04 2008 档案
摘要:入侵检测系统的性能的辨别 四、分析 网络入侵检测系统的性能测试的基本原理是是通过一些设备或软件工具制造不同数据包大小(如64, 128, 256, 512, 1024 , 1518字节)、不同压力的背景流量(如10Mbps,50Mbps,100Mbps,350Mbps,500Mbps,750Mbps等),然后通过各种黑客工具发动攻击,看网络传感器的检测情况和数据包丢失的情况。 在网络入侵检测系统中,背景流量的产生起着至关重要的作用。背景流量从如下方面影响性能测试的结果。 1.背景流量的数据包大小 对于发包测试设备来说,每秒制造数据包的数量(pps)是有极限的。...
阅读全文
摘要:入侵检测系统的性能的辨别 三、性能指标受哪些因素影响? 网络入侵检测系统性能取决于软硬件两方面的因素。 1.软件因素 软件因素主要是: ●网络抓包的效率; ●数据包重组和TCP流重组的效率。这是严重影响网络入侵检测系统性能的因素,对处理器和内存的开销非常大。如果数据包重组和TCP流重组在操作系统的用户层完成,那么就会导致操作系统以极高的频率在核心态和用户态之间切换,导致大量额外的系统开销; ●入侵分析的效率。入侵检测一般是基于特征匹配的,将网络数据包与入侵规则库进行特征匹配的。很多产品利用协议分析技术提高入侵分析的效率,先使用协议分析过滤冗余数...
阅读全文
摘要:入侵检测系统的性能的辨别 一、概述 性能指标是每个用户采购安全产品必定关注的问题。但是,如果不知道这些指标的真实含义,不知道这些指标如何测出来,就会被表面的参数所蒙蔽,从而做出错误的决策。 本文介绍了网络入侵检测系统的性能指标的含义、测试方法,并分析了测试过程中可能作假的方法,以给用户正确选择网络入侵检测产品提供辨别的思路。 二、性能指标简介 不同的安全产品,各种性能指标对客户的意义是不同的。例如防火墙,客户会更关注每秒吞吐量、每秒并发连接数、传输延迟等。而网络入侵检测系统,客户则会更关注每秒能处理的网络数据流量、每秒能监控的网络连接数等。 就网络入侵...
阅读全文
摘要:HIDS逐渐的成为主流 当前的网络IDS系统可以分为基于网络数据包分析的系统(NIDS)和基于主机分析的系统(HIDS)两种基本方式。简单地讲,HIDS产品主要对主机的网络实时连接以及系统审计日志进行智能分析和判断,在宿主系统审计日志文件中寻找攻击特征,然后给出统计分析报告;NIDS产品在网络通信中寻找符合网络入侵模板的数据包,并立即作出相应反应。 从传统角度看,入侵检测系统(IDS)一直存在着主机型入侵检测系统(HIDS)和网络型入侵检测系统(NIDS)哪一个更好的争论。现在有一种说法是,HIDS将逐步取代NIDS,成为市场的主流。那么到底HIDS比NIDS好在哪里呢?这需要从监测范围、检.
阅读全文
摘要:随着木马,后门的不停发展,防火墙本身也在不断地发展,这是一个矛和盾和关系,知道如何逃过防火墙对于控制一台系统是有很重大的意义的。 由于防火墙的发展,时至今天,很多防火墙都是以驱动形式加载的,核心部分是在驱动那里,保留一个界面给用户去设置,这个界面程序同时充当了桥梁作用,传统的杀防火墙进程以达到能控制到系统的方法已经是失效的了,而且这也不是一个好的方法(想想管理员发现防火墙的图标不见了会有什么反应).以下是谈谈以种方法。 前提条件: 1.你在远程系统有足够权限 2.你已从ipc或mssql或其它得到系统的权限,但因为无论用ipc还是用mssql的操作,都并不如直接得到一个cmd的Shell操作来
阅读全文
摘要:你已经接受了这种想法,就是使用隔离区(DMZ)为你的机器提供更多的安全和强大的保护功能,而不是简单地在你的整个网络前面使用一个传统的防火墙。这对你会有好处,但是,仍存在一个问题:你会采用简单的路由并在你的单一的防火墙外面设置一个隔离区吗?或者采用两个防火墙并且在两个防火墙之间设置一个隔离区,这样增加额外的开支提供最大的保护值得吗?你可以使用传统的隔离区合理地保护你们面向公众开放的服务器,同时,这些服务器将保护你的敏感的内部网络不受恶意的外部用户入侵。在这种情况下,防火墙将监视全部入网的通信,以确定这种通信是应该转到隔离区网络还是应该传送到受保护的内部网络。传统的隔离区检查从内部网络发往外部网络
阅读全文
摘要:1.如何让asp脚本以system权限运行? 修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"。 2.如何防止asp木马? 基于FileSystemObject组件的asp木马 cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用 regsvr32 scrrun.dll /u /s //删除 基于shell.application组件的asp木马 cacls %systemroot%/system32/shell32.dll /e /d guests //禁止gu
阅读全文
摘要:1. 断点:所谓断点就是程序被中断的地方,这个词对于解密者来说是再熟悉不过了。那么什么又是中断呢?中断就是由于有特殊事件(中断事件)发生,计算机暂停当前的任务(即程序),转而去执行另外的任务(中断服务程序),然后再返回原先的任务继续执行。打个比方:你正在上班,突然有同学打电话告诉你他从外地坐火车过来,要你去火车站接他。然后你就向老板临时请假,赶往火车站去接同学,接着将他安顿好,随后你又返回公司继续上班,这就是一个中断过程。我们解密的过程就是等到程序去获取我们输入的注册码并准备和正确的注册码相比较的时候将它中断下来,然后我们通过分析程序,找到正确的注册码。所以我们需要为被解密的程序设置断点,在适
阅读全文
摘要:假设您的服务器IP是211.147.9.106 1) 首先您要知道这个IP的反向域名解析是由哪台DNS服务器负责的。您可以用这个网页查询反向域名解析信息 http://www.dnsstuff.com/tools/ptr.ch?ip=211.147.9.106 看最后一段 Details: ns.cnc.ac.cn.(an authoritative nameserver for 147.211.in-addr.arpa., which is in charge of the reverse DNS for 211.147.9.106) says that there are no PTR r
阅读全文
摘要:一、Ethereal:网络数据嗅探器软件 Ethereal是当前较为流行的一种计算机网络调试和数据包嗅探软件。Ethereal基本类似于tcpdump,但Ethereal还具有设计完美的GUI和众多分类信息及过滤选项。用户通过Ethereal,同时将网卡插入混合模式,可以查看到网络中发送的所有通信流量。 Ethereal应用于故障修复、分析、软件和协议开发以及教育领域。它具有用户对协议分析器所期望的所有标准特征,并具有其它同类产品所不具备的有关特征。Ethereal是一种开发源代码的许可软件,允许用户向其中添加改进方案。Ethereal适用于当前所有较为流行的计算机系统,包括Unix、Li..
阅读全文
摘要:前言 随着网络入侵的不断发展,网络安全变得越来越重要,于是网络入侵取证系统的研究也变得日益重要。在网络入侵取证系统中,对网络上传送的数据包进行有效的监听即捕获包是目前取证的关键技术,只有进行高效的数据包捕获,网络管理员才能对所捕获的数据进行一系列的分析,从而进行可靠的网络安全管理。 1winpcap简介 WinPcap是由伯克利分组捕获库派生而来的分组捕获库,它是在Windows操作平台上来实现对底层包的截取过滤。WinPcap为用户级的数据包提供了Windows下的一个平台。WinPcap是BPF模型和Libpcap函数库在Windows平台下网络数据包捕获和网络状态分析的一种体系结...
阅读全文
摘要:各位做维护的同事经常会听到用户对网速太慢的抱怨,但是网速慢的原因有很多,比如软件设置不当,网络设备故障,物理链路问题,感染病毒等,而单单从用户的故障描述里面很难有进一步的发现,所以也许大家一时也不知道从何下手。 Sniffer是一个非常好的流量分析工具,利用它我们可以实际了解到当前网络中正在发生的具体流量,并且通过Sniffer的专家系统以及进一步对数据包的解码分析,我们可以很快的定位网络故障,确认网络带宽的瓶颈,在故障发生前及时消除网络隐患,这样能给我们日常的维护工作带来很大的方便,也使得我们的维护工作处于主动地位,不会再只有接到用户故障投诉后才能处理故障,在时间和效率上都不能很好的...
阅读全文
摘要:最近在论坛上经常看到关于ARP病毒的问题,于是在Google上搜索ARP关键字,结果出来很多关于这类问题的讨论。呵呵,俺的求知欲很强,想再学习ARP下相关知识,所以对目前网络中常见的ARP问题进行了一个总结。 1. ARP概念 咱们谈ARP之前,还是先要知道ARP的概念和工作原理,理解了原理知识,才能更好去面对和分析处理问题。 1.1 ARP概念知识 ARP,全称Address Resolution Protocol,中文名为地址解析协议,它工作在数据链路层,在本层和硬件接口联系,同时对上层提供服务。 IP数据包常通过以太网发送,以太网设备并不识别32位IP地址,它们是以48位以太网地址传输以
阅读全文
摘要:防火墙是保护我们网络的第一道屏障,如果这一道防线失守了,那么我们的网络就危险了!所以我们有必要把注意一下安装防火墙的注意事项! 1. 防火墙实现了你的安全政策 防火墙加强了一些安全策略。如果你没有在放置防火墙之前制定安全策略的话,那么现在就是制定的时候了。它可以不被写成书面形式,但是同样可以作为安全策略。如果你还没有明确关于安全策略应当做什么的话,安装防火墙就是你能做的最好的保护你的站点的事情,并且要随时维护它也是很不容易的事情。要想有一个好的防火墙,你需要好的安全策略---写成书面的并且被大家所接受。 2. 一个防火墙在许多时候并不是一个单一的设备 除非在特别简单的案例中,防火墙很少...
阅读全文
摘要:无论你如何勤勉地修补系统和保护你的电脑,它仍然有可能在未曾预见到的攻击出现后的数个小时内中招。这篇文章将为您讲述零时差攻击的危险性以及它是如何利用安全漏洞的。 在电脑安全方面你并不曾懈怠。你随时更新应用程序,确保它们都是最新的版本,你也安装了反病毒软件。你很在意你浏览的是什么样的网站,在电脑上安装的是什么样的软件。 但是去年九月,如果你访问过由HostGator(位于佛罗里达州的一家顶级主机托管商)托管的博客站点,你的浏览器就会立即被重定向到一个受病毒感染的网站,这利用的是一种古老的微软图形格式中存在的漏洞。 在几秒钟内,恶意软件就侵入了你的电脑 遭遇到这一切,是因为你已经沦为零时差攻...
阅读全文
摘要:作为脚本漏洞的头号杀手锏——数据库下载漏洞,现在已经被越来越多的人所熟知。在这个信息化技术更新飞快的时代,漏洞产生后随之而来的就是各种应对的招数,比如改数据库的后缀、修改数据库的名字等等。很多人以为只要这么做就可以解决问题了,但事实往往不如你我所愿,即使你这么做了也难逃被高手攻击的命运。为此我们有必要去了解一些攻击的手法,来增强自己的安全技能。 1.强制下载后缀名为ASP、ASA的数据库文件 大多数的网管为了节省时间,网站上的文章系统、论坛等程序都是直接下载别人的源程序再经过部分修改后使用的。而现在很多人做的ASP源程序都已经将数据库的后缀由原先的MDB改为了ASP或ASA。本来这是好事...
阅读全文
摘要:网页挂马最难的就是传播了,小网站易入侵但是访问人数不多,收获的肉鸡也就不是很多。因此,一种新的挂马方式开始流行——局域网ARP欺骗挂马,只要局域网内一台机子中招了,它就可以在内网传播含有木马的网页,捕获的肉鸡就会成几何增长。 局域网ARP欺骗挂马的好处如下:无需入侵网站,只要你的主机处于局域网中即可,这是它最大的优点;收获的肉鸡多多,短时间内可以收获数十台甚至上百台肉鸡,类似网吧这样由上百台电脑组成的局域网是最好的挂马场所;局域网内的用户访问任何网站都会中我们的木马。看了上面的介绍,各位是不是已经蠢蠢欲动了? 第一步:配置木马服务端 我们以“黑洞”木马为例。运行“黑洞”木马的Client...
阅读全文
摘要:在这外壳程序风起云涌的几年间,出现了无数优秀的外壳,CoDe_inJect 曾谈过对几种流行壳的看法,我斗胆结合他的言论描述一下现在常见的保护外壳: ASProtect 无可争议的外壳界老大,它开创了壳的新时代,SEH 与各种流行反跟踪技术、多态变形引擎的使用(准确来说是从病毒中借用)、BPM 断点清除等都出自于此;更为有名的当属 RSA 算法的使用,使得 DEMO 版无法被破解成完整版;Code Dips也源于这里;输入表处理即使现在看来仍很强劲。开发壳应该学习它各种算法的熟练运用,而它最失败之处就是反跟踪过于温柔,令破解者轻松研究。 tELock 大名鼎鼎的一款免费的保护软件,具有...
阅读全文
摘要:网络安全是一个综合的、复杂的工程,任何网络安全措施都不能保证万无一失。因此,对于一些重要的部门,一旦网络遭到攻击,如何追踪网络攻击,追查到攻击者并将其绳之以法,是十分必要的。 追踪网络攻击就是找到事件发生的源头。它有两个方面意义:一是指发现IP地址、MAC地址或是认证的主机名;二是指确定攻击者的身份。网络攻击者在实施攻击之时或之后,必然会留下一些蛛丝马迹,如登录的纪录,文件权限的改变等虚拟证据,如何正确处理虚拟证据是追踪网络攻击的最大挑战。 在追踪网络攻击中另一需要考虑的问题是:IP地址是一个虚拟地址而不是一个物理地址,IP地址很容易被伪造,大部分网络攻击者采用IP地址欺骗技术。这样追踪到..
阅读全文
摘要:微软官方提供的密码强度在线测试工具Microsoft Password checker很有意思,可以帮助你测试密码是否足够强悍,分为Weak、Medium、Strong、BEST四个等级。 微软对于强悍密码的建议: 1.随机的字符串; 2.长度至少应有8位,最好是14位以上; 3.由大小写字母、数字及符号组成。 笔者用26个字母组成的密码,虽然是按键盘上的排列有一定顺序,但怎么也不至于才Weak吧?我又把字母数加到了52位,既两轮全键盘字母组合,依然是Weak。 于是就试出了Microsoft对于密码安全性的定义规则(把密码字符分为小写字母、大写字母、数字、符号四类): 1.任何...
阅读全文
摘要:一、网站的通用保护方法 针对黑客威胁,网络安全管理员采取各种手段增强服务器的安全,确保WWW服务的正常运行。象在Internet上的Email、ftp等服务器一样,可以用如下的方法来对WWW服务器进行保护: 安全配置 关闭不必要的服务,最好是只提供WWW服务,安装操作系统的最新补丁,将WWW服务升级到最新版本并安装所有补丁,对根据WWW服务提供者的安全建议进行配置等,这些措施将极大提供WWW服务器本身的安全。 防火墙 安装必要的防火墙,阻止各种扫描工具的试探和信息收集,甚至可以根据一些安全报告来阻止来自某些特定IP地址范围的机器连接,给WWW服务器增加一个防护层,同时需要对防火墙内的...
阅读全文
摘要:摘要:本文通过介绍如何运用包过滤技术实现个人防火墙,深入的剖析了个人防火墙中所用到的各种技术,并重点介绍了通过微软的NDIS 中间驱动程序实现网络封装包,以及驱动程序与应用程序之间的通讯方法。 随着网络的迅速发展,各种各样的网络软件也随之出现,人们的生活和学习对网络的依赖也越来越多,但问题也接踵而来,网站被攻击,病毒泛滥,个人信息被窃取,使人们面临这样一个问题:网络是否安全? 而防火墙正是网络的保护伞,形形色色的防火墙很多,本文通过介绍包过滤技术实现个人防火墙,使大家对防火墙的知识有进一步的了解。 一、防火墙和包过滤技术简介 防火墙是一种用于在两个网络间进行访问控制的设备,防火墙系统...
阅读全文
摘要:本文讨论了Linux环境下攻击者入侵成功以后常常使用的一些后门技术,并且对最著名的rootkit工具之一?knark进行了详细的分析,并且指出了在发现系统被入侵以后如何发现是否是kark及如何恢复。 什么是"rootkit"? 入侵者入侵后往往会进行清理脚印和留后门等工作,最常使用的后门创建工具就是rootkit。不要被名字所迷惑,这个所谓的“rootkit”可不是给超级用户root用的,它是入侵者在入侵了一太主机后,用来做创建后门并加以伪装用的程序包。这个程序包里通常包括了日志清理器,后门等程序。同时,程序包里通常还带有一些伪造的ps、ls、who、w、netstat等原
阅读全文
摘要:在上网的时候,我们经常会看到“端口”这个词,也会经常用到端口号,比如在FTP地址后面增加的“21”,21就表示端口号。那么端口到底是什么意思呢?怎样查看端口号呢?一个端口是否成为网络恶意攻击的大门呢?,我们应该如何面对形形色色的端口呢?下面就将介绍这方面的内容,以供大家参考。 21端口:21端口主要用于FTP(File Transfer Protocol,文件传输协议)服务。 端口说明:21端口主要用于FTP(File Transfer Protocol,文件传输协议)服务,FTP服务主要是为了在两台计算机之间实现文件的上传与下载,一台计算机作为FTP客户端,另一台计算机作为FTP服务..
阅读全文
摘要:在用JSP制作的电子商务网站多如牛毛。但是对于JSP网站而言,安全性真的能够让人放心吗?面对层出不穷的黑客攻击和病毒袭击,JSP网站的服务器能够比其他网站的服务器器更加安全吗?前段时间,应朋友之邀,我对他们托管的三台服务器的主机进行了测试,发现了JSP网站存在的几个问题。 入侵测试第一步:扫描 扫描是入侵的第一步,它可以让你对即将入侵的目标有一个全面的了解。同时扫描还有可能发现扫描对象的漏洞,为入侵提供一个指导方向。 朋友的两台服务器为Linux,一台为Windows系统,在路由器后面还有一台Cisco PIX 525对三台主机进行保护,只允许外部用户连接不同主机的部分端口,例如80,2...
阅读全文
