如何防止adsl被入侵的方法(如何防止adsl被入侵呢)

随着各地ADSL网络的蓬勃发展，实现永久连接、随时在线不再是遥远的梦想。但是，我们必须明白，永久连接互联网也意味着被入侵的可能性大大增加。知己知彼，百战不殆。

下面我们来了解一下黑客入侵ADSL用户的方法和防范措施。

黑客入侵ADSL用户的方法

很多地方是包月制。这样黑客就可以更长时间的扫描端口和漏洞，甚至通过网络暴力窃取密码，或者使用嗅探工具等待对方自动将自己的用户名和密码送上门。

要完成一次成功的网络攻击，一般有以下步骤。第一步是收集目标的各种信息。为了彻底分析目标，我们必须收集尽可能多的有效信息，以获得目标的漏洞列表。分析结果包括：操作系统类型、

操作系统版本，开放服务，开放服务版本，网络拓扑，网络设备，防火墙。

黑客主要使用TCP/IP栈指纹的方法进行扫描。实现这一点有三种主要方式：

1.TCPISN采样：找出指定长度的初始化序列是否与特定的OS匹配。

2.FIN检测：向目标的开放端口发送FIN数据包——或任何没有ACK或SYN标签的数据包，然后等待响应。许多系统返回一个reset-reset标志。

3.使用假标签:通过发送一个包含TCP报头但没有定义TCP标签的SYN数据包，可以利用系统对标签的不同反应来区分某些操作系统。

4.使用TCP的初始化窗口：只需检查返回包中包含的窗口长度，根据大小唯一确认每个操作系统。

虽然扫描技术很多，但是原理很简单。下面简单介绍一下扫描工具Nmap-Networkmapper，它功能多样，灵活易用，便于携带。

痕迹很少；它不仅可以扫描TCP/UDP端口，还可以用于扫描/检测大型网络。

请注意，这里使用了一些真实的域名，这可以使扫描行为看起来更具体。您可以用自己网络中的名称替换地址/名称。扫描前最好获得许可，否则后果自负。

nmap-vtarget.example.com

该命令扫描target.example.com上所有保留的TCP端口，-v表示详细模式。

nmap-sS-Otarget.example.com/24

该命令将启动SYN的半开扫描，目标是target.example.com的C类子网。它还尝试确定目标上运行的是什么操作系统。此命令需要管理员权限，因为它使用半开扫描和系统检测。

发动攻击的第二步是与对方建立连接，找到登录信息。现在假设通过扫描，发现对方机器有IPC$。IPC$是一个资源共享的“命名管道”，对于程序之间的通信非常重要。

远程管理计算机和查看计算机共享资源时会用到它。有了IPC$，黑客就可以和对方建立一个空连接(不需要用户名和密码)，通过这个空连接就可以得到对方的用户列表。

第三步是使用适当的工具和软件登录。打开命令行窗口，键入命令：net use 222.222.222.222 IPC $ " administrator "/user:123456。

这里我们假设administrator的密码是123456。如果你不知道管理员密码，还需要找其他密码工具帮忙。登录进去之后，所有的东西就都在黑客的控制之下了。

防范方法

因为ADSL用户一般在线时间比较长，所以安全防护意识一定要加强。每天上网十几个小时，甚至通宵开机的人不在少数吧，而且还有人把自己的机器做成Web或者ftp服务器供其他人访问。

日常的防范工作一般可分为下面的几个步骤来作。

步骤一，一定要把Guest帐号禁用。有很多入侵都是通过这个帐号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具，那还是禁止的好。打开控制面板，双击“用户和密码”，选择“高级”选项卡。

单击“高级”按钮，弹出本地用户和组窗口。在Guest帐号上面点击右键，选择属性，在“常规”页中选中“帐户已停用”。

步骤二，停止共享。Windows2000安装好之后，系统会创建一些隐藏的共享。点击开始运行cmd，然后在命令行方式下键入命令“netshare”就可以查看它们。网上有很多关于IPC入侵的文章，

都利用了默认共享连接。要禁止这些共享，打开管理工具计算机管理共享文件夹共享，在相应的共享文件夹上按右键，点“停止共享”就行了。

步骤三，尽量关闭不必要的服务，如TerminalServices、iis如果你没有用自己的机器作web服务器的话-、RAS远程访问服务等。还有一个挺烦人的Messenger服务也要关掉，

否则总有人用消息服务发来网络广告。打开管理工具计算机管理服务和应用程序服务，看见没用的就关掉。

步骤四，禁止建立空连接。在默认的情况下，任何用户都可以通过空连接连上服务器，枚举帐号并猜测密码。我们必须禁止建立空连接，方法有以下两种：

(1)修改注册表：

HKEY_Local_MachineSystemCurrent-ControlSetcontrolLSA下，将DWORD值RestrictAnonymous的键值改成1。

(2)修改Windows2000的本地安全策略：

设置“本地安全策略本地策略选项”中的RestrictAnonymous匿名连接的额外限制为“不容许枚举SAM账号和共享”。

步骤五，如果开放了Web服务，还需要对IIS服务进行安全配置：

(1)更改Web服务主目录。右键单击“默认Web站点属性主目录本地路径”，将“本地路径”指向其他目录。

(2)删除原默认安装的Inetpub目录。

(3)删除以下虚拟目录：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

(4)删除不必要的IIS扩展名映射。方法是：右键单击“默认Web站点属性主目录配置”，打开应用程序窗口，去掉不必要的应用程序映射。如不用到其他映射，只保留.asp、asa即可。

(5)备份IIS配置。可使用IIS的备份功能，将设定好的IIS配置全部备份下来，这样就可以随时恢复IIS的安全配置。

不要以为这样就万事大吉，微软的操作系统我们又不是不知道，bug何其多，所以一定要把微软的补丁打全。

最后，建议大家选择一款实用的防火墙。