论坛: 黑客进阶 标题: 最著名的十大安全漏洞及防范 复制本贴地址    
作者: zhangyun [zhangyun]    论坛用户   登录
p>击退入侵!! 

通过Internet进行的计算机系统大多数成功入侵都可以归结到很少数量的安全漏洞上。 
在Solar Sunrise Pentagon入侵事件中被入侵的大多数系统都是因为同一个漏洞受到攻击。不久前分布式拒绝服务攻击中被利用的大部分计算机也是因为一个漏洞。最近基于WindowsNT的WEB服务器的大量入侵也可归结到一个众所周知的漏洞。另外有一个漏洞也被认为可以被用来入侵超过30000台Linux系统。 

少量的软件漏洞对应绝大多数成功的攻击是因为攻击者都是机会主义者-他们采用最简单最方便的方法。他们用最有效最广泛使用的工具来攻击最著名的漏洞。他们指望组织没有修补漏洞,他们常常在Internet上扫描有漏洞的系统,作无目的攻击。 

系统管理员反映说,他们没有补这些漏洞的原因是他们也不知道超过500个的潜在问题中那些是最严重的,而他们又太忙,不可能把所有的问题都改正好。 

信息安全共同体试图解决这个问题,标出Internet上最严重的安全问题,汇集系统管理员需要立即解决的漏洞。这个针对TOP TEN列表给出的专家建议展示了史无前例的企业、 政府和学校积极合作的范例。参与者来自最有安全意识的联邦代理、安全软件供应商、咨询机构、基于大学的顶级安全小组、CERT/CC和SANS研究会。完整的参与者名单在文末给出。 

这里列出专家给出的10个Internet上最常被利用的安全漏洞列表,并给出了如何消除你 
系统中这些问题的建议。 
对读者提出的三点注意事项: 

注1、这是一份随时更新(living)的文档,它包含初始定义,一步步更正漏洞的指导意见 
。我们会随时更新这些建议,使它更正确更方便,欢迎你的加入。这是一封公开的建议 
文档-你消除漏洞的经验可以帮助后来人。有建议可以"Top Ten Comments"为标题发信 
到〈info@sans.org〉。想获得最新版本的指导可以"Top Ten Fixes"为标题发信到〈info@ 
sans.org〉。 

注2、你将看到给出了CVE检索项的参考-the Comm Vulnerabilities and Exposures 
索引号同漏洞相对应,CAN是CVE的候补索引项,它还没有得到完全的认可。对CVE项目更 
多的了解可参照:http://cve.mitre.org 

注3、在列表的最后,你会看到一个附加章节给出了常被探测和攻击的端口列表。通过在 
防火墙或其它边界防护设备阻塞掉这些端口,你可以增加一个额外的防护层保护你的错误配置。 


1. BIND weaknesses: nxt, qinv and in.named allow immediate root compromise. 

BIND程序存在的问题,利用nxt,qinv,in.named可直接得到root权限。 

BIND(Berkeley Internet Name Domain)软件包是域名服务(DNS)的一个应用最 
广泛的实现软件--我们所有人都通过它来定位Internet上的系统,只需知道域 
名(如www.sans.org)而不用知道IP地址,由此可体会它的重要性--这使它成 
为最受欢迎的攻击目标。 

很遗憾,根据1999年中的回顾,Internet上的DNS服务器有50%以上用的是有漏洞 
的BIND版本。 

比较典型的BIND攻击的例子是,入侵者抹掉系统记录,安装工具获得管理员级别 
的访问。他们然后编译安装IRC工具和网络扫描工具,用它们扫描更多的B类网络, 
找到其它的使用有漏洞版本的BIND的域名服务器。只需几分钟,他们就可以攻入 
成千上百个远程系统,取得更多的入侵成果。 

这种混乱的场面说明,在Internet上广泛应用的服务上,如DNS服务,软件中一个 
很小的漏洞都是非常可怕的。 

受影响的系统: 
多数UNIX和Linux系统 

到2000年5月22日为止,BIND8.2.2patch5以前的版本都有问题。 

CVE检索项: 
nxt CVE-1999-0833 
qinv CVE-1999-0009 
相关检索项: CVE-1999-0835, CVE-1999-0848, CVE-1999-0849,CVE-1999-0851 
更正建议: 
A、取消所有非授权作为DNS服务器的机器上的BIND后台进程(named)。一些专家 
还建议删掉这些DNS软件。 

B、把授权作为DNS服务器的软件升级到最新版本,加入最新补丁。(到2000年5 
月22日为止,最新版本为8.2.2,patch5)。 
采纳如下的其它指导建议: 
For the NXT vulnerability: http://www.cert.org/advisories/CA-99-14-bind.html 
For the QINV (Inverse Query) and NAMED vulnerabilities:  http://www.cert.org/advisories/CA-98.05.bind_problems.html  http://www.cert.org/summaries/CS-98.04.html 

C、以非特权用户身份运行BIND,以便将来受到远程攻击时得到保护。(但是,必 
须以root身份运行程序才能配置使用低于1024端口-如DNS要求的53,因此你必须 
配置BIND在绑定到指定端口后改变用户身份。) 

D、在chroot()过的目录中运行BIND,以便将来受到远程攻击时得到保护。 



2. Vulnerable CGI programs and application extensions (e.g., ColdFusion) in 
stalled on web servers. 

在WEB服务器上安装的有漏洞的CGI程序和应用扩展(如ColdFusion) 

大部分WEB服务器支持CGI(Common Gateway Interface)程序以提供WEB页面的交互功能, 
如数据采集和检验。很多WEB服务器缺省的安装了CGI例子程序。很不幸,很多CGI程序并 
没有考虑到它们有可能被滥用去执行恶意指令。入侵者选择CGI程序作为攻击目标主要因 
为它们容易定位,并以同WEB服务器相同的权限运行。入侵者利用有漏洞的CGI程序破坏 
主页,盗窃信用卡信息,安装后门以利于将来即使CGI程序被修补好仍然可以入侵。 

当司法部的Janet Reno的图片被换成Adolph Hitler时,得出了CGI漏洞是最有可能的入 
侵网络的方法的结论。Allaire的ColdFusion是一个WEB服务器应用软件,缺省安装时包 
含有漏洞例子CGI程序。作为一个最一般的法则,例子程序应该从系统中删除。 

受影响的系统: 
所有的WEB服务器。 


CVE检索项: 

有漏洞例子程序的CGI程序 
CAN-1999-0736 
CVE-1999-0067 
CVE-1999-0068 
CVE-1999-0270 
CVE-1999-0346 
CVE-2000-0207 

没有例子程序但有漏洞的CGI程序 
CAN-1999-0467 
CAN-1999-0509 
CVE-1999-0021 
CVE-1999-0039 
CVE-1999-0058 
CVE-1999-0147 
CVE-1999-0148 
CVE-1999-0149 
CVE-1999-0174 
CVE-1999-0177 
CVE-1999-0178 
CVE-1999-0237 
CVE-1999-0262 
CVE-1999-0279 
CVE-1999-0771 
CVE-1999-0951 
CVE-2000-0012 
CVE-2000-0039 
CVE-2000-0208 

ColdFusion例子程序漏洞 
CAN-1999-0455 
CAN-1999-0922 
CAN-1999-0923 

ColdFusion其它漏洞 
CAN-1999-0760 
CVE-2000-0057 
更正建议: 

A、不要以ROOT身份运行WEB服务器。 

B、去掉BIN目录下的CGI脚本解释器。  http://www.cert.org/advisories/CA-96.11.interpreters_in_cgi_bin_dir.html 

C、删掉不安全的CGI脚本。  http://www.cert.org/advisories/CA-97.07.nph-test-cgi_script.html  http://www.cert.org/advisories/CA-96.06.cgi_example_code.html  http://www.cert.org/advisories/CA-97.12.webdist.html 

D、编写安全的CGI脚本  http://www-4.ibm.com/software/developer/library/secure-cgi/  http://www.cert.org/tech_tips/cgi_metacharacters.html  http://www.cert.org/advisories/CA-97.24.Count_cgi.html 

E、不需要CGI的WEB服务器上不配置CGI支持。 

F、在chroot()过的环境中运行WEB服务器,以便保护机器防止其它不断发现的漏洞。 


3. Remote Procedure Call (RPC) weaknesses in rpc.ttdbserverd (ToolTalk), rp 
c.cmsd (Calendar Manager), and rpc.statd that allow immediate root compromise 

RPC(Remote Procedure Call)中rpc.ttdbserverd(ToolTalk)、rpc.cmsd(Calendar Man 
ager)和rpc.statd可以直接获得root权限 

远程过程调用(RPC)允许一台计算机上的程序去执行另一台计算机上的程序。它们广泛 
的应用在各种网络服务中,如文件共享服务NFS。有很多漏洞是RPC本身的缺陷导致的, 
它们正不停的涌现出来。有很明显的证据表明,1999年末2000年初大规模的分布式拒绝 
服务攻击中,很多被作为攻击跳板的牺牲品就是因为存在RPC漏洞。在Solar Sunrise事 
件期间,对美国陆军广为人知的成功攻击就是因为在数百台国防部的系统中找到了一个 
RPC漏洞。 

受影响的系统: 
多数UNIX和Linux系统 

CVE检索项: 
rpc.ttdbserverd - CVE-1999-0687, CVE-1999-0003, CVE-1999-0693 (-0687 比-0003 
新,但二者都能让远程攻击者得到root权限,好像-0003漏洞还有很多很多;-0693 只 
能作为本地攻击,但也能得到root权限。) 
rpc.cmsd ? CVE-1999-0696 
rpc.statd - CVE-1999-0018, CVE-1999-0019. 


更正建议: 

A、如果可能的话,关掉和/或删除那些可以从Internet上直接访问到的服务。 

B、对于必须运行的,安装最新的补丁: 
For Solaris Software Patches: 
--http://sunsolve.sun.com 
For IBM AIX Software 
--http://techsupport.services.ibm.com/support/rs6000.support/downloads 
--http://techsupport.services.ibm.com/rs6k/fixes.html 
For SGI Software Patches: 
--http://support.sgi.com/ 
For Compaq (Digital Unix) Patches: 
--http://www.compaq.com/support 

在供应商的补丁数据库中找tooltalk的补丁程序,并立刻安装。 
对这三个主要RPC漏洞做出专门的建议的总结性文档可在如下地址找到:  http://www.cert.org/incident_notes/IN-99-04.html 
For statdd: http://www.cert.org/advisories/CA-99-05-statd-automountd.html 
For ToolTalk: http://www.cert.org/advisories/CA-98.11.tooltalk.html 
For Calendar Manager: http://www.cert.org/advisories/CA-99-08-cmsd.html 


4. RDS security hole in the Microsoft Internet Information Server (IIS). 
微软IIS中存在的RDS安全漏洞 

微软的IIS(Internet Information Server)是用在微软WindowsNT和Windows2000服务器 
上的WEB服务软件。在IIS的远程数据服务(RDS)中的编程缺陷可被恶意用户利用,用来 
远程执行管理员级别的命令。一些参与制定十大威胁列表的专家认为,IIS的其它漏洞, 
如.HTR文件,至少同RDS漏洞一样严重。当使用IIS的组织安装或升级RDS漏洞补丁的时候 
,应当采取谨慎的态度,同时安装和升级所有已知的IIS安全缺陷的补丁程序。 

受影响的系统: 
使用IIS的Microsoft Windows NT系统 

CVE检索项: 
CVE-1999-1011 

更正建议: 

A、使用用户自己的处理程序并删掉注册表中VBBusObj的索引项 
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/W3SVC/Parameters/ADCLau 
nch/VbBusObj.VbBusObjCls 

B、参考微软公布的信息去掉服务或更正RDS漏洞以及其它IIS的安全问题。  http://support.microsoft.com/support/kb/articles/q184/3/75.asp  http://www.microsoft.com/technet/security/bulletin/ms98-004.asp  http://www.microsoft.com/technet/security/bulletin/ms99-025.asp 


5. Sendmail buffer overflow weaknesses, pipe attacks and MIMEbo, that allow 
immediate root compromise. 
Sendmail缓冲区溢出问题,pipe攻击和MIMI缓冲区溢出都可以直接得到root权限。 

在大多数UNIX和Linux系统中用Sendmail程序发送、接收和转发电子邮件。Sendmail的广 
泛应用使它成为攻击者选取的主要目标。这些年来发现了很多漏洞,最早的是1988年CE 
RT/CC发布的一个建议文件。最常见的漏洞之一是,攻击者发送一封处理过的邮件但运行 
Sendmail的机器,Sendmail把邮件作为指令读出执行,使目标机器把本机上的口令文件 
发送到攻击者的机器上(或其它被侵入的机器),然后破解口令。 

受影响的系统: 
多数UNIX和Linux系统 

CVE检索项: 
CVE-1999-0047, CVE-1999-0130, CVE-1999-0131, CVE-1999-0203, CVE-1999-0204, C 
VE-1999-0206. 
CVE-1999-0130 is locally exploitable only. 

更正建议: 

A、升级Sendmail到最新版本并/或修补它。参见:  http://www.cert.org/advisories/CA-97.05.sendmail.html 

B、在既不是邮件服务器也不作邮件转发的机器上不用以后台进程模式运行Sendmail(关 
掉 -bd 选项)。
p>6. sadmind and mountd 
Sadmind用于Solaris系统的远程管理访问,提供图形化的系统管理功能。Mountd控制管理UNIX主机上NFS的加载点。这些应用程序的缓冲区溢出攻击可以让攻击者得到root权限。 

受影响的系统: 
多数UNIX和Linux系统 
Sadmind:仅仅Solaris系统 

CVE检索项: 
sadmind - CVE-1999-0977 
mountd - CVE-1999-0002. 

更正建议: 

A、如果可能的话,关掉和/或删除那些可以从Internet上直接访问到的服务。 

B、对于必须运行的,安装最新的补丁: 
For Solaris Software Patches: 
--http://sunsolve.sun.com 
For IBM AIX Software 
--http://techsupport.services.ibm.com/support/rs6000.support/downloads 
--http://techsupport.services.ibm.com/rs6k/fixes.html 
For SGI Software Patches: 
--http://support.sgi.com/ 
For Compaq (Digital Unix) Patches: 
--http://www.compaq.com/support 

C、更多建议参见:  http://www.cert.org/advisories/CA-99-16-sadmind.html  http://www.cert.org/advisories/CA-98.12.mountd.html 


7. Global file sharing and inappropriate information sharing via NetBIOS and 
Windows NT ports 135-〉139 (445 in Windows2000), or UNIX NFS exports on port 
2049, or Macintosh Web sharing or AppleShare/IP on ports 80, 427, and 548. 

通过NetBIOS协议和Windows NT 135-〉139端口(Windows2000下是445)或UNIX NFS在20 
49端口给出的或Macintosh Web共享或AppleShare/IP在80、427和548端口给出的等等全 
局共享和不正确的信息共享。 

这些服务允许在网络上共享文件。但如果配置不正确,它们会暴露重要的系统文件或给 
出整个文件系统的完全控制权到网络上的任何一台机器上。很多计算机的主人或管理员 
为了提高数据访问的方便性而利用这些服务使他们的文件系统可读写。如一个政府机关 
计算机管理员在开发任务计划软件时使他们的文件全局可读以方便政府的其它部门访问 
,没过两天,就有人发现了这些共享并偷走了整个任务计划软件。 

当在Windows系统中实现文件共享时,产生的问题就不单单是信息窃贼,还有某些特定类 
型感染极快的病毒。最近发现的一个叫做911的蠕 《纠�用Window95和Windows98的文 
件共享来传播,使被感染的机器通过连在它上面的调制解调器拨打911电话。Macintosh 
计算机的文件共享漏洞也存在同样的问题。 

同样,NetBIOS机制在允许Windows文件共享的同时也常常会给出NT系统的敏感系统信息。 
用户和组信息(用户名、最后登陆时间、口令策略、RAS信息),系统信息和一些注册 
表中的键值都可以通过建立在NetBIOS连接服务上的空任务连接"null session"被访问到 
。针对NT目标系统,这些信息常被用作口令猜测或暴力口令攻击的基础。 


受影响的系统: 
UNIX,Windows,和Macintosh系统 

CVE检索项: 
SMB shares with poor access control - CAN-1999-0520 
NFS exports to the world - CAN-1999-0554 
候选检索项在被正式接受作为完全的CVE前可能有比较大的改动。 


更正建议: 

A、共享加载的设备时,一定要保证只共享必须的子目录。 

B、因为DNS名称可能伪造,为了更好的安全性,只对指定的IP地址提供共享。 

C、对于Windows系统,要保证所有的共享都采用了很难破解的口令。 

D、对于Windows NT系统,禁止利用空任务连接为匿名用户提供用户、组、系统配置和注 
册表键值信息。 

在路由器或NT主机上阻塞掉到NetBIOS任务服务(tcp 139)的连接。 

对连入Internet的独立主机或不信任域环境要仔细考虑受限匿名用户的注册表键值的实 
现。 
NT4: http://support.microsoft.com/support/kb/articles/Q143/4/74.asp 
Win2000: http://support.microsoft.com/support/kb/articles/Q246/2/61.ASP 

E、对于Macintosh系统,去掉WEB共享扩展,除非特别需要。如果必须提供文件共享,一 
定要保证使用强口令控制。当不需要时一定要去掉文件共享。 

如果要永久性的去掉MacOS8或MacOS9上的WEB共享,要删掉两个文件并重新启动机器: 
System Folder:Control Panels:Web Sharing 
System Folder:Extensions:Web Sharing Extension 

如果要永久性的去掉MacOS9上的AppleShare/IP,要删掉一个文件并重新启动机器: 
System Folder:Extensions:Shareway IP Personal Bgnd 



8. User IDs, especially root/administrator with no passwords or weak passwo 
rds. 
用户,尤其是超级用户或系统管理员(root/administrator),没有口令或口令很弱。 

一些系统带有"demo"或"guest"等无口令或广为人知的缺省口令的用户。服务工作人员一 
般给你装完系统后,把超级用户口令设为空;一些数据库系统的管理员帐号一般在安装 
时设为缺省口令。另外,繁忙的系统管理员常常选择非常容易被猜到的系统口令("love 
","money","wizard"是最常见的)或者就使用空口令。缺省的口令让攻击者可以毫不费力 
的访问系统。很多攻击者先尝试缺省口令然后猜口令最后才用其它更复杂的方法。攻击 
者拿到一般用户权限后可以让他们进入防火墙或目标机器,一旦进入,很多攻击者就能 
够利用各种各样的系统漏洞得到超级用户或管理员权限。 

受影响的系统: 
所有系统。 

CVE检索项: 
Unix guessable (weak) password - CAN-1999-0501 
Unix default or blank password - CAN-1999-0502 
NT guessable (weak) password - CAN-1999-0503 
NT default or blank password - CAN-1999-0504 
候选检索项在被正式接受作为完全的CVE前可能有比较大的改动。 


更正建议: 

A、建立可接受的口令策略,包括分派负责和周期性检验口令质量。要保证高级领导也不 
例外。要求的策略也包括把计算机连入Internet前改变所有缺省口令,对不合作者给予 
实质性的处罚。 

B1、非常重要!有写权限以便测试口令。 
B2、用口令破解程序测试口令: 
For Windows NT: l0pthcrack http://www.l0pht.com 
For UNIX: Crack http://www.users.dircon.co.uk/~crypto 

C、在创建口令时执行检查功能。 
For UNIX: Npasswd, http://www.utexas.edu/cc/unix/software/npasswd 
For Windows NT: http://support.microsoft.com/support/kb/articles/Q161/9/90.asp 

D、强制使口令周期性过期(at a frequency established in your security policy)。 

E、保持口令历史记录,使用户不能循环使用旧口令。 


其它资料可在如下地址找到:  http://www.cert.org/tech_tips/passwd_file_protection.html  http://www.cert.org/incident_notes/IN-98.03.html  http://www.cert.org/incident_notes/IN-98.01.irix.html 


9. IMAP and POP buffer overflow vulnerabilities or incorrect configuration. 
IMAP和POP缓冲区溢出漏洞或不正确的配置 

IMAP和POP是最流行的远程邮件存取协议,允许用户从内部和外部网络访问他们的邮件帐 
户。这些服务的“开放性访问”本质上决定了它们特别脆弱,因为开放使它们即使在防 
火墙之内也要允许外部的电子邮件存取。攻击者利用IMAP或POP漏洞攻击常常能直接获得 
ROOT级别的控制权。 

受影响的系统: 
多数UNIX和Linux系统 

CVE检索项: 
CVE-1999-0005, CVE-1999-0006, CVE-1999-0042, CVE-1999-0920, CVE-2000-0091 


更正建议: 

A、在不提供邮件服务的机器上取消这些服务。 

B、使用最新的补丁和版本。 
资料可在如下地址找到:  http://www.cert.org/advisories/CA-98.09.imapd.html  http://www.cert.org/advisories/CA-98.08.qpopper_vul.html  http://www.cert.org/advisories/CA-97.09.imap_pop.html 

C、一些专家也建议用TCP Wrapper类软件控制对这些服务的访问,同时用SSH和SSL等加 
密信道以保护口令。 


10. Default SNMP community strings set to ‘public’ and ‘private.’ 
缺省的SNMP口令(community strings)被设为"public"和"private"。 

简单网络管理协议(SMTP)被网络管理员广泛的使用,从路由器到打印机到计算机,所有连入网络中的设备都可以通过它来监控和管理。SNMP使用未加密的口令(community str 
ings)作为认证的唯一机制。缺少加密已经够糟糕的了,同时绝大多数SNMP设备的缺省口 
令为"public",少数“聪明”一点的网络设备供应商把口令改为了"private"。攻击者可 
以利用SNMP的这个漏洞远程重新配置或关掉设备。监听SNMP流量可以暴露你网络的大部 
分细节,包括系统和连入的设备。入侵者用这些信息来找出攻击目标和规划攻击。 

受影响的系统: 
所有系统和网络设备。 

CVE检索项: 
default or blank SNMP community name (public) - CAN-1999-0517 
guessable SNMP community name - CAN-1999-0516 
hidden SNMP community strings - CAN-1999-0254, CAN-1999-0186 
候选检索项在被正式接受作为完全的CVE前可能有比较大的改动。 


更正建议: 

A、如果你不是绝对需要SNMP,关掉它。 

B、如果你使用SNMP,就要采用同本安全列表中的第8个问题中针对口令一样的安全策略。 

C、用SNMPWALK验证和检查口令。 

D、如果可能,把MIB设为只读。 

其它信息:  http://www.cisco.com/univercd/cc/td/doc/cisintwk/ito_doc/snmp.htm#xtocid210315 



A High Priority Bonus Item for Windows Users and Administrators 
Various Scripting Holes in Internet Explorer and Office2000 

针对Windows系统用户和管理员的有益补充:IE浏览器和Office2000中的各种脚本漏洞 


最近病毒攻击已经展示了宏和脚本代码可以很容易的通过电子邮件附件传播,人们被告诫不要打开可能危险的附件。不过,Windows系统用户即使不打开附件,也可能感染恶意 
病毒。在缺省安装的情况下,Microsoft Outlook 和Outlook Express可以执行电子邮件 
中的HTML和脚本代码。另外,很多被称为ActiveX组件的可以被含有HTML和脚本代码的电 
子邮件不正确的执行。含有漏洞的控件包括Scriplet.typlib(同IE4.x和IE5.x一同交付 
)和UA控件(Office2000)。其它漏洞表明利用活动脚本电子邮件可以在用户的计算机上 
安装新的软件。 

一个相对良性的病毒kak蠕虫就是通过这些机制传播的。恶意版本的kak病毒可以预见任何时候都可能出现。我们建议所有用户和管理员把Outlook和Outlook Express设为只在 
某些“受限地址域”读取电子邮件,并进一步在这些受限域中关掉活动脚本和ActiveX功 
能。微软对某些单独的漏洞已经给出了补丁并正准备在Outlook中加入安全设置,但好像 
还没有修补Outlook Express的计划。 

受影响的系统: 
所有带有IE4.x和IE5.x或Office 2000的Windows系统。带有某些版本的IE的Windows 2000不受影响。 

CVE检索项: 
CVE-1999-0668 
CAN-2000-0329 


更正建议: 
http://www.microsoft.com/security/bulletins/ms99-032.asp  http://www.microsoft.com/security/bulletins/MS99-048.asp  http://www.microsoft.com/technet/security/bulletin/MS00-034.asp 

这里讨论的特定漏洞的补丁可从下面地址得到:  http://www.microsoft.com/msdownload/iebuild/scriptlet/en/scriptlet.htm  http://www.microsoft.com/msdownload/iebuild/ascontrol/en/ascontrol.htm  http://officeupdate.microsoft.com/info/ocx.htm 

设置你的安全域到几个限定的站点并取消这个区域中的所有活动内容。 

及时使用下列站点公布的Outlook补丁:  http://www.officeupdate.com/2000/articles/out2ksecarticle.htm 

关键时刻,升级你的杀毒软件对这些问题也不能完全奏效。你必须同时更正微软软件中 
的缺陷。 


Perimeter Protection For An Added Layer of Defense In Depth 
更深层次上的作为附加防卫层的边界保护 

本节中,我们列出那些常被探测和攻击的端口。阻塞这些端口是边界安全的最小需求, 
而不是复杂的防火墙规范表。更好的规则是阻塞掉所有未用端口。即使你认为这些端口 
已经被阻塞掉了,你也要经常监控它们以便检测到入侵尝试。阻塞掉下面列表中的某些 
端口可能会取消必须的服务。在执行下面的建议的时候请考虑它们的潜在影响。 

1)阻塞“伪造”地址--那些从你公司外部地址来的报文却声称内部地址或专网地址,同 
时阻塞源路由报文。 

2)登录服务--telnet(23/tcp),SSH(22/tcp),FTP(21/tcp),NetBIOS(139/tcp),rlogin(5 
12/tcp到514/tcp)等等。 

3)RPC和NFS--portmap/rpcbind(111/tcp和111/udp),NFS(2049/tcp和2049/udp),lockd( 
4045/tcp和4045/udp) 

4)Windows NT下的NetBIOS--135(tcp和udp),137(udp),139(tcp).Windows 2000--这些端 
口再加上445(tcp和udp) 

5)X Windows -- 从6000/tcp 到 6255/tcp 

6)名字服务-- 所有不是DNS服务器的机器上的DNS (53/udp), DNS zone transfers (53 
/tcp) except from external secondaries, LDAP (389/tcp and 389/udp) 

7)邮件-- 所有不作外部邮件转发的机器上的SMTP (25/tcp), POP (109/tcp and 110/t 
cp), IMAP (143/tcp) 

8)主页-- 除了外部WEB服务器上的HTTP (80/tcp)和SSL (443/tcp), 你也许同时需要阻 
塞常用的其它高端的HTTP端口(8000/tcp, 8080/tcp, 8888/tcp, etc.) 

9) "Small Services"-- 低于 20/tcp and 20/udp的端口, time (37/tcp and 37/udp) 

10)其它-- TFTP (69/udp), finger (79/tcp), NNTP (119/tcp), NTP (123/tcp), LPD 
(515/tcp), syslog (514/udp), SNMP (161/tcp and 161/udp, 162/tcp and 162/udp 
), BGP (179/tcp), SOCKS (1080/tcp) 

11) ICMP-- 阻塞收到的回应请求 (ping 命令和 Windows 系统下的traceroute命令), 
阻塞发出回应应答消息,超时消息,和不可达消息。

地主 发表时间: 04-09-26 04:29

论坛: 黑客进阶

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号