摘要：該文分析了典型的IPC漏洞網絡入侵攻擊的過程，從系統(tǒng)策略、系統(tǒng)服務、計算機端口等方面研究，給出了防范策略及方法，通過批處理命令編制腳本程序并注入系統(tǒng)注冊表中，使其啟動系統(tǒng)時自動運行，實現(xiàn)阻止入侵的安全防護。

關鍵詞：IPC漏洞；網絡入侵；系統(tǒng)服務；端口；注冊表；安全防護

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2013）13-3006-06

隨著計算機網絡的快速發(fā)展，信息安全問題日趨嚴重。信息系統(tǒng)的安全指存儲信息的計算機、數(shù)據(jù)庫的安全和傳輸信息的網絡的安全[1]。信息系統(tǒng)的安全包括1）機密性2）完整性3）可用性4）真實性。常見的安全威脅有特洛伊木馬 、蠕蟲、網絡黑客入侵攻擊、病毒攻擊等 ，這些攻擊往往是綜合運用[2]。對于廣大計算機用戶了解攻擊過程，并加以防范尤其重要。

1 網絡入侵概述

網絡入侵攻擊已成為網絡信息安全最大威脅，它包括系統(tǒng)漏洞攻擊、網絡報文嗅探、系統(tǒng)口令破解 、拒絕服務（DoS）攻擊 、緩沖區(qū)溢出攻擊、IIS溢出、格式化字符串攻擊、SQL Injection攻擊。

1.1網絡入侵

使用相關計算機和網絡技術來獲得非法或未授權的網絡或文件訪問，入侵進入內部網或計算機的行為。網絡攻擊與入侵已經成為一種最為常見的網絡犯罪手段。

1.2黑客（Hacker）”定義

是指網絡的攻擊者或非法侵入者。黑客攻擊與入侵指未經他人許可利用計算機網絡非法侵入內部網絡和計算機，竊取或修改資料信息、破壞軟硬件系統(tǒng)。

1.3 IPC$入侵

IPC$ 是共享“命名管道”的資源，它是為了讓進程間通信而開放的命名管道，通過提供可信任的用戶名和口令，連接雙方可以建立安全的通道并以此通道進行加密數(shù)據(jù)的交換，從而實現(xiàn)對遠程計算機的訪問。

1.4空會話

空會話是在沒有信任的情況下與客戶機建立的會話（即未提供用戶名與密碼），借助空連接可以列舉目標主機上的用戶和共享，訪問 everyone 權限的共享等，通過空會話可以得到戶列表，而大多數(shù)弱口令掃描工具就是利用這個用戶列表來進行口令猜解的，掌握用戶列表大大增加了猜解口令的成功率。

1.5端口

計算機"端口"是英文port的意譯，可以認為是計算機與外界通訊交流的出口。軟件領域的端口一般指網絡中面向連接服務和無連接服務的通信協(xié)議端口，是一種抽象的軟件結構，包括一些數(shù)據(jù)結構和I/O（基本輸入輸出）緩沖區(qū)。如果遠程服務器沒有監(jiān)聽 139 或 445 端口， IPC$ 會話是無法建立的 [3] 。

1.6身份驗證

NTLM（NT LAN Manager）是微軟提出了WindowsNT挑戰(zhàn)/響應驗證機制，NTLM是以當前用戶的身份（本機的帳戶和密碼登錄）向Telnet服務器發(fā)送登錄請求的，如果當前用戶和遠程登錄計算機身份不一致，操作將失敗。NTLM身份驗證選項有三個值。0：不使用NTLM身份驗證。1：先嘗試NTLM身份驗證，如果失敗，再使用用戶名和密碼。2：只使用NTLM身份驗證。默認是2。

2 典型網絡入侵

2.1確定攻擊目標

攻擊者在進行攻擊之前首先要確定攻擊要達到的目的，利用入侵工具，如x-scan等掃描網絡中計算機，尋找目標計算機。

2.2收集信息

收集被攻擊計算機的信息， 包括目標計算機所在網絡的信息，目標計算機開放的端口、防火墻信息、開放的系統(tǒng)服務、用戶信息、操作系統(tǒng)等。

2.3漏洞挖掘

根據(jù)收集的信息進行分析，是否有空密碼的情況以及存在弱口令。一些重要端口如：137～139，445，3389等端口是否開啟。

一些重要服務如：提供 RPC 支持、文件、打印以及命名管道共享的”Server”服務是否開啟。Windows的用戶名安全驗證NTLM是否啟用。Windows開啟的默認盤共享，如：磁盤默認共享和系統(tǒng)Admin$共享情況。防火墻（Firewall）是否開啟。

2.4攻擊系統(tǒng)

破解用戶的口令 ，登錄目標系統(tǒng)，提升權限，瀏覽用戶信息，種植并運行冰河、Radmin等木馬程序，進行遠程監(jiān)控。

2.5留下后門

最好自己寫后門程序，用別人的程序總是相對容易被發(fā)現(xiàn)。

2.6清除日志

攻擊者在取得用戶權限后，為了避免被發(fā)現(xiàn)，就要考慮清除用戶主機的相關日志，因為日志 系統(tǒng)往往會記錄攻擊者的相關攻擊過程和信息。Windows2000的日志文件通常有應用程序日志、安全日志、系統(tǒng)日志、DNS服務器日志、FTP 日志、WWW日志等等。

3 典型的ipc網絡入侵攻擊過程

1）用x-scan、Namp等入侵工具掃描網絡 空口令計算機?！眓et user ＼＼ip地址＼ipc$ "administrator" /user：" "”進行ipc空連接。

2）用網絡命令”nbtstat –a”枚舉被攻擊計算機的用戶名列表或”net share”查看開啟的所有共享。

3）用smbcrack、HackerDicBuilder等軟件破解用戶的口令，

4）利用”telnet”遠程登錄，并窺視開放默認共享的磁盤中的信息。

5）用”net user ＼＼ip地址＼ipc$ "密碼" /user："用戶名"”進行ipc 非空鏈接， 將木馬程序復制到開放的共享目錄里，用at命令啟動。

6）留下后門。去除Ntlm身份認證，開啟磁盤共享，添加用戶并提升權限。

4 網絡入侵的防范

網絡入侵的防范主要有防火墻，入侵檢測（Intrusion Detection），蜜罐技術等。這里給出網絡入侵的防范的入侵防御方法，并通過系統(tǒng)命令以及設置注冊表來實現(xiàn)。[5]

4.1從計算機本地安全策略上進行防范

禁止空連接后枚舉用戶列表，這樣入侵者無法得到被入侵者的正在使用的用戶列表，無法用有效用戶名進行破解口令及登陸入侵。

禁止空密碼登陸枚舉計算機用戶列表功能。

4.2關閉重要端口

由于沒有139（TCP）端口和445端口的支持，是無法建立IPC$的，因此屏蔽139（TCP）端口和445端口同樣可以阻止IPC$入侵攻擊過程；3389端口提供Windows遠程終端服務。文件傳輸協(xié)議（FTP：File Transfer Protocol）使得主機間可以共享文件，21端口是FTP服務的標準端口。

4.3關閉相關服務

Windows一些關鍵服務必須關閉，它們是網絡入侵必須依賴。例如：IPC$連接必須的”Server”服務使計算機可以共享網絡上的資源 ；任務計劃服務”Schedule”允許程序在指定時間運行；”Telnet”服務它為用戶提供了在本地計算機上完成遠程主機工作的能力?！盩elnet”服務?！盧emote Registry”服務允許遠程用戶能修改此計算機上的注冊表。

4.4其它

5 結論

隨著internet廣泛應用，入侵方式的呈現(xiàn)不確定性、復雜化和多樣化，網絡安全面臨巨大挑戰(zhàn)。通過本文給出預防IPC系統(tǒng)漏洞典型入侵的基本思路和方法，能給廣大計算機用戶提供網絡安全方面的啟示。

參考文獻：

[1] 胡道元，閔京華.網絡安全[M].北京：清華大學版社，2004.

[2] 姚玉獻.網絡安全與入侵檢測[J].計算機安全，2007（3）.

[3] 宋大慶，顏定軍.技術及安全漏洞與應對措施[J].計算機安全，2009.

[4] DirtilyE.Denning.An intrusion—detection model.IEEE Transactions on Software Engineering，2007，13（2）：222-232.

[5] 鄧吉.黑客攻防實戰(zhàn)詳解[M].北京：電子工業(yè)出版社，2006.