如何防范網(wǎng)絡(luò)攻擊

隨著我們上網(wǎng)的增多，網(wǎng)絡(luò)對我們的攻擊也越來越多，不如黑客的攻擊等等，如何來保護(hù)我們的網(wǎng)絡(luò)安全呢，我們不能光靠安全軟件來防護(hù)，我們應(yīng)該盡可能的利用我們電腦的本身來防護(hù)，下面我給大家列舉一下幾種方式以供大家來參考。

第一招、禁止訪問“控制面板”

開始/運(yùn)行/gpedit.msc進(jìn)行組策略編輯，并在左側(cè)窗口中展開“本地計(jì)算機(jī)策略→用戶配置→管理模板→控制面板”分支，然后將右側(cè)窗口的“禁止訪問控制面板”策略啟用即可

第二招、桌面相關(guān)選項(xiàng)的禁用

1) 隱藏桌面的系統(tǒng)圖標(biāo)

比如“我的桌面”“網(wǎng)絡(luò)鄰居”…，右擊桌面/屬性/桌面/自定義桌面/我的電腦 相關(guān)的選項(xiàng)去掉即可

2) 禁止對桌面的某些更改

開始/運(yùn)行/gpedit.msc進(jìn)行組策略編輯，找到 桌面中退出時(shí)退出時(shí)不保存設(shè)置”這個(gè)策略選項(xiàng)啟用

第三招、文件夾設(shè)置審核

開始/運(yùn)行/gpedit.msc進(jìn)行組策略編輯，“計(jì)算機(jī)配置→windows設(shè)置→安全設(shè)置→本地策略”分支，然后在該分支下選擇“審核策略”選項(xiàng)。

第四招、禁用“開始”菜單命令

開始/運(yùn)行/gpedit.msc進(jìn)行組策略編輯，在“本地計(jì)算機(jī)策略”中，逐級展開“用戶配置→管理模板→任務(wù)欄和開始菜單”分支，在右側(cè)窗口中提供了“任務(wù)欄”和“開始菜單”的有關(guān)策略。進(jìn)行相關(guān)的設(shè)置即可。

第五招、設(shè)置用戶權(quán)限

開始/運(yùn)行/gpedit.msc進(jìn)行組策略編輯，在編輯器窗口的左側(cè)窗口中逐級展開“計(jì)算機(jī)配置→windows設(shè)置→安全設(shè)置→本地策略→用戶權(quán)限指派”分支。

第六招、禁止訪問“控制面板”

開始/運(yùn)行/gpedit.msc進(jìn)行組策略編輯，并在左側(cè)窗口中展開“本地計(jì)算機(jī)策略→用戶配置→管理模板→控制面板”分支，然后將右側(cè)窗口的“禁止訪問控制面板”策略啟用即可。

教你如何防止基于ICMP的網(wǎng)絡(luò)攻擊2017-04-21 10:32 | #2樓

許多網(wǎng)絡(luò)攻擊都基于icmp協(xié)議。在下面這篇文章里，我們將首先介紹icmp協(xié)議，然后探究常見的基于icmp的網(wǎng)絡(luò)攻擊，最后分析防火墻怎樣才能夠防止和減輕這種攻擊所造成的危害。

如何防止基于icmp的網(wǎng)絡(luò)攻擊

icmp（internet控制消息協(xié)議， internet control message protocol）協(xié)議用來給ip協(xié)議提供控制服務(wù)，允許路由器或目標(biāo)主機(jī)給數(shù)據(jù)的發(fā)送方提供反饋信息。需要發(fā)送反饋信息的情況包括：數(shù)據(jù)包不能被發(fā)送到目標(biāo)主機(jī)，路由器緩沖區(qū)溢出導(dǎo)致數(shù)據(jù)包被刪除，路由器想要把流量重定向到另外一個(gè)更短的路由上等。icmp協(xié)議是ip協(xié)議的一部分，任何實(shí)現(xiàn)了ip協(xié)議的設(shè)備同時(shí)也被要求實(shí)現(xiàn)icmp協(xié)議。

icmp協(xié)議的格式如圖1所示，icmp協(xié)議頭位于ip數(shù)據(jù)包頭之后，使用類型和代碼來區(qū)分不同的控制消息。到現(xiàn)在為止，人們已經(jīng)定義了27種不同的icmp類型。icmp代碼用來區(qū)分不同的icmp子類型，圖2列出了常用的icmp類型。icmp數(shù)據(jù)位于icmp協(xié)議頭之后，不同的icmp類型對應(yīng)的數(shù)據(jù)的長度也不相同。通常icmp數(shù)據(jù)包含原始數(shù)據(jù)包的信息、被報(bào)告的錯(cuò)誤或者用來測試的數(shù)據(jù)。

圖1：icmp包結(jié)構(gòu)

圖2：常用的icmp消息類型

icmp類型屬于ping命令，可以測試網(wǎng)絡(luò)的連通性。一個(gè)icmp echo request可以包含64k的數(shù)據(jù)，它被發(fā)送后，接收方會(huì)返回一個(gè)icmp echo reply，返回的數(shù)據(jù)中包含了接收到的數(shù)據(jù)的拷貝。

常見的icmp攻擊

基于icmp的攻擊可以分為三類，并且都可以歸類為拒絕服務(wù)攻擊（dos, denial of service）：針對帶寬的dos攻擊，利用無用的數(shù)據(jù)來耗盡網(wǎng)絡(luò)帶寬；針對主機(jī)的dos攻擊，攻擊操作系統(tǒng)的漏洞；針對連接的dos攻擊，可以終止現(xiàn)有的網(wǎng)絡(luò)連接。

pingflood、pong、echok、flushot、fraggle 和 bloop是常用的icmp攻擊工具。通過高速發(fā)送大量的icmp echo reply數(shù)據(jù)包，目標(biāo)網(wǎng)絡(luò)的帶寬瞬間就會(huì)被耗盡，阻止合法的數(shù)據(jù)通過網(wǎng)絡(luò)。icmp echo reply數(shù)據(jù)包具有較高的優(yōu)先級，在一般情況下，網(wǎng)絡(luò)總是允許內(nèi)部主機(jī)使用ping命令。這種攻擊僅限于攻擊網(wǎng)絡(luò)帶寬，單個(gè)攻擊者就能發(fā)起這種攻擊。更厲害的攻擊形式，如smurf和papa-smurf，可以使整個(gè)子網(wǎng)內(nèi)的主機(jī)對目標(biāo)主機(jī)進(jìn)行攻擊，從而擴(kuò)大icmp流量。使用適當(dāng)?shù)穆酚蛇^濾規(guī)則可以部分防止此類攻擊，如果完全防止這種攻擊，就需要使用基于狀態(tài)檢測的防火墻。

《如何防范網(wǎng)絡(luò)攻擊》全文內(nèi)容當(dāng)前網(wǎng)頁未完全顯示，剩余內(nèi)容請?jiān)L問下一頁查看。

“ping of death”及其相關(guān)的攻擊利用主機(jī)操作系統(tǒng)的漏洞直接對目標(biāo)主機(jī)發(fā)起攻擊。通過發(fā)送一個(gè)非法的icmp echo request數(shù)據(jù)包，就可以使目標(biāo)系統(tǒng)崩潰或重啟。許多系統(tǒng)包括windows、unix、macintosh ，甚至還有一些路由器和打印機(jī)，都容易遭受此類攻擊。如果用戶使用的操作系統(tǒng)的版本過于陳舊，請確保是否打好了補(bǔ)丁。這類攻擊包括pinger、 pingexploit、jolt、 jolt2、sping、ssping、icenewk和 icmpbug。一個(gè)能執(zhí)行詳細(xì)數(shù)據(jù)包完整性檢測的防火墻可以防止所有這種類型的攻擊。

針對網(wǎng)絡(luò)連接的dos攻擊會(huì)影響所有的ip設(shè)備，因?yàn)樗�使用了合法的icmp消息。nuke通過發(fā)送一個(gè)偽造的icmp destination unreachable或redirect消息來終止合法的網(wǎng)絡(luò)連接。更具惡意的攻擊，如puke和smack，會(huì)給某一個(gè)范圍內(nèi)的端口發(fā)送大量的數(shù)據(jù)包，毀掉大量的網(wǎng)絡(luò)連接，同時(shí)還會(huì)消耗受害主機(jī)cpu的時(shí)鐘周期。還有一些攻擊使用icmp source quench消息，導(dǎo)致網(wǎng)絡(luò)流量變慢，甚至停止。redirect和router announcement消息被利用來強(qiáng)制受害主機(jī)使用一個(gè)并不存在的路由器，或者把數(shù)據(jù)包路由到攻擊者的機(jī)器，進(jìn)行攻擊。針對連接的dos攻擊不能通過打補(bǔ)丁的方式加以解決。通過過濾適當(dāng)?shù)膇cmp消息類型，防火墻可以阻止此類攻擊。

選擇合適的防火墻

有效防止icmp攻擊，防火墻應(yīng)該具有狀態(tài)檢測、細(xì)致的數(shù)據(jù)包完整性檢查和很好的過濾規(guī)則控制功能。

狀態(tài)檢測防火墻通過跟蹤它的連接狀態(tài)，動(dòng)態(tài)允許外出數(shù)據(jù)包的響應(yīng)信息進(jìn)入防火墻所保護(hù)的網(wǎng)絡(luò)。例如，狀態(tài)檢測防火墻可以記錄一個(gè)出去的 ping（icmp echo request），在接下來的一個(gè)確定的時(shí)間段內(nèi)，允許目標(biāo)主機(jī)響應(yīng)的icmp echo reply直接發(fā)送給前面發(fā)出了ping命令的ip，除此之外的其他icmp echo reply消息都會(huì)被防火墻阻止。與此形成對比的是，包過濾類型的防火墻允許所有的icmp echo reply消息進(jìn)入防火墻所保護(hù)的網(wǎng)絡(luò)了。許多路由器和基于linux內(nèi)核2.2或以前版本的防火墻系統(tǒng)，都屬于包過濾型，用戶應(yīng)該避免選擇這些系統(tǒng)。

新的攻擊不斷出現(xiàn)，防火墻僅僅能夠防止已知攻擊是遠(yuǎn)遠(yuǎn)不夠的。通過對所有數(shù)據(jù)包進(jìn)行細(xì)致分析，刪除非法的數(shù)據(jù)包，防火墻可以防止已知和未知的 dos攻擊。這就要求防火墻能夠進(jìn)行數(shù)據(jù)包一致性檢查。安全策略需要針對icmp進(jìn)行細(xì)致的控制。因此防火墻應(yīng)該允許對icmp類型、代碼和包大小進(jìn)行過濾，并且能夠控制連接時(shí)間和icmp包的生成速率。

配置防火墻以預(yù)防攻擊

一旦選擇了合適的防火墻，用戶應(yīng)該配置一個(gè)合理的安全策略。以下是被普遍認(rèn)可的防火墻安全配置慣例，可供管-理-員在系統(tǒng)安全性和易用性之間作出權(quán)衡。

防火墻應(yīng)該強(qiáng)制執(zhí)行一個(gè)缺省的拒絕策略。除了出站的icmp echo request、出站的icmp source quench、進(jìn)站的ttl exceeded和進(jìn)站的icmp destination unreachable之外，所有的icmp消息類型都應(yīng)該被阻止。下面是針對每個(gè)icmp消息類型的過濾規(guī)則的詳細(xì)分析。

echo request和reply（類型8和0）：允許echo request消息出站以便于內(nèi)部用戶能夠ping一個(gè)遠(yuǎn)程主機(jī)。阻止入站echo request和出站echo reply可以防止外部網(wǎng)絡(luò)的主機(jī)對內(nèi)部網(wǎng)絡(luò)進(jìn)行掃描。如果您使用了位于外部網(wǎng)絡(luò)的監(jiān)視器來監(jiān)視內(nèi)部網(wǎng)絡(luò)，就應(yīng)該只允許來自于特定外部ip的echo request進(jìn)入您的網(wǎng)絡(luò)。限制icmp echo包的大小可以防止“ping floods”攻擊，并且可以阻止那些利用echo request和reply來“偷運(yùn)”數(shù)據(jù)通過防火墻的木馬程序。

destination unreachable （類型3）：允許其入站以便于內(nèi)部網(wǎng)用戶可以使用traceroute。需要注意的是，有些攻擊者可以使用它來進(jìn)行針對會(huì)話的dos攻擊，如果您曾經(jīng)歷過類似的攻擊，也可以阻止它。阻止出站的icmp destination unreachable消息，因?yàn)樗�可能�?huì)泄漏內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)。不過有一個(gè)例外，對于那些允許外部網(wǎng)絡(luò)通過tcp訪問的內(nèi)部主機(jī)（如位于dmz區(qū)的web 服務(wù)器）發(fā)出的destination unreachable，則應(yīng)該允許它通過。為了能夠支持“path mtu discovery”，您應(yīng)該允許出站的“packet too big”消息（類型3，代碼4）到達(dá)那些主機(jī)。

source quench（類型4）：阻止其入站，因?yàn)樗�可以作為一種dos攻擊，能夠降低發(fā)送者的發(fā)送速度。允許其出站以便于內(nèi)部主機(jī)能夠控制發(fā)送端發(fā)送數(shù)據(jù)的速度。有些防火墻會(huì)忽略所有直接發(fā)送到防火墻端口的source quench消息，以防止針對于防火墻的dos攻擊。

redirect、router announcement、 router se-le-ction（類型5，9，10）：這些消息都存在潛在危險(xiǎn)，因?yàn)樗鼈兛梢杂脕戆褦?shù)據(jù)重定向到攻擊者的機(jī)器。這些消息都應(yīng)該被阻止。

ttl exceeded（類型11）：允許其進(jìn)站以便于內(nèi)部用戶可以使用traceroute�！癴irewalking”使用很低的ttl值來對網(wǎng)絡(luò)進(jìn)行掃描，甚至可以通過防火墻對內(nèi)網(wǎng)進(jìn)行掃描，所以應(yīng)該禁止其出站。一些防火墻可以阻止ttl值小于設(shè)定值的數(shù)據(jù)包進(jìn)入防火墻。

parameter problem（類型12）：禁止其入站和出站。通過使用一個(gè)能夠進(jìn)行數(shù)據(jù)包一致性檢查的防火墻，錯(cuò)誤和惡意的數(shù)據(jù)包都會(huì)被阻塞

【如何防范網(wǎng)絡(luò)攻擊】相關(guān)文章：

如何防范ARP攻擊09-23

系統(tǒng)管-理-員如何防范黑客的攻擊09-23

如何防范網(wǎng)絡(luò)釣魚09-23

如何防范網(wǎng)絡(luò)信息竊取09-23

解析系統(tǒng)管-理-員應(yīng)如何防范黑客攻擊09-23

如何防范網(wǎng)絡(luò)恐怖主義09-23

網(wǎng)絡(luò)存在的安全隱患如何防范09-23

如何防范邪教09-23

如何防范詐騙11-28