浅析计算机网络安全威胁及防范

在现代社会中, 计算机已经深入到生活、工作的每个角落, 人们用计算机进行通信、存储数据、处理数据等。然而, 人们深深依赖的计算机网络, 正面临着很多潜在的安全威胁。

本文以Windows操作系统展开讨论, 探讨计算机木马、权限提升、盗取信息、远程控制和后门、端口重定向等比较流行的安全威胁, 并提出相应的防范措施, 以提高计算机用户的网络安全保障。

1 网络威胁

1.1 特洛伊木马

特洛伊木马程序技术是黑客常用的攻击手段。它通过在你的电脑系统隐藏一个会在Windows启动时运行的程序, 采用服务器/客户端的运行方式, 从而达到在上网时控制用户电脑的目的。

特洛伊木马是夹带在执行正常功能的程序中的一段额外操作代码。因为在特洛伊木马中存在这些用户不知道的额外操作代码, 因此含有特洛伊木马的程序在执行时, 表面上是执行正常的程序, 而实际上是在执行用户不希望的程序。特洛伊木马程序包括两个部分, 即实现黑客目的的指令和在网络中传播的指令。特洛伊木马具有很强的生命力, 在网络中当人们执行一个含有特洛伊木马的程序时, 它能把自己插入一些未被感染的程序中, 从而使它们受到感染。此类攻击对计算机的危害极大, 通过特洛伊木马, 黑客可以读写未经授权的文件, 甚至可以获得对被攻击的计算机的控制权。

1.2 权限提升

当黑客获得对被攻击的计算机的用户账户, 他们就会立即着眼于终极账户Administrator或SYSTEM账户。不幸的是, 在抵御权限提升攻击方面, 最新版的Windows并不比先前的版本更健壮。下面是曾经出现的对Windows系统危害最严重的两个权限提升的攻击例子。

(1) Sechole。在getadmin工具之后不久出现的Sechole工具, 可以突破NT4向用户授予debug (调试) 权限的脆弱性访问控制检查, 把普通用户的权限提升到相当于Administrator的水平。

(2) 假造LPC (Local Procedures Call, 本地过程调用) 端口请求。Bindview公司的Razor团队在NT4中发现了这个问题。利用这一漏洞, 黑客工具hk.exe可以让一个有交互登陆权限的用户获得相当于Administrator的权限。

事实证明, 一旦黑客获得了交互登陆权限, Windows系统就很难阻止进一步的权限提升攻击了。从技术上讲, 获得Administrator权限并不等于获得了Windows的最高权限。SYSTEM账户比Administrator账户的权限还要高。不过, 有了Windows权限, 获得SYSTEM权限就很简单了, 有好几种非常简单的办法就可以让“系统管理员”达到这一目的。一种办法是利用Windows的Scheduler (计划任务) 服务打开一个命令Shell, 如下所示:

C:>at 14:53/INTERACTIVE cmd.exe

Sysinternals.com免费的psexec工具也可以让你达到这一目的, 这个工具甚至可以允许远程方式获得和使用SYSTEM权限。

1.3 盗取信息

在获得了相当于Administrator的地位之后, 黑客通常会尽可能多的收集一些能帮助他们进一步占据被攻陷系统的信息。这一阶段称为“盗取信息”。以下介绍盗取口令字信息的攻击例子:

1.3.1 获得口令字密文与破解

(1) 通过对屏幕保护程序的替换达到运行cmd的目的。工具:MS-DOS启动盘 (光盘, 软盘都行。如果目标机器的系统盘是NTFS的, 就要用NTFSDOS) 。方法:用启动盘引导启动, 进入纯DOS模式后, 输入以下代码:

重启, 进入输入密码界面, 什么也不要动, 等十分钟, 系统会自动运行屏幕保护程序。但它已经被cmd替换了, 于是一个拥有LocalSystem权限的命令提示符窗口就出现了。

(2) 利用pwdump2获取口令字密文。工具:pwdump2。方法:获得管理员权限后, 在命令提示符中运行pwdump2, 就可以提取口令字密文。假设pwdump2在F:tools目录下, 输入:

就可以在窗口中显示口令字密文。如果你想把它存储在文本文件里, 就输入pwdump2>>passwd.txt (">>"是把屏幕输入重定向至文件的符号) 这样, 你就可以把包含口令字密文的passwd.txt拷到自己的电脑里, 做进一步的破解了。

(3) 利用L0phtcrack工具破解口令字密文。工具:L0phtcrack。方法:启动L0phtcrack, 关掉向导, 新建会话, 单击工具栏上的导入图标, 选择“从PWDUMP文件”输入刚才用pwdump2生成的文件路径, 点确定, 再单击工具栏上的开始图标, 就可以开始破解。默认的破解程序是:字典破解→混合破解→暴力破解。对一个中级强度的10位密码, 它基本可以在5小时内破解。 (具体时间由CPU性能决定)

1.4 远程控制和后门

1.4.1 命令行远程控制工具

被人们誉为“TCP/IP瑞士军刀”的netcat是最简单易用的远程控制后门之一。它是一个简单但实用的工具, 通过使用TCP或UDP协议的网络连接去读写数据。它被设计成一个稳定的后门工具, 能够直接由其它程序和脚本轻松驱动。同时它也是一个功能强大的网络调试和探测工具, 能够建立你需要的几乎所有类型的网络连接。

1.4.2 图形界面远程控制工具

VNC (Virtual Network Computing) 是虚拟网络计算机的缩写。VNC是一款优秀的远程控制工具软件, 由著名的AT&T的欧洲研究实验室开发的。VNC是在基于UNIX和Linux操作系统的免费的开放源码软件, 远程控制能力强大, 高效实用, 其性能可以和Windows和MAC中的任何远程控制软件媲美。VNC基本上是由两部分组成:一部分是客户端的应用程序 (vncviewer) ;另外一部分是服务器端的应用程序 (vncserver) 。VNC的基本运行原理和一些Windows下的远程控制软件很相象。VNC的服务器端应用程序在UNIX和Linux操作系统中适应性很强, 图形用户界面十分友好, 看上去和Windows下的软件界面也很类似。在任何安装了客户端的应用程序 (vncviewer) 的Linux平台的计算机都能十分方便的和安装了服务器端的应用程序 (vncserver) 的计算机相互连接。另外, 服务器端 (vncserver) 还内建了Java Web接口, 这样用户通过服务器端对其他计算机的操作就能通过Netscape显示出来了, 这样的操作过程和显示方式比较直观方便。

2 防护措施

(1) 防止在正常程序中隐藏特洛伊木马的主要方法是人们在生成文件时, 对每一个文件进行数字签名, 而在运行文件时通过对数字签名的检查来判断文件是否被修改, 从而确定文件中是否含有特洛伊木马。避免下载可疑程序并拒绝执行, 运用网络扫描软件定期监视内部主机上的监听TCP服务。

(2) 对于权限提升的防护[2]。首先, 及时给你的Windows打好补丁。getadmin和PipeUpAdmin等工具利用的是操作系统核心功能里的缺陷, 如果不能代码级修补好这些缺陷, 问题就得不到解决。在Windows2000和更高版本上检查交互登陆权限的方法是:运行“LocalGroup Security Policy” (本地组安全策略) 工具, 找到“Local PoliciesUser Rights Assignment” (本地策略用户权限) 结点, 然后检查“Log On Locally” (本地登录) 权限的授予情况。在Windows2000和更高版本里, 许多种权限都有了一个“反”权限, 这种新机制可以把某些用户组或用户单独挑出来排除在授权范围外。比如, 把“Deny Logon Locally” (不允许本地登录) 权限授予某位用户, 他就不能进行本地登录。

(3) 避免口令被破解的最佳方法是实施强口令策略。口令策略中应该包括要求口令同时使用大写字母、小写字母、数字和符号等。口令策略还应该要求有规律地更换口令, 并在口令输入错误几次后锁定账户。尽管我们在阻止恶意黑客破解口令方面能做的事情不多, 但通过实施上述措施, 能够大大延缓和减轻口令破解成功的可能性。

(4) 远程控制工具都需要系统管理员级的权限才能安装, 所以最有效的防范措施就是不要让黑客轻易获得这样的权限。下面是清除VNC的小技巧: