網(wǎng)管員必讀-網(wǎng)絡(luò)安全第二章

第二章惡意軟件的深度防護(hù)

現(xiàn)在病毒或木馬程序通過郵件附件傳輸?shù)耐窘?jīng)非常多，不一定要是發(fā)送郵件者特意制造，而完全可能是由其使用的計(jì)算機(jī)環(huán)境自己加上的。就像我們平常在用QQ聊天過程中就發(fā)現(xiàn)，對方每次回答都是嚴(yán)重的不符邏輯，或者還不斷地向自己發(fā)來帶病毒的文件，可一問，對方說沒有，由此可推斷這是由于這些網(wǎng)吧計(jì)算機(jī)感染了病毒。還有，盡管我們安裝最新版的防病毒軟件，而且從理論上來說，該軟件應(yīng)該可以及時查殺最新的病毒，但是此防病毒還沒來得及支持，無奈。還有，服務(wù)器系統(tǒng)的安全漏洞這么多，而且還在不時的出現(xiàn)，我們?nèi)绾沃牢覀兊姆?wù)器需要安裝什么樣的補(bǔ)丁程序？這一切，其實(shí)都是與沒有從深層防護(hù)這類惡意軟件緊密相關(guān)。對于我們這些專業(yè)的網(wǎng)絡(luò)管理員就應(yīng)當(dāng)盡可能從深層方面來了解惡意軟件入侵、攻擊的原理，然后找出更安全的防護(hù)策略。這就是本章所要介紹的主題。

本章重點(diǎn)如下：什么是惡意軟件？它們的主要特征及運(yùn)行機(jī)制是什么？端口的檢測與木馬的清除方法蠕蟲的檢測與清除方法惡意代碼和網(wǎng)絡(luò)蠕蟲的防護(hù)

Windows系統(tǒng)TCP/IP堆棧強(qiáng)化措施惡意軟件的深層防護(hù)方法2.1認(rèn)識惡意軟件

2.1.1什么是惡意軟件？

“惡意軟件”通俗地講是指代凡是自身可執(zhí)行惡意任務(wù)，會給目標(biāo)系統(tǒng)帶來破壞性的軟件。從大的方面來劃分的話就包括計(jì)算機(jī)病毒程序和黑客程序兩類，細(xì)分的話可以分為計(jì)算病毒（Virus）、蠕蟲（Worm）、木馬程序（TrojanHorse）、后門程序（Backdoor）、邏輯炸彈（LogicBomb）等）幾類。

1.特洛伊木馬

特洛伊木馬屬于黑客程序的一種，它的作用是潛入目標(biāo)計(jì)算機(jī)系統(tǒng)收集有關(guān)信息，然后再把這些信息通過一定的方式反饋給在遠(yuǎn)程監(jiān)控的黑客。

2.網(wǎng)絡(luò)蠕蟲

網(wǎng)絡(luò)蠕蟲可以通過網(wǎng)絡(luò)連接自動將其自身從一臺計(jì)算復(fù)制機(jī)分發(fā)到另一臺計(jì)算機(jī)上，這與計(jì)算機(jī)病毒非常類似，所以有人把它劃分為計(jì)算機(jī)病毒類型。

3.計(jì)算機(jī)病毒

計(jì)算機(jī)病毒是我們最常見的一種惡意軟件，其代碼的明確意圖就是自行通過感染其它文件進(jìn)行復(fù)制，然后破壞其它正常文件。病毒嘗試將其自身附加到宿主程序，以便在計(jì)算機(jī)之間進(jìn)行傳播。宿主程序執(zhí)行時，病毒代碼也隨之運(yùn)行，并會感染新的宿主，有時還會傳遞額外負(fù)載。它可能會損害硬件、軟件或數(shù)據(jù)。

區(qū)分是病毒，還是蠕蟲、木馬的方法很簡單。如果惡意代碼將其自身的副本添加到文件、文檔或磁盤驅(qū)動器的啟動扇區(qū)來進(jìn)行復(fù)制，則認(rèn)為它是計(jì)算機(jī)病毒，否則如果能自身復(fù)制，則是網(wǎng)絡(luò)蠕蟲，不能復(fù)制的則是特洛伊木馬。計(jì)算機(jī)病毒復(fù)制的副本可以是原始病毒的直接副本，也可以是原始病毒的修改版本。

計(jì)算機(jī)病毒通常會將其包含的負(fù)載（例如特洛伊木馬）放置在一個本地計(jì)算機(jī)上，然后執(zhí)行一個或多個惡意操作（例如刪除用戶數(shù)據(jù)）。但是，僅進(jìn)行復(fù)制且不具有負(fù)載的計(jì)算機(jī)病毒仍是惡意軟件問題，因?yàn)樵摬《咀陨碓谄鋸?fù)制時可能會損壞數(shù)據(jù)、消耗系統(tǒng)資源并占用網(wǎng)絡(luò)帶寬。

本節(jié)詳細(xì)內(nèi)容參見書本P42~P43頁。2.1.2什么是非惡意軟件以前我們通常是這樣理解惡意軟件，那就是對我們可能造成威脅的都應(yīng)算是惡意軟件，其實(shí)現(xiàn)在通常不這么認(rèn)為。有許多存在的威脅并不被認(rèn)為是惡意軟件，因?yàn)樗鼈儾皇蔷哂袗阂獾挠?jì)算機(jī)程序。常見類型的非惡意軟件如下：玩笑軟件惡作劇欺詐軟件垃圾郵件間諜軟件彈出廣告軟件InternetCookie本節(jié)詳細(xì)內(nèi)容參見書本P44~P45頁。2.1.3惡意軟件的主要特征

每類惡意軟件可以表現(xiàn)出來的各種特征通常非常類似。例如，病毒和蠕蟲可能都會使用網(wǎng)絡(luò)作為傳輸機(jī)制。然而，病毒會尋找文件以進(jìn)行感染，而蠕蟲僅嘗試復(fù)制其自身。以下分別從攻擊環(huán)境組件、攜帶者對象、傳播方式、入侵或攻擊方式、觸發(fā)機(jī)制和防護(hù)機(jī)制等幾個方面說明惡意軟件的一些典型特征。

1.攻擊環(huán)境組件

通常情況下，惡意軟件在攻擊宿主系統(tǒng)時所需的組件包括：宿主系統(tǒng)、運(yùn)行平臺和攻擊目標(biāo)三個。

2.攜帶者對象

如果惡意軟件是病毒，它會試圖將攜帶者對象作為攻擊對象（也稱為宿主）?？墒褂玫哪繕?biāo)攜帶者對象數(shù)量和類型因惡意軟件的不同而不同，最常用的惡意軟件目標(biāo)攜帶者包括：可執(zhí)行文件、腳本和控件、宏、啟動扇區(qū)和內(nèi)存等。

3.傳播方式

在惡意軟件傳播中主要存在：可移動媒體、網(wǎng)絡(luò)共享、網(wǎng)絡(luò)掃描、對等（P2P）網(wǎng)絡(luò)、電子郵件和安全漏洞幾種途經(jīng)。

4.入侵或攻擊方式

一旦惡意軟件通過傳輸?shù)竭_(dá)了宿主計(jì)算機(jī)，它通常會執(zhí)行相應(yīng)的入侵或攻擊，在專業(yè)上稱之為“負(fù)載”操作。入侵和攻擊方式可以有許多類型，常見的包括：后門非法訪問、破壞或刪除數(shù)據(jù)、信息竊取、拒絕服務(wù)（DoS）和分布式拒絕服務(wù)（DDoS）等。

5.觸發(fā)機(jī)制

觸發(fā)機(jī)制是惡意軟件的一個特征，惡意軟件使用此機(jī)制啟動復(fù)制或負(fù)載傳遞。典型的觸發(fā)機(jī)制包括：手動執(zhí)行、社會工程、半自動執(zhí)、自動執(zhí)行、定時炸彈和條件執(zhí)行等幾種。

6.防護(hù)機(jī)制

惡意軟件要實(shí)現(xiàn)他們的目的，當(dāng)然首要要做的就是先保護(hù)好自己不被用戶發(fā)現(xiàn)，所采取了許多防護(hù)措施包括：裝甲、竊取、加密、寡態(tài)和多態(tài)這幾種方式。

本節(jié)詳細(xì)內(nèi)容參見書本P46~P50頁。2.2木馬的檢測、清除與防范木馬程序不同于病毒程序那樣感染文件，而是作為一種駐留程序隱藏在系統(tǒng)內(nèi)部。木馬一般是以尋找后門、竊取密碼和重要文件為主，還可以對電腦進(jìn)行跟蹤監(jiān)視、控制、查看、修改資料等操作，具有很強(qiáng)的隱蔽性、突發(fā)性和攻擊性。由于木馬具有很強(qiáng)的隱蔽性，用戶往往是在自己的密碼被盜、機(jī)密文件丟失的情況下才知道自己中了木馬。本節(jié)要向大家介紹如何檢測自己的計(jì)算機(jī)是否中了木馬，以及中了木馬如何清除，平常應(yīng)做的防范措施又有哪些等方面的內(nèi)容。2.2.1木馬的手工檢測、清除與防范方法手工檢測木馬的方法有多種，但常用的可以采用以下幾種主要方式：

查看開放端口

通常使用一些專門的工具軟件進(jìn)行，如Windows系統(tǒng)自帶的netstat命令，它的語法格式為：netstat[-a][-e][-n][-o][-pProtocol][-r][-s][Interval]。通過運(yùn)行這個命令即可查看當(dāng)前系統(tǒng)中哪些端口正在使用，再與當(dāng)前系統(tǒng)中打開的軟件系統(tǒng)相比較就可以比較容易地分析出哪些端口是正在被木馬軟件利用。

還有一款Fport軟件，與netstat工具類似，但功能更加強(qiáng)大，是一款非常流行的端口檢測軟件。圖形化界面工具ActivePorts則一款可以在圖形界面中操作的端口檢測軟件。它們都可以查看當(dāng)前打開了哪些端口，然后與當(dāng)前系統(tǒng)中正常軟件系統(tǒng)使用的端口和本書后面提供的木馬軟件使用的端口表對照即可發(fā)現(xiàn)自己的系統(tǒng)是否中了木馬。查看win.ini和system.ini系統(tǒng)配置文件

因?yàn)槟抉R程序會經(jīng)常修改win.ini和system.ini這兩個文件，以達(dá)到隱藏，并且隨系統(tǒng)啟動而自動啟動的目的，所以在一定程度上我們通過查看這兩個文件是否有被修改可以判別是否中了木馬。當(dāng)然并不是所有木馬程序都會修改這兩個文件，而且要想從這兩個文件中發(fā)現(xiàn)是否被修改也是有相當(dāng)難度的，至少要知道相應(yīng)木馬修改這兩個文件的一般特征，才有針對性地去查看。

有的木馬是通過修改win.ini文件中windows節(jié)中的“l(fā)oad=”和“run=”項(xiàng)語句實(shí)現(xiàn)自動加載的。在system.ini文件中通常是修改boot節(jié)中的語句。所以我們著重要查看這兩個文件中的這兩節(jié)中的語句，看它們所加載的程序是否屬于正常程序。一些常見木馬的清除方法也將在本書附錄列舉。查看啟動程序

要查看系統(tǒng)啟動文件，可以通過系統(tǒng)配置程序進(jìn)行，在“運(yùn)行”窗口輸入msconfig命令，在打開的對話框中選擇“啟動”選項(xiàng)卡，如圖2-1所示。

查看系統(tǒng)進(jìn)程

通?？梢酝ㄟ^查看系統(tǒng)進(jìn)程來推斷木馬是否存在，只是由于我們不是對所有正常進(jìn)程的名稱和用途完全了解，所以難以區(qū)分哪個進(jìn)程是木馬程序進(jìn)程而已。系統(tǒng)進(jìn)程的查看可以在WindowsNT/XP系統(tǒng)中，按下〖CTRL〗+〖ALT〗+〖DEL〗組合鍵來打開進(jìn)程對話框進(jìn)行。

本節(jié)詳細(xì)內(nèi)容參見書本P51~P55頁。圖2-1：“系統(tǒng)配置實(shí)用程序”窗口“啟動”選項(xiàng)卡2.2.2木馬的軟件自動清除和端口關(guān)閉方法對于已發(fā)現(xiàn)的木馬程序我們可以用上節(jié)介紹的方法加以清除。對于未發(fā)現(xiàn)的木馬，則需要通過專門的木馬清除工具軟件來進(jìn)行了，如主要的殺毒軟件、木馬專殺工具等。目前主要的殺毒軟件品牌有金山、瑞星、江民、諾頓、趨勢等的最新版本都提供了木馬查殺功能。專門的木馬查殺工具主要有TheCleaner、木馬克星、木馬殺客、木馬終結(jié)者、反間諜專家等。相對來說，集成于病毒防護(hù)軟件中的木馬查殺功能相對較弱，而專門的木馬查殺工具，雖然基本上都是小型的共享軟件，但針對木馬的查殺能力卻要遠(yuǎn)比集成于病毒防護(hù)軟件中的木馬查殺工具強(qiáng)許多。

另外，為了使那些已知使用特定端口的木馬，我們可以采取關(guān)閉所使用的端口，這樣可以達(dá)到預(yù)防木馬入侵的目的。關(guān)閉端口的常用方法包括：利用“本地安全策略”關(guān)閉端口和2.利用“本地連接”屬性關(guān)閉端口兩種。

以上具體配置方法參見書本P55~P62頁。2.3拒絕惡意代碼

本節(jié)主要介紹了以下兩方面的配置方法：

1.IE瀏覽器Internet安全選項(xiàng)設(shè)置

一般惡意網(wǎng)頁都是因?yàn)榧尤肓擞镁帉懙膼阂獯a才有破壞力的。這些惡意代碼通常是一些VBScript、JavaScript腳本和ActiveX控件之類的小程序，只要打開含有這類代碼的網(wǎng)頁就會被運(yùn)行。為了避免攻擊，我們別無選擇，只能想辦法來禁止包含這些惡意代碼的網(wǎng)頁打開了，這個辦法就是在瀏覽器中進(jìn)行相應(yīng)的安全設(shè)置。

2.IE瀏覽器本地Intranet安全選項(xiàng)設(shè)置

除了設(shè)定本地Intranet、受信任的站點(diǎn)、受限制的站點(diǎn)的安全級別外，每臺主機(jī)本身的安全性也是非常重要的，可微軟的IE中并沒有提供“我的電腦”安全性設(shè)定。其實(shí)是有的，只不過微軟通常情況下是把它隱藏了，可以通過修改注冊表把該選項(xiàng)打開。

以上具體配置方法參見書本P62~P64頁。2.4網(wǎng)絡(luò)蠕蟲的濃度防護(hù)近年來，蠕蟲所引發(fā)的安全事件此起彼伏，且有愈演愈烈之勢。從2001年后爆發(fā)的CodeRed蠕蟲、Nimda蠕蟲，SQL殺手病毒（SQLSLAMMER蠕蟲），到2003年肆掠的“沖擊波”、2004年“震蕩波”、“沖擊波”等無不都是“蠕蟲”在作怪，而且開始與病毒相結(jié)合了。蠕蟲通常會感染目前主流的Windows2000/XP/Server2003系統(tǒng)，如果不及時預(yù)防，它們就可能會在幾天內(nèi)快速傳播、大規(guī)模感染網(wǎng)絡(luò)。

2.4.1網(wǎng)絡(luò)蠕蟲的定義和危害性

蠕蟲這個生物學(xué)名詞在1982年由XeroxPARC的JohnF.Shoch等人最早引入計(jì)算機(jī)領(lǐng)域，并給出了蠕蟲的兩個最基本特征，那就是可以從一臺計(jì)算機(jī)移動到另一臺計(jì)算機(jī)，并且可以自我復(fù)制。1988年Morris蠕蟲爆發(fā)后，EugeneH.Spafford為了區(qū)分蠕蟲和病毒，從技術(shù)角度給蠕蟲的定義為：“計(jì)算機(jī)蠕蟲可以獨(dú)立運(yùn)行，并能把自身的一個包含所有功能的版本傳播到另外的計(jì)算機(jī)上?！薄Ｓ捎诰W(wǎng)絡(luò)蠕蟲和計(jì)算機(jī)病毒都具有傳染性和復(fù)制功能，導(dǎo)致二者之間是非常難區(qū)分的。尤其是近年來，越來越多的病毒采取了部分蠕蟲的技術(shù)。另一方面具有破壞性的蠕蟲也采取了部分病毒的技術(shù)，更加劇了這種情況。目前現(xiàn)在對蠕蟲給出了新的定義，那就是：蠕蟲是無須計(jì)算機(jī)使用者干預(yù)即可運(yùn)行的獨(dú)立程序，它通過不停的獲得網(wǎng)絡(luò)中存在漏洞的計(jì)算機(jī)上的部分或全部控制權(quán)來進(jìn)行傳播?！薄拇诵露x上來分析的話，一些以前我認(rèn)為是蠕蟲的則只是病毒，盡管它們的名稱上都有“蠕蟲”二字。如Happy99蠕蟲病毒、Mellisa網(wǎng)絡(luò)蠕蟲宏病毒、LoverLetter網(wǎng)絡(luò)蠕蟲病毒、SirCam蠕蟲病毒、NAVIDAD網(wǎng)絡(luò)蠕蟲、Blebla.B網(wǎng)絡(luò)蠕蟲、VBS_KAKWORM.A蠕蟲等。

網(wǎng)絡(luò)蠕蟲是目前危害最大的惡意軟件，幾乎每次蠕蟲發(fā)作都會因其造成的巨大經(jīng)濟(jì)損失，自1998年至今，幾年每年都有給全球計(jì)算機(jī)用戶帶來巨大損失的典型蠕蟲出現(xiàn)。它是目前計(jì)算機(jī)病毒領(lǐng)域中，危害性最大、難以根治，出現(xiàn)越來越頻繁的種類之一。2.4.2預(yù)防蠕蟲的基本措施

我們在平常的計(jì)算機(jī)應(yīng)用中注意以下所列的一些安全事項(xiàng)，可以在相當(dāng)大程度上預(yù)防蠕蟲的感染：

選擇可靠的防毒軟件

把郵件存放在其他分區(qū)：不要存放于系統(tǒng)分區(qū)。認(rèn)真分析郵件：打開郵件前認(rèn)真分析郵件特征，如發(fā)信人地址，拒收陌生人的郵件，特別是國外的。

慎用郵件預(yù)覽功能：現(xiàn)在一些危害性極高的蠕蟲，往往都是在進(jìn)行郵件預(yù)覽時就會感染系統(tǒng)，而根本不用我們以前慣性認(rèn)為的需要打開郵件。

當(dāng)心可執(zhí)行文件：包括.com、.exe、.bat和帶宏的.doc文件

定期升級病毒庫

及時升級系統(tǒng)或應(yīng)用程序安全補(bǔ)丁

本節(jié)詳細(xì)內(nèi)容參見書本P65~P67頁。2.5如何強(qiáng)化TCP/IP堆棧安全本節(jié)主要向大家介紹如何強(qiáng)化Windows2000Server/Server2003服務(wù)器家族系統(tǒng)的TCP/IP堆棧的方法。其實(shí)非常簡單，通過對Windows注冊表的TCP/IP參數(shù)配置，就可以實(shí)現(xiàn)保護(hù)服務(wù)器免遭網(wǎng)絡(luò)級別的拒絕服務(wù)攻擊，包括SYS洪水攻擊、ICMP攻擊和SNMP攻擊。

通過本節(jié)的學(xué)習(xí)，我們可以了解或掌握到以下幾方面的知識和技能：強(qiáng)化服務(wù)器的TCP/IP堆棧安全保護(hù)服務(wù)器免遭“拒絕服務(wù)”和其他基于網(wǎng)絡(luò)的攻擊在檢測到攻擊時啟用SYN洪水攻擊保護(hù)設(shè)置用于確認(rèn)是什么構(gòu)成攻擊的閾值2.5.1抵御SYN攻擊SYN攻擊利用了TCP/IP連接建立機(jī)制中的安全漏洞。要實(shí)施SYN洪水攻擊，攻擊者會使用程序發(fā)送大量TCPSYN請求來填滿服務(wù)器上的掛起連接隊(duì)列。這會禁止其他用戶建立網(wǎng)絡(luò)連接。要保護(hù)網(wǎng)絡(luò)抵御SYN攻擊，只需按以下這些通用方法配置即可。

1.啟用SYN攻擊保護(hù)

設(shè)置SynAttackProtect雙字節(jié)鍵值項(xiàng)，該鍵值項(xiàng)位于注冊表編輯器的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services主鍵項(xiàng)中（如果沒有則新建，下同，不再另行說明），并將其設(shè)為2（有效值為0~2）。

以上設(shè)置的功能就可使TCP調(diào)整SYN-ACK的重傳。配置此值后，在遇到SYN攻擊時，對連接超時的響應(yīng)將更快速。在超過TcpMaxHalfOpen或TcpMaxHalfOpenRetried的值后，將觸發(fā)SYN攻擊保護(hù)。2.設(shè)置SYN保護(hù)閾值

（1）設(shè)置TcpMaxPortsExhausted雙字節(jié)鍵值項(xiàng)。在注冊表編輯器中找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services主鍵項(xiàng)，并查看名為TcpMaxPortsExhausted的雙字節(jié)鍵值項(xiàng)，將其值設(shè)為5（有效值為0~65535）。這項(xiàng)設(shè)置是指定觸發(fā)SYN洪水攻擊保護(hù)所必須超過的TCP連接請求數(shù)的閾值。

（2）然后同樣在上述Services主鍵項(xiàng)中設(shè)置TcpMaxHalfOpenRetried鍵值項(xiàng)的值勤為400（有效值為80~65535）。該項(xiàng)設(shè)置可以使在啟用SynAttackProtect鍵值項(xiàng)后，指定處于至少已發(fā)送一次重傳的SYN_RCVD狀態(tài)中的TCP連接數(shù)的閾值。超過SynAttackProtect值后，將觸發(fā)SYN洪水攻擊保護(hù)。

3.設(shè)置其他保護(hù)

這一部分中的所有注冊表項(xiàng)和值都位于注冊表項(xiàng)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services主鍵項(xiàng)下面。

（1）將名為TcpMaxConnectResponseRetransmissions的雙字節(jié)鍵項(xiàng)值設(shè)為2（有效值為0~255）。

該項(xiàng)設(shè)置用于控制在響應(yīng)一次SYN請求之后，在取消重傳嘗試之前SYN-ACK響應(yīng)的重傳次數(shù)。

（2）將名為TcpMaxDataRetransmissions的雙字節(jié)值項(xiàng)的值設(shè)為2（有效值為0~65535）。該項(xiàng)設(shè)置指定在終止連接之前TCP重傳一個數(shù)據(jù)段（不是連接請求段）的次數(shù)。

（3）將名為EnablePMTUDiscovery的鍵值項(xiàng)的值設(shè)為0（有效值為0、1）。將該項(xiàng)值設(shè)置為1（默認(rèn)值）可強(qiáng)制TCP查找在通向遠(yuǎn)程主機(jī)的路徑上的最大傳輸單元或最大數(shù)據(jù)包大小。攻擊者可能將數(shù)據(jù)包強(qiáng)制分段，這會使堆棧不堪重負(fù)，所以設(shè)為0。對于不是來自本地子網(wǎng)的主機(jī)的連接，將該值指定為0可將最大傳輸單元強(qiáng)制設(shè)為576字節(jié)。

（4）將名為KeepAliveTime的鍵值項(xiàng)值設(shè)為300000（5分鐘，有效值為80~4294967295）。該項(xiàng)設(shè)置可以指定TCP嘗試通過發(fā)送持續(xù)存活的數(shù)據(jù)包來驗(yàn)證空閑連接是否仍然未被觸動的頻率。

（5）將名為NoNameReleaseOnDemand的鍵值項(xiàng)值設(shè)為1（有效為0、1）。該項(xiàng)設(shè)置可以指定計(jì)算機(jī)在收到名稱發(fā)布請求時是否發(fā)布其NetBIOS名稱，設(shè)為1表示發(fā)布。

本節(jié)具體內(nèi)容參見書本P68~P69頁。2.5.2抵御ICMP攻擊這一部分的命名值都位于注冊表HKLM\System\CurrentControlSet\Services\AFD\Parameters的主鍵項(xiàng)下面。只需將名為EnableICMPRedirect的雙字節(jié)鍵項(xiàng)值設(shè)為0即可（有效值為0（禁用）、1（啟用））。通過將此注冊表鍵值項(xiàng)修改為0，能夠在收到ICMP重定向數(shù)據(jù)包時禁止創(chuàng)建高成本的主機(jī)路由。

2.5.3抵御SNMP攻擊

這一部分的命名值位于注冊表HKLM\System\CurrentControlSet\Services\Tcpip\Parameters主鍵項(xiàng)的下面。只需將名為EnableDeadGWDetect的鍵值項(xiàng)值設(shè)為0即可（有效值為0（禁用）、1（啟用））。通過此項(xiàng)設(shè)置，可禁止攻擊者強(qiáng)制切換到備用網(wǎng)關(guān)。2.5.4AFD.SYS保護(hù)本節(jié)配置的的注冊表項(xiàng)是用來指定內(nèi)核模式驅(qū)動程序Afd.sys參數(shù)的。Afd.sys用于支持WindowsSockets應(yīng)用程序。這一部分的所有注冊表項(xiàng)和值都位于注冊表HKLM\System\CurrentControlSet\Services\AFD\Parameters主鍵項(xiàng)的下面，具體如下：

EnableDynamicBacklog將名為EnableDynamicBacklog的鍵值項(xiàng)值設(shè)為1（有效值為0（禁用）、1（啟用））。該項(xiàng)設(shè)置用來指定是否啟用AFD.SYS功能，以有效處理大量的SYN_RCVD連接。

MinimumDynamicBacklog將名為MinimumDynamicBacklog的鍵值項(xiàng)值設(shè)為20（有效值為0~4294967295）。該項(xiàng)設(shè)置用于指定在偵聽的終結(jié)點(diǎn)上所允許的最小空閑連接數(shù)。如果空閑連接的數(shù)目低于該值，線程將被排隊(duì)，以創(chuàng)建更多的空閑連接。

MaximumDynamicBacklog將名為MaximumDynamicBacklog的鍵值項(xiàng)值設(shè)為20000（有效值為0~4294967295）。該項(xiàng)值的設(shè)置用于指定空閑連接以及處于SYN_RCVD狀態(tài)的連接的最大總數(shù)。

DynamicBacklogGrowthDelta將名為DynamicBacklogGrowthDelta的鍵值項(xiàng)值設(shè)為10（有效值為0~4294967295）。該項(xiàng)值的設(shè)置用于指定在需要增加連接時將要創(chuàng)建的空閑連接數(shù)。

本節(jié)具體內(nèi)容參見書本P70頁。2.5.5其他保護(hù)以下所有注冊表項(xiàng)和值都位于注冊表HKLM\System\CurrentControlSet\Services\Tcpip\Parameters主鍵項(xiàng)的下面。保護(hù)屏蔽的網(wǎng)絡(luò)細(xì)節(jié)

需修改的鍵值項(xiàng)為DisableIPSourceRouting。將名為DisableIPSourceRoutin的鍵值項(xiàng)值設(shè)為1（有效值為0（轉(zhuǎn)發(fā)所有數(shù)據(jù)包）、1（不轉(zhuǎn)發(fā)源路由數(shù)據(jù)包），2（丟棄所有傳入的源路由數(shù)據(jù)包））。該項(xiàng)設(shè)置可以用來禁用IP源路由。避免接受數(shù)據(jù)包片段

需修改的鍵值項(xiàng)為EnableFragmentChecking。將名為EnableFragmentChecking的鍵值項(xiàng)值設(shè)為1（有效值為0（禁用）、1（啟用））。該項(xiàng)設(shè)置可以用來禁止IP堆棧接受數(shù)據(jù)包片段。切勿轉(zhuǎn)發(fā)去往多臺主機(jī)的數(shù)據(jù)包

需修改的鍵值項(xiàng)為EnableMulticastForwarding。

將名為EnableMulticastForwarding的鍵值項(xiàng)值設(shè)為0（有效值為0（false）、1（true））。該項(xiàng)設(shè)置可以用來指定路由服務(wù)使用此參數(shù)來控制是否轉(zhuǎn)發(fā)IP多播。此參數(shù)由路由和遠(yuǎn)程訪問服務(wù)創(chuàng)建。只有防火墻可以在網(wǎng)絡(luò)間轉(zhuǎn)發(fā)數(shù)據(jù)包

需將名為IPEnableRouter的鍵值項(xiàng)值設(shè)為0（有效值為0（false）、1（true））。將此參數(shù)設(shè)置為1（true）會使系統(tǒng)在它所連接的網(wǎng)絡(luò)之間路由IP數(shù)據(jù)包，選擇0則不路由。屏蔽網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)細(xì)節(jié)

需修改的鍵值項(xiàng)為EnableAddrMaskReply。

將名為EnableAddrMaskReply的鍵值項(xiàng)值設(shè)為0（有效值為0（false）、1（true））。此參數(shù)控制計(jì)算機(jī)是否響應(yīng)ICMP地址屏蔽請求，選擇0則表示不響應(yīng)ICMP地址屏蔽請求。

本節(jié)具體內(nèi)容參見書本P70~P71頁。2.6惡意軟件的深度防護(hù)方法在針對惡意軟件嘗試企業(yè)有效的防護(hù)之前，需要了解企業(yè)基礎(chǔ)結(jié)構(gòu)中存在風(fēng)險的各個部分，以及每個部分的風(fēng)險程度。強(qiáng)烈建議您在開始設(shè)計(jì)惡意軟件防護(hù)方案之前，進(jìn)行完整的安全風(fēng)險評估，但優(yōu)化解決方案設(shè)計(jì)所需的信息只能通過完成完整的安全風(fēng)險評估獲得。

病毒防護(hù)不再僅僅是安裝病毒防護(hù)程序。深層病毒防護(hù)方法應(yīng)該有助于確保您的IT基礎(chǔ)結(jié)構(gòu)能夠應(yīng)對所有可能的惡意軟件攻擊方法。使用此分層方法，可以更輕松地識別整個系統(tǒng)中的任何薄弱點(diǎn)。如果未能處理深層病毒防護(hù)方法中所述的任一層，都有可能使您的系統(tǒng)受到攻擊。我們應(yīng)該經(jīng)常復(fù)查防病毒解決方案，以便每當(dāng)需要時都可以更新它。病毒防護(hù)的所有方面都是重要的，從簡單的病毒簽名自動下載到操作策略的完全更改。盡管徹底根除惡意代碼也許是不可能的，但是持續(xù)關(guān)注深層病毒防護(hù)方法，將有助于將惡意軟件攻擊對企業(yè)產(chǎn)生的影響減到最小。2.6.1深層防護(hù)安全模型

在發(fā)現(xiàn)并記錄了企業(yè)所面臨的風(fēng)險后，下一步就是檢查和企業(yè)您將用來提供防病毒解決方案的防護(hù)措施。深層防護(hù)安全模型是此過程的極好起點(diǎn)。此模型識別出七級安全防護(hù)，它們旨在確保損害企業(yè)安全的嘗試將遇到一組強(qiáng)大的防護(hù)措施。每組防護(hù)措施都能夠阻擋多種不同級別的攻擊。下頁圖2-2說明了為深層防護(hù)安全模型定義的各個層次。圖中的各層提供了在為網(wǎng)絡(luò)設(shè)計(jì)安全防護(hù)時，環(huán)境中應(yīng)該考慮的每個區(qū)域的視圖。您可以根據(jù)企業(yè)的安全優(yōu)先級和要求，修改每層的詳細(xì)定義。

在部署深層安全防護(hù)策略時，我們又需對整個網(wǎng)絡(luò)中的不同關(guān)鍵部分作出相應(yīng)的防護(hù)重點(diǎn)，這就是細(xì)化后的安全模型，如下頁的圖2-3所示。

本節(jié)具體內(nèi)容參見書本P72~P73頁。。圖2-2：深層防護(hù)安全模型圖2-3：部署深層安全防護(hù)策略后的安全模型

2.6.2客戶端防護(hù)

當(dāng)惡意軟件到達(dá)主機(jī)時，防護(hù)系統(tǒng)必須集中于保護(hù)主機(jī)系統(tǒng)及其數(shù)據(jù)，并停止感染的傳播。這些防護(hù)與環(huán)境中的物理防護(hù)和網(wǎng)絡(luò)防護(hù)一樣重要。一個典型的客戶端病毒防護(hù)步驟如下：

（1）減小攻擊面

應(yīng)用程序?qū)由系牡谝坏婪雷o(hù)是減小計(jì)算機(jī)的攻擊面。應(yīng)該在計(jì)算機(jī)上刪除或禁用所有不需要的應(yīng)用程序或服務(wù)，以最大限度地減少攻擊者可以利用系統(tǒng)的方法數(shù)。

（2）應(yīng)用安全更新

微軟和其他軟件公司已經(jīng)開發(fā)了許多可用來幫助解決此問題的工具。像WindowsUpdate、SoftwareUpdateService和SystemsManagementServer2003等修補(bǔ)程序管理和安全更新工具當(dāng)前可以從微軟官方網(wǎng)站上獲得。（3）啟用基于主機(jī)的防火墻

基于主機(jī)的防火墻或個人防火墻代表您應(yīng)該啟用的重要客戶端防護(hù)層，尤其是在用戶可能使用到企業(yè)通常的物理和網(wǎng)絡(luò)防護(hù)之外的便攜式計(jì)算機(jī)上。這些防火墻會篩選試圖進(jìn)入或離開特定主機(jī)的所有數(shù)據(jù)。WindowsXP系統(tǒng)包括名為“Internet連接防火墻”（ICF）的簡單個人防火墻。WindowsXPServicePack2引入了對ICF（現(xiàn)在稱為“Windows防火墻”）的許多重要增強(qiáng)以及其他面向安全性的改進(jìn)。（4）安裝防病毒軟件

許多公司推出防病毒應(yīng)用程序，其中每個應(yīng)用程序都試圖保護(hù)主機(jī)，同時對最終用戶產(chǎn)生最少的不便和交互。其中的大多數(shù)應(yīng)用程序在提供此保護(hù)方面都是很有效的，但是它們都要求經(jīng)常更新以應(yīng)對新的惡意軟件。（5）測試漏洞掃描程序

許多應(yīng)用程序可用作掃描程序來查找惡意軟件和黑客可能試圖利用的漏洞。微軟公司的基準(zhǔn)安全分析器（MBSA）是能夠檢查常見安全配置問題的漏洞掃描程序的一個示例。此掃描程序還可自動進(jìn)行檢查，以確保您的主機(jī)配置了最新的安全更新。（6）使用最少特權(quán)策略

在客戶端防護(hù)中不應(yīng)忽視的另一區(qū)域是在正常操作下分配給用戶的特權(quán)。建議采用這樣的策略：管理員要為每位用戶根據(jù)其工作實(shí)際需要配置提供可能的最少特權(quán)，以使用戶自身或者惡意軟件開發(fā)者在獲取該用戶權(quán)限時而對系統(tǒng)的安全威脅最小。

根據(jù)以上原則，請考慮對日常刪除操作這樣的特權(quán)，并在必要時改用RunAs命令啟動所需的管理工具。命令格式為：runas/user:mydomain\admin“setup.exe”（7）限制未授權(quán)的應(yīng)用程序

將未授權(quán)應(yīng)用程序安裝在您的任一客戶端計(jì)算機(jī)上的嘗試，可能會使所有這些計(jì)算機(jī)及其包含的數(shù)據(jù)面臨受到惡意軟件攻擊的更大風(fēng)險。如果您的企業(yè)希望限制未授權(quán)的應(yīng)用程序，則您可以使用Windows組策略限制用戶運(yùn)行未授權(quán)軟件的能力。組策略的打開方式為在“運(yùn)行”窗口中輸入“gpedit.msc”命令，處理此功能的組策略的特定方面稱為“軟件限制策略”，可以通過標(biāo)準(zhǔn)組策略MMC管理單元訪問它。

本節(jié)具體內(nèi)容參見書本P73~P77頁。2.6.3客戶端應(yīng)用程序的防病毒設(shè)置

客戶端應(yīng)用程序的病毒防護(hù)通常主要考慮以下幾個方面：

1.電子郵件客戶端

通常，如果用戶能夠直接從電子郵件打開電子郵件附件，則為惡意軟件在客戶端上傳播提供了主要方式之一。如有可能，請考慮在企業(yè)的電子郵件系統(tǒng)中限制此能力。如果這是不可能的，一些電子郵件客戶端允許您配置另外的步驟，用戶將必須執(zhí)行這些步驟才能打開附件。例如，在Outlook和OutlookExpress中，您能夠執(zhí)行以下配置：使用IE瀏覽器安全區(qū)域禁用HTML電子郵件中的活動內(nèi)容啟用一項(xiàng)設(shè)置以便用戶只能以純文本格式查看電子郵件阻止程序在未經(jīng)特定用戶確認(rèn)的情況下發(fā)送電子郵件阻止不安全的電子郵件附件

2.桌面應(yīng)用程序

桌面辦公應(yīng)用程序也成為惡意軟件的攻擊目標(biāo)。您應(yīng)該盡可能采取措施，以確保在環(huán)境中處理這些文件的所有應(yīng)用程序上啟用最合適的安全設(shè)置。最好禁止宏的運(yùn)行。

3.即時消息應(yīng)用程序

即時消息技術(shù)在改進(jìn)全世界用戶通信方便性的同時，也帶來一定的安全隱患，因?yàn)樗峁┝擞锌赡茉试S惡意軟件進(jìn)入系統(tǒng)的途經(jīng)，那就是它的文件傳輸功能。通過該功能，就為惡意軟件提供了進(jìn)入企業(yè)網(wǎng)絡(luò)的直接路由，用戶有可能受到惡意軟件的攻擊。

4.Web瀏覽器

大多數(shù)主要的Web瀏覽器應(yīng)用程序支持限制可用于從Web服務(wù)器執(zhí)行的代碼的自動訪問級別的功能。IE使用安全區(qū)域幫助阻止Web內(nèi)容在客戶端上執(zhí)行有可能產(chǎn)生破壞的操作。

5.對等應(yīng)用程序

Internet范圍的對等（P2P）應(yīng)用程序的出現(xiàn)引發(fā)了許多惡意軟件攻擊，所以如果可能，建議限制企業(yè)中使用這些應(yīng)用程序的客戶端數(shù)量。可使用組策略中的軟件限制策略，幫助阻止用戶運(yùn)行對等應(yīng)用程序。

本節(jié)具體內(nèi)容參見書本P77~P80頁。2.6.4服務(wù)器端病毒防護(hù)

服務(wù)器的病毒防護(hù)與客戶端防護(hù)有許多共同之處，二者都試圖保護(hù)同一基本個人計(jì)算機(jī)環(huán)境。兩者的主要差異在于，服務(wù)器防護(hù)在可靠性和性能方面的預(yù)期級別通常高得多。此外，許多服務(wù)器在組織基礎(chǔ)結(jié)構(gòu)中起到的專門作用通常需要制定專門的防護(hù)解決方案。

1.服務(wù)器的病毒防護(hù)步驟

服務(wù)器的四個基本防病毒步驟與客戶端的相同：

（1）減小攻擊面：從服務(wù)器中刪除不需要的服務(wù)和應(yīng)用程序，將其攻擊面減到最小。

（2）應(yīng)用安全更新：如有可能，請確保所有服務(wù)器計(jì)算機(jī)運(yùn)行的都是最新的安全更新。根據(jù)需要執(zhí)行其他測試，以確保新的更新不會對關(guān)鍵任務(wù)服務(wù)器產(chǎn)生負(fù)面影響。

（3）啟用基于主機(jī)的防火墻：WindowsServer2003包括一個基于主機(jī)的防火墻，您可以使用它減小服務(wù)器的攻擊面以及刪除不需要的服務(wù)和應(yīng)用程序。

（4）使用漏洞掃描程序進(jìn)行測試：使用WindowsServer2003上的MBSA工具幫助識別服務(wù)器配置中可能存在的漏洞。

除了這些常用的防病毒步驟之外，請考慮將以下服務(wù)器特定的軟件用作總體服務(wù)器病毒防護(hù)的一部分：一般的服務(wù)器防病毒軟件角色特定的防病毒配置和軟件

2.Web服務(wù)器

在一段時間內(nèi)，所有類型的組織中的Web服務(wù)器都曾經(jīng)是安全攻擊的目標(biāo)。您可從微軟官方網(wǎng)站上下載IISLockdownTool工具軟件，在IIS上自動執(zhí)行安全配置，網(wǎng)址為：Http:///technet/security/tools/

locktool.mspx。

3.消息服務(wù)器

“SMTP網(wǎng)關(guān)掃描程序”和“集成的服務(wù)器掃描程序”這兩種基本類型的電子郵件防病毒解決方案是經(jīng)常用到的。

4.數(shù)據(jù)庫服務(wù)器

在考慮數(shù)據(jù)庫服務(wù)器的病毒防護(hù)時，需要保護(hù)以下四個主要元素：主機(jī)：運(yùn)行數(shù)據(jù)庫的一個或多個服務(wù)器。數(shù)據(jù)庫服務(wù)：在主機(jī)上運(yùn)行的為網(wǎng)絡(luò)提供數(shù)據(jù)庫服務(wù)的各種應(yīng)用程序。數(shù)據(jù)存儲區(qū)：儲在數(shù)據(jù)庫中的數(shù)據(jù)。數(shù)據(jù)通信：網(wǎng)絡(luò)上數(shù)據(jù)庫主機(jī)和其他主機(jī)之間使用的連接和協(xié)議。5.協(xié)作服務(wù)器協(xié)作服務(wù)器本身的特點(diǎn)使它們易受惡意軟件的攻擊。當(dāng)用戶將文件復(fù)制到服務(wù)器和從服務(wù)器復(fù)制文件時，他們可能使網(wǎng)絡(luò)上的服務(wù)器和其他用戶受到惡意軟件的攻擊。建議使用可以掃描復(fù)制到協(xié)作存儲區(qū)和從協(xié)作存儲區(qū)復(fù)制的所有文件的防病毒應(yīng)用程序，保護(hù)環(huán)境中的協(xié)作服務(wù)器（如運(yùn)行Share