巧妙利用三招保护局域网中的IP地址.docx

巧妙利用三招保护局域网中的 IP 地址 作者：ucwvfpwxf来源：赛迪网安全社区局域网中IP地址被占用或篡改的情况时有发生,为你提供几个实用招数。停用网络连接服务要限制用户随意修改TCP/IP参数，最简单的方法是让用户无法打开TCP/IP参数设置窗口。打开“开始”中“运行”输入“services.msc”命令，选中“Network Connections”服务，右键单击，从属性中选择其中的停用按钮，将“启动类型”选为“已禁用”，并确定。这样，你如果从“开始”进入“网络连接”里，就找不到“本地连接”图标。这也会给自己网络参数修改带来麻烦，可以将“Plug and play”服务停用，就不影响你正常网络访问了限制修改网络参数法修改注册表的相关网络键值就能实现。进入“运行”输入“regedit”命令，打开注册表编辑，确定在HKEY_USERSDEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork分支上，在右侧区域中，依次选择“编辑”、“新建”、“Dword值”选项，将新建的Dword值命名为“NoNetSetup”，将其数值输入为“1”，重新启动电脑，系统就会提示无法进入网络属性设置窗口了。隐藏本地连接图标法本地连接图标与系统的Netcfgx.dll、Netshell.dll、Netman.dll这三个动态链接文件有关，一旦将这三个动态链接文件反注册的话，那么本地连接图标就会被自动隐藏起来了。在反注册上面三个动态链接文件时，可以先打开系统运行框，并在其中输入字符串命令“regsvr32 Netcfgx.dll/u”命令，单击一下“确定”按钮后，就能把Netcfgx.dll文件反注册了。安全知识防火墙应用安全八项实用技术 作者：smtk来源：赛迪网安全社区什么是应用安全呢？应用安全就是对网络应用的安全保障，这些应用包括：信用卡号码、机密资料、用户档案等信息。那么什么是保护这些应用不受恶意攻击的困难所在呢？，在我们看来这些应用最薄弱的环节是通过网络防火墙上的端口80（主要用于HTTP）和端口443（用于SSL）时受到的攻击。那么防火墙怎么对这些攻击进行发现及封阻呢？下文总结了八项应用安全技术，全文如下：深度数据包处理 深度数据包处理有时被称为深度数据包检测或者语义检测，它就是把多个数据包关联到一个数据流当中，在寻找攻击异常行为的同时，保持整个数据流的状态。深度数据包处理要求以极高的速度分析、检测及重新组装应用流量，以避免给应用带来时延。下面每一种技术代表深度数据包处理的不同级别。TCP/IP终止应用层攻击涉及多种数据包，并且常常涉及多种请求，即不同的数据流。流量分析系统要发挥功效，就必须在用户与应用保持互动的整个会话期间，能够检测数据包和请求，以寻找攻击行为。至少，这需要能够终止传输层协议，并且在整个数据流而不是仅仅在单个数据包中寻找恶意模式。SSL终止如今，几乎所有的安全应用都使用HTTPS确保通信的保密性。然而，SSL数据流采用了端到端加密，因而对被动探测器如入侵检测系统（IDS）产品来说是不透明的。为了阻止恶意流量，应用防火墙必须终止SSL，对数据流进行解码，以便检查明文格式的流量。这是保护应用流量的最起码要求。如果你的安全策略不允许敏感信息在未加密的前提下通过网络传输，你就需要在流量发送到Web服务器之前重新进行加密的解决方案。URL过滤一旦应用流量呈明文格式，就必须检测HTTP请求的URL部分，寻找恶意攻击的迹象，譬如可疑的统一代码编码（unicode encoding）。对URL过滤采用基于特征的方案，仅仅寻找匹配定期更新的特征、过滤掉与已知攻击如红色代码和尼姆达有关的URL，这是远远不够的。这就需要一种方案不仅能检查RUL，还能检查请求的其余部分。其实，如果把应用响应考虑进来，可以大大提高检测攻击的准确性。虽然URL过滤是一项重要的操作，可以阻止通常的脚本少年类型的攻击，但无力抵御大部分的应用层漏洞。请求分析全面的请求分析技术比单单采用URL过滤来得有效，可以防止Web服务器层的跨站脚本执行（cross-site scripting）漏洞和其它漏洞。全面的请求分析使URL过滤更进了一步：可以确保请求符合要求、遵守标准的HTTP规范，同时确保单个的请求部分在合理的大小限制范围之内。这项技术对防止缓冲器溢出攻击非常有效。然而，请求分析仍是一项无状态技术。它只能检测当前请求。正如我们所知道的那样，记住以前的行为能够获得极有意义的分析，同时获得更深层的保护。用户会话跟踪更先进的下一个技术就是用户会话跟踪。这是应用流量状态检测技术的最基本部分：跟踪用户会话，把单个用户的行为关联起来。这项功能通常借助于通过URL重写（URL rewriting）来使用会话信息块加以实现。只要跟踪单个用户的请求，就能够对信息块实行极其严格的检查。这样就能有效防御会话劫持（session-hijacking）及信息块中毒（cookie-poisoning）类型的漏洞。有效的会话跟踪不仅能够跟踪应用防火墙创建的信息块，还能对应用生成的信息块进行数字签名，以保护这些信息块不被人篡改。这需要能够跟踪每个请求的响应，并从中提取信息块信息。响应模式匹配响应模式匹配为应用提供了更全面的保护：它不仅检查提交至Web服务器的请求，还检查Web服务器生成的响应。它能极其有效地防止网站受毁损，或者更确切地说，防止已毁损网站被浏览。对响应里面的模式进行匹配相当于在请求端对URL进行过滤。响应模式匹配分三个级别。防毁损工作由应用防火墙来进行，它对站点上的静态内容进行数字签名。如果发现内容离开Web服务器后出现了改动，防火墙就会用原始内容取代已毁损页面。至于对付敏感信息泄露方面，应用防火墙会监控响应，寻找可能表明服务器有问题的模式，譬如一长串Java异常符。如果发现这类模式，防火墙就会把它们从响应当中剔除，或者干脆封阻响应。采用“停走”字（stop and goword）的方案会寻找必须出现或不得出现在应用生成的响应里面的预定义通用模式。譬如说，可以要求应用提供的每个页面都要有版权声明。行为建模行为建模有时称为积极的安全模型或“白名单”（white list）安全，它是唯一能够防御最棘手的应用漏洞零时间漏洞的保护机制。零时间漏洞是指未写入文档或“还不知道”的攻击。对付这类攻击的唯一机制就是只允许已知是良好行为的行为，其它行为一律禁止。这项技术要求对应用行为进行建模，这反过来就要求全面分析提交至应用的每个请求的每次响应，目的在于识别页面上的行为元素，譬如表单域、按钮和超文本链接。这种级别的分析可以发现恶意表单域及隐藏表单域操纵类型的漏洞，同时对允许用户访问的URL实行极其严格的监控。行为建模是唯一能够有效对付全部16种应用漏洞的技术。行为建模是一种很好的概念，但其功效往往受到自身严格性的限制。某些情况譬如大量使用JavaScript或者应用故意偏离行为模型都会导致行为建模犯错，从而引发误报，拒绝合理用户访问应用。行为建模要发挥作用，就需要一定程度的人为干预，以提高安全模型的准确性。行为自动预测又叫规则自动生成或应用学习，严格说来不是流量检测技术，而是一种元检测（meta-inspection）技术，它能够分析流量、建立行为模型，并且借助于各种关联技术生成应用于行为模型的一套规则，以提高精确度。行为建模的优点在于短时间学习应用之后能够自动配置。保护端口80是安全人员面临的最重大也是最重要的挑战之一。所幸的是，如今已出现了解决这一问题的创新方案，而且在不断完善。如果在分层安全基础设施里面集成了能够封阻16类应用漏洞的应用防火墙，你就可以解决应用安全这一难题。【知识】TCP/IP 数据包处理路径_了解WINDOWS防火墙,更好的保护系统简介随着 Microsoft Windows XP Service Pack 2 和 Windows Server 2003 Service Pack 1 新增了 Windows 防火墙，以及 Internet 协议安全 (IPsec) 在公司 Intranet 中日益广泛的应用，信息技术 (IT) 专业人士需要了解 TCP/IP 协议及 Windows 中的相关组件处理单播 Internet 协议 (IP) 数据包的具体方式。有关 IP 数据包处理路径的详细知识，可以让您更轻松地掌握配置数据包处理和筛选组件，以及进行相关疑难解答的具体方法。本文所介绍的内容如下： 用于 IP 版本 4 的 TCP/IP 协议的基本体系结构以及其它一些用于处理数据包的组件。 基于 Windows 的计算机所发送、接收和转发的单播流量的数据包处理路径注意 为了简要起见，本文将不讨论多播、广播、分段或隧道数据包。下列组件可处理 IP 数据包： IP 转发 为发送或转发的数据包确定下一跃点接口和地址。 TCP/IP 筛选 允许按 IP 协议、TCP 端口或 UDP 端口，指定可为传入的本地主机流量（发往主机的数据包）所接受的流量类型。可以在“网络连接”文件夹中，从 Internet 协议 (TCP/IP) 组件高级属性的“选项”选项卡，配置 TCP/IP 筛选。 筛选器挂钩驱动程序 该 Windows 组件可使用筛选器挂钩 API，筛选传入和传出的 IP 数据包。在运行 Windows Server 2003 的计算机上，筛选器挂钩驱动程序为 Ipfltdrv.sys，属于“路由和远程访问”的一个组件。启用后，“路由和远程访问”允许用户使用路由和远程访问管理单元，对每个接口配置单独的入站和出站 IP 数据包筛选器。Ipfltdrv.sys 会同时检查本地主机和中转 IP 流量（不发往主机的数据包）。 防火墙挂钩驱动程序 该 Windows 组件可使用防火墙挂钩 API，检查传入和传出的数据包。在运行 Windows XP 的计算机上，防火墙挂钩驱动程序为 Ipnat.sys，由 Internet 连接共享和 Windows 防火墙双方共享。Internet 连接共享是一种基础网络地址转换器 (NAT)。Windows 防火墙是一种基于主机的状态防火墙。Ipnat.sys 可同时检查本地主机和中转 IP 流量。在运行 Windows Server 2003 的计算机上，Ipnat.sys 由 Internet 连接共享、Windows 防火墙和路由和远程访问的 NAT/基本防火墙组件三方共享。如果启用了路由和远程访问的 NAT/基本防火墙组件，就不能再启用 Windows 防火墙或 Internet 连接共享了。 IPsec IPsec 组件Ipsec.sys是 IPsec 在 Windows 中的实现，可对 IP 流量提供加密保护。Ipsec.sys 可同时检查本地主机和中转 IP 流量，并可允许、阻止或保护流量。数据包处理路径下面几节介绍了针对以下流量的具体的数据包处理路径： 源流量 由基于 Windows 的发送主机发起。 目标流量 达到最终的基于 Windows 的目标主机。 中转流量 由基于 Windows 的 IP 路由器转发。这里只讨论 Windows Server 2003 或 Windows XP 所附带的组件，不涉及 Windows 套接字分层服务提供程序或 NDIS 中间微型端口驱动程序。源流量IP 数据包形成后，Tcpip.sys 就会将其传递给防火墙挂钩驱动程序 (Ipnat.sys) 进行处理。Windows 防火墙检查该流量是否属于所要阻止的特定的 Internet 控制消息协议 (ICMP) 消息类型。如果 ICMP 消息被阻止，Windows 防火墙就将丢弃该数据包。Windows 防火墙检查该流量是否属于点对点隧道协议 (PPTP) 隧道维护流量。如果属于的话，Windows 防火墙将分析该流量，确定用于识别特定 PPTP 隧道的通用路由封装 (GRE) 调用 ID，从而允许 PPTP 隧道的基于 GRE 的传入流量。如果需要，Windows 防火墙会在例外列表中添加一个动态项目，来允许响应流量。处理完后，Ipnat.sys 会将该 IP 数据包传回给 Tcpip.sys，而后者会使用 IP 转发组件，确定下一跃点 IP 地址和接口。有关详细信息，请参阅认识 IP 路由表。Tcpip.sys 将数据包传递给筛选器挂钩驱动程序 (Ipfltdrv.sys) 进行处理。Ipfltdrv.sys 根据下一跃点接口，将该数据包与已配置的出站 IP 数据包筛选器进行对比。若出站 IP 数据包筛选器不允许该数据包，Ipfltdrv.sys 就会在不给出提示的情况下，丢弃该数据包。若出站 IP 数据包筛选器允许该数据包，Ipfltdrv.sys 就会将该数据包传回给 Tcpip.sys。Tcpip.sys 将该数据包传递给 Ipsec.sys 进行处理。Ipsec.sys 根据 IPsec 筛选器组，决定是否允许、阻止或保护该数据包。若允许的话，Ipsec.sys 会在不修改该数据包的情况下，将其发回给 Tcpip.sys。若阻止的话，Ipsec.sys 会在不发出任何提示的情况下，丢弃该数据包。若要进行保护的话，Ipsec.sys 会在将数据包传回给 Tcpip.sys 之前，对其添加适当的 IPsec保护。有关 IPsec 筛选器的详细信息，请参阅IPsec 筛选器排序（2005 年 2 月发布的 网络专家 专栏文章。Tcpip.sys 随后会通过下一跃点接口，将该数据包发送到下一跃点 IP 地址。目标流量接收到 IP 数据包后，Tcpip.sys 会将其传递给 Ipsec.sys 进行处理。若数据包带有 IPsec 保护（指示验证头 AH 或封装式安全措施负载 ESP 的 IP 协议字段值），将对其进行处理并加以移除。若对计算机应用了“Windows 防火墙：允许已验证的 IPSec 跳过”组策略设置，Ipsec.sys 将设置一个与该数据包相关联的 IPsec Bypass 标记。Ipsec.sys 将结果数据包传回给 Tcpip.sys。若数据包不带有 IPsec 保护，Ipsec.sys 就会根据 IPsec 筛选器组，决定是否允许、阻止或保护该数据包。若允许的话，Ipsec.sys 会在不修改该数据包的情况下，将其发回给 Tcpip.sys。若数据包被阻止或需要保护，Ipsec.sys 就会在不发出任何提示的情况下，丢弃该数据包。Tcpip.sys 将该数据包传递给 Ipfltdrv.sys 进行处理。Ipfltdrv.sys 根据接收数据包的接口，将该数据包与已配置的入站 IP 数据包筛选器进行对比。若入站 IP 数据包筛选器不允许该数据包，Ipfltdrv.sys 就会在不给出提示的情况下，丢弃该数据包。 若入站 IP 数据包筛选器允许该数据包，Ipfltdrv.sys 就会将该数据包传回给 Tcpip.sys。Tcpip.sys 将该数据包传递给 Ipnat.sys 进行处理。若启用了 Internet 连接共享或 NAT/基本防火墙，并且接收数据包的接口是连接到 Internet 的公共接口，Ipnat.sys 就会将该数据包与其 NAT 转换表进行对比。若找到了匹配项，就将转换该 IP 数据包，并将结果数据包视为源流量。Windows 防火墙检查与该数据包相关联的 IPsec Bypass 标记。若设置了 IPsec Bypass 标记，Windows 防火墙就会将该数据包传回给 Tcpip.sys。若未设置 IPsec Bypass 标记，Windows 防火墙就会将该数据包与其例外列表进行对比。若数据包与某个例外匹配，Ipnat.sys 就会将该 IP 数据包传回给 Tcpip.sys。若不匹配，Ipnat.sys 会在不发出提示的情况下，丢弃该 IP 数据包。Tcpip.sys 将 IP 数据包与已配置的 TCP/IP 筛选允许的那组数据包进行对比。若 TCP/IP 筛选不允许该数据包，Tcpip.sys 将在不发出提示的情况下，丢弃该数据包。若 TCP/IP 筛选允许该数据包，Tcpip.sys 将继续对其进行处理，并最终将该数据包有效负载传递给 TCP、UDP 或其它上层协议。中转流量接收到 IP 数据包后，Tcpip.sys 会将其传递给 Ipfltdrv.sys 进行处理。Ipfltdrv.sys 根据接收 IP 数据包的接口，将该数据包与已配置的入站 IP 数据包筛选器进行对比。若入站 IP 数据包筛选器不允许该数据包，Ipfltdrv.sys 就会在不给出提示的情况下，丢弃该 IP 数据包。若入站 IP 数据包筛选器允许该数据包，Ipfltdrv.sys 就会将该 IP 数据包传回给 Tcpip.sys。Tcpip.sys 将数据包传递给 IP 转发组件，由后者确定用于转发该数据包的下一跃点接口和地址。2. Tcpip.sys 将该数据包传递给 Ipnat.sys。若启用了 Internet 连接共享或 NAT/基本防火墙，并且接收数据包的接口是连接到 Intranet 的专用接口，Ipnat.sys 就会将该数据包与其 NAT 转换表进行对比。若 Internet 连接共享或 NAT/基本防火墙找到了匹配项，将转换该 IP 数据包，并将结果数据包当作源流量。若 Internet 连接共享或 NAT/基本防火墙未找到匹配项，将创建一个新的 NAT 转换表项，转换 IP 数据包，并将结果数据包当作源流量。若未启用 Internet 连接共享，Ipnat.sys 就会将 IP 数据包传回给 Tcpip.sys。3. Tcpip.sys 将该数据包传递给 Ipfltdrv.sys。Ipfltdrv.sys 根据下一跃点接口，将该数据包与已配置的出站 IP 数据包筛选器进行对比。若出站 IP 数据包筛选器不允许该数据包，Ipfltdrv.sys 就会在不给出提示的情况下，丢弃该 IP 数据包。若出站 IP 数据包筛选器允许该数据包，Ipfltdrv.sys 就会将该 IP 数据包传回给 Tcpip.sys。4. Tcpip.sys 将该数据包传递给 Ipsec.sys 进行处理。Ipsec.sys 根据 IPsec 筛选器组，决定是否允许、阻止或保护该数据包。若允许的话，Ipsec.sys 会在不修改该数据包的情况下，将其发回给 Tcpip.sys。 若阻止的话，Ipsec.sys 会在不发出任何提示的情况下，丢弃该数据包。若要进行保护的话，Ipsec.sys 会在将数据包传回给 Tcpip.sys 之前，对其添加适当的 IPsec保护。Tcpip.sys 随后会通过下一跃点接口，将该 IP 数据包发送到下一跃点地址。对于运行 Windows XP SP2 或 Windows Server 2003 SP1 并采取常规配置的客户端或服务器计算机（不充当路由器或 NAT，并禁用了 TCP/IP 筛选），源流量的数据包处理路径涉及以下组件：1. Windows 防火墙2. IPsec对于上述采用常规配置的基于 Windows 的计算机来说，目标流量的数据包处理路径涉及以下组件：1. IPsec2. Windows 防火墙若使用了 IPsec，并启用了 Windows 防火墙，那么可能需要配置这两个组件，以允许想要的流量。譬如，要是您正在配置一台 Web 服务器，并使用 IPsec 保护发往该服务器的 Web 流量，就必须配置以下项目：1. 一个 IPsec 规则（要求发往和发自该服务器的 IP 地址和 TCP 端口 80 的安全性）。2. 一个 TCP 端口 80 的 Windows 防火墙例外。该 IPsec 规则可确保发往 Web 服务器服务的流量受到保护。该 Windows 防火墙例外可确保 Windows 防火墙不会丢弃未经请求的传入请求，来通过 TCP 端口 80 创建到 Web 服务器的连接。由于 IPsec 和 Windows 防火墙都作为单独的组件处理 IP 数据包，因此必须同时配置这两个组件。要是不想让 Windows 防火墙处理受 IPsec 保护的数据包，请配置“Windows 防火墙：允许已验证的 IPSec 跳过”组策略设置。更多详