游乐游手机版
首页/网络安全/文章详情

常见网络安全问题与实用防范解决方法

时间:2026-07-18 20:28
网络安全威胁与系统加固:一份资深网管的实战笔记 计算机和网络技术日益普及,人们对它们的依赖也与日俱增。网络安全这件事,早已不是“该不该重视”,而是“必须立刻行动”的问题。它是一门横跨计算机、网络、通讯、密码学、信息安全、应用数学、数论、信息论等多个领域的综合性学科,知识更新极快,覆盖面极广。 国
# 网络安全威胁与系统加固:一份资深网管的实战笔记 计算机和网络技术日益普及,人们对它们的依赖也与日俱增。网络安全这件事,早已不是“该不该重视”,而是“必须立刻行动”的问题。它是一门横跨计算机、网络、通讯、密码学、信息安全、应用数学、数论、信息论等多个领域的综合性学科,知识更新极快,覆盖面极广。 国家对信息产业的扶持,让国内网络基础设施逐渐改善——服务器更多了,宽带更快了。但硬币的另一面是,各类攻击行为也变得更加频繁、更加简单。网络安全的严峻形势,对管理员的专业能力提出了极高的要求。下面,就系统常见的安全问题及其应对策略,做一次完整的梳理。 ## 关于Windows NT 国内站点中,Windows NT家族占据了绝对主导地位,比例高达91.4%,剩下不足10%才是各类Unix系统(SunOS、HP-UX、SCO Unix、Linux、BSD等)。但讽刺的是,系统占有率最高的NT,恰恰漏洞也最多。由于微软的技术壁垒,NT的漏洞通常很难快速、彻底地修复。 NT将用户信息和加密口令存放在SAM文件中,即安全帐户管理(Security Accounts Management)数据库。由于NT的加密机制与Win9x同样简单,它的口令比Unix(Linux)脆弱得多,一本普通的黑客字典就能轻松攻破。(NT 5.0已经改进了加密算法,但国内运行最多的仍然是NT 4.0。) ### SMB漏洞:最前置的威胁 NT首当其冲的漏洞就是SMB漏洞。这个漏洞可能导致SAM数据库以及NT服务器、NT/9x工作站上的文件,通过SMB后门被共享出去。 SMB(Server Message Block,服务器消息块)是微软早期LAN产品继承下来的协议,本质上就是Windows 95/98/NT的共享功能。在局域网内部,共享功能用来分享硬盘、光驱、打印机,确实非常便捷。但当LAN连接到互联网,成为一个子网之后,很多人仍然下意识地认为共享功能只限于内部使用——事实并非如此。通过互联网,完全可以访问到LAN里的共享资源。 共享资源有两种方式:只读和完全访问。为了方便,很多共享资源根本没设密码,有些甚至还开启了完全访问。据我所知,这类扫描工具就有老掉牙的Logion、Redbutton和NetHackerII。用它们访问LAN,根本不需要管理员权限或交互式访问权。NT安装后,每个磁盘默认就被设置成共享,这时,内外网任何人都可以用命令行连接服务器——比如在“开始-运行”里输入`\\IPADDRESS\C$`,或者在DOS下直接连接。目前,用SMB组建NT网络似乎没有更好的替代方案。 **对策:** 安装NT后,立即修改磁盘共享属性;严格控制共享,务必加上复杂口令;打印服务器也得认真对待,有人完全可以通过SMB漏洞把打印驱动换成木马或病毒;安装防火墙,切断135到142端口的所有TCP和UDP连接,这对控制基于RPC的安全漏洞尤其有效。 ### 注册表访问漏洞 NT默认的注册表权限存在不少问题。第一,默认对Everyone设置的是Full Control和Create权限,这意味着任何人都可能修改、删除或替换注册表文件。第二,NT默认允许用户远程访问注册表——这简直是一个明晃晃的后门。 **对策:** 立即关闭“远程注册表造访”。最好用第三方工具(比如Enterprise Administrator)来管理注册表,必要时直接锁住。或者手动修改:在`HKEY_Local_Machine\System\CurrentControlSet\Control\SecurePipeServer`下新建一个名为`Winreg`的项(Reg_SZ类型),再在下面添加一个`Description`值(Reg_SZ类型),输入字符串“Registry server”,然后重启。 ### 进程定期处理机制漏洞 NT允许非特权用户运行某些特殊程序,导致系统崩溃或挂起。有个叫CPUHOG的程序,只有5行代码,就能让NT直接挂起;NTCrash也类似。这类软件网上到处都是。甚至经典的SATAN和InternetScanner也能让NT拒绝服务。更夸张的是,一条简单的Ping命令也能让服务器重启,比如`Ping -l 65524 host.domain.com`。原因在于NT对较大的ICMP包非常脆弱,发送一个指定包大小为64K的Ping命令,NT的TCP/IP栈就会停止正常工作,系统离线,直到重启。 **对策:** 赶紧去下载Service Pack 6,马上安装。 ### 帐户设置的人为漏洞 如果管理员帐户设置不合理,再叠加NT密码的脆弱性,就是双重灾难。通常情况下,入侵者最感兴趣的当然是Administrator帐户,其次是Guest帐户。域和帐户的设置必须格外严格。 **对策:** 必须设置至少两个系统管理员帐户,以防万一入侵者已经获得最高权限并改了密码。把原来的Administrator改名,加上复杂口令,再设置一个没有任何权限的假Administrator来迷惑入侵者;取消Guest帐户,或者也加个复杂口令;设置口令尝试次数上限,超过就锁住账户,防止穷举;经常查看系统日志,对大量登录失败记录保持警惕。 ### LAN内部的“家贼” LAN内部的不友好用户同样危险。统计表明,局域网用户获得管理员权限的成功率高达70%,而外部用户不到5%。原因很简单:本网用户熟悉管理员的工作习惯,而且穷举口令在局域网内的速度比互联网快得多(局域网每秒100次,互联网只有3-5次)。我曾用NetHackerII监听本段局域网,仅两分钟就得到一个叫“super99”的明文共享口令。而密文口令,可以存成SMB文本交给L0phtCracker解密。L0phtCracker 2.52在48小时内几乎能破解90%以上的密码(当然要配合一本好字典)。现在的入侵者在服务器久攻不下时,会用IP扫描器扫描服务器所在网段(比如“月光搜索”),找到同网段工作站的IP,逐个尝试,挑最脆弱的一个攻破,然后开始监听,伺机窃取管理员口令。随着宽带普及,攻击速度越来越快,以前一个月才能跑出来的口令,现在可能一天甚至几小时就能搞定。 **对策:** 使用Switch HUB后也只能监听本网段;严格设定域和工作组,用拓扑结构将各个域隔离。 另外,Modem拨入式访问也要注意:别把电话号码告诉任何人,别随意放置记录号码的介质,拨入访问必须加口令。NT默认情况下,用紧急修复盘更新后,整个SAM数据库会被复制到`%system%\repair\sam._`下,而且对所有人可读。修复完成后,立即将其设为不可读。 ## 关于泛Unix NT因界面友好、操作简单,被中小企业广泛采用;而Unix因为对管理员要求高,通常用于大型企业和ISP。一旦这类服务器被攻破,损失将是灾难性的。 ### /etc/passwd文件:系统的命门 Unix系统中的`/etc/passwd`文件是整个系统最重要的文件,包含每个用户的信息(加密后口令也可能存在`/etc/shadow`里)。每一行分七个部分:登录名、加密口令、用户号、用户组号、用户全名、用户主目录、用户使用的Shell程序。用户号和用户组号用于唯一标识用户和权限。这个文件用DES不可逆算法加密,只能用John The Ripper之类的软件穷举。因此,它永远是入侵者的首要目标——通常黑客会通过FTP匿名登录,把passwd文件下载回去,然后开始跑字典。所以,务必把这个文件设为不可读、不可写。另外,`opasswd`或`passwd.old`是passwd的备份,如果存在,也必须设为不可读、不可写。 ### 文件许可权:细节决定成败 用`ls -l`可以看到文件权限。r表示可读,w表示可写,x表示可执行。第一组rwx代表文件属主权限,第二组代表同组用户权限,第三组代表其他用户权限。改变文件属主和组名用`chown`和`chgrp`,但修改后原属主和组名无法恢复。用`ls -l`查看时,目录前面有个d,目录也是文件,权限规则类似。 用户目录下的`.profile`文件在用户登录时自动执行。如果它对其他人可写,那么系统内任何用户都能修改它,比如上传木马、加入后门。一条`echo “++” > .rhosts`命令就能随意进出其他用户帐号,再开始攻击,嫁祸于人。应该设置用户ID许可和同组用户ID许可;把`umask`命令加入每个用户的`.profile`文件,避免特洛伊木马和各种模拟登录的骗局。同时,多用`ls -l`检查自己的目录,尤其那些以`.`开头的文件,任何不属于自己但出现在自己目录里的文件,都应立刻引起警惕。 最好不设匿名帐户或来宾帐户(anonymous/guest)。如果确实需要,请在`/etc/passwd`中将其shell设为`/bin/failure`(Linux中设为`/bin/false`),使其不能访问任何shell。同时打开chroot,将其访问范围限定在特定目录。 以root身份登录后,必须时刻保持清醒,清楚自己下一步要做什么——任何微小的疏忽都可能给整个系统带来严重后果,甚至导致崩溃。尽量少用root登录,用具有同等权限的其他帐户登录,或者先用普通帐户登录,再用su命令获取管理员权限。这样能避免潜在的嗅探器监听和木马加载。给你的root帐户加上足够复杂的口令,并定期更换。 Unix可执行文件的目录(如/bin)默认对所有用户可读,用户可以从可执行文件中获得版本号,从而推断出系统存在哪些漏洞。禁止某些文件的访问虽然不能完全阻止黑客,但至少能增加攻击难度。 如果是SunOS系统,请及时关注Sun的补丁信息。SunOS系统被入侵的事件相当多,而且国内大部分重要网络都采用SunOS。有报道称,30%以上的SunOS存在严重的root级安全问题。最经典的例子:SunOS V4安装时会创建一个`/rhosts`文件,允许互联网上任何人登录并获得超级用户权限——Sun的本意是方便管理员从网上安装,结果也为入侵者大开方便之门。更新的例子包括SunOS的`rpc.ttdbserver`存在巨大漏洞,任何人在远程登录后无需口令就能获得root权限,然后一条`rm -fr *`就能毁灭一切。建议网络管理员及时下载最新补丁。值得注意的是,很多管理员对核心主机非常关注,补丁打得及时,但同网络中的其他主机管理却没跟上。入侵者虽然通常无法直接突破核心主机,但会先攻破同网段的其他机器,进入LAN网络,然后用嗅探器监视LAN,获取通向核心服务器的路径。所以,同网段的所有机器都应该受到同等重视。 这里总结一些常见系统的漏洞版本号。如果你的版本号与此相同,请立即升级系统或安装补丁: - Linux 1.2.13:可以利用CGI轻松获得root权限(这个太老了!) - XFree86 3.1.2:某个漏洞可使其他用户代你删除任何文件 - Sendmail 8.7-8.8.2 for Linux, FreeBSD:有root级漏洞 - SunOS Version 4.0:有root级漏洞 ## 关于CGI等 CGI是主页安全漏洞的主要来源。CGI(Common Gateway Interface)是外部应用程序与Web服务器交互的标准接口,实现了客户端与服务器的交互。它带来了动态网页服务,但互联网的本质是面向每一个人的——任何人可以在任何时间、任意多次访问某Web服务器,这本身就带来了安全隐患。CGI程序设计不当,就可能暴露未经授权的数据。 一个最早的CGI漏洞:在浏览器里输入`https://www.xxxx.xxxx.com/cgi-bin/phf?Qalias=x%0a/bin/cat /etc/passwd`,就能看到Unix服务器的passwd文件。类似的,`/msads/Samples/SELECTOR/showcode.asp`可以看到NT服务器上的任何文件。这些root级漏洞几乎都来自与用户的交互——交互性在给网页带来活力的同时,也成了Web服务器的潜在危险。 那么,如何有效防止数据入侵?首先,服务器必须对输入数据的长度进行严格限制。使用POST方法时,环境变量CONTENT-LENGTH能确保合理的数据长度,但要对总数据长度和单个变量的数据长度都进行检查。GET方法虽然可以自动设定长度,但别太相信它——因为客户端很容易把GET改成POST。CGI程序还应具备检查异常情况的能力,发现陌生数据后能及时处理。当然,增加这些功能可能会让程序变得繁琐,在实际应用中需要在繁琐度和安全性之间做权衡。黑客还有很多其他进攻手段,比如用GET和POST以外的方法传输数据、通过修改路径信息盗取密码文件、在HTML里增加额外的radio选项等等。最后,在正式上线前,一定要对CGI进行全面测试,确保没有隐患再小心使用。 ASP也是个大问题。ASP功能强大、开发维护简单,是目前开发Web程序的首选,但一直bug不断。比如IIS 3.0时,在ASP后面加一个`$Data`就能得到源码;IIS 4.0时,在ASP后面加`%81`或`%82`也有同样效果。`showcode.asp`、`codebrws.asp`等也有漏洞。管理员可以下载SP6补丁,并持续关注ASP漏洞的相关报道。 最近邮件病毒持续升温,恶意的VBScript满天飞。黑客可以把恶意VBS代码嵌入超文本中,用`onmouseover`方式触发的链接,把邮件以HTML格式发给你。当鼠标划过链接时,特殊功能的VBS就被执行——轻则乱删文件,重则获取系统目录字符串,然后在注册表中将C盘改为共享,或者更隐蔽地把startup目录改为共享,最后用SMB共享软件连接服务器,上传木马。对异常邮件要格外小心,先用杀毒软件扫一遍,不放心就用记事本打开看。如果连看都不敢看——直接Delete了事! ## 关于密码 这话题已经老生常谈了,但重要性不言而喻。密码一定要长,至少7位以上,最好8位。Unix一共128个字符(0x00~0xFF),小于0x20的都是控制符,不能输入;0x7F是转义符,也不能输入。实际可用的口令字符有95个。如果密码是6位(任意5个字母加1位数字或符号),可能性为52×52×52×52×52×43 ≈ 163.5亿种。但这是理论值,实际密码规律性强得多。英文常用词大约5000个,从5000个词中任取一个,再与符号组合,仅有5000×2×2×2×2×2×43 ≈ 688万种可能性。一台赛扬600上每秒可算10万次,688万次只需要1分多钟——就1分钟!就算全部穷举,163.5亿种也只需9.6小时。所以6位密码极其不可靠。而8位密码(7个字母加1个字符),要计算26017小时,约1084天,近3年。你只多加两位,别人就要多算近3年,举手之劳,何乐而不为? 现在很多解密工具都采用分层策略:先尝试用户名或变形,再试中文、英文字典,最后才穷举所有可能。一般来说,除非黑客对你特别感兴趣,才会走第三步。所以,密码不要用8位以下的数字,不要用中英文名,不要用字典单词。数字和字母交替夹杂,最好加入`@#$%!&*?`之类的特殊字符。当然,你自己一定要记熟,别弄到连自己都进不了root! ## 总结 以上是对现有安全状况的梳理和建议。当然,最好的办法还是安装防火墙——当然这取决于你的财力。你还需要经常浏览安全网站,推荐Root Shell(rootshell.com),那里收集了大量最新和经典的漏洞及解决方法。甚至可以去黑客站点转一转,知己知彼,百战不殆。
来源:https://www.jb51.net/hack/75943.html
上一篇域名被劫持与DNS跳转的解决方法 下一篇HTTPS是什么?加密过程与安全保障详解
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
GPT-Red:释放稳健的自我完善能力
网络安全 · 2026-07-18

GPT-Red:释放稳健的自我完善能力

GPT-Red是一种自动化红队模型,通过自我对弈强化学习训练,可规模化发现漏洞并生成对抗数据。将其用于训练GPT-5 6后,直接提示注入故障减少6倍,在保留能力的同时显著提升稳健性,为模型安全自我改进开辟新路径。

Consensys曾让朝鲜关联开发者接触系统一个月未造成影响
网络安全 · 2026-07-18

Consensys曾让朝鲜关联开发者接触系统一个月未造成影响

区块链公司Consensys证实,一名通过第三方引入的开发者与朝鲜有关联,其接触系统约一个月后被发现并切断权限。调查确认无资产或数据损失,未植入恶意代码,但事件暴露了朝鲜背景团体渗透数字资产企业的风险模式。

黑客教你破解电子邮箱账号的三种方法详细步骤
网络安全 · 2026-07-18

黑客教你破解电子邮箱账号的三种方法详细步骤

电子邮件虽然便捷高效,但你真的了解其背后的安全风险吗?从邮件发送、传输到接收的每一个环节,都可能潜藏着漏洞,让攻击者有机可乘,轻松破解邮箱账号、窃取邮件内容。接下来,我们将逐一剖析这些薄弱环节,帮助您全面掌握电子邮件安全防护要点。 一、利用邮件服务器操作系统的漏洞 邮件服务器软件通常运行在特定操作系

黑客破解验证码机制的常见方法
网络安全 · 2026-07-18

黑客破解验证码机制的常见方法

验证码这东西,大家应该都不陌生。简单说,就是把一串随机数字或符号生成图片,再在图片里加一些干扰像素,防止OCR直接识破。用户得靠肉眼识别出来,输入表单提交给网站验证,通过后才能继续操作。很多网站为了挡住机器人的自动注册、登录、灌水,都用了这套技术。 但问题来了——很多验证码实现其实漏洞百出。比如直接

手机数据泄露大揭秘:你的信息到底安全吗?
网络安全 · 2026-07-18

手机数据泄露大揭秘:你的信息到底安全吗?

如果你给自己的手机设置了PIN码,甚至复杂到自己都忘了,或者用了更高级的指纹解锁,你是不是就觉得手机里的信息固若金汤了?实际上,这种做法对于大多数普通用户来说,确实算得上安全。但换个角度,对于那些真正盯上你手机里数据的人来说,一次简单的充电,就可能让所有防护形同虚设。现如今,手机早已不只是一个通信工