宽带帐号安全威胁及防范方法
一年来我国宽带用户迅猛增长,宽带给家庭用户带来了信息相同的方便,但是宽带帐号被盗用等安全题目日益突出。黑客盗用宽带帐号进行网上消耗,使宽带用户蒙受经济损失,也给我国宽带的生长带来了负面影响。宽带用户应进步网络安全意识,并接纳强化体系、限制开放端口、关闭共享等相应的技术防备步伐,以防备黑客侵入盘算机,减少或避免因帐号被盗用而孕育产生的经济损失。
1、题目的孕育产生
宽带的生长给人们带来了信息勾结的方便,但也孕育产生了一些题目。近一个时期以来,许多中国电信ADSL宽带用户在绝不知情、毫无防备的环境下,帐号被人盗用后进行QQ币冲值、玩盛大网络游戏及其他消耗的事变时有产生。笔者是ADSL宽带包月用户,在 2005年5月份的网费单中凭空多出100元 “互联星空”用度。经过多方查询发现这100元来自互联星空所团结的浩繁SP(Service Provider服务提供商)之一“腾讯科技有限公司”,重要用于QQ帐户充值消耗。通过与消耗的QQ号聊天,得知他是通过“互联星空一点通”进入ADSL帐号进行消耗的。
“互联星空一点通”是面向电信宽带帐号用户推出的一项登陆功效。宽带帐号用户使用本身的宽带帐号访问互联星空服务网站时,无须再输出帐号名和密码,只需点击“互联星空一点通”按钮,即可安全登录,并直接使用互联星空合作同伴提供的相关产物和服务。既然是安全登录,又怎样会呈现帐号丢钱的事变呢。
2、宽带帐号用度超支的缘故原由阐发
当前,电信部门为了防备用户的宽带帐号被盗取,曾经在技术上做了许多防备,比如将宽带帐号和拨号的电话号码捆绑到一起,乃至将宽带帐号和盘算机网卡的MAC地点捆绑在一起,让帐号只能在固定的电脑或电话线路上使用,其他中央不能用绑定的帐号上彀。许多用户尤其是对盘算机网络安全不是很专业的用户都认为这曾经很安全了,帐号不会被人十拿九稳地盗取了,可是究竟并非云云,要是你没有很好的网络安全意识,不对本身的电脑作出须要的安全防备,电脑黑客可以很方便侵入你的电脑,进行长途盗用ADSL帐号,乃至盗取你盘算机中的紧张材料。
电脑黑客可以利用开放端口和弱口令乃至空口令毛病侵入用户电脑。黑客可以通过QQ获取对方网段(或直接获取IP),利用扫描东西(例如: Superscan、X-scan等)扫描用户盘算机端口并获取IP,再运转客户端毗连东西(例如:冰河2.2)侵入用户电脑,只需你的网络是通过宽带帐号曾经拨通的,他们就可以利用互联星空的“互联星空一点通”功效直接进行长途消耗。家里的小孩和朋侪通过你在家里拨通的ADSL帐号,也能利用 “互联星空一点通”功效进入互联星空去订购种种服务。
由于互联星空为每一位宽带用户提供了至少100元的可以预支消耗的“庞枚疃取保庑┖诳突蚣依锏暮⒆用蔷涂梢晕匏思傻脑谕缋锾崆跋蚜耍芏嘤没е挥性诮环咽辈呕岱⑾肿约阂鹑寺虻チ恕?br />
“互联星空一点通”是面向电信宽带帐号用户推出的一项登陆功效。宽带帐号用户使用本身的宽带帐号访问互联星空服务网站时,无须再输出帐号名和密码,只需点击“互联星空一点通”按钮,即可安全登录,并直接使用互联星空合作同伴提供的相关产物和服务。既然是安全登录,又怎样会呈现帐号丢钱的事变呢。
2、宽带帐号用度超支的缘故原由阐发
当前,电信部门为了防备用户的宽带帐号被盗取,曾经在技术上做了许多防备,比如将宽带帐号和拨号的电话号码捆绑到一起,乃至将宽带帐号和盘算机网卡的MAC地点捆绑在一起,让帐号只能在固定的电脑或电话线路上使用,其他中央不能用绑定的帐号上彀。许多用户尤其是对盘算机网络安全不是很专业的用户都认为这曾经很安全了,帐号不会被人十拿九稳地盗取了,可是究竟并非云云,要是你没有很好的网络安全意识,不对本身的电脑作出须要的安全防备,电脑黑客可以很方便侵入你的电脑,进行长途盗用ADSL帐号,乃至盗取你盘算机中的紧张材料。
电脑黑客可以利用开放端口和弱口令乃至空口令毛病侵入用户电脑。黑客可以通过QQ获取对方网段(或直接获取IP),利用扫描东西(例如: Superscan、X-scan等)扫描用户盘算机端口并获取IP,再运转客户端毗连东西(例如:冰河2.2)侵入用户电脑,只需你的网络是通过宽带帐号曾经拨通的,他们就可以利用互联星空的“互联星空一点通”功效直接进行长途消耗。家里的小孩和朋侪通过你在家里拨通的ADSL帐号,也能利用 “互联星空一点通”功效进入互联星空去订购种种服务。
由于互联星空为每一位宽带用户提供了至少100元的可以预支消耗的“信用额度”,这些黑客或家里的孩子们就可以无所忌惮的在网络里提早消耗了,往往许多用户只要在交费时才会发现本身要为他人买单了。
3、宽带帐号安全的防备步伐
针对以上环境,笔者特提出以下几点防备步伐:
⑴ 刊出互联星空帐号或取消信用额度
宽带用户要是不打算使用互联星空,应尽快到电信业务厅请求销户或登陆互联星空网站www.chinavnet.com, 在“我的星空”---“我的帐户”---“我要销户”栏目请求刊出。如发现帐号被他人盗用,立刻修改本身的adsl帐号密码,并在“互联星空”的“我的星空”下及时取消所有订购的服务。
⑵ 强化体系,防备黑客入侵
强化体系:及时晋级操纵体系或打补丁以修补体系毛病;减少电脑办理员人数;设置安全选项---不表现上次用户名;不要打开来路不明的电子邮件及软件程序,不要回生疏人的邮件;电脑要安置使用须要的防黑软件、防火墙和杀毒软件,并连结定期更新,及时查杀电脑病毒和木马,阻止黑客侵入电脑。一样平常来说,采用一些功效壮大的反黑软件和软件防火墙来包管我们的体系安全。
强化口令:正确设置办理员密码(体系开秘密码)和adsl上彀密码;数字与字母混合编排,同时包含多品种型的字符,比如大写字母、小写字母、数字、标点标记(@,#,!,$,%,& …);密码应该不少于8个字符;禁用ADSL拨号软件记着密码的功效,即不勾选“记着密码”项。
⑶ 限制开放端口,防备合法入侵
通过限制端口来防备合法入侵,关闭相应开放端口,比如3389端口。简单说来,合法入侵的重要方法可大略分为2种。(1)扫描端口,通过已知的体系Bug攻入主机。(2)种植木马,利用木马开辟的后门进入主机。要是能限制这两种合法入侵方法,就能有效防备利用黑客东西的合法入侵。而且这两种合法入侵方法有一个配合点,就是通过端口进入主机。要想防备被黑就要关闭这些伤害端口,对于个人用户来说,您可以限制所有的端口,因为您基础不用让您的机器对外提供任何服务;而对于对外提供网络服务的服务器,我们需把必须利用的端口(比如WWW端口80、FTP端口21、邮件服务端口25、110等)开放,其他的端口则全部关闭。
139端口是NetBIOS Session端口,用于文件和打印共享,值得注意的是运转samba的unix机器也开放了139端口,功效一样。这个端口是黑客比力喜好利用的端口之一。关闭139端口要领是在“网络和拨号毗连”窗口中“本地毗连”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”选项“WINS设置”内里有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。 对于个人用户来说,可以在各项服务属性设置中设为“禁用”,以免下次重启时服务也重新启动,端口也随之开放。
3389端口,网络办理员可以通过它长途对安置有Windows Server或Windows XP的电脑进行办理和维护,黑客或合法打击者也能较方便地获得服务器中的超等办理员账号。在Windows xp中关闭的要领是:我的电脑上点右键选属性-->长途,将内里的长途帮忙和长途桌面两个选项框里的勾去失。在Win2000 server中关闭的要领是: 开始-->程序-->办理东西-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该要领在XP中同样实用)
4899端口其实是一个长途控制软件所开启的服务端端口,由于这些控制软件功效壮大,所以经常被黑客用来控制本身的肉鸡,而且这类软件一样平常不会被杀毒软件查杀,比后门还要安全。4899不是体系自带的服务,必要本身安置,而且必要将服务端上传到入侵的电脑并运转服务,才能达到控制的目标。所以只需你的电脑做了基本的安全配置,黑客很难通过4899来控制你。
对于采用Windows 2000或者Windows XP的用户来说,不用要安置任何其他软件,可以利用“TCP/IP筛选”功效限制服务器的端口。具体设置(关闭的要领)如下:点击“开始→控制面板→网络毗连→本地毗连→右键→属性”,然后选择“Internet(tcp/ip)”→“属性”,。在“Internet(tcp/ip)属性”对话框中选择“高级”选项卡。在“高级TCP/IP设置”对话框中点选“选项”→“TCP/IP筛选”→“属性”,。在这里分为3项,分别是TCP、UDP、IP协议。假设我的体系只想开放21、80、25、110这4个端口,只需在“TCP端口”上勾选“只允许”然后点击“添加”顺次把这些端口添加到内里,然后确定。注意:修改完当前体系会提示重新启动,如许设置才会生效。如许,体系重新启动当前只会开放刚才你所选的那些端口,其它端口都不会开放。
⑷ 关闭默认共享,禁止空毗连
当前家用电脑所使用的操纵体系少数为Win XP 和Win2000 pro,这两个体系提供的默认共享(IPC$,C$,D$,ADMIN$等)是黑客最喜好利用的入侵途径,宽带用户可以运转CMD输出net share来查看本机的共享,要是看到有十分的共享,那么应该关闭。但是偶然你关闭共享下次开机的时候又呈现了,那么你应该考虑一下,你的机器是否曾经被黑客所控制了,或者中了病毒。
关闭默认共享可以使用net share 默认共享名 /delete 命令(如 net share C$ /delete),但是这种要领关闭共享后下次开机的时候又呈现了,所以要是宽带用户不在局域网内使用共享服务,爽性将“本地毗连‘属性中的“网络的文件和打印机共享 ”卸载失,默认共享就可以彻底被关闭了。
禁止建立空毗连的要领是:起首运转regedit,在注册表中找到如下主键[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\LSA]把RestrictAnonymous(DWORD)的键值由0改为1。
⑸ 使用入侵检测本领,及时防备入侵
最为罕见的木马通常都是基于TCP/UDP协议进行client端与server端之间的通讯的,既然利用到这两个协议,就不行避免要在server端(就是被种了木马的机器)打开监听端口来等候毗连。我们可以利用查看本机开放端口的要领来检查本身是否被种了木马或其它黑客程序。
我们使用 Windows本身自带的netstat命令(详细要领可使用 netstat /?命令查询)和在windows2000下的命令行东西fport,可以较为有效地看到盘算机开放的端口,以及通过开放端口运转的一些可疑程序。及时关闭这些端口,删除这些可疑程序,就能较为有效地包管盘算机体系的安全性。
4、结束语
宽带上彀安全题目的孕育产生,既有宽带运营商、网络服务商、内容提供商在网络安全策略设计和技术实施方面的缘故原由,也有宽带用户自身安全意识、安全步伐不到位的缘故原由,另有我国网络立法滞后、呈现题目无法可依的缘故原由。办理宽带上彀安全题目,必要多方面配合高兴,宽带用户应进步网络安全意识,并接纳强化体系、限制开放端口、关闭共享等相应的技术防备步伐,以防备黑客侵入盘算机,减少或避免因帐号被盗用而孕育产生的经济损失。
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
隐蔽的伤害 —从电信角度来看宽带安全
记得张楚有句歌词:“隐蔽的伤害,变得很凶险“,最近怎样觉着这首名为“小人“的摇滚是写给网络犯法的。随着网络化步调的加快,网络曾经成为我们生存中的一部分,宽带对应的安全题目日益突出,各人在谈论宽带题目,往往爱谈论个人用户应该怎样注意掩护本身的账号完全,但是安全题目 只是个人用户形成的吗,这篇文章从另一个角度,以宽带题目为切入点,通过对某省的电信网上计费网站安全测试及获取电信的办理帐号历程这一案例,深度剖析现在源于电信宽带的种种隐患。
宽带安全题目抛开个人用户的种种题目,从电信角度来说:现有网络硬件设置装备摆设不能满足现有需求,形成用户认证困难:倘使现在每个宽带账号和电话线路都可以绑定,真正做到一个账号只能在一条线路上使用,彷佛现在许多安全题目都可以办理了。但现在的环境不是如许子的:在种种账号安全题目中,合法共享和盗用以及合法用户追踪困难的缘故原由,重要是因为电信运营商没有对宽带用户账号安全提供限制和牢靠的掩护,无法构成对宽带用户的独一的标志。市场经济下,投资本钱和利润回报影响各个行业的决策,电信也不例外,现在国内整个宽带网络的认证和计费体系重要由BRAS设置装备摆设和RadiusServer设置装备摆设来配合完成,基于当前的城域网,而VLAN资源不敷致使多个用户共用一个VLAN的网络近况。根据现在网络近况开辟的PITP协议、PPPoE+协议、DHCPOption82等技术就是为了办理这一题目。
当然,这些方法固然可以办理用户独一标志题目,但无法在国内统一,缘故原由其一就是本钱题目:本钱包含两部分:现有设置装备摆设投资还没有发出,新技术投资收益还不能确定;其二就是由于中国的各地生长不均衡,改造起来很困难。对此我们应多给些工夫,相信不久就会办理这个题目。从电信角度说,对于盗用账户的 办理要领现在重要有两个要领:
办理要领一,MAC地点绑定办理方案,电信运营商可以在RadiusServer大将用户上彀盘算机的MAC地点同用户上彀账号进行独一性绑定,利用MAC的独一性,从而限制上彀账号的独一使用性。
用户在进行PPPoE拨号毗连的时候,BRAS设置装备摆设获取用户的上彀账号以及上彀盘算机的MAC地点,然后通过标准Radius协议将用户账号和MAC上报给RadiusServer,由Radiusserver完成账号和MAC地点一一对应的判别事变。由于MAC地点的独一性,用户无法进行账号的合法共享或周游,同时盗用的上彀账号也无法使用。简双方便,无须改造现有网络结谈判DSLAM设置装备摆设,只需BRAS设置装备摆设能根据标准Radius协议上报用户账号和用户盘算机MAC地点给RadiusServer,这一点现在的BRAS设置装备摆设都能够做到。不过Radiusserver真个维护事变量很大,必要经常维护庞大的用户MAC地点表;而且一旦用户调换电脑或者调换网卡都必须在Radiusserver上进行重新绑定,带来额外的事变量和用户赞扬;同时对多个用户共用一个VLAN上行的组网形式,二层接入网络的用户安全隔离和广播报文控制也必要额外的办理方案。
要领二LAN或PVC绑定办理方案,VLAN或PVC绑定办理方案是在RadiusServer上对用户的宽带上彀账号同接入用户的VLAN或PVC进行绑定。在宽带拨号用户进行拨号时,BRAS设置装备摆设将接入用户的VLAN或PVC信息通过标准Radius协议上报给RadiusServer,由RadiusServer完成用户上彀账号同VLAN或PVC的独一性鉴别事变。显然,VLAN或PVC绑定办理方案在技术要求和宽带网络建网历程中,将每个用户分别为一个单独的VLAN或者PVC。现在,在实际的组网中,ATM-DSLAM都采用一个用户一条PVC方法接入,十分容易实现用户账号同PVC的独一性绑定;为每个接入的宽带用户分派不同的VLAN标志,实现了用户上彀账号同VLAN独一性绑定,避免账号公用和盗用题目。用户间通过VLAN或PVC隔离也可有效地办理二层接入网络广播风暴题目。硬件上的题目不是最令人心的,从生长的角度,可以很快办理,可有些软题目却比力令人担忧。
电信部门的办理的软题目:记得2000年初打仗到宽带,接宽带时谁人电信人员说“宽带密码不存在安全题目,只要你的电话能用“,中国的宽带账户安全看法也在这种看法中生长,如许无形中养成宽带用户的安全意识匮乏,作育了中国的宽带生长中的天赋不良。我就以这几天测试的某省的电信网上宽带免费网站为例子,谈谈这个题目:进入该网站后,找到计费业务版块。
这里就袒露了一个历史遗留题目:宽带用户的用户名密码容易被猜解题目: 一直以来电信出于办理方便角度,对用户名许多都以电话号码为基数,加上其他一些简易字母,后边加上诸如@163等的后缀,密码几乎都是电话号码,
用通式来表达: 帐户名:城市称号缩写(如 bj)+电话号码(如 12345678)+@+后缀(如 163) ,密码: 电话号码(注意:此处就是账户里的电话号码)也就是说只需知道某城市一个宽带账号 ,只必要略微变动下电话号码就可以猜到其他人的账号,帐户名及其他部分都无需改动,密码和电话号码一致。无论手动枚举还是软件实现都十分简单。这个网上业务厅另一个大题目也陪同而生:不是每个电话号码都办理了宽带,当你猜解账号错误时,它并不会接纳什么安全策略,限制你输出次数,也就是说,可以无穷枚举,而不会封失你的ip。这个题目可以说要挟一个城市的所有宽带用户。猜解乐成后,进入账号办理界面用户的上彀拨号日志及其他材料会袒露隐私。
善于利用的破解者乃至可以利用阐发日至避开账号所有者的使用工夫而不会被发现:账号被猜解后,破解者可以在“修改密码“处修改密码,令账号的真正主人不能拨号。轻则他人用你的账号拨号,形成你短期不能拨号上彀,重则形成你经济损失:为他人的网上消耗支付金钱:如现在盛行的在线影院,在线信息查询,在线充值,在线购物功效都可以通过宽带付费,种种在线业务都有个特点,那就是和电信挂钩:究其缘故原由,最终被消耗钱是必要电信中转的,往往最终体现在上彀费上,现在国内宽带上彀费和电话费是一起交的。当他人盗用你的账号消耗不是许多环境下,你看到账单多出来的几块或者几十块钱时,你是很无奈的。想起一种征象:犯法的“本钱低“,本钱低到受害者没法去告罪犯。而且即使你想告他,找到盗用你账号的人,并拿到证据,其中你的支付的工夫和金钱也会令你望而却步,这既是法律的悲哀,更是人性的悲哀,劝告那些走在犯法边沿的人:勿以小恶而为之,抛开法律来说,你在盗得点滴长处的同时,你得到的不是单纯金钱可以权衡的。
题目到这彷佛可以结束了,可更大的题目还在后边。像电信级的网站,办理后台入口应该十分潜伏,对于一个静态网站来说,后台办理部分必不行少,由于后台触及整个站点的安全,因今后台办理部分的入口要十分潜伏,要采用一套独立前台的模块,采用公用的登陆界面。大型的网站或紧张的程序要有许多不同分工的后台办理员来办理,因此每个办理员的办理权限范畴和权限之间决不能互相影响。这也黑白常紧张的特性。这个网站设计就违背这个规矩,猜了几次途径后,办理入口就被找到。(由于触及敏感信息,途径不再给出)
,然后再根据这个途径,利用离线欣赏软件WebSeizer,在WebSeizer的网页首选项设置为这个地点,再把和这个页面相关的所有网页下载上去,在下载条理设置为-1,如许和这个页面相关的所有页面都可以下载上去。这次的劳绩我非产吃惊,在一个消息组模块里的admin.jsp.html网页里我找到了办理员密码,ftp密码,另有许多其他东西。
末了通过雷同步调,找到了8个各个模块的办理员帐号。由于计费体系及其他内容触及法律题目,比力敏感,不在此叙述了。要是单纯是一个官方网站,我也不会多说什么,这终究是一个省级的计费体系。末了联系了相关的办理人员,得到回复是:“谢谢你的通知,我们会修补好相关毛病,也没有再多解释什么。
喜好找“肉鸡“的朋侪要是仔细的话会发现这么一个征象:扫描不同国家的同一个数量级的主机,能找到的“肉鸡“数量往往和国家对网络安全的重视程度成正比,1000个主机,中国大概找到100个肉鸡,可美国大概最多找到5个。这不能不给我们带来些思索,末了引用中国工程院院士、国家863筹划专项研究专家组组长 何德全的话结束本文:没有信息安全,就没有完全意义上的国家安全,也没有真正的政治安全、军事安全和经济安全。…因此,要把我国的信息安全题目放在环球战略考虑。
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
|
评论加载中...
|
