網(wǎng)絡(luò)入侵安全檢查分析

張凱

【摘 要】關(guān)于網(wǎng)絡(luò)安全問題的研究一直以來都是計算機互聯(lián)網(wǎng)技術(shù)發(fā)展過程中備受關(guān)注的一個課題。尤其是在網(wǎng)絡(luò)技術(shù)快速發(fā)展的今天，網(wǎng)絡(luò)入侵問題常有發(fā)生，給一些網(wǎng)站或程序的正常運行帶來極大的影響。為此，加強對網(wǎng)絡(luò)入侵的安全檢查分析就顯得非常有必要?，F(xiàn)本文就通過分析網(wǎng)絡(luò)入侵的途徑和，來探討網(wǎng)絡(luò)的安全防范措施，并就其具體的安全檢查方法進(jìn)行研究。

【關(guān)鍵詞】計算機；網(wǎng)絡(luò)；入侵；安全；檢查

計算機犯罪是在信息科技不斷發(fā)展并廣泛應(yīng)用的推動下產(chǎn)生的一種新的犯罪形式，這種通過計算機網(wǎng)絡(luò)技術(shù)實施犯罪行為的人群大都具有較高的計算機應(yīng)用能力，對于網(wǎng)絡(luò)的內(nèi)部運作技術(shù)了如指掌，并能夠利用一定的技術(shù)手段來瓦解網(wǎng)站的安全防護(hù)程序或防火墻，達(dá)到網(wǎng)絡(luò)入侵的目的。這種黑客侵襲事件對社會造成的影響是較為惡劣的，不但會對公民的個人隱私或秘密造成泄漏，甚至?xí)构酒髽I(yè)或國家軍事等重要機密丟失，從而給企業(yè)造成嚴(yán)重的經(jīng)濟(jì)損失，給國家安全帶來極大的危害。為此，無論是個人還是公司，又或是國家部門，都必須要加強網(wǎng)絡(luò)安全防御，防止網(wǎng)絡(luò)入侵行為的發(fā)生，保證計算機網(wǎng)絡(luò)運行的安全穩(wěn)定。

1.網(wǎng)絡(luò)入侵的途徑

計算機病毒入侵主要有源代碼嵌入攻擊型、代碼取代攻擊型、系統(tǒng)修改型和外殼附加型四種方式，而對網(wǎng)絡(luò)入侵來講主要分為主動入侵和被動入侵。

1.1主動入侵

這種網(wǎng)絡(luò)入侵方式是用戶自己主動在電腦中植入病毒或輸入木馬程序而引起的入侵。當(dāng)然這種操作并未是用戶自身愿意的，甚至有些用戶是在不知情的情況下執(zhí)行了病毒或木馬程序。例如用戶在使用計算機網(wǎng)絡(luò)的過程中，瀏覽了一些被植入惡意病毒的網(wǎng)站或網(wǎng)頁，就很容易使這些病毒或木馬程度鉆操作系統(tǒng)漏洞的空子而引起電腦中毒，通常都是在用戶瀏覽這些網(wǎng)站時，病毒或木馬程序就自動下載并安裝執(zhí)行，從而能夠在用戶不知情的情況下實現(xiàn)用戶主動執(zhí)行病毒的目的。除此之外，還有一種主動入侵方式是以可移動磁盤作為介質(zhì)進(jìn)行傳播的，這類病毒較為隱蔽，很難被用戶察覺，但當(dāng)可移動磁盤被插在電腦客戶端時，一旦用戶連接了互聯(lián)網(wǎng)，病毒的服務(wù)端就能夠都對該電腦發(fā)起病毒入侵，從而控制電腦終端的操作。

1.2被動入侵

所謂被動入侵就是由破壞者發(fā)出攻擊命令來對電腦或網(wǎng)絡(luò)程序進(jìn)行入侵的行為。例如在掃描系統(tǒng)口令時，若系統(tǒng)存在一定漏洞就極易遭受入侵者的溢出攻擊或者SQL注入攻擊，但若系統(tǒng)的安全防護(hù)性能較好，且用戶自身具備一定的安全防范意識，基本都能保證系統(tǒng)口令的安全。被動入侵的成功幾率相對較低。

2.網(wǎng)絡(luò)入侵的安全防范措施

為了能夠保證計算機或網(wǎng)站的安全與正常運行，用戶必須具備較高的安全意識，并采取一定的措施方法來防止網(wǎng)絡(luò)入侵。在此筆者提出幾種網(wǎng)絡(luò)的安全防范措施，具有很高的可行性。

（1）及時更新計算機操作系統(tǒng)中的補丁程序，在計算機操作系統(tǒng)安裝完成后，不要立刻連接網(wǎng)絡(luò)，要先安裝一定的操作系統(tǒng)安全補丁程序，尤其是高危漏洞的補丁程序，更是必須安裝的重要程序。很多病毒入侵都是利用這些操作系統(tǒng)漏洞來實現(xiàn)木馬程序安裝的。

（2）安裝可靠的殺毒軟件與防火墻。目前市場中有多款殺毒軟件產(chǎn)品，要選擇最新最可靠的殺毒軟件安裝在計算機中，并設(shè)置一定的防火墻。在日常使用中注意對病毒庫的及時更新。

（3）謹(jǐn)慎瀏覽網(wǎng)站或下載軟件。因為當(dāng)前市場中的多數(shù)程序軟件都是盜版軟件，且大都攜帶捆綁一定的病毒，因此在瀏覽網(wǎng)站或下載軟件時一定要具有安全防范意識，不瀏覽莫名其妙的網(wǎng)站，不下載來歷不明的程序。

3.具體的安全檢查方法

3.1檢查計算機用戶

在被入侵的計算機中，極有可能添加了新用戶或者對用戶進(jìn)行了克隆?？梢园匆韵路绞竭M(jìn)行檢查：①查看目前用戶。使用“net localgroup administrators”查看當(dāng)前的具有管理員權(quán)限用戶列表，也可以通過執(zhí)行“l(fā)usrmgr.msc”命令來查看本地用戶和組。②可以使用“mt –chkuser”查看用戶是否被克隆。

3.2查看網(wǎng)絡(luò)連接情況

使用“netstat-an->netlog-1.txt”命令將目前端口開放情況以及網(wǎng)絡(luò)連接情況生成netlog-1文本文件，便于查看網(wǎng)絡(luò)開放的端口和連接的IP地址等，可以用來追蹤入侵者。

3.3查看遠(yuǎn)程終端服務(wù)

①查看“Terminal Services”服務(wù)啟動情況。

打開管理工具中的“服務(wù)”控制面板，查找名稱為“Terminal Services”的服務(wù)，然后直接雙擊該服務(wù)名稱就可以查看遠(yuǎn)程終端開放情況?！癟erminal Services”啟動類型有自動、手動和禁用。如果發(fā)現(xiàn)其啟動類型為自動，則說明極有可能被人入侵。

②使用dos命令“query/quser”。

使用“query user /quser”命令可以直接查看目前遠(yuǎn)程終端服務(wù)連接情況，不過該命令只能在Windows2000/2003Server中使用，在WindowsXP中需要到系統(tǒng)目錄下的dllcache目錄下執(zhí)行。在WindowsXp中默認(rèn)連接就是控制臺連接，即sessionname為“console”。

說明：在進(jìn)行檢查前，需要先行確定是否存在query.exe和quser.exe這兩個文件以及其相應(yīng)的文件大小，入侵者在入侵成功后，既有可能將query.exe和quser.exe這兩個文件刪除或者進(jìn)行替換，query.exe和quser.exe文件大小分別為10，752和18，432字節(jié)。

③使用netstat-an|find"3389"查看網(wǎng)絡(luò)連接及其端口開放情況。

使用netstat-an|find"3389"命令可以查看目前正在使用遠(yuǎn)程終端的連接及其3389端口開放情況。

3.4 Web服務(wù)器的安全檢查

①SQL Server 2000等數(shù)據(jù)庫安全檢查。

目前對Web服務(wù)器進(jìn)行SQL注入是一種主流攻擊方式，SQL注入攻擊最有可能留下痕跡的就是SQL Server2000等數(shù)據(jù)庫中的臨時表，通過HDSI等軟件進(jìn)行SQL注入攻擊，在數(shù)據(jù)庫中會留下臨時表。因此可以通過數(shù)據(jù)庫的企業(yè)管理器或者查詢處理器進(jìn)行表的瀏覽，直接查看最新創(chuàng)建表的情況。

②Web日志文件檢查。

如果Web服務(wù)設(shè)置日志記錄，則系統(tǒng)會在缺省的“%SystemRoot%＼system32＼Logfiles”目錄下對用戶訪問等信息進(jìn)行記錄。日志文件能夠記錄入侵者所進(jìn)行的操作以及入侵者的IP地址等。

3.5使用事件查看器查看安全日志等

事件查看器中有安全性、系統(tǒng)和應(yīng)用程序三類日志文件，可以通過在運行“eventvwr.msc”調(diào)用事件查看器。安全性日志中包含了特權(quán)使用、用戶、時間和計算機等信息，這些信息可以作為判斷入侵者入侵時間以及采用什么方式進(jìn)行登陸等信息。不過默認(rèn)情況下，日志文件記錄的選項較少，需要通過組策略進(jìn)行設(shè)置。

3.6查看硬盤以及系統(tǒng)所在目錄新近產(chǎn)生的文件

如果及時發(fā)現(xiàn)入侵，則可以通過以下一些方法來查看入侵者所上傳或安裝的木馬程序文件。

①查看系統(tǒng)目錄文件，可以使用DOS命令“dir/od/a”或者資源管理器查看最新文件。DOS命令“dir/od/a”查看系統(tǒng)最新文件（包含隱藏文件）以日期進(jìn)行排序。

②查看系統(tǒng)盤下用戶所在文件的臨時目錄temp，如“D：＼Documents and Settings＼simeon＼Local Settings＼Temp”，該目錄下會保留操作的一些臨時文件。

③查看歷史文件夾，歷史文件夾中會保留一些入侵者訪問網(wǎng)絡(luò)的一些信息，可以通過訪問用戶所在的目錄如“D：＼Documents and Settings＼simeon＼Local Settings＼History”進(jìn)行查看。

④查看回收站，回收站可能會存在入侵者刪除的一些文件記錄。通過查看文件創(chuàng)建日期和跟蹤文件所在位置來進(jìn)行入侵時間等判斷。

⑤查看recent文件夾，recent文件夾中會保留一些最近操作時的一些快捷方式。通過這些快捷方式可以了解入侵者進(jìn)（下轉(zhuǎn)第428頁）（上接第412頁）行的一些操作。

3.7使用port/mport/fport等工具檢查端口開放情況

port/mport/fport等都是用來檢查端口開放情況以及端口由哪些程序打開。

3.8檢查Rootkit

Rootkit是攻擊者用來隱藏自己的蹤跡和保留root訪問權(quán)限的工具，利用Rootkit技術(shù)而編寫的木馬程序，功能強大，且具有較高的隱蔽性，危害非常大，目前可以通過RootkitRevealer、Blacklight以及Klister等Rootkit檢測工具檢測系統(tǒng)是否存在Rootkit類型的木馬。

4.結(jié)束語

綜上所述，網(wǎng)絡(luò)入侵是當(dāng)前互聯(lián)網(wǎng)技術(shù)應(yīng)用中的存在的最大問題，但當(dāng)前的技術(shù)還不能完全將病毒問題解決掉，需要用戶在計算機的日常使用中，提高安全防范意識，加強對計算機的安全防護(hù)。本文給出了一些計算機被入侵后的一些常規(guī)的安全檢查方法，通過這些安全檢查方法可以檢測入侵者留在被入侵計算機上的“痕跡”，方便進(jìn)行安全評估，對網(wǎng)絡(luò)安全管理具有一定的參考價值。

【參考文獻(xiàn)】

[1]胡昌振.網(wǎng)絡(luò)入侵檢測原理與技術(shù).北京：理工大學(xué)出版.

[2]唐正軍等.網(wǎng)絡(luò)入侵檢測系統(tǒng)的設(shè)計與實現(xiàn).電子工業(yè)出版社.