宽带上网环境中的Sniffer攻防实例
2006-11-05 19:59:57 来源:WEB开发网实验
为了验证我的观点,特地做了以下实验:
我的主机现在被分配到的ip地址是211.167.123.8,这是一个标准的c类地址,因此子网掩码是24位,这就意味着理论上有252台主机(去掉网关和我自己)和我是处在同一网段中,考虑到有线通的实际使用率,252台估计是没有的,但同时间几十台应该还是有的,应该说我是可以访问到这些主机的。
于是我就ping,从211.167.123.2开始,到211.167.123.15 ping通了,说明这台主机正联线,我马上打开IE,在地址栏中输入\211.167.123.15,系统提示我输入用户名和密码,用户名输入administrator,密码为空,嘿嘿,进入了。除了打印机外看不到什么共享资源?没关系,我已经是管理员了,还怕找不到资源?我再输入\211.167.123.15c$,c盘的根目录不就出来了,这是windows2000的默认共享,是为管理而设的,去不掉的。接下来d$、e$,要找什么自己输入。
在整个实验的过程中,配合上FluxayIV(流光),一个网段3、5分钟就搞定了,发现有3x台主机正联线,其中居然有5、6台主机的administrator账号密码为空,这岂不是任人宰割了?就算那些设了密码的,一般也不会有人在自己的电脑上设得太复杂,如果有心拆解的话,配上个词典,也不是很困难的事。更有甚者,可能是一台某个公司的主机,居然直接共享了所有的资源,没有任何密码,看来是被他们作为文件服务器使用了。
结论
现在大家知道我上面说的两种方案哪个更好了吧?
由于有线通分配的是标准C类地址,不可能通过延长子网掩码去减少每个网段的主机数,所以本地网的安全始终是我们这些用户的大敌。而且DHCP服务器分配的IP地址是有存活期的,大概一个星期左右,你又会被分配到一个新的IP地址,也就意味着你又进入了一个新的网段,又有252个新邻居在等着你,可怕吧?最可怕的是,和你处在同一网段的主机被你的防火墙认为是局域网主机,一般防火墙的预设里不会对这类主机进行设防。
防范措施
首先,也是最起码的,就是为你的administrator账号设一个密码(不能太简单),因为这个账号是删不掉的,你即使不用也不能让密码空着。在实验的过程中我发现有好多用户平时可能用另外一个账号,密码倒是设了,但administrator的密码却是空的,那你岂不是白忙一场?
还有些用户administrator账号密码设了,但又开了几个密码为空的账号,这同样是危险的。记住,所有的可用账号都要设密码,而且要定时管理这些账号,关闭长期不用的账号,对于administrator账号最好是能经常更换密码。
安装一两个防火墙是好方法,但记住一定要对防火墙进行设置,因为一般预设里面对局域网主机是没有严密防范的,而你看到这里应该知道我们最需要防范的恰好是这些“局域网”主机。同时,防火墙本身也可能是有漏洞的,所以我用的是天网+Norton,这样交叉防范还是比较令我放心的。至于防火墙的具体设置方法就请参阅相关文章了,我就不赘述了。
还要提醒你的就是,作了这样防范之后,如果你的网络结构采用的是第一种方案,那么你的几台主机之间也不能共享了,因为这几台主机和本网段的其他主机是处在平等地位。所以你如果要建设自己的网络,考虑到安全性,建议你采用第二种方案,如果能用硬件路由器代替软路由那就更佳了。
写这篇文章的目的是希望起到抛砖引玉的作用,如果各位看官想到方便、安全、高效的防范手段请一定和我交流。
更多精彩
赞助商链接