防范电子邮件攻击

  电子邮件攻击,是目前商业应用最多的一种商业攻击,我们也将它称为邮件炸弹攻击。目前有许多邮件炸弹软件,虽然它们的操作有所不同,成功率也不稳定,但是有一点就是他们可以隐藏攻击者不被发现。

  下面就说说邮件炸弹原理:其实原理很简单,就是对某个或多个邮箱发送大量的邮件,使网络流量加大占用处理器时间,消耗系统资源,从而使系统瘫痪。下面就来看看常见的邮件攻击,并告诉大家如何进行防守。www.sq120.com推荐文章

回复转发的死循环
进攻方式
  假设甲要对乙的邮箱进行攻击,甲首先会申请两个电子邮箱,在其中的一个邮箱中启动转发和自动回信功能,转发邮箱为乙的邮箱。在另一个邮箱中启动自动回信功能,这个功能在目前许多的邮箱中都有。从只带有自动回信功能的邮箱中,向带有转发和自动回信功能的邮箱中发送邮件。
  这样两个信箱由于都带有自动回信,所以就进行循环发信,而当带有转发功能的邮箱收到邮件后就会向乙的邮箱发送邮件。这样乙的邮箱很快就被填满了。
防范技巧
  当乙受到攻击后可以使用下面的方法进行防守。
  登录到自己的Web邮箱中,进入垃圾邮件设置页面,然后将甲的邮箱设置为垃圾邮箱即可。
“胀”破邮箱容量
攻击方式
  申请一个邮箱,开启匿名功能。使用如Outlook这些邮件工具,发送一个大容量的附件,在启动Outlook中的切分功能后,进行发送。WwW.itCOmPuTeR.coM.cN
防范技巧
  登录到Web邮箱,进入邮箱的系统设置中。设置可以接收最大邮件的大小。这样就可以将大于此容量的邮件拒绝在邮箱以外了。
基于软件的攻击
攻击方式
  启动专门的邮箱炸弹软件——邮箱终结者,在“轰炸地址”里输入要攻击的邮箱地址。设置邮件的发送服务器,通常来说使用SMTP服务器,填写邮件的相关内容,如标题。在邮箱下方设置发送量和发送邮件的线程数目,点击“开始”按钮,进行攻击。
防范技巧
  登录到Web邮箱,进入设置页面,在可信任人页面中,输入可以接收哪些邮箱地址。这样就只有被列入了此项中的邮箱发送的邮件可以被接收,而其他的邮件将全部被拒绝。  
如何防范入侵者对系统的扫描   我们知道,入侵者的每一次入侵都是通过扫描开始的,扫描软件首先会判断远程计算机是否存在,接着对存在的远程计算机进行扫描。入侵者通过扫描的结果可以得到打开的端口、服务、以及存在的各种漏洞等信息。www.sq120.com推荐文章

  现在,扫描的方法很多,可以使用Ping、网路邻居、SuperScan、NMAP、NC等命令和工具进行远程计算机的扫描,其中SuperScan的扫描速度非常快,而NMAP的扫描非常的专业,不但误报很少,而且还可以扫描到很多的信息,包括系统漏洞、共享密码、开启服务等等。
  我们要针对这些扫描进行防范,首先我们要禁止ICMP的回应,当对方进行扫描的时候,由于无法得到ICMP的回应,扫描器会把存在的计算机误认为主机不存在,从而达到保护自己的目的。

  现在很多的防火墙都有禁止ICMP的设置,而Windows XP SP2自带的防火墙也包括该功能。另外,通过其他专业的防火墙软件不但可以拦截来自局域网的各种扫描入侵,从软件的日志中,我们还可以查看到数据包的来源和入侵方式等。
  这里以天网防火墙为例,为大家进行讲解。运行天网防火墙,点击操作界面中的“IP规则管理”命令,弹出“自定义IP规则”窗口。去掉“允许局域网的机器用ping命令探测”选项,最后点击“保存规则”按钮进行保存即可。  
防范MAC、IP盗网贼   最近笔者发现有些非法用户不仅将自己的IP地址改为了高级用户的IP地址,还通过ARP命令获得了高级用户所用计算机的MAC地址,将自身的MAC地址也进行了修改。这样一来不仅没有IP地址冲突的提示,而且两台计算机都可以上网了,非法用户轻松享受了高级用户的权限。
  作为一名合格的网络管理员我们需要“扼杀”一切非法使用网络的行为,本文将为大家讲解如何防范修改IP地址与MAC地址违规上网的行为。
IP冲突基础知识
  一般情况下两台设置了相同IP地址的计算机在启动后会出现IP地址冲突的提示,先启动的计算机可以使用网络,而后启动的计算机无法使用网络资源。所以在公司所有计算机都开机的情况下如果有人手动修改了IP地址一定会出现IP冲突的警告。当正常用户不能使用网络时建议及时通知网络管理员,网络管理员可以迅速查找出非法使用者的计算机。
什么是IP地址与MAC地址的绑定?
  在代理服务器上一般都通过“arp -s 157.55.85.212 00-aa-00-62-c6-09”这个命令将IP地址与相应的MAC地址捆绑在一起,这样IP地址相同MAC地址不符的计算机就不能通过代理服务器上网了。简单地修改IP地址进行非法资源访问的方法将无效。
谁在盗用网络?
  这里需要指出的是,IP地址冲突检测的原理就是查找本地网络中是否存在IP地址相同而MAC地址不同的主机,一旦有这样的情况就会出现ARP解析错误从而报IP地址冲突。不过如果将MAC地址也设置相同,ARP解析就不会出现任何错误,自然不会报IP地址冲突,而且上网没有问题,这就是本文刚开始中提到的非法用户使用网络的方法。
ARP解析防非法用户
  鉴于很多用户通过修改IP地址实现非法使用网络的功能,那么我们可以在代理服务器上通过ARP命令将IP地址与MAC地址绑定起来,从而防止用户随意修改IP地址非法使用网络。
  第一步:在Windows 98系统中执行winipcfg查看MAC地址(在Windows 2000及其以上操作系统中运行ipconfig/all进行查看)。将所有计算机的MAC地址与IP地址记录下来。
  实际上网络管理员也可以利用Nbtstat命令来远程获得指定机器的MAC地址。在MS-DOS方式下键入命令“Nbtstat -a 远程计算机名”,即可获得指定机器的IP地址和MAC地址。不过需要实现建立IPC连接,如果初次使用不会有任何反应。建立IPC连接的最方便快捷的办法就是在执行“Nbtstat -a 远程计算机名”前先使用一款扫描工具对整个局域网扫描,自动建立IPC连接。这样运行“Nbtstat -a 远程计算机名”就不会出现没有任何反馈信息的情况了。
  第二步:在代理服务器上使用ARP命令建立IP地址与MAC地址的映射关系,例如使用“ARP -s 10.91.30.45 00-EO-4C-6C-08-75”命令,这样就将静态IP地址10.91.30.45与网卡地址为00-EO-4C-6C-08-75的计算机绑定在一起了,即使别人盗用了IP地址192.168.1.4,也无法通过代理服务器上网。
  提示:ARP的映射信息会在每次重新启动计算机后消失,所以请将所有的映射命令保存到一个批处理BAT文件中,并将这个文件设置为随系统启动而加载,从而保证代理服务器重新启动ARP映射信息也不会消失了。
绑定端口,限制盗用
  本文说明了仅仅通过将IP地址与MAC地址绑定起来防止非法用户使用网络不是非常有效的,应该采用将交换机的端口与MAC地址或IP地址进行绑定的方法来限制。
  我们以CISCO交换机为例讲解配置命令。登录进入交换机,输入管理口令进入配置模式,输入命令:(config)#mac_address_table permanent [MAC地址] [以太网端口号]。将交换机的MAC地址与端口绑定后擅自改动本机网卡的MAC地址,该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现上网,自然也就不会对局域网造成干扰了。
  逐一地将每个端口与相应的计算机MAC地址进行绑定保存退出后就彻底阻止了用户的非法修改。当然其他品牌的交换机只要是可以网管的,大多可以按照此方法进行操作。