现在,来自网络的各种攻击越来越多,而其中很大部分都是攻击者控制大量肉鸡来进行攻击的。如前段时间攻击韩国政府网站的事件,参与的肉鸡就达到几十万台。
比特网专稿:现在,来自网络的各种攻击越来越多,而其中很大部分都是攻击者控制大量肉鸡来进行攻击的。如前段时间攻击韩国政府网站的事件,参与的肉鸡就达到几十万台。这些肉鸡不仅成为攻击者实施攻击的工具,又成为其躲避责任的跳板,还加大网络追捕的难度。因此,防止我们的主机成为肉鸡,是保障网络安全中的关键的一环,同时也是我们应当承担的一份责任。
一、防止主机成为肉鸡的安全技术措施
由于操作系统和网络应用程序本身的设计不可能保证百分之百没有错误,它们自身存在某些危险的漏洞是不可避免的,要想最大程度地减少这个方面带来的安全风险,我们可以通过加固操作系统和使用安全软件的技术手段来解决。
1、操作系统加固
一个按默认方式安装的操作系统,其安全性是非常低的,我们必需在它连接到互联网之前,完成一些必要的系统加固工作,以提高它的安全性能。对于Windows XP系统,我们可以通过下列技术手段来达到加固系统的目的。
(1)、加强系统登录帐户和密码的安全
如果在系统安装的时候创建了一个登录帐户,那么,第一次系统登录将是以这个新建的帐户登录的,在登录后,及时为此帐户设置密码保护是必需的。设置的密码应当符合复杂性和最小长度的要求,复杂性要求就是在密码当中不仅要包括常用英文字母、数字,还应当使用字母的大小写,并加入特殊字符(如@、$、%等);而密码最小长度要求就是密码的所有字符数不应该小于8位。对用户自己建立的帐户添加密码保护可以在“控制面板”中的“用户帐户”中完成。
在对系统帐户进行密码保护的过程中,许多网络用户总是将Windows XP系统中的两个默认帐户忘记,这两个帐户就是默认的系统管理员帐户“administrator”及默认来宾“guest”。为了防止黑客通过这两个帐户登录系统,我们还S应当对它们进行必要的安全设置:在控制面板——管理工具——计算机管理——本地用户和组——用户中,用鼠标右击administrator帐户,在出现的右键菜单中选择“设置密码”,然后在出现的设置密码对话框中为它设置一个复杂的密码。重新右击administrator帐户,在出现的右键菜单中选择“重命名”,并为它取一个不常用的名字。完成对administrator帐户的安全设置后,对guest帐户做同样的操作。
如果你不想使用这两个帐户,应该将它们全部停用。在开始——运行框中输入gpedit.msc启动组策略编辑器,打开计算机配置——Windows设置——安全设置——本地策略——安全选项中,找到“帐户:管理员帐户状态”和“帐户:来宾帐户状态”,分别双击它们以打开其属性界面,然后选择“已禁用”即可停用这两个默认帐户。
为了进一步确保帐户安全,还应当在组策略编辑器中启用密码锁定策略。在组策略编辑器中打开计算机配置——Windows设置——安全设置——帐户策略——帐户锁定策略中,双击“帐户锁定阀值”,在出现的界面中输入重试密码的次数,一般设置为3次,然后将“帐户锁定时间”设定为30分钟。
(2)、取消远程协助和远程桌面连接
用鼠标右击桌面上的“我的电脑”图标,在出现的右键菜单中选择“属性”,在出现的“系统属性”界面中选择“远程”选项卡,然后取消“远程协助”和“远程桌面连接”复选框中的钩。
(3)、禁用危险的系统服务
在Windows XP系统中,一些端口与相应的系统服务是相关联的,有的服务还与系统中的特定端口相关联,例如Terminal Services服务与3389端口关联,以及Server服务就是为局域网提供共享服务的,同时包括IPC$共享。因此,禁用一些不需要的服务,不仅能降低系统资源的使用,而且能增强系统的安全性能。
在开始——运行框中输入“services.msc”,按回车后进入“服务”管理界面。对于防止主机成为肉鸡而言,我们应当将下列服务禁用:
NetMeeting Remote Desktop Sharing
Remote Desktop Help Session Manager
Remote Registry
Routing and Remote Access
Server
TCP/IP NetBIOS Helper
Telnet
Terminal Services
具体的操作方法是双击选择的服务名,打开服务属性界面,在其中的“启动类型”下拉列表框中,选择“已禁用”,然后按确定即可。下次重新启动系统后,这些已经禁用了的服务将再不会自动运行。
(4)、关闭137、138、139和445端口
进入“本地连接”属性界面,打开“Internet协议(TCP/IP)”属性,单击“高级”按钮,在出现的高级TCP/IP设置界面中的选择“WINS”选项,然后选择“禁用TCP/IP上的NetBIOS”的单项选择项,这样就关闭了137、138和139端口。同时,通过取消“本地连接”属性中的“Microsoft 打印机和文件共享”就可以关闭445端口。
(5)、启动系统审核策略
进入组策略编辑器,在计算机配置——Windows设置——安全设置——本地策略——审核策略中,将审核登录事件、审核对象访问、审核系统事件和审核帐户登录事件启用成功方式的审核。
(6)、用户权利指派
进入组策略编辑器,在计算机配置——Windows设置——安全设置——本地策略——用户权利指派中,将“从网络访问此计算机”策略中的所用用户都删除,在“拒绝从网络访问此计算机”策略中确保已有“everyone”帐户,然后再删除“通过终端服务允许登录”策略中的所有用户,并确保在“通过终端服务拒绝登录”策略中有“everyone”帐户。
(7)、禁用系统默认共享
进入组策略编辑器,在计算机配置——Windows设置——安全设置——安全选项中,将“网络访问:不允许SAM帐户的匿名枚举”及“网络访问:不允许SAM帐户和共享的匿名枚举”全部启用;将“网络访问:可匿名访问的共享”、“可匿名访问的管道”及“可远程访问的注册表路径”中的内容全部删除。
再在开始——运行框中输入“regedit”打开注册表编辑器,进入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters项,在其右边新建一个键值名为“Autoshareserver”,键值为0的DWORD值,这样就可以禁止系统C$、D$、E$等方式的共享;为了能禁止admin$共享,还应当在此注册表项中新建一个键值名为“Autosharewks”,键值为0的DWORD值。
最后,打开“资源管理器”,选择“工具”菜单中的“文件夹选项”,在出现的文件夹选项界面中的“高级设置”框中,取消“使用简单文件共享”。
2、使用安全软件
当完成对操作系统的安全加固后,我们还应当安装相应的安全软件来进一步增强系统的安全性能。对于普通的工作站来说,可以通过安装杀毒软件和防火墙的方式来达到进一步增强系统安全性的要求。
(1)、安装杀毒软件
在系统中安装杀毒软件主要用来防止特洛伊木马对系统的控制和破坏。虽然杀毒软件对一些新出现的技术高超的木马程序无能为力,但是对于已经出现了的木马还是有一定的查杀能力的。现在市面上的杀毒软件都是使用病毒库来查杀木马的,因此,当我们安装好杀毒软件后,一定要立即更新它的病毒库到最新状态,如有必要,还应当设置每天按时自动更新病毒库。目前市面上的杀毒软件产品繁多,有商业的,有免费的,一些比较受用户欢迎的杀毒软件有瑞星、卡巴斯基、AVG Anti-Virus Free Edition、Ad-Aware 2008和Avast Home Edition等。
由于有时杀毒软件并不能防止最新出现的木马,因此,为了能防止系统感染这些木马,我们还应当安装具有主动防御功能的安全软件来保护系统。目前,360安全卫士是这类软件中功能比较好的国产软件。切记,在安装完360安全卫士后,一定要记得开启它所有的实时保护。
(2)、安装防火墙
我们已经了解到,黑客的入侵活动都是从扫描系统中是否开放有高危端口开始的,因此,我们必需将系统中的一些高危端口(如135、137、138、139、445、3389等)禁用,以减少这些端口带来的安全风险。同时,我们还应当限制系统中能够与互联网通信的进程和应用程序,以减少网络应用程序本身漏洞带来的安全风险。所有的这些都是通过防火墙来完成的。
虽然Windows XP系统本身带有一个“Internet 防火墙”,但是它功能太过简单,远远不能满足日益增长的安全防范需求,因此,我们必需通过安装第三方提供的防火墙软件来解决这些问题。
现在市面上存在的防火墙不仅具有包过滤和应用程序跟踪的基本防火墙功能,它们还具有属于自己的独特功能。例如,KFW防火墙不仅是一款免费的防火墙软件,而且在提供基本防火墙功能的同时,还具有显示网络攻击者IP地址的功能,并可查询攻击者IP地址的来源。而且,KFW防火墙的界面非常简单,防火墙规则也很容易配置,各类用户都可以很快就上手。
另一个防火墙是比KFW功能更加全面,保护能力更加强大的Tiny Firewall防火墙。它不仅具有普通应用层防火墙的功能,还具有IDS、文件完整性检测和主动防御的功能。并且还为用户提供了一个实时网络连接监控功能,可以让用户随时掌握当前的网络连接情况,了解连接的网络应用程序都使用了哪些端口,连接到了什么目标上,并直接显示出对方的IP地址。Tiny Firewall防火墙的网络连接监控界面,可以通过双击任务栏右下角的Tiny Firewall防火墙图标就可以显示。图1就是它的网络连接监控界面。
图1 Tiny Firewall防火墙网络连接监控界面
根据我个人的安全软件使用经验,我建议网络用户同时使用Tiny Firewall防火墙和360安全卫士,以此来为系统构建一个深度的主动防御体系。当同时使用这两个安全软件来保护系统时,假设某个未知的木马程序想要运行,360安全卫士就会率先向用户提示禁止并删除这个木马。一旦360安全卫士不能检测到这个未知木马,那么Tiny Firewall防火墙就会提示用户是否允许这个程序运行,此时,直接选择提示界面中的“Don't Run”就可以禁止木马的运行。因此,虽然Tiny Firewall防火墙是商业软件,而且目前只有英文版本,但是,雪源梅香还是建议喜欢性能优越的网络用户使用它。
(3)、使用代理服务器
黑客要想扫描我们的计算机,就必需先知道我们所使用的计算机连网以后所使用的公网IP地址。如果能恰当地隐藏这个公网IP地址,黑客就不会轻易地得道它,也就不可能对我们的计算机进行相应的漏洞扫描了。
隐藏IP地址最好的方式就是使用代理服务器。对于普通的网络用户来说,可以通过使用HTTP代理和在计算机上安装简单的代理软件来达到隐藏IP地址的目的。
现在互联网上提供HTTP代理的网站有许多,通过搜索引擎就能找出一大堆,不过,由于我国对这些提供HTTP代理的网站进行屏蔽,在一段时间后,一些提供免费HTTP代理的网站就不能使用了,因此,我们不得不重新搜索新的代理网站。使用HTTP代理非常简单,进入提供此功能的网站,例如http://www.unblockany.com/,在“请输入要访问的URL”文本框中填入要访问的站点,就可以通过隐藏IP的方式浏览这些网站。
但是,使用HTTP代理只能防止由于浏览网页而泄漏IP地址的风险,要想隐藏其它网络活动时的IP地址,例如进行的QQ聊天,就必需通过在系统中安装代理服务器软件的方法来解决。Socksonline.exe是一个不需要安装的,在Windows系统下运行的代理服务器软件。运行Socksonline后,只需要在各类网络应用程序的代理服务器设置界面,选择使用SOCKS5代理,在代理服务器地址栏中填入127.0.0.1或localhost,在代理端口中填入1080,这些网络应用软件就可以使用Socksonline代理服务器提供的代理功能连接到互联网中。这样黑客看到的只是代理服务器的IP地址,而真实的IP地址已经被隐藏。
二、防止主机成为肉鸡的管理措施
安全管理措施实际上就是对技术措施的补充和加强,它与安全技术措施是相互相承的。就算我们对系统的安全技术措施做得再好,如果不能对系统进行有效的安全管理和对自己的网络行为进行控制,那么,这些已经实施了的安全技术措施,就成为了一种没有实际作用的摆设。
对系统实施安全管理措施可以分成两个部分来执行:系统安全管理和用户网络操作行为管理。下面就来详细说明这两个方面应当包括的具体内容。
1、 系统安全管理
一个全面的系统安全管理应当包括下列所示的内容:
(1)、操作系统漏洞补丁管理。为系统打补丁是一件非常重要的工作,这也是防止黑客通过系统漏洞获取肉鸡的主要方法之一,我们可以通过360安全卫士的“修复系统漏洞”功能来完成,至于更新的次数,可以每天一次。
(2)、网络应用程序版本更新。我们应当及时升级QQ、MSN及网络浏览器等网络应用程序到最新版本,这些软件的最新版本往往修复了原来的漏洞,并且拥有更高的安全性能。
(3)、杀毒软件病毒库和防火墙规则审查。虽然杀毒软件都可以通过自动更新方式更新病毒库,我还是建议你养成按时手动更新病毒库的习惯,并且,在每次手动杀毒前进行手动更新病毒库一次。同时,对于防火墙规则,尤其是应用程序规则,我们要经常检查是否添加了不明规则,以便及时取消。还应当经常审查防火墙的日志记录,了解它的网络拦截情况,以便能及时发现黑客入侵等问题。
(4)、定期检查系统审核日志。我们在上面已经对系统开启了几种系统事件的审核,经常检查这些审核产生的日志,能及时发现系统是否已经被入侵,或者已经受到过某种入侵行为的侵扰。
(5)、在使用计算机之前,或使用当中,要养成查看系统当时运行进程的习惯,以便能及时发现已经在系统中运行却没有被杀毒软件检测到的非法进程。通过360安全卫士的“系统全面诊断”就能查看到当前系统中正在运行的进程的详细信息。
(6)、在连网过程中,要经常查看目前的网络连接情况,以便能及时发现不正常的网络连接。如果你没有安装上面提到的Tiny Firewall防火墙,仍然可以通过360安全卫士“高级”选项卡中的“网络连接状态”来了解当前系统的网络连接状况。
2、 用户网络操作行为管理
每一个网络用户,在完成日常的系统安全管理工作后,还应当对自己的网络行为等方面进行控制和管理,要控制和管理的内容包括:
(1)、使用安全性能高的浏览器(如傲游、世界之窗和360安全浏览器等)。 只去正规的网站浏览新闻,下载MP3、MP4和软件等。最好使用波波虎、风行及QQLive等软件来观看电影或电视,以减少进入危险网站的风险。
(2)、要养成只在浏览器地址栏中输入URL访问网站的习惯,对要输入的域名要确认其正确与否。最好不要轻易点击网页上进入其它网站的链接,以防止进入挂有木马的傀儡网站,减少被网络钓鱼的风险。
(3)、不要去浏览色情、赌博网站,以及不正规的彩票操作、股票基金及财富项目加盟类网站。
(4)、不要轻易将陌生人加为QQ或MSN好友,对对方式发过来的文件、图片和音视频等文件不要轻易接收,除非你知道它们是安全可靠的。
(5)、要控制自己的好奇心,对无故中大奖、免费得游戏币等好事不要轻易相信,也不要盲目点击这一类的广告,以防止被网络钓鱼。
(6)、应当使用安全性能高的网络应用程序。例如搜索引擎最好使用Google,它能够将搜索到的可能含有某种安全风险的网站直接标识出来,并且不能进入。从网络下载各种资料时最好使用迅雷,它不仅下载速度快,而且还可以在下载前检查要下载的文件是否安全,一旦发现它们有问题,就会提示用户是否继续下载。使用这些安全性能高的网络应用程序,能大大减少被木马控制的风险。
(7)、对于突然接到的某个自称是电信、计算机销售商及银行等企业的服务人员打来的电话,如果你不熟悉这个电话号码,或者不熟悉对方的声音,你一定要提高警惕。尤其当他们向你询问有关系统、电子邮件、网上银行帐户等机密信息时,你一定要马上拒绝。同时,对于上门服务的人员,你一定仔细检查他们的工作证,并且要在一旁观看他们操作的全过程,所有需要输入帐户和密码的地方,都得由你自己来输入。我们只有对与此相似的事件保持高度的怀疑,才能有效地防止黑客通过社会工程的方式来控制你的主机成为肉鸡。
总而言之,只有网络用户认识到了肉鸡的危害性,不断了解各个时期黑客们获取肉鸡的手段,并且认真细致地对系统实施相应的安全技术和安全管理措施,才能在计算机生命周期的各个阶段防止自己的计算机成为黑客们的肉鸡。
本文来源:https://www.2haoxitong.net/k/doc/6503f2115fbfc77da369b1c6.html
文档为doc格式