计算机网络攻防技术的分析与研究

计算机网络攻防技术的分析与研究

张济源

（长春大学 计算机科学技术学院 长春 130000）

摘要：本文主要介绍Windows系统漏洞攻防、木马攻防、病毒攻防、后门攻防、智能手机病毒与木马攻防，会从安全威胁产生的原因、特点、分类以及中病毒后的表现进行介绍，会介绍各种攻击防御的方法。
关键词：攻防；病毒；木马；漏洞；后门；智能手机病毒与木马

Analysis and Research on Attack and Defense Technology of Computer Network

ZHANG Jiyuan

(College of Computer Science and Technology, Changchun University, Changchun 130000)

Abstract:This article mainly introduces Windows system vulnerability attack and defense, Trojan attack and defense, virus attack and defense, backdoor attack and defense, smart phone virus and Trojan attack and defense, will introduce the causes, characteristics, classification and performance of the virus after the security threat, will introduce various The method of attack defense.

Keywords:Attack and Defense; Virus; Trojan; Vulnerability; Backdoor; Smartphone virus and Trojan

0 引言

在信息化飞速发展的今天，计算机网络得到了广泛的应用但随着网络之间信息传输的急剧增长，一些机构部门在得益于网络加快业务运作的同时，其上网的数据也遭到了不同程度的攻击和破坏。在当前的Internet 上有一批熟谙网络技术的人，其中不乏网络天才，他们只是经常利用网络上现存的漏洞，想法设法进入他人的计算机网络系统，探究他人的隐私等但并不会对他人的计算机造成危害。许多网络系统都存在着这样的漏洞，也有可能是系统本身所有的，也有可能是由于网关的疏忽而造成的的，黑客利用这些漏洞就能完成密码探测、系统入侵等攻击。对于系统本身的漏洞，可以安装软件补丁；另外网管也需要仔细工作，尽量避免因疏忽而使目的邮箱被撑爆而无法使用。攻击者不仅可以窃听网络上信息，窃听用户口令、数据库的信息；还可以篡改数据库内容，伪造用户身份，否认自己的签名。更有甚者，他们删除数据库的内容，摧毁网络节点，释放计算机病毒等等，这些都使数据的安全性和自身的利益受到了严重的威胁。
随着我国互联网行业的飞速发展，木马、后门、病毒等计算机恶意程序也越来越成为广大计算机用户面临的最大网络危害。网络安全防护形势严峻木马问题引发社会关注。

1 Windows系统漏洞攻防

漏洞是硬件、软件、协议的具体实现或系统安全策略上存在缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。这个缺陷或错误将可能被不法者或黑客利用，通过植入木马、病毒等方式攻击或控制整个计算机，从而窃取计算机中的重要性资料和信息，甚至破坏系统。
计算机系统漏洞的产生大致有三个原因：（1）程序逻辑结构设计不合理，不严谨；（2）程序设计错误漏洞；（3）硬件限制。
在这里主要介绍Windows XP系统常见漏洞和Windows 7系统常见漏洞，Windows XP 系统常见的漏洞有UPNP服务漏洞、升级程序漏洞、帮助和支持中心漏洞、压缩文件夹漏洞、服务拒绝漏洞、Windows Media Player漏洞、RDP漏洞、热键漏洞、账号快速切换漏洞等。而Windows 7系统常见的漏洞就比Windows XP的漏洞少很多了，主要有快捷方式漏洞、SMB协议漏洞。

1.1 Windows XP系统常见漏洞

（1）UPNP服务漏洞
漏洞描述：允许攻击者执行任意指令。
防御策略：禁用UPNP服务之后，下载并安装对应的补丁程序。
（2）升级程序漏洞
漏洞描述：如将Windows XP 升级至Windows Prp,IE会重新安装，以前的补丁程序将会被全部清除。
防御策略：如IE浏览器未下载升级补丁可至微软网站下载最新的补丁程序。
（3）帮助和支持中心漏洞
漏洞描述：删除用户系统文件
防御策略：安装Windows XP的Service Pack 3。
（4）压缩文件夹漏洞
漏洞描述：Windows XP压缩文件夹可按攻击者的选择运行代码。
防御策略：不接收不信任的邮件附件，也不下载不信任的文件。
（5）服务拒绝漏洞
漏洞描述：服务拒绝
防御策略：关闭PPTP服务
（6）Windows Media Player漏洞
漏洞描述：可能导致用户信息的泄露；脚本的调用；缓存路径泄露
（7）RDP漏洞
漏洞描述：信息泄露并拒绝服务
防御策略：Windows XP默认并启动它的远程桌面服务。即使远程桌面服务启动，只需要在防火墙中屏蔽3389端口，就可以避免该攻击了。
（8）VM漏洞
漏洞描述：可能会造成信息泄露，并执行攻击者代码
防御策略：经常进行相关软件的安全更新。
（9）热键漏洞：
漏洞描述：设置热键后，由于Windows XP的自注销功能，可使系统“假注销”，其他用户即可通过热键调用程序。
防御策略：
①由于该漏洞被利用的前提为热键所用，因此需检查可能会带来危害的程序和服务的热键。
②启动屏幕保护程序，并设置密码
③在离开计算机时锁定计算机
（10）账号快速切换漏洞
漏洞描述：Windows XP快速账号切换功能存在问题，可造成账号锁定，使所有非管理员账号均无法登录。
防御策略：被锁定后可注销计算机，重新进入账号。
（10）代码文件自动升级漏洞
漏洞描述：该漏洞可攻击任何一台提供PPTP服务的服务器，对于PPTP服务客户端的工作站，攻击者只需激活PPTP会话，即可进行攻击。对任何遭到攻击系统，可通过重启来恢复正常的操作。
防御策略：建议不默认启动PPTP。

1.2 Windows 7系统常见漏洞

（1）快捷方式漏洞
漏洞描述：快捷方式漏洞是Windows Shell框架中存在的一个危机安全漏洞，在Shell32.dll的解析过程中，会通过“快捷方式”的文件格式去逐个解析：首先找到快捷方式所指向的文件路径，接着找到快捷方式依赖图标的图标资源。这样，Windows桌面和开始菜单上就可以看到各种漂亮的图标，我们点击这些快捷方式时，就会执行相应的程序。
微软lnk漏洞就是利用了系统解析的机制，攻击者恶意构造一个特殊的lnk(快捷方式)文件，精心构造一串程序代码来骗过操作系统。当Shell32.dll解析到这串编码的时候，会认为这个“快捷方式”依赖一个系统控件（dll文件），于是将这个“系统控件”加载到内存中执行。如果这个“系统控件”是病毒，那么Windows在解析这个lnk(快捷方式)时，就把病毒激活了。该病毒很可能通过USB存储器进行进行传播。
防御策略：禁用USB存储器的自动运行功能，并且手动检查USB存储器的根文件夹。
（2）SMB协议漏洞
漏洞描述：SMB协议只要是作为Microsoft网络的网络通信协议。用于在计算机间共享文件、打印机、串口等。当用户执行SMB2协议时，系统将会受到网络攻击，从而导致系统崩溃或重启。因此只要故意发送一个错取得网络协议请求，Windows 7系统就会页面错误，导致蓝屏会死机。
防御策略：关闭SMB服务。

1.3 PRC服务远程漏洞入侵及防御实战

DcomRpc漏洞往往是利用溢出工具来完成入侵，其实“溢出”在一定程度上也可以看成系统内的“间谍”，它对黑客们的入侵一呼即应，一应即将所有的权限拱手让人。所以需认识DcomRpc漏洞入侵手段，以便更好地做好计算机的安全防护。
Rpc服务作为操作系统中一个重要服务，其描述为“提供终结点映射程序及其他RPC服务”，系统大多数功能和服务都依赖于它。目前已知的DcomRpc接口漏洞有MS03-026(DocRpc接口堆栈缓冲区溢出漏洞)、MS03-039（堆栈出漏洞）和一个RPC包长度域造成的漏洞和另外几个拒绝服务漏洞。
要利用这个漏洞，可以发送畸形请求给远程服务器监听的特定DcoRpc漏洞溢出攻击前，用户需下载DcoRpc.xpn作为X-scan插件，复制到X-scan所在文件夹的Plugin文件夹中，扩展X-scan的扫描DcoRPc漏洞的功能，也可下载RpcDcom.exe专用DcomRPC漏洞扫描工具，扫描具有DcoRPC漏洞的目标主机，使用网上诸多的DcoRPC溢出工具进行攻击。
RPC服务远程漏洞入侵具体的操作方法如下：
（1）运行X-scan扫描工具，选择“设置”-“扫描参数”菜单项，即可弹出“扫描参数”对话框。选择“全局设置”-“扫描模块”选项，即可看到增加的“DcoRPC溢出漏洞”模块。
（2）在使用X-Scan扫描到具有DcoRpc接口漏洞的主机时，可以看到在X-Scan中有明显的提示信息。如果使用RpcDcom.exe专用DcomRPC溢出漏洞扫描工具，则可先打开“命令提示符”窗口，进入RpcDcom.exe所在文件夹，执行“RpcDcom-d IP 地址”命令后，开始扫描并看到最终的扫描结果。
如果操作成功，则执行溢出操作将立即得到了被入侵主机的系统管理员权限了。
RPC服务远程漏洞防御具体的操作方法如下：
（1）打好补丁
尽可能的在服务厂商的网站中下载补丁；打补丁的时候务必注意相应的系统版本。
（2）封锁135端口
135端口非常的危险，但是却难以了解其用途无法实际感受到其危险性的代表性端口之一，该工具是由提供安全相关技术信息和工具类软件的“SecurityFriday.com”公司提供的。以简单明了的形式验证了135端口的危险性，不过，由于该工具的特征代码追加到了病毒定义库文件中。如果在安装了该公司的病毒扫描软件中的计算机中安装了IE,EN,就有可能将其视为病毒。
（3）关闭RPC服务
关闭RPC服务也是防范DcomRPC漏洞攻击的方法之一，而且效果非常的彻底。具体方法方法为：选择“开始”-“设置”-“控制面板”-“管理工具”菜单项，即可打开“管理工具”窗口。双击“服务”图标，即可打开“服务”窗口。双击打开“Remote Procedure Call”属性窗口，在属性窗口中将启动类型设置为“已禁用”，这样自下次启动开始RPC就将不再启动。要想将设置为有效，需在注册表编辑器中将“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlServices\RpcSs”的“Start”的值由0x04变成0x02后，重新启动计算机即可。
但进行这种设置后，将会给Windows运行带来很大影响，这是因为Windows的很多服务都依赖RPC,而这些服务在将RPC设置为无效后将无法正常启动。由于这样做弊端非常大，因此一般来说，不能关闭RPC服务。
（4）手动为计算机启用（或禁用）DCOM
以Windows 7为例，在“运行”中输入Dcomcnfg,单击“确定”按钮。依次选择“控制台节点”，“组件服务”，“计算机”，“我的电脑”选项找到属性，选择“默认属性”选项卡，取消勾选“在此计