问：如何检测网络上有人在使用NIDS系统？

NIDS系统实际上就是一个嗅探器（sniffer），因此，任何标准的嗅探器检测工具都可用于发现它的存在。这些工具有：

1、AntiSniff（http://www.l0pht.com/antisniff/）

2、neped（http://www.securiteam.com/tools/Neped_-_Detect_sniffers_on_your_local_network.html）

3、Sentinel（http://www.packetfactory.net/Projects/sentinel/）

4、ifstatus（ftp://andrew.triumf.ca/pub/security/ifstatus2.0.tar.gz）

问：如何提高WinNT/Win2K系统的入侵保护程度？

关于这个问题已经有许多诸葛亮出过谋划过策，在此我将选择重点并按考虑顺序列举如下：

1、访问 http://www.microsoft.com/security/ 下载并安装最新的SP和hotfix。

2、安装时文件系统选择NTFS格式，并且每个磁盘都使用NTFS（不要启动盘是FAT，其他盘是NTFS）。NTFS不仅仅可以实现对单个文件和单个目录的权限设置，还可以对它们进行审计。

3、创建一个新的管理员帐号，将administrator的功能限制到最小以设置陷阱，观察是否有人试图盗用其权限；禁止guest帐号或者将guest帐号改名并创建一个新的guest帐号，目的同样是监测是否有人试图使用它入侵系统。

4、去掉对%systemroot%/system32目录的默认权限：Everyone/写。

5、启动REGEDT32程序打开“HKEY_LOCAL_MACHINE\Security”项，以检测远程注册表浏览行为。

6、安装系统时默认目录不要选择“c:\winnt”，让入侵者费些心思猜测系统文件的位置。还有一个更好的方法是：首先安装在c:\winnt目录下，然后重新安装系统到其他目录，并且对c:\winnt目录添加审计功能，这样就可以监测是否有人想访问c:\winnt目录了。正所谓真真假假、假假真真，你在不断窥视、我设陷阱无数。

7、启动分区只存放系统文件，数据和应用程序放到其他分区，甚至将数据和应用程序也分区存放。总之，隔离是避免“火烧联营”的最好方法。

8、屏幕保护使用“Blank Screen”且设置密码保护，这样既达到安全目的也节省服务器处理资源。注意，如果使用来历不明的屏幕保护方案，要小心它可能就是一个后门程序。

9、启动REGEDT32程序，修改AutoSharexxx参数关闭系统默认的自动共享目录，例如ADMIN$、C$、D$等等。对于WinNT，这个参数的位置是：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer

对于WinNT Workstation，位置是：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareWks

10、禁止匿名访问帐号，方法是设置下列项目的值为1：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\RestrictAnonymous

11、对于域控制器，将“从网络访问计算机”的权限分配给授权用户而不是默认Everyone，这样就禁止了使用机器的本地帐号进行远程访问的可能，只允许通过域帐号进行访问。

12、为管理员帐号设置远程访问的帐号锁定策略，使入侵者猜测其口令失败限定次数后自动被锁。当然，我们还是可以在本地使用管理员帐号进入系统的。为了更加安全，也可以完全禁止远程使用管理员帐号，方法是将管理员帐号从“从网络访问计算机”的权限中去除掉。

问：如何提高Win9X系统的入侵保护程度？

保护措施象攻击手段一样多，在此列出我认为最重要的也是最基本的3条：

1、安装最新的补丁程序。

2、关闭打印机共享PRINTER$。打印机共享后，远程用户就可以访问到被共享机器的system32目录下的打印机驱动程序。但是由于系统bug的存在，其他系统文件就有了被窃取的可能，例如密码文件。

3、关闭文件共享。如果是家庭用户，通常根本不需要共享文件。如果非共享不可，必须添加上共享口令并且只在需要共享的时刻共享，贡献完自己的东东后立即关闭。

问：企业网的安全响应组织都应该包括哪些人员？

人从来都是第一位重要的！建立安全响应组织的目的就是确定：当安全事件发生时，用户该寻求谁的帮助、他又应该做什么？由于安全问题涉及到每一个方面，因此这个组织的成员也应该来自五湖四海，保护企业各个部门甚至社会力量。通常，安全响应组织的人员包括：

1、上级主管

负责处理重大安全问题。比如对于一个正在遭受攻击的电子商务的站点，决断是否立即断开网络以免发生更大的损失。

2、人力资源主管

因为许多攻击都来自内部，所以一旦发现自家人捣乱，可以立即请人事部的同志找他谈谈心。

3、技术小组

负责对安全事件进行整理和分析，制定对策数据库，指导实施人员正确操作。

4、实施人员

真正的救火队员，哪里发生火灾，就出现在哪里！

5、外部资源

有些破坏行为罪大恶极、危害严重，自家人已经管不了了，这时就要靠有关的社会力量支援，比如ISP、公安部门等。一来他们的威慑力大，二来他们的政策权威。

问：如果有人说他们被来自我方站点的地址入侵了，该怎么办？

请假想这样一个情形：有人发给你一封Email，有鼻子有眼地说他遭受到了你方地址的入侵，并粘贴来一段日志信息类似如下：

Nov 6 07:13:13 pbreton in.telnetd[31565]: refused connect from xx.xx.xx.xx

最后礼貌地说他们对此非常重视，希望你方认真调查。

在网络时代，这种情况将越来越多。作为管理者，当接收到这类状纸后，首要的任务就是冷静下来仔细地分析来信的真假以及证据的真假，从而决定采取的行为方式。通常情况下，可以考虑以下几个方面的可能：

1、首先尽可能地确定证据（日志信息）是何种软件的产物、可能发生了什么样的攻击行为。在这个例子中，日志信息可能来自于tcpwrappers，一个增强UNIX系统服务的登录及访问控制的软件；信息还表明这只是一个探测行为而非攻击活动。对这些信息了解得越多，就越可能描绘出罪犯的“长相”，好像警察为将逮捕罪犯描图一样。

2、然后从好的方面设想一下这个行为：可能是有人在敲入“telnet xx.xx.xx.xx”时错打了IP地址；可能是想敲入“telnet xx.xx.xx.xx 25”连接一个STMP服务器但却错打成“telnet xx.xx.xx.xx 23”等等。就象是美国的法律，发生了案件，先假设被告无罪再寻找证据证明有罪。

3、接着从坏的方面设想这个行为：可能是你方网络已被攻陷，入侵者从受害机器上执行了扫描工作；你方网络中的一名雇员确实执行了扫描工作。这好像与台湾的法律相似，发生了案件，先假设被告有罪再找证据证明无罪。

4、另外，还有一个经常忽视但也绝对有可能的情况是：来信人可能就是一个入侵者！怎么说呢？通过观察你对来信的重视程度、响应速度以及可能提供的相关资料，比如管理员的IP地址、邮件信息等等，入侵者就可能推测到你方的网络架构是否安全、应急措施是否得当以及得到相关攻击信息。一般来说，这归类于社会工程的问题。要小心了，喊捉贼的可能就是贼！

问：怎么搜集入侵者的攻击证据？

这是一个非常有趣而且困难的课题，道高一尺、魔高一丈，精明的入侵者通常也是优秀的跳板选手和魔术大师，他们总是借助其他人的机器或者使用欺骗IP地址来完成他们的规定动作－攻击！但是，他攻他的，我防我的，我认为至少有以下2类有效方法可以采取：

1、在关键位置安装数据包嗅探器捕获经由的通讯数据以备分析。试一试这种方法吧，你会惊奇地叫道：天啊，我的网络每日里竟然有这么多的扫描数据包在跳舞！

2、尽可能地为开放的每个系统安装审计和日志功能，当入侵发生时，这将是最好的犯罪现场映照。