黑客攻防技術(shù)探索

□于 涌 王 典 張 鑫 任利峰

一、黑客攻擊的主要途徑

黑客攻擊主要依靠計算機(jī)網(wǎng)絡(luò)和系統(tǒng)中的漏洞，攻擊計算機(jī)硬件或軟件、協(xié)議、系統(tǒng)安全策略等，使計算機(jī)容易受到損害。

二、黑客攻擊手段的種類

(一)網(wǎng)絡(luò)監(jiān)聽。在網(wǎng)絡(luò)中，當(dāng)信息進(jìn)行傳播的時候，可以利用工具，將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽的模式，便可將網(wǎng)絡(luò)中正在傳播的信息截獲或者捕獲到，從而進(jìn)行攻擊。其實(shí)網(wǎng)絡(luò)監(jiān)聽最開始是應(yīng)用于網(wǎng)絡(luò)管理，如同遠(yuǎn)程控制軟件一樣，后來其強(qiáng)大功能逐漸破黑客利用。

(二)拒絕服務(wù)攻擊。拒絕服務(wù)攻擊的攻擊方式就是從一臺或多臺計算機(jī)向服務(wù)器發(fā)送大量的數(shù)據(jù)包，致使服務(wù)器過度使用而導(dǎo)致服務(wù)器系統(tǒng)的宕機(jī)或資源的巨大消耗，最后就會使用不了網(wǎng)絡(luò)，拒絕服務(wù)攻擊其目的就是利用拒絕服務(wù)來損壞服務(wù)器的硬件等。

(三)欺騙攻擊。欺騙攻擊主要包括：使用源IP地址欺騙和原路由欺騙攻擊。

(四)源IP地址欺騙。通常認(rèn)為，如果分組可以沿著路由達(dá)到目的地并且響應(yīng)分組也可以回到源地，則源IP地址定是有效的，盜用或冒用他人的IP地址即可進(jìn)行欺騙攻擊。

(五)源路由欺騙攻擊。數(shù)據(jù)包通常從起點(diǎn)到終點(diǎn)以及路由器之間的路徑開始決定，數(shù)據(jù)包本身只知去處而不知其路徑原始路由允許數(shù)據(jù)包的發(fā)送方寫入數(shù)據(jù)中的數(shù)據(jù)包的路徑，使得緩沖區(qū)溢出將長內(nèi)容寫入程序的緩沖區(qū)，會導(dǎo)致緩沖區(qū)溢出，從而破壞程序的堆棧，使程序執(zhí)行其他命令。如果這些指令被儲存在具有ROOT權(quán)限的內(nèi)存中，當(dāng)這些指令正常工作時，黑客可以獲得這些程序的所有權(quán)來控制具有ROOOT權(quán)限的系統(tǒng)，從而達(dá)到入侵效果。

三、黑客攻擊的方式

攻擊主要通過各種不同的方法，包括暴力攻擊、特洛伊木馬程序IP欺騙和消息嗅探。暴力攻擊來反復(fù)探測和驗(yàn)證用戶帳戶或密碼。特別是常用木馬病毒等進(jìn)行攻擊，獲取資源的訪問權(quán)，竊取賬戶用戶的權(quán)力，為以后再次入侵創(chuàng)建后門。另外，應(yīng)用層攻擊可以用很多種不一樣的方法來攻擊，常見方法是用服務(wù)器上的應(yīng)用軟件(如SQLSever,FTP等)缺陷，獲得計算機(jī)的訪問權(quán)和應(yīng)用程序所需賬戶的許可權(quán)。

四、黑客攻擊的過程

(一)隱藏IP。隱藏IP就是隱藏黑客的IP地址，即隱藏黑客所使用計算機(jī)的真正地理位置，以免被發(fā)現(xiàn)。典型的隱藏真實(shí)IP地址的方法主要利用被控制的其他主機(jī)作為跳板，有兩種方式。一是一般先入侵到連接互聯(lián)網(wǎng)上的某一臺計算機(jī)，俗稱“肉雞”或“傀儡機(jī)”，然后利用這臺計算機(jī)當(dāng)作攻擊的實(shí)施者，就算是被發(fā)現(xiàn)了，也是“雞肉”IP地址。二是做多級跳板“Sock代理”，可以隱蔽入侵者真實(shí)的IP地址，留下的是代理計算機(jī)的IP地址。打個比方，黑客們一般攻擊國內(nèi)的一家網(wǎng)站，他們就會選擇離其比較遠(yuǎn)的國家的計算機(jī)作為“肉雞”進(jìn)行跨國攻擊，像這樣類似的案件就比較難攻破。

(二)踩點(diǎn)掃描。踩點(diǎn)掃描主要是通過各種方式和手段對被攻擊的目標(biāo)信息進(jìn)行搜索和收集，以確保攻擊的詳細(xì)準(zhǔn)確信息以及位置和時間。黑客攻擊是從黑客那里收集信息，并概述整個網(wǎng)絡(luò)的布局。掃描是利用各種掃描工具來尋找孔洞。掃描工具可以執(zhí)行以下檢查:TCP端口掃描;RPC服務(wù)列表;NPS輸出列表;共享列表;默認(rèn)賬戶檢查;Sendmal IMAP、POP3、RPCstatis和RPC也可以掛載有缺陷的版本檢測。當(dāng)它們?nèi)勘粧呙韬螅诳途蜁浪麄儗@些主機(jī)有信心。但是這種方法是否成功取決于網(wǎng)絡(luò)內(nèi)外主機(jī)之間的過濾策略。

(三)獲得特權(quán)。獲得特權(quán)即獲得管理權(quán)限，最終要完成的是遠(yuǎn)程用網(wǎng)絡(luò)來登陸目標(biāo)計算機(jī)從而使獲得權(quán)限對其實(shí)施控制并且達(dá)到攻擊目標(biāo)主機(jī)的目的。獲得權(quán)限方式分為6種：由系統(tǒng)或軟件漏洞獲得系統(tǒng)權(quán)限；由管理漏洞獲取管理員權(quán)限；利用遠(yuǎn)程監(jiān)聽來竊取主機(jī)的重要信息(賬號和密碼)；通過窮舉法得到遠(yuǎn)程管理員的用戶密碼，以黑掉目標(biāo)主機(jī)信任的另一臺計算機(jī)，從而使目標(biāo)計算機(jī)被攻克；由欺騙獲得權(quán)限以及其他方法。

(四)種植后門。后門制作其實(shí)就是指黑客們方便再次光臨此計算機(jī)的一種做法，它是指黑客利用計算機(jī)系統(tǒng)中BUG來留下下次還可進(jìn)入的軟件，方便以后再次光臨這臺計算機(jī)所留的一種手段。這種手段會很常用，也不易被發(fā)現(xiàn)。大多數(shù)后門程序(特洛伊木馬)都是預(yù)編譯的，您只需要找到修改時間和權(quán)限的方法。

(五)隱身退出。通常黑客一旦確認(rèn)自己是安全的，就開始發(fā)動攻擊侵入網(wǎng)絡(luò)。為了隱藏自己不被發(fā)現(xiàn)，黑客們一般侵入完他人計算機(jī)后會直接刪除登錄日志和其他的系統(tǒng)日志，及時隱身退出，這樣會有效地解決別人找自己的麻煩。

五、網(wǎng)絡(luò)監(jiān)聽

網(wǎng)絡(luò)監(jiān)控是監(jiān)控計算機(jī)網(wǎng)絡(luò)狀態(tài)和數(shù)據(jù)上傳行為的一種方式。在網(wǎng)絡(luò)監(jiān)控模式下，計算機(jī)在同一物理通道上傳輸?shù)乃行畔ⅲ瑹o論是發(fā)送方還是接收方，只有在兩臺計算機(jī)之間沒有加密通信時才使用網(wǎng)絡(luò)監(jiān)控。工具可以很容易地截獲帳戶中的所有信息。

六、網(wǎng)絡(luò)監(jiān)聽檢測

沒有通過互聯(lián)網(wǎng)傳輸?shù)臄?shù)據(jù)包已被修改，因此網(wǎng)絡(luò)監(jiān)控不容易被發(fā)現(xiàn)。Linx下的嗅探攻擊的程序檢測方法相對簡單。

黑客攻擊事件為網(wǎng)絡(luò)系統(tǒng)的安全帶來了嚴(yán)重的威脅與嚴(yán)峻的挑戰(zhàn)。使用積極有效的防御措施將會減少損失，并提高網(wǎng)絡(luò)系統(tǒng)的安全性。普及網(wǎng)絡(luò)安全知識教育，激發(fā)對網(wǎng)絡(luò)安全重要性的認(rèn)識，增強(qiáng)防范意識，強(qiáng)化防范措施切實(shí)增強(qiáng)用戶對網(wǎng)絡(luò)的防范能力。

七、網(wǎng)絡(luò)攻擊的防范策略

防范黑客攻擊需要主觀關(guān)注，積極客觀地采取措施制定規(guī)章制度和管理制度。推廣網(wǎng)絡(luò)安全教育，使用戶需要了解網(wǎng)絡(luò)安全知識和相關(guān)安全策略。管理層應(yīng)該確定安全對象，建立強(qiáng)大的安全系統(tǒng)，并根據(jù)安全級別的保護(hù)規(guī)定保護(hù)網(wǎng)絡(luò)。認(rèn)真制定防御攻擊方法，利用科技手段，有針對性地在網(wǎng)絡(luò)層防御，使每個級別都成為一個道路層面，使攻擊者沒有時間去攻擊。防范黑客攻擊的技術(shù)主要有：數(shù)據(jù)加密、身份認(rèn)證、數(shù)字簽名、建立完整的訪問控制策略、安全市場等。從技術(shù)上講，我們必須注意研究和開發(fā)新方法。

八、網(wǎng)絡(luò)攻擊的防范措施

通常，具體的防范攻擊措施與步驟主要包括以下幾個方面：一是加強(qiáng)網(wǎng)絡(luò)安全防范意識，提高對網(wǎng)絡(luò)安全的防范，并且要向他人推廣及宣傳。二是要經(jīng)常更新計算機(jī)里的系統(tǒng)補(bǔ)丁，以防出現(xiàn)漏洞讓黑客有機(jī)可乘。三是盡量避免從互聯(lián)網(wǎng)上下載未知的軟件和游戲程序。四是不要隨意打開來自未知來源的電子郵件和文件，并將不熟悉的人員運(yùn)行到用戶的程序中。五是不要隨便運(yùn)行黑客程序。六是在支持HTML的B上，如果發(fā)現(xiàn)提交警告并查看源代碼，將有助于強(qiáng)制使用密碼。七是設(shè)置安全密碼。使用字母數(shù)字混排，常見的密碼設(shè)置不同，重要的密碼通常會被替換。八是使用防病毒，防黑客等防火墻軟件。九是隱藏自己的IP地址。可采取的方法有:使用代理服務(wù)器進(jìn)行中轉(zhuǎn)，用戶在線聊天BBS等不會留下自己的IP;使用工具軟件，如Mate huent Seuin來隱藏自己的主機(jī)地址，避免在BBS和聊天室暴露個人信息。