【正文】 的 標(biāo) 準(zhǔn) 協(xié)議 和 主 要 方 式 。 它 為 用 戶(hù) 提 供 了 在 本 地 計(jì) 算 機(jī) 上 完 成 遠(yuǎn) 程 主 機(jī) 工 作 的 能 力 。 在 終 端使 用 者 的 電 腦 上 使 用 tel 程 序 ， 用 它 連 接 到 服 務(wù) 器 。 終 端 使 用 者 可 以 在tel 程 序 中 輸 入 命 令 ， 這 些 命 令 會(huì) 在 服 務(wù) 器 上 運(yùn) 行 ， 就 像 直 接 在 服 務(wù) 器 的 控 制 臺(tái)上 輸 入 一 樣 。 可 以 在 本 地 就 能 控 制 服 務(wù) 器 。 要 開(kāi) 始 一 個(gè) tel 會(huì) 話(huà) ， 必 須 輸 入 用戶(hù) 名 和 密 碼 來(lái) 登 錄 服 務(wù) 器 。 Tel 是 常 用 的 遠(yuǎn) 程 控 制 Web 服 務(wù) 器 的 方 法 。tel 可能是黑客常用的攻擊方式，我們可以通過(guò)修改 tel 服務(wù)端口，停用tel 服務(wù)，甚至把 tel 控制臺(tái)管理工具刪除。具體方法如下：通過(guò)修改 tel 端口來(lái)防止黑客輕易入侵在命令提示符窗口中輸入 Tlntadmn config port=168 命令，回車(chē)后即可將 tel 端口修改成 168，如圖 41 所示。圖 41 修改 tel 服務(wù)端口如果將 tel 的最大連接數(shù)設(shè)為 0，這樣就可以讓一般的黑客豪無(wú)辦法，設(shè)置方法同上。如果根本不需要 tel，完全可以把它刪掉，因?yàn)樵摲?wù)實(shí)在是太危險(xiǎn)了，直接把系統(tǒng)安裝目錄中的 system32 中的 刪除掉，這樣黑客想用 tel入侵就會(huì)非常困難了 [20]。 防止 Administrator賬號(hào)被破解 Windows 2022/xp/2022 系統(tǒng)的 Administrator 賬號(hào)是不能被停用的，也不能設(shè)置安理工學(xué)院畢業(yè)設(shè)計(jì)（論文）27全策略，這樣黑客就可以一遍又一遍地嘗試這個(gè)賬號(hào)的密碼，直到被破解，為了防止這種侵入，我們可以把 Administrator 賬號(hào)更名：在“組策略”窗口中，依次展開(kāi)“本地計(jì)算機(jī)策略”/“計(jì)算機(jī)配置”/“windows 設(shè)置”/“安全設(shè)置”/“本地策略”/“安全選項(xiàng)”功能分支。重命名系統(tǒng)管理員帳戶(hù)“屬性”對(duì)話(huà)框，在此輸入新的管理員名稱(chēng)，盡量把它為普通用戶(hù)，然后另建一個(gè)超過(guò) 10 位的超級(jí)復(fù)雜密碼，并對(duì)該賬號(hào)啟用審核，這樣即使黑客費(fèi)力破解到密碼也殺一無(wú)所獲。另外為了防止黑客通過(guò) Guest賬號(hào)登錄計(jì)算機(jī)，可以在“組策略”中刪除 Guest 賬號(hào)。 防止賬號(hào)被暴力破解 黑客攻擊入侵，大部分利用漏洞，通過(guò)提升權(quán)限成為管理員，這一切都跟用戶(hù)賬號(hào)緊密相連。防范方法：通過(guò)修改注冊(cè)表來(lái)禁用空用戶(hù)連接。在注冊(cè)表編輯器中找到如下子鍵 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA,在其窗口新建一個(gè)名為 RestrictAnonymous 的 DWORD 值將其設(shè)為 1，如圖 42 所示。圖 42 禁用空用戶(hù)連接第 4 章 網(wǎng)絡(luò)安全防范設(shè)計(jì)28 “木馬”防范措施 “木馬”的概述特洛伊木馬是一種隱藏了具有攻擊性的應(yīng)用程序。與病毒不同，它不具備復(fù)制能力，其功能具有破壞性。大部分“木馬”采用 C/S 運(yùn)行模式，當(dāng)服務(wù)端在目標(biāo)計(jì)算機(jī)上被運(yùn)行后，打開(kāi)一個(gè)特定的端口進(jìn)行監(jiān)聽(tīng)，當(dāng)客戶(hù)端向服務(wù)器發(fā)出連接請(qǐng)求時(shí)，服務(wù)器端的相應(yīng)程序會(huì)自動(dòng)運(yùn)行來(lái)應(yīng)答客戶(hù)機(jī)的請(qǐng)求，如表 41 所示。表 41 C/S 型木馬結(jié)構(gòu) “木馬”的防范措施 （1）檢查系統(tǒng)配置應(yīng)用程序。在“木馬”程序會(huì)想盡一切辦法隱藏自己，主要途徑有：在任務(wù)欄和任務(wù)管理器中隱藏自己，即將程序設(shè)為“系統(tǒng)服務(wù)”來(lái)偽裝自己，“木馬”會(huì)在每次服務(wù)端啟動(dòng)時(shí)自動(dòng)裝載到系統(tǒng)中，如：?jiǎn)?dòng)組，,注冊(cè)表等。比如在“開(kāi)始”“運(yùn)行”輸入 msconfig,執(zhí)行windows 自帶“系統(tǒng)配置應(yīng)用程序” 。在標(biāo)簽為 文件中，在[windows]下面“run=”和“ load=”是可能加載“木馬”程序的途徑，一般情況下，它們的等號(hào)后面什么都沒(méi)有。在 文件中，在[BOOT]下面有個(gè)“shell:文件名”正確的文件名應(yīng)該是“”如果不是“” ，而是“shell: 程序名” ，那么后面跟著的那個(gè)程序就是“木馬”了 [21]。（2）查看注冊(cè)表。輸入 regedit 命令 HKEY_LOCAL_MACHINE\software\Microsoft\windows\current version\run 目錄下查看鍵值有設(shè)有自己不熟悉的自動(dòng)啟動(dòng)文件，擴(kuò)展名為：“.exe” 。（3）查找“木馬”的特征文件， “木馬”的一個(gè)特征文件是 ,另一個(gè)是，只要?jiǎng)h除了這兩個(gè)文件， “木馬”就不起作用了，但是需要注意的是 是和文本文件關(guān)聯(lián)的，在刪除時(shí)，必須先把文本文件跟 notepod 關(guān)聯(lián)上，否則不能使用文本文件。 首先發(fā)起連接 連接成功后發(fā)出命令 接受返回信息 端口打開(kāi)并監(jiān)聽(tīng) 接受并運(yùn)行命令 運(yùn)行并將信息返回客戶(hù)端理工學(xué)院畢業(yè)設(shè)計(jì)（論文）29 網(wǎng)頁(yè)惡意代碼及防范目前，網(wǎng)頁(yè)中的惡意代碼開(kāi)始威脅到網(wǎng)絡(luò)系統(tǒng)安全，一般分為以下幾種：（1）消耗系統(tǒng)資源。 不斷地利用 cpu 的利用率，使計(jì)算機(jī)不能處理其他的進(jìn)程，導(dǎo)致系統(tǒng)和網(wǎng)絡(luò)資源癱瘓。這類(lèi)病毒大都是利用 JavaScrit 產(chǎn)生的一個(gè)死循環(huán)，它可以在有惡意的網(wǎng)站中出現(xiàn)，也可以被當(dāng)作郵件發(fā)給用戶(hù)，當(dāng)用戶(hù)打開(kāi) html,vbs 附件時(shí)，屏幕會(huì)出現(xiàn)無(wú)數(shù)個(gè)瀏覽器窗口，最后不得不重啟。（2）非法向用戶(hù)硬盤(pán)寫(xiě)入文件。（3）IE 泄露，利用 IE 漏洞，網(wǎng)頁(yè)可以讀取客戶(hù)機(jī)的文件，就可以從中獲得用戶(hù)賬號(hào)和密碼。（4）利用郵件非法安裝木馬。在 html 中利用死循環(huán)原理，交叉顯示耀眼的光線(xiàn)，如果繼續(xù)插入編寫(xiě)的一段代碼，擴(kuò)大惡意程度，那么 IE 將無(wú)法使用。例如：下面的兩段簡(jiǎn)單代碼分別就事用的死循環(huán)原理來(lái)進(jìn)行破壞的。 html body script Var color=new Array； Color[1]=“black”。 Color[2]=”white”。 For(x=0。x3。x++){ =color[x]。 If(x==2){x=0。}}/script/body/html第 4 章 網(wǎng)絡(luò)安全防范設(shè)計(jì)30本代碼的功能是使用白黑兩色輪流交換，形成刺眼的效果，當(dāng) x 自增到 2，立即回到 0，形成死循環(huán)。htmlhead titlenothing/titlescript language=“JavaScriptFunction openwindow(){for(i=0。i100。i++)。(‘}/script/headbody onload=“openwindow()”/body/html本段代碼的功能是實(shí)現(xiàn)某網(wǎng)站的窗體無(wú)限地彈出。 （1）運(yùn)行 IE 時(shí)，點(diǎn)擊“工具→Inter 選項(xiàng)→安全→ Inter 區(qū)域的安全級(jí)別” ，把安全級(jí)別由“中”改為“高” 。網(wǎng)頁(yè)惡意代碼主要是含有惡意代碼的 ActiveX 或Applet、 JavaScript 的網(wǎng)頁(yè)文件 ，所以在 IE 設(shè)置中將 ActiveX 插件和控件、Java腳本等全部禁止就可以減少被網(wǎng)頁(yè)惡意代碼感染的幾率。具體方案是：在 IE 窗口中點(diǎn)擊“工具”→“Inter 選項(xiàng)” ，在彈出的對(duì)話(huà)框中選擇“安全”標(biāo)簽，再點(diǎn)擊“自定義級(jí)別”按鈕，就會(huì)彈出“安全設(shè)置”對(duì)話(huà)框，把其中所有 ActiveX 插件和控件以及與 Java 相關(guān)全部選項(xiàng)選擇“禁用” 。如圖 43 所示：理工學(xué)院畢業(yè)設(shè)計(jì)（論文）31圖 43 防范網(wǎng)頁(yè)惡意代碼（2）網(wǎng)頁(yè)惡意代碼大多是在訪(fǎng)問(wèn)網(wǎng)站時(shí)候誤下載和激活的，所以不要進(jìn)入不信任的陌生網(wǎng)站，對(duì)于網(wǎng)頁(yè)上的各種超級(jí)連接不要盲目去點(diǎn)擊，若被強(qiáng)制安裝惡意代碼，一經(jīng)發(fā)現(xiàn)立即刪除，或者安裝相應(yīng)的惡意代碼清除工具，或本機(jī)防火墻軟件。 嗅探器（sniffer）的防范 Sniffer 是一種常用的收集有用數(shù)據(jù)方法，這些數(shù)據(jù)可能是用戶(hù)的帳號(hào)和密碼，可能是一些商用機(jī)密數(shù)據(jù)，等等。它可以作為能夠捕獲網(wǎng)絡(luò)報(bào)文的設(shè)備，ISS 為 sniffer這樣定義：sniffer 是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種工具。 Sniffer的工作原理 Sniffer 要捕獲的東西必須是要物理信號(hào)能收到的報(bào)文信息，只要通知網(wǎng)卡接收其收到的所有包，在共享 HUB 下就能接收到這個(gè)網(wǎng)絡(luò)的所有包，但是交換 HUB 下就只能是自己的包加上廣播包，sniffer 工作在網(wǎng)絡(luò)環(huán)境中的底層，它會(huì)攔截所有正在網(wǎng)絡(luò)上傳遞的數(shù)據(jù)，并且通過(guò)相應(yīng)的軟件處理，可以實(shí)時(shí)分析這些數(shù)據(jù)的內(nèi)容，進(jìn)而分析所處理的網(wǎng)絡(luò)狀態(tài)和整體布局，值得注意的是，sniffer 是極其安靜的，它是一種消極的安全攻擊。Sniffer 在功能和設(shè)計(jì)方面有很多不同，有些只能分析一種協(xié)議，而另一些可能能夠分析幾百種協(xié)議，一般情況下，大多數(shù)的嗅探器至少能夠分析以下的協(xié)議：標(biāo)準(zhǔn)以太網(wǎng)，TCP/IP,IPX,DECNET。第 4 章 網(wǎng)絡(luò)安全防范設(shè)計(jì)32 Sniffer的檢測(cè)和防范（1）對(duì)于可能存在的網(wǎng)絡(luò)監(jiān)聽(tīng)的檢測(cè)；對(duì)于懷疑運(yùn)行監(jiān)聽(tīng)程序的機(jī)器，用正確的 IP地址和錯(cuò)誤的物理地址 ping，運(yùn)行監(jiān)聽(tīng)程序的機(jī)器會(huì)有響應(yīng)，這是因?yàn)檎５臋C(jī)器不接收錯(cuò)誤的物理地址，處理監(jiān)聽(tīng)狀態(tài)的機(jī)器能接收，但如果它的 Ipstack 不再發(fā)反向檢查的話(huà)，就會(huì)響應(yīng)。（2）向網(wǎng)上發(fā)大量不存在的物理地址的包；由于監(jiān)聽(tīng)程序要分析和處理大量的數(shù)據(jù)包會(huì)占用很多的資源，會(huì)導(dǎo)致系統(tǒng)性能下降，通過(guò)比較前后該機(jī)器性能加以判斷，這種辦法難度較大。（3）使用反監(jiān)聽(tīng)工具如 Antisniffer 等進(jìn)行檢測(cè)。對(duì)于網(wǎng)絡(luò)監(jiān)聽(tīng)的防范措施有：(1)從邏輯或物理上對(duì)網(wǎng)絡(luò)分段。(2)以交換式 HUB 代替共享式 HUB。(3)使用加密技術(shù)。(4)劃分 VLAN(虛擬局域網(wǎng))。 數(shù)據(jù)密文防范措施 在前面的一章中我們已經(jīng)介紹了數(shù)據(jù)加密和隱藏技術(shù)，在保密系統(tǒng)中，信道中傳播的是加密后的消息，即密文，采用截獲密文進(jìn)行分析的攻擊稱(chēng)為被動(dòng)攻擊，采用刪除、 更改、 增添、 重放、 偽造等手段向系統(tǒng)注入假消息并進(jìn)行分析的攻擊稱(chēng)為主動(dòng)攻擊。對(duì)此，我們必須采用有效的加密解密的程序來(lái)防止密文泄露，可以通過(guò) c 語(yǔ)言來(lái)實(shí)現(xiàn)的加密和解密。下面的例子是用 c 語(yǔ)言來(lái)實(shí)現(xiàn)的簡(jiǎn)易加密算法。(1)加密算法include “”main( ){ int key。 char mingma,mima。 printf(“\n please input the character：“)；scanf(“%c”,amp。mingma)。 printf(“\n please input the key:”)。 scanf(“%d”,amp。key)。理工學(xué)院畢業(yè)設(shè)計(jì)（論文）33 if((mingma=‘A’)amp。amp。(mingma=‘Z’))mima=‘A’+(mingma‘A’+key)%26。 if((mingma=‘a(chǎn)’)amp。amp。(mingma=‘z’))mima=‘a(chǎn)’+(mingma‘a(chǎn)’+key)%26。printf(“\n the output is:%C”,mima)。}其結(jié)果如圖 44 所示。圖 44 加密程序其實(shí)現(xiàn)的功能是：對(duì)密碼字符按規(guī)律進(jìn)行移位：如：明碼“a”若“key=2”的密碼實(shí)際上是“c” 。(2)解密算法include “”main( ){ int key。 char mingma,mima。 printf(“\n please input the character: “)。 scanf(“%c”,amp。mima)。 printf(“\n please input the key: “)。scanf(“%d”,amp。key)。if((mima=‘A’)amp。amp。(mima=‘Z’))mingma=‘A’+(mima‘A’+26key)%26。if((mima=‘a(chǎn)’)amp。amp。(mima=‘z’))mingma=‘a(chǎn)’+(mima‘a(chǎn)’+26key)%26。printf(“\n the mingma is:%c”,mingma)。}第 4 章 網(wǎng)絡(luò)安全防范設(shè)計(jì)34其結(jié)果如圖 45 所示。圖 45 解密程序其實(shí)現(xiàn)的功能是：對(duì)密碼字符按規(guī)律進(jìn)行移位得到真實(shí)密碼：如：明碼“g” ，若“key=4”,得到密碼是“c” 。 其它網(wǎng)絡(luò)攻擊與防范措施 源 IP地址欺騙攻擊 許多應(yīng)用程序認(rèn)為如果數(shù)據(jù)包能使其自身沿著路由到達(dá)目的地，而且應(yīng)答包也可以回到源地，那么源 IP 地址一定是有效的，而這正是使源 IP 地址欺騙攻擊成為可能的前提。 要防止源 IP 地址的欺騙行為，可以采取以下措施來(lái)盡可能地保護(hù)系統(tǒng)免受這類(lèi)攻擊：(1)拋棄基于地址的信任策略。(2)使用加密方法。(3)進(jìn)行包過(guò)濾。 源路由欺騙攻擊在通常情況下，信息包從起點(diǎn)到終點(diǎn)走過(guò)的路徑是由位于此兩點(diǎn)間的路由器決定的，數(shù)據(jù)包本身只知道去行何處，但不知道該如何去源路由可使信息包的發(fā)送者將此數(shù)據(jù)包要經(jīng)過(guò)胡路徑寫(xiě)在數(shù)據(jù)包里，使數(shù)據(jù)包循著一個(gè)對(duì)方不可預(yù)料的路徑到達(dá)目的主機(jī) [21]。為了防范源路由欺騙攻擊，一般采用下面兩種措施：(1)對(duì)付這種攻擊最好的辦法是配置好路由器使它拋棄那些由外部網(wǎng)進(jìn)來(lái)的卻聲稱(chēng)是內(nèi)部主機(jī)的報(bào)文。(2)在路由器上關(guān)閉源路由，用命令 no ip s