防范内部攻击保障局域网安全

来源：作者：出处：巧巧读书 2007-10-09 进入讨论组

　　Win2000/XP采用默认共享方式来方便远程维护，但同时也给了有心者可乘之机。

怎么办?可能通过修改注册表来关闭默认共享，打开注册表编辑器，依次打开HKEY_L0CAl_MACHINESYSTEMCurrentControlSetServiceslanmanserver，若系统为Win2000 Pro，则新建Autosharewks的DWORD值，并设键值为0;若系统为Win2000 Server，则新建Autoshareserver的DWORD值，并设键值为0。重新启动计算机后就关闭了默认共享。

　　不过不要以为这样别人就不能通过共享来入侵服务器了，装有Win2000平台的客户机还可以通过IPS$的空连接入侵服务器。客户机用户可以先用端口扫描软件，这里以X-Scan 2.3为蓝本，在“扫描参数”对话窗口中填入服务器的IP地址，在“扫描模块”对话窗口中选择“sql server弱口令”和“nt-server弱口令”，单击“开始扫描”即开始探测，当得到nt-server弱口令后，可在客户机的命令行状态窗口中输入命令：“net use 192.168.0.1ipc$ "wmgwmg" /user:snow”来建立一IPC$对话，运行命令：net user guest /active:yes 将Guest帐户激活，然后运行命令：net localgroup administrators guest /add 将GUEST帐户添加到管理员组(如图2)，然后设置好后门，这样就可以进行远程控制啦。

　　图2

　　够危险吧!管理员怎么禁止IPS$空连接呢?在注册表编辑器找到子键HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA，修改Restrict Anony-mous的DWORD值为0000001。或者是运行命令：net share ipc$ /delete

　　三、抵挡Ping洪水攻击

　　WINDOWS 提供一个PING程序，使用它可以测试网络是否连接，偶在此讲的Ping洪水攻击也称为ICMP入侵，它是利用Windows系统的漏洞来入侵的。在工作中的命令行状态运行如下命令：“ping -1 65500 -t 192.168.0.1”，192.168.0.1是局域网服务器的IP地址(如图3)，这样就会不断地向服务发送大量的数据请求，如果局域网内的计算机很多，且同时都运行了命令：“ping -l 65500 -t 192.168.0.1”，想一想有什么结果呢?呵呵~~~ 服务器将会因CPU使用率居高不下而崩溃，这种攻击方式也称DoS攻击(拒绝服务攻击)，即在一个时段内连续向服务器发出大量请求，服务器来不及回应而死机。