1、1网络黑客攻击与防范摘要:在今天的信息时代,计算机网络的应用已经涉及到了社会的方方面面,人们的生活与网络密不可分,网络安全问题日趋严重,黑客攻防技术成为当今网络技术关注和发展的焦点,随着网络的发展, 网络安全问题已经成为一个被人们强烈关注的热点。而其中黑客攻击所造成的安全问题是很重要的一个方面。认真研究当今黑客入侵的手段及其相应的防范对策,对计算机网络用户提供安全是很有必要的,要对黑客常用的攻击手段进行较为全面地剖析,并了解防范黑客的一些可行性措施。本文将介绍网络安全面临的主要威胁,重点分析黑客攻击的一般步骤, 使用的手段,以及解决应对的最新方法手段。关键词:网络安全 威胁 黑客 攻击步骤 对
2、策谈到网络安全问题,就没法不谈黑客(Hacker) 。黑客是指对计算机某一领域有着深入的理解,并且十分热衷于潜入他人计算机、窃取非公开信息的人。每一个对互联网络的知识十分了解的人,都有可能成为黑客。黑客是:“喜欢探索软件程序奥秘,并从中增长其个人才干的人。 ”显然, “黑客”一语原来并没有丝毫的贬义成分,直到后来,少数怀有不良的企图,利用非法手段获得的系统讯问权去闯入运程机器系统、破坏重要数据,或为了自己的私利而制造麻烦的具有恶意行为的人慢慢玷污了“黑客”的名声, “黑客”才逐渐演变成入侵者、破坏者的代名词。一:黑客常见攻击步骤:黑客常用的攻击步骤可以说变幻莫测,但纵观其整个攻击过程,还是有一
3、定规律可循的,一般可以分:攻击前奏、实施攻击、巩固控制、继续深入几个过程。见下图 1 示:21攻击前奏 黑客在发动攻击目标了解目标的网络结构,收集各种目标系统的信息等. 锁定目标:网络上上有许多主机,黑客首先要寻找他找的站点的.当然能真正标识主机的是 ip 地址,黑客会利用域名和 lp 地址就可以顺利地找到目标主机. 2了解目标的网络结构: 确定要攻击的目标后,黑客就会设法了解其所在的网络结构,网关路由,防火墙,ids 在哪里,哪些主机与要攻击的目标主机关系密切等,最简单地就是用 tracert 命令追踪路由,也可以发一些数据包看其是否能通过来猜测其防火墙过滤则的设定等 3收集系统信息: 在收
4、集到目标的第一批网络信息之后,黑客会对网络上的每台主机进行全面的系统分析,以寻求该主机的安全漏洞或安全弱点.收集系统信息的方法有:开放端口分析利用信息服务利用安全扫描器,社会工程.开放端口分析.首先黑客要知道目标主机采用的是什么操作系统什么版本,如果目标开放 telnet 服务,那只要 telnet (目标主机),就会显示“digitalunlx(xx.xx.xx.)(ttypl)login:“这样的系统信息.接着黑客还会检查其开放端口进行服务分析,看是否有能被利用的服务. 4实施攻击 当黑客探测到了足够的系统信息,对系统的安全弱点有了了解后就会发动攻击,当然他3们会根据不同的网络结构、不同的
5、系统情况而采用的不同的攻击手段.一般,黑客攻击的终极目的是能够控制目标系统,窃取其中的机密文件等,但并不是每次黑客攻击都能够得逞控制目标主机的目的的,所以有时黑客也会发动拒绝服务攻击之类的干扰攻击,使系统不能正常工作. 5巩固控制 黑客利用种种手段进入目标主机系统并获得控制权之后,不是像大家想象的那样会马上进行破坏活动,删除数据、涂改网页等,那是毛头小伙子们干的事情.一般入侵成功后,黑客为了能长时间表的保留和巩固他对系统的控制权,不被管理员发现,他会做两件事:清除记录和留下后门.日志往往会记录上一些黑攻击的蛛丝马迹,黑客当然不会留下这些“犯罪证据“,他会把它删了或用假日志覆盖它,为了日后面以不
6、被觉察地再次进入系统,黑客会更改某些系统设置、在系统中置入、特洛伊木马或其他一些远程操纵程序. 6继续深入 清除日志、删除拷贝的文件等腰三角形手段来隐藏自己的踪迹之后,攻击者就开始下一步的行动;窃取主机上的各种敏感信息:软件资料、客户名单、财务报表,信用卡号等等,也可能是什么都不动,只是把你的系统作为他存放黑客程序或资料的仓库,也可能黑客会利用这台已经攻陷的主机去继续他下一步的攻击, 二:常见的几种攻击分类1.源 IP 地址欺骗攻击 许多应用程序认为若数据包可以使其自身沿着路由到达目的地,并且应答包也可回到源地,那么源 IP 地址一定是有效的,而这正是使源 IP 地址欺骗攻击成为可能的一个重要
7、前提。 假设同一网段内有两台主机 A 和 B,另一网段内有主机 X。B 授予 A 某些特权。X 为获得与 A 相同的特权,所做欺骗攻击如下:首先,X 冒充 A,向主机 B 发送一个带有随机序列号的 SYN 包。主机 B 响应,回送一个应答包给 A,该应答号等于原序列号加 1。然而,此时主机 A 已被主机 X 利用拒绝服务攻击 “淹没”了,导致主机 A 服务失效。结果,主机 A将 B 发来的包丢弃。为了完成三次握手,X 还需要向 B 回送一个应答包,其应答号等于 B向 A 发送数据包的序列号加 1。此时主机 X 并不能检测到主机 B 的数据包(因为不在同一网段) ,只有利用 TCP 顺序号估算法
8、来预测应答包的顺序号并将其发送给目标机 B。如果猜测正确,B 则认为收到的 ACK 是来自内部主机 A。此时,X 即获得了主机 A 在主机 B 上所享有的特权,并开始对这些服务实施攻击。 4如何防御(1)抛弃基于地址的信任策略 阻止这类攻击的一种十分容易的办法就是放弃以地址为基 础的验证。不允许 r 类远程调用命令的使用;删除.rhosts 文件;清空/etc/hosts.equiv 文件。这将迫使所有用户使用其它远程通信手段,如 telnet、ssh、skey 等等。 (2)使用加密方法 在包发送到 网络上之前,我们可以对它进行加密。虽然加密过程要求适当改变目前的网络环境,但它将保证数据的完
9、整性、真实性和保密性。 (3)进行包过滤 可以配置路由器使其能够拒绝网络外部与本网内具有相同 IP 地址的连接请求。而且,当包的 IP 地址不在本网内时,路由器不应该把本网主机的包发送出去。有一点要注意,路由器虽然可以封锁试图到达内部网络的特定类型的包。但它们也是通过分析测试源地址来实现操作的。因此,它们仅能对声称是来自于内部网络的外来包进行过滤,若你的网络存在外部可信任主机,那么路由器将无法防止别人冒充这些主机进行 IP 欺骗。 2.缓冲区溢出攻击及其防范措施 缓冲区溢出攻击是属于系统攻击的手段,通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指
10、令,以达到攻击的目的。当然,随便往缓冲区中填东西并不能达到攻击的目的。最常见的手段是通过制造缓冲区溢出使程序运行一个用户 shell,再通过 shell 执行其它命令。如果该程序具有 root 权限的话,攻击者就可以对系统进行任意操作了。 如何防御(1)程序指针完整性检查 在程序指针被引用之前检测它是否改变。即便一个攻击者成功地改变了程序的指针,由于系统事先检测到了指针的改变,因此这个指针将不会被使用。 (2)堆栈的保护 这是一种提供程序指针完整性检查的编译器技术,通过检查函数活动记录中的返回地址来实现。在堆栈中函数返回地址后面加了一些附加的字节,而在函数返回时,首先检查这个附加的字节是否被改
11、动过。如果发生过缓冲区溢出的攻击,那么这种攻击很容易在函数返回前被检测到。但是,如果攻击者预见到这些附加字节的存在,并且能在溢出过程中同样地制造他们,那么他就能成功地跳过堆栈保护的检测。 (3)数组边界检查 所有的对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内进行。最直接的方法是检查所有的数组操作,通常可以采用一些优化技术来减少检查次数。目前主要有这几种检查方法:Compaq C 编译器、Jones & Kelly C 数组边界检查、Purify 存储器存取检查等。 53.放置特洛伊木马程序 特洛伊木马程序可以直接侵入用户的电脑并进行破坏, 它常被伪装成工具程序或者游戏 等诱使用
12、户打开带有特洛伊木马程序的邮件附件或从网上直接下载, 一旦用户打开了这些邮 件的附件或者执行了这些程序之后, 它们就会象古特洛伊人在敌人城外留下的藏满士兵的木 马一样留在自己的电脑中, 并在自己的计算机系统中隐藏一个可以在 windows 启动时悄悄执 行的程序.当您连接到因特网上时,这个程序就会通知黑客 ,来报告您的 IP 地址以及预先 设定的端口.黑客在收到这些信息后,再利用这个潜伏在其中的程序,就可以任意地修改您 的计算机的参数设定,复制文件,窥视你整个硬盘中的内容等,从而达到控制你的计算机的 目的.防范木马应该注意的一些问题1、不到不受信任的网站上下载软件运行2、不随便点击来历不明邮件
13、所带的附件3、及时安装相应的系统补丁程序4、为系统选用合适的正版杀毒软件,并及时升级相关的病毒库5、为系统所有的用户设置合理的用户口令口令设置要求1.口令应该不少于 8 个字符;2.不包含字典里的单词、不包括姓氏的汉语拼音;3.同时包含多种类型的字符,比如 o 大写字母(A,B,C,Z)o 小写字母(a,b,cz)o 数字(0,1,2,9)o 标点符号(,#,!,$,%,& ). 4.对防火墙的攻击 一般来说,防火墙的抗攻击性很强,可是它也不是不可攻破的。其实,防火墙也是由软件和硬件组成的,在设计和实现上都不可避免地存在着缺陷。对防火墙的探测攻击技术有:Firewalking 技术、Hping
14、。 绕过防火墙认证的攻击手法有:地址欺骗和 TCP 序号协同攻击、IP 分片攻击、Tcp/Ip 会话劫持、协议隧道攻击、干扰攻击、利用 FTP-pasv 绕过防火墙认证的攻击。 直接攻击防火墙系统的常见手法有:CiscoPix 防火墙的安全漏洞:CiscoPIX 防火墙的拒绝服务漏洞、CISCOPIX 防火墙 FTP 漏洞允许非法通过防火墙。 6如何防御规则设置篇 ICMP IGMP 炸弹都让一些用户感到心惊胆战。所以,某些用户索性禁止所有 ICMP 和IGMP。显然是不大好的设置,因为 ICMP IGMP 固然被人利用来做炸弹,但是总不能“宁可杀错一万,不能放走一个”的全部拦截。且不说别的,
15、就说因为全部拦截 ICMP IGMP 所耗费的系统资源就数不胜数 其实拦截的只需是 ICMP 的 1 型(即 echo requset)就已经足够了。因为拦截 ICMP 的 1 型主要是为了防黑客用 ping 命令查询你是否在线,所以此类ICMP 必须拦截。 功能设置篇 功能设置属于外部设置,主要因为,这些设置不会改变规则中要求拦截和放行对象.对于经常上网的宽带用户来说,随机启动是绝对不可少的。如果是拨号用户或不常上网的用户来说,防火墙的启动有两种方案: 方案一:上网前手动开启防火墙(一般用户) 方案二:用一个文件使防火墙和网络连接一起启动(高级用户) 通常,网络防火墙都会有一个安全等级选项。
16、对于这个选择,绝对不可以随便选。因为,有不少用户就是因为不根据实际情况选择,而导致无法使用某些网络资源或被黑客有机可乘。固定 ip 的技术性局域网用户来说设置为中等即可,一般用户将规则设置为中低即可。 5.利用病毒攻击 病毒是黑客实施网络攻击的有效手段之一,它具有传染性、隐蔽性、寄生性、繁殖性、潜伏性、针对性、衍生性、不可预见性和破坏性等特性,而且在网络中其危害更加可怕,目前可通过网络进行传播的病毒已有数万种,可通过注入技术进行破坏和攻击.计算机病毒攻击的传播途径有电子邮件、传统的软盘、光盘、BBS、WWW 浏览、FTP 文件下载、新闻组、点对点通信系统和无线通信系统等。如何防御1).杀 毒
17、软 件 经 常 更 新 , 以 快 速 检 测 到 可 能 入 侵 计 算 机 的 新 病 毒 或 者 变 种 。 2).使 用 安 全 监 视 软 件 ( 和 杀 毒 软 件 不 同 比 如 360 安 全 卫 士 , 瑞 星 卡 卡 主要 防 止 浏 览 器 被 异 常 修 改 , 插 入 钩 子 , 安 装 不 安 全 恶 意 的 插 件 。 3).使 用 防 火 墙 或 者 杀 毒 软 件 自 带 防 火 墙 。 4).关 闭 电 脑 自 动 播 放 ( 网 上 有 ) 并 对 电 脑 和 移 动 储 存 工 具 进 行 常 见 病 毒 免疫 。 5).定 时 全 盘 病 毒 木 马
18、扫 描 。 76).注 意 网 址 正 确 性 , 避 免 进 入 山 寨 网 站 。 7).不 随 意 接 受 、 打 开 陌 生 人 发 来 的 电 子 邮 件 或 通 过 QQ 传 递 的 文 件 或 网 址 。 8).使 用 正 版 软 件 。 9).使 用 移 动 存 储 器 前 , 最 好 要 先 查 杀 病 毒 , 然 后 再 使 用 。三 :常 见 的 网 络 安 全 防 护 措 施1.用备份技术来提高数据恢复时的完整性。备份工作可以手工完成,也可以自动完成。现 有的操作系统一般都带有比较初级的备份系统,如果对备份要求高,应购买专用的系统备份产品。由于备份本身含有秘密信息,备份
19、介质也是偷窃者的目标,因此,计算机系统允许用户的某些特别文件不进行系统备份,而做涉密介质备份。2.防病毒。定期检查网络系统是否被感染了计算机病毒,对引导软盘或下载软件和文档应加以安全控制,对外来软盘在使用前应进行病毒诊断。同时要注意不断更新病毒诊断软件版本,及时掌握、发现正在流行的计算机病毒动向,并采取相应的有效措施。3.补丁程序。及时安装各种安全补丁程序,不要给入侵者以可乘之机。4.提高物理环境安全。保证计算机机房内计算机设备不被盗、不被破坏,如采用高强度电缆在计算机机箱穿过等技术措施。5.在局域网(LAN)中安装防火墙系统。防火墙系统包括软件和硬件设施,平时需要加以监察和维护。6.在局域网
20、中安装网络安全审计系统。在要求较高的网络系统中,网络安全审计系统是与防火墙系统结合在一起作为对系统安全设置的防范措施7.储存信息介质的“清除“处理。对含有数据、信息的存储介质报废时,必须采取专门的技术措施,以确保这些数据、信息不残留在介质上,这个过程就叫“清除“处理。典型的“清除“做法是先在这类介质的每一位上写 1,然后再在每一位上写 0,最后用随机数据重填整个介质。在处理很敏感的数据时,还需要采取更多的措施。8.仔细阅读“系统日志“。对可疑活动一定要仔细分析,如有人在试图访问一些不安全的服务端口,利用 Finger、Tftp 或用 Debug 手段访问用户邮件服务器等。对此系统管理员应加以关
21、注和分析。9.加密。加密的方法很多,可视要求而定,如:通讯两端设置硬件加密机、对数据进行加密预处理等。8四结束语互联网的开放性、随意性、虚拟性、方便性在给人类提供了资源共享的有利条件和新的通信方式,给人们带来了一个新虚拟世界,也带来了负面影响。人们经常使用的操作系统和互联网的TCPIP协议有着许多安全漏洞, 使得黑客攻击互联网成为可能拒绝黑客,保障互联网的安全,需要制定完善的安全管理机制和管理制度;需要道德规范;需要法律约束,更需要用法律威慑和对黑客的犯罪的严厉打击。作为新时代的大学生,我们要利用好自己所学的知识,要去造福社会,其实自己现在所学的知识只是一些皮毛,要更加努力的去学习。黑客,一个在现在是网络攻击者的代名词,或许在以后,黑客将不再是这个意思,回到了它的原始含义。现在的网络安全,需要我们每个人一起去建立,不是哪一个人所能完成的。计算机3111 唐纵宇2010/06/12
