局域网中应对攻击与防御战略

　　当然也可在“管理工具”中打开“本地安全策略”，进入“IP安全策略”进行IP安全配置。系统防火墙也可以防御ping攻击，在防火墙的“高级设置”的“ICMP”选项卡下确认没有勾选“允许传入的回显请求”(图5)

　　三、防范IPC$入侵

　　1、黑篇

　　一般局域网中的服务器都使用的是Windows 2000/2003 server系统，而客户端计算机使用的操作系统有Win2000 Pro/XP等。

　　恶意攻击者在客户端首先用端口扫描软件进行扫描检测服务器的漏洞或者弱口令，然后实施攻击。比如X-Scan，进行相应的设置就可以检测到比如“sql server弱口令”、“nt-server弱口令”等敏感信息。当得到nt-server弱口令后，可在客户机的命令行状态窗口中输入命令：

　　net use \\192.168.1.18\ipc$"123" /user:administrator”来建立一IPC$对话，然后通过命令：copy m.exe \\192.168.1.18\c$上传木马，最后通过命令：net time \\192.168.1.18确定服务器当前时间，接着输入命令：at 13:56 \\192.168.1.18\c$\m.exe在服务器端运行木马，控制服务器。(图6)

　　其次客户端也可以使用默认共享方式入侵服务器：在该客户机的网络邻居地址栏中输入\\server\admin$，便可进入服务器的系统目录，此时该用户可以删除件。若再输入\\server\d$，即可进入服务器上的D盘，此时该客户机用户已经具备服务器的管理员权限，这是相当危险的。居心叵测的人可以通过上传脚本或者木马创建管理员用户或者通过木马来控制服务器，其后果不堪设想。

　　2、防篇

　　Win2000/XP采用默认共享方式来方便远程维护，但同时也给了有心者可乘之机。怎么办?可能通过修改注册表来关闭默认共享，打开注册表编辑器，依次打开HKEY_L0CAl_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver，若系统为Win2000 Pro，则新建Autosharewks的DWORD值，并设键值为0;若系统为Win2000 Server，则新建Autoshareserver的DWORD值，并设键值为0。重新启动计算机后就关闭了默认共享。

　　管理员怎么禁止IPS$空连接呢?在注册表编辑器找到子键HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA，修改Restrict Anony-mous的DWORD值为0000001。或者是运行命令：net share ipc$ /delete (图7)

　　四、ARP欺骗

　　1、黑篇

　　ARP欺骗仅存在于局域网中，因为局域网是依赖MAC地址作为源地址、目的地址来传输数据帧的。在局域网传输数据过程中需要将IP地址转为对应的MAC地址用于数据帧传输，如果找不到请求的目标IP对应的MAC地址，则广播ARP request包请求解析该IP对应的MAC地址。恶意攻击者而在局域网中任意构造一个ARP包或者传播ARP病毒，这样导致局域网ARP欺骗。使得局域网地址解析故障，造成网络瘫痪。 实际网络中存在多样的欺骗方式，但都是通过广播精心构造的ARP包来修改PC端ARP缓存中的IP-MAC对应关系，只是选择了修改“源IP地址、源MAC地址、目的IP地址、目的MAC地址”其中某项实现欺骗目的。

　　2、防篇

　　(1).PC端：如果是windows系统在cmd模式下，执行arp-a，显示当前系统ARP缓存表，检查缓存中的IP-MAC对应关系是否正确，正常情况下IP-MAC是一一对应的。另外可先使用arp-d清除当前ARP缓存表，再开始观察是否存在ARP欺骗的情况。

　　(2).网络设备端：通过show arp命令检测ARP缓存信息。如果某MAC地址对应多个IP地址，则说明该MAC地址的PC正在广播ARP欺骗包(如果某设备存在多IP地址，这种情况是正常的)。另一种恶意欺骗是该MAC地址域网中根本就不存在。

　　(3).还有个比较简单的方法，装个sniffer监听网络中所有ARP包，由于ARP欺骗往往使用广播形式传播，即使在交换机环境下也明显能监听到某PC端正在狂发ARP包。下图是笔者用“科来网络分析系统”检测并定位到ARP毒源主机。(图8)