2023年巧妙利用三招保护局域网中的 IP 地址.docx

巧妙利用三招保护局域网中的 IP 地址 ucwvfpwxf　来源：赛迪网安全社区 局域网中IP地址被占用或篡改的情况时有发生,为你提供几个实用招数。 停用网络连接效劳 要限制用户随意修改TCP/IP参数，最简单的方法是让用户无法翻开TCP/IP参数设置窗口。翻开“开始〞中“运行〞输入“services.msc〞命令，选中“Network Connections〞效劳，右键单击，附属性中选择其中的停用按钮，将“启动类型〞选为“已禁用〞，并确定。这样，你如果从“开始〞进入“网络连接〞里，就找不到“本地连接〞图标。这也会给自己网络参数修改带来麻烦，可以将“Plug and play〞效劳停用，就不影响你正常网络访问了 限制修改网络参数法 修改注册表的相关网络键值就能实现。进入“运行〞输入“regedit〞命令，翻开注册表编辑，确定在 HKEY_USERS\DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Network 分支上，在右侧区域中，依次选择“编辑〞、“新建〞、“Dword值〞选项，将新建的Dword值命名为“NoNetSetup〞，将其数值输入为“1〞，重新启动，系统就会提示无法进入网络属性设置窗口了。 隐藏本地连接图标法 本地连接图标与系统的Netcfgx.dll、Netshell.dll、Netman.dll这三个动态链接文件有关，一旦将这三个动态链接文件反注册的话，那么本地连接图标就会被自动隐藏起来了。在反注册上面三个动态链接文件时，可以先翻开系统运行框，并在其中输入字符串命令“regsvr32 Netcfgx.dll/u〞命令，单击一下“确定〞按钮后，就能把Netcfgx.dll文件反注册了。 安全知识　防火墙应用安全八项实用技术 smtk　来源：赛迪网安全社区 什么是应用安全呢？应用安全就是对网络应用的安全保障，这些应用包括：信用卡号码、机密资料、用户档案等信息。那么什么是保护这些应用不受恶意攻击的困难所在呢？，在我们看来这些应用最薄弱的环节是通过网络防火墙上的端口80〔主要用于 〕和端口443〔用于SSL〕时受到的攻击。那么防火墙怎么对这些攻击进行发现及封阻呢？下文总结了八项应用安全技术，全文如下： 　　深度数据包处理 　　深度数据包处理有时被称为深度数据包检测或者语义检测，它就是把多个数据包关联到一个数据流当中，在寻找攻击异常行为的同时，保持整个数据流的状态。深度数据包处理要求以极高的速度分析、检测及重新组装应用流量，以防止给应用带来时延。下面每一种技术代表深度数据包处理的不同级别。 　　TCP/IP终止 　　应用层攻击涉及多种数据包，并且常常涉及多种请求，即不同的数据流。流量分析系统要发挥成效，就必须在用户与应用保持互动的整个会话期间，能够检测数据包和请求，以寻找攻击行为。至少，这需要能够终止传输层协议，并且在整个数据流而不是仅仅在单个数据包中寻找恶意模式。 　　SSL终止 　　如今，几乎所有的安全应用都使用 S确保通信的保密性。然而，SSL数据流采用了端到端加密，因而对被动探测器如入侵检测系统〔IDS〕产品来说是不透明的。为了阻止恶意流量，应用防火墙必须终止SSL，对数据流进行解码，以便检查明文格式的流量。这是保护应用流量的最起码要求。如果你的安全策略不允许敏感信息在未加密的前提下通过网络传输，你就需要在流量发送到Web效劳器之前重新进行加密的解决方案。 　　URL过滤 　　一旦应用流量呈明文格式，就必须检测 请求的URL局部，寻找恶意攻击的迹象，譬如可疑的统一代码编码〔unicode encoding〕。对URL过滤采用基于特征的方案，仅仅寻找匹配定期更新的特征、过滤掉与攻击如红色代码和尼姆达有关的URL，这是远远不够的。这就需要一种方案不仅能检查RUL，还能检查请求的其余局部。其实，如果把应用响应考虑进来，可以大大提高检测攻击的准确性。虽然URL过滤是一项重要的操作，可以阻止通常的脚本少年类型的攻击，但无力抵御大局部的应用层漏洞。 　　请求分析 　　全面的请求分析技术比单单采用URL过滤来得有效，可以防止Web效劳器层的跨站脚本执行〔cross-site scripting〕漏洞和其它漏洞。全面的请求分析使URL过滤更进了一步：可以确保请求符合要求、遵守标准的 标准，同时确保单个的请求局部在合理的大小限制范围之内。这项技术对防止缓冲器溢出攻击非常有效。然而，请求分析仍是一项无状态技术。它只能检测当前请求。正如我们所知道的那样，记住以前的行为能够获得极有意义的分析，同时获得更深层的保护。 　　用户会话跟踪 　　更先进的下一个技术就是用户会话跟踪。这是应用流量状态检测技术的最根本局部：跟踪用户会话，把单个用户的行为关联起来。这项功能通常借助于通过URL重写〔URL rewriting〕来使用会话信息块加以实现。只要跟踪单个用户的请求，就能够对信息块实行极其严格的检查。这样就能有效防御会话劫持〔session-hijacking〕及信息块中毒〔cookie-poisoning〕类型的漏洞。有效的会话跟踪不仅能够跟踪应用防火墙创立的信息块，还能对应用生成的信息块进行数字签名，以保护这些信息块不被人篡改。这需要能够跟踪每个请求的响应，并从中提取信息块信息。 　　响应模式匹配 　　响应模式匹配为应用提供了更全面的保护：它不仅检查提交至Web效劳器的请求，还检查Web效劳器生成的响应。它能极其有效地防止网站受毁损，或者更确切地说，防止已毁损网站被浏览。对响应里面的模式进行匹配相当于在请求端对URL进行过滤。响应模式匹配分三个级别。防毁损工作由应用防火墙来进行，它对站点上的静态内容进行数字签名。如果发现内容离开Web效劳器后出现了改动，防火墙就会用原始内容取代已毁损页面。至于对付敏感信息泄露方面，应用防火墙会监控响应，寻找可能说明效劳器有问题的模式，譬如一长串Java异常符。如果发现这类模式，防火墙就会把它们从响应当中剔除，或者干脆封阻响应。 　　采用“停走〞字〔‘stop and go’word〕的方案会寻找必须出现或不得出现在应用生成的响应里面的预定义通用模式。譬如说，可以要求应用提供的每个页面都要有版权声明。 　　行为建模 　　行为建模有时称为积极的安全模型或“白名单〞〔white list〕安全，它是唯一能够防御最棘手的应用漏洞——零时间漏洞的保护机制。零时间漏洞是指未写入文档或“还不知道〞的攻击。对付这类攻击的唯一机制就是只允许是良好行为的行为，其它行为一律禁止。这项技术要求对应用行为进行建模，这反过来就要求全面分析提交至应用的每个请求的每次响应，目的在于识别页面上的行为元素，譬如表单域、按钮和超文本链接。这种级别的分析可以发现恶意表单域及隐藏表单域操纵类型的漏洞，同时对允许用户访问的URL实行极其严格的监控。行为建模是唯一能够有效对付全部16种应用漏洞的技术。行为建模是一种很好的概念，但其成效往往受到自身严格性的限制。某些情况譬如大量使用JavaScript或者应用成心偏离行为模型都会导致行为建模犯错，从而引发误报，拒绝合理用户访问应用。行为建模要发挥作用，就需要一定程度的人为干预，以提高安全模型的准确性。行为自动预测又叫规那么自动生成或应用学习，严格说来不是流量检测技术，而是一种元检测〔meta-inspection〕技术，它能够分析流量、建立行为模型，并且借助于各种关联技术生成应用于行为模型的一套规那么，以提高精确度。行为建模的优点在于短时间学习应用之后能够自动配置。保护端口80是安全人员面临的最重大也是最重要的挑战之一。所幸的是，如今已出现了解决这一问题的创新方案，而且在不断完善。如果在分层安全根底设施里面集成了能够封阻16类应用漏洞的应用防火墙，你就可以解决应用安全这一难题。 【知识】TCP/IP 数据包处理路径_了解WINDOWS防火墙,更好的保护系统 简介 随着 Microsoft® Windows® XP Service Pack 2 和 Windows Server™ 2023 Service Pack 1 新增了 Windows 防火墙，以及 Internet 协议安全 (IPsec) 在公司 Intranet 中日益广泛的应用，信息技术 (IT) 专业人士需要了解 TCP/IP 协议及 Windows 中的相关组件处理单播 Internet 协议 (IP) 数据包的具体方式。有关 IP 数据包处理路径的详细知识，可以让您更轻松地掌握配置数据包处理和筛选组件，以及进行相关疑难解答的具体方法。 本文所介绍的内容如下： •    用于 IP 版本 4 的 TCP/IP 协议的根本体系结构以及其它一些用于处理数据包的组件。 •    基于 Windows 的计算机所发送、接收和转发的单播流量的数据包处理路径 注意 为了简要起见，本文将不讨论多播、播送、分段或隧道数据包。 以下组件可处理 IP 数据包： •    IP 转发 为发送或转发的数据包确定下一跃点接口和地址。 •    TCP/IP 筛选 允许按 IP 协议、TCP 端口或 UDP 端口，指定可为传入的本地主机流量〔发往主机的数据包〕所接受的流量类型。可以在“网络连接〞文件夹中，从 Internet 协议 (TCP/IP) 组件高级属性的“选项〞选项卡，配置 TCP/IP 筛选。 •    筛选器挂钩驱动程序 该 Windows 组件可使用筛选器挂钩 API，筛选传入和传出的 IP 数据包。在运行 Windows Server 2023 的计算机上，筛选器挂钩驱动程序为 Ipfltdrv.sys，属于“路由和远程访问〞的一个组件。启用后，“路由和远程访问〞允许用户使用路由和远程访问管理单元，对每个接口配置单独的入站和出站 IP 数据包筛选器。Ipfltdrv.sys 会同时检查本地主机和中转 IP 流量〔不发往主机的数据包〕。 •    防火墙挂钩驱动程序 该 Windows 组件可使用防火墙挂钩 API，检查传入和传出的数据包。在运行 Windows XP 的计算机上，防火墙挂钩驱动程序为 Ipnat.sys，由 Internet 连接共享和 Windows 防火墙双方共享。Internet 连接共享是一种根底网络地址转换器 (NAT)。Windows 防火墙是一种基于主机的状态防火墙。Ipnat.sys 可同时检查本地主机和中转 IP 流量。在运行 Windows Server 2023 的计算机上，Ipnat.sys 由 Internet 连接共享、Windows 防火墙和路由和远程访问的 NAT/根本防火墙组件三方共享。如果启用了路由和远程访问的 NAT/根本防火墙组件，就不能再启用 Windows 防火墙或 Internet 连接共享了。 •    IPsec IPsec 组件——Ipsec.sys——是 IPsec 在 Windows 中的实现，可对 IP 流量提供加密保护。Ipsec.sys 可同时检查本地主机和中转 IP 流量，并可允许、阻止或保护流量。 数据包处理路径 下面几节介绍了针对以下流量的具体的数据包处理路径： •    源流量 由基于 Windows 的发送主机发起。 •    目标流量 到达最终的基于 Windows 的目标主机。 •    中转流量 由基于 Windows 的 IP 路由器转发。 这里只讨论 Windows Server 2023 或 Windows XP 所附带的组件，不涉及 Windows 套接字分层效劳提供程序或 NDIS 中间微型端口驱动程序。 源流量