入侵检测实战之全面问答

　　　　　入侵检测实战之全面问答
在网络安全领域，随着黑客应用技术的不断「傻瓜化」，入侵检测系统IDS的地
位正在逐渐增加。一个网络中，只有有效实施了IDS，才能敏锐地察觉攻击者的侵
犯行为，才能防患于未然！本文对IDS的概念、行为及策略等方面内容以问答形式
进行全面介绍，期望帮助管理者更快和更好地使用IDS。
问：都有哪些重要的IDS系统？
根据监测对像不同，IDS系统分为很多种，以下是几种很重要的IDS系统：
1、NIDS
NIDS是network intrusion detection system的缩写，即网络入侵检测系统，主
要用于检测hacker或cracker通过网络进行的入侵行为。NIDS的运行方式有两种，
一种是在目标主机上运行以监测其本身的通讯信息，另一种是在一台单独的机器
上运行以监测所有网络设备的通讯信息，比如hub、路由器。
2、SIV
SIV是system integrity verifiers的缩写，即系统完整性检测，主要用于监视系
统文件或者Windows 注册表等重要信息是否被修改，以堵上攻击者日后来访的后
门。SIV更多的是以工具软件的形式出现，比如著名的「Tripwire」，它可以检测
到重要系统组件的变换情况，但并不产生实时的报警信息。
3、LFM
LFM是log file monitors的缩写，即日志文件监测器，主要用于监测网络服务所
产生的日志文件。LFM通过检测日志文件内容并与关键词进行匹配的方式判断入侵
行为，例如对于HTTP服务器的日志文件，只要搜索「swatch」关键词，就可以判
断出是否有「phf」攻击。
4、Honeypots
蜜罐系统，也就是诱骗系统，它是一个包含漏洞的系统，通过仿真一个或多个易
受攻击的主机，给黑客提供一个容易攻击的目标。由于蜜罐没有其它任务需要完
成，因此所有连接的尝试都应被视为是可疑的。蜜罐的另一个用途是拖延攻击者
对其真正目标的攻击，让攻击者在蜜罐上浪费时间。与此同时，最初的攻击目标
受到了保护，真正有价值的内容将不受侵犯。蜜罐最初的目的之一是为起诉恶意
黑客搜集证据，这看起来有「诱捕」的感觉。
问：谁是入侵者？
通常我们将入侵者称为hacker，但实际上这是不准确的。可以这么说：hacker是
发现系统漏洞并修补漏洞的，cracker才是利用漏洞占山头搞破坏的入侵者。为了
不混淆视听，在此干脆统一叫作入侵者吧。一般来说，入侵者分为两类：内部和
外部。内部入侵者通常利用社会工程学盗用非授权账户进行非法活动，比如使用
其它人的机器、冒充是处长或局长；外部入侵者则要借助一定的攻击技术对攻击
目标进行监测、查漏，然后采取破坏活动。
有一点请牢记：统计表明，入侵行为有80%来自内部。
问：入侵者如何进入系统？
主要有三种方式：
1、物理入侵
指入侵者以物理方式访问一个机器进行破坏活动，例如趁人不备遛进机房重地赶
紧敲打两下键盘试图闯入操作系统、拿着钳子改锥卸掉机器外壳「借」走硬盘装
在另一台机器上进行深入研究。
2、系统入侵
指入侵者在拥有系统的一个低级账号权限下进行的破坏活动。通常，如果系统没
有及时「打」最近的补丁程序，那么拥有低级权限的用户就可能利用系统漏洞获
取更高的管理特权。
3、远程入侵
指入侵者通过网络渗透到一个系统中。这种情况下，入侵者通常不具备任何特殊
权限，他们要通过漏洞扫瞄或端口扫瞄等技术发现攻击目标，再利用相关技术执
行破坏活动。NIDS主要针对的就是这种入侵。
问：入侵者为何能闯入系统？
苍蝇不盯无缝的蛋，入侵者只要找到复杂的计算器网络中的一个缝，就能轻而易
举地闯入系统。所以，了解这些缝都有可能在哪里，对于修补它们至关重要。通
常，裂缝主要表现在软件编写存在bug、系统配置不当、口令失窃、明文通讯信息
被监听以及初始设计存在缺陷等方面。
1、软件编写存在bug
无论是服务器程序、客户端软件还是操作系统，只要是用代码编写的东西，都会
存在不同程度的bug。Bug主要分为以下几类：
缓冲区溢出：指入侵者在程序的有关输入项目中了输入了超过规定长度的字符串
，超过的部分通常就是入侵者想要执行的攻击代码，而程序编写者又没有进行输
入长度的检查，最终导致多出的攻击代码占据了输入缓冲区后的内存而执行。别
以为为登录用户名留出了200个字符就够了而不再做长度检查，所谓防小人不防君
子，入侵者会想尽一切办法尝试攻击的途径的。
意料外的联合使用问题：一个程序经常由功能不同的多层代码组成，甚至会涉及
到最底层的操作系统级别。入侵者通常会利用这个特点为不同的层输入不同的内
容，以达到窃取信息的目的。例如：对于由Perl编写的程序，入侵者可以在程序
的输入项目中输入类似「| mail < /etc/passwd」的字符串，从而使perl让操作
系统调用邮件程序，并发送出重要的密码文件给入侵者。借刀杀人、借Mail送「
信」，实在是高！
不对输入内容进行预期检查：有些编程人员怕麻烦，对输入内容不进行预期的匹
配检查，使入侵者输送炸弹的工作轻松简单。
Race conditions：多任务多线程的程序越来越多，在提高运行效率的同时，也要
注意Race conditions的问题。比如说：程序A和程序B都按照「读/改/写」的顺序
操作一个文件，当A进行完读和改的工作时，B启动立即执行完「读/改/写」的全
部工作，这时A继续执行写工作，结果是A的操作没有了表现！入侵者就可能利用
这个处理顺序上的漏洞改写某些重要文件从而达到闯入系统的目的，所以，编程
人员要注意文件操作的顺序以及锁定等问题。
2、系统配置不当
默认配置的不足：许多系统安装后都有默认的安全配置信息，通常被称为easy to
use。但遗憾的是，easy to use还意味着easy to break in。所以，一定对默认
配置进行扬弃的工作。
管理员懒散：懒散的表现之一就是系统安装后保持管理员口令的空值，而且随后
不进行修改。要知道，入侵者首先要做的事情就是搜索网络上是否有这样的管理
员为空口令的机器。
临时端口：有时候为了测试之用，管理员会在机器上打开一个临时端口，但测试
完后却忘记了禁止它，这样就会给入侵者有洞可寻、有漏可钻。通常的解决策略
是：除非一个端口是必须使用的，否则禁止它！一般情况下，安全审计数据包可
用于发现这样的端口并通知管理者。
信任关系：网络间的系统经常建立信任关系以方便资源共享，但这也给入侵者带
来借牛打力、间接攻击的可能，例如，只要攻破信任群中的一个机器，就有可能
进一步攻击其它的机器。所以，要对信任关系严格审核、确保真正的安全联盟。
3、口令失窃
弱不禁破的口令：就是说虽然设置了口令，但却简单得再简单不过，狡猾的入侵
者只需吹灰之力就可破解。
字典攻击：就是指入侵者使用一个程序，该程序借助一个包含用户名和口令的字
典数据库，不断地尝试登录系统，直到成功进入。毋庸置疑，这种方式的关键在
于有一个好的字典。
暴力攻击：与字典攻击类似，但这个字典却是动态的，就是说，字典包含了所有
可能的字符组合。例如，一个包含大小写的4字符口令大约有50万个组合，1个包
含大小写且标点符号的7字符口令大约有10万亿组合。对于后者，一般的计算器要
花费大约几个月的时间才能试验一遍。看到了长口令的好处了吧，真正是一两拨
千斤啊！
4、嗅探未加密通讯数据
共享介质：传统的以太网结构很便于入侵者在网络上放置一个嗅探器就可以查看
该网段上的通讯数据，但是如果采用交换型以太网结构，嗅探行为将变得非常困难。
服务器嗅探：交换型网络也有一个明显的不足，入侵者可以在服务器上特别是充
当路由功能的服务器上安装一个嗅探器软件，然后就可以通过它收集到的信息
进客户端机器以及信任的机器。例如，虽然不知道用户的口令，但当用户使用
Telnet软件登录时就可以嗅探到他输入的口令了。
远程嗅探：许多设备都具有RMON（Remote monitor，远程监控）功能以便管理者
使用公共体字符串（public community strings）进行远程调试。随着宽带的不
断普及，入侵者对这个后门越来越感兴趣了。
5、TCP/IP初始设计存在缺陷
即使软件编写不出现bug，程序执行时也按照正确的步骤进行，但初始设计存在缺
陷仍会导致入侵者的攻击。TCP/IP协议现在已经广为应用、大行其道了，但是它
却是在入侵者猖狂肆虐的今天之很早以前设计出来的。因此，存在许多不足造成
安全漏洞在所难免，例如smurf攻击、ICMP Unreachable数据包断开、IP地址欺骗
以及SYN湮没。然而，最大的问题在于IP协议是非常容易「轻信」的，就是说入侵
者可以随意地伪造及修改IP数据包而不被发现。幸好，大救星Ipsec协议已经开发
出来以克服这个不足。
问：入侵者如何获取口令？
1、监听明文口令信息
大量的通讯协议比如Telnet、Ftp、基本HTTP都使用明文口令，这意味着它们在网
络上是赤裸裸地以未加密格式传输于服务器端和客户端，而入侵者只需使用协议
分析器就能查看到这些信息，从而进一步分析出口令，成为真用户的克隆。
2、监听加密口令信息
当然，更多的通讯协议是使用加密信息传输口令的。这时，入侵者就需要借助字
典或者采用暴力攻击法来解密了。注意，我们并不能察觉到入侵者的监听行为，
因为他在暗处，是完全被动的，没有发送任何信息到网络上，入侵者的机器仅被
用于分析这些口令信息。
3、重放攻击（Replay attack）
这又是一种间接的攻击方式，就是说：入侵者不必对口令进行解密，需要的是重
新编写客户端软件以使用加密口令实现系统登录。
4、窃取口令文件
口令文件通常都保存在一个单独的文件中，例如UNIX系统的口令文件
是/etc/passwd（也可能是那个文件的镜像），WinNT系统的口令文件
是/winnt/system32/config/sam。入侵者一旦获取了口令文件，就可以使用破解
程序发现其中的弱口令信息。
5、观察
用户可能由于设置的口令复杂难记而将它写在一张纸上压在键盘下随时查看，或
者在输入口令的时候不管身后有没有站着一位「看客」。入侵者的搜索力与记忆
力都非常好，这些操作习惯对他们来说简直就是轻松练兵。所以，别忽视入侵者
的眼睛！
6、社会工程
前面提到过这个问题，社会工程就是指采用非隐蔽方法盗用非授权账户进行的非
法活动，比如使用其它人的机器、冒充是处长或局长骗取管理员信任得到口令等
等。记住：如果有人想要你的口令，无论他说是为了什么，请记住他，一旦发生
了关于口令的案件，那个人就是头号嫌疑犯！
问：典型的入侵场景有哪些？
所谓入侵场景，就是指入侵者都会从哪些方面采取哪些步骤尝试攻击系统。典型
的入侵画面是这样一幕幕展开的：
1、外部调研
知己知彼，百战不殆。入侵者攻击的第一步就是尽一切可能对攻击目标进行调研
以获取充足的数据。采取的方法包括：使用whois工具获取网络注册信息；使用
nslookup或dig工具搜索DNS表以确定机器名称；搜索关于公司的公开新闻。这一
步对于被攻击者是完全不知的。
2、内部分析
确定了攻击目标的基本属性（站点地址、主机名称），入侵者将对它们进行深入
剖析。方法有：遍历每个Web页面搜索是否存在CGI漏洞；使用ping工具一一探寻
「活」着的机器；对目标机器执行UDP/TCP扫瞄以发现是否有可用服务。这些行为
都属于正常的网络操作，还不能算作入侵行为，但是NIDS系统将能够告诉管理者
「有人正在撼动门把手……」
3、漏洞利用
现在到了开始动手的时候了！破坏花样实在繁多，在此择优列举如下：通过在输
入项目中写入壳命令字符串（shell command）来考验CGI脚本的安全性；通过发
送大量数据以确定是否存在臭名昭著的缓冲区溢出漏洞；尝试使用简单口令破解
登录障碍。当然，混合使用多种方式是攻占成功的不二法门。
4、站稳脚跟
对于入侵者而言，一旦成功地入侵了网络中的一台机器，就可以说是站稳脚跟了
。入侵者现在要做的就是隐藏入侵痕迹并制造日后再攻的后门，这就需要对日志
文件或其它系统文件进行改造，或者安装上木马程序、或者替换系统文件为后门
程序。这时，SIV（系统完整性检测）系统会注意到这些文件的变化。由于内部网
络中的安全措施通常都比较少，进一步地，入侵者将以这第一台机器作为跳板，
攻击网络中的其它机器，寻找下一个安身之家。
5、享受成果
到此，入侵者可以说是完成了攻击任务，剩下的就是享受成果了：或者对窃取的
秘密文件肆意使用、或者滥用系统资源、或者篡改Web页面内容，甚至将你的机器
作为跳板攻击其它机器。
以上讨论是的有目的入侵者的通常行为。还有一种入侵场景通常被称为
「birthday attack」，我想其含义是模拟生日时接收到许多熟人或者未知朋友的
礼物吧，不过用在这里还要在礼物前加上「攻击」两字了。Birthday attack的一
般步骤是：随机搜索一个Internet地址；搜索其上是否有指定的漏洞；如果有，
根据已知的漏洞利用方法进行攻击。计算器网络中的漏洞实在太多了，初级入侵
者别通过这个方法练手噢 :-)

问：入侵有哪些方式？
1、探测
探测方式有很多，包括ping扫瞄、探测操作系统类别、系统及应用软件的弱账号
扫瞄、侦探电子邮件、TCP/UDP端口扫瞄、探测Web服务器CGI漏洞等。
2、漏洞利用
指入侵者利用系统的隐藏功能或漏洞尝试取得系统控制权。主要包括：
CGI漏洞：编写CGI程序需要考虑得非常完善才有可能避免安全威胁。入侵者经常
要尝试访问系统中的一些具有知名漏洞的CGI程序，以期寻找到突破口。这些CGI
程序有：TextCounter、GuestBook、EWS、info2www、Count.cgi、handler、
webdist.cgi、php.cgi、files.pl、nph-test-cgi、nph-publish、AnyForm、
FormMail。如果我们没有使用这些文件却发现有人正在频繁地访问其中之一，就
可以清楚地断明一个入侵行为正在进行了。
Web服务器漏洞：比如文件名中包含一系列「../」字符串从而可以访问系统中的
任意文件；URL路径后添加上「::$DATA」就可以查看脚本源代码。
Web浏览器漏洞：这方面的漏洞涉及面同样很广，冲浪者绝不能掉以轻心。比如可
能导致缓冲区溢出或执行.LNK命令的URL、畸形的HTTP header内容、MIME类型溢
出（例如Netscape浏览器的命令）、总是有漏可乘的javascript脚本（例如利用
文件上传功能创建后门程序）、偶尔犯些错误的Java代码以及现在更为厉害、更
为猖獗的ActiveX组件。
STMP漏洞：比如利用缓冲区溢出攻击STMP、使用VRFY命令搜索用户名称。
IMAP漏洞：IMAP即Internet信息控制协议（Internet Message Access Protocol
），是指从邮件服务器上获取Email信息或直接收取邮件的协议。传统的POP3收信
过程中，用户无法得知邮件的具体信息，只有在邮件全部下载到硬盘后，才能慢
慢地浏览或删除，用户几乎没有对邮件的控制决定权。IMAP解决的就是这个问题
。但是许多流行的IMAP服务器都存在重大漏洞。
IP地址欺骗：由于路由选择不需要判断来源地址，因此入侵者就可将IP数据包的
来源地址替换为伪造地址以期隐藏其攻击地点。而且，由于是伪造的来源地址，
入侵者也不会接收到目标机器的返回通讯信息，真正做到了「攻不还手」。
缓冲区溢出：除了前面提及的缓冲区溢出种类外，还有DNS溢出（超长DNS名字发
送给服务器）、statd溢出（超长文件名）。
3、DoS或DDoS（拒绝服务攻击或分布式拒绝服务攻击）
这种攻击是真正的「损人不利己」，不需要别人的数据，只想等别人出错看热闹
。这种攻击行为越来越多，是不是因为这种人也越来越 ...... 常见的DoS有死亡
之Ping、SYN湮没、Land攻击。
问：NIDS检测到一个入侵行为后做什么？
当发现一个入侵行为后，NIDS系统将采取诸多有力措施对付攻击，这主要包括：
* 重新配置防火墙禁止入侵者IP地址进入
* 播放一段.WAV音乐提醒管理者
* 发送SNMP TRAP信息包到管理控制台
* 将事件记录到系统日志文件中
* 给管理员发送电子邮件通知入侵正在发生
* 以寻呼方式（BP机）告知管理员
* 保存攻击信息，如攻击时间、入侵者IP地址、受害者IP地址及端口、协议信息
、相关数据包
* 启动特殊程序处理入侵事件
* 伪造TCP FIN信息包强制结束连接，避免悲剧继续上演
问：除了IDS外，还有什么入侵对策？
1、防火墙
有种观点说：防火墙是安全护卫的第一道防线，只要突破它，入侵者将随意驰骋
被突破的网络。但是更好的说法应该是：防火墙是安全护卫的最后一道防线，在
正确配置机器及良好运行入侵检测系统的前提下，用防火墙来避免script
kiddies的幼稚和简单的攻击。有两点要注意：一是现在的许多路由器都可以配置
成防火墙的过滤功能；二是防火墙通常只能抵抗外部攻击，对于内部破坏则显得
力不从心。
2、口令验证系统
保证口令验证系统的稳固性是另外一个要采取的措施。或者采用系统内置的口令
验证策略，比如Win2K的Kerberos验证，或者考虑购买单独产品以整合进增强的口
令系统，比如RADIUS（远程认定拨号用户服务）或TACACS（TACACS是用于UNIX系
统上有历史的认证协议，它使远程访问服务器将用户的登录信息发送到认证服务
器以确定用户是否可以访问给定系统）。这些验证系统都有助于消除Telnet、ftp
、IMAP或POP等协议带来的明文口令问题。
3、虚拟专用网VPN
VPN通过Internet为远程访问创建安全的连接管道环境，其中使用的主要协议有
PPTP和Ipsec。PPTP即PPP over TCP，使用它就可以为一台机器分配2个IP地址，
一个用于Internet，另一个用于虚拟网。Ipsec是Win2K系统的新协议，它提高了
传统IP协议的安全性。然而VPN也有其明显的弱点，虽然管道本身经过验证和加密
处理是安全的，但是管道的两端却是开放的，这就可能造成入侵者从一个被安装
了后门的家庭用户机器上大摇大摆地遛进安全管道、不被检查地访问内部网。
4、加密系统
随着个人隐私权的不断被重视，加密系统现在越来越「时髦」了。加密邮件可以
使用PGP（Pretty Good Privacy）和SMIME（加密专用多用途Internet邮件扩展）
，加密文件也可以使用PGP，加密文件系统可以使用BestCrypt或者还是PGP。
问：IDS系统应该安放到网络的什么部位？
1、网络主机
在非混杂模式网络中，可以将NIDS系统安装在主机上，从而监测位于同一交换机
上的机器间是否存在攻击现象。
2、网络边界
IDS非常适合于安装在网络边界处，例如防火墙的两端、拨号服务器附近以及到其
它网络的连接处。由于这些位置的带宽都不很高，所以IDS系统可以跟上通讯流的
速度。
3、广域网中枢
由于经常发生从偏僻地带攻击广域网核心位置的案件以及广域网的带宽通常不很
高，在广域网的骨干地段安装IDS系统也显得日益重要。
4、服务器群
服务器种类不同，通讯速度也不同。对于流量速度不是很高的应用服务器，安装
IDS是非常好的选择；对于流量速度快但又特别重要的服务器，可以考虑安装专用
IDS系统进行监测。
5、局域网中枢
IDS系统通常都不能很好地应用于局域网，因为它的带宽很高，IDS很难追上狂奔
的数据流、不能完成重新构造数据包的工作。如果必须使用，那么就不能对IDS的
性能要求太高，一般达到检测简单攻击的目的就应该心满意足。
问：IDS如何与网络中的其它安全措施相配合？
1、建立不断完善的安全策略。这一点异常重要！谁负责干什么？发生了入侵事件
后怎么干？有了这些，就有了正确行动的指南。
2、根据不同的安全要求，合理放置防火墙。例如，放在内部网和外部网之间、放
在服务器和客户端之间、放在公司网络和合作伙伴网络之间。
3、使用网络漏洞扫瞄器检查防火墙的漏洞。
4、使用主机策略扫瞄器确保服务器等关键设备的最大安全性，比如看看它们是否
已经打了最新补丁。
5、使用NIDS系统和其它数据包嗅探软件查看网络上是否有「黑」流涌动。
6、使用基于主机的IDS系统和病毒扫瞄软件对成功的入侵行为作标记。
7、使用网络管理平台为可疑活动设置报警。最起码的，所有的SNMP设备都应该能
够发送「验证失败」的trap信息，然后由管理控制台向管理员报警。
问：如何检测网络上有人在使用NIDS系统？
NIDS系统实际上就是一个嗅探器（sniffer），因此，任何标准的嗅探器检测工具
都可用于发现它的存在。这些工具有：
1、AntiSniff（http://www.l0pht.com/antisniff/）
2、neped（http://www.securiteam.com/tools/Neped_-
_Detect_sniffers_on_your_local_network.html）
3、Sentinel（http://www.packetfactory.net/Projects/sentinel/）
4、ifstatus（ftp://andrew.triumf.ca/pub/security/ifstatus2.0.tar.gz）
问：如何提高WinNT/Win2K系统的入侵保护程度？
关于这个问题已经有许多诸葛亮出过谋划过策，在此我将选择重点并按考虑顺序
列举如下：
1、访问 http://www.microsoft.com/security/ 下载并安装最新的SP和hotfix。
2、安装时文件系统选择NTFS格式，并且每个磁盘都使用NTFS（不要启动盘是FAT
，其它盘是NTFS）。NTFS不仅仅可以实现对单个文件和单个目录的权限设置，还
可以对它们进行审计。
3、创建一个新的管理员账号，将administrator的功能限制到最小以设置陷阱，
观察是否有人试图盗用其权限；禁止guest账号或者将guest账号改名并创建一个
新的guest账号，目的同样是监测是否有人试图使用它入侵系统。
4、去掉对%systemroot%/system32目录的默认权限：Everyone/写。
5、启动REGEDT32程序打开「HKEY_LOCAL_MACHINE\Security」项，以检测远程注
册表浏览行为。
6、安装系统时默认目录不要选择「c:\winnt」，让入侵者费些心思猜测系统文件
的位置。还有一个更好的方法是：首先安装在c:\winnt目录下，然后重新安装系
统到其它目录，并且对c:\winnt目录添加审计功能，这样就可以监测是否有人想
访问c:\winnt目录了。正所谓真真假假、假假真真，你在不断窥视、我设陷阱无
数。
7、启动分区只存放系统文件，数据和应用程序放到其它分区，甚至将数据和应用
程序也分区存放。总之，隔离是避免「火烧联营」的最好方法。
8、屏幕保护使用「Blank Screen」且设置密码保护，这样既达到安全目的也节省
服务器处理资源。注意，如果使用来历不明的屏幕保护方案，要小心它可能就是
一个后门程序。
9、启动REGEDT32程序，修改AutoSharexxx参数关闭系统默认的自动共享目录，例
如ADMIN$、C$、D$等等。对于WinNT，这个参数的位置是：
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Param
eters\AutoShareServer
对于WinNT Workstation，位置是：
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Param
eters\AutoShareWks
10、禁止匿名访问账号，方法是设置下列项目的值为1：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\RestrictAnonymo
us
11、对于域控制器，将「从网络访问计算器」的权限分配给授权用户而不是默认
Everyone，这样就禁止了使用机器的本地账号进行远程访问的可能，只允许通过
域账号进行访问。
12、为管理员账号设置远程访问的账号锁定策略，使入侵者猜测其口令失败限定
次数后自动被锁。当然，我们还是可以在本地使用管理员账号进入系统的。为了
更加安全，也可以完全禁止远程使用管理员账号，方法是将管理员账号从「从网
络访问计算器」的权限中去除掉。
问：如何提高Win9X系统的入侵保护程度？
保护措施象攻击手段一样多，在此列出我认为最重要的也是最基本的3条：
1、安装最新的补丁程序。
2、关闭打印机共享PRINTER$。打印机共享后，远程用户就可以访问到被共享机器
的system32目录下的打印机驱动程序。但是由于系统bug的存在，其它系统文件就
有了被窃取的可能，例如密码文件。
3、关闭文件共享。如果是家庭用户，通常根本不需要共享文件。如果非共享不可
，必须添加上共享口令并且只在需要共享的时刻共享，贡献完自己的东东后立即
关闭。
问：企业网的安全响应组织都应该包括哪些人员？
人从来都是第一位重要的！建立安全响应组织的目的就是确定：当安全事件发生
时，用户该寻求谁的帮助、他又应该做什么？由于安全问题涉及到每一个方面，
因此这个组织的成员也应该来自五湖四海，保护企业各个部门甚至社会力量。通
常，安全响应组织的人员包括：
1、上级主管
负责处理重大安全问题。比如对于一个正在遭受攻击的电子商务的站点，决断是
否立即断开网络以免发生更大的损失。
2、人力资源主管
因为许多攻击都来自内部，所以一旦发现自家人捣乱，可以立即请人事部的同志
找他谈谈心。
3、技术小组
负责对安全事件进行整理和分析，制定对策数据库，指导实施人员正确操作。
4、实施人员
真正的救火队员，哪里发生火灾，就出现在哪里！
5、外部资源
有些破坏行为罪大恶极、危害严重，自家人已经管不了了，这时就要靠有关的社
会力量支持，比如ISP、公安部门等。一来他们的威慑力大，二来他们的政策权威
。
问：如果有人说他们被来自我方站点的地址入侵了，该怎么办？
请假想这样一个情形：有人发给你一封Email，有鼻子有眼地说他遭受到了你方地
址的入侵，并粘贴来一段日志信息类似如下：
Nov 6 07:13:13 pbreton in.telnetd[31565]: refused connect from
xx.xx.xx.xx
最后礼貌地说他们对此非常重视，希望你方认真调查。
在网络时代，这种情况将越来越多。作为管理者，当接收到这类状纸后，首要的
任务就是冷静下来仔细地分析来信的真假以及证据的真假，从而决定采取的行为
方式。通常情况下，可以考虑以下几个方面的可能：
1、首先尽可能地确定证据（日志信息）是何种软件的产物、可能发生了什么样的
攻击行为。在这个例子中，日志信息可能来自于tcpwrappers，一个增强UNIX系统
服务的登录及访问控制的软件；信息还表明这只是一个探测行为而非攻击活动。
对这些信息了解得越多，就越可能描绘出罪犯的「长相」，好像警察为将逮捕罪
犯描图一样。
2、然后从好的方面设想一下这个行为：可能是有人在敲入「telnet xx.xx.xx.xx
」时错打了IP地址；可能是想敲入「telnet xx.xx.xx.xx 25」连接一个STMP服务
器但却错打成「telnet xx.xx.xx.xx 23」等等。就像是美国的法律，发生了案件
，先假设被告无罪再寻找证据证明有罪。
3、接着从坏的方面设想这个行为：可能是你方网络已被攻陷，入侵者从受害机器
上执行了扫瞄工作；你方网络中的一名雇员确实执行了扫瞄工作。这好像与台湾
的法律相似，发生了案件，先假设被告有罪再找证据证明无罪。
4、另外，还有一个经常忽视但也绝对有可能的情况是：来信人可能就是一个入侵
者！怎么说呢？通过观察你对来信的重视程度、响应速度以及可能提供的相关数
据，比如管理员的IP地址、邮件信息等等，入侵者就可能推测到你方的网络架构
是否安全、应急措施是否得当以及得到相关攻击信息。一般来说，这归类于社会
工程的问题。要小心了，喊捉贼的可能就是贼！
问：怎么搜集入侵者的攻击证据？
这是一个非常有趣而且困难的课题，道高一尺、魔高一丈，精明的入侵者通常也
是优秀的跳板选手和魔术大师，他们总是借助其它人的机器或者使用欺骗IP地址
来完成他们的规定动作－攻击！但是，他攻他的，我防我的，我认为至少有以下2
类有效方法可以采取：
1、在关键位置安装数据包嗅探器捕获经由的通讯数据以备分析。试一试这种方法
吧，你会惊奇地叫道：天啊，我的网络每日里竟然有这么多的扫瞄数据包在跳舞
！
2、尽可能地为开放的每个系统安装审计和日志功能，当入侵发生时，这将是最好
的犯罪现场映照。
  原作者：不详