(jī)的控制中.很多企圖破壞服務(wù)器的人可以通過新建Winstart.hat或Wininit.ini文件，建立C盤格式化語句，等到下次啟動(dòng)服務(wù)器后，C盤中的文件將全部消失.一旦在服務(wù)器中加入木馬，則整個(gè)服務(wù)器與更多的工作組電腦無疑全部中招，后果嚴(yán)重.

1.3 Ping命令入侵

Ping命令入侵也可以稱之為ICMP入侵，攻擊者往往靠Ping來尋找Windows系統(tǒng)中的隱形漏洞，利用服務(wù)器中的某臺工作計(jì)算機(jī)的DOS窗口輸入服務(wù)器的IP地址后，服務(wù)器系統(tǒng)托盤電腦圖標(biāo)將一直處于閃動(dòng)狀態(tài)，表明計(jì)算機(jī)已經(jīng)發(fā)出請求輸出到服務(wù)器.一旦在局域網(wǎng)內(nèi)出現(xiàn)更多的計(jì)算機(jī)，在它們的Aotoexec.bat文件中加入服務(wù)器IP地址后，服務(wù)器將會(huì)不時(shí)地收到來自所有電腦的請求，CPU使用率快速增高，整個(gè)系統(tǒng)面臨崩潰，這種情況正是DoS服務(wù)的典型表述，即同一時(shí)段內(nèi)，服務(wù)器收到大量外界請求會(huì)因無法回應(yīng)出現(xiàn)死機(jī).

2 應(yīng)對局域網(wǎng)服務(wù)器入侵的具體策略

2.1 常見入侵的應(yīng)對措施

一般情況下，入侵服務(wù)器都需要首先明確服務(wù)器的IP地址，并且積極搜索所有端口.所以出于安全考慮，應(yīng)該在“網(wǎng)上鄰居”選擇將服務(wù)IP地址做好隱藏，保密服務(wù)器中的工作組名，屏蔽敏感端口等.

一般情況下，組織機(jī)構(gòu)應(yīng)該重視病毒防火墻和網(wǎng)絡(luò)防火墻的必要性，定期更新病毒庫，有選擇性地安排服務(wù)器病毒查殺.定期使用DOS命令netstat-a對服務(wù)器端口進(jìn)行檢測，當(dāng)然也可以借助Superscan等軟件完成檢測，認(rèn)真核對檢測結(jié)果與端口列表，一旦出現(xiàn)未知端口的異常連接，就應(yīng)該立即斷開網(wǎng)絡(luò)，用Trojan Remover等軟件檢測木馬是否存在.在檢測端口的同時(shí)也要完成對服務(wù)器進(jìn)程的檢測，可以借助專業(yè)的進(jìn)程管理軟件檢測服務(wù)器進(jìn)程，也需要同原有列表比照中對不明進(jìn)程予以判別和處理.服務(wù)器的各種計(jì)算機(jī)之間必然存在資料和數(shù)據(jù)的共享，但應(yīng)該有所警惕，常用netshare命令查看共享的風(fēng)險(xiǎn)性.對于共享文件的開啟應(yīng)該設(shè)置密碼，并準(zhǔn)許指定的用戶登錄，不能隨便修改共享權(quán)限.

2.2 針對性防范措施

針對共享入侵的防范，Windows2008系統(tǒng)下的默認(rèn)共享設(shè)立初衷便于遠(yuǎn)程距離的維護(hù)，面對入侵風(fēng)險(xiǎn)，應(yīng)該積極予以防范.找到注冊表編輯器并點(diǎn)開后迅速定位：

HTKEY_LOCAL_MACHINE SYSTEM Current Control Set Services lanman server當(dāng)然服務(wù)器采用的系統(tǒng)不同，相應(yīng)的處理也不同.系統(tǒng)采用Windows 2000 Pro時(shí)，新建一項(xiàng)AutoShareWks的DWORD值賦值為0，關(guān)閉 admin$共享；系統(tǒng)采用windows 2000 Server時(shí)，新建AutoShareServer的DWORD值賦值為0，最后定位：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa

找到“restrictanonymous”，設(shè)置賦值為1，關(guān)閉IPC$共享.重啟后默認(rèn)共享即不再出現(xiàn).當(dāng)然要想更進(jìn)一步消除隱患，還需要與其他處理， Windows2008系統(tǒng)下的計(jì)算機(jī)一般會(huì)利用iPS$的空連接進(jìn)攻服務(wù)器，其他用戶可使用X-Scan等專用軟件填充IP后在模塊中點(diǎn)SQLserver弱口令，獲取nt-server弱口令后，可在計(jì)算機(jī)的cmd運(yùn)行窗口輸入口令建立空連接，激活Guest，并入管理員權(quán)限后就可遠(yuǎn)程控制.

2.3 常用入侵的應(yīng)對工具

(1)系統(tǒng)防火墻

目前，眾多防火墻都會(huì)具備相應(yīng)的禁止ICMP設(shè)置， Windows 系列的防火墻也有該項(xiàng)功能.通過依次點(diǎn)擊“控制面板”-“Windows防火墻”-“高級”選項(xiàng)卡-選擇系統(tǒng)中已經(jīng)建立的寬帶連接方式，后從“設(shè)置”中的“高級設(shè)置”項(xiàng)選“ICMP”選項(xiàng)卡，確?！霸试S傳入的回顯請求”前未勾選，點(diǎn)“確定”完成防火墻的禁止ICMP功能.

(2)第三方防火墻

眾多機(jī)構(gòu)組織的局域網(wǎng)中，都會(huì)建設(shè)第三方防火墻，這樣的防火墻一般都在設(shè)置之初就擁有了很多防范風(fēng)險(xiǎn)的規(guī)則.這些規(guī)則并不是屬于直接強(qiáng)加的內(nèi)容，可以快速的在應(yīng)用欄前進(jìn)行選擇去控制使用.與此同時(shí)，第三方防火墻也會(huì)安排相應(yīng)的創(chuàng)建制度，指導(dǎo)創(chuàng)立有效的防火墻后對于外來的惡意攻擊和入侵能夠進(jìn)行有效的掃描，入侵檢測基本具有如下邏輯.

圖1 通用的入侵檢測邏輯模型

(3)蜜罐技術(shù)

蜜罐屬于服務(wù)器的情報(bào)收集系統(tǒng).現(xiàn)今市場上出現(xiàn)了五花八門的蜜罐工具，原理如出一轍.通過對存在漏洞的服務(wù)器進(jìn)行虛擬，等待外界的惡意入侵者進(jìn)入陷阱.入侵者看到相應(yīng)的端口后并不能進(jìn)行有效的入侵，從而起到了保護(hù)的租用.

3 局域網(wǎng)服務(wù)器入侵案例分析

3.1 案例背景

積極針對當(dāng)前某校開展校園一卡通服務(wù)器的例行安全檢測.某校開展校園一卡通服務(wù)器中存有大量數(shù)據(jù)，主要包括學(xué)生信息，一卡通中的生活費(fèi)用等，因此本次檢測至關(guān)重要，本次案例分析將通過例行風(fēng)險(xiǎn)檢查，確定是否需要升級服務(wù)器.

3.2 入侵事件還原及分析

3.2.1 掃描網(wǎng)絡(luò)服務(wù)器

需要首先準(zhǔn)備可以幫助入侵服務(wù)器的工具軟件，然后掃描當(dāng)前學(xué)校的內(nèi)網(wǎng)服務(wù)器端口，由于服務(wù)器的IP地址已經(jīng)知曉，因此不必再掃描 IP. 選用漏洞掃描軟件，全面地檢測服務(wù)器存在的注入漏洞.第一步從 WEB服務(wù)器入手，進(jìn)入學(xué)校網(wǎng)站后，并沒有在眾多端口發(fā)現(xiàn)可入侵注入點(diǎn)；第二筆進(jìn)入后臺，對于可以提供上傳的位置展開上傳注入，但仍未獲得管理權(quán)限.因此，在可能出現(xiàn)的外界入侵掃描環(huán)節(jié)，學(xué)校的服務(wù)器阻攔效果明顯，具有一定的防范性.

3.2.2 強(qiáng)行破解校園網(wǎng)絡(luò)

模擬不法人員從后臺尋找有效漏洞登錄服務(wù)器后，通過在線的文本編輯器將后臺的所有數(shù)據(jù)庫進(jìn)行替換，快速設(shè)立不法登錄用戶，完成利用后臺登錄網(wǎng)站的目的.

順利進(jìn)入后臺后，打開 webshell，對于存在的一切信息進(jìn)行收集以便獲得提取權(quán)限.首先進(jìn)行net user口令，從而出現(xiàn) ASPNET 用戶的存在，當(dāng)通過軟件檢測網(wǎng)站沒有啟動(dòng)解析 aspx 的服務(wù).進(jìn)行net stat—an口令后，隨即又出現(xiàn)了遠(yuǎn)程終端和 pcanywhere，這時(shí)利用軟件掃描 43958 端口成功，通過net start指令看到服務(wù)器中存在 MSSQL，pc Anywhere, Terminal Services.

積極試驗(yàn)本地溢出后，由于添加用戶的操作沒有成功，可以看出學(xué)校的網(wǎng)站進(jìn)行了 guest 權(quán)限設(shè)置.guest 權(quán)限導(dǎo)致 webshell 中產(chǎn)生的眾多命令沒有辦法得到響應(yīng).

下一步嘗試建立NC 的反向鏈接.當(dāng)選擇將NC上傳后， webshell 中存在的cmd 命令中加入指令，成功具有 administrator 權(quán)限的用戶加入后，就算完成登錄.然后的操作就屬于惡意入侵的做法：看到服務(wù)器中存在的多個(gè)院系站點(diǎn)后，直接清理后刪除日志并退出.

3.2.3 利用漏洞攻破服務(wù)器，溢出嗅探攻擊

利用軟件IIS 寫漏洞進(jìn)行高校服務(wù)器的探測十分有效.利用遠(yuǎn)程軟件直接連接傀儡機(jī)，通過傀儡機(jī)登陸已經(jīng)入侵的服務(wù)器，查詢得知學(xué)校的IP 網(wǎng)段，在IIS的有關(guān)寫權(quán)限掃描工具模塊中隨意布置某一 IP 段，后查出可用 IP.在 IIS 寫權(quán)限漏洞處迅速使用工具填寫有缺陷的IP，寫入木馬程序后獲取數(shù)據(jù)包點(diǎn)擊提交，然后通過點(diǎn)擊“put”中的“move”完成提交數(shù)據(jù)包，就得到替換的木馬路徑，再用客戶端連接.

由于已經(jīng)得到了部分學(xué)校主機(jī)的信息，就可以進(jìn)行溢出操作.溢出應(yīng)該是所有攻擊手段中最快而有效的一種，通過不斷增加的服務(wù)器主體，局域網(wǎng)的溢出成功率變得更高，利用測試出的DNS 溢出完成測試.

通過不斷地溢出和嗅探，就能夠獲得主機(jī)中 Flash FX 等等一切敏感信息，成功獲取學(xué)校一部分站點(diǎn)的控制權(quán).

4 建立日常服務(wù)器入侵的防范機(jī)制

4.1 選用防木馬病毒網(wǎng)關(guān)

對于企業(yè)級局域網(wǎng)而言，選用有效的防病毒網(wǎng)關(guān)是解決企業(yè)服務(wù)器免受風(fēng)險(xiǎn)的關(guān)鍵.防病毒網(wǎng)關(guān)即在服務(wù)器的網(wǎng)關(guān)處加設(shè)能夠防病毒的硬件裝置，裝置的作用在于對外界與內(nèi)網(wǎng)之間流通的數(shù)據(jù)分析過濾后阻止病毒代碼的滲透，有效針對蠕蟲病毒的攻擊進(jìn)行弱化和消除.其運(yùn)行的原理主要是可以采用流掃描技術(shù)，提高性能減少網(wǎng)絡(luò)延遲時(shí).流掃描技術(shù)會(huì)主動(dòng)針對文件內(nèi)容進(jìn)行掃描，大幅度縮減處理程序.防病毒網(wǎng)關(guān)一般都采用即插即用形式，因而不會(huì)主動(dòng)變更現(xiàn)行網(wǎng)絡(luò)的內(nèi)容.防病毒網(wǎng)關(guān)部署成功后，接入上網(wǎng)線并開啟后直接進(jìn)行設(shè)置，就能夠?qū)?shù)據(jù)信息展開有效的病毒掃描模式，極大地抑制內(nèi)網(wǎng)與外界交流過程中外來病毒的攻擊.

4.2 強(qiáng)化管理漏洞補(bǔ)丁

局域網(wǎng)的服務(wù)器需要防范的網(wǎng)絡(luò)病毒主要是蠕蟲病毒.蠕蟲病毒通常正利用局域網(wǎng)內(nèi)的各種缺陷和漏洞進(jìn)行隱藏性傳播和擴(kuò)散.從這個(gè)角度看，安全工作人員應(yīng)該在局域網(wǎng)內(nèi)部強(qiáng)化漏洞補(bǔ)丁程序的管理，以便讓所有的應(yīng)用程序都能夠保持安全性.因此在局域網(wǎng)中加裝補(bǔ)丁分發(fā)服務(wù)器，可以讓企業(yè)機(jī)構(gòu)中的所有應(yīng)用都可以直接并于服務(wù)器上下載補(bǔ)丁，有效縮減更新時(shí)間，大大增加安全性.

圖2 防火墻能夠有效提高局域網(wǎng)內(nèi)的安全性能

4.3 升級服務(wù)器抗風(fēng)險(xiǎn)能力

對于局域網(wǎng)可能受到的外來風(fēng)險(xiǎn)，安全工作人員應(yīng)該積極考慮部署更大功能的服務(wù)器，例如防病毒服務(wù)器，從而強(qiáng)制局域網(wǎng)中所有工作組計(jì)算機(jī)內(nèi)的客戶端自動(dòng)完成病毒庫的更新升級，當(dāng)然，還應(yīng)該注意定期開通外網(wǎng)聯(lián)接，確保防病毒服務(wù)器的病毒庫與當(dāng)前的網(wǎng)絡(luò)病毒庫保持版本統(tǒng)一.通過病毒庫的更新升級，防病毒程度容易比對出局域網(wǎng)中的新型病毒實(shí)現(xiàn)整個(gè)局域網(wǎng)的有效監(jiān)控，而且能夠放心地將局域網(wǎng)匯中所有網(wǎng)絡(luò)病毒全部查殺.

4.4 強(qiáng)化局域網(wǎng)內(nèi)資料的保密性

對于局域網(wǎng)內(nèi)服務(wù)器上資料信息，很多是企業(yè)的核心機(jī)密，如果日常只是放在服務(wù)上存放，并沒有主動(dòng)保密和防護(hù)意識，就可能導(dǎo)致信息通過不同的途徑泄露，例如可能遭受網(wǎng)絡(luò)入侵攻擊，也可能受到來自網(wǎng)絡(luò)上0day主義者的越界操作.0day雖然在創(chuàng)立之初僅作為破解游戲的指代，但如今成為了很多共享破解技術(shù)的不法分子入侵的有力手段.要警惕0day主義者常見的伎倆：竄改網(wǎng)站日期字段，預(yù)先瀏覽未來設(shè)定日期的內(nèi)容；充當(dāng)管理員修改后臺內(nèi)容；利用SQL隱碼技術(shù)修改企業(yè)絕密文件的預(yù)發(fā)布時(shí)間；利用系統(tǒng)漏洞突破訪問權(quán)限；設(shè)置主機(jī)后門.

5 結(jié)束語

局域網(wǎng)服務(wù)器的安全問題對于組織機(jī)構(gòu)的發(fā)展來講，同樣是至關(guān)重要的一環(huán).安全工作人員應(yīng)該要通過不斷的學(xué)習(xí)和試驗(yàn)，積累足夠的應(yīng)對風(fēng)險(xiǎn)的經(jīng)驗(yàn)，積極查找存在于局域網(wǎng)服務(wù)器網(wǎng)絡(luò)中的漏洞，做好應(yīng)用的安全防范措施.同時(shí)，積極呼吁在局域網(wǎng)中的所有用戶，應(yīng)該提高自身網(wǎng)絡(luò)安全意識，積極選用先進(jìn)技術(shù)保障自己的信息安全，從而維護(hù)整個(gè)局域網(wǎng)的安全穩(wěn)定.

[1] 陳莊，巫茜,等.計(jì)算機(jī)網(wǎng)絡(luò)安全工程師寶典[M].重慶：重慶出版社，2010.

[2] 楊永濤. 基于ASP的上傳漏洞入侵分析及其防范措施[J].電子技術(shù)，2008, 45(5).

[3] 石凌云，詹建國. 計(jì)算機(jī)網(wǎng)絡(luò)安全服務(wù)器入侵與防御研究[J] .電腦知識與技術(shù)，2010,6:4116-4117..

[4] 楊洪斌，徐蘭萍. 淺談服務(wù)器群組防護(hù)[J] .信息系統(tǒng)工程，2012(2):21-23.

(責(zé)任編輯：李家云)

Analysis and Coping Strategies of LAN Server Intrusion

Kuang Fengfei

(Fujian Normal University Minnan Science and Technology Institute)

In this paper, the common intrusion methods, coping strategies and related prevention tools are introduced, and the necessity of establishing the mechanism of daily server intrusion prevention is emphasized.

Local area network; Server invasion; Coping strategies

2016-03-22

*福建省教育廳B類科研項(xiàng)目“局域網(wǎng)服務(wù)器入侵分析與應(yīng)對策略”(JB13274)

TP393.08

A

1000-5617(2016)03-0033-04