┌┄┄┄┄┄┄┄網(wǎng)絡安全之旅┄┄┄┄┄┄┄┐序：在利益或者某種心態(tài)的驅(qū)使下，人們都會去做有價值或沒有價值卻自認為有價值的事。隨著計算機和網(wǎng)絡的發(fā)展，網(wǎng)絡上出現(xiàn)各式各樣的服務，從而也吸引了不同需求的黑客把青春獻給代碼。為了控制惡意黑客對社會造成更大的損壞，就必須先研究他們的共性，然后找一個最實惠的方法去解決問題。這也是我把論文寫下去的動力。如今，計算機網(wǎng)絡的發(fā)展促使人類在貨幣交換的基礎上走入了數(shù)字交換時代，因此，信息安全如同財產(chǎn)安全一樣重要。在社會急需信息安全人才的今天，筆者不自量力，并在熊順清導師的指導下，在此淺談windows蜜罐制作的思路及過程。在本論文中，第一、二章主要講述了入侵的原理和控制入侵的一些方法，第三章則講述簡單蜜罐的制作過程。云南民族大學數(shù)計學院張超(網(wǎng)絡工程師)———————————目錄————————————第一章：入侵內(nèi)幕1．1入侵分析…………………..31．11入侵的動機1．12入侵的步驟1．13病毒猖獗的根源1．2緩沖區(qū)溢出的利用………..41．21溢出的概念1．22溢出的后果1．23溢出的高級利用1．3SQL注入…………………61．31注入的條件1．32注入語句的構(gòu)造1．33用“阿D”掃描云南民族大學第二章：控制入侵的方法2．1第三方軟件保護…………..132．11防火墻技術2．12殺毒軟件2．13入侵檢測系統(tǒng)(IDS)2．2緩沖區(qū)溢出的防范……….152．21編寫安全的代碼2．22及時堵塞漏洞2．23軟件權限控制2．3屏蔽SQL注入……………152．31對特殊字符的過濾2．32構(gòu)造假用戶和加密2．4服務器安全配置…………..172．41安全策略2．42關閉多余的服務2．43加密cmd.exe來防止溢出第三章：蜜罐系統(tǒng)制作3．1蜜罐選擇…………………..213．11蜜罐的發(fā)展3．12蜜罐設計方法3．2用NAT重定向IIS服務器……………….223．21配置虛擬主機3．22安置IIS3．23測試NAT3．3空口令截獲蠕蟲病毒……..263．31開服務端口3．32命令行監(jiān)控綁定3．33蜜罐可用性擴展結(jié)束語……………………28參考文獻…………29第一章：入侵內(nèi)幕1．1入侵分析1．11入侵的動機陳盈豪病毒出現(xiàn)的年代，相信大家都認為寫出病毒是一個黑客實力的證明，做為一個程序員，就是要寫出那樣“出色”的代碼，方能“流芳”百世。直到李俊的熊貓燒香面世后，中國老百姓再也不相信那一分高貴了，“黑客”一詞被下流的動機貶到了谷底。根據(jù)專家分析，熊貓燒香之后的AV終結(jié)者、機器狗等病毒，不再是個人黑客的謀利行為，而是在黑客圈行成了一條利益鏈。他們分工合作，互利互助，對社會危害極大。就AV而言，用戶被感染病毒后，AV會主動去網(wǎng)絡上下載一些各式各樣的木馬運行，如果傳播AV的這個人得不到那些木馬主人的恩惠的話，是不會這樣做的。而傳播AV的人一般不一定是AV的作者，好多病毒傳播者最多為病毒做一下兔殺，他們也需要交錢給AV的作者。而那些放了木馬的人可能還要購買別的專業(yè)木馬，或者賣掉那些自己用不著的主機。就這么一個病毒，牽連了那么多人群的利益。只要你經(jīng)常上網(wǎng)，相信你也見過網(wǎng)絡上常常有人叫賣。我無意中盤問過，他們說肉雞3分錢一臺（可能用于ddos或刷流量搞網(wǎng)賺等），一萬臺起，不扛價；工商網(wǎng)上銀行兔殺木馬2百一個，有的竟然把兔殺灰鴿子賣2百，我差點暈倒。從上面的內(nèi)容可以看出現(xiàn)在的網(wǎng)絡也有黑暗的一角，但只要我們不貪便宜，好好學知識，就可以正確的指導自己前進而不被侵害。1．12入侵的步驟針對不同的入侵目標和不同的入侵者，入侵的方法也各有不同。然而對一個不暮生IP地址的主機入侵大致可以分為以下五個步驟。一、掃描服務端口：對目標IP地址進行端口掃描，查看該主機所開放的服務有那些，常用工具有X-Scan，NTScan，流光等。二、檢測若口令：對目標主機開放的服務端口進行探測，以試圖發(fā)現(xiàn)弱口令的存在，一般編輯掃描器中的破解字典就可以。三、利用漏洞：如果掃描不出弱口令，則根據(jù)黑客入侵愛好，或者時下新漏洞進行端口選擇入侵。例如：假設現(xiàn)在是03年，剛剛發(fā)現(xiàn)MS03-026漏洞，而目標主機開了135端口，黑客就可以查看目標主機是否存在這個漏洞，如果存在就利用它。如果目標開的是web、email服務，則可以根據(jù)注入、社會工程學等手段進一步入侵。四、留后門、改日志：如果入侵成功，一般先放個兔殺的灰鴿子、Pcshare之類的后門，以方便遠程控制和再次關領。然后刪出自己的活動記錄，以防止管理員發(fā)現(xiàn)。五、查資料、放木馬：黑客會通過主機中資料來了解管理員的信息，從而想辦法得到自己需要的東西。黑客發(fā)現(xiàn)有自己想要的東西后，一般先就放下對應的木馬，比如網(wǎng)銀木馬、游戲木馬等，然后等待用戶上當。在現(xiàn)實中，入侵是一門藝術，它不拘一格，但目的都是控制目標主機，并為黑客帶來利益。1．13病毒猖獗的根源現(xiàn)在的網(wǎng)絡中，我們常常見到千奇百怪的蠕蟲病毒、木馬、后門，它們常常讓初學者感到神秘，并停留在一個表象的認識層次，而不去探索病毒猖獗的主要原因。正因為如此，許多電腦用戶常常為病毒而郁悶，若長期如此，不如索性賣掉電腦牢個開心。根據(jù)前兩年的網(wǎng)絡資料顯示，90/100以上的重要入侵事件都是由于緩沖區(qū)溢出造成的。盡管現(xiàn)在各操作系統(tǒng)產(chǎn)商對溢出做了很多補救，但時下仍有一些操作系統(tǒng)容易被利用，例如win2000、win2003、xp、及沒有配置好的vistar（32位）等，這些操作系統(tǒng)的用戶一直居高不下，形成了病毒快速傳播的基礎。當然，近年來由于DotNET的發(fā)展，使更多入侵已不在利用溢出，其中最典型的就是SQL注入，在中國，經(jīng)常報道某某網(wǎng)站被入侵的新聞，其中好多都是存在SQL注入漏洞而引起的。而對于其它入侵，比如網(wǎng)頁欺詐，它一般還是以瀏覽器的漏洞或者得到DNS系統(tǒng)的控制權為基礎的。而蠕蟲病毒，大多通過溢出漏洞和弱口令傳播。后門木馬，則常常通過捆綁、移動介質(zhì)等方法傳播，它是以用戶電腦技能不足或不精細為基礎的。經(jīng)過上面的分析，可知病毒猖獗的主要根源有三大點，一是系統(tǒng)或應用程序存在可利用的溢出漏洞，二是系統(tǒng)或應用程序存在類似注入的邏輯漏洞，三是用戶使用配置不當。接下來的章節(jié)將圍繞這三點做深入討論。1．2緩沖區(qū)溢出的利用1．21溢出的概念在理論上，溢出就是指往一個確定大小的內(nèi)存空間中放入比這個內(nèi)存空間更大的數(shù)據(jù)，從而覆蓋了后繼內(nèi)存空間中的數(shù)據(jù)。例如:Voidmain(){intx=1,y=1,sum;overflood();sum=x+y;}voidoverflood（）{charstr[10]；stringstr1;printf(“pleaseinputbiaoti!”);scanf（“%s”，str1）；//輸入：“wozaizuo1+1=2strcpy(str,str1);printf(“%s”,str);}這樣的話，str1中的數(shù)據(jù)就超過了10個字節(jié)，但CPU并不把多于的字符丟棄，而是將多余的字符順序?qū)懭雜tr之后的內(nèi)存地址中，直到將str1中的字符寫完為止，溢出就這樣產(chǎn)生了。我們知道在程序編譯的時候，str數(shù)組就被分配到10個字節(jié)的內(nèi)存空間，而僅跟在它后邊的內(nèi)存空間并不屬于str擁有，在本例子中卻被它使用了，結(jié)果會怎么樣呢？——系統(tǒng)很生氣，后果很嚴重！1．22溢出的后果我們在使用軟件的時候，有時候突然在桌面上彈出一個對話筐，提示“應用程序出錯，是否調(diào)試？”，這時可能關閉一個或多個使用中的軟件，有時甚至直接藍屏，讓人百思不得其解，其中部分這種情況便是緩沖區(qū)溢出造成的。但不是所以的緩沖區(qū)溢出都一定造成這種情況，下面分類分析?，F(xiàn)在的操作系統(tǒng)大多采用段頁式管理，windows也不例外。在1.21的例子中，如果數(shù)組str被分配到一個內(nèi)存頁的尾端，而剩余5個字節(jié)，這5個字節(jié)不夠下一個數(shù)劇使用，這樣系統(tǒng)便到另一個內(nèi)存頁中給下一個數(shù)劇分配地址，于是這5個字節(jié)空間就暫時成為了碎片，而在這種情況下，只要我們輸入的數(shù)據(jù)不大于15個字節(jié)，系統(tǒng)就不會出現(xiàn)異常，也沒人知道溢出的存在，然而這僅僅是一種巧合。當這種巧合不存在，或者str1的長度大于15個字節(jié)的時候，它就可能覆蓋別的數(shù)據(jù)，假設它覆蓋了sum分配到的內(nèi)存空間，那么1+1就在也不等于2了。如果它覆蓋了str后邊的中斷地址，那么程序就在也回不到主函數(shù)了。即使覆蓋了其它堆棧的地址，程序也會因此而崩潰或出錯。由于程序員無法想得太周密，因此軟件中常常存在緩沖區(qū)溢出漏洞，業(yè)界老大微軟也不因此補丁不斷。這種漏洞發(fā)生在本地系統(tǒng)中則可能導致軟件崩潰或者運算錯誤；發(fā)生在網(wǎng)絡服務中，則可能被黑客攻擊此漏洞，近而造成服務不斷重起，使之不能滿足人們的要求。這些嚴重的后果以讓人難以忍受，可黑客們對此并不滿意，他們?nèi)账家瓜耄K于在20世紀最后一年（1999年），一位名叫DarkSpyritAKABarnabyJack的高手提出了利用JMPESP來定位Shellcode的想法，從此，溢出技術才走向成熟。1．23溢出的高級利用做為一名黑客，完全控制目標興許能滿足暫時的欲望。在讀1.22節(jié)的時候，也許你以發(fā)現(xiàn)到“如果我們把overflood函數(shù)中的中斷地址覆蓋為我們的Shellcode的地址，這樣我們就可以為所欲為了。這個想法很好，但我們需要兩個條件，條件一是最近的中斷地址距離我們的str有多遠，條件二是我們的Shellcode的具體地址是什么。這是因為，只要用Shellcode的地址覆蓋中斷指令的地址，目標主機基本就被黑客控制了。在初學電腦時候，我曾想，如果把Shellcode的地址定位在攻擊者的電腦上，不是就解決了地址問題了嗎。這是錯誤的，因為CPU只能讀到自己內(nèi)存上的指令。如果去外設上讀取的話，單單時間就讓CPU無法忍受。因而Shellcode只能放在被攻擊的主機內(nèi)存中，在1.21中，就是只能用str1提交上去。我們知道，一個程序每次運行所分配到的內(nèi)存地址是不一樣的，但是在同一程序中不同參數(shù)及指令之間的的相對距離一般不變，在程序的一個線程中的一個函數(shù)中更能體現(xiàn)這一特點。因此，我們無法知道str在內(nèi)存中每次分配的物理地址，而只能知道str數(shù)組地址和中斷地址之間的距離。一般來說我們用OllyDbg載入一個可執(zhí)行程序，給變量賦一個有個性的值，在搜索這個值，便能找到變量的內(nèi)存地址，再在地址之后找一個最近的的中斷指令，并記下中斷指令的地址。這時，用中斷地址減去變量地址就可以知道我們應該怎樣去覆蓋中斷地址了。例如：在1.21中，假設str地址是410000，中斷地址是420000，中斷地址-str地址=10000(16)，現(xiàn)在420000中存著430000，而425000的地址中則存放了Shellcode，如果我們輸入1M個不影響程序執(zhí)行的字符，后輸入425000（xx…x&425000），那么中斷地址就被我們成功覆蓋了，這時程序不去地址430000尋址，而是去地址425000的地方執(zhí)行黑客構(gòu)造的任意代碼。到這里，我們似乎解決了Shellcode地址上傳問題。接下來談論如何得到Shellcode傳上去后的物理地址。這也是1999年以前，黑客們頭痛的一個問題，直到DarkSpyritAKABarnabyJack提出利用JMPESP后，才解決了Shellcode物理地址的問題。在windows系統(tǒng)中ESP用來保存當前已讀取數(shù)據(jù)的內(nèi)存地址的下一字節(jié)的內(nèi)存地址，而JMP是無條件轉(zhuǎn)移指令。到此，如果我們把1.21中str后1M個字節(jié)的那個中斷指令的內(nèi)存內(nèi)容改為一個保存有JMPESP指令的內(nèi)存地址，這樣CPU讀到str后的那個中斷指令時，跳去執(zhí)行JMPESP，而ESP這時候剛好存著中斷指令后的第一個字節(jié)的內(nèi)存地址，接下來，CPU便順序執(zhí)行中斷指令之后的指令了。即輸入“xx…..xx(&JMPESP)Shellcode”，便可以讓Shellcode順利執(zhí)行。可是在windows中JMPESP指令的內(nèi)存地址很多，到底取那個呢？最好取系統(tǒng)核心進程中加載的指令地址，這樣指令的物理地址才相同，另外，最好在相近的系統(tǒng)中相互參考，以提高Shellcode的通用性。到此，我們分析了堆棧溢出及利用的整個過程。但在現(xiàn)實中要把Shellcode寫好是非常難的，比如說1.21中str到中斷指令之間的10000(16)個字節(jié)是否覆蓋了其它數(shù)據(jù)而直接使系統(tǒng)或程序崩潰呢？如果有，我們又怎樣去避開?；蛘呃闷渌椒ǎ鹊?。1．3SQL注入1．31注入的條件注入是一種需要技巧而不需要太多計算機基礎知識的黑客技術。因此注入技術成為菜鳥黑客的最愛。近年來，不少中國青少年就是因為玩注入技術而坐牢的，這是一個值得社會關注的話題。在SQL語言中，由于語句可以嵌套使用，這樣不僅方便程序員靈活編寫程序，同時也使黑客有機可成。下面我就陳述SQL注入的基礎知識?？慈缦麓a：文件login.html：<html><title>用戶登錄</title><body><divalign=”center”><formaction=”login.asp”method=”post”>密碼：<br><br>用戶：<inputname=”username”type=”textbox”><br>密碼：<inputname=”userpass”type=”passeord”><br><inputtype=”submit”value=”登錄”></form></div></body></html>文件login.asp：<%Inname=request(“username”)Inpass=request(“userpass”)Setconn=server.createobject(“ADODB.CONNECTION”)Conn.open“provider=microsoft.jet.oledb.4.0;DataSource=C:\Inetpub\wwwroot\db.mdb;”Setrs=conn.Execute(“select*fromadminwhereusername=’”&inname&”’’)Truepass=rs(“userpass”)Ifinpass=truepassthenresponse.write(“登錄成功”)Elseresponse.write(“登錄失敗”)EndifConn.close%><p><%response.write(rs(“userid”))%></p><%Setrs=nothingConn.close%>這兩個文件，從功能上講，是沒有問題的，它的確滿足用戶登錄的功能。但是，當我們輸入正確的用戶名字，而沒有輸入正確的密碼的時候，頁面就會顯示登錄失敗，但是，也會顯示用戶編號是：“userid”，這樣的話，我們就可以不斷地猜解用戶名字，直到頁面出現(xiàn)userid，就說明猜對了，為了能猜出更多的東西，最好的方法就是利用SQL語句的嵌套查詢，例如：上邊的語句是：select*fromadminwhereusername=’”&inname&”’，如果用戶是abc，密碼是123，當我們輸入用戶cba，頁面全錯了，當我們輸入用戶avc，能顯示userid是1，這樣我們不斷的猜解username的值，直到能顯示userid的值，就是用戶名猜對了。之后，我們不必要在密碼框猜解密碼，只需要在用戶名字里構(gòu)造猜密碼的語句，例如輸入：abc’anduserpass=’456則SQL語句變?yōu)椋簊elect*fromadminwhereusername=’abc’anduserpass=’456’則select語句不能查詢到任何內(nèi)容，頁面全錯，如果輸入：abc’anduserpass=’123則SQL語句變?yōu)椋簊elect*fromadminwhereusername=’abc’anduserpass=’123’這樣頁面依然有錯，但是能夠返回userid的值了，也就說明我們輸入的密碼是正確的了，就這樣不斷地替換userpass的值，直到顯示userid的值，就說明密碼猜對了。對于一個asp頁面，在猜解之前我們必須先判斷它是否存在注入漏洞，一般的檢測手段是提交單引號：“’”“and1=1”“and1=2”。提交一個單引號時，如果提示SQL第幾行發(fā)生錯誤，這樣就說明我們提交的東西已經(jīng)被執(zhí)行，在上例中提交單引號可得SQL語句：select*fromadminwhereusername=’’’這樣會出現(xiàn)三個單引號，所以SQL會報錯。提交and1=1和and1=2可得語句select*fromadminwhereusername=’abc’and‘a(chǎn)’=’a’select*fromadminwhereusername=’abc’and‘a(chǎn)’=’b’在這里改成a和b是因為把語句中的最后一個單引號用掉，以防止語法錯誤，邏輯則是一樣的，在實踐中要根據(jù)具體環(huán)境靈活變化。如果anda=a和anda=b得到的結(jié)果不同，則說明我們可以在and之后構(gòu)造注入語句，這就是SQL注入的基本條件。1．32注入語句的構(gòu)造當我們判斷出一個頁面存在注入漏洞時，我們不是無休止地去枚舉可能的值，而是構(gòu)造靈巧的猜解語句，這樣對于8位以上，甚至幾十位的值都是容易破解的。在猜解時，一般先猜解表名，通常用admin、user、book等常用表名字進行檢測，可以這樣構(gòu)造SQL語句：abc’and(selectcount(*)fromadmin)>0and‘a(chǎn)’=’a這樣，通過不斷替換admin處的值，直到返回頁面等價于提交：abc’and‘a(chǎn)’=’a就說明表名猜對了。猜出表名和字段名后，需要用len（）函數(shù)猜解字段值的長度，比如這樣猜密碼長度：abc’andlen(userpass)>8and‘a(chǎn)’=’a，可發(fā)現(xiàn)返回頁面等同于’a’=’b’，再提交：abc’andlen(userpass)>4and‘a(chǎn)’=’a，結(jié)果也一樣，再提交：abc’andlen(userpass)>2and‘a(chǎn)’=’a，這時，返回結(jié)果等同于’a’=’a’了，再提交：abc’andlen(userpass)>3and‘a(chǎn)’=’a，返回結(jié)果等同于提交’a’=’b’，現(xiàn)在就說明userpass的值長度為3位。得到userpass的長度后，用mid（字串，起始位，長度）函數(shù)來逐位猜解密碼，這樣構(gòu)造SQL語句：abc’andmid(userpass,1,1)>=’a’andmid(userpass<=’z’)and‘a(chǎn)’=’a結(jié)果出錯，說明第一位不是小寫字母，在提交：abc’andmid(userpass,1,1)>=’A’andmid(userpass<=’Z’)and‘a(chǎn)’=’a結(jié)果出錯，說明第一位不是字母，提交：abc’andmid(userpass,1,1)>=0andmid(userpass<=9)and‘a(chǎn)’=’a結(jié)果正常，說明第一位是數(shù)字，再提交：abc’andmid(userpass,1,1)<5and‘a(chǎn)’=’a結(jié)果正常，再提交：abc’andmid(userpass,1,1)<3and‘a(chǎn)’=’a結(jié)果正常，再提交：abc’andmid(userpass,1,1)<2and‘a(chǎn)’=’a結(jié)果正常，再提交：abc’andmid(userpass,1,1)<1and‘a(chǎn)’=’a結(jié)果不正常，這時，已說明第一為密碼就是數(shù)字1了。在實際中，除了字母和數(shù)字外，好多時候還得猜解特殊字符，這樣做下去筐日費時，因此使用工具是個不錯的選擇，而且在提交數(shù)據(jù)時，我們沒必要每次都打開網(wǎng)頁再填入數(shù)據(jù)，只需要將要提交的數(shù)據(jù)和SQL語句賦值在網(wǎng)頁地址之后，然后直接打開頁面比較就可以了。這節(jié)中，我們主要介紹了一些常用SQL函數(shù)在猜解過程中的使用，以及使用二分法猜解更長的字段值，更多靈活的方法需要根據(jù)具體情況去構(gòu)造。在知道了這些知識以后，就可以為防止SQL注入漏洞奠定基礎了。1．33用“阿D”掃描云南民族大學其實，一個三流的、沒有創(chuàng)造性的黑客不必要掌握原理，只需要利用好工具就能干很多壞事。做為一個好工具，它常常積累了豐富的技術，調(diào)用更多的可用參數(shù)。在沒有新技術面世的時候，與手工注入相比，常常體現(xiàn)出速度快、錯誤少、不遺漏等特點，所以老手們也時常使用工具。啊D是一款歷史悠久，受黑迷喜歡的工具，下面我用它掃描云南民族大學首頁，打開啊D，在檢測網(wǎng)址地址寬中填入www……..，在點左邊的“檢測注入點”如下圖：上圖顯示有3個注入點，復制第一個到檢測網(wǎng)址框中，點左邊的“SQL注入檢測”，顯示如下圖：上圖顯示數(shù)據(jù)庫為Access數(shù)據(jù)庫（右下角），這時點“檢測表段”，如下圖：上圖顯示查到admin和news兩個表，一般來說管理員就在admin表中，所以選中admin表，點“檢測字段”，在全選后點擊“檢測內(nèi)容”，如下圖：上圖提示檢測長度失敗，先把user字段的勾去掉試一試，再點“檢測內(nèi)容”，如下圖：上圖顯示有兩個用戶mayonghong、xuqiaowen對應密碼nc|ssmowwq>ACADF和ywvlnrhq。這時已得到了管理員和密碼，點左邊的“管理入口檢測”，顯示如下圖：上圖顯示有四個可疑入口，一個一個打開，發(fā)現(xiàn)這個最像真的，如下圖：xuqiaowen這名字短，所以就用來實驗了，填上名字和密碼，點“確定”，如下圖：顯示如上圖，入侵失敗了，但是好多時候，我們得承認：“失敗才是真正的成功！”。后來據(jù)一位網(wǎng)絡老師傳言，我們學校最近買了一套IDS系統(tǒng)，如果管理員用戶和密碼被遠程猜解出來，IDS就會鎖定數(shù)據(jù)表，并要求管理員修改密碼，導致入侵者不能夠登錄。本章主要介紹了入侵的原理和過程，下一章將介紹IDS和其它控制入侵的方法。第二章：控制入侵的方法2．1第三方軟件保護2．11防火墻技術曾經(jīng)在論壇看到這樣一個帖子：防火墻就像你家的圍墻，不管你家的錢柜有沒有上鎖，屋子有多破爛，只要圍墻和大門夠高、夠結(jié)實，那么小偷就無法盜取你家的錢財。防火墻大概分為：包過濾防火墻、應用網(wǎng)關防火墻、代理服務防火墻、狀態(tài)檢測防火墻，其中包過濾防火墻主要通過檢測IP包頭中的各種信息，并分析是否符合訪問控制表的規(guī)則來過濾網(wǎng)絡中的數(shù)據(jù)，效率高，屬于網(wǎng)絡層；應用網(wǎng)關防火墻則在防火墻的基礎上充當了網(wǎng)關的角色，所以效率不高；代理防火墻常用于將內(nèi)部網(wǎng)絡和外部網(wǎng)絡隔開，一般的硬件防火墻都有這個功能，并用nat實現(xiàn)代理；狀態(tài)檢測防火墻能檢測出傳輸層各端口的數(shù)據(jù)是否異常，從而動態(tài)屏蔽一些網(wǎng)絡攻擊。正因為防火墻的這些優(yōu)點，它并廣泛使用于網(wǎng)絡，比如用帶DMZ的防火墻架設企業(yè)服務器，用冰盾防火墻來抵抗DDOS攻擊等，甚至可以將它的技術用在運營商路由器上，成為了能很好抵抗網(wǎng)絡DDOS的排水溝技術。作為防火墻本身，它能控制各種數(shù)據(jù)的傳輸，關閉各類不需要的服務端口，但是只要有服務數(shù)據(jù)流通，它對黑客攻擊的阻止就略顯不足了，比如：主機開了80端口的web服務，黑客用注入或溢出攻擊，成功后把后門以線程的方式注入到IIS服務進程中，仍然使用80端口和http類型數(shù)據(jù)包，這樣，防火墻一般就不會再攔截后門數(shù)據(jù)了，或者置入rootkit后門，也會達到異曲同功的效果。因此，我們要充分利用防火墻，但不能把希望都寄托在它身上?，F(xiàn)在的防火墻，用網(wǎng)絡上的一句話說就是：“戰(zhàn)火燒到了第七層”。好多防火墻已經(jīng)加入了一些病毒特征碼，能檢測出時下流行的木馬病毒。像天網(wǎng)防火墻還加入了入侵檢測功能，雖然功能弱小，但體現(xiàn)了時下防火墻的發(fā)展在復雜化，當然，它取代不了殺毒軟件和IDS，就像有芯片的數(shù)碼電視無法取代電腦一樣。2．12殺毒軟件在病毒肆虐的今天，選一個殺毒軟件對每個用戶來說都是有必要的。為了更好選擇殺毒軟件，先了解它的工作原理。簡單的程序掃描：這是第一代殺毒軟件的主要功能，它通過記錄已知病毒某部分的字符，用這些字符來較對用戶文件，以確定是否為病毒。后果：病毒容易兔殺，病毒庫的擴展無法忍受。啟發(fā)式掃描：這是第二代殺毒軟件的功能，它通過檢測程序的代碼段是否有與病毒相關的代碼（即特征碼）來分析文件，或者簽名文件，通過校驗來發(fā)現(xiàn)文件是否被病毒感染。后果：比第一帶有了很多改進，但即使通過多區(qū)段特征碼提取，仍然可以兔殺病毒（只是復雜），隨著時間增長，病毒庫變大，掃描很費時間和系統(tǒng)資源，方法仍然是被動殺毒。行為陷阱：這是第三代殺毒軟件的特點，它能構(gòu)建一個程序執(zhí)行的虛擬環(huán)境讓次序運行，然后通過程序調(diào)用的系統(tǒng)函數(shù)，來確定程序是否對用戶有害。典型的有NOD32、國產(chǎn)的東方微點（micropoint）等。它們能控制病毒庫的增長，發(fā)現(xiàn)未知病毒，嚴重打擊了加花指令、改特征碼、加殼等傳統(tǒng)的兔殺病毒方法（但“道高一尺，魔高一丈?！?，現(xiàn)在又出現(xiàn)了修改SSDT表的方法來逃避主動防御殺毒軟件），是現(xiàn)在殺毒軟件發(fā)展的主要方向。2．13入侵檢測系統(tǒng)（IDS）由于IDS價格和系統(tǒng)承受能力等原因而不太受個人用戶的歡迎，但作為一個有錢的企業(yè)，對數(shù)據(jù)安全要求較高，那么IDS就會受到它的青睞。對于遠程溢出和SQL注入等攻擊行為，它們往往能穿透防火墻，而它們的代碼又與具體的漏洞有關系，沒有太多系統(tǒng)函數(shù)的調(diào)用，隨著新漏洞的出現(xiàn)而變化，因此，殺毒軟件不好對它有太多定義，只好更新病毒庫。這時，IDS擔起了重任。它通過活動強度測量、審計記錄分布測量、類型測量、順序測量等方法從異?；顒蛹现邪l(fā)現(xiàn)入侵子集，從而加以控制和干擾。例如：1.33節(jié)中入侵學校網(wǎng)站時，在很短時間內(nèi)，從我們的一個IP發(fā)送了數(shù)百個帶猜測性的SQL語句，結(jié)果被屏蔽了登陸。IDS不僅能對SQL注入進行檢測，對蠕蟲也能檢測，它常常用一些規(guī)則來對相對的漏洞做入侵監(jiān)測。它會記錄分析傳入的數(shù)據(jù)包，就連遠程溢出后手動輸入的命令也不放過，正因為如此，它價格高、功能強。2．2緩沖區(qū)溢出的防范2．21編寫安全的代碼在有寫編譯程序的函數(shù)庫中，時常有帶漏洞的函數(shù)存在，例如C語言中的sprintf、strcpy等函數(shù)。所以要寫一個鍵壯的程序就要避開那些可能被利用的函數(shù)，多使用帶有邊界檢測的函數(shù)，通?？梢杂孟嚓P工具來檢測程序調(diào)用的函數(shù)以幫助新手完善程序。另外，使用一些帶有邊界檢測的編譯器也能及時的發(fā)現(xiàn)一些錯誤，例如TurboC等。使用高級語言可以避免很多漏洞的出現(xiàn)，但是寫出的程序相對效率要低些，魚和熊掌不能兼得，這需要程序員根據(jù)實際情況的需要和自己編程水平來進行取舍，以達到各自意愿。當然這些方法不能完全解決問題，但它能降低程序被溢出的可能性。2．22及時堵塞漏洞對于軟件用戶，可以用第三方軟件來檢測和保護內(nèi)存中的堆棧，這樣就不容易遭到溢出攻擊，但這樣做會降低系統(tǒng)的性能，而且增加了管理難度和成本投入。通常情況下，為了防止溢出，應該關閉那些不在使用的服務端口（在后邊章節(jié)介紹具體方法），并及時下載更新服務器補丁。一般來說，一個漏洞剛剛發(fā)布后，會有利用這個漏洞的一系列病毒在網(wǎng)絡上傳播，因此，及時打補丁是非常有必要的。根據(jù)網(wǎng)上傳言，4年前的震蕩波病毒，3天之內(nèi)感染了500萬臺計算機，盡管數(shù)據(jù)未必真實，但是，以足夠顯示病毒感染的速度。在漏洞百出的微軟系統(tǒng)中，除了公布的漏洞外，還有部分未公布的漏洞（即0day漏洞），這些都是管理員無法控制的，所能做的就是不屈不撓的工作，用認真和良好的心態(tài)去對戰(zhàn)網(wǎng)絡中存在的危險。2．23軟件權限控制如果我們的一個軟件被遠程溢出，那么黑客就會得到這個軟件的權限，并以此權限來訪問我們的電腦，所以要為應用軟件分配一個恰當?shù)臋嘞蓿@樣可以降低我們的損失。黑客遠程溢出時，通常做法是將目標主機的Cmd.exe綁定到被溢出的軟件對應的服務端口上，顯然這樣做有很好的穿墻性，不過只要我們?yōu)閏md加上一個密碼（在后邊章節(jié)介紹方法）或者做一下別的處理的話，黑客就會白費很多心機。明顯，這樣做是很有價值的。在實際運用中我們可以給不同的應用程序和目錄分配不同的權限，甚至加上不同的密碼，但這樣一來，管理員的工作也就隨之變復雜了，所以應當根據(jù)具體的安全要求去做，這樣才能做得好，又不畫蛇添足。2．3屏蔽SQL注入2．31對特殊字符的過濾在第一章中，敘述了SQL注入的過程，讓我們知道一個網(wǎng)站要是存在注入漏洞，就很可能遭到黑客攻擊，從而給用戶帶來損失。其實，如果我們稍加分析，便會發(fā)現(xiàn)，黑客注入時常常提交一些SQL語句和一些非法字符，如：’%&selectcountmidand1=1and1=2之類的關鍵詞，而用戶在一個一般的網(wǎng)頁中是不需要提交這類字符的，因此，一個簡單的方法就是屏蔽用戶在網(wǎng)頁中提交這些字符，你可以在每一個asp頁面中編寫一段過濾的代碼，也可以到網(wǎng)絡上找一段對應的代碼加在自己的頁面中。我在網(wǎng)絡上找了一段代碼是這樣寫的：<%Dimfzpost,fzget,fzin,fzinf,fzxhFzin=”and|exec|insert|select|count|%|mid”Fzinf=split(fzin,”|”)//用“|”來分隔特殊字符；Ifrequest.form<>””thenForeachfzpostinrequest.formForfzxh=0toubound(fzinf)Ifinstr(lcase(request.form(fzpost)),fzinf(fzxh))<>0thenResponse.write“<scrIPtlanguage=javascrIPt>alert(‘請別輸入非法字符’);</scrIPt>”Response.endEndifNextNextEndifIfrequest.querystring<>””thenForeachfzgetinrequest.querystringForfzxh=0toubound(fzinf)Ifinstr(lcase(request.querystring(fzget)),fz(fzxh))<>0thenResponse.write“<scrIPtlanguage=javascrIPt>alert(‘別輸入非法字符’);</scrIPt>”Response.endEndifNextNextEndif%>這段代碼對部分非法字符進行過濾，上半部分針對post提交方式，下半部分是針對get提交方式，在使用時只需要將代碼保存為“文件名字.asp”，然后在需要檢測的網(wǎng)頁頭部輸入“include文件名.asp”就可以了。2．32構(gòu)造假用戶和加密有些管理員為了防止注入，在數(shù)據(jù)庫中添加多個假用戶，這些用戶常常不能用來登錄，而且有很長的用戶名和密碼，這些假用戶一般設置在真用戶之前，黑客如果發(fā)現(xiàn)有漏洞，他們?yōu)榱丝焖俨陆猓３Ｊ褂霉ぞ咂平?，而工具往往從前邊的帳戶開始猜解，這樣，工具也會因為用戶名太長或密碼而無法繼續(xù)猜解或消耗太多系統(tǒng)資源而徒勞無功。防止注入的另一種手段是加密用戶密碼，現(xiàn)在很多管理員喜歡用md5（哈希加密算法中的一種）加密用戶密碼，這樣即使黑客破解出用戶密碼，還需要再次解密，md5屬于非對稱加密，即只能暴力破解，但現(xiàn)在有很多網(wǎng)站支持在線破解，如：cmd5網(wǎng)站等，像這樣的網(wǎng)站能很快破解8位以下的md5口令，因此如果想讓md5加密起作用的話，最好將密碼設置成15位以上，甚至更長。2．4服務器安全配置2．41安全策略現(xiàn)在有很多病毒利用移動介質(zhì)進行傳播，這類病毒危害極大，而且當用戶重做系統(tǒng)后，只要點擊沒被格式化的硬盤或在次插入移動盤時，又會死灰復燃。因此，很多用戶使用auto專殺工具，其實，使用auto專殺工具只是一種治標不治本的方法，要想徹底預防移動介質(zhì)中的病毒，我們需要了解autorun.inf的運行原理。一個簡單的autorun.inf可以這樣寫：打開記事本輸入：[autorun]Open=游戲人間.mp3然后另存在移動盤根目錄，文件名為autorun.inf，再把“游戲人間.mp3”考到此移動盤根目錄，然后拔出移動盤。當你再次插入移動盤時，你會發(fā)現(xiàn)“游戲人間”已經(jīng)自動播放，換成木馬也會自動運行。為了不使它自動播放，可以在：開始—運行—gpedit.msc—管理模板—系統(tǒng)—關閉自動播放中選擇已啟用，再選擇“所有驅(qū)動器”，這樣再次插入移動盤時，你會發(fā)現(xiàn)音樂不會被播放，換成木馬也一樣效果。當然，如果對批處理熟悉的話，你可以在加上很多東西，如：icon=…shell=…attrib….copy…之類的語句，這樣既能隱藏病毒文件，又可以讓病毒自我復制傳播。同樣，你也可以自己寫一個破壞移動盤病毒傳播的批處理文件，在每次插入移動盤時，先運行它。例如：我是這樣寫的：attrib"h:\autorun.inf"-s-h-rdel"h:\autorun.inf"attrib"h:\pagefile.pif"-s-h-rdel"h:\pagefile.pif"attrib"i:\autorun.inf"-s-h-rdel"i:\autorun.inf"attrib"i:\pagefile.pif"-s-h–r因為我的移動盤是H：或者I：盤。除了組策略外，還有本地安全策略中的用戶權限指派和安全選項中也有很多安全相關的設置，它們都是既有趣又實用的東西，希望更多人去發(fā)現(xiàn)，并使用它們。2．42關閉多余的服務在windows系統(tǒng)中，有很多服務和端口是默認開啟的的，而對于一般用戶來說，好多服務是用不到的，它們既浪費系統(tǒng)資源又使主機容易被入侵，所以這節(jié)就專門簡述一些服務和端口的作用和關閉方法。從開始—控制面板—管理工具—服務，進入服務管理窗口，可以看見很多系統(tǒng)服務。Clicbook服務：可能導致從網(wǎng)絡上讀取你剪貼板上的內(nèi)容，建議關閉。Computerbrowser服務：黑客可能利用它得知網(wǎng)絡中的其它計算機。Messenger服務：用于發(fā)送消息，可能導致騷擾，建議關閉。Remoteregistry服務：可能被黑客遠程修改注冊表，如果不遠程使用數(shù)據(jù)庫，建議關閉。Server服務：開137、138端口，管理文件共享和打印機，經(jīng)典的IPC$空口令入侵就是利用它的，如果不使用共享，建議關閉。Taskscheduler服務：任務計劃，就是at命令的載體，可能用于自啟動病毒，建議關閉。Tcp/IPnetbios服務：開139端口，是wins服務的載體，可能導致攻擊，如果不使用局域網(wǎng)，可以關閉。Print和printspooler服務：專門為打印機設置，如果沒有打印機就關閉。Telnet服務：開23端口，如果用戶名簡單，又是弱口令，就很容易讓黑客遠程登陸，建議關閉。Terminalservices服務：開3389端口，可能導致遠程攻擊，如果不使用遠程協(xié)助，就將它關閉。其實，類似的服務還有很多，如：indexserver、802.11等，如果你不需要就統(tǒng)統(tǒng)關閉掉，重啟電腦后，你會發(fā)現(xiàn)電腦快了很多，內(nèi)存也空閑出來很多了。另外還有一個容易被黑客利用的端口就是135端口，由于它的服務是系統(tǒng)內(nèi)核進程，所以無法關閉，網(wǎng)絡上有很多關閉的方法，比如用OllyDbg修改內(nèi)核dll文件，或直接修改注冊表。其實135端口入侵主要是通過弱口令，所以，只要我們裝系統(tǒng)后，不使用弱口令，并在本地安全策略的安全選項中啟用“禁止SUM帳戶進行匿名枚舉”，就不容易被攻破了。當然你也可以用防火墻關閉，或者設置一條IPsec篩選策略，將135端口的數(shù)據(jù)過濾。對于那些不可不開的端口，最好就是使用強健的密碼，并配置有效的策略，對于程序本身可能出現(xiàn)的溢出漏洞，我們可以通過下一節(jié)的加密cmd.exe來設置防線。2．43加密cmd.exe來防止溢出黑客在利用堆棧溢出漏洞時，常常用類似這樣的shellcode：＃include＜windows.h＞intmain(){LoadLibrary(＂msvcrt.dll＂);system(＂cmd.exe＂);…return0;}來開啟windows系統(tǒng)的cmd.exe，并將其綁定到對應軟件的端口上，這樣做有兩個好處，一是不需要因為功能而寫很多代碼，直接可以從目標取得一個shell；二是不會因為功能代碼太多而覆蓋目標主機太多內(nèi)存，從而導致shellcode難以調(diào)試，甚至導致目標主機的崩潰。但是這樣做也有一個弱點，那就是：如果我們加密了cmd.exe，黑客就無能為力了，我的加密代碼是這樣寫的：@echooffcoloraclstitle歡迎您的訪問張超的命令行！setpass=0settime=0echo好！echo.echo你丫想干什么？要密碼的哦～:startecho.attrib"c:\log.txt"-s-h-rechocmd命令行已經(jīng)開啟！等待密碼：...>>c:\log.txtecho日期：>>c:\log.txtdate/t>>c:\log.txtecho時間：>>c:\log.txttime/t>>c:\log.txtecho.set/ppass=請輸入超超的密碼:if%pass%==chaogotookif%time%==0gotoendset/Atimes=%time%-1:endexitcls:okclstitleDOS的世界！echo.echo密碼正確！歡迎進入DOS的世界！doskeytelnet=此命令被超超禁止！doskeyformat=此命令被超超禁止！doskeynet=此命令被超超禁止！doskeyat=此命令被超超禁止！doskeynetstat=此命令被超超禁止！echo密碼已經(jīng)輸入正確！>>c:\log.txtecho日期：>>c:\log.txtdate/t>>c:\log.txtecho時間：>>c:\log.txttime/t>>c:\log.txtecho.>>c:\log.txtattrib"c:\log.txt"+s+h+recho.寫好后保存為chao.bat或chao.bat放在D盤根目錄下，在開始運行中輸入：regedit進入注冊表編輯器，進入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CommandProcessor雙擊autorun項，輸入："D:/chao.bat"，確定后退出。當在次打開cmd時如下圖：只有輸入密碼“chao”才能進入，如下圖：此時我們?nèi)サ鬰:\log.txt的只讀、隱藏、系統(tǒng)屬性，就可以看日志了，如下圖：如果你批處理很在行，你可以加入更多的指令，讓系統(tǒng)的設置和你的想象一樣精彩！在這一章中，主要敘述了一些對入侵的控制方法，由于篇幅和能力的限制不能做更多的擴展，希望朋友們舉一仿三。另外，不對的地方希望朋友們幫助指正。下一章中將論述簡單蜜罐的制作。第三章：蜜罐系統(tǒng)制作3．1蜜罐選擇3．11蜜罐的發(fā)展隨著計算機網(wǎng)絡的普及，計算機用戶越來越多，黑客也越來越多，做為一個企業(yè)，殺毒軟件往往是馬后炮。在這樣的環(huán)境下，IDS成為企業(yè)的首選，但是一套IDS的價格往往是十萬以上，好一點的居然賣到80萬以上。這對一個小企業(yè)來說只能看看而已。但是，沒有一個安全保障，企業(yè)的信息可能一夜之間被黑客攻陷。出于蜜罐有取證、誤導黑客等特點，價值在一天天上漲。Honeypot一詞出現(xiàn)在二十世紀九十年代，之后隨著網(wǎng)絡入侵的倍增和蠕蟲病毒的大規(guī)模爆發(fā)，使蜜罐擔任起網(wǎng)絡中重要的角色。如今，除了一些對安全要求很高的機構(gòu)使用蜜罐外，使用最多的就是一些網(wǎng)絡安全公司了，比如：江民、卡巴等，它們使用蜜罐來截獲網(wǎng)絡中的各種病毒?；蛟S你也在網(wǎng)上見過類似這樣的語句：某某病毒在某某區(qū)域大肆爆發(fā)，該病毒由某某公司首先截獲……也許你還神秘的認為那公司的人就是天才，其實它們就是利用蜜罐來截獲網(wǎng)絡中的病毒。3．12蜜罐設計方法對于保護型的蜜罐來說，蜜罐是一些用來保護受保護系統(tǒng)而犧牲的操作系統(tǒng)和應用軟件。對于截獲病毒的蜜罐來說，它們是一些存在漏洞的系統(tǒng)，用存在的漏洞來誘捕病毒。那些保護型的蜜罐，常常需要真實的主機，真實的操作系統(tǒng)，而且漏洞也留得比較有技巧，主要用來欺騙黑客，讓黑客入侵不到真正有價值的主機，并取證黑客的來路。而截獲病毒的主機則常常留下一些黑客喜歡利用的漏洞，甚至弱口令，來吸引蠕蟲感染，當病毒感染后，它會提取相關資料給管理員分析，比如網(wǎng)絡安全公司截獲新病毒，分析后提取特征碼，并加入更新包。這樣的蜜罐，它甚至可以使用虛擬操作系統(tǒng)來實現(xiàn)功能。從技術角度來講，保護型的蜜罐需要更多的硬件資源，和管理員的技術含量，有時，它還常常配合IDS或其它網(wǎng)絡設備協(xié)同工作。因此，無論從能力還是資源上，我們都難以實現(xiàn)。相對來說，做一個截獲型的蜜罐就簡單多了，它可以存在很多漏洞，甚至可以用虛擬操作系統(tǒng)實現(xiàn)（虛擬操作系統(tǒng)難以欺騙水平高的黑客，但是，欺騙蠕蟲應該是可以的）。接下來，我將做兩個簡單的蜜罐，以進一步體會蜜罐的工作原理。3．2用NAT重定向IIS服務器3．21配置虛擬主機由于沒有更多計算機的緣故，需要使用pcanywhere或者vmware來充當蜜罐主機，這樣雖然不實用，但原理還是一樣的。先到網(wǎng)絡上下載vmware，并安裝在計算機上，打開它，創(chuàng)建一個新的操作系統(tǒng)，這里我們要裝xp，所以選操作系統(tǒng)時選擇windowsxp32位系統(tǒng)。之后，根據(jù)提示一步步往下走，注意分配硬盤時默認是8G，這里只是測試，5G就足夠了，分配好虛擬系統(tǒng)的資源后，往光驅(qū)中放入xp系統(tǒng)碟，并啟動虛擬主機，和外部裝系統(tǒng)一樣將虛擬系統(tǒng)裝好并啟動，如下圖：當虛擬主機正常啟動后，就可以和外部主機通信了，它和一臺獨立主機區(qū)別不大，還可以和外部主機共享網(wǎng)卡，與交換機或路由上的其它主機建立局域網(wǎng)，正因為它有這些優(yōu)點，所以選擇它做實驗。因為外部網(wǎng)關地址是192…1所以我們進入網(wǎng)絡鄰居配置IP時，把IP設置為192...3網(wǎng)關設置為192…1確定后退出。打開cmd命令行，輸入ping192...2如下圖：這里的192...2是外部主機，從上圖可知虛擬主機正常加入了外部局域網(wǎng)，接下來就可以繼續(xù)往下做了。3．22安置IIS在虛擬主機網(wǎng)絡連接成功的基礎上，就可以進一步測試web了，為了測試web，必須先安裝IIS，打開虛擬主機的控制面板—添加刪除程序，點擊安裝windows組件，勾上IIS選項，之后按提示插入xp系統(tǒng)盤（不能用GHOST），并一步步將它安裝完成。安裝完成后，打開瀏覽器，輸入localhost，頁面會自動跳到localstart.asp，如果頁面正常顯示，則說明IIS安裝成功，并正常運行，如果不能顯示頁面，可以進入控制面板—管理工具—intneter信息服務，重新啟動IIS，或進入系統(tǒng)服務中查看WorldWideWebPublishing和IISadmin等相關服務是否正常啟動。一個正常顯示的頁面如下圖：如果看到這樣的頁面，說明，IIS已經(jīng)正常運行了，接下來就可以測試web在網(wǎng)絡中的訪問了。3．23測試NAT在虛擬主機的wwwroot目錄下放入我們的網(wǎng)站（在真實運用中為了安全，常常不把網(wǎng)站放在系統(tǒng)盤下），并測試能正常訪問。如下圖：在配置路由器之前，為了對比效果，可以在外部主機上也安裝IIS并設置一個類似的網(wǎng)站，如下圖：這時到局域網(wǎng)的其他同學電腦上，在瀏覽器分別輸入http：//192...2/index.html，顯示如下圖：這個系統(tǒng)的目的是把主機的80端口重定向到虛擬主機上，所以我們到路由上配置一條映射規(guī)則，把192...2：80映射到192…3：80確定后重啟動路由器，然后在其他主機上同樣輸入http：//192...2/index.html，顯示如下圖：這時，一個基于web的蜜罐測試成功，如果要它發(fā)揮作用，可能還得使在路由上設置一條映射規(guī)則，將外網(wǎng)IP映射到虛擬主機IP上，然后再將有漏洞的網(wǎng)站發(fā)布在上邊，或者故意留下幾個IIS漏洞，這樣，就可以等待黑客來攻擊，等待蠕蟲來感染，并以此牽制或一舉截獲它們。上邊介紹了一個基于web的蜜罐，但對于堆棧溢出漏洞來說，IIS并不能記錄讓人滿意的日志，為了更好地記錄堆棧對溢出日志，在下一節(jié)做一個基于堆棧溢出的蜜罐。3．3空口令截獲蠕蟲病毒3．31開服務端口做為蜜罐，所開的服務和端口也是有講究的，如果服務端口開的太多，或者留了一些太古老的漏洞，那么黑客也不會相信你的。比如135、445端口，ms03026、ms03039、ms03049、ms04011等都是幾年前的漏洞，如果留這些漏洞，黑客會懷疑，如果用它們來抓蠕蟲病毒，效果可能也不大理想，但135端口是用戶最容易留下的端口，好多黑客和蠕蟲都喜歡選擇它的弱口令。所以，開了135端口，留上一個admin的帳戶，根據(jù)具體情況選擇是否設置密碼，再設置好此帳戶權限，就是一個很好的想法。如果只是用來抓捕蠕蟲，只要不要太暴露IP就可以了，口令也越簡單越好，服務也可以多開一些，這樣效果會更好。為了方便，我們同樣把蜜罐系統(tǒng)做在虛擬主機上，這樣，外部主機就不用再開135、445端口了。在虛擬主機上，甚至可以開上更多的服務和端口，也不會給自己帶來損失?，F(xiàn)在90%以上的操作系統(tǒng)，在默認下都開了135、445