用户登录  |  傲看软件园 用户注册
文章中心广告代码ASP源码PHP源码JSP源码.NET源码源码相关傲看留言板繁體中文
当前位置:傲看软件园文章中心电脑安全安防技术

网络安全讲座之:审计结果(4)

减小字体 增大字体 作者:风未起时  来源:中国站长学院  发布时间:2008-10-20 19:37:36
扫描检测和jails

  有些入侵监测程序,例如Network Associates’ Sting,允许你建立虚假账号甚至是虚假的网络来引起攻击者的兴趣。这种目标使攻击者把时间花费在不存在的资源上,另外提醒网络管理员网络中存在可疑的活动。

  反击的系统通常包括建立一台服务器作为目标。它们可以包括下列内容:

  ·混杂模式扫描
  ·虚假的数据库
  ·虚假的账号文件
  ·虚假文件
  ·虚假的管理员账号
  ·自动将攻击者引入虚假网络中的防火墙配置
  ·报警或惩罚黑客行为的Tripwire账号
  ·物理线路追踪(试图确定黑客使用的端口或电话线路)
  ·数据包追踪(试图了解包的起源)

  检测工作在混杂模式的网卡

  你可以实施远程扫描来确定一块网卡是否工作在混杂模式。象AntiSniff这样的程序使用三种主要的方法来检测网卡是否工作于混杂模式:

  检测网卡电子方面的变化来确定网卡的工作模式。发送各种包(ARP请求,ICMP包,DNS请求,TCP SYN floods,等等)。如果从某台主机返回的包等待了一段不正常的时间,而且没有被主机处理过的迹象,则程序便推断出该主机的网卡可能出于混杂模式。将错误的ICMP请求包含在无效的以太网地址头中。所有没有工作在混杂模式的系统将忽略这些请求,而那些回复错误的ICMP请求的主机将有可能出于混杂模式。

  像AntiSniff这样的程序通过推论来判断网卡是否工作在混杂模式。由于这些程序只是根据有限的数据来下结论,所以容易出现误报。通常明智的做法是定时进行混杂模式检测的扫描。例如,L0pht包含其自身的调度。使用WindwosNT Scheduler或UNIX的cron程序,你可以自动实施所有扫描。L0pht还提供的UNIX版本的AntiSniff。然而你需要编译它,并且只能运行在FreeBSD和Solaris操作系统下。

  在Linux下阻止你的系统响应任何从外部/内部来的ping请求

  既然没有人能ping通你的机器并收到响应,你可以大大增强你的站点的安全性。你可以加下面的一行命令到/etc/rc.d/rc.local,以使每次启动后自动运行。

  echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

  不要显示出操作系统和版本信息

  如果你希望某个人远程登录到你的服务器时不要显示操作系统和版本信息,你能改变

  /etc/inetd.conf中的一行象下面这样:

  telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h

  加-h标志在最后使得telnet后台不要显示系统信息,而仅仅显示login:

  在Linux下对于linux single的保护

  The /etc/lilo.conf file

  a) Add: restricted

  加这一行到每一个引导映像下面,就这表明如果你引导时用(linux single),则需要一个password.

  b) Add: password=some_password

  当与restricted联合用,且正常引导时,需要用户输入密码,你也要确保lilo.conf文件不能被不属于root的用户可读,也免看到密码明文。下面是例子:

  编辑/etc/lilo.conf加:

  boot=/dev/sda
  map=/boot/map
  install=/boot/boot.b
  prompt
  timeout=50
  Default=linux
  restricted ?add this line.
  password=some_password ?add this line.
  image=/boot/vmlinuz-2.2.12-20
  label=linux
  initrd=/boot/initrd-2.2.12-10.img
  root=/dev/sda6
  read-only
  [root@deep]# chmod 600 /etc/lilo.conf (不再能被其他用户可读).
  [root@deep]# /sbin/lilo -v (更新lilo配置).
  [root@deep]# chattr +i /etc/lilo.conf(阻止该文件被修改)

  禁止 Control-Alt-Delete 重启动机器命令

  [root@deep]# vi /etc/inittab
  ca::ctrlaltdel:/sbin/shutdown -t3 -r now
  To
  #ca::ctrlaltdel:/sbin/shutdown -t3 -r now
  [root@deep]# /sbin/init q


Tags:

作者:风未起时

文章评论评论内容只代表网友观点,与本站立场无关!

   评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论

精品栏目导航

关于本站 | 网站帮助 | 广告合作 | 下载声明 | 友情连接 | 网站地图
冀ICP备08004437号 | 客服Q:354766721 | 交流群83228313
傲看软件园 - 绿色软件,破解软件下载站! 源码网 源码之家 绿软之家
Copyright © 2003-2010 OkHan.Net. All Rights Reserved .
页面执行时间:19,656.25000 毫秒
Powered by:OkHan CMS Version 4.0.0 SP2