IE安全漏洞与防范措施

摘 要： IE安全是信息安全领域一个非常重要的方面，随着计算机网络的广泛应用，安全的重要性也日渐突出，薄弱的认证环节，系统的易被监视性、易欺骗性等这些因素在一定程度上来说直接危害到一个网站的安全。但一直以来有很多网站在设计的时候对安全维护并没有一个正确的理解，因而也不可能认识到安全维护对于网站的重要性。目前，在信息通信的发展过程当中，IE安全漏洞始终是一个引起各方面高度关注的问题，为了让大家上网更加安全快速，本文作者总结整理了IE的安全漏洞和防范措施，以及对抗常见黑客攻击手段。

关键词： IE漏洞 黑客攻击 防火墙技术

1.引言

IE漏洞一般是程序员编程时的疏忽或者考虑不周导致的，还有就是该功能有一定用处（对部分使用者很有用），但是却被黑客利用，也算是漏洞。漏洞的形成有两方面，一方面因为软件、系统分成若干板块，分工编写。问题就出在分工编写这个环节：世界上没有思维一样的人，所以难免会出现种种问题，且不说“几不管”的中间地带，就是在软件汇总时，为了测试方便，程序员总会留有后门，在测试以后再进行修补，这些后门，如果一旦疏忽（或是为某种目的故意留下），或是没有被发现，软件后自然而然就成了漏洞。另一方面就是网络协议。网络协议有TCP、UDP、ICMP、IGMP等。其实，它们本来的用途是好的，但却被一些人用于不法的活动。例如，ICMP本来是用于寻找网络相关信息，后来却被用于网络嗅探和攻击；TCP本来是用于网络传输，后来却被用于泄漏用户信息。对于漏洞的补救方法包括本身补救和借助补救两种方法。

2.IE经典漏洞故障分析与实战解决方案

2.1 发送错误报告IE关闭。

针对不同情况，可分别用以下方法关闭IE发送错误报告功能。

2.1.1对IE5.x用户，执行“控制面板添加或删除程序”，在列表中选择“Internet Explorer Error Reporting”选项，然后单击“更改/删除”按钮，将其从系统中删除。

2.1.2对Windows 9x/Me/NT/2000下的IE6.0用户，则可打开“注册表编辑器”，找到［HKEY_ LOCAL_MACHINE＼Software＼ Microsoft＼ Internet Explorer＼Main］，在右侧窗格创建名为IEWatsonEnabled的DWORD双字节值，并将其赋值为0。

2.1.3对Windows XP的IE6.0用户，执行“控制面板系统”，切换到“高级”选项卡，单击“错误报告”按钮，选中“禁用错误报告”选项，并选中“但在发生严重错误时通知我”，最后单击“确定”按钮。

2.2 IE发生内部错误，窗口被关闭。

2.2.1关闭过多的IE窗口。如果在运行需占大量内存的程序，建议IE窗口打开数不要超过5个。

2.2.2降低IE安全级别。执行“工具Internet选项”菜单，选择“安全”选项卡，单击“默认级别”按钮，拖动滑块降低默认的安全级别。

2.2.3将IE升级到最新版本。IE6.0 SP1可使用以IE为核心的浏览器，如MyIE2。它占用系统资源相对要少，而且当浏览器发生故障关闭时，下次启动它，会有“是否打开上次发生错误时的页面”的提示，尽可能地帮你挽回损失。

2.3 出现运行错误。

2.3.1启动IE，执行“工具Internet选项”菜单，选择“高级”选项卡，选中“禁止脚本调试”复选框，最后单击“确定”按钮即可。

2.3.2将IE浏览器升级到最新版本。

2.4 IE窗口始终最小化的问题。

2.4.1打开“注册表编辑器”，找到［HKEY_CURRENT_USER＼ Software＼Microsoft＼Internet Explorer＼Desktop＼Old WorkAreas］，然后选中窗口右侧的“OldWorkAreaRects”，将其删除。

2.4.2同样在“注册表编辑器”中找到［HKEY_ CURRENT_ USER＼Software＼Microsoft＼Internet Explorer＼Main］，选择窗口右侧的“Window_Placement”，将其删除。

2.4.3退出“注册表编辑器”，重启电脑，然后打开IE，将其窗口最大化，并单击“往下还原”按钮将窗口还原，接着再次单击“最大化”按钮，最后关闭IE窗口。以后重新打开IE时，窗口就正常了。

3.黑客攻击主要方法

3.1 IP伪装技术。

保留IP地址不能在Internet上路由，因此使用保留IP地址的系统无法到达Internet。但通过建立一个IP伪装服务器（一台Linux服务器）可解决这一问题。具有IP伪装功能时，当数据包离开用户计算机时，包含有它自身的IP地址作为“源地址”，在数据包经过Linux服务器发送到外部世界时，会经过一个转换。数据包的源地址改变成服务器的IP地址，而经过转换的数据包可以在Internet中完整路由。服务器同时记录哪个源地址的数据包发送到Internet上的哪个目标IP地址。当数据包发送到Internet上之后，它能够到达其目标地址并获得其响应。从用户角度看，他有一个能够完整路由的Internet连接。安全性由转换表来保证，服务器保存有哪个用户计算机与哪个外部Internet主机通讯的记录。如果某个黑客希望获得对用户计算机的访问，几乎是不可能的。外部世界看到的惟一的IP地址是服务器的地址，其它所有的地址都被隐藏。即使有黑客向服务器发送数据包，服务器也无法知道应该将这个数据包发送到哪个用户计算机。为了将内部网络连接到外部世界，需要在IP伪装服务器上有两个网络接口。一个接口用于连接到内部网络，而另一个接口用来将服务器（并通过IP伪装将内部网络）连接到外部世界。因为这种服务器具有多个接口，所以经常被称为“多宿主”服务器。可以为连接到内部网络的网卡赋予一个保留IP地址。例如：＃/sbin/ifconfig eth1 inet 192.168.1.1 netmask 255.255.255.0，这里，假定连接内部网络的网络接口为eth1，并且内部网络中的用户计算机数小于253。如果需要超过253个用户计算机，则可以增加网络掩码位数，还可建立第二台IP伪装计算机，并将内部网络划分为两个子网。

将用户计算机的IP地址配置为192.168.1.2到192.168.1.254，并将所有用户计算机的网关设置为192.168.1.1、网络掩码为255.255.255.0，就可以从每台用户计算机ping内部网关了（192.168.1.1）。这时，所有的用户计算机能够互相通信，并能够与IP转换服务器通信，但目前还不能从客户计算机上到达外部世界，这需要在IP转换服务器上定义一个过滤规则。键入如下命令即可。/sbin/ipchains -A forward-j MASQ-s 192.168.1.0/24-d 0.0.0.0/0/sbin/ipchains-P forward DENY第一条命令对其目标地址不是192.168.1.0网络的IP数据包打开了IP伪装服务。它将转发最初来自192.168.1.0网络的、经过伪装的IP数据包，并转发到另一个网络接口所连接的网络的默认路由器。第二条命令将默认的转发策略设置为拒绝所有非内部网络的数据包。这时，用户就可以从内部网计算机上浏览并与Internet通讯，就像直接连接到Internet一样可将上述命令放在/etc/rc.d/rc.local文件中，这样，在服务器开机时，就能自动启动IP伪装功能。

3.2利用IP地址欺骗突破防火墙。

黑客或入侵者利用伪造的IP发送地址产生虚假的数据分组，乔装成来自内部站的分组过滤器，这种类型的攻击是非常危险的。关于涉及到的分组真正是内部的还是外部的分组被包装得看起来像内部的种种迹象都已丧失殆尽。只要系统发现发送地址在其自己的范围之内，则它就把该分组按内部通信对待并让其通过。

通常主机A与主机B的TCP连接(中间有或无防火墙)是通过主机A向主机B提出请求建立起来的，而其间A和B的确认仅仅根据由主机A产生并经主机B验证的初始序列号ISN具体分三个步骤。

主机A产生它的ISN，传送给主机B，请求建立连接；B接收到来自A的带有SYN标志的ISN后，将自己本身的ISN连同应答信息ACK一同返回给A；A再将B传送来ISN及应答信息ACK返回给B。至此，正常情况，主机A与B的TCP连接就建立起来了。

B――SYNA

BSYN+ACK――A

B――ACKA

假设C企图攻击A，因为A和B是相互信任的，如果C已经知道了被A信任的B，那么就要相办法使得B的网络功能瘫痪，防止别的东西干扰自己的攻击。在这里普遍使用的是SYN flood，攻击者向被攻击主机发送许多TCP―SYN包。当B的网络功能暂时瘫痪，现在C必须想方设法确定A当前的ISN。首先连向25端口，因为SMTP是没有安全校验机制的，与前面类似，不过这次需要记录A的ISN，以及C到A的大致的RTT（round trip time）。这个步骤要重复多次以便求出RTT的平均值，C向A发送带有SYN标志的数据段请求连接，只是信源IP改成了B。A向B回送SYN+ACK数据段，B已经无法响应，B的TCP层只是简单地丢弃A的回送数据段。这个时候C需要暂停一小会儿，让A有足够时间发送SYN+ACK，因为C看不到这个包。然后C再次伪装成B向A发送ACK，此时发送的数据段带有Z预测的A的ISN+1。如果预测准确，连接建立，数据传送开始。问题在于即使连接建立，A仍然会向B发送数据，而不是C，C仍然无法看到A发往B的数据段，C必须蒙着头按照协议标准假冒B向A发送命令，于是攻击完成。如果预测不准确，A将发送一个带有RST标志的数据段异常终止连接，C只有从头再来。随着不断地纠正预测的ISN，攻击者最终会与目标主机建立一个会晤。通过这种方式，攻击者以合法用户的身份登录到目标主机而不需进一步的确认。如果反复试验使得目标主机能够接收对网络的ROOT登录，那么就可以完全控制整个网络。

C(B)――SYNA

BSYN+ACK――A

C(B)――ACKA

C(B)――PSHA

IP欺骗攻击利用了RPC服务器仅仅依赖于信源IP地址进行安全校验的特性，攻击最困难的地方在于预测A的ISN。攻击难度比较大，但成功的可能性也很大。C必须精确地预见可能从A发往B的信息，以及A期待来自B的什么应答信息，这要求攻击者对协议本身相当熟悉。同时需要明白，这种攻击根本不可能在交互状态下完成，必须通过写程序完成。当然在准备阶段可以用netxray之类的工具进行协议分析。

3.3 防范伪装成可信IP地址的攻击。

攻击者通过改变自己的IP地址来伪装成内部网用户或可信的外部网用户，以合法用户身份登录那些只以IP地址作为验证的主机；或者发送特定的报文以干扰正常的网络数据传输；或者伪造可接收的路由报文（如发送ICMP报文）来更改路由信息，来非法窃取信息。

防范方法有以下几种。

3.3.1当每一个连接局域网的网关或路由器在决定是否允许外部的IP数据包进入局域网之前，先对来自外部的IP数据包进行检验，如果该IP包的IP源地址是其要进入的局域网内的IP地址，该IP包就被网关或路由器拒绝，不允许进入该局域网。虽然这种方法能够很好地解决问题，但是考虑到一些以太网卡接收它们自己发出的数据包，并且在实际应用中局域网与局域网之间也常常需要有相互的信任关系以共享资源，因此这种方案不具备较好的实际价值。

3.3.2另外一种防御这种攻击的较为理想的方法是当IP数据包出局域网时检验其IP源地址。即每一个连接局域网的网关或路由器在决定是否允许本局域网内部的IP数据包发出局域网之前，先对来自该IP数据包的IP源地址进行检验。如果该IP包的IP源地址不是其所在局域网内部的IP地址，该IP包就被网关或路由器拒绝，不允许该包离开局域网。因此建议每一个ISP或局域网的网关路由器都对出去的IP数据包进行IP源地址的检验和过滤。如果每一个网关路由器都做到了这一点，IP源地址欺骗将基本上无法奏效。

4.结语

本文阐述了IE浏览器的漏洞的形成和解决漏洞的办法，并且介绍了防范黑客对IE浏览器攻击的技巧。

参考文献：

［1］V.V.PReetham.INTERNET安全与防火墙.清华大学出版社.

［2］Erik Schetina Ken Green.INTERNET安全权威指南.中国电力出版社.

［3］梅珊，王滕宇，冯晓聪.黑客帝国INTERNET安全防范实例.中国电力出版社.

［4］李思齐.文洋.防火之道――INTEERNET安全构建与应用.北京航天航空大学出版社.

［5］李明柱.时忆杰.安全防范技巧与实例.北京航天航空大学出版社.

［6］周仲义.网络安全与黑客攻击.贵州科学技术出版社.

［7］Sean Convery.网络安全体系结构.人民邮电出版社.

［8］Charlie Kaufman.Radia Perlman.Mike Speciner.网络安全――公众世界中的通信秘密.电子工业出版社.

［9］Kevin Kenan.数据库加密――最后的防线.电子工业出版社.

［10］赵泉.网络安全与电子商务.清华大学出版社.