网络隐藏见安全
2016-11-26
共享身份的隐藏
在局域网环境下,经常要将一些重要数据共享给别的用户访问,但是一旦将重要数据共享发布到网络后,局域网中的终端用户都将在网上邻居窗口中,查看到这个共享文件夹中的内容。出于安全方面的考虑,我们有时只想让部分用户访问共享数据,而想让其他用户无法进行共享访问,这该怎样实现呢?实际上,只要将重要数据的共享状态悄悄隐藏起来,同时将共享数据的绝对路径发送给可信用户,就能实现这种特殊共享访问需求了。
在隐藏特定数据文件夹的共享状态时,不妨先进入系统资源管理器窗口,从中找到特定文件夹,用鼠标右击对应文件夹图标,从它的快捷菜单中单击“共享和安全”命令,点选“共享”标签,切换到目标文件夹的共享标签设置页面,在“共享名”设置项处,看看目标文件夹的共享名称后面有没有半角“$”符号,要是没有的话,不妨尝试手工添加上该符号,再单击“确定”按钮保存设置操作。
图1 开启系统注册表编辑器运行状态
完成上述配置任务后,局域网中的普通用户日后从网上邻居窗口访问时,将无法在网上邻居列表中,发现重要数据的共享文件夹。如果想让可信用户去访问重要数据所在的共享文件夹时,可以将该共享文件夹的绝对路径通过QQ或其他途径发送给对方即可,这个路径地址为“\服务器IP地址共享名称$”。远端用户只要将该地址输入到系统资源管理器窗口地址栏中,单击回车键,再输入合法的共享访问账号即可。
要是想将自己计算机中的所有共享文件夹悄悄隐藏起来时,不妨使用修改系统注册表相关键值方法,将目标计算机共享状态隐藏起来。要做到这一点,可以逐一点击“开始”、“运行”命令,展开系统运行文本框,输入“regedit”命令并回车,开启系统注册表编辑器运行状态。在该编辑界面的左侧显示窗格中,依次跳转到注册表分支“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverParameters”上(如图1所示),双击指定分支下的“hidden”双字节键值(如果无法找到该键值,不妨尝试手工创建一个),在其后出现的编辑键值设置框中,输入数值“1”,再刷新一下系统注册表。这样,局域网中的终端用户再次进入网上邻居窗口时,就无法找到本地系统的“身影”了,合法可信用户只有通过在系统资源管理器窗口地址栏中,输入目标计算机名或IP地址才能实现共享访问目的。
网络配置的隐藏
大家知道,如果允许普通用户随意修改网络配置,可能会给整个网络的安全运行带来麻烦。有鉴于此,我们有必要将网络配置的入口隐藏起来,让别人无法轻易进行网络配置操作。在Windows 7系统环境下,要隐藏网络配置入口,让普通用户不能自由调整网络参数配置时,可以按照如下的操作步骤来进行:
首先,依次单击Windows 7系统的“开始”、“运行”选项,弹出系统运行文本框,输入“gpedit.msc”命令并回车,开启系统组策略编辑器运行状态。在该编辑界面左侧显示窗格中,将鼠标定位到“本地计算机策略”、“用户配置”、“管理模板”、“控制面板”节点上,在指定节点下双击“禁止访问控制面板”组策略,展开如图2所示的组策略属性对话框。
接下来看看这里的“已启用”选项是否已被选中,如果发现其没有被选中时,应该及时将其勾选起来,再单击“确定”按钮保存设置操作。这样,任何普通用户日后将不能随意进入系统控制面板窗口,进行网络参数配置调整操作,从而有效保证了地址不断冲突故障的发生。
图2 组策略属性对话框
图3 主操作界面
网络主机的隐藏
有时,为了防止黑客工具探测到重要主机系统,我们需要想办法将其巧妙隐藏起来。现在,使用SuperScan这款外力工具,我们可以巧妙地将黑客的扫描行为转移到局域网中一个不存在或不相干的网络主机中,那么本地主机的真实身份在网络中就能得到隐藏。
在进行网络主机的隐藏时,先要从局域网中找到一台“替身”计算机,确保非法用户扫描重要主机系统时,能被自动引导到“替身”计算机上。在进行该操作时,首先下载得到SuperScan工具的安装程序,按照默认设置将其安装到重要主机系统中,启动运行该程序,展开如图3所示的主操作界面,输入特定网段的起始地址和结束地址,并将“scan type”设置为“only scan responsive Pings”,按下“Start”按钮,目标工具将会只能对指定网段中的所有计算机进行扫描,很快那些响应的计算机IP地址都会列写出来,从中找一台作为“替身”的计算机,例如将IP地址为“10.168.160.155”的计算机作为重要主机的“替身”,接着逐一点击重要主机中的“开始”、“运行”命令,弹出系统运行对话框,输入“cmd”命令并回车,展开DOS命令行工作界面,在其中执行“nbstat a 10.168.160.155”命令,来扫描探测替身主机,获得它的计算机名称、网卡物理地址、工作组名称等描述性信息。
返回重要主机系统桌面,打开“计算机”图标的右键菜单,点选“属性”命令,切换到系统属性对话框,按下“更改设置”按钮,进入更改设置对话框,继续单击“更改”按钮,输入“替身”计算机的主机名称、工作组或域名,确认后退出设置对话框。下面修改重要主机系统的网卡MAC地址,让其与“替身”计算机的网卡MAC地址完全一致。在进行该操作时,只要先打开系统运行文本框,在其中执行“regedit”命令,开启系统注册表编辑器运行状态,逐一跳转到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlClass{4D36E972-E325-11CE-BFC1-08002BE10318}”节点上,在指定节点下会发现“0001”、“0002”这样的子键,逐一将它们展开,通过查看特定子键下的“DriverDesc”键值内容,找到匹配重要追系统网卡的那个子键,假设重要主机系统对应的子键为“0002”(如图4所示),用鼠标右键单击该子键,从弹出的右键菜单中依次选择“新建”、“字符串值”选项,将新创建的键值名称设置为“NetworkAddress”,再双击该键值,将替身主机的网卡物理地址输入到其后的数值编辑对话框中,最后刷新系统注册表,这样本地重要主机就被巧妙地隐藏起来了。
图4 主机系统对应子键为“0002”
上述隐藏措施在“替身”计算机不在线时,本地重要主机仍然会被黑客扫描探测到,为了增强隐藏效果,可以进入重要主机系统控制面板窗口,逐一双击“网络和Internet”、“网络和共享中心”、“更改适配器设置”按钮,打开本地连接图标的右键菜单,选择“属性”命令,点选本地连接属性框中的“Internet协议版本4(TCP/IPv4)”选项,按下“属性”按钮,点击其后界面中的“高级”按钮,切换到高级TCP/IP设置界面。点选“WINS”标签,在对应页面的“NetBios设置”处,勾选“禁用TCP/IP上的NetBios”,确认后退出。这样,日后不管“替身”计算机有没有在线,黑客都无法扫描探测到本地重要主机的上网行踪。
为了防止黑客通过IP地址查找定位本地重要主机,建议还要配置IP筛选器或者IP安全策略,来关闭重要主机445端口。在进行该操作时,只要依次单击“开始”、“控制面板”命令,双击控制面板中的“管理工具”,点击“本地安全策略”,弹出本地安全策略界面。打开“IP安全策略,在本地计算机”节点的右键菜单,选择“创建IP安全策略”命令,打开IP安全策略向导框,按“下一步”按钮,在其后界面中输入好IP安全策略的名称,取消“激活默认相应规则”选中状态,单击“完成”按钮退出创建对话框。用鼠标双击之前创建的IP安全策略,取消“使用添加向导”选中状态,按下“添加”按钮,在新规则属性框中点击“添加”按钮,再取消“使用添加向导”选中状态,点击“添加”按钮,定义新的筛选器。进入“寻址”标签页面,在“源地址”列表中选择“我的IP地址”,在“目标地址”列表中选择“任何IP地址”;进入“协议”标签页面后,将“选择协议类型”设置为“TCP”,选中并设置“到此端口”为“445”端口,单击“确定”按钮保存设置操作。这样,针对445端口的筛选器就被创建成功了。接下来进入“筛选器操作”页面,按“添加”按钮,添加阻止操作规则,将445端口的筛选器和阻止操作规则关联起来,实现关闭重要主机系统445端口目的。这样一来,重要主机系统就能被彻底隐藏起来了。
网络地址的隐藏
大家知道,上网冲浪的每台计算机系统,都会拥有一个IP地址,不同环境下的IP地址类型不同,例如局域网环境下的计算机系统,往往会使用固定IP地址,拨号上网的计算机系统,一般会从本地ISP那里获得动态IP地址。成功接入网络后,本地计算机的IP地址,可以在 http://www.ip138.com之类的IP查询网站中查看到。一旦自己的IP地址被黑客知道后,他们就可能会想方设法对目标IP地址的计算机系统,频繁发动非法攻击,直到攻击成功为止。
为了能降低被非法攻击的危险,很多朋友会采用代理服务器的方式,进行上网访问。其实,在没有代理服务器的情况下,我们可以请“SafeIP”这款专业工具来帮忙,通过它可以很轻松地将本地系统真实的IP地址隐藏起来。隐藏上网地址操作很简单,只要将“SafeIP”工具下载安装到本地系统,之后将其语言选项设置为简体中文,进入该工具的中文操作界面。从该界面的左侧“取舍IP位置”列表中,任意选择一个上网区域,例如选择“POLAND”区域时,单击“连”按钮,那么本地计算机的IP地址,就会被“SafeIP”工具伪装成某一地区的IP地址了,这个时候重新访问http://www.ip138.com网站时,会看到当前位置处于那一地区了。很显然,这种隐藏方式,具有很大的迷惑性,容易让黑客找不到攻击目标。
图5 选中“ICMPv4”选项
为了防止一些流氓工具攻击真实IP地址,我们还可以进入目标工具的“设置”选项页面,将“启用恶意软件保护”选项选中,同时选择“自动更换IP”,并根据实际需求定义好自动更换上网地址的间隔时间,这样本地计算机的IP地址会不断地发生变化,从而让黑客攻击无从下手。
网络状态的隐藏
很多黑客往往会通过不起眼的Ping命令,来判断特定计算机系统的网络在线状态。要是看到它们处于在线状态时,黑客可能会继续通过Ping命令,频繁地向它们发送大容量测试包,直到特定计算机系统不能响应为止。很明显,巧妙隐藏特定计算机的网络在线状态,让黑客不能知道它们是否在线相当重要,这会避免它们受到黑客的进一步攻击。
以Windows 2008服务器系统为例,要隐藏它的在线上网状态时,可以逐一点击“开始”、“程序”、“服务器管理器”命令,在其后界面左侧依次跳转到“配置”、“高级安全防火墙”分支上,在指定分支下能看到高级防火墙的不少设置,例如入站规则、出站规则、过滤规则等等。
考虑到黑客对服务器系统发起的Ping攻击操作,属于入站操作,这个时候可以展开入站规则选项,同时点选操作列表中的“新规则”选项,弹出安全规则创建向导设置框。依照屏幕向导提示,先勾选好“自定义”选项,接着依次选中“所有程序”、“ICMPv4”选项(如图5所示)。当创建向导提示选择连接条件时,可以选中“阻止连接”选项,之后依照工作实际情况,设置好新的入站规则适应条件,同时为入站规则设置好适当的名称。结束入站规则创建操作后,重新启动服务器系统,这样黑客就无法通过Ping命令,识别出服务器系统是否处于网络在线状态了。
当然,在单位内网环境下,即使管理员采用了上述隐藏措施,终端用户仍然可以通过网上邻居窗口,识别到服务器主机的网络在线状态。之所以会发生这种问题,多半是服务器系统开启了网络发现功能和网络发现型协议Link-Layer Topology Discovery Responder,它们会将服务器系统的网络在线状态显露出来。这个时候,管理员不妨打开服务器系统的网络和共享中心窗口,找到“共享和发现”设置项,切换到“网络发现”设置区域,选中“关闭网络发现”选项,按下“应用”按钮保存设置操作。这样,单位内网中的其他终端用户就不能使用网络发现功能,识别到服务器系统的上网状态了。接下来进入本地连接属性设置框,将“Link-Layer Topology Discovery Responder”协议选项前面的勾号取消掉,同时也取消选中链路层拓扑发现映射器I/O驱动程序功能选项,单击“确定”按钮保存设置操作。这样,服务器系统日后即使处于在线状态,也不会被其他用户轻易发现到。