Posts filed under '防毒防駭'

木馬及其常用port對照表

Add comment 四月 26th, 2005

木馬及其常用端口對照表
0=Reserved
1=tcpmux
2=compressnet
3=compressnet
4=Unassigned
5=Remote Job Entr 6=Unassigned
7=Echo
8=Unassigned
9=Discard
10=Unassigned
11=Active Users
12=Unassigned
13=Daytime
14=Unassigned
15=Unassigned
16=Unassigned
17=Quote of the Day
18=Message Send Protocol
19=Character Generator
20=FTP (Data)
21=FTP (Control)
22=Unassigned
23=Telnet
24=Private mail-system
25=SMTP
26=Unassigned
27=NSW User System FE
28=Unassigned
29=MSG ICP
30=Unassigned
31=MSG Authentication
32=Unassigned
33=Display Support Protocol
34=Unassigned
35=Private printer server
36=Unassigned
37=Time
38=Route Access Protocol
39=Resource Location Protocol
40=Unassigned
41=Graphics
42=Host Name Server
43=Who Is
44=MPM FLAGS Protocol
45=Message Processing Module (recv)
46=mpm-snd, MPM (default send)
47=ni-ftp
48=Digital Audit Daemon
49=login, Login Host Protocol
50=re-mail-ck, Remote Mail Checking Protocol
51=IMP Logical Address Maintenance
52=xns-time, XNS Time Protocol
53=domain, Domain Name Server
54=xns-ch, XNS Clearinghouse
55=ISI Graphics Language
56=XNS Authentication
57=Private terminal access
58=XNS Mail
59=Private file service
60=Unassigned
61=NI MAIL
62=ACA Services
63=Unassigned
64=Communications Integrator (CI)
65=TACACS-Database Service
66=Oracle SQL*NET
67=Bootstrap Protocol Server
68=Bootstrap Protocol Client
69=Trivial File Transfer
70=Gophergopher
71=Remote Job Service
72=Remote Job Service
73=Remote Job Service
74=Remote Job Service
75=any private dial out service
76=Distributed External Object Store
77=any private RJE service
78=vettcpvettcp
79=Finger server
80=HTTP
81=HOSTS2 Name Server
82=XFER Utility
83=MIT ML Device
84=Common Trace Facility
85=MIT ML Device
86=Micro Focus Cobol
87=Private terminal link
88=Kerberos
89=SU/MIT Telnet Gateway
90=DNSIX Securit Attribute Token Map
91=MIT Dover Spooler
92=Network Printing Protocol
93=Device Control Protocol
94=Tivoli Object Dispatcher
95=SUPDUPsupdup
96=DIXIE Protocol Specification
97=Swift Remote Vitural File Protocol
98=TAC Newstacnews
99=Metagram Relay
100=newacct [unauthorized use]
101=NIC Host Name Server
102=ISO-TSAP
103=Genesis Point-to-Point Trans Net
104=ACR-NEMA Digital Imag. & Comm. 300
105=Mailbox Name Nameserver
106=3COM-TSMUX3com-tsmux
107=Remote Telnet Service
108=SNA Gateway Access Server
109=Post Office Protocol - Version 2
110=Post Office Protocol - Version 3
111=SUN RPC
112=McIDAS Data Transmission Protocol
113=Authentication Service
114=Audio News Multicast
115=Simple File Transfer Protocol
116=ANSA REX Notify
117=UUCP Path Service
118=SQL Servicessqlserv
119=Network News Transfer Protocol
120=CFDPTKTcfdptkt
121=Encore Expedited Remote Pro.Call
122=SMAKYNETsmakynet
123=Network Time Protocol
124=ANSA REX Trader
125=Locus PC-Interface Net Map Ser
126=Unisys Unitary Login
127=Locus PC-Interface Conn Server
128=GSS X License Verification
129=Password Generator Protocol
130=cisco FNATIVE
131=cisco TNATIVE
132=cisco SYSMAINT
133=Statistics Service
134=INGRES-NET Service
135=Location Service
136=PROFILE Naming System
137=NETBIOS Name Service
138=NETBIOS Datagram Service
139=NETBIOS Session Service
140=EMFIS Data Service
141=EMFIS Control Service
142=Britton-Lee IDM
143=Interim Mail Access Protocol v2
144=NewSnews
145=UAAC Protocoluaac
146=ISO-IP0iso-tp0
147=ISO-IPiso-ip
148=CRONUS-SUPPORT
149=AED 512 Emulation Service
150=SQL-NETsql-net
151=HEMShems
152=Background File Transfer Program
153=SGMPsgmp
154=NETSCnetsc-prod
155=NETSCnetsc-dev
156=SQL Service
157=KNET/VM Command/Message Protocol
158=PCMail Serverpcmail-srv
159=NSS-Routingnss-routing
160=SGMP-TRAPSsgmp-traps
161=SNMP
162=SNMP TRAP
163=CMIP/TCP Manager
164=CMIP/TCP Agent
165=Xeroxxns-courier
166=Sirius Systems
167=NAMPnamp
168=RSVDrsvd
169=Send
170=Network PostScript
170=Network PostScript
171=Network Innovations Multiplex
172=Network Innovations CL/1
173=Xyplexxyplex-mux
174=MAILQ
175=VMNET
176=GENRAD-MUXgenrad-mux
177=X Display Manager Control Protocol
178=NextStep Window Server
179=Border Gateway Protocol
180=Intergraphris
181=Unifyunify
182=Unisys Audit SITP
183=OCBinderocbinder
184=OCServerocserver
185=Remote-KIS
186=KIS Protocolkis
187=Application Communication Interface
188=Plus Five’s MUMPS
189=Queued File Transport
189=Queued File Transport
190=Gateway Access Control Protocol
190=Gateway Access Control Protocol
191=Prospero Directory Service
191=Prospero Directory Service
192=OSU Network Monitoring System
193=srmp, Spider Remote Monitoring Protocol
194=irc, Internet Relay Chat Protocl
195=DNSIX Network Level Module Audit
196=DNSIX Session Mgt Module Audit Redir
197=Directory Location Service
198=Directory Location Service Monitor
199=SMUX
200=IBM System Resource Controller
201=at-rtmp AppleTalk Routing Maintenance
202=at-nbp AppleTalk Name Binding
203=at-3 AppleTalk Unused
204=AppleTalk Echo
205=AppleTalk Unused
206=AppleTalk Zone Information
207=AppleTalk Unused
208=AppleTalk Unused
209=Trivial Authenticated Mail Protocol
210=ANSI Z39.50z39.50
211=Texas Instruments 914C/G Terminal
212=ATEXSSTRanet
213=IPX
214=VM PWSCSvmpwscs
215=Insignia Solutions
216=Access Technology License Server
217=dBASE Unix
218=Netix Message Posting Protocol
219=Unisys ARPsuarps
220=Interactive Mail Access Protocol v3
221=Berkeley rlogind with SPX auth
222=Berkeley rshd with SPX auth
223=Certificate Distribution Center
224=Reserved (224-241)
241=Reserved (224-241)
242=Unassigned#
243=Survey Measurement
244=Unassigned#
245=LINKlink
246=Display Systems Protocol
247-255 Reserved
256-343 Unassigned
344=Prospero Data Access Protocol
345=Perf Analysis Workbench
346=Zebra serverzserv
347=Fatmen Serverfatserv
348=Cabletron Management Protocol
349-370 Unassigned
371=Clearcaseclearcase
372=Unix Listservulistserv
373=Legent Corporation
374=Legent Corporation
375=Hasslehassle
376=Amiga Envoy Network Inquiry Proto
377=NEC Corporation
378=NEC Corporation
379=TIA/EIA/IS-99 modem client
380=TIA/EIA/IS-99 modem server
381=hp performance data collector
382=hp performance data managed node
383=hp performance data alarm manager
384=A Remote Network Server System
385=IBM Application
386=ASA Message Router Object Def.
387=Appletalk Update-Based Routing Pro.
388=Unidata LDM Version 4
389=Lightweight Directory Access Protocol
390=UISuis
391=SynOptics SNMP Relay Port
392=SynOptics Port Broker Port
393=Data Interpretation System
394=EMBL Nucleic Data Transfer
395=NETscout Control Protocol
396=Novell Netware over IP
397=Multi Protocol Trans. Net.
398=Kryptolankryptolan
399=Unassigned#
400=Workstation Solutions
401=Uninterruptible Power Supply
402=Genie Protocol
403=decapdecap
404=ncednced
405=ncldncld
406=Interactive Mail Support Protocol
407=Timbuktutimbuktu
408=Prospero Resource Manager Sys. Man.
409=Prospero Resource Manager Node Man.
410=DECLadebug Remote Debug Protocol
411=Remote MT Protocol
412=Trap Convention Port
413=SMSPsmsp
414=InfoSeekinfoseek
415=BNetbnet
416=Silverplattersilverplatter
417=Onmuxonmux
418=Hyper-Ghyper-g
419=Arielariel1
420=SMPTEsmpte
421=Arielariel2
422=Arielariel3
423=IBM Operations Planning and Control Start
424=IBM Operations Planning and Control Track
425=ICADicad-el
426=smartsdpsmartsdp
427=Server Location
429=OCS_AMU
430=UTMPSDutmpsd
431=UTMPCDutmpcd
432=IASDiasd
433=NNSPnnsp
434=MobileIP-Agent
435=MobilIP-MN
436=DNA-CMLdna-cml
437=comscmcomscm
439=dasp, Thomas Obermair
440=sgcpsgcp
441=decvms-sysmgtdecvms-sysmgt
442=cvc_hostdcvc_hostd
443=https
444=Simple Network Paging Protocol
445=Microsoft-DS
446=DDM-RDBddm-rdb
447=DDM-RFMddm-dfm
448=DDM-BYTEddm-byte
449=AS Server Mapper
450=TServertserver
512=exec, Remote process execution
513=login, remote login
514=cmd, exec with auto auth.
514=syslog
515=Printer spooler
516=Unassigned
517=talk
519=unixtime
520=extended file name server
521=Unassigned
522=Unassigned
523=Unassigned
524=Unassigned
526=newdate
530=rpc courier
531=chatconference
532=readnewsnetnews
533=for emergency broadcasts
539=Apertus Technologies Load Determination
540=uucp
541=uucp-rlogin
542=Unassigned
543=klogin
544=kshell
545=Unassigned
546=Unassigned
547=Unassigned
548=Unassigned
549=Unassigned
550=new-who
551=Unassigned
552=Unassigned
553=Unassigned
554=Unassigned
555=dsf
556=remotefs
557-559=rmonitor
560=rmonitord
561=dmonitor
562=chcmd
563=Unassigned
564=plan 9 file service
565=whoami
566-569 Unassigned
570=demonmeter
571=udemonmeter
572-599 Unassigned ipc server
600=Sun IPC server
607=nqs
606=Cray Unified Resource Manager
608=Sender-Initiated/Unsolicited File Transfer
609=npmp-trapnpmp-trap
610=npmp-localnpmp-local
611=npmp-guinpmp-gui
634=ginadginad
666=Doom Id Software
704=errlog copy/server daemon
709=EntrustManager
729=IBM NetView DM/6000 Server/Client
730=IBM NetView DM/6000 send/tcp
731=IBM NetView DM/6000 receive/tcp
741=netGWnetgw
742=Network based Rev. Cont. Sys.
744=Flexible License Manager
747=Fujitsu Device Control
748=Russell Info Sci Calendar Manager
749=kerberos administration
751=pump
752=qrh
754=send
758=nlogin
759=con
760=ns
762=quotad
763=cycleserv
765=webster
767=phonephonebook
769=vid
771=rtip
772=cycleserv2
774=acmaint_dbd
775=acmaint_transd
780=wpgs
786=Concertconcert
800=mdbs_daemon
996=Central Point Software
997=maitrd
999=puprouter
1023=Reserved
1024=Reserved
1025=network blackjack
1030=BBN IAD
1031=BBN IAD
1032=BBN IAD
1067=Installation Bootstrap Proto. Serv.
1068=Installation Bootstrap Proto. Cli.
1080=SOCKS
1083=Anasoft License Manager
1084=Anasoft License Manager
1155=Network File Access
1222=SNI R&D network
1248=hermes
1346=Alta Analytics License Manager
1347=multi media conferencing
1347=multi media conferencing
1348=multi media conferencing
1349=Registration Network Protocol
1350=Registration Network Protocol
1351=Digital Tool Works (MIT)
1352=/Lotus Notelotusnote
1353=Relief Consulting
1354=RightBrain Software
1355=Intuitive Edge
1356=CuillaMartin Company
1357=Electronic PegBoard
1358=CONNLCLIconnlcli
1359=FTSRVftsrv
1360=MIMERmimer
1361=LinX
1362=TimeFliestimeflies
1363=Network DataMover Requester
1364=Network DataMover Server
1365=Network Software Associates
1366=Novell NetWare Comm Service Platform
1367=DCSdcs
1368=ScreenCastscreencast
1369=GlobalView to Unix Shell
1370=Unix Shell to GlobalView
1371=Fujitsu Config Protocol
1372=Fujitsu Config Protocol
1373=Chromagrafxchromagrafx
1374=EPI Software Systems
1375=Bytexbytex
1376=IBM Person to Person Software
1377=Cichlid License Manager
1378=Elan License Manager
1379=Integrity Solutions
1380=Telesis Network License Manager
1381=Apple Network License Manager
1382=udt_os
1383=GW Hannaway Network License Manager
1384=Objective Solutions License Manager
1385=Atex Publishing License Manager
1386=CheckSum License Manager
1387=Computer Aided Design Software Inc LM
1388=Objective Solutions DataBase Cache
1389=Document Manager
1390=Storage Controller
1391=Storage Access Server
1392=Print Managericlpv-pm
1393=Network Log Server
1394=Network Log Client
1395=PC Workstation Manager software
1396=DVL Active Mail
1397=Audio Active Mail
1398=Video Active Mail
1399=Cadkey License Manager
1400=Cadkey Tablet Daemon
1401=Goldleaf License Manager
1402=Prospero Resource Manager
1403=Prospero Resource Manager
1404=Infinite Graphics License Manager
1405=IBM Remote Execution Starter
1406=NetLabs License Manager
1407=DBSA License Manager
1408=Sophia License Manager
1409=Here License Manager
1410=HiQ License Manager
1411=AudioFileaf
1412=InnoSysinnosys
1413=Innosys-ACLinnosys-acl
1414=IBM MQSeriesibm-mqseries
1415=DBStardbstar
1416=Novell LU6.2novell-lu6.2
1417=Timbuktu Service 1 Port
1417=Timbuktu Service 1 Port
1418=Timbuktu Service 2 Port
1419=Timbuktu Service 3 Port
1420=Timbuktu Service 4 Port
1421=Gandalf License Manager
1422=Autodesk License Manager
1423=Essbase Arbor Software
1424=Hybrid Encryption Protocol
1425=Zion Software License Manager
1426=Satellite-data Acquisition System 1
1427=mloadd monitoring tool
1428=Informatik License Manager
1429=Hypercom NMSnms
1430=Hypercom TPDUtpdu
1431=Reverse Gosip Transport
1432=Blueberry Software License Manager
1433=Microsoft-SQL-Server
1434=Microsoft-SQL-Monitor
1435=IBM CISCibm-cics
1436=Satellite-data Acquisition System 2
1437=Tabulatabula
1438=Eicon Security Agent/Server
1439=Eicon X25/SNA Gateway
1440=Eicon Service Location Protocol
1441=Cadis License Management
1442=Cadis License Management
1443=Integrated Engineering Software
1444=Marcam License Management
1445=Proxima License Manager
1446=Optical Research Associates License Manager
1447=Applied Parallel Research LM
1448=OpenConnect License Manager
1449=PEportpeport
1450=Tandem Distributed Workbench Facility
1451=IBM Information Management
1452=GTE Government Systems License Man
1453=Genie License Manager
1454=interHDL License Manager
1454=interHDL License Manager
1455=ESL License Manager
1456=DCAdca
1457=Valisys License Manager
1458=Nichols Research Corp.
1459=Proshare Notebook Application
1460=Proshare Notebook Application
1461=IBM Wireless LAN
1462=World License Manager
1463=Nucleusnucleus
1464=MSL License Manager
1465=Pipes Platform
1466=Ocean Software License Manager
1467=CSDMBASEcsdmbase
1468=CSDMcsdm
1469=Active Analysis Limited License Manager
1470=Universal Analytics
1471=csdmbasecsdmbase
1472=csdmcsdm
1473=OpenMathopenmath
1474=Telefindertelefinder
1475=Taligent License Manager
1476=clvm-cfgclvm-cfg
1477=ms-sna-server
1478=ms-sna-base
1479=dberegisterdberegister
1480=PacerForumpacerforum
1481=AIRSairs
1482=Miteksys License Manager
1483=AFS License Manager
1484=Confluent License Manager
1485=LANSourcelansource
1486=nms_topo_serv
1487=LocalInfoSrvr
1488=DocStordocstor
1489=dmdocbrokerdmdocbroker
1490=insitu-confinsitu-conf
1491=anynetgateway
1492=stone-design-1
1493=netmap_lmnetmap_lm
1494=icaica
1495=cvccvc
1496=liberty-lmliberty-lm
1497=rfx-lmrfx-lm
1498=Watcom-SQLwatcom-sql
1499=Federico Heinz Consultora
1500=VLSI License Manager
1501=Satellite-data Acquisition System 3
1502=Shivashivadiscovery
1503=Databeamimtc-mcs
1504=EVB Software Engineering License Manager
1505=Funk Software, Inc.
1524=ingres
1525=oracle
1525=Prospero Directory Service non-priv
1526=Prospero Data Access Prot non-priv
1527=oracletlisrv
1529=oraclecoauthor
1600=issd
1651=proshare conf audio
1652=proshare conf video
1653=proshare conf data
1654=proshare conf request
1655=proshare conf notify
1661=netview-aix-1netview-aix-1
1662=netview-aix-2netview-aix-2
1663=netview-aix-3netview-aix-3
1664=netview-aix-4netview-aix-4
1665=netview-aix-5netview-aix-5
1666=netview-aix-6netview-aix-6
1986=cisco license management
1987=cisco RSRB Priority 1 port
1988=cisco RSRB Priority 2 port
1989=cisco RSRB Priority 3 port
1989=MHSnet systemmshnet
1990=cisco STUN Priority 1 port
1991=cisco STUN Priority 2 port
1992=cisco STUN Priority 3 port
1992=IPsendmsgipsendmsg
1993=cisco SNMP TCP port
1994=cisco serial tunnel port
1995=cisco perf port
1996=cisco Remote SRB port
1997=cisco Gateway Discovery Protocol
1998=cisco X.25 service (XOT)
1999=cisco identification port
2009=whosockami
2010=pipe_server
2011=raid
2012=raid-ac
2013=rad-am
2015=raid-cs
2016=bootserver
2017=terminaldb
2018=rellpack
2019=about
2019=xinupageserver
2020=xinupageserver
2021=xinuexpansion1
2021=down
2022=xinuexpansion2
2023=xinuexpansion3
2023=xinuexpansion4
2024=xinuexpansion4
2025=xribs
2026=scrabble
2027=shadowserver
2028=submitserver
2039=device2
2032=blackboard
2033=glogger
2034=scoremgr
2035=imsldoc
2038=objectmanager
2040=lam
2041=interbase
2042=isis
2043=isis-bcast
2044=primsl
2045=cdfunc
2047=dls
2048=dls-monitor
2065=Data Link Switch Read Port Number
2067=Data Link Switch Write Port Number
2201=Advanced Training System Program
2500=Resource Tracking system server
2501=Resource Tracking system client
2564=HP 3000 NS/VT block mode telnet
2784=world wide web - development
3049=ccmail
3264=ccmail, cc:mail/lotus
3333=dec-notes
3984=MAPPER network node manager
3985=MAPPER TCP/IP server
3986=MAPPER workstation server
3421=Bull Apprise portmapper
3900=Unidata UDT OS
4132=NUTS Daemonnuts_dem
4133=NUTS Bootp Server
4343=UNICALL
4444=KRB524
4672=remote file access server
5002=radio free ethernet
5010=TelepathStarttelelpathstart
5011=TelepathAttack
5050=multimedia conference control tool
5145=rmonitor_secure
5190=aol, America-Online
5300=HA cluster heartbeat
5301=hacl-gs # HA cluster general services
5302=HA cluster configuration
5303=hacl-probe HA cluster probing
5305=hacl-test
6000-6063=x11 X Window System
6111=sub-process HP SoftBench Sub-Process Control
6141/=meta-corp Meta Corporation License Manager
6142=aspentec-lm Aspen Technology License Manager
6143=watershed-lm Watershed License Manager
6144=statsci1-lm StatSci License Manager - 1
6145=statsci2-lm StatSci License Manager - 2
6146=lonewolf-lm Lone Wolf Systems License Manager
6147=montage-lm Montage License Manager
7000=afs3-fileserver file server itself
7001=afs3-callback callbacks to cache managers
7002=afs3-prserver users & groups database
7003=afs3-vlserver volume location database
7004=afs3-kaserver AFS/Kerberos authentication service
7005=afs3-volser volume managment server
7006=afs3-errors error interpretation service
7007=afs3-bos basic overseer process
7008=afs3-update server-to-server updater
7009=afs3-rmtsys remote cache manager service
7010=ups-online onlinet uninterruptable power supplies
7100=X Font Service
7200=FODMS FLIP
7626=冰河
8010=Wingate
8181=IMail
9535=man

入侵監測存在的三個問題和未來發展方向

Add comment 四月 26th, 2005

最近觀測到辦公室裡的server有異常log,所以去查了些資料

入侵監測存在的三個問題和未來發展方向

作者:譚崇暢 發文時間:2005.01.20

入侵檢測系統往往被認為是保護網路系統的“最後一道安全防線”。今天的網路駭客已經學會將真正的攻擊動作隱藏在大量虛假報警之中,這使得用戶質疑。

近年來,針對網路系統發起的攻擊技術大有水漲船高之勢,入侵檢測系統的開發者正在面臨一個兩難選擇:發現異常現象時,是報警,還是不報警?不報警,擔心有漏網之魚;報警,則有可能正中攻擊者的圈套。 入侵監測統存在的三個問題

根據國外權威機構近來發佈的入侵檢測產品評測報告,目前主流的入侵檢測系統大都存在三個問題:

一、存在過多的報警資訊,即使在沒有直接針對入侵檢測系統本身的惡意攻擊時,入侵檢測系統也會發出大量報警。

二、入侵檢測系統自身的抗強力攻擊能力差。我們知道,入侵檢測系統的智慧分析能力越強,處理越複雜,抗強力攻擊的能力就越差。目前入侵檢測系統的設計趨勢是,越來越多地追蹤和分析網路資料流程狀態,使系統的智慧分析能力得到提高,但由此引起的弊端是系統的健壯性被削弱,並且,對高帶寬網路的適應能力有所下降。

三是缺乏檢測高水準攻擊者的有效手段。現有的入侵檢測系統一般都設置了閥值,只要攻擊者將網路探測、攻擊速度和頻率控制在閥值之下,入侵檢測系統就不會報警。鑒於以上三點,許多用戶質疑:按照入侵檢測系統目前的技術現狀,它值得投資部署嗎?

IDS需要技術創新

這種質疑不是沒有道理。一個配置合理的防火牆加上完善的網路安全管理策略,完全可以對付低水準的攻擊行為。人們費盡心機構建的“最後的防線”——入侵檢測系統,必須能夠有效防範“高手”攻擊。但是,如果沒有一個全新的設計思路,目前的入侵檢測系統是不能完全勝任此項重任的。究其原因,主要在於以下三點。

首先,現有的入侵檢測系統依賴於一個攻擊特徵庫來識別已知攻擊。從這個角度來看,它並不比一般的病毒檢測方法高明多少。基於攻擊特徵庫的設計有著兩個明顯的缺點。其一,很難發現新的攻擊手段;其二,攻擊者同樣可以利用Internet上公佈的攻擊特徵庫,在一分鐘之內,使一個入侵檢測系統產生上千條報警。

第二,在網路安全體系結構的設計上,入侵檢測系統通常被部署於防火牆之內。這並不是擔心入侵檢測系統會受到直接攻擊,真正原因是,現有的網路攻擊已經非常頻繁,一個放置於防火牆之外的入侵檢測系統會讓安全管理者沒有片刻的安寧。但這卻是一個設計失誤——被防火牆系統阻攔住的外部攻擊包對於入侵檢測系統進行有效網路攻擊智慧分析具有非常重要的價值。實際上,缺乏有效的資訊源是現有的入侵檢測系統表現“低能”的根本原因。

第三,網路中上演的攻擊和反攻擊與人類戰爭有相似之處,都是攻與防的較量,如果防守者不採取積極防禦措施,永遠只能處於被動挨打局面。具體到入侵檢測系統,積極防禦並不是在發現攻擊者時發送警告,甚至回敬幾個攻擊包“打死”對方,而是一種“欺騙戰術”,其基本思想是,建立一個完整的資訊保護體系,使各種虛假資訊和真實資訊混於一體,從而達到資訊保護的目的。就網路入侵檢測而言,當一個攻擊者在全面摸清了目標網路的詳細情況之後,人們要想防止其進攻幾乎是不可能的。一個攻擊高手往往會用很長時間去探查一個網路,在進行一番詳細偵察之後,攻擊者只須靜待一個新的系統漏洞的出現。例如,如果攻擊者獲悉了Windows 2000伺服器存在的一個堆疊溢位漏洞,他就可能在一分鐘之內,佔領目標主機,並在另外一分鐘之內,控制整個目標網路。

從積極防禦的角度看,保護一個網路必須從兩方面入手。一是在入侵者早期網路偵察時及時發現對方,二是通過回應欺騙資訊給窺探者,並在隨後發生的實際攻擊時準確判定入侵者的身份。以上兩點是相輔相成的。需要指出的是,這種基於欺騙戰術的積極防禦,不同于傳統的陷阱系統設計,大多數安全專家認為,一個配置有誤的陷阱系統無疑是一扇敞開的大門,而且一個被攻佔的陷阱系統會給用戶帶來法律上的麻煩,他們不贊成使用。

積極防禦是有益的嘗試

ActiveDefense(積極防禦)技術是由廣州前衛資訊安全技術有限公司自主研發的技術,它應用在其eDefence 2000入侵檢測系統之中,可以使一個實際網路變得真假難辨。部署於防火牆之外的eDefence 2000系統能夠即時檢測網路攻擊,同時還能夠在入侵者前來窺探時施放各種“煙幕彈”。

該系統另一個與眾不同的設計是,它將檢測系統分為前後兩台機器,後臺系統不再是一個簡單的管理終端,而是一個有著豐富知識庫的專家系統。利用專家系統提供的面向分析推理的規則語言,只須編寫幾條規則,而後存入知識庫,就可以一眼看出入侵者的真面目。一前一後的雙機設計從根本上改善了整個入侵檢測系統的抗攻擊能力。

在網路世界中上演的的攻防戰爭將永遠是一場沒有盡頭、“魔高一尺,道高一丈”的鬥爭。 http://tech.ccidnet.com/pub/article/c322_a206563_p1.html

轉貼–判斷電腦是否中毒(三)

Add comment 一月 14th, 2005

有了病毒的一些基本知識後現在我們就可以來檢查你的電腦中是否含有病毒,要知道這些我們可以按以下幾個方法來判斷。
1、反病毒軟體的掃描法
  這恐怕是我們絕大數朋友首選,也恐怕是唯一的選擇,現在病毒種類是越來越多,隱蔽的手段也越來越高明,所以給查殺病毒帶來了新的難度,也給反病毒軟體發展商帶來挑戰。但隨著電腦程式開發語言的技術性提高、電腦網路越來越普及,病毒的開發和傳播是越來越容易了,因而反病毒軟體發展公司也是越來越多了。但目前比較有名的還是那麼幾個系統的反病毒軟體,如金山毒霸、KV300、KILL、PC-cillin、VRV、瑞星、諾頓等。至於這些反病毒軟體的使用在此就不必說敘了,我相信大家都有這個水平!  
2、觀察法
  這一方法只有在瞭解了一些病毒發作的症狀及常棲身的地方才能準確地觀察到。如硬碟引導時經常出現死機、系統引導時間較長、運行速度很慢、不能訪問硬碟、出現特殊的聲音或提示等上述在第一大點中出現的故障時,我們首先要考慮的是病毒在作怪,但也不能一條胡洞走到底,上面我不是講了軟、硬體出現故障同樣也可能出現那些症狀嘛!對於如屬病毒引起的我們可以從以下幾個方面來觀察:
  a、記憶體觀察
  這一方法一般用在DOS下發現的病毒,我們可用DOS下的“mem/c/p”命令來查看各程式佔用記憶體的情況,從中發現病毒佔用記憶體的情況(一般不單獨佔用,而是依附在其他程式之中),有的病毒佔用記憶體也比較隱蔽,用“mem/c/p”發現不了它,但可以看到總的基本記憶體640K之中少了那麼區區1k或幾K。
  b、註冊表觀察法
  這類方法一般適用於近來出現的所謂黑客程式,如木馬程式,這些病毒一般是通過修改註冊表中的啟動、載入配置來達到自動啟動或載入的,一般是在如下幾個地方實現:

  1. [HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersion]

等等,具體可參考我的另一篇文章——《通通透透看木馬》,在其中對註冊表中可能出現的地方會有一個比較詳盡的分析。
  c、系統配置檔觀察法
  這類方法一般也是適用于黑客類程式,這類病毒一般在隱藏在system.ini 、wini.ini(Win9x/WinME)和啟動組中,在system.ini檔中有一個”shell=”項,而在wini.ini檔中有“load= ”、“run= ”項,這些病毒一般就是在這些專案中載入它們自身的程式的,注意有時是修改原有的某個程式。我們可以運行Win9x/WinME中的msconfig.exe程式來一項一項查看。具體也可參考我的《通通透透看木馬》一文。
  d、特徵字串觀察法
  這種方法主要是針對一些較特別的病毒,這些病毒入侵時會寫相應的特徵代碼,如CIH病毒就會在入侵的檔中寫入“CIH”這樣的字串,當然我們不可能輕易地發現,我們可以對主要的系統檔(如Explorer.exe)運用16進制代碼編輯器進行編輯就可發現,當然編輯之前最好還要要備份,畢竟是主要系統檔。
  e、硬碟空間觀察法
  有些病毒不會破壞你的系統檔,而僅是生成一個隱藏的檔,這個檔一般內容很少,但所占硬碟空間很大,有時大得讓你的硬碟無法運行一般的程式,但是你查又看不到它,這時我們就要打開資源管理器,然後把所查看的內容屬性設置成可查看所有屬性的檔(這方法應不需要我來說吧?),相信這個龐然大物一定會到時顯形的,因為病毒一般把它設置成隱藏屬性的。到時刪除它即可,這方面的例子在我進行電腦網路維護和個人電腦維修過程中見到幾例,明明只安裝了幾個常用程式,為什麼在C盤之中幾個G的硬碟空間顯示就沒有了,經過上述方法一般能很快地讓病毒顯形的。

轉貼–判斷電腦是否中毒(二)

Add comment 一月 14th, 2005

病毒的分類及各自的特徵
  要真正地識別病毒,及時的查殺病毒,我們還有必要對病毒有一番較詳細的瞭解,而且越詳細越好!
  病毒因為由眾多分散的個人或組織單獨編寫,也沒有一個標準去衡量、去劃分,所以病毒的分類可按多個角度大體去分。

如按傳染物件來分,病毒可以劃分為以下幾類:
  a、引導型病毒
  這類病毒攻擊的物件就是磁片的引導磁區,這樣就能使系統在啟動時獲得優先的執行權,從而達到控制整個系統的目的,這類病毒因為感染的是引導磁區,所以造成的損失也就比較大,一般來說會造成系統無法正常啟動,但查殺這類病毒也較容易,多數殺毒軟體都能查殺這類病毒,如KV300、KILL系列等。
  b、檔型病毒
  早期的這類病毒一般是感染以exe、com等為副檔名的可執行檔,這樣的話當你執行某個可執行檔時病毒程式就跟著啟動。近期也有一些病毒感染以dll、ovl、sys等為副檔名的檔,因為這些檔通常是某程式的配置、鏈結檔,所以執行某程式時病毒也就自動被子載入了。它們載入的方法是通過插入病毒代碼整段落或分散插入到這些檔的空白位元組中,如CIH病毒就是把自己拆分成9段嵌入到PE結構的可執行檔中,感染後通常檔的位元組數並不見增加,這就是它的隱蔽性的一面。
  c、網路型病毒
  這種病毒是近幾來網路的高速發展的產物,感染的物件不再局限于單一的模式和單一的可執行檔,而是更加綜合、更加隱蔽。現在一些網路型病毒幾乎可以對所有的OFFICE檔進行感染,如WORD、EXCEL、電子郵件等。其攻擊方式也有轉變,從原始的刪除、修改檔到現在進行檔加密、竊取用戶有用資訊(如黑客程式)等,傳播的途經也發生了質的飛躍,不再局限磁片,而是通過更加隱蔽的網路進行,如電子郵件、電子廣告等。
  d、複合型病毒
  把它歸為“複合型病毒”,是因為它們同時具備了“引導型”和“檔型”病毒的某些特點,它們即可以感染磁片的引導磁區檔,也可以感染某此可執行檔,如果沒有對這類病毒進行全面的清除,則殘留病毒可自我恢復,還會造成引導磁區檔和可執行檔的感染,所以這類病毒查殺難度極大,所用的殺毒軟體要同時具備查殺兩類病毒的功能。

以上是按照病毒感染的物件來分,如果按病毒的破壞程度來分,我們又可以將病毒劃分為以下幾種:
  a、良性病毒:
  這些病毒之所以把它們稱之為良性病毒,是因為它們入侵的目的不是破壞你的系統,只是想玩一玩而已,多數是一些初級病毒發燒友想測試一下自己的開發病毒程式的水平。它們並不想破壞你的系統,只是發出某種聲音,或出現一些提示,除了佔用一定的硬碟空間和CPU處理時間外別無其他壞處。如一些木馬病毒程式也是這樣,只是想竊取你電腦中的一些通訊資訊,如密碼、IP位址等,以備有需要時用。
  b、惡性病毒
  我們把只對軟體系統造成干擾、竊取資訊、修改系統資訊,不會造成硬體損壞、資料丟失等嚴重後果的病毒歸之為“惡性病毒”,這類病毒入侵後系統除了不能正常使用之外,別無其他損失,系統損壞後一般只需要重裝系統的某個部分檔後即可恢復,當然還是要殺掉這些病毒之後重裝系統。
  c、極惡性病毒
  這類病毒比上述b類病毒損壞的程度又要大些,一般如果是感染上這類病毒你的系統就要徹底崩潰,根本無法正常啟動,你保分留在硬碟中的有用資料也可能隨之不能獲取,輕一點的還只是刪除系統檔和應用程式等。
  d、災難性病毒
 這類病毒從它的名字我們就可以知道它會給我們帶來的破壞程度,這類病毒一般是破壞磁片的引導磁區檔、修改檔分配表和硬碟分區表,造成系統根本無法啟動,有時甚至會格式化或鎖死你的硬碟,使你無法使用硬碟。如果一旦染上這類病毒,你的系統就很難恢復了,保留在硬碟中的資料也就很難獲取了,所造成的損失是非常巨大的,所以我們進化論什麼時候應作好最壞的打算,特別是針對企業用戶,應充分作好災難性備份,還好現在大多數大型企業都已認識到備份的意義所在,花鉅資在每天的系統和資料備份上,雖然大家都知道或許幾年也不可能遇到過這樣災難性的後果,但是還是放鬆這“萬一”。我所在的雀巢就是這樣,而且還非常重視這個問題。如98年4.26發作的CIH病毒就可劃歸此類,因為它不僅對軟體造成破壞,更直接對硬碟、主板的BIOS等硬體造成破壞。

如按其入侵的方式來分為以下幾種:
  a、源代碼嵌入攻擊型
  從它的名字我們就知道這類病毒入侵的主要是高階語言的根源程式,病毒是在根源程式編譯之前插入病毒代碼,最後隨根源程式一起被編譯成可執行檔,這樣剛生成的檔就是帶毒檔。當然這類檔是極少數,因為這些病毒開發者不可能輕易得到那些軟體發展公司編譯前的根源程式,況且這種入侵的方式難度較大,需要非常專業的編程水平。
  b、代碼取代攻擊型
  這類病毒主要是用它自身的病毒代碼取代某個入侵程式的整個或部分模組,這類病毒也少見,它主要是攻擊特定的程式,針對性較強,但是不易被發現,清除起來也較困難。
  c、系統修改型
  這類病毒主要是用自身程式覆蓋或修改系統中的某些檔來達到調用或替代作業系統中的部分功能,由於是直接感染系統,危害較大,也是最為多見的一種病毒類型,多為檔型病毒。
  d、外殼附加型
  這類病毒通常是將其病毒附加在正常程式的頭部或尾部,相當於給程式添加了一個外殼,在被感染的程式執行時,病毒代碼先被執行,然後才將正常程式調入記憶體。目前大多數檔型的病毒屬於這一類。

轉貼–判斷電腦是否中毒(一)

Add comment 一月 14th, 2005

各種病毒時至今日也可算是百花齊放了,搞得人心惶惶,一旦發現自己的電腦有點異常就認定是病毒在作怪,到處找殺毒軟體,一個不行,再來一個,總之似乎不找到“元兇”誓不甘休一樣,結果病毒軟體是用了一個又一個,或許為此人民幣是用了一張又一張,還是未見“元兇”的蹤影,其實這未必就是病毒在作怪。
  這樣的例子並不少見,特別是對於一些初級電腦用戶。下面我就結合個人電腦使用及企業網路維護方面的防毒經驗從以下幾個方面給大家介紹介紹如何判斷是否中了病毒,希望對幫助識別“真毒”有一定幫助!

病毒與軟、硬體故障的區別和聯繫
  電腦出故障不只是因為感染病毒才會有的,個人電腦使用過程中出現各種故障現象多是因為電腦本身的軟、硬體故障引起的,網路上的多是由於許可權設置所致。我們只有充分地瞭解兩者的區別與聯繫,才能作出正確的判斷,在真正病毒來了之時才會及時發現。下面我就簡要列出了分別因病毒和軟、硬體故障引起的一些常見電腦故障症狀分析。

症狀 病毒的入侵的可能性 軟、硬體故障的可能性
  經常死機:病毒打開了許多檔或佔用了大量記憶體;不穩定(如記憶體質量差,硬體超頻性能差等);運行了大容量的軟體佔用了大量的記憶體和磁碟空間;使用了一些測試軟體(有許多BUG);硬碟空間不夠等等;運行網路上的軟體時經常死機也許是由於網路速度太慢,所運行的程式太大,或者自己的工作站硬體配置太低。
  系統無法啟動:病毒修改了硬碟的引導資訊,或刪除了某些啟動檔。如引導型病毒引導檔損壞;硬碟損壞或參數設置不正確;系統檔人為地誤刪除等。
  文件打不開:病毒修改了檔格式;病毒修改了檔鏈結位置。文件損壞;硬碟損壞;檔快捷方式對應的鏈結位置發生了變化;原來編輯檔的軟體刪除了;如果是在局域網中多表現為伺服器中檔存放位置發生了變化,而工作站沒有及時涮新服器的內容(長時間打開了資源管理器)。
  經常報告記憶體不夠:病毒非法佔用了大量記憶體;打開了大量的軟體;運行了需記憶體資源的軟體;系統配置不正確;記憶體本就不夠(目前基本記憶體要求為128M)等。
  提示硬碟空間不夠:病毒複製了大量的病毒檔(這個遇到過好幾例,有時好端端的近10G硬碟安裝了一個WIN98或WINNT4.0系統就說沒空間了,一安裝軟體就提示硬碟空間不夠。硬碟每個分區容量太小;安裝了大量的大容量軟體;所有軟體都集中安裝在一個分區之中;硬碟本身就小;如果是在局域網中系統管理員為每個用戶設置了工作站用戶的“私人盤”使用空間限制,因查看的是整個網路盤的大小,其實“私人盤”上容量已用完了。
  軟碟等設備未訪問時出讀寫信號:病毒感染;軟碟取走了還在打開曾經在軟碟中打開過的檔。
  出現大量來歷不明的檔:病毒複製檔;可能是一些軟體安裝中產生的暫存檔案;也或許是一些軟體的配置資訊及運行記錄。
  啟動黑屏:病毒感染(記得最深的是98年的4.26,我為CIH付出了好幾千元的代價,那天我第一次開機到了Windows畫面就死機了,第二次再開機就什麼也沒有了);顯示器故障;顯示卡故障;主板故障;超頻過度;CPU損壞等等
  資料丟失:病毒刪除了檔;硬碟磁區損壞;因恢復檔而覆蓋原文件;如果是在網路上的檔,也可能是由於其他用戶誤刪除了。
  鍵盤或滑鼠無端地鎖死:病毒作怪,特別要留意“木馬”;鍵盤或滑鼠損壞;主板上鍵盤或滑鼠介面損壞;運行了某個鍵盤或滑鼠鎖定程式,所運行的程式太大,長時間系統很忙,表現出按鍵盤或滑鼠不起作用。
  系統運行速度慢:病毒佔用了記憶體和CPU資源,在後臺運行了大量非法操作;硬體配置低;打開的程式太多或太大;系統配置不正確;如果是運行網路上的程式時多數是由於你的機器配置太低造成,也有可能是此時網路上正忙,有許多用戶同時打開一個程式;還有一種可能就是你的硬碟空間不夠用來運行程式時作臨時交換資料用。
  系統自動執行操作:病毒在後臺執行非法操作;用戶在註冊表或啟動組中設置了有關程式的自動運行;某些軟體安裝或升級後需自動重啟系統。
  通過以上的分析對比,我們知道其實大多數故障都可能是由於人為或軟、硬體故障造成的,當我們發現異常後不要急於下斷言,在殺毒還不能解決的情況下,應仔細分析故障的特徵,排除軟、硬體及人為的可能性。

SQL Injection之解決建議措施及相關資訊彙整

Add comment 一月 4th, 2005

漏洞說明:
SQL Injection是一種未做好輸入查驗(Input Validation)的問題,即在撰寫應用程式時,沒有對使用者的輸入做妥善的過濾與處理,便將其組合成SQL指令,傳送給SQL server執行。因而若使用者輸入之資料中含有某些對資料庫系統有特殊意義的符號或命令時,便可能讓使用者有機會對資料庫系統下達指令,而造成入侵所帶來的損失。事實上,這樣的疏漏並不是資料庫系統的錯誤,而是程式設計師或軟體開發者的疏忽所產生的。<
影響平台:
使用網站系統:Apache、IIS、Domino、Netscape
使用程式碼: ASP、PHP、JSP
攻擊破壞SQL資料庫 :包括 MS-SQL、MySQL、Oracle、Sybase、DB2 等等
影響狀況:
. SQL Injection可能造成的危害:透過SQL Injection操作資料庫,可以新增、更動或刪除資料庫的資料,造成資料遺漏或是不正確;如果操作資料庫的使用者權限為系統管理者,那麼還有可能造成其他更嚴重的破壞,例如奪取資料庫的控制權。
.SQL Injection的影響範圍:只要有使用或連結資料庫的軟體、網路服務都有可能面臨SQL Injection的威脅。乍聽之下影響範圍似乎很大,但是大多數的商用軟體並不會有這樣的問題;比較嚴重的可能是網路服務部分,由於網站程式開發者的素質良莠不齊,或是對於資料庫的指令操作與系統管理不熟悉,所以只要有提供表單(Form)輸入介面的網站,都有可能面臨威脅。

解決方案:
.解決之道與預防方法:
1. 對於字串的輸入加以過濾,並限制長度。例如 ‘ 或 ” 這種單、雙引號都應該過濾掉,這樣可以避免輸入者利用 ‘ 或 ” 這種單、雙引號截斷原本的SQL指令再插入自己的指令。過濾的方法依開發語言的不同而有不同的方法,以VB Script/ASP為例,過濾單引號的簡單方法為: SafeString = Replace(InputString, “’”, “'’”)
2. 若輸入為數值資料則須確定其只輸入0~9之數字,若包含其他英文字母或符號則一律拒絕接受。
3. 對於前兩項的檢查必須寫在server端的程式上,如PHP、ASP及其他各種CGI程式,而不能將其寫於Java script或VB script等會於client端執行的程式上,因惡意使用者可將client端程式另存於本地端硬碟後,再將其修改以略過檢查。並且不要在server 上留有.bak或.old檔,若有.inc檔也不要取與主.asp相同或容易猜測之檔名,因為一般網頁伺服器會允許這些檔案的下載。
4. 加強資料庫帳號與權限管理,讓網站或軟體不以系統管理者的帳號連結資料庫,而對每個資料庫設定一組個別的帳號與強健的密碼,限制這組帳號僅能對該資料庫有讀寫權限。當面臨SQL Injection的侵入時,分權管理能夠限制損害的範圍,減少因為疏忽造成的損失。
5. 做好正確錯誤處理,最理想狀態是所有使用者輸入皆在程式設計者預期之中;若萬一出現非預期的情形也要做好例外處理,勿讓使用者直接看到系統傳回的錯誤訊息,以免惡意使用者由系統錯誤訊息中獲取過多資訊。
6. 全面檢視軟體的程式碼。這在一般商用軟體或應用軟體不太可能做到,但是可以詢問軟體廠商這類問題,以確保他們有進行檢查;網站程式的部分,可以請開發的程式設計師做一次全面性的檢查。
7. 各資料庫系統安裝時通常會有一些預先定義的Table,若確定這些Table並不需要使用到,最好予以刪除,以免惡意使用者利用這些Table獲取過多資訊。
8. 做好軟體開發控管。針對每個資料欄位的Input,確實做好檢查的工作,以降低開發出面臨威脅的程式或軟體。
參考資料:
. 相關網址
1. SQL Injection FAQ:
http://www.sqlsecurity.com/faq-inj.asp

2. Input Validation & SQL Injection:
http://www.owasp.org/asac/input_validation/sql.shtml

3. SQL Injection WhitePaper:
http://www.spidynamics.com/whitepapers/WhitepaperSQLInjection.pdf

4. GSN-CERT/CC的安全通報:
http://www.gsn-cert.nat.gov.tw/news_content.phtml?news_id=231

5.Understanding and Preventing SQL Injection Attacks.
http://www.siksoft.co.za/data/sqlinjectionattack.htm

6『資料隱碼』SQL Injection的源由與防範之道 .
http://www.microsoft.com/taiwan/sql/SQL_Injection.htm

7. SQL Injection (資料隱碼)– 駭客的 SQL填空遊戲(上)
http://www.microsoft.com/taiwan/sql/SQL_Injection_G1.htm

8. SQL Injection (資料隱碼)– 駭客的 SQL填空遊戲(下)
http://www.microsoft.com/taiwan/sql/SQL_Injection_G2.htm