网络入侵实例及防范措施

网络入侵及防范措施

随着计算机网络技术的发展，现在计算机网络已经融入了我们的生活。但是计算机网络的普遍应用过程中，又有着很多的网络安全隐患存在我们的生活和工作中，并影响着不同层次的网络使用者。作为现在计算机网络的使用者，我们应该对计算机网络带来的威胁提高警惕。本文主要介绍了影响网络安全的主要因素及其防范措施。

1.网络入侵实例

假设在局域网内计算机的操作系统为GHOST版的Windows XP，用户使用的是系统默认的Administratorh账户登录了此系统且密码为空。现在我们很多用户的计算机都存在着这样的网络安全漏洞，黑客常常利用系统的这一漏洞入侵系统，并对系统进行破坏。下面我们使用本机作为黑客，虚拟机来模拟黑客入侵局域网内的某一台计算机，并使虚拟机反复重新启动的过程。

现在我们假设一下，局域网内的某一台计算机IP地址是

192.168.56.101，黑客在入侵远程计算机时首先要与此计算机建立网络上的连接，并取得其管理员的权限。作为黑客应该在本机上编辑好.bat 文件，文件名称为sysconfig.bat，其内容为shutdown命令，以使计算机重新启动。sysconfig.bat文件后，黑客将通过命令符将此文件复制到远程计算机上，其后在本机通过命令进入注册表，通过连接网络注册表，进入到远程计算机的注册表中，修改远程计算机注册表的开机启动项，使其开机时则执行sysconfig.bat文件，这样就可以使远程计算机每次启动都会执行sysconfig.bat文件，并使其重新启动。下面则是此次模拟黑客入侵远程计算机的具体步骤及图示：

(1)在本地计算机编辑批处理文件sysconfig.bat，打开记事本，写入如下命令：shutdown –r –t 15。该命令表示计算机在15秒后重新启动。将此文本另存为sysconfig.bat文件。

(2) 使用net use命令与远程计算机建立连接。在建立连接前，对虚拟机做如下设置：开始—运行，输入gpedit.msc打开组策略，找

到“Windows设置—安全设置—本地策略—安全选项”，将本地帐户的共享和安全模式设置为“经典—本地用户以自己的身份验证”，再将使用空白密码的本地帐户只允许进行控制台登录设置为“已禁用”。设置完成后本地计算机可以使用命令与远程计算机建立连接了。其命令为：net use \\192.168.56.101\ipc$ “” user:”administrator” ，用户帐户是Administrator，密码为空。其命令图示如图1：

图1 连接远程计算机

(3) 本机与远程计算机建立连接后，将sysconfig.bat文件复制到远程

计算机，本机使用copy命令：copy sysconfig.bat

\\192.168.56.101\admin$。如图2所示：

图2 复制文件到远程计算机

(4) 打开注册表编辑器，连接到远程计算机的注册表。本机使用regedit命令打开注册表编辑器，鼠标单击“文件”菜单项，选择“连接网络

注册表”，连接到远程计算机192.168.56.101的注册表。具体如图3所示：

图3 连接网络注册表

(5) 连接到远程计算机的注册表后，找到注册表中的开机启动项所

在的位置：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run，修改注册表的开机启动项。在注册表空白处鼠标右键，新建字符串值，

名字为start，数值数据为sysconfig.bat文件在远程计算机的路径

c:\windows\sysconfig.bat，其设置具体如图4所示。启动项修改完成后远程计算机每次开机或重启时就会执行sysconfig.bat文件。

图4 编辑开机启动项路径

(6) 在本机命令行下使用shutdown命令使远程计算机重启，命令为：shutdown –r –t 10 –m 192.168.56.101，命令完成后远程计算机就会在10秒后重新启动。待远程计算机启动后会自动执行开机启动项中的sysconfig.bat文件，继续反复重新启动。其结果如图5所示：

图5 系统重新启动

(7) 在本机命令行下使用命令清除入侵痕迹：net use * /del /y，此命令表示断开所有已建立的连接，并清除入侵痕迹。

2. 典型的网络入侵方式

常见的网络入侵方式分为：IPC$入侵（附带注册表入侵）、Telnet 入侵和135端口入侵三种方式。

2.1 IPC$入侵

IPC$可以被理解为一种“专用通道”，可以在连接双方建立一条安全的通道，实现对远程计算机的访问，简单的说就是一种特殊的共享资源。由于我们在使用Windows时，不仅提供了IPC$共享功能的同时，而且还启动了默认共享即所有的逻辑共享（C$,D$,E$......）和系统文件夹共享（admin$）。以上的这些，虽然为用户提供了方便，但是在有意和

无意中，使系统的安全性降低了很多。对于用户而言，注册表应该相当熟悉。注册表是Windows中的一个重要数据库用于存储系统和应用程序的设置信息。黑客如果想远程计算机执行某一特定程序，只要通过修改远程计算机注册表中启动项就可以实现。

2.2 Telnet入侵

Telnet协议是TCP/IP协议族中的一员，是Internet远程登录服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程计算机工作的能力。在客户端使用者的电脑使用telnet连接程序，用它就可以连接到开启Telnet服务的计算机。只要连接到了远程计算机，本机使用者就可以在Telnet的程序中输入命令，这些命令就可以在远程计算机上运行，对远程计算机进行控制。

2.3 135端口入侵

在Windows系统中有一个十分重要的服务RPC（Remote Procedure Call），即远程过程调用，很多其他服务或程序都依赖于它，所以这项服务一般不能禁用。对于这项服务运行的端口号就是135。因此很多黑客入侵电脑时会经过此端口号进行入侵。

3. 网络入侵的防范措施

3.1 对于IPC$入侵的防范措施

根据IPC$入侵的实际情况而言，常用的防范措施有：

(1)停用系统自带的默认共享，即C$、ADMIN$等，可以在命令符下使用以下命令来停用这些默认共享： net share C$/del

(2)在运行中使用services.msc命令打开服务，关闭以下服务：server 服务（文件共享服务）、Remote Registry服务（远程注册表服务）、Task Scheduleer服务（任务计划服务），同时需要开启的服务有：内置防火墙、安全中心通知和自动更新等服务。

(3)同时在我们需要开启共享服务时，在防火墙例外规则中允许“文件和打印机共享”，反之则关闭即可。

(4)控制用户账户：停用不需要的账户、管理员账户改名（最好是中文）及为管理员帐户设置强密码。同时我们还可以利用控制用户登录的模式来保证网络的安全，将本地账户的共享和安全模式设置为“仅来宾”，再将使用空白密码的本地账户设置为只允许控制台登录。这样就切断了Telnet入侵账户的关键。

3.2 对于Telnet入侵的防范措施

根据Telnet入侵的特点，我们可以采取以下措施：

(1)关闭计算机的Telnet服务。在运行中输入services.msc命令打开服