危險重重
2003年出現的“沖擊波”蠕蟲帶來的危害至今猶存(如圖),135端口的訪問量一直居高不下。由於小區寬帶內部是以局域網技術為基礎的網絡,因此只要有一位用戶的電腦感染了“沖擊波”病毒,那小區寬帶中的感染數量將以幾何級數增長:有的小區寬帶由於流量過大造成整個網絡癱瘓;有的小區寬帶則是數百台計算機集體“藍屏”。
小資料
“沖擊波”蠕蟲利用Windows RPC DCOM MS03-26(RPC服務注釋:Microsoft Windows的RPC服務為系統核心服務,很多應用層服務與該服務都有依賴關系,其中最為常見的則是文件資源共享。為攻擊傳播途徑。該蠕蟲主要感染Windows 2000/XP操作系統,但由於它的蠕蟲溢出代碼偏移量的非通用性及針對性因素,因此會造成攻擊失敗後系統不穩定現象的發生。比如:Windows 2000操作系統復制粘貼鍵失效,Windows XP操作系統自動重啟等等……
其實就算在正常的情況下,小區寬帶中也是危機四伏:賬號被盜取;文件被莫名其妙地刪除或修改;重要文件被竊;所有上網記錄被偷看等。Tw.WInGwiT.CoM而且黑客在攻擊小區寬帶時,一般是在用戶的對外網通訊中追查小區的服務器地址,然後進行攻擊、入侵以影響用戶的正常上網;還有的攻擊方式是使用網頁上暗藏的惡意代碼,在小區內某用戶的電腦上直接構建攻擊的代理平台。
小資料
2003年年初,北京依蓮軒小區的寬帶網絡連續三天遭受黑客襲擊,致使大量用戶無法正常上網。
從種種跡象均可看到小區寬帶已經成為病毒和黑客練手的箭靶,為什麼會這樣?其實造成這種現象的原因是多方面的:有接入技術本身的缺陷,也有人為的因素。
ISP在建設小區寬帶時,在IP地址分配方式上一般有兩種:DHCP自動分配和手動設置。目前的小區寬帶中多以DHCP方式為主,可是很多ISP根本就沒有考慮其中的安全隱患:處於正常的交換機環境下是無法進行網絡嗅探的,但是LAN中如果存在惡意破壞者或者想練練手的“黑客”,那麼他們只須把自己的機器偽裝成DHCP服務器,並且把計算機設定成為網關(把真正的小區寬帶的網關作為本機的網關)就能嗅探到所有用戶的數據。
可能有人會問,手動設置IP地址的方式應該安全些吧?我們知道在普通交換機情況下都是無法進行嗅探的,因為數據包都被發送給指定的端口。但如果使用ARP進行欺騙,那麼即使是使用交換機的網絡也可以進行嗅探。打個比方:小區用戶正在和某用戶交換文件資料,傳著傳著……你的數據有可能跑到惡意攻擊者的硬盤上去了。
很多ISP在建設小區寬帶時為了縮減經費,干脆就直接使用HUB。在這樣的網絡環境下安全更是無法保證。雖然不少ISP在小區寬帶中采用了IP+MAC綁定方式,並自以為這種方式很實用,但是稍有電腦常識的人都知道該如何去更改MAC地址。何況現在還有部分小區寬帶沒有對MAC地址進行綁定。
接入商該怎麼做
作為ISP還是應該合理地使用IDS(入侵檢測),積極地監測網絡,對入侵與攻擊做到及時防范。一旦有病毒爆發的跡象,IDS還能夠自動識別並中斷該部分網絡與主網絡間的連接,這樣既能夠阻止病毒的蔓延,還可以減少清除病毒時的復雜程度。同時ISP應盡量避免使用HUB,從基礎設備上給入侵者設置一些障礙。
在用戶認證方面,則應該盡量使用加密通道,千萬不要把網絡安全信任關系單獨建立在IP或MAC基礎上,理想的關系應該建立在IP+MAC上。並且應該通過交換機來劃分VLAN,防止局域網內的交叉感染。
小資料
北京一個小區寬帶網中加裝了IDS後,攻擊量從以往的4000多次下降到了30多次。
個人用戶如何辦
小區寬帶的用戶量很多,指望ISP逐一為每個用戶安裝補丁、查殺病毒不太現實。大家應該自己動手,防患於未然:首先要及時為自己的系統更新補丁,並且選擇性能優異的防病毒產品;然後可以使用Windows自帶的IPSEC建立安全策略,只允許受信任的DHCP服務器分配IP地址;最後禁止一些有潛在危險的端口訪問。如:135、139等。可能很多用戶對IPSEC還沒有足夠的認識,其實打開Windows 2000/XP/2003操作系統中自帶的ICF(Internet Connection Firewall)一樣可以提高操作系統的安全性。
很多小區寬帶的用戶在安裝操作系統時非常隨意,看見什麼最新就裝什麼。這對於普通用戶來說既浪費資源又沒有任何意義,反而會讓一些惡意攻擊者通過從網絡上下載的黑客程序或者系統的漏洞,輕而易舉地控制住你的計算機。大家對於操作系統的選擇,還是應該做到“夠用就行”。
From:http://tw.wingwit.com/Article/Network/201309/4048.html