入侵检测系统高风险事件及其对策

　　互联网入侵检测系统（以下简称“IDS 系统”）能够及时发现一些内联网内的网络病毒、系统漏洞、异常攻击等高风险事件并进行有效处置，从而增强了内联网的安全性，有力地保障了各重要业务系统的正常运行。为了切实加强内联网管理、充分发挥“IDS系统”的作用。

　　事件 1 Windows 2000/XP RPC 服务远程拒绝服务攻击

　　漏洞存在于Windows系统的DCE-RPC堆栈实现中，远程攻击者可以连接TCP 135端口，发送畸形数据，可导致关闭RPC服务，关闭RPC服务可以引起系统停止对新的RPC请求进行响应，产生拒绝服务。

　　[对策]

　　1、临时处理方法：使用防火墙或Windows系统自带的TCP/IP过滤机制对TCP 135端口进行限制，限制外部不可信任主机的连接。

　　2、彻底解决办法：打安全补丁。

　　事件 2 Windows 系统下 MSBLAST （冲击波）蠕虫传播

　　感染蠕虫的计算机试图扫描感染网络上的其他主机，消耗主机本身的资源及大量网络带宽，造成网络访问能力急剧下降。

　　[对策]

　　1、下载完补丁后断开网络连接再安装补丁。

　　2、清除蠕虫病毒。

　　事件 3 Windows 系统下 Sasser （震荡波）蠕虫传播

　　蠕虫攻击会在系统上留下后门并可能导致 Win 2000/XP 操作系统重启，蠕虫传播时可能导致被感染主机系统性能严重下降以及被感染网络带宽被大量占用。

　　[对策]

　　1、首先断开计算机网络。

　　2、然后用专杀工具查杀毒。

　　3、最后打系统补丁。

　　事件 4 TELNET 服务用户认证失败

　　TELNET服务往往是攻击者入侵系统的渠道之一。大多数情况下，合法用户在TELNET登录过程中会认证成功。如果出现用户名或口令无效等情况，TELNET服务器会使认证失败。如果登录用户名为超级用户，则更应引起重视，检查访问来源是否合法。如果短时间内大量出现TELNET 认证失败响应，则说明主机可能在遭受暴力猜测攻击。

　　[对策]

　　1、检查访问来源的IP、认证用户名及口令是否符合安全策略。

　　2、密切关注FTP客户端大量失败认证的来源地址的活动，如果觉得有必要，可以暂时禁止此客户端源IP地址的访问。

　　事件 5 TELNET 服务用户弱口令认证

　　攻击者可能利用扫描软件或人工猜测到TELNET服务的弱口令从而非法获得FTP服务的访问，也可能结合TELNET服务器的本地其他漏洞获取主机的控制权。

　　[对策]

　　1、提醒或强制相关的TELNET服务用户设置复杂的口令。

　　2、设置安全策略，定期强制用户更改自己的口令。

　　事件 6 Microsoft SQL 客户端SA用户默认空口令连接

　　Microsoft SQL数据库默认安装时存在sa用户密码为空的问题，远程攻击者可能利用这个漏洞登录到数据库服务器对数据库进行任意操作。更危险的是由大多数MS-SQL的安装采用集成 Windows系统认证的方式，远程攻击者利用空口令登录到SQL服务器后，可以利用MS-SQL的某些转储过程如xp_cmdshell等以LocalSystem的权限在主机上执行任意命令，从而取得主机的完全控制。

　　[对策]

　　1、系统的安全模式尽量使用“Windows NT only”模式，这样只有信任的计算机才能连上数据库。

　　2、为sa账号设置一个强壮的密码。

　　3、不使用TCP/IP网络协议，改用其他网络协议。

　　4、如果使用TCP/IP网络协议，最好将其默认端口1433改为其他端口，这样攻击者用扫描器就不容易扫到。

　　事件 7 POP3 服务暴力猜测口令攻击

　　POP3服务是常见网络邮件收取协议。

　　发现大量的POP3登录失败事件，攻击者可能正在尝试猜测有效的POP3服务用户名和口令，如果成功，攻击者可能利用POP3服务本身漏洞或结合其他服务相关的漏洞进一步侵害系统，也可能读取用户的邮件，造成敏感信息泄露。

　　[对策]

　　密切留意攻击来源的进一步活动，如果觉得有必要阻塞其对服务器的连接访问。

　　事件 8 POP3服务接收可疑病毒邮件

　　当前通过邮件传播的病毒、蠕虫日益流行，其中一些邮件病毒通过发送带有可执行的附件诱使用户点击执行来传播，常见的病毒附件名后缀有：.pif、.scr、.bat、.cmd、.com，带有这些后缀文件名附件的邮件通常都是伪装成普通邮件的病毒邮件。

　　邮件病毒感染了主机以后通常会向邮件客户端软件中保存的其他用户邮件地址发送相同的病毒邮件以扩大传染面。

　　此事件表示IDS检测到接收带可疑病毒附件邮件的操作，邮件的接收者很可能会感染某种邮件病毒，需要立即处理。

　　[对策]

　　1、通知隔离检查发送病毒邮件的主机，使用杀毒软件杀除系统上感染的病毒。

　　2、在邮件服务器上安装病毒邮件过滤软件，在用户接收之前就杀除之。

　　事件 9 Microsoft WindowsLSA 服务远程缓冲区溢出攻击

　　Microsoft Windows LSA是本地安全授权服务（LSASRV.DLL）。LSASS DCE/RPC末端导出的 Microsoft活动目录服务存在一个缓冲区溢出，远程攻击者可以利用这个漏洞以SYSTEM权限在系统上执行任意指令。

　　[对策]

　　1、临时处理方法：使用防火墙对UDP端口135、137、138、445及TCP端口135、139、445、 593进行过滤。

　　2、打系统补丁、升级。

分析QQ密码被盗原因及QQ密码防盗建议

　　QQ密码被盗原因

　　一、你的密码过于简单，并在网吧等公共场合使用过QQ，这样的话使用一些猜解软件能轻易地尝试猜解出来。

　　二、您登记在QQ里的Email帐户被黑，这种情况有些类似于第一种情况，所谓的“黑客” 们就是用一些现成的软件去猜解穷举你的Email帐户密码，然后再将QQ号码的密码发到该信箱中。

　　三、您使用的计算机中了“木马”，它的危害性在于它可以截获你所有的键盘输入，并将其保存结果定时发到指定的地址的计算机或者定时发邮件到某个邮件地址。

　　防止QQ密码被盗的建议

　　一、请您尽快将QQ升级到安全性更完善的最新版本，建议您尽量使用腾讯公司官方网站中提供的最新版本QQ正式版。

　　二、立即申请腾讯公司推出的“密码保护”的新功能，申请并设置密码保护能够有效地在您的密码丢失或者遗忘时取回密码，从而保障您的QQ帐号安全。您只需按照步骤要求，填写申请人相关信息，即可得到腾讯公司提供的免费密码保护服务。点击这里申请密码保护。

　　三、密码要复杂，当然也要方便您记忆，最好是数字加英文加标点符号，8-16位最合适。尽管腾讯公司为了您的号码安全提供了多种服务措施，但QQ号码是以密码为唯一有效验证的，往往由于您为您的帐号设置的密码过于淡薄，容易被攻击者作为攻击对象，此时密码保护和号码申诉服务便不能做到万无一失。但尽管非法攻击者为了盗用您的帐号所采用的手段多种多样，但您可以通过对密码进行安全管理，尽可能的避免这些情况发生。并且对密码进行安全管理是被验证了的行之有效的保护帐号的手段。

　　为了帮助您建立易于自己记忆又不会被别人猜测到的密码，请您尝试以下技巧

　　A、请尽量设置长密码。请您设法设置便于记忆的长密码，您可以使用完整的短语，而非单个的单词或数字作为您的密码，因为密码越长，则被破解的可能性就越小。

　　B、尽量在单词中插入符号。尽管攻击者善于搜查密码中的单词，但请您在设置密码时不要放弃使用单词。但您需要在您的单词中插入符号或者变为谐音符号。如：“just for you” 可以改善为“just4y_o_u”。

　　C、请不要在您的密码中出现您的帐号。

　　D、请不要使用您的个人信息作为密码的内容。如生日、身份证号码、亲人或者伴侣的姓名、宿舍号等。

　　E、请您每隔一段时间更新一次帐号的密码。请您每隔一段时间更新一次自己的密码，让您的新密码也遵守以上原则，同时，新密码不应包括旧密码的内容，并且不应与旧密码相似。

　　四、一定要保护好你填写在QQ中的email邮箱，建议您填没有POP3的邮箱，因为破邮箱的工具都是支持POP3的，信箱的密码也要足够复杂。为了您能正常接收腾讯公司发出的邮件（由于某些免费邮箱对腾讯公司邮箱做了流量或IP上的限制，因为有些免费邮件服务提供商的邮件服务器会有问题的，可能会造成收不到邮件，那是因为对方的服务器拒收，不是腾讯公司可独立解决），建议您最好填写QQ邮箱。

　　注：请您先登录，注册QQ邮箱别名后即可激活尝试操作。且在“邮箱管理”—[帐户管理]—应设置为“接收非@QQ.com的邮件”，且在其他过滤设置中不应设置接收相关邮件。

　　五、在网吧等地方使用QQ后，最好能删除自己号码的目录，还要注意清空垃圾箱。

　　六、您的机器最好要有正版杀毒软件和防伪软件，更要注意版本更新。

　　七、请你千万不要下载来路不明的软件，尤其是黑客类、炸弹类软件，这些软件有可能利用您的好奇心理在里面埋伏了木马，当您在炸别人，黑别人的时候殊不知已经为自己埋下了祸根。

　　八、对存入QQ个人帐户中的Q币进行相应的保护，您可以对其设置支付密码，并设置其个人帐户的消费限额，并将多余的游戏币存储为游戏币存款（游戏币存款需要支付密码才可以提取）。请您通过QQ登录，然后在帐户管理下的“修改帐户支付密码”下设置或修改支付密码，同时在帐户管理下的“设置帐户消费限额”中设置帐户的消费限额（消费限额为0表示没有帐户消费限制）。

　　九、请您每隔一段时间更新QQ帐号的密码和密码保护，以防有人使用软件暴力破解。

　　十、随着互联网的飞速发展，一些钓鱼网站和恶意网站也屡见不鲜，严重危害用户的个人信息和计算机安全。在好友发来不明链接时，您可以点击该链接右边的聪明标记并从下拉菜单中选择“检查链接安全性”菜单项，此时QQ会在浏览器中打开QQ安全中心的“检查链接安全性 ”页面，并显示该链接的安全性。

　　因此，只要您在使用QQ的时候多加防范，QQ密码的保密性还是很强的，同时腾讯公司也会不断完善QQ的密码保护机制。如果您的密码不幸已经被盗，请到QQ被盗号码申诉表认真填写所需资料，工作人员根据您提供的证据的可靠性和充分性，尽可能为你找回密码。

另类电子邮件大观

　　电子邮件是互联网上最常用的功能之一，大家对经常使用的电子邮件可能太熟悉了，下面介绍一些另类电子邮件系统。

　　1、信发错了可以收回的企业信息授权通讯系统

　　文件或数据错发给了不该看的人，能立刻收回呢？最近东方网景开发了企业信息授权通讯系统，以企业域名为后缀，每个信箱大小可由企业定义，具有发信跟踪功能、发错信收回功能、邮件自动转发功能、邮件自动回复功能、群发、组发和分类检索功能、信箱别名功能；可调用员工、客户和个人信箱群发和组发。

　　企业信息授权通讯系统中独有的错信收回功能可以保证发件人只要在收件人未阅读前，选择对此项操作的删除，就可通过收回邮件，而收回所发出的文件或数据，而不必去要求收件人删除邮件或亲自去删除该邮件。从而避免了企业信息传递过程中由于误操作所可能带来的负面影响。怎么样，如果您的企业正好想上一套电子邮件系统，不妨考虑考虑东方网景的企业信息授权通讯系统。

　　2、“说说邮件”帮你忙

　　听过“说说邮件”吗？这位另类“妹儿”的英文名字叫lipmail，是对传统邮件收发方式的一种补充。顾名思义，就是只要你动动嘴，打个电话，邮件就会被发到你指定的邮箱。亿网通联公司（Ehoo.net.cn）推出的这项服务真是体贴服务到家：只要拨打“说说邮件”的服务电话，告诉服务中心的小姐需要发送的信息和对方的“说说邮件”号码，对方就可以直接在电子邮箱里看到你发给他的这封email了。

　　这种情况主要发生在找不到能上网的电脑时却偏偏着急要发电子邮件，这样的场合在生活中是会发生的。为了使人们不受时间和空间限制，自由地通过移动互联网发电子邮件，看到市场机会的商家适时打造了更加方便实用的这种电子邮件收发方法。亿网通联公司已在全国100多个城市开设了“说说邮件”中文电话服务中心，开通了“说说邮件”服务。现在用户可免费使用该服务，今后将收取费用也是是每一位普通百姓都可以接受的。

　　3、语音邮件传真情

　　电子邮件在人们的生活中发挥着越来越重要的作用。但是，普通的电子邮件又没有电话所具有的功能 — 语音。俗话说，听话听音，在电话中，人们可以通过语言，充分的表达人们的感情。语言是最贴近生活的交流工具，也最能表达人的思想、意图和情感，比通过文字交流更直接、更亲切，即所谓闻声如见人。因此，如果能够通过电子邮件发送人的声音，既方便，又省钱，也传达了人的感情，满足了人们的感情需要，这该多好！宽带盛行的时代，大家肯定想发多媒体的邮件吧。现在一些公司为了迎合这些人的需求，开发了许多电子邮件系统。

　　Talk-n-Mail就可以把你的电子邮件“多媒体化”。你可用它制作动画邮件模板或制作“有声”邮件。把图片、图标和声音事件加入邮件后，对整个邮件进行压缩，再用Talk-n-Mail把它发送出去就大功告成了。

　　TalkToMe是一个简单易用的声音电子邮件软件。可以把你的e-mail、信件和网页朗读出来。你也可以用它来发送动画信息、朗读指定的祝贺语、定时提醒等。另外，它还可以朗读你的 WAV 文件，该软件中内置了四个动画人物，如果你不喜欢它们还可以到该公司的网站上下载其他动画人物。

　　Pure Voice以其界面友好，使用方便，和其他电子邮件软件无缝连接的强大功能，深受人们的喜爱，并且免费使用。因此，当你也想发送声音电子邮件时，不妨使用Pure Voice试一试它强大的功能，以后，你就可以君子动口不动手了。

　　4、用手机收阅电子邮件

　　手机用户可以随时随地通过手机收取电子邮件，掌上网开发的移动电子邮局系统能使您随时收发大量资讯，更为重要的是手机可以直接收阅电子邮件附件，让您了解最新信息，纵横商海得心应手，实现了真正的移动办公。

　　263首都在线为广大网友、手机爱好者推出“手机收发EMAIL”服务。如果您使用263免费电子邮件，并且有呼机/手机，就不用上网守侯你的重要邮件了：您的呼机/手机会及时通知“ 邮件来了”。邮件通知的内容包括邮件来源（发信人地址）和邮件主题。另外，用手机还可以发EMAIL，这个要求手机要开通短信功能。

　　5、全中文电子邮件系统

　　八达在线推出的中文电子邮件系统将不再依赖于英文电子邮件，从邮件域名到用户名实现全部汉化，并兼容英文邮件，更为杰出的是，电信级的中文电子邮件服务器软件打破了传统英文邮件格局，使之不再相同于传统的中文电子邮件系统。可伸缩的系统结构让您的邮件日吞吐量上百万级，以及更适合移动办公的Web Mail定制会让您感觉到我们服务的更加个性化。此中文邮件系统基于 EJB 的应用接口，适合各种系统环境，让您的投资无须重复，规范的产品结构让您的邮件管理员轻松自如。

　　企业拥有“中文@中文.中文”的电子邮件系统后，可以不再依赖英文电子邮件独立工作，并自动实现对英文电子邮件的识别。这是自中文域名系统后，互联网应用技术在中文环境的又一大技术突破，企业本身也可拥有Internet的Email系统，给您的企业内部带来更方便、有效、理解深刻的母语交流。