局域網應對搜索軟件的防范策略

[摘要] 搜索軟件有滲透到Internet每一個角落的趨勢。搜索軟件自身的漏洞已逐漸成為病毒和黑客窺視的焦點，對網站、局域網安全構成嚴重的威脅。本文在分析這些漏洞產生的技術原因的基礎上，重點探討應對這些安全漏洞的常規和非常規防范策略。

[關鍵詞] 網站安全安全防范搜索軟件局域網

一、引言

網絡用戶為了能很容易在浩如煙海的網頁中搜索到自己想要的網址、文檔、程序等，頻繁地使用搜索軟件。搜索軟件（Robot或稱Spider）作為一個程序，可以運行在Unix、Solaris、Windows、NT、OS2和MAC等平臺上，其核心技術為機器程序抓取網頁。這種軟件自動搜集和索引系統，由軟件程序自動在Internet上搜尋www、gopher和ftp等站點資源，返回相應數據并對它建立索引，產生一個數據庫。

搜索軟件有滲透到Internet每一個角落的趨勢，甚至是一些配置不當的數據庫、網站里的私人信息，例如Google的桌面搜索工具Desktop Search存在一個信息泄漏的漏洞，入侵者能通過腳本程序欺騙Desktop Search提供用戶信息，最常見的就是泄漏磁盤數據。利用這個漏洞提供的信息，入侵者可以偽造相關信件并建立欺騙性的電子商務網站，讓用戶誤以為是大公司發給自己的信函而受欺騙。同時因為Robot一般都運行在速度快、帶寬高的主機上，如果它快速訪問一個速度比較慢的目標站點，就有可能會導致該站點出現阻塞甚至停機，更為嚴重的是搜索軟件對網絡資源的搜索已逐漸成為病毒和黑客窺視的焦點，對網站、局域網安全構成嚴重的威脅。

值得注意的是：搜索軟件對網絡的訪問在主觀上并非都是惡意的，有些甚至是被允許的。

二、搜索軟件主要的安全漏洞

1.搜索軟件被作為匿名代理。像A1taVista、HotBot等搜索軟件能無意識地響應使用者的命令，把一些合乎搜索條件的網頁傳遞給使用者，一般黑客就是利用這一點，利用嵌套技術，層層使用網絡代理，通過搜索軟件搜索有缺陷的網站并入侵。同時，網絡上存在大量的諸如www.anonymizer.com等網站專門提供匿名代理服務，這極大地方便了黑客，他們只需要幾行簡單的網頁查詢語句就能得到一些裝有微軟信息服務器((IIS)3.0和4.0但配置不當的電腦上的boot.in:文件。

2.搜索軟件被作為病毒查找攻擊對象的工具。例如，Santy蠕蟲病毒的爆發最初發生在一周前，這一蠕蟲病毒能夠刪除BBS論壇上的內容，在上面“涂鴉”它自己的內容。據安全公司表示，該病毒攻擊的對象是運行phpBB軟件的論壇網站，而且就是利用Google查找攻擊目標。在Google公司采取措施對Santy蠕蟲病毒對存在有漏洞的BBS論壇網站的查找進行查殺之后，Santy蠕蟲病毒的變種正在利用Google、AOL和雅虎等搜索軟件進行大肆傳播。

3.Google批量黑客搜索攻擊技術。事實證明使用Google搜索軟件可以讓普通人做一次黑客，其原理很簡單，很多有特定漏洞的網站都有類似的標志頁面，而這些頁面如果被Google索引到，我們就可以通過搜索指定的單詞來找到某些有指定漏洞的網站。例如FrontPage Extensions是微軟IIS上的一個產品，但是其Netscape版本中的口令文件的訪問權限設置有錯誤，黑客取得這些口令文件后，使用暴力破解工具就有可能獲取一些弱用戶賬號口令。利用搜索軟件搜索一下這個ext:pwd inurl:(service | authors | administrators | users)：“# -FrontPage-”，可以發現有128個口令文件可供下載。

4.搜索軟件被利用查找有缺陷的系統。一般黑客入侵的標準程序是首先尋找易受攻擊的目標，接著再收集一些目標的信息，最后發起攻擊。一般來說，新開通網絡服務的主機容易成為攻擊目標，因為這些主機最有可能沒有很好的防范措施，如安全補丁、安裝及時更新的防火墻等。那么搜索軟件是怎么成為黑客人侵的工具的呢了？一般來說，裝有網絡服務的操作系統如Linux和windows通常把管理幫助文件和HTML配置文件放在網絡服務的一些標準目錄。當搜索軟件搜索到這些文件時就會列出來，于是黑客知道這個系統可能是沒有很好防范的系統而把它當作攻擊目標。比如某個流行的網絡產品有漏洞，那么就搜索這個產品的相同的字符串，比如某天phpBB論壇系統出現一個漏洞，那么我們就使用Google搜索“Powered by phpBB”，就可以搜索出幾乎所有使用phpBB系統的論壇。

5.搜索軟件能用來搜索秘密文件。搜索軟件中的FTP搜索軟件，與HTTP搜索軟件相比，存在著更大的網絡漏洞。諸如LycosFTP的搜索軟件，它產生的成千上萬的網絡鏈接能夠探測到一些配置不當的FTP服務器上的敏感信息。任何網絡使用者，稍懂網絡知識，使用這種搜索軟件，都可以鏈接到一些保密的數據和信息，更不用說一些資深的黑客了。并且，一些隨意的FIP設置很容易暴露CUTEftp的smdata.dat文件和Netscape Enterprise Server的admpw文件，這些文件都是一些很容易被破譯的加密器加密了的密碼文件。若用FTP搜索軟件搜索出smdata.dat或admpw文件，那么，登陸該ETP服務器的用戶名和密碼就唾手可得了。至于竊取FTP服務器上放置的保密文件對于黑客來說就更是如探囊取物了。

6.黑客利用桌面搜索攻擊個人計算機。近來金山公司發現一種名為“Google DeskTop”的工具能夠讓使用者很輕易地找到機器當中的私人信息。同時，這個搜索工具還可以搜出系統隱藏的文件，如果利用這個搜索工具就能輕易地修改掉系統文件，而在隱藏文件暴露的情況下，非常容易受到攻擊，而且病毒會利用操作系統漏洞進行攻擊。所以用戶在QQ、MSN聊天時，或者利用電子郵件收發時，個人信息會存在緩存當中，利用這一搜索會輕易搜索到網頁的記錄。如果有用戶在公共場合通過web方式接收郵件，個人隱私會存留在緩存中，通過使用這個工具，輸入了某些關鍵字，會造成使用者輕易搜到相關信息。專家提醒廣大用戶，不要在公共場所使用這個工具，特別是在網吧，以免造成信息泄露。

三、局域網的信息安全

如果企業內部網絡，甚至個人電腦的硬盤都在可搜索之列，那么如何保證信息的安全呢？由于缺乏自主技術支撐，CPU芯片、操作系統和數據庫、網關軟件大多依賴進口，使我國計算機網絡的安全性能大大降低。尤其是企業內部網的信息安全將成為問題的焦點。

影響局域網信息安全的因素主要有：非授權訪問、冒充合法用戶、破壞數據的完整性、干擾系統正常運行、病毒與惡意攻擊、線路竊聽等等。

1.常規策略:訪問控制。訪問控制是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和非常訪問。它也是維護網絡系統安全、保護網絡資源的重要手段，是保證網絡安全最重要的核心策略之一。

(1)入網訪問控制。它是第一層訪問控制，控制哪些用戶能夠登錄到服務器并獲取網絡資源，控制準許用戶入網的時間和準許他們在哪臺工作站入網。這樣的訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查。

(2)網絡的權限控制。這是針對網絡非法操作所提出的一種安全保護措施。控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源，可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。受托者指派和繼承權限屏蔽（IRM）可作為其兩種實現方式。

(3)目錄級安全控制。控制用戶對目錄、文件、設備的訪問，或可進一步指定對目錄下的子目錄和文件的權限。

(4)屬性安全控制。應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網絡服務器的文件、目錄和網絡設備聯系起來。

(5)網絡服務器安全控制。包括可以設置口令鎖定服務器控制臺，以防止非法用戶修改、刪除重要信息或破壞數據；可以設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔。

(6)網絡監測和鎖定控制。服務器應記錄用戶對網絡資源的訪問，對非法的網絡訪問，服務器應有一定的報警方式。同時應能自動記錄企圖嘗試進入網絡的對象和次數，并設置閾值以自動鎖定和驅逐非法訪問的賬戶。

(7)網絡端口和節點的安全控制。網絡中服務器的端口往往使用自動回呼設備、靜默調制解調器加以保護，并以加密的形式來識別節點的身份。自動回呼設備用于防止假冒合法用戶，靜默調制解調器用以防范黑客的自動撥號程序對計算機進行攻擊。網絡還常對服務器端和用戶端采取控制，用戶必須攜帶證實身份的驗證器（如智能卡、磁卡、安全密碼發生器）。

2.非常規卻有時更有效的安全策略和技術

(1)屏蔽Cookie程序。Cookie是Web服務器發送到電腦里的數據文件，它記錄了諸如用戶名、口令和關于用戶興趣取向的信息，因此有可能被入侵者利用，造成安全隱患，因此，我們可以在瀏覽器中做一些必要的設置，要求瀏覽器在接受Cookie之前提醒您，或者干脆拒絕它們。通常來說，Cookie會在瀏覽器被關閉時自動從計算機中刪除，可是，有許多Cookie會一反常態，始終存儲在硬盤中收集用戶的相關信息。

(2)屏蔽ActiveX控件。由于ActiveX控件可以被嵌入到HTML頁面中，并下載到瀏覽器端加以執行，因此會給瀏覽器端造成一定程度的安全威脅。目前已有證據表明，在客戶端的瀏覽器中，如IE中插入某些ActiveX控件，也將直接對服務器端造成意想不到的安全威脅。同時，一些其他技術，如內嵌于IE的VB Script語言，用這種語言生成的客戶端可執行的程序模塊，也同 Java小程序一樣，有可能給客戶端帶來安全性能上的漏洞。此外，還有一些新技術，如ASP(Active server Pages)技術，由于用戶可以為ASP的輸出隨意增加客戶腳本、ActiveX控件和動態HTML，因此在ASP腳本中同樣也都存在著一定的安全隱患。

(3)定期清除緩存、歷史記錄，以及臨時文件夾中的內容。我們在上網瀏覽信息時，瀏覽器會把我們在上網過程中瀏覽的信息保存在瀏覽器的相關設置中，這樣下次再訪問同樣信息時可以很快地達到目的地，從而提高了我們的瀏覽效率。但是瀏覽器的緩存、歷史記錄，以及臨時文件夾中的內容保留了我們太多的上網的記錄，這些記錄一旦被那些無聊的人得到，他們就有可能從這些記錄中尋找到有關個人信息的蛛絲馬跡。

(4)內部網絡系統的密碼要定期修改。由于許多入侵者利用窮舉法來破解密碼，像john這一類的密碼破解程序可從因特網上免費下載，只要加上一個足夠大的字典在足夠快的機器上沒日沒夜地運行，就可以獲得需要的賬號及密碼，因此，經常修改密碼對付這種盜用就顯得十分奏效。

(5)不要使用“MyDocuments”文件夾存放Word、Excel文件。Word、Excel默認的文件存放路徑是根目錄下的“MyDocuments”文件夾，在特洛伊木馬把用戶硬盤變成共享硬盤后，入侵者從這個目錄中的文件名一眼就能看出這個用戶是干什么的，這個目錄幾乎就是用戶的特征標識，所以為安全起見應把工作路徑改成別的目錄，并且層次越深越好，比如：c：\\abc\\def\\ghi\\jkl。

參考文獻：

[1]張曄等:ASP網站漏洞解析及防范.中國信息導報，2006-11-2

[2]劉向東:從各種弊端來看網站服務器問題.計算機信息處， 2005-09