2023年7月31日发(作者:)
渗透测试——SSH弱⼝令暴破0x02【信息收集】
⼀、测试对象
攻击机:kali-linux-2017.3-vm-amd64 IP:10.10.10.130
靶机:OWASP Broken Web Apps v0.94 IP:10.10.10.129⼆、测试⼯具
⼯具名称 描述
1. Nmap
nmap是⼀个⽹络连接端扫描软件,⽤来扫描⽹上电脑开放的⽹络连接端。确定哪些服务运⾏在哪些连接端,并且推断计算机运⾏哪个操作系统(这是亦称 fingerprinting)。它是⽹络管理员必⽤的软件之⼀,以及⽤以评估⽹络系统安全。本次测试是利⽤此⼯具进⾏主机信息收集。
2. Metasploit
Metasploit是⼀个免费的、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本⾝附带数百个已知软件漏洞的专业级漏洞攻击⼯具。当H.D. Moore在2003年发布Metasploit时,计算机安全状况也被永久性地改变了。仿佛⼀夜之间,任何⼈都可以成为⿊客,每个⼈都可以使⽤攻击⼯具来攻击那些未打过补丁或者刚刚打过补丁的漏洞。软件⼚商再也不能推迟发布针对已公布漏洞的补丁了,这是因为Metasploit团队⼀直都在努⼒开发各种攻击⼯具,并将它们贡献给所有Metasploit⽤户。本次测试是利⽤此⼯具对⽬标主机进⾏ssh爆破三、被测设备信息情况
1.基本信息
IP 操作系统
1. 10.10.10.129 Linux 2.6.17 - 2.6.36
2.端⼝开放情况 端⼝号 服务 产品版本1. 21/tcp ftp vsftpd 2.2.22. 22/tcp ssh OpenSSH 5.3p1 Debian 3ubuntu4 (Ubuntu Linux; protocol 2.0)
4. 139/tcp netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)5. 143/tcp imap Courier Imapd (released 2008)6. 445/tcp netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)7. 5001/tcp java-rmi Java RMI8. 8080/tcp http Apache Tomcat/Coyote JSP engine 1.13. 80/tcp http Apache httpd 2.2.14 ((Ubuntu) mod_mono/2.4.3 PHP/5.3.2-1ubuntu4.5 with Suhosin-Patch mod_python/3.3.1 Python/2.6.5 mod_【暴破过程】
⼀、 验证局域⽹内部存活主机
打开kali linux系统和渗透所⽤的靶机OWASP Broken Web Apps v0.94。nmap -sP 10.10.10.0/24命令扫描当前局域⽹下256台主机中存活的主机,得知靶机的IP地址为10.10.10.129。 ⼆、 扫描靶机的操作系统
命令nmap -O 10.10.10.129,得到靶机的操作系统及版本号。
三、 扫描靶机的端⼝开放及应⽤程序的版本号
Nmap -sV -Pn 10.10.10.129命令,得到靶机的端⼝开放情况和应⽤程序及其版本号。发现22端⼝开放,其应⽤程序为ssh,可以进⾏ssh弱⼝令爆破。
四、 利⽤Metasploit⼯具进⾏ssh爆破
终端输⼊msfconsole,打开metasploit⼯具。 打开成功后,界⾯显⽰。
五、 利⽤msf ssh_login模块暴⼒破解靶机ssh密码
先打开MSF 进⼊ssh_login模块 show options查看提⽰。本次使⽤⽤户字典和密码字典进⾏ssh爆破。
六、 建⽴⽤户名字典和密码字典
⽤户名长度设为4,全部⼩写英⽂。为了减少爆破时间,⽤户名字典设置特定的⼏个就⾏了。 密码长度设为8,全部⼩写英⽂。为了减少爆破时间,密码字典设置少⼀点。 将和⽂件放在kali linux指定⽬录下。
七、 准备进⾏ssh爆破
设置⽤户名字典和密码字典的路径;设置靶机的IP地址;设置线程为50;开始执⾏。
⼋、 ⼩提⽰
run之后发现,没有显⽰,不要慌;把VERBOSE设置为true,让执⾏过程打印在屏幕上就好了。
九、 ⼤功告成
等待ssh爆破执⾏完毕,发现爆破成功;靶机⽤户名为:root;密码为:owaspbwa。
【防护措施】
SSH爆破的防护措施
1.1系统及⽹络安全
1、定期检查并修复系统漏洞
2、定期修改SSH密码,或配置证书登陆
3、修改SSH端⼝
4、禁Ping
5、若你长期不需要登陆SSH,请在⾯板中将SSH服务关闭
6、安装悬镜、云锁、安全狗等安全软件(只安装⼀个)1.2购买企业运维版,开启安全隔离服务
1、宝塔企业运维版的安全隔离功能是专为拦截暴⼒破解⽽开发的功能
2、安全隔离服务好⽐在您的服务器外⾯建⽴⼀道围场,只允许授权IP进来。1.3⼿动设置建⽴防护措施
1、禁⽌root⽤户ssh登陆;
修改PermitRootLogin项:[root@localhost ~]# vi /etc/ssh/sshd_config[root@localhost ~]# grep Root /etc/ssh/sshd_configPermitRootLogin no ### 将默认的 #PermitRootLogin yes 修改成这样的
the setting of "PermitRootLogin without-password".重启sshd服务Stopping sshd: [ OK ]Starting sshd: [ OK ]2、修改ssh默认端⼝22;
将默认端⼝22修改为⾃定义的2020端⼝[root@localhost ~]# vi /etc/ssh/sshd_config[root@localhost ~]# grep Port /etc/ssh/sshd_configPort 2020
GatewayPorts no在防⽕墙中加⼊2020端⼝的策略[root@localhost ~]# vi /etc/sysconfig/iptables[root@localhost ~]# grep 2020 /etc/sysconfig/iptables-A INPUT -p tcp -m state --state NEW -m tcp --dport 2020 -j ACCEPT重启防⽕墙策略[root@localhost ~]# /etc/init.d/iptables restart
iptables: Setting chains to policy ACCEPT: nat filter [ OK ]iptables: Flushing firewall rules: [ OK ]iptables: Unloading modules: [ OK ]iptables: Applying firewall rules: [ OK ]重启sshd服务[root@localhost ~]# /etc/init.d/sshd restartStopping sshd: [ OK ]Starting sshd: [ OK ]重点介绍第三个⽅法:denyhosts
3、使⽤denyhosts进程限制ssh嗅探;
开启⼀个终端,root登陆login as: rootroot@192.168.10.131's password:Last login: Tue Jul 21 18:54:57 2015 from 192.168.10.101[root@localhost ~]# cat /etc/issueCentOS release 6.5 (Final)Kernel r on an m增加系统⽤户[root@localhost ~]# useradd leekwen
[root@localhost ~]# passwd leekwenChanging password for user password:BAD PASSWORD: it is based on a dictionary wordRetype new password:passwd: all authentication tokens updated successfully.开启另⼀终端,⾮root登陆login as: leekwenleekwen@192.168.10.131's password:Last login: Tue Apr 28 21:27:26 2015 from 192.168.10.100切换为root账号[leekwen@localhost ~]$ su - root
Password:下载DenyHosts⽂件[root@localhost ~]# wget -c /project/denyhosts/denyhosts/2.6/[root@localhost ~]# ls 解压并安装[root@localhost ~]# tar zxf [root@localhost ~]# cd DenyHosts-2.6[root@localhost DenyHosts-2.6]# python install[root@localhost DenyHosts-2.6]# cd /usr/share/denyhosts/[root@localhost denyhosts]# -dist plugins scriptsdaemon-control-dist 修改DenyHosts启动所需的⽂件(进程⽂件及配置⽂件)
.1、⽣成配置⽂件:[root@localhost denyhosts]# cat -dist |grep -v "#" |grep -v "^$" > 2、修改对应策略⽂件:[root@localhost denyhosts]# cat URE_LOG = /var/log/secureHOSTS_DENY = /etc/RGE_DENY = 20mBLOCK_SERVICE = sshdDENY_THRESHOLD_INVALID = 1DENY_THRESHOLD_VALID = 10DENY_THRESHOLD_ROOT = 5DENY_THRESHOLD_RESTRICTED = 1WORK_DIR = /usr/share/denyhosts/dataSUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YESHOSTNAME_LOOKUP=NOLOCK_FILE = /var/lock/subsys/denyhostsADMIN_EMAIL = leekwen@P_HOST = localhostSMTP_PORT = 25SMTP_FROM = DenyHosts
修改权限后,并指定配置⽂件指定到/etc/denyhosts⽬录下[root@localhost denyhosts]# cp daemon-control-dist daemon-control[root@localhost denyhosts]# chown root daemon-control[root@localhost denyhosts]# chmod 700 daemon-control[root@localhost denyhosts]# vi daemon-control[root@localhost ~]# grep DENYHOSTS_CFG daemon-controlDENYHOSTS_CFG = "/etc/denyhosts/" ("--config=%s" % DENYHOSTS_CFG)将denyhosts作为系统服务启动:[root@localhost denyhosts]# cp daemon-control /etc/init.d/denyhosts[root@localhost denyhosts]# chkconfig --add denyhosts[root@localhost denyhosts]# chkconfig denyhosts on[root@localhost denyhosts]# /etc/init.d/denyhosts startstarting DenyHosts: /usr/bin/env python /usr/bin/ --daemon --config=/usr/share/denyhosts/查看⿊名单中的主机IP地址:[root@localhost denyhosts]# cd[root@localhost ~]# tail -n 2 /etc/ DenyHosts: Thu Aug 20 14:45:00 2015 | sshd: 118.187.17.119sshd: 118.187.17.119为主机增加⽩名单地址:
如果你需要将特定的IP增加为⽩名单的话,那么请修改/etc/。
例:我在⾃⼰的⽂件中增加202.101.172.46地址到我系统的⽩名单中:[root@localhost ~]# echo "sshd: 202.101.172.46" >> /etc/弱⼝令攻击的防护措施
避免以上攻击的对策是加强⽤户安全意识,采⽤安全的密码系统,注意系统安全,避免感染间谍软件、⽊马等恶意程序。1.使⽤相对安全的⼝令
(1)不使⽤空⼝令或系统缺省的⼝令,这些⼝令众所周之,为典型的弱⼝令。
(2)⼝令长度不⼩于8 个字符。
(3)⼝令不应该为连续的某个字符(例如:AAAAAAAA)或重复某些字符的组合(例如:.)。
(4)⼝令应该为以下四类字符的组合,⼤写字母(A-Z)、⼩写字母(a-z)、数字(0-9)和特殊字符。每类字
符⾄少包含⼀个。如果某类字符只包含⼀个,那么该字符不应为⾸字符或尾字符。
(5)⼝令中不应包含本⼈、⽗母、⼦⼥和配偶的姓名和出⽣⽇期、纪念⽇期、登录名、E-mail 地址等等与本⼈有关的信息,以及字典中的单词。
(6)⼝令不应该为⽤数字或符号代替某些字母的单词。
(7)⼝令应该易记且可以快速输⼊,防⽌他⼈从你⾝后很容易看到你的输⼊。
(8)⾄少90 天内更换⼀次⼝令,防⽌未被发现的⼊侵者继续使⽤该⼝令。2.检测和防⽌⽹络侦听
⽹络监听是很难被发现的,因为运⾏⽹络监听的主机只是被动地接收在局域⽹上传输的信息,不主动的与其他主机交换信息,也没有修改在⽹上传输的数据包。即便如此,仍然有⼀些⽅法可以⽤来检测和防⽌⽹络侦听。检测监听:
虽然处于混杂模式下的主机并不会主动向外发送任何显露其嗅探特征的数据包,但在某些情况下,可通过⼀些外部诱因, 使隐藏在暗处的监听器显露出来。
(1) 对于怀疑运⾏监听程序的机器, 构造⼀种正确的 IP 地址和错误的物理地址的 ICMP
数据包去ping ,运⾏监听程序的机器会有响应。这是因为正常的机器不接收错误物理地址的数据包,处于监听状态的机器能接收,如果他的 IP stack 不再次反向检查的话,就会对这个 ping 的包做出回应;
(2) 观测 DNS。许多的⽹络监听软件都会尝试进⾏地址反向解析,在怀疑有⽹络监听发⽣时可以在 DNS服务器上观测有没有明显增多的解析请求;
(3) 使⽤反监听⼯具如 ant sniffer 等进⾏检测。防⽌监听
(1) 利⽤虚拟局域⽹(VLAN)
对⽹络分段⽹络分段不仅能⽤于控制⽹络⼴播风暴, 也是保证⽹络安全的⼀项措施。 利⽤⽹络分段可将⾮法⽤户与敏感的⽹络资源相互隔离, 从⽽防⽌可能的⾮法监听。
(2) 建⽴交换式⽹络
由于共享式局域⽹基于⼴播⽅式来发送数据,易于监听, 将给⽹络安全带来极⼤的威胁。因此利⽤交换机构建交换式局域⽹,可以有效降低⽹络监听的风险。
(3) 使⽤加密技术
在通信线路上传输的⼀些敏感信息如⽤户的账号和⼝令等,如果没有经过处理,⼀旦被监听⼯具(如 Sniffer )截获,就会造成这些敏感信息的泄露。解决的⽅法之⼀就是利⽤加密技术,对敏感信息进⾏加密,攻击者即使通过监听截获了传送的信息,但信息以密⽂显⽰,很难轻易获得有⽤信息。
(4) 使⽤⼀次性⼝令
通常的计算机⼝令是静态的,也就是说在⼀定时间内是不变的,⽽且可重复使⽤,极易被⽹络嗅探窃取。有鉴于此,可使⽤ S/key 等⼀次性⼝令技术。
2023年7月31日发(作者:)
渗透测试——SSH弱⼝令暴破0x02【信息收集】
⼀、测试对象
攻击机:kali-linux-2017.3-vm-amd64 IP:10.10.10.130
靶机:OWASP Broken Web Apps v0.94 IP:10.10.10.129⼆、测试⼯具
⼯具名称 描述
1. Nmap
nmap是⼀个⽹络连接端扫描软件,⽤来扫描⽹上电脑开放的⽹络连接端。确定哪些服务运⾏在哪些连接端,并且推断计算机运⾏哪个操作系统(这是亦称 fingerprinting)。它是⽹络管理员必⽤的软件之⼀,以及⽤以评估⽹络系统安全。本次测试是利⽤此⼯具进⾏主机信息收集。
2. Metasploit
Metasploit是⼀个免费的、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本⾝附带数百个已知软件漏洞的专业级漏洞攻击⼯具。当H.D. Moore在2003年发布Metasploit时,计算机安全状况也被永久性地改变了。仿佛⼀夜之间,任何⼈都可以成为⿊客,每个⼈都可以使⽤攻击⼯具来攻击那些未打过补丁或者刚刚打过补丁的漏洞。软件⼚商再也不能推迟发布针对已公布漏洞的补丁了,这是因为Metasploit团队⼀直都在努⼒开发各种攻击⼯具,并将它们贡献给所有Metasploit⽤户。本次测试是利⽤此⼯具对⽬标主机进⾏ssh爆破三、被测设备信息情况
1.基本信息
IP 操作系统
1. 10.10.10.129 Linux 2.6.17 - 2.6.36
2.端⼝开放情况 端⼝号 服务 产品版本1. 21/tcp ftp vsftpd 2.2.22. 22/tcp ssh OpenSSH 5.3p1 Debian 3ubuntu4 (Ubuntu Linux; protocol 2.0)
4. 139/tcp netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)5. 143/tcp imap Courier Imapd (released 2008)6. 445/tcp netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)7. 5001/tcp java-rmi Java RMI8. 8080/tcp http Apache Tomcat/Coyote JSP engine 1.13. 80/tcp http Apache httpd 2.2.14 ((Ubuntu) mod_mono/2.4.3 PHP/5.3.2-1ubuntu4.5 with Suhosin-Patch mod_python/3.3.1 Python/2.6.5 mod_【暴破过程】
⼀、 验证局域⽹内部存活主机
打开kali linux系统和渗透所⽤的靶机OWASP Broken Web Apps v0.94。nmap -sP 10.10.10.0/24命令扫描当前局域⽹下256台主机中存活的主机,得知靶机的IP地址为10.10.10.129。 ⼆、 扫描靶机的操作系统
命令nmap -O 10.10.10.129,得到靶机的操作系统及版本号。
三、 扫描靶机的端⼝开放及应⽤程序的版本号
Nmap -sV -Pn 10.10.10.129命令,得到靶机的端⼝开放情况和应⽤程序及其版本号。发现22端⼝开放,其应⽤程序为ssh,可以进⾏ssh弱⼝令爆破。
四、 利⽤Metasploit⼯具进⾏ssh爆破
终端输⼊msfconsole,打开metasploit⼯具。 打开成功后,界⾯显⽰。
五、 利⽤msf ssh_login模块暴⼒破解靶机ssh密码
先打开MSF 进⼊ssh_login模块 show options查看提⽰。本次使⽤⽤户字典和密码字典进⾏ssh爆破。
六、 建⽴⽤户名字典和密码字典
⽤户名长度设为4,全部⼩写英⽂。为了减少爆破时间,⽤户名字典设置特定的⼏个就⾏了。 密码长度设为8,全部⼩写英⽂。为了减少爆破时间,密码字典设置少⼀点。 将和⽂件放在kali linux指定⽬录下。
七、 准备进⾏ssh爆破
设置⽤户名字典和密码字典的路径;设置靶机的IP地址;设置线程为50;开始执⾏。
⼋、 ⼩提⽰
run之后发现,没有显⽰,不要慌;把VERBOSE设置为true,让执⾏过程打印在屏幕上就好了。
九、 ⼤功告成
等待ssh爆破执⾏完毕,发现爆破成功;靶机⽤户名为:root;密码为:owaspbwa。
【防护措施】
SSH爆破的防护措施
1.1系统及⽹络安全
1、定期检查并修复系统漏洞
2、定期修改SSH密码,或配置证书登陆
3、修改SSH端⼝
4、禁Ping
5、若你长期不需要登陆SSH,请在⾯板中将SSH服务关闭
6、安装悬镜、云锁、安全狗等安全软件(只安装⼀个)1.2购买企业运维版,开启安全隔离服务
1、宝塔企业运维版的安全隔离功能是专为拦截暴⼒破解⽽开发的功能
2、安全隔离服务好⽐在您的服务器外⾯建⽴⼀道围场,只允许授权IP进来。1.3⼿动设置建⽴防护措施
1、禁⽌root⽤户ssh登陆;
修改PermitRootLogin项:[root@localhost ~]# vi /etc/ssh/sshd_config[root@localhost ~]# grep Root /etc/ssh/sshd_configPermitRootLogin no ### 将默认的 #PermitRootLogin yes 修改成这样的
the setting of "PermitRootLogin without-password".重启sshd服务Stopping sshd: [ OK ]Starting sshd: [ OK ]2、修改ssh默认端⼝22;
将默认端⼝22修改为⾃定义的2020端⼝[root@localhost ~]# vi /etc/ssh/sshd_config[root@localhost ~]# grep Port /etc/ssh/sshd_configPort 2020
GatewayPorts no在防⽕墙中加⼊2020端⼝的策略[root@localhost ~]# vi /etc/sysconfig/iptables[root@localhost ~]# grep 2020 /etc/sysconfig/iptables-A INPUT -p tcp -m state --state NEW -m tcp --dport 2020 -j ACCEPT重启防⽕墙策略[root@localhost ~]# /etc/init.d/iptables restart
iptables: Setting chains to policy ACCEPT: nat filter [ OK ]iptables: Flushing firewall rules: [ OK ]iptables: Unloading modules: [ OK ]iptables: Applying firewall rules: [ OK ]重启sshd服务[root@localhost ~]# /etc/init.d/sshd restartStopping sshd: [ OK ]Starting sshd: [ OK ]重点介绍第三个⽅法:denyhosts
3、使⽤denyhosts进程限制ssh嗅探;
开启⼀个终端,root登陆login as: rootroot@192.168.10.131's password:Last login: Tue Jul 21 18:54:57 2015 from 192.168.10.101[root@localhost ~]# cat /etc/issueCentOS release 6.5 (Final)Kernel r on an m增加系统⽤户[root@localhost ~]# useradd leekwen
[root@localhost ~]# passwd leekwenChanging password for user password:BAD PASSWORD: it is based on a dictionary wordRetype new password:passwd: all authentication tokens updated successfully.开启另⼀终端,⾮root登陆login as: leekwenleekwen@192.168.10.131's password:Last login: Tue Apr 28 21:27:26 2015 from 192.168.10.100切换为root账号[leekwen@localhost ~]$ su - root
Password:下载DenyHosts⽂件[root@localhost ~]# wget -c /project/denyhosts/denyhosts/2.6/[root@localhost ~]# ls 解压并安装[root@localhost ~]# tar zxf [root@localhost ~]# cd DenyHosts-2.6[root@localhost DenyHosts-2.6]# python install[root@localhost DenyHosts-2.6]# cd /usr/share/denyhosts/[root@localhost denyhosts]# -dist plugins scriptsdaemon-control-dist 修改DenyHosts启动所需的⽂件(进程⽂件及配置⽂件)
.1、⽣成配置⽂件:[root@localhost denyhosts]# cat -dist |grep -v "#" |grep -v "^$" > 2、修改对应策略⽂件:[root@localhost denyhosts]# cat URE_LOG = /var/log/secureHOSTS_DENY = /etc/RGE_DENY = 20mBLOCK_SERVICE = sshdDENY_THRESHOLD_INVALID = 1DENY_THRESHOLD_VALID = 10DENY_THRESHOLD_ROOT = 5DENY_THRESHOLD_RESTRICTED = 1WORK_DIR = /usr/share/denyhosts/dataSUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YESHOSTNAME_LOOKUP=NOLOCK_FILE = /var/lock/subsys/denyhostsADMIN_EMAIL = leekwen@P_HOST = localhostSMTP_PORT = 25SMTP_FROM = DenyHosts
修改权限后,并指定配置⽂件指定到/etc/denyhosts⽬录下[root@localhost denyhosts]# cp daemon-control-dist daemon-control[root@localhost denyhosts]# chown root daemon-control[root@localhost denyhosts]# chmod 700 daemon-control[root@localhost denyhosts]# vi daemon-control[root@localhost ~]# grep DENYHOSTS_CFG daemon-controlDENYHOSTS_CFG = "/etc/denyhosts/" ("--config=%s" % DENYHOSTS_CFG)将denyhosts作为系统服务启动:[root@localhost denyhosts]# cp daemon-control /etc/init.d/denyhosts[root@localhost denyhosts]# chkconfig --add denyhosts[root@localhost denyhosts]# chkconfig denyhosts on[root@localhost denyhosts]# /etc/init.d/denyhosts startstarting DenyHosts: /usr/bin/env python /usr/bin/ --daemon --config=/usr/share/denyhosts/查看⿊名单中的主机IP地址:[root@localhost denyhosts]# cd[root@localhost ~]# tail -n 2 /etc/ DenyHosts: Thu Aug 20 14:45:00 2015 | sshd: 118.187.17.119sshd: 118.187.17.119为主机增加⽩名单地址:
如果你需要将特定的IP增加为⽩名单的话,那么请修改/etc/。
例:我在⾃⼰的⽂件中增加202.101.172.46地址到我系统的⽩名单中:[root@localhost ~]# echo "sshd: 202.101.172.46" >> /etc/弱⼝令攻击的防护措施
避免以上攻击的对策是加强⽤户安全意识,采⽤安全的密码系统,注意系统安全,避免感染间谍软件、⽊马等恶意程序。1.使⽤相对安全的⼝令
(1)不使⽤空⼝令或系统缺省的⼝令,这些⼝令众所周之,为典型的弱⼝令。
(2)⼝令长度不⼩于8 个字符。
(3)⼝令不应该为连续的某个字符(例如:AAAAAAAA)或重复某些字符的组合(例如:.)。
(4)⼝令应该为以下四类字符的组合,⼤写字母(A-Z)、⼩写字母(a-z)、数字(0-9)和特殊字符。每类字
符⾄少包含⼀个。如果某类字符只包含⼀个,那么该字符不应为⾸字符或尾字符。
(5)⼝令中不应包含本⼈、⽗母、⼦⼥和配偶的姓名和出⽣⽇期、纪念⽇期、登录名、E-mail 地址等等与本⼈有关的信息,以及字典中的单词。
(6)⼝令不应该为⽤数字或符号代替某些字母的单词。
(7)⼝令应该易记且可以快速输⼊,防⽌他⼈从你⾝后很容易看到你的输⼊。
(8)⾄少90 天内更换⼀次⼝令,防⽌未被发现的⼊侵者继续使⽤该⼝令。2.检测和防⽌⽹络侦听
⽹络监听是很难被发现的,因为运⾏⽹络监听的主机只是被动地接收在局域⽹上传输的信息,不主动的与其他主机交换信息,也没有修改在⽹上传输的数据包。即便如此,仍然有⼀些⽅法可以⽤来检测和防⽌⽹络侦听。检测监听:
虽然处于混杂模式下的主机并不会主动向外发送任何显露其嗅探特征的数据包,但在某些情况下,可通过⼀些外部诱因, 使隐藏在暗处的监听器显露出来。
(1) 对于怀疑运⾏监听程序的机器, 构造⼀种正确的 IP 地址和错误的物理地址的 ICMP
数据包去ping ,运⾏监听程序的机器会有响应。这是因为正常的机器不接收错误物理地址的数据包,处于监听状态的机器能接收,如果他的 IP stack 不再次反向检查的话,就会对这个 ping 的包做出回应;
(2) 观测 DNS。许多的⽹络监听软件都会尝试进⾏地址反向解析,在怀疑有⽹络监听发⽣时可以在 DNS服务器上观测有没有明显增多的解析请求;
(3) 使⽤反监听⼯具如 ant sniffer 等进⾏检测。防⽌监听
(1) 利⽤虚拟局域⽹(VLAN)
对⽹络分段⽹络分段不仅能⽤于控制⽹络⼴播风暴, 也是保证⽹络安全的⼀项措施。 利⽤⽹络分段可将⾮法⽤户与敏感的⽹络资源相互隔离, 从⽽防⽌可能的⾮法监听。
(2) 建⽴交换式⽹络
由于共享式局域⽹基于⼴播⽅式来发送数据,易于监听, 将给⽹络安全带来极⼤的威胁。因此利⽤交换机构建交换式局域⽹,可以有效降低⽹络监听的风险。
(3) 使⽤加密技术
在通信线路上传输的⼀些敏感信息如⽤户的账号和⼝令等,如果没有经过处理,⼀旦被监听⼯具(如 Sniffer )截获,就会造成这些敏感信息的泄露。解决的⽅法之⼀就是利⽤加密技术,对敏感信息进⾏加密,攻击者即使通过监听截获了传送的信息,但信息以密⽂显⽰,很难轻易获得有⽤信息。
(4) 使⽤⼀次性⼝令
通常的计算机⼝令是静态的,也就是说在⼀定时间内是不变的,⽽且可重复使⽤,极易被⽹络嗅探窃取。有鉴于此,可使⽤ S/key 等⼀次性⼝令技术。
发布评论