无论在Internet还是Intranet环境下,网络会时时刻刻遭遇各式各样的安全威胁;为了能够“知己知彼,百战不殆”,我们必须想办法充分对系统自身的网络安全状态进行明察秋毫,才能有的放矢地化解安全威胁。监控网络安全状态的变化,有多种方法可供选用,不过很多方法都需要借助专业工具的帮忙才能完成;其实,重要主机系统自身就具有这方面的本领,我们只要自力更生、对其进行深入挖掘,完全也可以对系统的网络安全变化进行明察秋毫。
1、监控网络服务变化
一旦局域网中的重要主机被网络病毒攻击,那么对应系统中的网络服务状态可能会发生明显的变化。为此,我们可以通过及时监控重要主机系统中的网络服务状态变化情况,来判断目标主机是否遭遇了网络病毒或木马程序的袭击。那如何才能知道目标主机系统中新启动了哪些网络服务,又关闭了哪些网络服务呢?其实很简单,我们可以利用Windows系统自带的net start命令,来快速监测出网络服务的状态变化情况,下面就是具体的监测步骤:
首先在重要主机运行状态正常的情况下,依次单击“开始”/“运行”命令,在弹出的系统运行文本框中,输入“cmd”字符串命令,单击回车键后,将系统状态切换到DOS命令行状态;
其次在DOS命令行状态下输入字符串命令“net start > e:\normal.txt”,单击回车键后,目标主机系统就会自动将正常状态下的网络服务启用状态信息输出保存到“e:\normal.txt”文件中了,我们可以将该文件作为目标主机系统网络服务正常状态的参照;
日后,当我们感觉目标主机系统突然运行缓慢或出现其他明显异常现象时,可以再次执行字符串命令“net start > e:\ignor.txt”,将目标主机系统状态不正常时的网络服务状态信息输出保存到“e:\ignor.txt”文件中;
之后,在DOS命令行状态下执行“fc e:\normal.txt e:\ignor.txt”字符串命令,来比较目标主机系统发生明显异常后的网络服务状态信息,看看究竟有哪些新的网络服务被启动成功了,这些新启动的网络服务很可能就是网络病毒的进程服务或木马服务,此时我们应该采用手工方法强行将新的网络服务关闭掉,再借助专业的杀毒软件来对重要主机系统进行病毒查杀操作,直到恢复重要主机系统的工作状态为止。