计算机安全问题 -标准化文件发布号：（9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII IP地址盗用技术简介及防范措施 一、IP地址盗用方法分析 IP地址的盗用方法多种多样，其常用方法主要有以下几种： 1、静态修改IP地址 对于任何一个TCP/IP实现来 说，IP地址都是其用户配置的必选项。如果用户在配置TCP/IP或修改TCP/IP配置时，使用的不是授权机构分配的IP地址，就形成了IP地址盗用。由于IP地址是一个逻辑地址，是一个需要用户设置的值，因此无法限制用户对于IP地址的静态修改，除非使用DHCP服务器分配IP地址，但又会带来其它管理问题。 2、成对修改IP-MAC地址 对于静态修改IP地址的问题，现在很多单位都采用静态路由技术加以解决。针对静态路由技术，IP盗用技术又有了新的发展，即成对修改IP-MAC地址。MAC地址是设备的硬件地址，对于我们常用的以太网来说，即俗称的计算机网卡地址。每一个网卡的MAC地址在所有以太网设备中必须是唯一的，它由IEEE分配，是固化在网卡上的，一般不能随意改动。但是，现在的一些兼容网卡，其MAC地址可以使用网卡配置程序进行修改。如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址，那静态路由技术就无能为力了。 另外，对于那些MAC地址不能直接修改的网卡来说，用户还可以采用软件的办法来修改MAC地址，即通过修改底层网络软件达到欺骗上层网络软件的目的。 3、动态修改IP地址 对于一些黑客高手来说，直接编写程序在网络上收发数据包，绕过上层网络软件，动态修改自己的IP地址(或IP-MAC地址对)，达到IP欺骗并不是一件很困难的事。

二、防范技术 针对IP盗用问题，网络专家采用了各种防范技术，现在比较通常的防范技术主要是根据TCP/IP的层次结构，在不同的层次采用不同的方法来防止IP地址的盗用。 1、交换机控制 解决IP地址的最彻底的方法是使用交换机进行控制，即在TCP/IP第二层进行控制：使用交换机提供的端口的单地址工作模式，即交换机的每一个端口只允许一台主机通过该端口访问网络，任何其它地址的主机的访问被拒绝。但此方案的最大缺点在于它需要网络上全部采用交换机提供用户接入，这在交换机相对昂贵的今天不是一个能够普遍采用的解决方案。 2、路由器隔离 采用路由器隔离的办法其主要依据是MAC地址作为以太网卡地址全球唯一不能改变。其实现方法为通过SNMP协议定期扫描校园网各路由器的ARP表，获得当前IP和MAC的对照关系，和事先合法的IP和MAC地址比较，如不一致，则为非法访问。对于非法访问，有几种办法可以制止，如： a.使用正确的IP与MAC地址映射覆盖非法的IP-MAC表项； b.向非法访问的主机发送ICMP不可达的欺骗包，干扰其数据发送； c.修改路由器的存取控制列表，禁止非法访问。 路由器隔离的另外一种实现方法是使用静态ARP表，即路由器中IP与MAC地址的映射不通过ARP来获得，而采用静态设置。这样，当非法访问的IP地址和MAC地址不一致时，路由器根据正确的静态设置转发的帧就不会到达非法主机。 路由器隔离技术能够较好地解决IP地址的盗用问题，但是如果非法用户针对其理论依据进行破坏，成对修改IP-MAC地址，对这样的IP地址盗用它就无能为力了。 3、防火墙与代理服务器 使用防火墙与代理服务器相结合，也能较好地解决IP地址盗用问题：防火墙用来隔离内部网络和外部网络，用户访问外部网络通过代理服务器进行。使用这样的办法是将IP防盗放到应用层来解决，变IP管理为用户身份和口令的管理，因为用户对于网络的使用归根结底是要使用网络应用。这样实现的好处是，盗用IP地址只能在子网内使用，失去盗用的意义；合法用户可以选择任意一台IP主机使用，通过代理服务器访问外部网络资源，而无权用户即使盗用IP，也没有身份和密码，不能使用外部网络。 如何防止ASP木马在服务器上运行 如果您的服务器正在受ASP木马的困扰，那么希望这篇文章能帮您解决您所面临的问题。 目前比较流行的ASP木马主要通过三种技术来进行对服务器的相关操作。 一、使用FileSystemObject组件 FileSystemObject可以对文件进行常规操作 可以通过修改注册表，将此组件改名，来防止此类木马的危害。 HKEY_CLASSES_ROOT\\ 改名为其它的名字，如：改为FileSystemObject_ChangeName 自己以后调用的时候使用这个就可以正常调用此组件了 也要将clsid值也改一下 HKEY_CLASSES_ROOT\\CLSID\项目的值 也可以将其删除，来防止此类木马的危害。 注销此组件命令：RegSrv32 /u C:\WINNT\SYSTEM\ 禁止Guest用户使用来防止调用此组件。 使用命令：cacls C:\WINNT\system32\ /e /d guests 二、使用组件 可以调用系统内核运行DOS基本命令 可以通过修改注册表，将此组件改名，来防止此类木马的危害。 HKEY_CLASSES_ROOT\\及HKEY_CLASSES_ROOT\ 改名为其它的名字，如：改为或 自己以后调用的时候使用这个就可以正常调用此组件了 也要将clsid值也改一下 HKEY_CLASSES_ROOT\\CLSID\项目的值 HKEY_CLASSES_ROOT\项目的值 也可以将其删除，来防止此类木马的危害。 三、使用组件 可以调用系统内核运行DOS基本命令 可以通过修改注册表，将此组件改名，来防止此类木马的危害。 HKEY_CLASSES_ROOT\\ 及HKEY_CLASSES_ROOT\ 改名为其它的名字，如：改为或 自己以后调用的时候使用这个就可以正常调用此组件了 也要将clsid值也改一下 HKEY_CLASSES_ROOT\\CLSID\项目的值 HKEY_CLASSES_ROOT\\CLSID\项目的值 也可以将其删除，来防止此类木马的危害。 禁止Guest用户使用来防止调用此组件。 使用命令：cacls C:\WINNT\system32\ /e /d guests 注：操作均需要重新启动WEB服务后才会生效。 四、调用 禁用Guests组用户调用 cacls C:\WINNT\system32\ /e /d guests 通过以上四步的设置基本可以防范目前比较流行的几种木马，但最有效的办法还是通过综合安全设置，将服务器、程序安全都达到一定标准，才可能将安全等级设置较高，防范更多非法入侵。 普遍存在的在线安全四个误区

Internet上，很多机器都因为很糟糕的在线安全设置，无意间在机器和系统中留下了“后门”，也就相当于给入侵者打开了大门。如果入侵者们在你的设置中发现了安全方面的漏洞，就会对你发起攻击。其结果可能影响不太，如降低你的速度或者让你的机器崩溃；也可能很严重，例如打开你的机密文件、偷窃口令和信用卡密码。但是很多人并不以为然，因为他们在网络安全方面还存在四个误区。 误区一：我没有连接其他网络，所以很安全。可以上网的独立机器，与一台商业网络中心的机器相比，所使用的网络协议仍然有一些甚至全部相同，而一台商业网络中心的机器还可能安装了公共防火墙或者有专门负责安全的人员。与此形成强烈对比的是，一些用于家庭、办公室、小公司的个人用机却是门户大开，完全没有防范入侵者的能力。这种威胁是很现实的：如果你使用了Cable Modem或是DSL连接上网，而且在网上的时间很长，一天里也许就会有2到4个卑鄙的入侵者企图攻击你。 误区二：我用拨号上网，所以是安全的。每次当你开始拨号上网，你使用的IP地址都会不同，也就是动态IP，所以相比静态IP的用户而言，入侵者的确很难找到你，但是有一些入侵软件已经发展到可以在1个小时以内逐个扫描上万个IP地址的能力，所以只要入侵者使用了这些工具，即使是拨号上网的用户也可能受到攻击。 误区三：我使用了防病毒软件，所以很安全。一个好的病毒软件确实是在线安全不可或缺的部分，但是也是很小的一个部分。它能够通过检测病毒和类似的问题保护你，但是它们对防范入侵者、对带有恶意的合法程序却无能为力。 误区四：我使用了防火墙，所以很安全。防火墙是很有用处，但是如果你的机器总是采用一些不够安全的方式接收和发送数据，而你又仅仅依靠一些附加的程序提供安全，这就等于把所有的蛋放在一个篮子里，一旦防火墙软件出现Bug或者有漏洞，那你就很危险了。另外，防火墙对于病毒一类的软件完全没有防范能力，尤其是那些带有恶意的，悄悄地向你的机器发送或提取数据的程序。最后，一些防火墙软件还可能帮倒忙，因为它们的厂商在广告中把产品的特点已经广泛介绍出去，可能招致一些专门针对它们弱点的攻击。 用Windows工具揪出隐藏的“QQ尾巴” “QQ尾巴”是利用Windows系统下Internet Explorer的iFrame系统漏洞自动运行的一种恶意木马程序。该木马病毒会偷偷潜藏在用户的系统中，发作时会寻找QQ窗口并给在线QQ好友发送诸如“有我的照片”、“这是一个很不错的网站”或“快去这看看，里面有蛮好的东西”之类的假消息，诱惑用户点击一个网站，如果有人信以为真点击该链接的话，就会被病毒感染，然后成为毒源，继续传播。用户除了可以下载“QQ尾巴专杀工具”等对其进行查杀外，还可以使用Windows查找工具将它从用户系统中“甩”出去。 用户从开始菜单中选择“查找→文件或文件夹”并打开系统“查找”对话框： 步骤一：切换到“名称与位置”选项卡，在“名称”和“包含文字”框中输入QQ那段“虚假消息”的文字，如一段网址或“一个很不错的网站”等，将“搜索”范围指定到C:\WINDOWS\并选中“包含子文件夹”选项。 步骤二：切换到“日期”选项卡，选中“查找所有文件”选项并在其右侧下拉菜单列表中选择“创建时间”，在“介于×年×月×日和×年×月×日”选项中选择发现QQ发生异常的上一个可以正常聊天的日期，当然也可以是浏览过QQ信息中虚假网址的当天。 步骤三：进行完上述所有设置后，单击“查找”，Windows查找工具会分别在C:\WINDOWS\文件夹中找到一个名为Sendmess的应用程序和C:\WINDOWS\TEMP\文件夹中找到一个名为Younv的应用程序，用户在安全模式下将它们进行清除一下即可完成“QQ尾巴”木马病毒的查杀。 用命令检查电脑是否被安装木马 一些基本的命令往往可以在保护网络安全上起到很大的作用，下面几条命令的作用就非常突出。 检测网络连接 如果你怀疑自己的计算机上被别人安装了木马，或者是中了病毒，但是手里没有完善的工具来检测是不是真有这样的事情发生，那可以使用Windows自带的网络命令来看看谁在连接你的计算机。具体的命令格式是：netstat -an这个命令能看到所有和本地计算机建立连接的IP，它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息，我们就可以完全监控计算机上的连接，从而达到控制计算机的目的。 禁用不明服务 很多朋友在某天系统重新启动后会发现计算机速度变慢了，不管怎么优化都慢，用杀毒软件也查不出问题，这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务，比如IIS信息服务等，这样你的杀毒软件是查不出来的。但是别急，可以通过“net start”来查看系统中究竟有什么服务在开启，如果发现了不是自己开放的服务，我们就可以有针对性地禁用这个服务了。方法就是直接输入“net start”来查看服务，再用“net stop server”来禁止服务。 轻松检查账户 很长一段时间，恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户，但这个账户是不经常用的，然后使用工具把这个账户提升到管理员权限，从表面上看来这个账户还是和原来一样，但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。为了避免这种情况，可以用很简单的方法对账户进行检测。 首先在命令行下输入net user，查看计算机上有些什么用户，然后再使用“net user+用户名”查看这个用户是属于什么权限的，一般除了Administrator是administrators组的，其他都不是!如果你发现一个系统内置的用户是属于administrators组的，那几乎肯定你被入侵了，而且别人在你的计算机上克隆了账户。快使用“net user用户名/del”来删掉这个用户吧！ 电脑病毒最新隐身趋势及应对方法 目前病毒的反杀毒技术有了新动向，主要是采用了隐身方法。病毒采用的隐身方法据称有下列两种：一是频繁自我删除启动项和文件，就是开机后删除，关机前再创建，例如