利用 IPSec 阻截 ARP Frame 欺骗式挂马攻击

[ 2007/09/05 18:04 | by gOxiA ]

      如今的黑客可是了不得,什么办法都能想出来,这不最近就遭遇到了这种挂马攻击方法,它通过 ARP Frame 来实现的。也就是说通过 ARP 来实现网关欺骗之后在 TCP/IP 中加入 Frame,而这个 Frame 中则包含了恶意的代码,可以使每个用户在打开页面后自动在当前页面中加入木马程序。

      起初发现的时候是很多用户报自己的运营系统只要打开就会提示有病毒,很奇怪!服务器本身做过了安全加固,虽然不能说绝对符合某个级别的安全标准但是应对一些伪客们还是绰绰有余的。难道有人蓄意入侵了服务器在其上安插了rootkit?!赶忙登录服务器进行检查并未发现可疑的进程,察看了进程的模块信息也未发现有可疑的rootkit模块,问题出在哪里了呢?此时有大量用户通知数台服务器均在访问中提示有病毒,赶忙察看发现截获的木马网址都是同一个,真是有意思,难道是有人蓄意攻击?

      重新对服务器进行了检查,排查范围小至可疑的文件日期,但是直觉告诉自己问题应该不是出在服务器,于是立刻是用“arp -a”命令获取到了默认网关的 MAC 地址,联络线路运维中心的工作人员进行查证,得知默认网关的 MAC 地址是错误的,看来找到了原因,子网内有服务器感染了 ARP 病毒!并且通过 ARP 欺骗后在 Frame 中添加了恶意代码,才会导致所有访问的用户会收到病毒的提示,并且用户下载后的页面中确实存在恶意代码,但是在服务器上看反而没有!通过 MAC 地址找到了被感染的机器 ban 掉后,子网恢复了正常!BS 机房线路运维,技术知识有待提高,服务质量有待增强,网管系统迫切需要升级!垃圾,他们之前压根就检测不到有 ARP 真服了。

      今天又出现了这个问题,通知了线路运维那边没有任何反应,看来只能自己想办法了,首先要解决的就是保证用户们访问运营系统的时候不会提示有病毒,仔细想一下病毒的原理,顿悟!它既然要在 Frame 中加入恶意代码,那么必然要将数据报返回给我的服务器,OK!

      使用 IPSec 阻止同子网所有服务器访问本机,切断联系!但是为了保证同子网可信赖服务器能够正常访问本机还要添加一条允许规则。这样以来除了可以阻截 ARP Frame 的欺骗攻击还可以杜绝其他安全威胁!为了实施这项步骤工作,我们需要运行“gpedit.msc”打开GPO管理器,之后在“计算机配置”下找到“Windows 设置”,展开其下的“安全设置”,点击“IP 安全策略,在本地计算机”,然后我们创建一条新的IP 安全策略,之后添加IP安全规则,首先为了确保不出现意外,应当先添加允许信赖的计算机访问本机的任何或指定的协议,最后再添加阻止特定子网的计算机访问本机所有或指定的协议。配置完毕之后,鼠标右击该安全策略并点击“指派”,为了让 IPSEC 立刻生效,建议在 cmd 环境下执行“gpupdate /force”。

      另外需要注意的是这些操作都是在工作组环境下进行的。

      如果要配置的IP比较多,可以使用微软 Support Tools 工具集中的“IPSeccmd”命令来进行配置。可以参考这个网址:http://support.microsoft.com/kb/813878/zh-cn

Windows Server | 评论(1) | 引用(1) | 阅读(8755)

使用 dnscmd.exe 修改 DNS 区域类型

[ 2007/08/08 11:55 | by gOxiA ]

      之前的Blog涉及到命令行操作DNS的命令——dnscmd.exe,此篇Blog则主要记录如何使用 dnscmd.exe 将主区域修改为辅助区域。

dnscmd ServerName /zoneresettype ZoneName /seconday MasterIPAddress /file FileName

注意:ServerName,是服务器的名称,如果是本机操作可以写为“.”;

         ZoneName,是完整的域名FQDN,如:“maytide.net”;

         MasterIPAddress,是主DNS服务器的IP;

         FileName,是区域文件名称,如:“maytide.net.dns”

      具体的操作指南可以访问:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/6bf2981f-085c-4ed8-bce0-53412a83463f.mspx?mfr=true

Windows Server | 评论(2) | 引用(3162) | 阅读(12946)

取消 Windows Server 2008 下“一个用户限制使用一个会话”

[ 2007/07/04 12:11 | by gOxiA ]

      Windows Server 2008(简称WS08) 目前最新的版本是 CTP,暂时还未下载。之前已经开始测试WS08Beta3 的朋友们都知道,WS08Beta3 默认完成安装并启用远程桌面后,一个用户只允许使用一个会话,所以当我们使用远程桌面连接时,当使用一个已经登录的帐号再次登录时,系统即会注销之前的用户会话。也许这个安全举措在实际操作管理时让我们感到不便,所以如果希望同一个帐号名实现多个并发远程桌面控制,我们只需要禁用“Restrict user to one session”即可。此外当我们使用远程桌面连接时,如果本地已经存在一个已经登录的用户会话,此外还存在另外一个用户已经登录的远程桌面,当再连接一个远程桌面时,系统会提示我们选择当前哪个已登录的用户会话,一旦选择之后,系统即会向之前的用户发送一个提示,一经确认当前的远程桌面方可登录进入。

      步骤如下:

      1、点击“Start”

      2、进入“Administrative Tools” - “Terminal Services” - “Terminal Services Configuration”

      3、“Edit Terminal Server Settings” - “General”

      4、配置“Restrict users to one session”为“No”

      最后感谢 Yinjie 兄在Blog上的提醒和指导。我重新更正了此Blog内容。

Windows Server | 评论(5) | 引用(1879) | 阅读(11525)
分页: 38/51 第一页 上页 33 34 35 36 37 38 39 40 41 42 下页 最后页 [ 显示模式: 摘要 | 列表 ]