【doc】对宽带账号安全威胁的分析以及防范

【doc】对宽带账号安全威胁的分析以及防范 对宽带账号安全威胁的分析以及防范 锦囊妙计 对宽带账号安全威胁的分析以及防范 文:清新脱俗 宽带用户应提高网络安全意识,并采取强 化系统,限制开放端口,关闭共享等相应的技 术防范措施,以防止黑客侵入计算机,减少或 避免因账号被盗用而产生的经济损失. 1.问帕产生 宽带的发展给人们带来了信息沟通的便 利,但也产生了一些问题.近,个时期以来,许 多中国电信ADSL宽带用户在毫不知情,毫无 防范的情况下,账号被人盗用后进行QQ币;中 值,玩盛大网络游戏及其他消费的事情时有发 生.笔者是ADSL宽带包月用户,在2005年5 月份的网费单中凭空多出1OO元"互联星空" 费用.经过多方查询发现这100元来自互联星 空所联合的众多SP(ServiceProvider服务提 供商)之一"腾讯科技有限公司",主要用于 QQ账户充值消费.通过与消费的QQ号聊 天,得知他是通过"互联星空一点通"进入 ADSL账号进行消费的. "互联星空一点通"是面向电信宽带账号 用户推出的,项登录功能.宽带账号用户使用 自己的宽带账号访问互联星空服务网站时,无 须再输入账号名和密码.只需点击"互联星空 一 点通"按钮.即可安全登录.并直接使用互联 星空合作伙伴提供的相关产品和服务.既然是 安全登录,又怎么会出现账号丢钱的事情呢? 的用户都认为这已经很安全了,账号不会被人 轻而易举地盗取了,可是事实并非如此,如果 你没有很好的网络安全意识,不对自己的电脑 作出必要的安全防范,电脑黑客可以很轻易侵 入你的电脑,进行远程盗用ADSL账号,甚至 盗取你计算机中的重要资料. 电脑黑客可以利用开放端口和弱口令甚 至空口令漏洞侵入用户电脑.黑客可以通过 QQ获取对方网段(或直接获取fP),利用扫描 工具(例如:Superscan,X—scan等)扫描用 户计算机端口并获取IP,再运行客户端连接工 具(例如:冰河22)侵入用户电脑,只要你的网 络是通过宽带账号已经拨通的,他们就可以利 用互联星空的"互联星空一点通"功能直接进 行远程消费.家里的小孩和朋友通过你在家里 拨通的ADSL账号,也能利用"互联星空,点 通"功能进入互联星空去订购各种服务. 由于互联星空为每一位宽带用户提供了 至少1OO元的可以预支消费的"信用额度",这 些黑客或家里的孩子们就可以无所顾忌地在 网络里提前消费了,往往很多用户只有在交费 时才会发现自己要为别人买单了. 3.宽带账号安呈帕盼疆措礁 针对以上情况,笔者特提出以下几点防范 措施: 2.宽带账号罄用超支帕原因分析(1)注销互联星空账号或取消信用额度 当前,电信部门为了防止用户的宽带账号 被盗取,已经在技术上做了很多防范,比如将 宽带账号和拨号的电话号码捆绑到一起,甚至 将宽带账号和计算机网卡的MAC地址捆绑 在一起,让账号只能在固定的电脑或电话线路 上使用,其他地方不能用绑定的账号上网.很 多用户尤其是对计算机网络安全不是很专业 宽带用户如果不打算使用互联星空,应尽 快到电信营业厅申请销户或登录互联星空网 站wwwchinavnet.com,在"我的星空"—— "我的账户"——"我要销户"栏目申请注销.如 发现账号被别人盗用,立刻修改自己的ADSL 账号密码,并在"互联星空"的"我的星空"下及 时取消所有订购的服务. (2)强化系统,防止黑客入侵 强化系统:及时升级操作系统或打补丁以 修补系统漏洞;减少电脑管理员人数;设置安 全选项——不显示上次用户名;不要打开来路 不明的电子邮件及软件程序,不要回陌生人的 邮件;电脑要安装使用必要的防黑软件,防火 墙和杀毒软件,并保持定期更新,及时查杀电 脑病毒和木马,阻止黑客侵入电脑.一般来说, 采用一些功能强大的反黑软件和软件防火墙 来保证我们的系统安全. 强化1:3令:正确设置管理员密码(系统开 机密码)和ADSL上网密码;数字与字母混合 编排,同时包含多种类型的字符,比如大写字 ,数字,标点符号(@,}},!,$,%, 母,小写字母 &…);密码应该不少于8个字符;禁用ADSL 拨号软件记住密码的功能,即不勾选"记住密 码"项. (3)限制开放端1:3,防止非法入侵 通过限制端口来防止非法入侵,关闭相应 开放端口,比如3389端口.简单说来,非法入 侵的主要方式可粗略分为两种:(1)扫描端口, 通过已知的系统Bug攻入主机;(2)种植木 马,利用木马开辟的后门进入主机.如果能限 制这两种非法入侵方式,就能有效防止利用黑 客工具的非法入侵.而且这两种非法入侵方式 有一个共同点,就是通过端口进入主机.要想 防止被黑就要关闭这些危险端口,对于个人用 户来说,您可以限制所有的端口,因为您根本 不必让您的机器对外提供任何服务;而对于对 外提供网络服务的服务器,我们需把必须利用 的端口(比如www端口80,FTP端口21,邮 件服务端口25,110等)开放,其他的端口则 全部关闭. 41 锦囊妙计 139端口是NefB10SSession端口.用于 文件和打印共享,值得注意的是运行samba 的unix机器也开放了139端口,功能一样.这 个端口是黑客比较喜欢利用的端口之一.关闭 139端口方法是在"网络和拨号连接"窗口中 的"本地连接"中选取"Internet协议(TCP/IP)" 属性.进入"高级TCP/IP设置"选项.其中的 "WlNS设置"里面有一项"禁用TCP/IP的 NETBIOS".打钩就关闭了139端口.对于个 人用户来说.可以在各项服务属性设置中设为 "禁用".以免下次重启时服务也重新启动.端 口也随之开放. 3389端口.网络管理员可以通过它远程 对安装有WindowsServer或Windows XP的电脑进行管理和维护.黑客或非法攻击 者也能较轻易地获得服务器中的超级管理员 账号.在WindowsXP中关闭的方法是:在"我 的电脑"上点右键选属性一远程.将里面的远 程协助和远程桌面两个选项框里的钩去掉.在 Win2OOOserver中关闭的方法是:开始一程 序一管理工具一服务里找到TerminalSer— vices服务项,选中属性选项将启动类型改成 手动,并停止该服务.(该方法在XP中同样适 用) 4899端口其实是一个远程控制软件所开 启的服务端端口,由于这些控制软件功能强 大.所以经常被黑客用来控制自己的肉鸡.而 且这类软件一般不会被杀毒软件查杀.比后门 还要安全.4899不是系统自带的服务.需要自 己安装,而且需要将服务端上传到入侵的电脑 并运行服务.才能达到控制的目的.所以只要 你的电脑做了基本的安全配置.黑客很难通过 4899来控制你. 对于采用Windows2000或者Windows XP的用户来说.不需要安装任何其他软件,可 以利用"TCP/IP筛选"功能限制服务器的端 口.具体设置(关闭的方法)如下:点击"开始一 控制面板一网络连接一本地连接一右键一属 性".然后选择"Internet(tcp/ip)"一"属性".在 "Internet(tcp/ip)属性"对话框中选择"高级" 选项卡.在"高级TCP/IP设置"对话框中点选 "选项"一"TCP/IP筛选"一"属性".在这里分 为3项.分别是TCP,UDP,IP协议.假设我的 系统只想开放21,8O,25,11O这4个端口.只 要在"TCP端口"上勾选"只允许".然后点击 "添加"依次把这些端口添加到里面.再确定. 注意:修改完以后系统会提示重新启动.这样 设置才会生效.这样.系统重新启动以后只会 开放刚才你所选的那些端口,其它端口都不会 开放. (4)关闭默认共享,禁止空连接 当前家用电脑所使用的操作系统多数为 WinXP和Win2000pro.这两个系统提供的 默认共享(1PC$,C$,D$,ADMIN$等)是黑客 最喜欢利用的入侵途径.宽带用户可以运行 CMD输入netshare来查看本机的共享.如果 看到有异常的共享.那么应该关闭.但是有时 你关闭共享后下次开机的时候又出现了.那么 你应该考虑一下,你的机器是否已经被黑客所 控制了.或者中了病毒. 关闭默认共享可以使用netshare默认共 享名/delete命令(如netshareC$/delete), 但是这种方法关闭共享后下次开机的时候又 出现了.所以如果宽带用户不在局域网内使用 共享服务,干脆将本地连接属性中的"网络的 文件和打印机共享"卸载掉.默认共享就可以 彻底被关闭了. 禁止建立空连接的方法是:首先运行 regedit.在注册表中找到主键【HKEY—LO— CAL— MACHINE\\SYSTEM\\CurrentControl Set||Control||LSARestrictAnonymous (DWORD)的键值由O改为1. (5)使用入侵手段,及时防范入侵 最为常见的木马通常都是基于TCP/UDP 协议进行client端与server端之间的通讯的, 既然利用到这两个协议,就不可避免要在 server端(就是被种了木马的机器)打开监听 端口来等待连接.我们可以利用查看本机开放 端口的方法来检查自己是否被种了木马或其 它黑客程序. 我们使用Windows本身自带的netstat 命令(详细方法可使用netstat/?命令查询) 和在Windows2000下的命令行工具fport,可 以较为有效地看到计算机开放的端口,以及通 过开放端El运行的一些可疑程序.及时关闭这 些端El,删除这些可疑程序.就能较为有效地 保证计算机系统的安全性. 4.结束语 宽带上网安全问题的产生.既有宽带运营 商,网络服务商,内容提供商在网络安全策略 和技术实施方面的原因.也有宽带用户自 身安全意识,安全措施不到位的原因.还有我 国网络立法滞后,出现问题无法可依的原因. 解决宽带上网安全问题.需要多方面共同努 力.宽带用户应提高网络安全意识.并采取强 化系统,限制开放端口,关闭共享等相应的技 术防范措施,以防止黑客侵入计算机,减少或 避免因帐号被盗用而产生的经济损失. 记得张楚有句歌词:"隐藏的危险.变得很 阴险",最近怎么觉着这首名为"小人"的摇滚 是写给网络犯罪的.随着网络化步伐的加快. 网络已经成为我们生活中的一部分.宽带对应 的安全问题日益突出,大家在谈论宽带问题 时.往往爱谈论个人用户应该怎样注意保护自 己的账号安全.但是安全问题只是个人用户造 成的吗?这篇文章从另一个角度,以宽带问题 为切入点.通过对某省的电信网上计费网站安 全测试及获取电信的管理账号过程这一案例. 深度剖析目前源于电信宽带的种种隐患. 宽带安全问题抛开个人用户的种种问题. 从电信角度来说:现有网络硬件设备不能满足 现有需求.造成用户认证困难:假如目前每个 宽带账号和电话线路都可以绑定.真正做到一 个账号只能在一条线路上使用.似乎目前很多 安全问题都可以解决了.但目前的情况不是这 样子的:在各种账号安全问题中.非法共享和 盗用以及非法用户追踪困难的原因.主要是因 为电信运营商没有对宽带用户账号安全提供 限制和可靠的保护,无法形成对宽带用户的唯 一 的标志.市场经济下,投资成本和利润回报 影响各个行业的决策,电信也不例外,目前国 内整个宽带网络的认证和计费系统主要由 BRAS设备和RadiusServer设备来共同完 成,基于当前的城域网.而VLAN资源不足致 使多个用户共用一个VLAN的网络现状.根据 目前网络现状开发的PITP协议,PPPoE+协 议,DHCPOption82等技术就是为了解决这一 锦囊妙计 问题. 当然,这些方式虽然可以解决用户唯一标 志问题,但无法在国内统一.原因其一就是成 本问题.成本包含两部分:现有设备投资还没 有收回,新技术投资收益还不能确定;其二就 是由于中国的各地发展不平衡.改造起来很困 难.对此我们应多给些时间,相信不久就会解 决这个问题.从电信角度说,对于盗用账户的 解决方法目前主要有两个方法: 解决方法一:MAC地址绑定解决.电 信运营商可以在RadiusServer上将用户上网 计算机的MAC地址同用户上网账号进行唯 一 性绑定,利用MAC的唯一性,从而限制上 网账号的唯一使用性. 议将用户账号和MAC上报给RadiusServer. 由Radiusserver完成账号和MAC地址一一 对应的判别工作.由于MAC地址的唯一性, 用户无法进行账号的非法共享或漫游,同时盗 用的上网账号也无法使用.简单方便,无须改 造现有网络结构和DSLAM设备,只要BRAS 设备能根据Radius协议上报用户账号和 用户计算机MAC地址给RadiusServer,这一 点目前的BRAS设备都能够做到.不过Ra— diusserver端的维护工作量很大,需要经常维 护庞大的用户MAC地址表:而且一旦用户更 换电脑或者更换网卡都必须在Radiusserver 上进行重新绑定,带来额外的工作量和用户投 诉;同时对多个用户共用一个VLAN上行的组 网模式.二层接入网络的用户安全隔离和广播 报文控制也需要额外的解决方案. 用户在进行PPPoE拨号连接的时候, BRAS设备获取用户的上网账号以及上网计解决方法二:LAN或PVC绑定解决方 案 算机的MAC地址,然后通过标准Radius协VLAN或PVC绑定解决方案是在Ra diusServer上对用户的宽带上网账号同接入 用户的VLAN或PVC进行绑定,,在宽带拨号 用户进行拨号时,BRAS设备将接入用户的 VLAN或PVC信息通过标准Radius协议上 报给RadiusServer,由RadiusServer完成用 户上网账号同VLAN或PVC的唯一性鉴别工 作.显然,VLAN或PVC绑定解决方案在技术 要求和宽带网络建网过程中,将每个用户划分 为一个单独的VLAN或者PVC,目前,在实际 的组网中,ATM—DSLAM都采用一个用户一 条PVC方式接入,非常容易实现用户账号同 PVC的唯一性绑定;为每个接入的宽带用户分 配不同的VLAN标志,实现了用户上网账号同 VLAN唯一性绑定,避免账号公用和盗用问 题.用户间通过VLAN或PVC隔离也可有效 地解决二层接入网络广播风暴问题.硬件上的 问题不是最令人担心的,从发展的角度,可以 很快解决.可有些软问题却比较令人担忧 1.AIt+S快速回复 2.AIt+C关闭当前窗口 3.AIt+H打开聊天记录 4.AIt+T更改消息模式 5.AIt+J打开聊天纪录 6.Ctrl+A全选当前对话框里的内容 7.Ctrl+FQQ里直接显示字体设置工具条 8.Ctrl+L对输入框里当前行的文字左对齐 9.Ctrl+R对输入框里当前行的文字右对齐 1O.Ctrl+E对输入框里当前行的文字居中 11.Ctrl+V在QQ对话框里实行粘贴 12.Ctrl+Z清空,恢复输入框里的文字 13.Ctrl+一隐藏,显示QQ于无形【右下角托盘里也没了) 14.Ctrl+回车快速回复.这个可能是聊QQ时最常用到的了 15.Ctrl+AIt+Z快速提取消息 16.Ctrl+AIt+A捕捉屏幕 文:平常 很多人问Ghost的好用还是安装版的好用,这个问题很难回答 又很好回答. 因为有些人用Ghost感觉装机速度快.安装后也没有什么问 题.那就叫很兼容你自己的电脑,叫做买对合身的衣服了. 以前我一直都喜欢Ghost.后来自己会封装系统了.慢慢地感 觉Ghost好像是人家穿过的衣服.穿在自己身上还是有点不舒服的 感觉.毕竟映像文件GHO是在别人的电脑Gh0s1出来的.而且 Ghost版的还有个特性.就是安装了很多作者个人喜欢的工具之类 的软件.而我却不喜欢这些工具软件.不可排除安装Ghost时还会 出现蓝屏.一方面是驱动.一方面是你的硬件和作者的硬件设置有 冲突.你的使用环境与作者的使用环境不一样.所以问题往往出现 在Ghost版. 安装版就不用担心了.虽然安装版系统在安装时比Ghost版系 统要多那么1O多分钟,但它给使用者一个全新,纯净的感觉.用起 来很舒服.