宽带上网环境中的Sniffer攻防实例_网络冲浪

  似乎有很多介绍宽带上网安全的文章,但往往提到的是木马、IE的漏洞之类的问题,殊不知有一类更危险的问题却好像未被用户注意,甚至不为防火墙所重视,但是一旦被人入侵却可以随意共享你的所有驱动器和其中的文件,而且实现起来是如此的简单。是何危险?且听我慢慢道来。

  思考

  近来我正在装修新居,这两天考虑到新家的局域网的网络结构,因为我早使用上了有线通,到时候肯定移机过去,所以现在有两种方案能被我考虑:

  1、CABLE MODEM——HUB——各台主机;
  2、CABLE MODEM——服务器(软路由)——HUB——各台主机

  看到这里大家一定认为第一种方案更好,很明显网络结构简单,至少可以节约一块网卡,而且不需要有一台服务器整天开着。有线通的说明书上也是这么推荐的。但是,我正是想到第一种方案各台主机之间的共享时,才突然意识到长期未被我重视的安全问题。

  大家都知道,所谓的小区宽带是一种局域网+互联网出口的解决方案,小区的用户连在一个局域网上,然后通过一个出口上互联网,这种方案的安全性是比较差的,主要是内部的安全性,因为是连在一个局域网上嘛,如果你不注意,别人是可能共享到你的资源的。而有线通的问题则比较有隐蔽性,他在物理上并不是我们常见的星形以太网+出口的结构,而且DHCP服务器分配给用户的也是标准的C类地址,似乎我们直接面对的就是广域网上的冲击。殊不知,他在物理上的总线型结构把几乎所有的有线通用户连接在了一个局域网上,我们同样面临着一个严重的本地网的安全问题,而且这个本地网的范围更大,因此被入侵(严格的来讲不能叫做入侵,而是共享)的机率就更大。

  实验

  为了验证我的观点,特地做了以下实验:

  我的主机现在被分配到的ip地址是211.167.123.8,这是一个标准的c类地址,因此子网掩码是24位,这就意味着理论上有252台主机(去掉网关和我自己)和我是处在同一网段中,考虑到有线通的实际使用率,252台估计是没有的,但同时间几十台应该还是有的,应该说我是可以访问到这些主机的。

  于是我就ping,从211.167.123.2开始,到211.167.123.15 ping通了,说明这台主机正联线,我马上打开IE,在地址栏中输入\\211.167.123.15,系统提示我输入用户名和密码,用户名输入administrator,密码为空,嘿嘿,进入了。除了打印机外看不到什么共享资源?没关系,我已经是管理员了,还怕找不到资源?我再输入\\211.167.123.15\c$,c盘的根目录不就出来了,这是windows2000的默认共享,是为管理而设的,去不掉的。接下来d$、e$,要找什么自己输入。
  在整个实验的过程中,配合上FluxayIV(流光),一个网段3、5分钟就搞定了,发现有3x台主机正联线,其中居然有5、6台主机的administrator账号密码为空,这岂不是任人宰割了?就算那些设了密码的,一般也不会有人在自己的电脑上设得太复杂,如果有心拆解的话,配上个词典,也不是很困难的事。更有甚者,可能是一台某个公司的主机,居然直接共享了所有的资源,没有任何密码,看来是被他们作为文件服务器使用了。

  结论

  现在大家知道我上面说的两种方案哪个更好了吧?

  由于有线通分配的是标准C类地址,不可能通过延长子网掩码去减少每个网段的主机数,所以本地网的安全始终是我们这些用户的大敌。而且DHCP服务器分配的IP地址是有存活期的,大概一个星期左右,你又会被分配到一个新的IP地址,也就意味着你又进入了一个新的网段,又有252个新邻居在等着你,可怕吧?最可怕的是,和你处在同一网段的主机被你的防火墙认为是局域网主机,一般防火墙的预设里不会对这类主机进行设防。

  防范措施

  首先,也是最起码的,就是为你的administrator账号设一个密码(不能太简单),因为这个账号是删不掉的,你即使不用也不能让密码空着。在实验的过程中我发现有好多用户平时可能用另外一个账号,密码倒是设了,但administrator的密码却是空的,那你岂不是白忙一场?

  还有些用户administrator账号密码设了,但又开了几个密码为空的账号,这同样是危险的。记住,所有的可用账号都要设密码,而且要定时管理这些账号,关闭长期不用的账号,对于administrator账号最好是能经常更换密码。

  安装一两个防火墙是好方法,但记住一定要对防火墙进行设置,因为一般预设里面对局域网主机是没有严密防范的,而你看到这里应该知道我们最需要防范的恰好是这些“局域网”主机。同时,防火墙本身也可能是有漏洞的,所以我用的是天网+Norton,这样交叉防范还是比较令我放心的。至于防火墙的具体设置方法就请参阅相关文章了,我就不赘述了。

  还要提醒你的就是,作了这样防范之后,如果你的网络结构采用的是第一种方案,那么你的几台主机之间也不能共享了,因为这几台主机和本网段的其他主机是处在平等地位。所以你如果要建设自己的网络,考虑到安全性,建议你采用第二种方案,如果能用硬件路由器代替软路由那就更佳了。

  写这篇文章的目的是希望起到抛砖引玉的作用,如果各位看官想到方便、安全、高效的防范手段请一定和我交流。

时间: 2024-09-15 02:47:46

宽带上网环境中的Sniffer攻防实例_网络冲浪的相关文章

窃取QQ中社会工程学的应用实例_网络冲浪

当我们用尽口令攻击.溢出攻击.脚本攻击等手段还是一无所获时,你是否想到还可以利用社会工程学的知识进行渗透呢?关于社会工程学的定义,我的理解是:社会工程学是关于建立理论通过自然的,社会的和制度上的途径并特别强调根据现实的双向计划和设计经验来一步接一步的解决各种社会问题.说的通俗点就利用人性的弱点.结合心理学知识来获得目标系统的敏感信息.我们可以伪装成工作人员来接近目标系统,通过收集一些个人信息来判断系统密码的大概内容.这种方法和传统方法还是有一些区别的,但是它的作用绝对不比传统方法的效率低.这里我

如何区分国内上网环境中不同的人为网络故障

中介交易 SEO诊断 淘宝客 云主机 技术大厅 众所周知,在国内上网会遇到各种各样不同的人为网络故障,使得我们无法正常访问很多网站.但由于很多人并不熟悉网络,很多时候会无法区分不同的网络故障,导致明明是网络故障,却认为是服务器故障;或明明是服务器故障,却认为是网络故障的情况.我觉得有必要说明一下不同网络故障的特征,以及区分它们并解决它们的方法. 在国内上网环境中,我们经常遇到的网络故障有:DNS劫持.DNS污染.IP封锁.服务器防火墙IP过滤.服务器宕机.基于关键词的TCP连接重置.无状态的TC

Linux集群和自动化维3.7.1 开发环境中的Fabric应用实例

3.7 Fabric应用实例 3.7.1 开发环境中的Fabric应用实例 笔者公司在开发环境下使用的都是Xen和KVM虚拟机器,有不少数据,因为是内网环境,所以直接用root和SSH密码连接.系统统一为CentOS 6.4 x86_64,内核版本为2.6.32-358.el6.x86_64,Python版本为2.6.6. 实例1,同步Fabric跳板机的/etc/hosts文件,脚本如下: #!/usr/bin/python # -*- coding: utf-8 -*- from fabri

Linux集群和自动化维3.7.2 线上环境中的Fabric应用实例

3.7.2 线上环境中的Fabric应用实例 笔者线上的核心业务机器统一都是AWS EC2主机,机器数量较多,每个数据中心都部署了Fabric跳板机(物理拓扑图可参考图3-3),系统为Amazon Linux,内核版本为3.14.34-27.48.amzn1.x86_64,Python版本为Python 2.6.9. 如果公司项目组核心开发人员离职,线上机器就都要更改密钥,由于密钥一般是以组的形式存在的,再加上机器数量繁多,因此单纯通过技术人员手工操作,基本上是一项不可能完成的任务,但若是通过F

如何利用网桥功能实现有线上网_网络冲浪

在网上看到一篇利用Windows XP网桥功能实现无线上网的文章,个人观点认为,无线上网固然有其独特的优点,但就现阶段的状态来看,有线网络还是在传输速度.传输质量以及价格方面有着无线网络无法比拟的优势,因而在此介绍网桥功能实现有线上网,希望能够与大家一起交流心得. 在这里我们以多台计算机共用一条ADSL上网为例,介绍整个的连接过程,当然基于无线连接.拨号的连接也能够实现,但在这里就有线上网的具体配置实现过程进行说明. 如图1所示是实现多台计算机同时上网的网络结构,这个结构和Wingate等软件上

如何解决局域网中网络邻居访问响应慢_网络冲浪

你碰到这样的情况吗? 在Windows98和Windows95的对等网中,通过网上邻居访问其它计算机,有时要刷新好多次才能连接得上. 在Windows 2000 Server或者Win dows 2000 Advanced Server中访问其它的计算机,特别是访问Windows 98时很慢,要等30到50秒钟. 上Internet时就够慢了,现在连局域网也这样慢,怎么办?下面我们就和笔者一起来解决局域网"慢"的问题. 网络中的问题主要出在硬件和软件两个方面,局域网中"慢&q

建立高效率的企业上网管理系统_网络冲浪

为了对用户上网进行有效的管理,网络管理员应该尽快建立用户访问管理系统,提高企业内部网接入Internet专线的使用效率.一个完备的用户访问管理系统应该具备以下功能. 1.上网权限管理功能 可以设置每个用户和每台计算机访问Internet的权限:将用户或计算机组织成为用户组,以可以配置的时间段长度为时间单位,以组为管理单位,设置允许上网的时段:可以根据人员.计算机或部门的调整,轻松更改用户或计算机所属组.通过本功能,网络管理员可以将Internet访问权限分配给真正需要的部门和员工,避免资源浪费.

ASP.NET中图片显示方法实例_实用技巧

本文实例讲述了ASP.NET中图片的显示方法.分享给大家供大家参考.具体如下: genimage.ashx: 复制代码 代码如下: <%@ WebHandler Language="C#" Class="netpix.ImageGenerator" %> genimage.ashx.cs: // Copyright (C) 2003 by Greg Ennis // (mailto:greg@ennis.net) // // The contents o

Cisco UCS环境中CentOS带Vlan ID的网络配置指南

原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 .作者信息和本声明.否则将追究法律责任.http://dgd2010.blog.51cto.com/1539422/1529770 最近新进了一批Cisco UCS C系列服务器,经过两周的部署安装终于可以进行测试了.本文简要介绍一下cisco UCS服务器中操作系统(CentOS 6)的网络配置.可以简单的认为,本文描述的是一台物理服务器用网线将网卡连接到上层交换机的trunk模式的端口中的网络配置. 物理连接拓扑图如下所示. 顶