当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 网络安全讲座之:审计结果(4)

安全基础
安全 俄罗斯系统监视器应用手册
Linux 9系统下构建小型入侵检测系统
网管必知 路由器保护内网安全九大步骤
实用技巧:如何全面抵制黑客攻击
安全防御系统新趋势 IPS筛选八大定律
用IDS(入侵检测系统)保卫数据库安全
入侵检测系统(IDS)的测试与评估
如何利用嗅探器TcpDump分析网络安全
了解你的敌人 网络钓鱼攻击的实现过程
网管必知 如何设置虚拟主机访问权限
用命令检查电脑是否被安装木马
春节长假安全手册
微软发布12款安全补丁 涉及所有Windows版本
红客必学:Windows下的权限设置详解
我的电脑安全么?给自己的电脑把把脉
体验三大网络安全在线检测服务
用windows 2000的IP安全策略封闭端口的办法
ADSL防御黑客攻击的十大方法
常见木马的手工清除方法
只防病毒不安全 网络安全还要防哪些?

安全基础 中的 网络安全讲座之:审计结果(4)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 70 ::
收藏到网摘: n/a

扫描检测和jails

  有些入侵监测程序,例如Network Associates’ Sting,允许你建立虚假账号甚至是虚假的网络来引起攻击者的兴趣。这种目标使攻击者把时间花费在不存在的资源上,另外提醒网络管理员网络中存在可疑的活动。

  反击的系统通常包括建立一台服务器作为目标。它们可以包括下列内容:

  ·混杂模式扫描
  ·虚假的数据库
  ·虚假的账号文件
  ·虚假文件
  ·虚假的管理员账号
  ·自动将攻击者引入虚假网络中的防火墙配置
  ·报警或惩罚黑客行为的Tripwire账号
  ·物理线路追踪(试图确定黑客使用的端口或电话线路)
  ·数据包追踪(试图了解包的起源)

  检测工作在混杂模式的网卡

  你可以实施远程扫描来确定一块网卡是否工作在混杂模式。象AntiSniff这样的程序使用三种主要的方法来检测网卡是否工作于混杂模式:

  检测网卡电子方面的变化来确定网卡的工作模式。发送各种包(ARP请求,ICMP包,DNS请求,TCP SYN floods,等等)。如果从某台主机返回的包等待了一段不正常的时间,而且没有被主机处理过的迹象,则程序便推断出该主机的网卡可能出于混杂模式。将错误的ICMP请求包含在无效的以太网地址头中。所有没有工作在混杂模式的系统将忽略这些请求,而那些回复错误的ICMP请求的主机将有可能出于混杂模式。

  像AntiSniff这样的程序通过推论来判断网卡是否工作在混杂模式。由于这些程序只是根据有限的数据来下结论,所以容易出现误报。通常明智的做法是定时进行混杂模式检测的扫描。例如,L0pht包含其自身的调度。使用WindwosNT Scheduler或UNIX的cron程序,你可以自动实施所有扫描。L0pht还提供的UNIX版本的AntiSniff。然而你需要编译它,并且只能运行在FreeBSD和Solaris操作系统下。

  在Linux下阻止你的系统响应任何从外部/内部来的ping请求

  既然没有人能ping通你的机器并收到响应,你可以大大增强你的站点的安全性。你可以加下面的一行命令到/etc/rc.d/rc.local,以使每次启动后自动运行。

  echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

  不要显示出操作系统和版本信息

  如果你希望某个人远程登录到你的服务器时不要显示操作系统和版本信息,你能改变

  /etc/inetd.conf中的一行象下面这样:

  telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h

  加-h标志在最后使得telnet后台不要显示系统信息,而仅仅显示login:

  在Linux下对于linux single的保护

  The /etc/lilo.conf file

  a) Add: restricted

  加这一行到每一个引导映像下面,就这表明如果你引导时用(linux single),则需要一个password.

  b) Add: password=some_password

  当与restricted联合用,且正常引导时,需要用户输入密码,你也要确保lilo.conf文件不能被不属于root的用户可读,也免看到密码明文。下面是例子:

  编辑/etc/lilo.conf加:

  boot=/dev/sda
  map=/boot/map
  install=/boot/boot.b
  prompt
  timeout=50
  Default=linux
  restricted ?add this line.
  password=some_password ?add this line.
  image=/boot/vmlinuz-2.2.12-20
  label=linux
  initrd=/boot/initrd-2.2.12-10.img
  root=/dev/sda6
  read-only
  [root@deep]# chmod 600 /etc/lilo.conf (不再能被其他用户可读).
  [root@deep]# /sbin/lilo -v (更新lilo配置).
  [root@deep]# chattr +i /etc/lilo.conf(阻止该文件被修改)

  禁止 Control-Alt-Delete 重启动机器命令

  [root@deep]# vi /etc/inittab
  ca::ctrlaltdel:/sbin/shutdown -t3 -r now
  To
  #ca::ctrlaltdel:/sbin/shutdown -t3 -r now
  [root@deep]# /sbin/init q