- 相关推荐
如何防范网络攻击
随着我们上网的增多,网络对我们的攻击也越来越多,不如黑客的攻击等等,如何来保护我们的网络安全呢,我们不能光靠安全软件来防护,我们应该尽可能的利用我们电脑的本身来防护,下面我给大家列举一下几种方式以供大家来参考。
第一招、禁止访问“控制面板”
开始/运行/gpedit.msc进行组策略编辑,并在左侧窗口中展开“本地计算机策略→用户配置→管理模板→控制面板”分支,然后将右侧窗口的“禁止访问控制面板”策略启用即可
第二招、桌面相关选项的禁用
1) 隐藏桌面的系统图标
比如“我的桌面”“网络邻居”…,右击桌面/属性/桌面/自定义桌面/我的电脑 相关的选项去掉即可
2) 禁止对桌面的某些更改
开始/运行/gpedit.msc进行组策略编辑,找到 桌面中退出时退出时不保存设置”这个策略选项启用
第三招、文件夹设置审核
开始/运行/gpedit.msc进行组策略编辑,“计算机配置→windows设置→安全设置→本地策略”分支,然后在该分支下选择“审核策略”选项。
第四招、禁用“开始”菜单命令
开始/运行/gpedit.msc进行组策略编辑,在“本地计算机策略”中,逐级展开“用户配置→管理模板→任务栏和开始菜单”分支,在右侧窗口中提供了“任务栏”和“开始菜单”的有关策略。进行相关的设置即可。
第五招、设置用户权限
开始/运行/gpedit.msc进行组策略编辑,在编辑器窗口的左侧窗口中逐级展开“计算机配置→windows设置→安全设置→本地策略→用户权限指派”分支。
第六招、禁止访问“控制面板”
开始/运行/gpedit.msc进行组策略编辑,并在左侧窗口中展开“本地计算机策略→用户配置→管理模板→控制面板”分支,然后将右侧窗口的“禁止访问控制面板”策略启用即可。
教你如何防止基于ICMP的网络攻击2017-04-21 10:32 | #2楼
许多网络攻击都基于icmp协议。在下面这篇文章里,我们将首先介绍icmp协议,然后探究常见的基于icmp的网络攻击,最后分析防火墙怎样才能够防止和减轻这种攻击所造成的危害。
如何防止基于icmp的网络攻击
icmp(internet控制消息协议, internet control message protocol)协议用来给ip协议提供控制服务,允许路由器或目标主机给数据的发送方提供反馈信息。需要发送反馈信息的情况包括:数据包不能被发送到目标主机,路由器缓冲区溢出导致数据包被删除,路由器想要把流量重定向到另外一个更短的路由上等。icmp协议是ip协议的一部分,任何实现了ip协议的设备同时也被要求实现icmp协议。
icmp协议的格式如图1所示,icmp协议头位于ip数据包头之后,使用类型和代码来区分不同的控制消息。到现在为止,人们已经定义了27种不同的icmp类型。icmp代码用来区分不同的icmp子类型,图2列出了常用的icmp类型。icmp数据位于icmp协议头之后,不同的icmp类型对应的数据的长度也不相同。通常icmp数据包含原始数据包的信息、被报告的错误或者用来测试的数据。
图1:icmp包结构
图2:常用的icmp消息类型
icmp类型属于ping命令,可以测试网络的连通性。一个icmp echo request可以包含64k的数据,它被发送后,接收方会返回一个icmp echo reply,返回的数据中包含了接收到的数据的拷贝。
常见的icmp攻击
基于icmp的攻击可以分为三类,并且都可以归类为拒绝服务攻击(dos, denial of service):针对带宽的dos攻击,利用无用的数据来耗尽网络带宽;针对主机的dos攻击,攻击操作系统的漏洞;针对连接的dos攻击,可以终止现有的网络连接。
pingflood、pong、echok、flushot、fraggle 和 bloop是常用的icmp攻击工具。通过高速发送大量的icmp echo reply数据包,目标网络的带宽瞬间就会被耗尽,阻止合法的数据通过网络。icmp echo reply数据包具有较高的优先级,在一般情况下,网络总是允许内部主机使用ping命令。这种攻击仅限于攻击网络带宽,单个攻击者就能发起这种攻击。更厉害的攻击形式,如smurf和papa-smurf,可以使整个子网内的主机对目标主机进行攻击,从而扩大icmp流量。使用适当的路由过滤规则可以部分防止此类攻击,如果完全防止这种攻击,就需要使用基于状态检测的防火墙。
《如何防范网络攻击》全文内容当前网页未完全显示,剩余内容请访问下一页查看。
“ping of death”及其相关的攻击利用主机操作系统的漏洞直接对目标主机发起攻击。通过发送一个非法的icmp echo request数据包,就可以使目标系统崩溃或重启。许多系统包括windows、unix、macintosh ,甚至还有一些路由器和打印机,都容易遭受此类攻击。如果用户使用的操作系统的版本过于陈旧,请确保是否打好了补丁。这类攻击包括pinger、 pingexploit、jolt、 jolt2、sping、ssping、icenewk和 icmpbug。一个能执行详细数据包完整性检测的防火墙可以防止所有这种类型的攻击。
针对网络连接的dos攻击会影响所有的ip设备,因为它使用了合法的icmp消息。nuke通过发送一个伪造的icmp destination unreachable或redirect消息来终止合法的网络连接。更具恶意的攻击,如puke和smack,会给某一个范围内的端口发送大量的数据包,毁掉大量的网络连接,同时还会消耗受害主机cpu的时钟周期。还有一些攻击使用icmp source quench消息,导致网络流量变慢,甚至停止。redirect和router announcement消息被利用来强制受害主机使用一个并不存在的路由器,或者把数据包路由到攻击者的机器,进行攻击。针对连接的dos攻击不能通过打补丁的方式加以解决。通过过滤适当的icmp消息类型,防火墙可以阻止此类攻击。
选择合适的防火墙
有效防止icmp攻击,防火墙应该具有状态检测、细致的数据包完整性检查和很好的过滤规则控制功能。
状态检测防火墙通过跟踪它的连接状态,动态允许外出数据包的响应信息进入防火墙所保护的网络。例如,状态检测防火墙可以记录一个出去的 ping(icmp echo request),在接下来的一个确定的时间段内,允许目标主机响应的icmp echo reply直接发送给前面发出了ping命令的ip,除此之外的其他icmp echo reply消息都会被防火墙阻止。与此形成对比的是,包过滤类型的防火墙允许所有的icmp echo reply消息进入防火墙所保护的网络了。许多路由器和基于linux内核2.2或以前版本的防火墙系统,都属于包过滤型,用户应该避免选择这些系统。
新的攻击不断出现,防火墙仅仅能够防止已知攻击是远远不够的。通过对所有数据包进行细致分析,删除非法的数据包,防火墙可以防止已知和未知的 dos攻击。这就要求防火墙能够进行数据包一致性检查。安全策略需要针对icmp进行细致的控制。因此防火墙应该允许对icmp类型、代码和包大小进行过滤,并且能够控制连接时间和icmp包的生成速率。
配置防火墙以预防攻击
一旦选择了合适的防火墙,用户应该配置一个合理的安全策略。以下是被普遍认可的防火墙安全配置惯例,可供管-理-员在系统安全性和易用性之间作出权衡。
防火墙应该强制执行一个缺省的拒绝策略。除了出站的icmp echo request、出站的icmp source quench、进站的ttl exceeded和进站的icmp destination unreachable之外,所有的icmp消息类型都应该被阻止。下面是针对每个icmp消息类型的过滤规则的详细分析。
echo request和reply(类型8和0):允许echo request消息出站以便于内部用户能够ping一个远程主机。阻止入站echo request和出站echo reply可以防止外部网络的主机对内部网络进行扫描。如果您使用了位于外部网络的监视器来监视内部网络,就应该只允许来自于特定外部ip的echo request进入您的网络。限制icmp echo包的大小可以防止“ping floods”攻击,并且可以阻止那些利用echo request和reply来“偷运”数据通过防火墙的木马程序。
destination unreachable (类型3):允许其入站以便于内部网用户可以使用traceroute。需要注意的是,有些攻击者可以使用它来进行针对会话的dos攻击,如果您曾经历过类似的攻击,也可以阻止它。阻止出站的icmp destination unreachable消息,因为它可能会泄漏内部网络的结构。不过有一个例外,对于那些允许外部网络通过tcp访问的内部主机(如位于dmz区的web 服务器)发出的destination unreachable,则应该允许它通过。为了能够支持“path mtu discovery”,您应该允许出站的“packet too big”消息(类型3,代码4)到达那些主机。
source quench(类型4):阻止其入站,因为它可以作为一种dos攻击,能够降低发送者的发送速度。允许其出站以便于内部主机能够控制发送端发送数据的速度。有些防火墙会忽略所有直接发送到防火墙端口的source quench消息,以防止针对于防火墙的dos攻击。
redirect、router announcement、 router se-le-ction(类型5,9,10):这些消息都存在潜在危险,因为它们可以用来把数据重定向到攻击者的机器。这些消息都应该被阻止。
ttl exceeded(类型11):允许其进站以便于内部用户可以使用traceroute。“firewalking”使用很低的ttl值来对网络进行扫描,甚至可以通过防火墙对内网进行扫描,所以应该禁止其出站。一些防火墙可以阻止ttl值小于设定值的数据包进入防火墙。
parameter problem(类型12):禁止其入站和出站。通过使用一个能够进行数据包一致性检查的防火墙,错误和恶意的数据包都会被阻塞
【如何防范网络攻击】相关文章:
如何防范ARP攻击09-23
系统管-理-员如何防范黑客的攻击09-23
如何防范网络钓鱼09-23
如何防范网络信息窃取09-23
解析系统管-理-员应如何防范黑客攻击09-23
如何防范网络恐怖主义09-23
网络存在的安全隐患如何防范09-23
如何防范邪教09-23
如何防范诈骗11-28