[psac]

　　路由防禦有道可尋

　　後來，小張榮升為網管，針對路由器的安全情況，就進行了如下的修改:合理組態路由器等網路設備，可以避免多數的對路由傳輸協定和遠端組態連接阜的攻擊;用專用的身份鑒別產品增強路由器等設備的登入安全性;使用雙因素身份鑒別產品，這類產品採用一次性密碼技術，並且在登入程序中要求相應的認證硬體參與，可以有效消除密碼洩密的危險。同時可以通過收回或撤消令牌的辦法明確地收回離職管理員的權限。


同時，他還準備採用比較可行的手段預防DDOS攻擊，包括:
　　首先，在各主要入口和關鍵節點安裝能夠防範Flooding攻擊的防火牆，這樣可以在攻擊時，將攻擊的效果封閉在相對較小的區域內，而不會波及全網，並能夠在一定程度上確定攻擊來源。



這種方法的弊端也是十分明顯的，一是代價很高，需要組態比較多的高效能防火牆。另一方面，帶寬資源是ISP的主要競爭資源，任何降低帶寬的技術都是不利的，而位於骨幹節點的防火牆無疑會直接影響ISP所擁有的有效帶寬。當然，為了防止自己的小技巧被別人識破，小張制定了規則來避免虛假的TCP/IP位址，這樣攻擊者就不能用欺騙的方法偽裝成來自區域網路的消息。如果攻擊者假裝是內部的機器，用過濾器就能夠有效阻止攻擊者的攻擊了。

　　其次，在骨幹節點安裝網路檢測設備，當發現這類攻擊時可以通過臨時在各路由節點封鎖對攻擊目標的資料包，從而保護網路帶寬和被攻擊的伺服器。這種方式由於不在骨幹線路上增加過濾設備，不會影響網路帶寬，因而比前面的方案更加合理。代價是，這種方案需要為網路檢測系統配備足夠的計算能力，以應付骨幹網路上的巨大的資料流量。同時，攻擊發生時需要具備比較強的處理能力，並預先攻擊發生時的處理規則。

　　從上面這些分析看，路由器的安全不容忽視，由此到整個網路看，安全的隱患也不是某個設備的問題，整體的安全協調才是最重要的。知己知彼，才能百戰百勝。

　　攻防小記事

　　利用智能ABC來關閉程序

　　智能ABC是一款非常流行的拼音輸入法，在所有的Windows系統中進行了預設的安裝，這樣就可以方便大家按照我們介紹的技巧來進行操作了。在智能ABC輸入法的狀態下依次輸入V、↑(向上的方向鍵)、Delete、空格，接著就會連同你輸入的介質程序一起崩潰。比如你在WPS中輸入，就會連WPS和輸入法一起崩潰結束。雖然在平時我們覺得它沒有什麼用處，但在某些地方，比如說網咖，就可以使用該方法來對付網咖的計費程序或管理程序。該方法可以對付一切的網咖計費程序。目前對於該漏洞的避免只有移除智能ABC輸入法，使用紫光等其他的中文輸入法來替代。

　　防範Office資料夾帶惡意程序

　　通過Office資料夾帶惡意程序是最近才流行起來的一種傳播方法，該方法的隱蔽性很強，一般不會引起用戶的注意。黑客通過在Office文件的尾部加入惡意程序，然後利用VBA來編寫一段巨集程式碼，只要用戶執行這個Office文件，巨集就會自動將文件尾部的可執行文件讀出並儲存，然後執行它。

　　其實要成功地利用該方法進行惡意程序的種植，還需要滿足一個條件，那就是HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Word\Stationery中的「Level」值必須為1或者2才行。因為當「Level」的鍵值為3時就表示安全度高，這時Word將拒絕執行任何的巨集;只要我們將「Level」的鍵值設為3就可以起到防範的作用。