网络入侵实例及防范措施

1、网络入侵及防范措施 随着计算机网络技术的发展，现在计算机网络已经融入了我们的生活。但是计算 机网络的普遍应用过程中，又有着很多的网络安全隐患存在我们的生活和工作 中，并影响着不同层次的网络使用者。作为现在计算机网络的使用者，我们应该 对计算机网络带来的威胁提高警惕。本文主要介绍了影响网络安全的主要因素及 其防范措施。 1网络入侵实例 假设在局域网内计算机的操作系统为GHOST版的Windows XP，用户使用的是 系统默认的Administratorh账户登录了此系统且密码为空。现在我们很多用户的 计算机都存在着这样的网络安全漏洞，黑客常常利用系统的这一漏洞入侵系统， 并对系统进行破坏。下面我

2、们使用本机作为黑客，虚拟机来模拟黑客入侵局域网 内的某一台计算机，并使虚拟机反复重新启动的过程。 现在我们假设一下，局域网内的某一台计算机IP地址是192.168.56.101,黑客在 入侵远程计算机时首先要与此计算机建立网络上的连接，并取得其管理员的权 限。作为黑客应该在本机上编辑好.bat文件，文件名称为sysconfig.bat,其内容为 shutdown命令，以使计算机重新启动。sysco nfig.bat文件后，黑客将通过命令符 将此文件复制到远程计算机上，其后在本机通过命令进入注册表，通过连接网络 注册表，进入到远程计算机的注册表中，修改远程计算机注册表的开机启动项， 使其开机时则

3、执行sysconfig.bat文件，这样就可以使远程计算机每次启动都会执 行sysconfig.bat文件，并使其重新启动。下面则是此次模拟黑客入侵远程计算机 的具体步骤及图示： (1) 在本地计算机编辑批处理文件 sysconfig.bat,打开记事本，写入如下命令： shutdown - -15。该命令表示计算机在15秒后重新启动。将此文本另存为 sysc on fig.bat 文件。 (2) 使用net use命令与远程计算机建立连接。在建立连接前，对虚拟机做如下设 置：开始一运行，输入gpedit.msc打开组策略，找到“Window设置一安全设置一 本地策略一安全选项”，将本地帐户的

4、共享和安全模式设置为经典一本地用户以 自己的身份验证”，再将使用空白密码的本地帐户只允许进行控制台登录设置为 已禁用”。设置完成后本地计算机可以使用命令与远程计算机建立连接了。其命 令为：ipc$ “” user: ” administra用户帐户是 Admi nistrator，密码为空。其命令图示如图 1: JJJ W E(JS. C:口 awsr .J iJtrrwLniE C*MJc*r!：4rd 4 Ctx.3* -1(1_ iMt xiptl ,k*d Ai凯 毎专R如僥康* I 图1连接远程计算机 本机与远程计算机建立连接后，将sysco nfig.bat文件复制到远程计算机，本

5、机 使用 copy命令：copy sysconfig.bat 192.168.56.101admin$ 如图 2所示： C; scapij| ri ；9 yuconiFiv .hat X1SZ. 168 .56r IB! Xdidnin 註制i徳件. Ce 图2复制文件到远程计算机 (4)打开注册表编辑器，连接到远程计算机的注册表。本机使用regedit命令打开 注册表编辑器，鼠标单击 文件”菜单项，选择 连接网络注册表”，连接到远程计 算机192.168.56.101的注册表。具体如图3所示： I.刃jI 图3连接网络注册表 (5)连接到远程计算机的注册表后，找到注册表中的开机启动项所在的位

6、置： HKEY_LOCAL_MACHINESoftwareMicrosoftWi ndowsCurre ntVersio nRun ，修 改注册表的开机启动项。在注册表空白处鼠标右键，新建字符串值，名字为 start，数值数据为sysconfig.bat文件在远程计算机的路径 c:windowssysconfig.bat,其设置具体如图4所示。启动项修改完成后远程计算机 每次开机或重启时就会执行sysco nfig.bat文件。 数值桶皿; 图4编辑开机启动项路径 在本机命令行下使用shutdow n命令使远程计算机重启，命令为：shutdow n - r - 10 -m 192.168.56

7、.101,命令完成后远程计算机就会在10秒后重新启动。待远 程计算机启动后会自动执行开机启动项中的sysco nfig.bat文件，继续反复重新启 动。其结果如图5所示： 系统关机 耒统即梅关机，诸俣存所有瓷在运宜的工 21作，燃后注销.耒傑存的孩动将吕丢失 关机是曲 TJJf-&F06M56OA6Vt8n 初始的 海关机还有:00:00:09 消息 图5系统重新启动 (7)在本机命令行下使用命令清除入侵痕迹：net use * /del /y,此命令表示断开所 有已建立的连接，并清除入侵痕迹。 2. 典型的网络入侵方式 常见的网络入侵方式分为：IPC$入侵(附带 注册表入侵)、Telnet入

8、侵和135端 口入侵三种方式。 2.1 IPC$入侵 IPC$以被理解为一种 专用通道”可以在连接双方建立一条安全的通道，实现 对远程计算机的访问，简单的说就是一种特殊的共享资源。由于我们在使用 Windows时，不仅提供了 IPC$共享功能的同时，而且还启动了默认共享即所有的 逻辑共享(C$,D$,E$)和系统文件夹共享(admin$)。以上的这些，虽然为 用户提供了方便，但是在有意和无意中，使系统的安全性降低了很多。对于用户 而言，注册表应该相当熟悉。注册表是Windows中的一个重要数据库用于存储系 统和应用程序的设置信息。黑客如果想远程计算机执行某一特定程序，只要通过 修改远程计算机注

9、册表中启动项就可以实现。 2.2 Te Inet 入侵 Telnet协议是TCP/IP协议族中的一员，是In ternet远程登录服务的标准协议和主 要方式。它为用户提供了在本地计算机上完成远程计算机工作的能力。在客户端 使用者的电脑使用tel net连接程序，用它就可以连接到开启Telnet服务的计算 机。只要连接到了远程计算机，本机使用者就可以在Tel net的程序中输入命令， 这些命令就可以在远程计算机上运行，对远程计算机进行控制。 2.3 135端口入侵 在 Windows系统中有一个十分重要的服务 RPC( Remote Procedure Ca)，即远 程过程调用，很多其他服务或程

10、序都依赖于它，所以这项服务一般不能禁用。对 于这项服务运行的端口号就是135。因此很多黑客入侵电脑时会经过此端口号进 行入侵。 3. 网络入侵的防范措施 3.1对于IPC$A侵的防范措施 根据IPC$A侵的实际情况而言，常用的防范措施有： 停用系统自带的默认共享，即 C$、ADMIN$等，可以在命令符下使用以下命 令来停用这些默认共享：net share C$/del (2) 在运行中使用services.msc命令打开服务，关闭以下服务：server服务(文件共 享服务)、Remote Registry服务(远程注册表服务)、Task Schedulee服务(任 务计划服务)，同时需要开启的

11、服务有：内置防火墙、安全中心通知和自动更新 等服务。 (3) 同时在我们需要开启共享服务时，在防火墙例外规则中允许文件和打印机共 享”反之则关闭即可。 (4) 控制用户账户：停用不需要的账户、管理员账户改名(最好是中文)及为管理 员帐户设置强密码。同时我们还可以利用控制用户登录的模式来保证网络的安 全，将本地账户的共享和安全模式设置为仅来宾”再将使用空白密码的本地账 户设置为只允许控制台登录。这样就切断了Teln et入侵账户的关键。 3.2对于Telnet入侵的防范措施 根据Tel net入侵的特点，我们可以采取以下措施： (1)关闭计算机的Telnet服务。在运行中输入services.msc命令打开服务，将 Tel net服务关闭。 (2) 开启计算机的防火墙及为计算机管理员账户设置复杂的用户名及强密码。 3.3对于135端口入侵的防范措施 根据135端口入侵的特点，常用的防范措施有以下几种： (1)我们利用网络防火墙屏蔽系统中的135端口，这样就将黑客入侵的关键给消灭 了。除此之外，我们还应该关注139、445等端口。 增加当前系统中管理员帐号密码的强度，比如密码中至少有6位以上，并且其 中包括大小写字母、数字、