防范黑客的攻击

防范黑客的攻击（共10篇）

防范黑客的攻击 篇1

0 引言

在当今网络世界里,计算机系统常常受到黑客的攻击。黑客的攻击无处不在,其手段五花八门,方法也不断翻新,令人防不胜防,使得网络安全问题越来越突出。我们只有对黑客攻击的原理、攻击过程进行深入细致的了解,才能进行针对性的防范。

1 黑客攻击的主要方式

黑客对网络的攻击通常是利用“系统配置的缺陷”、“操作系统的安全漏洞”或“通信协议的安全漏洞”来进行。到目前为止,黑客的攻击方式有几千种,其中对绝大部分黑客攻击手段已经有相应的防范措施。

1.1 拒绝服务攻击

它是使用超出被攻击目标处理能力的大量数据包消耗系统可用系统、带宽资源,最后致使网络服务瘫痪的一种攻击手段。目前已知的拒绝服务攻击就有几百种,它是最基本的攻击手段,也是最难对付的攻击之一。如SYN Flood攻击、Ping Flood攻击、Land攻击、Win Nuke攻击等。

1.2 非授权访问尝试攻击

攻击者对被保护文件进行读、写或执行的尝试,也包括为获得被保护访问权限所做的尝试。

1.3 预探测攻击

在连续的非授权访问尝试过程中,攻击者为了获得网络内部的信息及网络周围的信息,通常使用这种攻击尝试。如SATAN扫描、端口扫描、IP半途扫描等。

1.4 网络嗅探攻击

就是使网络接口接收不属于本主机的数据。计算机网络通常建立在共享信道上,其数据报头包含目的主机的硬件地址,只有硬件地址匹配的机器才会接收该数据包。一个能接收所有数据包的机器被称为杂错节点,一旦被黑客在杂错节点上嗅探到,用户就可能会遭到损害。

1.5 源IP地址欺骗攻击

许多应用程序认为若数据包可以使其自身沿着路由到达目的地,并且应答包也可回到源地,那么源IP地址一定是有效的,而这正是使源IP地址欺骗攻击成为可能。

1.6 源路由欺骗攻击

在通常情况下,信息包从起点到终点所走的路是由位于此两点间的路由器决定的,数据包本身只知道去往何处,而不知道该如何去。源路由可使信息包的发送者将此数据包要经过的路径写在数据包里,使数据包循着一个对方不可预料的路径到达目的主机。

2 对黑客攻击的防范对策

2.1 Land攻击(拒绝服务攻击)对策

(1)攻击特征。用于Land攻击的数据包中的源地址和目标地址是相同的,因为当操作系统接收到这类数据包时,不知道该如何处理通信源地址和目的地址相同的情况,或者循环发送和接收该数据包,消耗大量的系统资源,这样就有可能造成系统崩溃或死机等现象。

(2)检测方法。判断网络数据包的源地址和目标地址是否相同。

(3)反攻击方法。适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为(一般是丢弃该数据包),并对这种攻击进行审计(记录事件发生的时间、源主机和目标主机的MAC地址和IP地址)。

2.2 TCP SYN攻击(拒绝服务攻击)对策

(1)攻击特征。它是利用TCP客户机与服务器之间三次握手过程的缺陷来进行的。攻击者通过伪造源IP地址向被攻击者发送大量的SYN数据包,当被攻击主机接收到大量的SYN数据包时,需要使用大量的缓存来处理这些连接,并将SYN ACK数据包发送回错误的IP地址,并一直等待ACK数据包的回应,最终导致缓存用完,不能再处理其它合法的SYN连接。

(2)检测方法。检查单位时间内收到的SYN连接是否超过系统的设定。

(3)反攻击方法。当接收到大量的SYN数据包时,通知防火墙阻断连接请求或丢弃这些数据包,并进行系统审计。

2.3 Ping Of Death攻击(拒绝服务攻击)对策

(1)攻击特征。该攻击数据包大于65535个字节。由于部分操作系统接收到长度大于65535字节的数据包时,就会造成内存溢出、系统崩溃、重启、内核失败等后果,从而达到攻击的目的。

(2)检测方法。判断数据包的大小是否大于65535个字节。

(3)反攻击方法。使用新的补丁程序,当收到大于65535个字节的数据包时,丢弃该数据包,并进行系统审计。

2.4 Win Nuke攻击(拒绝服务攻击)对策

(1)攻击特征。攻击目标端口,被攻击的目标端口通常是139、138、137、113、53,而且URG位设为“1”,即紧急模式。

(2)检测方法。判断数据包目标端口是否为139、138、137等,并判断URG位是否为“1”。

(3)反攻击方法。适当配置防火墙设备或过滤路由器就可以防止这种攻击手段(丢弃该数据包),并对这种攻击进行审计。

2.5 Teardrop攻击(拒绝服务攻击)对策

(1)特征。Teardrop是基于UDP的病态分片数据包的攻击方法,其工作原理是向被攻击者发送多个分片的IP包,某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。

(2)检测方法。对接收到的分片数据包进行分析,计算数据包的片偏移量是否有误。

(3)反攻击方法。添加系统补丁程序,丢弃收到的病态分片数据包并对这种攻击进行审计。

要彻底杜绝拒绝服务攻击,最好的办法是追根溯源去找到正在进行攻击的机器和攻击者。在其进行攻击的时候,根据路由器的信息和攻击数据包的特征,采用逐级回溯的方法来查找其攻击源头。

2.6 TCP/UDP端口扫描(预探测攻击)对策

(1)攻击特征。对被攻击主机的不同端口发送TCP或UDP连接请求,探测被攻击对象运行的服务类型。

(2)检测方法。统计外界对系统端口的连接请求,特别是对21、23、25、53、80、8000、8080等以外的非常用端口的连接请求。

(3)反攻击方法。当收到多个TCP/UDP数据包对异常端口的连接请求时,通知防火墙阻断连接请求,并对攻击者的IP地址和MAC地址进行审计。

2.7 源IP地址欺骗对策

(1)阻止这类攻击的有效办法就是抛弃基于地址的信任,放弃以地址为基础的验证。

(2)使用加密方法。在包发送到网络之前,我们可以对它进行加密,使数据保持完整性、真实性和保密性。

(3)进行包过滤。可以配置路由器使其能够拒绝网络外部与本网内具有相同IP地址的连接请求。

2.8 网络嗅探攻击对策

(1)网络分段。一个网络段包括一组共享低层设备和线路的机器,这样可以对数据流进行限制,从而达到防止嗅探的目的。

(2)加密。既可以对数据流中的部分重要信息进行加密,也可对应用层加密。

(3)一次性口令技术。口令并不在网络上传输而是在两端进行字符串匹配,客户端利用从服务器上得到的Challenge和自身的口令计算出一个新字符串并将之返回给服务器。在服务器上利用比较算法进行匹配,如果匹配,连接就允许建立,所有的Challenge和字符串都只使用一次。

3 结束语

未来的竞争是信息竞争,而网络信息是竞争的重要组成部分。其实质是人与人的对抗,具体体现在安全策略与攻击策略的交锋上。为了不断增强信息系统的安全防御能力,必须充分理解系统内核及网络协议的实现,真正做到洞察对方网络系统的“细枝末节”,同时应该熟知针对各种攻击手段的预防对策,这样才能尽最大可能保证网络的安全。

参考文献

[1]李俊宇.信息安全技术基础[M].北京:冶金工业出版社,2004.

[2]步山岳.计算机信息安全技术[M].北京:高等教育出版社,2005.

防范黑客的攻击 篇2

一、杀毒。用杀毒软件进行杀毒，设置防火墙。如果这样还不行，有些黑客已经设计出穿透防火墙的病毒或软件，或者是新的病毒。那你可能需要重装机器了。

二、在重装机器之前，请你先把网线断开，因为你的IP地址如果是固定的，很可能在重装机子之后，还没设置好防护措施之前，黑客又提前进入。所以等装完机子以后，防护措施完成之后，再上网。

三、黑客经常利用一些网络探测技术来查看我们的主机信息，主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念，如果攻击者知道了你的IP地址，等于为他的攻击准备好了目标，他可以向这个IP发动各种进攻，隐藏IP地址的主要方法是使用代理服务器。

四、进行网络管理员欺骗。Administrator帐户拥有最高的系统权限，一旦该帐户被人利用，后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码，所以我们要重新配置Administrator帐号。你可以先将原来的管理员：administrator改名为其他的名字，比如你的名字汉语拼音，然后再建一个新的管理员：administrator，让他在user用户组，赋给他一定的权限，而真正的管理员是你，这样一来，入侵者就很难搞清哪个帐户真正拥有管理员权限，当然要给真正的管理员一个非常强壮的密码，建议有数字、有拼音和符号组成，不要把和自己的相关信息当戍密码。

五、黑客在入侵时常常会扫描你的计算机端口，如果安装了端口监视程序（比如Netwatch），该监视程序则会有警告提示。如果遇到这种入侵，可用工具软件关闭用不到的端口。

六、取消共享。文件和打印共享应该是一个非常有用的功能，但在我们不需要它的时候，它也是引发黑客入侵的安全漏洞。所以在没有必要"文件和打印共享"的情况下，我们可以将其关闭。即便确实需要共享，也应该为共享资源设置访问密码。虽然我们将其关闭了，高超的黑客有时还会主动将其打开，要想彻底删除共享，就要修改注册表。

七、杜绝Guest帐户的入侵。Guest帐户即所谓的来宾帐户，它可以访问计算机，但受到限制。不幸的是，Guest也为黑客入侵打开了方便之门！网上有很多文章中都介绍过如何利用Guest用户得到管理员权限的方法，所以要杜绝基于Guest帐户的系统入侵。禁用或彻底删除Guest帐户是最好的办法，但在某些必须使用到Guest帐户的情况下，就需要通过其它途径来做好防御工作了。首先要给Guest设一个强壮的密码，然后详细设置Guest帐户对物理路径的访问权限。

八、封死黑客的"后门"。俗话说“无风不起浪”，既然黑客能进入，那我们的系统一定存在为他们打开的"后门"，我们只要将此堵死，让黑客无处下手，岂不美哉！

1.删掉不必要的协议。对于服务器和主机来说，一般只安装TCP/IP协议就够了。鼠标右击“网络邻居”，选择“属性”，再鼠标右击“本地连接”，选择“属性”，卸载不必要的协议。其中NetBIOS是很多安全缺陷的源泉，对于不需要提供文件和打印共享的主机，可以将绑定在TCP/IP协议的NetBIOS给关闭，避免针对NetBIOS的攻击。

2.禁止建立空连接。在默认的情况下，任何用户都可以通过空连接连上服务器，枚举帐号并猜测密码。因此我们必须禁止建立空连接。方法有以下两种：方法一是修改注册表：到注册表 HKEY_LOCAL_MACHINESystemCur

-rentControlSetControlLSA下，将D

-WORD值RestrictAnonymous的键值改为1即可。方法二是修改Windows 2000/XP的本地安全策略为"不允许SAM帐户和共享的匿名枚举"。

3.关闭不必要的服务。服务开得多可以给管理带来方便，但也会给黑客留下可乘之机，因此对于一些确实用不到的服务，最好关掉。比如在不需要远程管理计算机时，我都会将有关远程网络登录的服务关掉。去掉不必要的服务停止之后，不仅能保证系统的安全，同时还可以提高系统运行速度。

九、做好IE的安全设置。ActiveX控件和JavaApplets有较强的功能，但也存在被人利用的隐患，网页中的恶意代码往往就是利用这些控件编写的小程序，只要打开网页就会被运行。所以要避免恶意网页的攻击只有禁止这些恶意代码的运行。

十、安装必要的安全软件。我们还应在电脑中安装并使用必要的防黑软件，杀毒软件和防火墙都是必备的。在上网时打开它们，这样即便有黑客进攻我们的安全也是有保证的。

十一、防范木马程序。木马程序会窃取所植入电脑中的有用信息，因此我们也要防止被黑客植入木马程序，常用的办法有：

1、在下载文件时先放到自己新建的文件夹里，再用杀毒软件来检测，起到提前预防的作用。

2、在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”选项里看是否有不明的运行项目，如果有，删除即可。

3、将注册表里 HKEY_LOCAL_MA

CHINESOFTWAREMicrosoftWindow

sCurrentVersionRun下的所有以"Run"为前缀的可疑程序全部删除即可。

十二、不要回陌生人的邮件。有些黑客可能会冒充某些正规网站的名义，然后编个冠冕堂皇的理由寄一封信给你要求你输入上网的用户名称与密码，如果按下“确定”，你的帐号和密码就进了黑客的邮箱。所以不要随便回陌生人的邮件，即使他说得再动听再诱人也不上当。

网络黑金时代黑客攻击的有效防范 篇3

一、网络黑金时代的现状

在计算机网络如此发达的今天, 网络黑客愈演愈烈, 而“磁碟机”病毒也正是在这种刻意低调的伪装下, 伺机窃取用户的隐私敏感信息, 包括游戏账号、网银、网上证券交易等账号密码, 稍不留神, 人们就会跌入被人设计好的网络陷阱, 付出沉重的代价。

“2008年爆发的‘磁碟机’病毒, 与‘熊猫烧香’病毒相比, 绝对是青出于蓝而胜于蓝。它非常狡猾, 在反攻杀毒软件能力、传播能力、自我保护能力和隐藏能力、病毒变种和自我更新速度、破坏性等方面远远超过了以往的‘熊猫烧香’。”“据国家计算机网络应急处理中心估计, 目前病毒的‘黑色产业链’年产值已超过2.38亿元人民币, 造成的损失则超过76亿元。”

在利润的驱使下, 想利用病毒获取利益的人逐渐地聚集到一起, 形成了一条产销分工明确的灰色产业链。金山毒霸北京技术部技术总监孙国军说, “灰鸽子的背后就有一个制造、贩卖、销售病毒的‘传销’帝国, 一些人利用它大量发展‘肉鸡’, 然后贩卖出去获取经济利益。”

二、黑客攻击不断升级的原因分析

(一) 非法牟取利益。

据了解, “熊猫烧香”的程序设计者李俊, 每天收入近万元, 被警方抓获后, 承认自己获利近千万元。据中国互联网安全最高机构——国家计算机网络应急技术处理协调中心的监测数据显示, 目前中国的互联网世界中, 有5个僵尸网络操控的“肉鸡”规模超过10万台, 个别僵尸网络能达到30万台规模。这些僵尸网络可以被租借、买卖, 黑客们每年可以有上百万元收入。由此可见, 这些真实的案例足以证明黑客们疯狂的、日以继夜的、争分夺秒的制造新病毒, 潜藏着一个共同目的——牟取暴利。非法获取利益是黑客攻击不断升级客观存在的根本因素。

(二) 有力制裁黑客行为的法律缺失。

按照我国目前的《计算机信息网络国际联网安全保护管理办法》, 制造和传播病毒属违法行为, 但对于木马、黑客程序等并没有清晰的界定, 因为它们本身只是一个工具, 至于使用者拿它们去干坏事还是干好事, 无法控制。这也是木马程序制造者敢于利用网络公开叫卖、大发不义之财的根本原因。所以, 立法斩黑迫在眉睫。

(三) 网络使用者的自我安全保护意识不足。

在暴利的推动下, 病毒的发展势头空前强大, 计算机病毒反攻杀毒软件的能力、自我保护能力、隐藏能力还有变种速度可能导致杀毒软件永远没有办法清除病毒。所以, 提高网络安全意识是避免被病毒肆虐的最佳途径。

三、黑客攻击的有效防范

我们认为, 对付网络信息时代的攻击, 最好的武器是训练有素的人, 而不是技术。网络地下产业链发展至今, 已经具有了组织化、公开化和规模化的流水性作业程序。因此, 任何连接到Internet上的关键任务系统必须清楚地了解所面临的问题, 并知道采取何种措施使被成功攻击的机会达到最小。在此, 本文对如何减少被黑客攻击提出以下几项措施:

第一, 拒绝网上“裸奔”。所谓网上“裸奔”, 就是计算机系统没装杀毒软件或者防火墙, 或者虽然装了杀毒软件但长期不升级病毒库, 或者装多个杀毒软件和多重防火墙。一般来说, 装上杀毒软件和防火墙较为妥当。装多个, 则太杞人忧天了。因为软件之间会互相冲突, 导致系统不稳定、速度变得像蜗牛一样慢, 从而大大影响了计算机的速度。

第二, 培养及时更新计算机系统的习惯。调查发现, 有65%的计算机用户没有及时更新计算机系统, 没有打补丁的习惯;有30%的用户从来没有为自己的计算机打过补丁。只有5%的一些计算机爱好者, 会每天坚持完善自己的计算机系统。“熊猫烧香”病毒之所以造成了非常大的危害性, 其根本原因就在于社会上的计算机系统存在着不安全设置和漏洞。如果我们的安全意识提高, 及时关注和安装最新的补丁, 不断合理设置计算机系统, 就会大大地降低被攻击的机率。

第三, 设计有效完善的站点。站点越完善, 站内网络的运行状况就会越好。在理想情况下, 公司不仅要有多条与Internet的连接, 最好有不同的地理区域连接。因为网络服务的位置越分散, IP地址越分散, 攻击同时寻找与定位所有计算机的难度就越大。这样当问题发生时, 所有的通信都可以被重新路由。

第四, 限制带宽。当拒绝服务攻击发生时, 针对单个协议的攻击会耗尽公司的带宽, 以致拒绝对合法用户的服务。限制基于协议的带宽就成为一种非常有效的防范措施。例如, 端口25只能使用20%的带宽, 端口80只能使用50%的带宽。但是, 我们需要知道, 所有这些解决方案都是不完善的, 都存在着被攻克的可能, 因此, 能与黑客攻击相匹敌的惟一方法就是建立多种防御机制来保护网络。

第五, 运行尽可能少的服务。运行尽可能少的服务可以减少被成功攻击的机会。如果一台计算机开了30个端口, 这使得攻击者可以在很大的范围内尝试对每个端口进行不同的攻击。相反, 如果系统只开了两、三个端口, 这就限制了攻击者攻击站点的攻击类型。

第六, 只允许必要的通信。这一防御机制与上一个标准“运行尽可能少的服务”很相似, 不过它侧重于周边环境, 主要是防火墙和路由器。关键是不仅要对系统实施最少权限原则, 对网络也要实施最少权限原则。确保防火墙只允许必要的通信出入网络。许多人只过滤进入通信, 而向外的通信不采取任何措施。其实, 这两种通信都应该过滤。

第七, 封锁敌意IP地址。当一个公司知道自己受到攻击时, 应该马上确定发起攻击的IP地址, 并在其外部路由器上封锁此IP地址。这样的问题是, 即使在外部路由器上封锁了这些IP地址, 路由器仍然会因为数据量太多而拥塞, 导致合法用户被拒绝对其他系统或网络的访问。因此, 一旦公司受到攻击应立刻通知其ISP和上游提供商封锁敌意数据包。因为ISP拥有较大的带宽和多点访问, 如果它们封锁了敌意通信, 仍然可以保持合法用户的通信, 也可以恢复遭受攻击公司的连接。

第八, 尽量避免个人资料的泄露。QQ、MSN、论坛账号等等是被广泛应用的通讯工具, 黑客团伙盗取QQ号的动机是为了里面的好友信息, 一旦他们掌握了这些信息, 便可以向你的朋友下手, 通过诈骗、勒索、盗窃等等的手段来获得经济利益。所以, 登陆自己的账号时, 尽量不要选“自动登陆”, 不要在论坛个人资料里选择“公开邮箱”, 也不要在QQ和MSN上公开透露个人的隐私资料信息, 更不要相信您的邮箱里有关于套取你机密资料的邮件, 特别是那些向你索取银行账号和密码的邮件, 如果有来历不明的可疑邮件, 不要打开, 一经发现, 立刻删除。在办公室上网的尤其应该如此。

总而言之, 从来就没有刀枪不入的盔甲, 当代也没有天衣无缝的计算机系统, 也不存在完美的杀毒软件, 最好的杀毒方法就是把病毒抵于门外。如果广大网民都以身作则, 积极提高网络的自我保护意识, 那么黑客攻击和危害就会大大减少, 甚至无机可乘了。

注释

1[1]林华.重拳惊曝黑客产业链条[J].高科技与产业化, 2008, 1

黑客是如何攻击电子邮件的 篇4

在不断公布的漏洞通报中，邮件系统的漏洞算是最普遍的一项。电子邮件究竟存在哪些潜在的风险?黑客在邮件上到底都做了哪些手脚?

让我们一同走进黑客的全程攻击，了解电子邮件正在面临的威胁和挑战……

来自邮件系统的漏洞

典型的互联网通信协议——TCP和UDP，其开放性常常引来黑客的攻击。而IP地址的脆弱性，也给黑客的伪造提供了可能，从而泄露远程服务器的资源信息。

很多电子邮件网关，如果电子邮件地址不存在，系统则回复发件人，并通知他们这些电子邮件地址无效。黑客利用电子邮件系统的这种内在“礼貌性”来访问有效地址，并添加到其合法地址数据库中。

防火墙只控制基于网络的连接，通常不对通过标准电子邮件端口(25端口)的通信进行详细审查。

黑客如何发动攻击

一旦企业选择了某一邮件服务器，它基本上就会一直使用该品牌，因为主要的服务器平台之间不具备操作性。以下分别概述了黑客圈中一些广为人知的漏洞，并阐释了黑客利用这些安全漏洞的方式。

IMAP和POP漏洞

密码脆弱是这些协议的常见弱点。各种IMAP和POP服务还容易受到如缓冲区溢出等类型的攻击。

拒绝服务[Dos)攻击

1，死亡之Ping——送一个无效数据片段，该片段始于包结尾之前，但止于包结尾之后。

2，同步攻击——极快地发送TCP SYN包(它会启动连接)，使受攻击的机器耗尽系统资源，进而中断合法连接。

3，循环——发送一个带有完全相同的源目的地址端口的伪造SYN包，使系统陷入一个试图完成TCP连接的无限循环中。

系统配置漏洞

企业系统配置中的漏洞可以分为以下几类：

1，默认配置——大多数系统在交付给客户时都设置了易于使用的默认配置，被黑客盗用变得轻松。

2，空的默认根密码——许多机器都配置了空的或默认的根管理员密码，并且其数量多得惊人。

3，漏洞创建一几乎所有。

利用软件问题

在服务器守护程序、客户端应用程序、操作系统和网络维护中，存在很多的软件错误，分为以下几类：

1，缓)中区溢出——程序员会留出一定数目的字符空间来容纳登录用户名，黑客则会通过发送比指定字符串长的字符串，其中包括服务器要执行的代码，使之发生数据溢出，造成系统入侵。

2，意外组合——程序通常是用很多层代码构造而成的，入侵者可能会经常发送一些对于某一层毫无意义，但经过适当构造后对其他层有意义的输入。

3，未处理的输入——大多数程序员都不考虑输入不符合规范的信息时会发生什么。

利用人为因素

黑客使用高级手段使用户打开电子邮件附件的例子包括双扩展名、密码保护的Zip文件、文本欺骗等。

特洛伊木马及自我传播

结合特洛伊木马和传统病毒的混合攻击正日益猖獗。黑客所使用的特洛伊木马的常见类型有：

1，远程访问——过去，特洛伊木马只会侦听对黑客可用的端口上的连接。而现在特洛伊木马则会通知黑客，使黑客能够访问防火墙后的机器。有些特洛伊木马可以通过IRC命令进行通信，这表示从不建立真实的TCP／IP连接。

2，数据发送——将信息发送给黑客，方法包括记录按键、搜索密码文件和其他秘密信息。

3，破坏——破坏和删除文件。

4，拒绝服务——远程黑客能够使用多个计算机启动分布式拒绝服务(DDos)攻击。

5，代理——旨在将受害者的计算机变为对黑客可用的代理服务器。使匿名的TelNet、ICQ、IRC等系统用户可以使用窃得的信用卡购物，并在黑客追踪返回到受感染的计算机时使黑客能够完全隐匿其名。

典型的黑客攻击情况

尽管并非所有的黑客攻击都是相似的，但以下步骤简要说明了一种“典型”的攻击情况。

步骤1：外部侦察

入侵者会进行"whois"查找，以便找到随域名一起注册的网络信息。入侵者可能会浏览DNS表(使用“nslookup”、“dig”或其他实用程序来执行域名传递)来查找机器名。

步骤2：内部侦察

通过“ping”扫描，以查看哪些机器处于活动状态。黑容可能对目标机器执行UDP／TCP扫描，以查看什么服务可用。他们会运行“rcpinfo”、“showmount”或“sn-mpwalk”之类的实用程序，以查看哪些信息可用。黑客还会向无效用户发送电子邮件，接收错误响应，以使他们能够确定一些有效的信息。此时，入侵者尚未作出任何可以归为入侵之列的行动。

步骤3：漏洞攻击

入侵者可能通过发送大量数据来试图攻击广为人知的缓冲区溢出漏洞，也可能开始检查密码易猜(或为空)的登录账户。黑客可能已通过若干个漏洞攻击阶段。

步骤4：立足点

在这一阶段，黑客已通过窃入一台机器成功获得进入对方网络的立足点。他们可能安装为其提供访问权的“工具包”，用自己具有后门密码的特洛伊木马替换现有服务，或者创建自己的账户。通过记录被更改的系统文件，系统完整性检测(SIV)通常可以在此时检测到入侵者。

步骤5：牟利

这是能够真正给企业造成威胁的一步。入侵者现在能够利用其身份窃取机密数据，滥用系统资源(比如从当前站点向其他站点发起攻击)，或者破坏网页。

另一种情况是在开始时有些不同。入侵者不是攻击某一特定站点，而可能只是随机扫描Internet地址，并查找特定的漏洞。

邮件网关对付黑客

由于企业日益依赖于电子邮件系统，它们必须解决电子邮件传播的攻击和易受攻击的电子邮件系统所受的攻击这两种攻击的问题。解决方法有：

1，在电子邮件系统周围锁定电子邮件系统——电子邮件系统周边控制开始于电子邮件网关的部署。电子邮件网关应根据特定目的与加固的操作系统和防止网关受到威胁的入侵检测功能一起构建。

2，确保外部系统访问的安全性——电子邮件安全网关必须负责处理来自所有外部系统的通信，并确保通过的信息流量是合法的。通过确保外部访问的安全，可以防止入侵者利用Web邮件等应用程序访问内部系统。

3，实时监视电子邮件流量——实时监视电子邮件流量对于防止黑客利用电子邮件访问内部系统是至关重要的。检测电子邮件中的攻击和漏洞攻击(如畸形MIME)需要持续监视所有电子邮件。

浅谈防范黑客入侵攻击的主要方法 篇5

黑客网络的攻击方式是多种多样的, 一般来讲, 总是利用“系统配置的缺陷”, “操作系统的安全漏洞”或“通信协议的安全漏洞”来进行的。到目前为止, 已经发现的攻击方式超过2000种, 这些攻击大概可以划分为以下六类:

1、拒绝服务攻击

一般情况下, 拒绝服务攻击是通过使被攻击对象 (通常是工作站或重要服务器) 的系统关键资源过载, 从而使被攻击对象停止部分或全部服务。目前已知的拒绝服务攻击就有几百种, 它是最基本的入侵手段, 也是最难对付的入侵攻击之一, 典型示例有SYN Flood攻击、Ping Flood攻击、Win Nuke攻击等。

2、非授权访问尝试

非授权访问尝试是攻击者对被保护文件进行读、写或执行的尝试, 也包括为获得被保护访问权限所做的尝试。

3、预探测攻击

在连续的非授权访问尝试过程中, 攻击者为了获得网络内部的信息及网络周围的信息, 通常使用这种攻击尝试, 典型示例包括SATAN扫描、端口扫描和IP半途扫描等。

4、可疑活动

可以活动是通常定义的“标准”网络通信范畴之外的活动, 也可以指网络上不希望有的活动, 如IP Unknown Protocol和Duplicate IP Address事件等。

5、协议解码

协议解码可用于以上任何一种非期望的方法中, 网络或安全管理员需要进行解码工作, 并获得相应的结果, 解码后的协议信息可能表明期望的活动, 如FIU User和Portmapper Proxy等解码方式。

6、系统代理攻击

这种攻击通常是针对单个主机发起的, 而并非整个网络, 通过Real Secure系统代理可以对它们进行监视。

二、防范黑客攻击的主要方法

了解了黑客的攻击方式, 除了硬件上要做好防范外, 还要自己懂得使用一些简单的网络病毒防范程序, 合理使用网络安全程序, 能在一定基础上降低黑客侵入系统的几率。通常的技术手段如下:

1、关闭“文件和打印共享”

随着办公业务的不断增加, 共享一些资料成为一种常用的办公手段, 许多办公室共用一台打印机的现象也非常普遍, 这种使用环境很容易让一些不安全的电脑病毒程序, 利用此功能, 在电脑之间不断传输与感染, 甚至一些黑客也利用此漏洞进行一些窃取密码与重要文件的活动, 为了杜绝此类现象的发生, 最有效的办法就是确保共享功能及时关闭, 具体操作办法就是用鼠标右击“网络邻居”, 选择“属性”, 然后单击“文件和打印共享”按钮, 将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。

2、关闭系统来宾账户

Guest帐户指计算机操作系统分配的来宾帐户, 用这个账户可以进入计算机系统, 但是访问会受到一些限制, 常用的浏览查找功能可以实现, 一些管理功能此账户是禁止操作的, 不过一些病毒也可以利用此账户, 登入计算机系统, 安放后门程序, 伺机窃取复制重要数据与密码, 禁用或彻底删除Guest帐户是最好的办法。

3、严禁创建空连接

在一般的情况下, 所有的计算机终端用户都可以进行空连接连到系统服务器, 从而进行账号密码的反复比对进行破解。所以对于网络服务器系统必须严禁建立空连接。一般可以通过修改系统注册表实现:

打开注册表“HKEY_LOCAL_MACHINESystemCurrentControlSetC o n t r o lL S A”, 将D W O R D值“RestrictAnonymous”的键值改为“1”即可。

4、将IP地址进行隐藏与伪装

黑客经常利用一些网络探测技术来查看我们的主机信息, 主要目的就是得到网络中主机的IP地址。隐藏IP地址的主要方法是使用代理服务器。代理服务器的原理是在客户机和远程服务器之间架设一个“中转站”, 当客户机向远程服务器提出服务要求后, 代理服务器首先截取用户的请求, 然后代理服务器将服务请求转交远程服务器, 从而实现客户机和远程服务器之间的联系。很显然, 使用代理服务器后, 其它用户只能探测到代理服务器的IP地址而不是用户的IP地址, 这就实现了隐藏用户IP地址的目的, 保障了用户上网安全。

5、无用的系统端口要进行屏蔽

一般情况, 网络黑客在需要系统漏洞时, 通常会网络中大量扫描开放的计算机端口, 如果安装了端口监视程序 (比如Netwatch) , 该监视程序则会有警告提示。如果遇到这种入侵, 可用工具软件关闭用不到的端口。

6、建立防护体系, 安装专业查杀防护软件

对于接入互联网的电脑, 在使用过程中, 必须进行系统安全漏洞的弥补, 确保系统无安全隐患, 同时安装防毒杀毒程序, 并时时更新病毒库, 每间隔一段时间就要对计算机系统进行全方面病毒查杀, 必要时也要增加硬件防火墙, 培养良好的网络使用习惯, 不去点击存在病毒风险的网站, 在网络中下载软件资料前, 要对相关的数据及时查杀, 确保安全后, 方可下载, 不冒然接受来历不明的电子邮件防止被木马感染, 通过一系列的安全防范系统的建立, 会在一定程度上防范黑客程序的危害, 但是对于重要数据与密码, 还是需要电脑操作者及时进行备份与更新, 确保数据被破坏后能够及时恢复。

结语

POS黑客攻击实例 篇6

现在有超过13 000万张的违规银行卡被曝，这还只是现在臭名昭著的黑客阿尔伯特·冈萨雷斯(Albert Gonzalez)的5年网络犯罪大礼包的其中一部分。

该事件对一些行业惯例提出质疑，而且对有关支付卡行业数据的安全标准(简称PCI)表示了严重关切，这个标准在当时还仍处于萌芽阶段。

快进到2012年，想想我们已经走了多远，哈特兰支付、PCI-DSS和支付卡行业安全标准委员会走了多远，情况如何。事实上，现在的哈特兰标准和该标准理事会目前都在率先单独举措来提高支付的安全性，并且从源头上，也就是从商家开始做起。

PCI委员会已经宣布推出一个新的培训计划，即QIR方案，内容是直接针对销售点正在发生的安全漏洞。这种新的质量信得过集成商和分销商计划可能是目前所见理事会举办的最切实可行的方案。

该培训计划的课程设计是，训练和培训POS设备、系统集成商以及PCI标准的配套安装程序，强调它们在POS安全方面所扮演的角色。

支付行业标准理事会的总经理鲍勃·鲁索(Bob Russo)认为，QIR方案是业界对在贫困地区违规POS安装问题的处理响应，但这使得远程访问门户网站行为容易遭受黑客攻击。

尽管现在与2009年的情况大有不同，当时冈萨雷斯以军用驾驶技术般的速度进入哈特兰支付网络，利用开放的互联网连接商用处理器，这样的漏洞都是相似的。最近针对美国商户的POS攻击横行，从迈克尔地铁站到滨州车站，显示了这种过时的POS设备、软件和默认密码带来的银行卡安全风险。

鲁索认为，事实上，大多数的POS网络违规行为可以追溯到远程访问门户网站，这是由于太经常开放，或是没有充分的安防措施。鲁索说：“通常情况下，这可以取决于一个简单的元素：某些设备不重置为出厂默认状态。”通过QIR方案，该理事会将分享在设备和应用程序安装期间必须解决的漏洞的最佳实践。

不只是PCI，哈特兰支付系统也在采取措施确保商户安全，并且它树立了一个足以令处理器效仿的好榜样。

哈特兰支付系统不但在POS和支付卡安全方面培训与其有业务联系的商户，而且也帮助那些有POS违规调查先例以及有POS硬件和网络升级需求的商户。

在最近哈特兰支付系统的两个客户端，滨州车站和一家肯塔基州的温彻斯特本地开的一家墨西哥餐馆发生了违规行为之后，哈特兰的高管表示，他们认为现在是进行积极主动回击的时候了。

哈特兰在违规行为发生后加强了对这方面的防范，负责调查甚至为有意愿的商家升级其E3 POS系统。该系统是一款基于硬件的终端到终端的加密技术，它可以消除商家在本地管理加密金钥过程中的处理记录。

除去商家肩头的密钥管理责任一事简化了处理程序。这是有道理的，是更多的处理器应该做的事情，并且应当在很长的一段时间内持续保持。

正如哈特兰的首席安全观约翰·南(John South)所指出的：商家需要得到帮助。南表示：“他们的专业不是网络安全上。在安装硬件或软件方面，商家大多都拥有很少或没有经验。”

而且，像鲁索和南所说的，远程访问是最大的忧虑。南说：“据统计，目前远程访问能力对那些安装系统的人，构成了最大威胁。卡略读仍然是一个问题，但它只是银行卡被攻击的形式之一。”FTT

局域网防护外部黑客攻击研究 篇7

目前网络环境不安全的主要因素是系统、协议及数据库等的设计版本上存在漏洞。由于很多软件包括操作系统及数据库软件等在本身结构设计和代码设计时偏重于系统操作性, 而在远程访问、权限控制和口令管理方面存在安全漏洞。目前网络系统一般采用TCP/IP协议, 这是一个工业标准的协议簇, 该协议簇在制订之初, 也对安全问题考虑不多, 协议中也存在安全漏洞。同样, 数据库管理系统 (DBMS) 也存在数据的安全性、权限管理及远程访问等方面问题, 在DBMS或应用程序中可以预先安置从事情报收集、受控激发、定时发作等破坏程序。由此可见, 针对系统、网络协议及数据库等, 无论是其自身的设计缺陷, 还是由于人为的因素产生的各种安全漏洞, 都可能被一些另有图谋的黑客所利用并发起攻击。因此若要保证网络安全、可靠, 则必须熟知黑客网络攻击的一般过程。只有这样方可在客攻击前做好必要的防备, 从而确保网络运行的安全和可靠。

1 黑客网络常用的攻击手段及防护

这里提到黑客常用的攻击手段, 包括使用工具或者根据社交工程进行踩点, 使用扫描工具对目标进行定位扫描, 根据得到的系统漏洞报告用相关的手段进行渗透, 以及在渗透成功后提升入侵者的权限, 并放置木马进行长期控制等。

1.1 黑客常用攻击手段:踩点

踩点 (Footprinting) 是攻击者第一步进行的手段, 踩点的目的就是尽可能多的收集被攻击者的信息。其中最多使用的渠道是社交工程、搜索引擎、Whois方法和DNS查询等。举例来说, 电子邮箱在目前来说已经是我们商务工作上不可缺少的工具, 而很多公司的企业邮箱地址往往是用姓名拼音、缩写、英文名或简单组合等来作为邮箱地址。如果能够设法获得公司内一个用户名或者邮箱地址, 就可能推算出很多用户的用户名和电子邮箱地址, 其中不乏具有相当权限的管理者。然后通过其他攻击或者“暴力破解”, 就很容易得到了用户和邮箱的使用权。

那么如何防止用户将信息泄露出去, 成为黑客踩点的羔羊呢?那么只有通过技术和管理手段相结合, 管理上制定安全规定防止用户信息被有意或意外流出, 而技术手段上则需要“数据泄漏防护” (Data leakage prevention, DLP) 等产品的支撑。

1.2 黑客常用攻击手段:扫描

完成资料收集之后, 黑客一般会使用各种扫描工具对目标进行扫描 (Scanning) , 以及定位目标的弱点位置。这些扫描工具可以通过Ping等方式确定目标主机是否存活, 需要的话再确定其开放的端口和开放的服务。目前黑客主要使用的扫描方式有Ping扫描、ICMP查询、操作系统指纹识别、端口扫描和拓扑自动发现等。

要针对这些扫描进行防范, 首先要禁止ICMP的回应, 当对方进行扫描的时候, 由于无法得到ICMP的回应, 扫描器会误认为主机不存在, 从而达到保护自己的目的。方法就是安装防火墙并对防火墙进行设置, 不管是个人电脑还是企业环境下, 预防来自Internet或者内网的恶意扫描是非常重要的, 至少可以杜绝来自一般入侵者的骚扰, 而这也是网络入侵的大多数。

1.3 黑客常用攻击手段:渗透

在完成扫描之后会得到很多关于目标主机的漏洞资料, 黑客或者安全人员可以分析这些资料从中找出有价值的部分并进行渗透 (Infiltration) 攻击。一般来说, 这些有价值的部分包括目标主机的开放端口信息、开放服务信息、操作系统版本信息、操作系统的漏洞信息、应用软件漏洞信息及FTP或者Web的弱口令等。目前最常用的操作系统就是Windows系统了, 所谓“树大招风”, Windows系统也是攻击者最常攻击的系统。所以要防护攻击, 必须及时安装最新的漏洞补丁, 包括操作系统补丁和其他应用软件的补丁。并且通过安全管理软件, 对系统本身共享位置, 和开放服务进行管理。通过防火墙软件对开放端口进行管理。

1.4 黑客常用攻击手段:权限提升

黑客在完成对目标主机的了解和可能的渗透尝试之后, 应该已经获得了目标主机的一些权限, 但这些权限仍然不能成功获得对目标主机的控制权, 所以需要做进一步的权限提升, 即获得管理员权限。常见方法有破解SAM文件, 利用操作系统的漏洞编写小程序在内核中设置一个允许访问的全局标识, 然后使用DLL注册的方法获得权限提升 (Privilege Escalation) 。权限提升证明计算机已经被黑客攻击到, 在这一步的情况下, 也可以进行相应的防护。首先即使对系统和应用程序安装最新的补丁仍是最有效的一种方法, 然后还可以将echo命令也限制以及将其它盘的System写、修改文件的权限进行处理。以及将VBS/VBA类脚本以及XMLhttp等组件进行禁用或者限制system的运行权。更多的情况下是用户根本没有设置Windows的管理员 (Administrator) 密码, 设置用户密码是保证系统安全的最基本手段。

1.5 黑客常用攻击手段:木马与远程控制

实现对目标主机的完全控制之后, 黑客为了长期使用该主机, 一般会在这台机器上放置可以远程控制的程序, 这些程序被称为木马 (Trojan) 。木马就是远程控制软件的一种, 一般会对自身进行隐藏, 并对操作系统产生一些复杂或者冒充系统文件的名称。

木马清除工具, 在国外也称为反间谍软件, 仍然是应对木马攻击的最有效的手段。木马清除工具国内和国外的软件也各有优点, 木马的爆发具有地域性, 即国内流行爆发的木马和国外的种类不同, 国外的木马清除工具一般只能根据相似的特征码进行匹配, 极易发生误报和漏报。但国外木马清除工具厂商都与微软公司建立较强的合作关系, 能够从操作系统底层对木马进行深层次的查杀, 国内产品的查杀效率就相对而言弱了很多。

2 其他日常防护手段和注意事项

需要建立日志记录系统, 经常监控系统状态, 查询日志信息, 以便尽早发现网络安全问题, 而且当遭到攻击后也能及时取证。对系统补丁和应用程序补丁需要及时更新, 对病毒库和木马库及时进行更新。尽可能做到功能分离, 数据库、web服务、文件服务使用独立服务器, 对关键数据进行及时备份, 以防损失无法挽救。采用加密或者标签系统, 对商业机密数据进行加密管理, 或者标签权限管理, 使非法用户无法使用。我们也不用谈黑色变, 有攻击必有防护, 一些常用的防护手段, 如防火墙、杀毒软件、木马清除工具等。这些手段如果使用得当则对个人用户来说已经足够安全, 最重要是能够使用好这些软件, 加强自身计算机的安全性。

摘要：在如今日益便捷的网络时代, 网络应用对我们来说已经变得不再陌生, 但经常听到的黑客攻击却让我们感到提心吊胆。本文在这里研究, 黑客一般攻击的手段, 以及如何保证局域网安全, 防护来自互联网外部的黑客攻击。

关键词：网络防护,黑客攻击,局域网安全

参考文献

网络黑客攻击与用户防御策略研究 篇8

随着以Internet为代表的计算机信息网络技术的迅速发展和广泛应用, 互联网逐渐成为人们工作、学习、交友、购物等的重要平台。网络的营运已成为21世纪的新时尚。然而, 一种高技术、高智能犯罪形式——网络黑客攻击与入侵的出现和存在给网络系统与用户信息的安全带来严重的威胁与严峻的挑战, 并迅速成为互联网络犯罪最为常见的手段。据统计, 我国95%的与互联网相联的网络管理中心都遭到过境内外黑客的攻击或侵入, 其中银行、金融和证券机构成为了黑客攻击的重点。个人网络用户由于安全意识薄弱、防御水平较低, 也经常成为黑客入侵和攻击的对象。网络安全和黑客问题越来越受到人们的关注。加强计算机网络安全的教育和普及, 提高对网络安全重要性的认识, 增强防范意识, 强化防范措施, 切实增强用户对网络入侵的认识和自我防范能力, 是抵御和防范黑客攻击, 有效确保网络安全的基本途径。

1 认识网络黑客

网络“黑客 (Hacker) ”指的是网络的攻击者或非法侵入者。黑客攻击与入侵是指未经他人许可利用计算机网络非法侵入他人计算机, 窥探他人的资料信息, 破坏他人的网络程序或硬件系统的行为。它可以对信息所有人或用户造成严重损失, 甚至可能对国家安全带来严重后果, 具有严重的社会危害性。网络攻击与入侵已经成为一种最为常见的网络犯罪手段。

2 黑客攻击与入侵的手法分析

所谓知己知彼, 百战不殆, 对于广大网络用户来说, 了解黑客实施网络入侵的手段和原理是加强针对性、进行有效防范的前提和保证。黑客攻击的手段和方法很多, 其主要攻击方式有以下几类。

第一类是进行网络报文嗅探 (Sniffer) , 指入侵者通过网络监听等途径非法截获关键的系统信息, 如用户的账号和密码。一旦正确的账户信息被截取, 黑客即可侵入你的网络。更严重的问题是, 如果黑客获得了系统级的用户账号, 就可以对系统的关键文件进行修改, 如系统管理员的账号和密码、文件服务器的服务和权限列、注册表等, 同时还可以创建新的账户, 为以后随时侵入系统获取资源留下后门。

第二类是放置木马程序, 如特洛伊木马等, 这种木马程序是一种黑客软件程序, 它可直接侵入计算机系统的服务器端和用户端。它常被伪装成工具软件或游戏程序等, 诱使用户打开带有该程序的邮件附件或从网上直接下载。一旦用户打开这些邮件附件或执行这些程序之后, 它们就会像古特洛伊人在敌人城外留下藏满士兵的木马一样留在用户计算机中, 并在计算机系统中隐藏一个可在Windows启动时自动执行的程序。当用户连接Internet时, 此程序会自动向黑客报告用户主机的IP地址及预先设定的端口。黑客在获取这些信息后, 就可利用这个潜伏在用户计算机中的程序, 任意修改用户主机的参数设定、复制文件、窥视硬盘中的内容信息等, 从而达到控制目的。另外, 目前网络上流行很多种新的木马及其变种, 通过隐蔽手段隐藏不易察觉危险的文件或网页中, 诱使用户点击运行, 从而达到监听用户键盘、窃取用户重要的口令信息等, 通过在浙江省范围内的调研看, 很大一部分的涉网金融案件、私密信息被盗案件都与用户服务器或计算机内被放置这种木马软件有关。

第三类是IP欺骗。IP欺骗攻击指网络外部的黑客假冒受信主机, 如通过使用用户网络IP地址范围内的IP地址或用户信任的外部IP地址, 从而获得对特殊资源位置的访问权或截取用户账号和密码的一种入侵方式。

第四类是电子邮件炸弹。指将相同的信息反复不断地传给用户邮箱, 实现用垃圾邮件塞满用户邮箱以达到破坏其正常使用的目的。

第五类是拒绝服务和分布式拒绝服务 (DoS&DDoS) 。其主要目的是使网络和系统服务不能正常进行。通常采用耗尽网络、操作系统或应用程序有限的资源的方法来实现。

第六类是密码攻击。指通过反复试探、验证用户账号和密码来实现密码破解的方式, 又称为暴力攻击。一旦密码被攻破, 即可进一步侵入系统。目前比较典型的是黑客通过僵尸软件远程控制网络上的计算机, 形成僵尸网络, 黑客通过控制的僵尸肉机进行大规模的运算试探破解用户密码, 进而入侵系统。

第七类是病毒攻击 (Virus) 。许多系统都有这样那样的安全漏洞 (Bugs) 。黑客往往会利用这些系统漏洞或在传送邮件、下载程序中携带病毒的方式快速传播病毒程序, 如C I H、Worm、Red Code、Nimada、震荡波、冲击波、熊猫烧香等, 从而造成极大危害。另外, 利用许多公开化的新技术, 如H T M L规范、H T T P协议、X M L规范、S O A P协议等, 进行病毒传播逐渐成为新的病毒攻击方式。这些攻击利用网络传送有害的程序包括Java Applets和ActiveX控件, 并通过用户浏览器的调用来实现。

第八类是端口扫描入侵, 指利用Socket编程与目标主机的某些端口建立TCP连接, 进行传输协议的验证等, 从而侦知目标主机的扫描端口是否处于激活状态、主机提供了哪些服务台、提供的服务中是否含有某些缺陷等, 并利用扫描所得信息和缺陷实施入侵的方式。常见的扫描方式为Connect扫描和Fragmentation扫描。

3 网络攻击与入侵的有效防御

影响计算机网络安全的因素很多, 对个人上网用户来说, 抵御和防范网络入侵显得尤为重要。为了做好防范工作, 除了要提高认识、加强安全教育和法制教育、加强管理等以外, 采取一些安全技术措施, 熟练掌握一些安全防范技巧是进行用户自我防范的基本保证。作为网络用户, 应当从网络攻击的基本原理入手, 从安全防护和使用安全两个环节来抓好安全防范工作, 从而达到有效防范的目的。

3.1 采取切实可靠的安全防护措施

(1) 使用病毒防火墙, 及时更新杀毒软件

在个人计算机上安装一些防火墙软件, 如金山毒霸, 可实时监控并查杀病毒。同时, 用户要认识到任何防护环节都具有一定的安全时效, 即只有在一定时间内, 防护软件具有较高的安全防护能力。因此, 为了确保已安装的防火墙软件的有效性, 用户在使用时应注意及时对其升级, 以及时更新病毒库。

(2) 隐藏自己主机的IP地址

黑客实施攻击的第一步就是获得你的IP地址。隐藏IP地址可以达到很好的防护目的。可采取的方法有:使用代理服务器进行中转, 用户上网聊天、BBS等不会留下自己的IP;使用工具软件, 如Norton Internet Security来隐藏你主机的IP地址;避免在BBS和聊天室暴露个人信息。

(3) 切实做好端口防范

黑客经常会利用端口扫描来查找你的IP地址, 为有效阻止入侵, 一方面可以安装端口监视程序, 如Netwatch, 实时监视端口的安全;另一方面应当将不用的一些端口关闭。可采用Norton Internet Security关闭个人用户机上的HTTP服务端口 (80和443端口) , 因一般用户不需提供网页浏览服务;如果系统不要求提供SMTP和POP3服务, 则可关闭25和110端口, 其他一些不用的端口也可关闭。另外, 建议个人用户关闭139端口, 该端口实现了本机与其他Windows系统计算机的连接, 关闭它, 可防范绝大多数的攻击。可通过“网络”—“配置”—“TCP/IP”—“属性”—“绑定”—“Mcrosoft网络客户端”, 将此开关关闭即可。

(4) 关闭共享或设置密码, 以防信息被窃

建议个人上网用户关闭硬盘和文件夹共享, 通过“网络”—“文件和打印机共享”—“允许其他用户访问我的文件”, 将此开关关闭即可。如果确需共享, 则应对共享的文件夹设置只读属性与密码, 增强对文件信息的安全防护。

(5) 加强IE浏览器对网页的安全防护

IE浏览器是用户进行网页访问的主要工具, 同时也成为黑客使用HTTP协议等实施入侵的一种重要途径。个人用户应通过对IE属性的设置来提高IE访问网页的安全性。具体措施有:

(1) 提高IE安全级别, 运行打开IE, 通过“工具”—“Internet选项”—“安全”—“Internet区域”, 将安全级别设置为“高”。

(2) 禁止ActiveX控件和JavaApplets的运行。由于有些包含恶意代码的ActiveX控件可被嵌入到HTML页面中, 并下载到浏览器端执行, 因此给客户机造成一定的安全威胁。许多病毒或蠕虫如Bubbleboy、KAK.worm等可生成Vbscript或JavaScript脚本程序在浏览器中执行, 因而在IE中禁止ActiveX控件及Java脚本等可避免此类病毒的侵入。可通过“工具”—“Internet选项”—“安全”—“自定义级别”, 在“安全设置”对话框中找到ActiveX控件相关的设置, 将其设为“禁用”或“提示”即可。

(3) 禁止Cookie。由于许多网站利用Cookie记录网上客户的浏览行为及电子邮件地址等信息, 为确保个人隐私信息的安全, 可将其禁用。可通过“工具”—“Internet选项”—“安全”—“自定义级别”, 在“安全设置”对话框中找到Cookie相关的设置, 将其设为“禁用”或“提示”即可。

(4) 将黑客网站列入黑名单, 将其拒之门外。可通过“工具”—“Internet选项”—“内容”—“分级审查”—“启用”, 在“分级审查”对话框的“许可站点”下输入黑客网站地址, 并设为“从不”即可。

(5) 及时安装补丁程序, 以强壮IE。IE和Outlook的漏洞被大多数网络病毒利用来传播病毒。因此, 应及时利用微软网站提供的补丁程序来消除这些漏洞, 提高IE自身的防侵入能力。

(6) 上网前备份注册表

许多黑客攻击会对系统注册表进行修改, 造成系统的破坏。在上网前做一个注册表备份, 以防万一。

3.2 切实保障用户使用的安全

(1) 注意电子邮件的使用安全

为保障电子邮件的使用安全, 应从以下几个方面采取措施进行安全防范。

第一, 选择安全可靠的邮件服务。

目前, Internet上提供的E-mail账户大都是免费账户, 这些免费的服务不提供任何有效的安全保障, 有的免费邮件服务器常会导致邮件受损。因此, 最好选择收费邮件账户。

第二, 确保邮件账号的安全防范。

首先要保护好邮箱的密码。在WEB方式下, 不要使用IE的自动完成功能, 不要使用保存密码功能以图省事。入网账号与口令应重点保护。设置的口令不要太简单, 最好采用8位数, 并且数字与字母相间, 中间放置若干允许的不常用符号。其次, 对于较重要的邮件地址要注意保密, 不在网上随意显示。

第三, 对重要邮件信息加密处理。

可使用某些工具如A-LOCK, 在发送邮件之前对内容进行加密。对方收到加密信件后必须采用A-LOCK解密后方可阅读。可防止邮件被他人截获而泄密。

第四, 小心提防和防止邮件炸弹。

可通过以下三种途径来排除电子邮件炸弹 (E-mail BOMB) 。一是对不明电子邮件进行过滤。尽量不要开启可疑的电子邮件。如若怀疑有电子邮件炸弹, 可用邮件程序 (如Foxmail) 的远程邮箱管理功能来过滤信件。在进行邮箱的远程管理时, 仔细检查邮件头信息, 若发现有来历不明的信件或符合邮件炸弹特征的信件, 可直接将其从邮件服务器上删除。二是先杀毒后使用。如果邮件带有附件, 不管是谁发来的, 也不管其内容是什么 (即使是文档, 也可能成为病毒的潜伏场所, 如Melissa病毒) , 为安全考虑, 都不要立即执行, 可以先存盘, 并用杀毒软件进行检查。另外, 还有些邮件附件是某些入侵者以网站名义发来的木马程序。因此, 防止邮件入侵, 应掌握一个原则:凡是接收到的任何程序或文档都应先用杀毒工具检查, 然后再使用。三是可考虑使用转信功能。用户一般会有多个E-mail地址。在日常使用时, 最好再申请一容量较大的邮箱作为收信信箱, 对于其它信箱则设置转信到该大信箱, 这样可以很好保护用户信箱免受电子邮件轰炸。

(2) 确保软件下载的使用安全

Internet上网络软件已非常丰富, 为广大网络用户使用各种软件提供极大的方便, 但它们同时又经常会被网络入侵者们利用作为传播和扩散病毒、木马程序等的重要载体。因此, 网络用户在进行软件下载和使用时, 应提高警惕, 注意防范。

第一, 软件下载应尽量考虑客流大的专业站点。

大型的专业站点, 资金相对雄厚, 技术比较成熟, 水平相对较高, 信誉较佳, 一般都有专人维护, 安全性能好, 因此所提供的下载软件相对较可靠。相反, 小型个人站点所提供的软件出现安全问题的机率相对就较高。

第二, 软件下载以后应先杀毒再使用。

下载的不论是应用程序还是文档, 都应先查杀毒再运行或打开。同时, 杀毒软件应经常升级更新, 保持最新版本。

第三, 尽量避免下载可疑软件。

对于网上某些可疑的、诱惑性动机比较明显的软件或信息, 一般不建议下载, 以防染上“木马”程序。

4 结束语

随着Internet的广泛应用, 网络入侵等网络安全威胁依然存在, 甚至还会有更新的发展, 要求广大网络用户提高对网络安全的认识, 加深对网络入侵等网络安全威胁的理解, 强化对安全防范基本知识和技能学习, 是非常必要的。总之, 只有时刻提高警惕, 防患于未然, 这样才能摆脱网络安全问题所带来的烦恼, 充分享受Internet的乐趣。

摘要：网络黑客已成为当前互联网络安全的巨大隐患。增强网络安全意识, 逐步深入对网络黑客的认识, 研究总结网络黑客的攻防策略, 掌握基本的防御技能, 已成为每个网络用户抵御黑客攻击和入侵、确保安全使用的最积极有效的方式与途径。基于这个目的, 本文对近年来网络黑客攻击和入侵的基本手法和机理进行了分析, 并对网络用户如何进行有效防御策略进行了分析研究。

关键词：网络黑客,攻击手段:有效防御

参考文献

[1]凌雨欣, 常红主编.网络安全技术与反黑客.冶金工业出版社.2001.

[2]梅珊, 王腾宇, 冯晓聪编著.Internet安全防范实例.中国电力出版社.2002.

[3]韩东海, 王超, 李群编著.入侵检测系统实例剖析.清华大学出版社.2002.

[4]Donn B.Parker编著.Fighting Computer Crime.电子工业出版社.1999.

[5]戴银涛, 赵蓓, 胡昌振.基于安全可靠的观点建立网络安全系统.计算机安全.2002.

韩国遭黑客攻击与中国无关 篇9

韩国警察厅发布消息称，此前针对韩国多家电视台和金融机构的黑客攻击来自美国和欧洲地区共4个国家。据警察厅调查显示，导致计算机网络瘫痪的恶意代码来源地IP地址分别显示为这4个国家，警察厅已要求上述国家予以协助调查。据悉，之前，韩国三家主流电视台和六家金融机构的计算机网络因黑客攻击而全面瘫痪，3.2万余台电脑和服务器在攻击中受损，受损系统完全恢复正常至少要四五天。部分节目制作受到负面影响，电视台工作人员无法使用公司系统；不少银行终端和取款机无法正常运行，银行员工无法正常登录网络开展部分零售和企业银行服务。突如其来的这起事件在韩国全国范围内带来了不同程度影响，为该国规模最大的一起网络瘫痪事故。为此，韩国军方将情报作战防卫级别上调一级，政府特别发布网上危机注意警报，召集紧急会议，成立联合应对小组，还临时启动了国家安全室开展工作。经过调查，韩国政府证实瘫痪是由于向计算机补丁管理系统中植入恶意代码所致，基础设备未受影响。而在对关于该事故攻击来源的调查上，韩方可谓是“一波三折”。事故发生后，就有一个名为“Who is”的神秘黑客组织称对本次网络攻击负责，留言“这只是开始，我们已经掌握了大量账户和数据，还将进行第二轮攻击”。不过，韩国专家团认为，无法确定该组织是否存在，这很有可能是烟雾弹，故对此表示质疑。而对于发起攻击的主谋，韩国政府和媒体第一反应都猜测是朝鲜。在此次网络瘫痪前几天，朝鲜还宣布了首都平壤发生了网络服务器遭到攻击的情况，认为是韩国所为。韩国方面则认为，此次网络攻击是朝鲜在报复美韩联合军演，表示朝鲜不仅网络战能力强，而且曾经对韩发动过类似的网络攻击。同时，韩国媒体还报道了一支朝鲜黑客部队于2012年12月对部分韩国国民的个人银行账户进行网络攻击一事。不过，目前并无证据证实这种怀疑。初步调查后，韩方发现恶意代码来源地IP地址显示为中国，并据此怀疑是朝鲜通过中国的互联网对韩国进行黑客攻击。但在随后，韩国通讯委员会又宣布此次的网络攻击来源位于本国境内，恶意代码来自韩国农业协同银行的内部电脑，IP地址为韩国内部机构的私设地址，与国际公认的中国IP地址碰巧一致。而目前，韩方又把恶意代码来源地IP地址锁定为欧美四国。网络攻击幕后黑手还不明，韩方调查还将继续。为防范类似事件再次发生，韩方已从政府层级对网络安全高度重视。在举行的记者会中，青瓦台发言人金杏表示，为了更好地应对网络攻击，政府有关部门正讨论制定相应的法律法规，其中包括“通讯社和电视台在遭受网络攻击时应第一时间向政府汇报，否则将被处以罚款”，并对此前舆论提及的“在国家安全室新设网络安全秘书一职”之事予以否认。（据《工人日报》）

防范黑客的攻击 篇10

1 黑客攻击

黑客攻击的过程通常变幻莫测,但还是有一定规律可循的,一般有这样几个阶段:确定攻击目的、了解目标网络结构、收集系统信息、实施攻击、巩固控制、继续深入几个过程。

黑客攻击总的目的是破坏数据的机密性、完整性和可用性。目标明确以后,黑客会利用经验或工具来分析目的网络结构、收集有用的系统信息,为攻击做准备。攻击方法主要有拒绝服务攻击、信任关系欺骗攻击、缓冲区溢出、输入验证漏洞、暴力破解密码、应用程序漏洞或者配置错误漏洞攻击以及社会工程学。为了进一步实施攻击,黑客在攻击成功后往往会通过修改日志等方法抹去踪迹,留下后门。

黑客攻击可以分为数据链路层攻击、网络层攻击和应用层攻击。人们在考虑安全防护时,往往重视网络层和应用层的安全防护,而忽略了数据链路层的防护。其实,数据链路层的防护和其他层的防护同样重要,很多的攻击就是针对数据链路层的,然而作为局域网核心的数据链路层设备——二层交换机的安全防护功能却很少得到充分的利用。下面就从交换机安全功能和黑客的攻击方法两个角度来分析交换机防御或者缓解黑客攻击的有效对策。

2 从交换机安全功能分析防御或缓解攻击的对策

现在的交换机在设计时就会考虑很多的安全功能,如MAC地址过滤、IP地址过滤、访问控制、流量控制、安全管理、系统日志、看门狗等功能,来保证交换机的安全运行。充分利用交换机的安全功能也可以有效地防御或缓解黑客的攻击。

2.1 端口隔离和私有VLAN功能

交换机端口隔离功能,可以隔离一切广播、组播和单播流量;私有VLAN功能可以阻止同一个VLAN内端口间的互相通信,私有VLAN内的端口只能和某个指定的路由器接口通信。由于端口隔离后的计算机或处于私有VLAN内的计算机之间无法直接通信,只能和指定的接口通信,所以只要做好指定接口的安全防范工作,就可以有效地防御或缓解黑客的攻击。

2.2 风暴控制功能

交换机的风暴控制功能可以监控端口的入站流量,可以单独对广播、组播和单播流量占端口带宽百分比或流量速率进行监控。

黑客进行拒绝服务(DOS)攻击的目的,是使计算机或网络无法提供正常的服务。最常见的Do S攻击有计算机网络带宽攻击和连通性攻击。带宽攻击就是以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最终导致合法的用户请求无法通过。连通性攻击就是用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。利用交换机提供的风暴抑制功能可以有效地缓解拒绝服务攻击。

2.3 端口阻塞(Port Blocking)功能

交换机的端口阻塞功能,可以防止端口转发未知的单播和组播流量。

交换机收到数据帧时,会在MAC地址表中查找目的MAC来转发数据,如果找不到对应的MAC,就将数据广播到同一个VLAN中的其他所有端口。黑客会利用交换机的数据转发特性,对网络发起泛洪攻击。利用交换机的端口阻塞功能可以有效防止或缓解泛洪攻击。

2.4 端口绑定功能

端口绑定功能可以在交换机端口上绑定MAC地址、也可以绑定IP地址或者同时绑定MAC和IP地址。

黑客在进行攻击时有时会采用MAC地址欺骗和IP地址欺骗等手段,利用交换机端口绑定功能,可以有效地防御这些攻击。

2.5 访问控制列表(ACL)功能

交换机支持的访问控制列表有4种:路由器ACL,用于三层VLAN虚拟接口;端口ACL,应用于物理接口;MAC ACL,可以通过MAC地址信息来过滤某个VLAN或二层物理接口中的非IP流量;VLAN ACL,可以对进出VLAN的所有流量进行过滤。

通过合理地配置访问控制列表,可以有效地限制非法用户的访问,达到防御、缓解黑客的攻击的目的。

2.6 DHCP Snooping功能

交换机提供的DHCP Snooping功能能够生成并维护一个可信的包含MAC地址、IP地址、租期、绑定类型和VLAN编号等内容的列表,并根据这个列表对收到的不可信消息进行过滤。

利用这个功能可以有效防止假冒DHCP服务器、地址欺骗类攻击。

2.7 IP源地址防护功能

IP源地址防护是利用DHCP Snooping列表或手工绑定的IP源地址,对不信任的二层接口进行IP流量过滤,只要入站数据包的源IP地址不是绑定的地址就会被过滤掉。

利用这个功能可以防止IP地址欺骗攻击。

2.8 端口镜像功能

端口镜像功能是将一个或多个端口的数据转发到某一个端口来实现对网络的监听的功能。这个功能本身不能防御或缓解黑客攻击,但这个功能在对付黑客方面却很有用,可以用于入侵检测系统和网络分析仪。

3 从黑客的攻击方式来分析交换机的防御对策

3.1 ARP扫描攻击与防御对策

黑客在进行攻击时会采用各种工具来探测网络结构,收集网络信息。为了探测网段内的所有活动主机,攻击源将会产生大量的ARP报文在网段内广播,这些广播报文极大的消耗网络的带宽资源;黑客甚至直接通过伪造大量ARP报文而在网络内实施大流量攻击,使网络带宽消耗殆尽而瘫痪。

ARP扫描通常是其他更加严重的攻击方式的前奏,充分利用交换机提供的防ARP扫描功能,可以有效防御或缓解ARP扫描攻击和后续的攻击。防ARP扫描的一般思路是如果发现网段内存在具有ARP扫描特征的主机或端口,就切断攻击源头,保障网络的安全。

具体防御方法是在交换机上设置信任和不信任端口,不对信任端口进行检查,对不信任端口可以基于端口或基于IP地址两种方式来设置ARP扫描防御,根据单位时间内从某个端口或者某个IP接收到的ARP报文的数量是否超过了预先设定的阈值来判断。

3.2 ARP欺骗攻击与防御对策

ARP是将IP地址解析为MAC地址的协议,主机的ARP缓存中存有IP地址与MAC地址的对应关系。ARP协议的设计存在严重的安全漏洞,任何网络设备都可以发送ARP报文通告IP地址和MAC地址的映射关系。这就为ARP欺骗提供了可乘之机,黑客通过发送ARP request报文或者ARP reply报文通告错误的IP地址和MAC地址映射关系,毒化主机的ARP缓存,达到攻击的目的。

ARP欺骗攻击可以用交换机的动态ARP监控(DAI)功能来防御。在使用DHCP的环境中,利用DHCP snooping绑定表对进入交换机的数据包的IP-MAC地址绑定关系进行监控,阻断非法数据包;在非DHCP环境中,通过定义ARP访问控制列表(ACL)绑定MAC地址和IP地址,使用人工绑定的条目对进入交换机的数据包进行监控。

利用交换机的接口上配置抑制计时器功能,为ARP条目指定ARP缓存中的生存时间,也可以缓解ARP欺骗攻击。

有些厂家的交换机提供了ARP防御(ARP Guard)功能,可以通过在接口上配置ARP防御的IP地址,来防御ARP欺骗。如果交换机收到源IP地址是受到保护IP地址的ARP报文,就直接丢弃,不进行转发,从而保护主机不受欺骗。这种防御功能一般用于保护网关不被攻击。

3.3 MAC地址欺骗攻击与防范对策

MAC地址欺骗攻击是黑客将MAC地址伪装成网络中的其他信任主机的MAC地址,利用这种方式强制交换机在向信任主机转发数据帧的时候,将数据帧转发给攻击者。与ARP欺骗不同,不是毒化ARP缓存,而是造成交换机MAC地址表混乱。它可能导致信任主机拒绝服务,也可能导致交换机性能严重下降。

MAC地址欺骗攻击可以通过在交换机上配置端口安全特性来防御,在交换机端口上打开交换机端口安全功能,对合法的主机MAC地址进行绑定,当交换机从该接口收到数据帧时,会对MAC地址进行合法性检查。

3.4 MAC地址泛洪攻击与防范对策

MAC地址泛洪攻击针对交换机的CAM,造成存储器溢出。CAM是一个包含MAC地址表和相关VLAN参数的存储空间,由于这个存储空间有限,黑客可以采用MAC地址泛洪来攻击,导致CAM溢出。溢出产生后,交换机就变成了一个大的广播域。

MAC地址泛洪可以通过在交换机上配置端口安全特性来缓解。交换机提供了端口安全性功能,开启端口安全性功能后,可以限制通过端口的MAC地址数量,可以静态绑定安全MAC地址,对MAC地址进行合法性检查,自动对非法MAC采取相应的策略,包括丢弃数据帧、报警、关闭端口等。

4 结束语

黑客攻击的方法很多,防御或缓解的方法也很多,这里主要分析了二层交换机自身的安全功能,有针对性地分析了各项安全功能在防黑客方面的具体应用。充分利用交换机的安全功能,可以有效地预防或缓解黑客的攻击。

参考文献

[1]武新华,孙世宁,杨平.矛与盾——黑客就这几招[M].北京:机械工业出版社,2010:126-146.

[2]程庆梅,徐雪鹏.信息安全教学系统实训教程[M].北京:机械工业出版社,2012:146-193.

[3]Yusuf Bhaiji.网络安全技术与解决方案[M].2版.北京:人民邮电出版社,2010:184-199.

[4]冯昊,黄治虎.交换机/路由器的配置与管理[M].2版.北京:清华大学出版社,2009:251-261.