局域网中应对攻击与防御战略

　　信息化进程中，大大小小的企业纷纷搭建了局域网，满足共享资源、协同工作、移动办公等需要。网络管理员们也非常重视网络的安全，但大家把更多的注意力用在防来自外部INTERNET的威胁。当大家把视线都投入外部的时候，来自内部的打击往往是毁灭性的。常言说“家贼难防”，这是因为来自局域网内部作案比较隐蔽性而导致难以防范。那来自内部的威胁有哪些呢?如何防呢?下面我们来看看局域网中的黑与防。

　　一、来自局域网黑客工具的攻击

　　1、黑篇

　　基于局域网的黑客工具有很多，下面笔者以“局域网查看工具V1.70”为例演示。这是一款功能强大的局域网工具，但是这么强大的功能如果被别有用心的人利用，就会对局域网内共享数据的安全产生威胁。

　　(1).搜索局域网内计算机：“局域网查看工具V1.70”的使用很简单，软件启动后可以选择搜索工作组、计算机、共享文件夹，也可以跳过这些步骤直接搜索所有在局域网内共享的文件。

　　(2).搜索敏感资料：在搜索结果中我们可以看到，局域网中的所有共享资源一目了然，后面可以看到该共享资源所在计算机的IP地址，试着打开该共享文件夹，结果自然是不攻自破。(图1)

　　(3).其他功能：另外攻击者可以通过该工具轻易地复制或者上传文件，如果被植入木马病毒那服务器或者客户端就被完全控制了。如果服务器或者客户端的密码不够强大，那么就可以很容易地通过该工具进行远程控制。

　　2、防篇

　　对于基于工具的攻击我们同样运用工具来预防，笔者以Lockdown来演示。Lockdown的功能比较强大，如果在局域网上有其他计算机连接到你的电脑上时，Lockdown会自动把对方和你之间的连接过程记录下来，使得对方的连接完全在你的监视之下。此时你不仅能够记录到对方的IP地址，还可以把对方主机的名称也一并记录下来。这样，即便被人非法入侵也可以根据记录顺藤摸瓜，拉出幕后黑手。另外，Lockdown还可以对有关局域网共享连接进行设定，而且可以监测所有连接到计算机用户的使用情况。

　　(1).共享文件管理及设置：在局域网中可能有人会趁你不在的时候把一个很隐蔽的文件夹设置为共享，然后在通过这种方式侵入你的计算机，而一般情况下你是很难发现这些共享的文件夹，所以Lockdown就在这里显示了当前计算机所有共享的文件夹名称。仔细查看一下，如果其中有些文件夹并不是经你同意共享的，那就果断的将这个隐患关闭。

　　(2).查看当前连接：Windows中一般无法查看出到底有哪些连接到你的计算机中，而在Lockdown的这个标签下就显示了当前所有连接到计算机上的用户，以及他们所进行的操作，比如进入了哪些文件夹，运行了哪些程序文件等等。同时，在窗口右边还提供了计算机建立连接的时间，IP地址、用户名等有用的信息，通过这个窗口能够很快了解到哪些非法用户登陆到你的计算机。 (图2)

　　(3).查看历史连接记录：也许在你外出的时候会有人使用你计算机中的资源那么怎样才能知道呢?通过这个标签就可以查看所有连接的详细记录情况。除去和当前共享连接一样拥有其他用户调用的文件资源、连接时间、IP地址和用户名信息之外，更增加了断开连接时间和连接总时间，这样能够更加完整地了解到别人对你计算机资源的使用情况。除了对局域网的防护外，Lockdown对常见木马的查杀也为那些疏于防范的用户加了一把锁。

　　二、抵挡Ping洪水攻击

　　1、黑篇

　　WINDOWS 提供一个PING程序，使用它可以测试网络是否连接，Ping洪水攻击也称为ICMP入侵，它是利用Windows系统的漏洞来入侵的。在工作中的命令行状态运行如下命令：

　　“ping 192.168.1.1 -t -l 65500”，192.168.1.1是局域网服务器的IP地址(如图3)，这样就会不断地向服务发送大量的数据请求，如果局域网内的计算机很多，且同时都运行了命令：“ping 192.168.1.1 -t -l 65500”，想一想有什么结果呢?服务器将会因CPU使用率居高不下而崩溃，这种攻击方式也称DoS攻击(拒绝服务攻击)，即在一个时段内连续向服务器发出大量请求，服务器来不及回应而死机。 (图3)

　　2、防篇

　　在抵挡PING洪水攻击，建议安装网络防火墙(如天网)，在设置里面选择“不允许别人用Ping命令探测本机”。(图4)