网络入侵安全检查分析
2013-08-23张凯
张凯
【摘 要】关于网络安全问题的研究一直以来都是计算机互联网技术发展过程中备受关注的一个课题。尤其是在网络技术快速发展的今天,网络入侵问题常有发生,给一些网站或程序的正常运行带来极大的影响。为此,加强对网络入侵的安全检查分析就显得非常有必要。现本文就通过分析网络入侵的途径和,来探讨网络的安全防范措施,并就其具体的安全检查方法进行研究。
【关键词】计算机;网络;入侵;安全;检查
计算机犯罪是在信息科技不断发展并广泛应用的推动下产生的一种新的犯罪形式,这种通过计算机网络技术实施犯罪行为的人群大都具有较高的计算机应用能力,对于网络的内部运作技术了如指掌,并能够利用一定的技术手段来瓦解网站的安全防护程序或防火墙,达到网络入侵的目的。这种黑客侵袭事件对社会造成的影响是较为恶劣的,不但会对公民的个人隐私或秘密造成泄漏,甚至会使公司企业或国家军事等重要机密丢失,从而给企业造成严重的经济损失,给国家安全带来极大的危害。为此,无论是个人还是公司,又或是国家部门,都必须要加强网络安全防御,防止网络入侵行为的发生,保证计算机网络运行的安全稳定。
1.网络入侵的途径
计算机病毒入侵主要有源代码嵌入攻击型、代码取代攻击型、系统修改型和外壳附加型四种方式,而对网络入侵来讲主要分为主动入侵和被动入侵。
1.1主动入侵
这种网络入侵方式是用户自己主动在电脑中植入病毒或输入木马程序而引起的入侵。当然这种操作并未是用户自身愿意的,甚至有些用户是在不知情的情况下执行了病毒或木马程序。例如用户在使用计算机网络的过程中,浏览了一些被植入恶意病毒的网站或网页,就很容易使这些病毒或木马程度钻操作系统漏洞的空子而引起电脑中毒,通常都是在用户浏览这些网站时,病毒或木马程序就自动下载并安装执行,从而能够在用户不知情的情况下实现用户主动执行病毒的目的。除此之外,还有一种主动入侵方式是以可移动磁盘作为介质进行传播的,这类病毒较为隐蔽,很难被用户察觉,但当可移动磁盘被插在电脑客户端时,一旦用户连接了互联网,病毒的服务端就能够都对该电脑发起病毒入侵,从而控制电脑终端的操作。
1.2被动入侵
所谓被动入侵就是由破坏者发出攻击命令来对电脑或网络程序进行入侵的行为。例如在扫描系统口令时,若系统存在一定漏洞就极易遭受入侵者的溢出攻击或者SQL注入攻击,但若系统的安全防护性能较好,且用户自身具备一定的安全防范意识,基本都能保证系统口令的安全。被动入侵的成功几率相对较低。
2.网络入侵的安全防范措施
为了能够保证计算机或网站的安全与正常运行,用户必须具备较高的安全意识,并采取一定的措施方法来防止网络入侵。在此笔者提出几种网络的安全防范措施,具有很高的可行性。
(1)及时更新计算机操作系统中的补丁程序,在计算机操作系统安装完成后,不要立刻连接网络,要先安装一定的操作系统安全补丁程序,尤其是高危漏洞的补丁程序,更是必须安装的重要程序。很多病毒入侵都是利用这些操作系统漏洞来实现木马程序安装的。
(2)安装可靠的杀毒软件与防火墙。目前市场中有多款杀毒软件产品,要选择最新最可靠的杀毒软件安装在计算机中,并设置一定的防火墙。在日常使用中注意对病毒库的及时更新。
(3)谨慎浏览网站或下载软件。因为当前市场中的多数程序软件都是盗版软件,且大都携带捆绑一定的病毒,因此在浏览网站或下载软件时一定要具有安全防范意识,不浏览莫名其妙的网站,不下载来历不明的程序。
3.具体的安全检查方法
3.1检查计算机用户
在被入侵的计算机中,极有可能添加了新用户或者对用户进行了克隆。可以按以下方式进行检查:①查看目前用户。使用“net localgroup administrators”查看当前的具有管理员权限用户列表,也可以通过执行“lusrmgr.msc”命令来查看本地用户和组。②可以使用“mt –chkuser”查看用户是否被克隆。
3.2查看网络连接情况
使用“netstat-an->netlog-1.txt”命令将目前端口开放情况以及网络连接情况生成netlog-1文本文件,便于查看网络开放的端口和连接的IP地址等,可以用来追踪入侵者。
3.3查看远程终端服务
①查看“Terminal Services”服务启动情况。
打开管理工具中的“服务”控制面板,查找名称为“Terminal Services”的服务,然后直接双击该服务名称就可以查看远程终端开放情况。“Terminal Services”启动类型有自动、手动和禁用。如果发现其启动类型为自动,则说明极有可能被人入侵。
②使用dos命令“query/quser”。
使用“query user /quser”命令可以直接查看目前远程终端服务连接情况,不过该命令只能在Windows2000/2003Server中使用,在WindowsXP中需要到系统目录下的dllcache目录下执行。在WindowsXp中默认连接就是控制台连接,即sessionname为“console”。
说明:在进行检查前,需要先行确定是否存在query.exe和quser.exe这两个文件以及其相应的文件大小,入侵者在入侵成功后,既有可能将query.exe和quser.exe这两个文件删除或者进行替换,query.exe和quser.exe文件大小分别为10,752和18,432字节。
③使用netstat-an|find"3389"查看网络连接及其端口开放情况。
使用netstat-an|find"3389"命令可以查看目前正在使用远程终端的连接及其3389端口开放情况。
3.4 Web服务器的安全检查
①SQL Server 2000等数据库安全检查。
目前对Web服务器进行SQL注入是一种主流攻击方式,SQL注入攻击最有可能留下痕迹的就是SQL Server2000等数据库中的临时表,通过HDSI等软件进行SQL注入攻击,在数据库中会留下临时表。因此可以通过数据库的企业管理器或者查询处理器进行表的浏览,直接查看最新创建表的情况。
②Web日志文件检查。
如果Web服务设置日志记录,则系统会在缺省的“%SystemRoot%\system32\Logfiles”目录下对用户访问等信息进行记录。日志文件能够记录入侵者所进行的操作以及入侵者的IP地址等。
3.5使用事件查看器查看安全日志等
事件查看器中有安全性、系统和应用程序三类日志文件,可以通过在运行“eventvwr.msc”调用事件查看器。安全性日志中包含了特权使用、用户、时间和计算机等信息,这些信息可以作为判断入侵者入侵时间以及采用什么方式进行登陆等信息。不过默认情况下,日志文件记录的选项较少,需要通过组策略进行设置。
3.6查看硬盘以及系统所在目录新近产生的文件
如果及时发现入侵,则可以通过以下一些方法来查看入侵者所上传或安装的木马程序文件。
①查看系统目录文件,可以使用DOS命令“dir/od/a”或者资源管理器查看最新文件。DOS命令“dir/od/a”查看系统最新文件(包含隐藏文件)以日期进行排序。
②查看系统盘下用户所在文件的临时目录temp,如“D:\Documents and Settings\simeon\Local Settings\Temp”,该目录下会保留操作的一些临时文件。
③查看历史文件夹,历史文件夹中会保留一些入侵者访问网络的一些信息,可以通过访问用户所在的目录如“D:\Documents and Settings\simeon\Local Settings\History”进行查看。
④查看回收站,回收站可能会存在入侵者删除的一些文件记录。通过查看文件创建日期和跟踪文件所在位置来进行入侵时间等判断。
⑤查看recent文件夹,recent文件夹中会保留一些最近操作时的一些快捷方式。通过这些快捷方式可以了解入侵者进(下转第428页)(上接第412页)行的一些操作。
3.7使用port/mport/fport等工具检查端口开放情况
port/mport/fport等都是用来检查端口开放情况以及端口由哪些程序打开。
3.8检查Rootkit
Rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具,利用Rootkit技术而编写的木马程序,功能强大,且具有较高的隐蔽性,危害非常大,目前可以通过RootkitRevealer、Blacklight以及Klister等Rootkit检测工具检测系统是否存在Rootkit类型的木马。
4.结束语
综上所述,网络入侵是当前互联网技术应用中的存在的最大问题,但当前的技术还不能完全将病毒问题解决掉,需要用户在计算机的日常使用中,提高安全防范意识,加强对计算机的安全防护。本文给出了一些计算机被入侵后的一些常规的安全检查方法,通过这些安全检查方法可以检测入侵者留在被入侵计算机上的“痕迹”,方便进行安全评估,对网络安全管理具有一定的参考价值。
【参考文献】
[1]胡昌振.网络入侵检测原理与技术.北京:理工大学出版.
[2]唐正军等.网络入侵检测系统的设计与实现.电子工业出版社.