實(shí)戰(zhàn)攻防TCP/IP篩選策略

引言：網(wǎng)絡(luò)環(huán)境中，電腦和外界進(jìn)行通訊依靠的是本機(jī)開放的網(wǎng)絡(luò)端口。現(xiàn)在的病毒、木馬、黑客軟件之所以能夠在網(wǎng)絡(luò)中興風(fēng)作浪，就是利用特定的網(wǎng)絡(luò)端口進(jìn)行非法活動(dòng)的。利用Windows XP的TCP/IP篩選策略，可以輕松關(guān)閉各種危險(xiǎn)端口，從而有效地切斷黑客入侵、病毒傳播的途徑。使用TCP/IP篩選器的最大優(yōu)點(diǎn)是可以有針對(duì)性的開放端口，這樣不需要的端口就自動(dòng)封閉。

在網(wǎng)絡(luò)環(huán)境中，電腦和外界進(jìn)行通訊依靠的是本機(jī)開放的網(wǎng)絡(luò)端口。現(xiàn)在的病毒、木馬、黑客軟件之所以能夠在網(wǎng)絡(luò)中興風(fēng)作浪，就是利用特定的網(wǎng)絡(luò)端口進(jìn)行非法活動(dòng)的。利用Windows XP的TCP/IP篩選策略，可以輕松關(guān)閉各種危險(xiǎn)端口，從而有效地切斷黑客入侵、病毒傳播的途徑。使用TCP/IP篩選器的最大優(yōu)點(diǎn)是可以有針對(duì)性的開放端口，這樣不需要的端口就自動(dòng)封閉。

設(shè)置TCP/IP篩選策略

打開本地連接的屬性窗口，在“常規(guī)”面板中雙擊“Internet協(xié) 議（TCP/IP）”項(xiàng)，在彈出的窗口中點(diǎn)擊“高級(jí)”按鈕，接著打開“選項(xiàng)”面板，在其中雙擊“TCP/IP篩選”項(xiàng)，在“TCP/IP篩選”窗口中勾選“啟用TCP/IP篩選”項(xiàng)，本例中根據(jù)需要在“TCP端口”、“UDP端口”和“IP協(xié)議”欄中勾選“只允許”項(xiàng)，點(diǎn)擊“添加”按鈕，依次輸入允許開放的端口即可，點(diǎn)擊確定按鈕保存設(shè)置，然后重新啟動(dòng)系統(tǒng)即可。

黑客如何破解TCP/IP篩選策略

使用了TCP/IP篩選策略封閉危險(xiǎn)端口后，就可以高枕無憂了么？實(shí)際情況未必如此。TCP/IP篩選策略的配置信息實(shí)際上保存在注冊(cè)表中，只要對(duì)注冊(cè)表對(duì)應(yīng)的項(xiàng)目進(jìn)行簡(jiǎn)單的修改，就可以輕松解除TCP/IP篩選策略的封鎖。

假設(shè)在TCP/IP篩選策略只開啟了“3389”端口。在“開 始”→“運(yùn)行”中執(zhí)行“Regedit.exe”程序，在注冊(cè)表編輯器中展開“HKEY_LOCAL _MACHIN ESYSTEMControlSet001ServicesTcpipParameters”分支，在右側(cè)窗口中雙擊“EnableSecurityFilters” 鍵值名，在打開的對(duì)話框中可以看到其數(shù)值為“1”，表示已經(jīng)啟用TCP/IP篩選策略，如果將其值設(shè)為“0”，即可關(guān)閉TCP/IP篩選策略。例如，當(dāng)黑客通過各種漏洞或者非法提權(quán)操作獲得CMDshell控制環(huán)境后，可以使用系統(tǒng)自帶的“reg.exe”程序，對(duì)上述注冊(cè)表路徑進(jìn)行改寫，來突破TCP/IP篩選策略。

圖1 查看保存在注冊(cè)表中允許開放端口列表

圖2 GSS規(guī)則配置界面

此外，展開“HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesTcpipPara metersInterfaces{E18633C4-C26E-4A34-8CA6-B7B5BE452C8D}”分 支，注意其中的CSID項(xiàng)根據(jù)不同的電腦而定，在右側(cè)窗口 的“TCPAllowedPorts”、“UDPAllowedPorts” 和“RawIPAllowed Protocols”鍵值名中分別保存著允許開放的TCP、UDP和IP端口列表，如圖1所示。知道了TCP/IP篩選策略的保存機(jī)理，入侵者就完全可以設(shè)計(jì)出一個(gè)針對(duì)TCP/IP篩選策略的木馬程序，首先將“HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesTcpipParameters”路徑單獨(dú)導(dǎo)出，然后將上述注冊(cè)表路徑中的“EnableSecurityFilters”鍵值名的值設(shè)置為“0”，即可禁止TCP/IP篩選策略，同時(shí)將遍歷上述注冊(cè)表分支中的“Interfaces”下的所有子健，將其中的“TCPAllowedPorts”、“UDPAllowedPorts” 和“RawIPAllowed Protocols”鍵值名清空，即可開放所有端口。這樣，當(dāng)黑客完成入侵動(dòng)作后，再將先前保存的注冊(cè)表路徑導(dǎo)入（例如使用“regeditsc: cpip.reg”，假設(shè)tcpip.reg為導(dǎo)出的文件），即可悄無聲息地突破擊破TCP/IP篩選策略的封鎖了。

徹底保護(hù)TCP/IP篩選策略

從上面的分析可以看出，啟用了TCP/IP篩選策略后，不要以為系統(tǒng)就此徹底安全了。要想保護(hù)TCP/IP篩選策略配置信息，必須從保護(hù)注冊(cè)表中的相關(guān)配置項(xiàng)目入手。我們前面談到，黑客會(huì)利用系統(tǒng)自帶的“reg.exe”程序，來對(duì)目標(biāo)注冊(cè)表數(shù)據(jù)進(jìn)行修改。那么最好的方法就是將“C:WindowsSystem32”文件夾中的“reg.exe”徹底行刪除，實(shí)際上我們平時(shí)也很少使用到該程序，將其刪除對(duì)日常操作幾乎沒有影響。當(dāng)然，還可以利用權(quán)限配置功能，來限制其他用戶對(duì)上述敏感鍵值的讀寫操作。例如，運(yùn)行“regedt32.exe”程序，在注冊(cè)表編輯器中選擇“HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesTcpipParameters”分支，在其右鍵菜單中點(diǎn)擊“權(quán)限”項(xiàng)，在權(quán)限設(shè)置窗口中禁用所有賬戶（包括Administrators組 等），對(duì)該分支的完全控制和讀取權(quán)限，這樣黑客就無法使用“Reg.exe”程序，來隨意讀寫其中的數(shù)據(jù)了。

當(dāng)然，還可以使用各種注冊(cè)表監(jiān)控軟件，來密切監(jiān)視和TCP/IP篩選策略關(guān)聯(lián)的注冊(cè)表數(shù)據(jù)變化，來及時(shí)獲得報(bào)警信息。這樣的軟件有很多，這里就以Ghost Security Suite（以下簡(jiǎn)稱GSS）這款強(qiáng)悍的注冊(cè)表保護(hù)工具為例，來保護(hù)指定的注冊(cè)表路徑。在GSS主窗口頂部點(diǎn)擊“注冊(cè)表保護(hù)”按鈕，在規(guī)則配置窗口（如圖2所示）左側(cè)列表選中合適的類別，在右側(cè)的“組名稱”欄中輸入新的組名，在“組描述”欄輸入描述信息，點(diǎn)擊“添加組”按鈕建立新組。隨后在左側(cè)列表選中新建組名，點(diǎn)擊規(guī)則列表中的“添加規(guī)則”按鈕，在新建規(guī)則窗口中的“步驟1-注冊(cè)鍵”欄中選擇上述注冊(cè)表路徑，在“步驟2-注冊(cè)值”欄中選擇該主鍵下的具體鍵值。注意，主鍵和鍵值的設(shè)定都支持“*”，“?”，“~”三種通配符，這將極大提高防御的靈活性。*代表任意字符串, ?代表單個(gè)字符,~代表只匹配當(dāng)前一層注冊(cè)表項(xiàng),遇到“”則中止。~經(jīng)常與*搭配使用。例 如：HKEY_LOCAL _MACHINESoftware*~與HKEY_LOCAL_MACHINESoftwareGhost Security匹配，與HKEY_LOCAL_MACHINESoftwareGhost SecurityRegDefend則不匹配。最后點(diǎn)擊“添加規(guī)則”按鈕保存設(shè)置。

之后在配置窗口的中選則該新建規(guī)則，在下面的“1.在這些事件”欄中可以組合選擇讀取鍵、創(chuàng)建鍵、修改鍵、讀取鍵、設(shè)置鍵、刪除值等保護(hù)項(xiàng)。在“2.執(zhí)行這些操作”欄中設(shè)定當(dāng)滿足此條規(guī)則時(shí)，執(zhí)行的動(dòng)作類型，包括攔截，記錄到磁盤、詢問用戶等。例如，在本規(guī)則可以選擇攔截動(dòng)作，這樣當(dāng)有程序試圖修改對(duì)應(yīng)的注冊(cè)表鍵值時(shí)，GSS即可對(duì)其進(jìn)行攔截。