黑客预防(共7篇)
黑客预防 篇1
引言:计算机网络的高速发展, 信息网络的安全问题日益突出, 网络的各类攻击频频出现, 我们时时刻刻都面临网络安全威胁。我们必须了解黑客的各种攻击手段, 才能更好的防范黑客。
一、常见的黑客攻击的方法
什么是黑客, 简单地说, 是对计算机系统和网络的缺陷和漏洞的发现, 以及针对这些缺陷实施攻击的技术。这里说的缺陷, 包括软件缺陷、硬件缺陷、网络协议缺陷、管理缺陷和人为的失误。很显然, 黑客技术对网络具有破坏能力。
黑客们究竟为什么要入侵某一目标?除非本身就是怀着特定的目的外, 一般是偶然的因素居多, 但在这偶然的因素下面也有许多必然的原因, 如系统本身存在一些安全漏洞或Bug等, 让黑客有机可乘。黑客通常采用以下的几个步骤来实现入侵目标主机的目的。
(一) 获取口令
有三种方法:一是通过网络监听非法得到用户口令, 这类方法有一定的局限性, 但危害性极大, 监听者往往能够获得其所在网段的所有用户账号和口令, 对局域网安全威胁巨大;二是在知道用户的账号后 (如电子邮件@前面的部分) 利用一些专门软件强行破解用户口令, 这种方法不受网段限制, 但黑客要有足够的耐心和时间;三是在获得一个服务器上的用户口令文件 (此文件成为Shadow文件) 后, 用暴力破解程序破解用户口令, 该方法的使用前提是黑客获得口令的Shadow文件。此方法在所有方法中危害最大, 因为它不需要像第二种方法那样一遍又一遍地尝试登录服务器, 而是在本地将加密后的口令与Shadow文件中的口令相比较就能非常容易地破获用户Frethem/index.htm"target="_blank"style='text-decoration:underline;color:#0000FF'>密码, 尤其对那些弱智用户 (指口令安全系数极低的用户, 如某用户账号为zys, 其口令就是zys666、666666、或干脆就是zys等) 更是在短短的一两分钟内, 甚至几十秒内就可以将其干掉。
(二) 放置特洛伊木马程序
特洛伊木马程序可以直接侵入用户的电脑并进行破坏, 它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载, 一旦用户打开了这些邮件的附件或者执行了这些程序之后, 它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中, 并在自己的计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。当您连接到因特网上时, 这个程序就会通知黑客, 来报告您的IP地址以及预先设定的端口。黑客在收到这些信息后, 再利用这个潜伏在其中的程序, 就可以任意地修改您的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等, 从而达到控制你的计算机的目的。
(三) WWW的欺骗技术
在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问, 如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在:正在访问的网页已经被黑客篡改过, 网页上的信息是虚假的!例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器, 当用户浏览目标网页的时候, 实际上是向黑客服务器发出请求, 那么黑客就可以达到欺骗的目的了。
(四) 电子邮件攻击
电子邮件攻击主要表现为两种方式:一是电子邮件轰炸和电子邮件“滚雪球”, 也就是通常所说的邮件炸弹, 指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件, 致使受害人邮箱被“炸”, 严重者可能会给电子邮件服务器操作系统带来危险, 甚至瘫痪;二是电子邮件欺骗, 攻击者佯称自己为系统管理员 (邮件地址和系统管理员完全相同) , 给用户发送邮件要求用户修改口令 (口令可能为指定字符串) 或在貌似正常的附件中加载病毒或其他木马程序 (据笔者所知, 某些单位的网络管理员有定期给用户免费发送防火墙升级程序的义务, 这为黑客成功地利用该方法提供了可乘之机) , 这类欺骗只要用户提高警惕, 一般危害性不是太大。
另外还有通过一个节点来攻击其他节点、网络监听和寻找系统漏洞等。
二、如何预防黑客攻击
知己知彼, 百战不殆。我们知道了黑客攻击的方法, 就要采取措施预防攻击。下面介绍几种方法:
(一) 取消文件夹隐藏共享
如果你使用了Windows 2000/XP系统, 右键单击C盘或者其他盘, 选择共享, 你会惊奇地发现它已经被设置为“共享该文件夹”, 而在“网上邻居”中却看不到这些内容, 这是怎么回事呢?
原来, 在默认状态下, Windows 2000/XP会开启所有分区的隐藏共享, 从“控制面板/管理工具/计算机管理”窗口下选择“系统工具/共享文件夹/共享”, 就可以看到硬盘上的每个分区名后面都加了一个“$”。但是只要键入“计算机名或者IPC$”, 系统就会询问用户名和密码, 遗憾的是, 大多数个人用户系统Administrator的密码都为空, 入侵者可以轻易看到C盘的内容, 这就给网络安全带来了极大的隐患。
怎么来消除默认共享呢?方法很简单, 打开注册表编辑器, 进入“HKEY_LOCAL_MACHINESYSTEMCurrent Control S e t S ev i c e sL a n m a nw o r k s t a t i o np a r a m e t e r s”, 新建一个名为“Auto Share WKs”的双字节值, 并将其值设为“0”, 然后重新启动电脑, 这样共享就取消了。
(二) 拒绝恶意代码
恶意网页成了宽带的最大威胁之一。以前使用Modem, 因为打开网页的速度慢, 在完全打开前关闭恶意网页还有避免中招的可能性。现在宽带的速度这么快, 所以很容易就被恶意网页攻击。
一般恶意网页都是因为加入了用编写的恶意代码才有破坏力的。这些恶意代码就相当于一些小程序, 只要打开该网页就会被运行。所以要避免恶意网页的攻击只要禁止这些恶意代码的运行就可以了。
运行IE浏览器, 点击“工具/Internet选项/安全/自定义级别”, 将安全级别定义为“安全级-高”, 对“Active X控件和插件”中第2、3项设置为“禁用”, 其它项设置为“提示”, 之后点击“确定”。这样设置后, 当你使用IE浏览网页时, 就能有效避免恶意网页中恶意代码的攻击。
(三) 封死黑客的“后门”
俗话说“无风不起浪”, 既然黑客能进入, 那说明系统一定存在为他们打开的“后门”, 只要堵死这个后门, 让黑客无处下手, 便无后顾之忧!其主要方法有:
1、删掉不必要的协议
对于服务器和主机来说, 一般只安装TCP/IP协议就够了。鼠标右击“网络邻居”, 选择“属性”, 再鼠标右击“本地连接”, 选择“属性”, 卸载不必要的协议。其中NETBIOS是很多安全缺陷的根源, 对于不需要提供文件和打印共享的主机, 还可以将绑定在TCP/IP协议的NETBIOS关闭, 避免针对NETBIOS的攻击。选择“TCP/IP协议/属性/高级”, 进入“高级TCP/IP设置”对话框, 选择“WINS”标签, 勾选“禁用TCP/IP上的NETBIOS”一项, 关闭NETBIOS。
2、关闭“文件和打印共享”
文件和打印共享应该是一个非常有用的功能, 但在不需要它的时候, 也是黑客入侵的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下, 我们可以将它关闭。用鼠标右击“网络邻居”, 选择“属性”, 然后单击“文件和打印共享”按钮, 将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。
3、把Guest账号禁用
有很多入侵都是通过这个账号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具, 那还是禁止的好。打开控制面板, 双击“用户和密码”, 单击“高级”选项卡, 再单击“高级”按钮, 弹出本地用户和组窗口。在Guest账号上面点击右键, 选择属性, 在“常规”页中选中“账户已停用”。另外, 将Administrator账号改名可以防止黑客知道自己的管理员账号, 这会在很大程度上保证计算机安全。
4、隐藏IP地址
黑客经常利用一些网络探测技术来查看我们的主机信息, 主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念, 如果攻击者知道了你的IP地址, 等于为他的攻击准备好了目标, 他可以向这个IP发动各种进攻, 如Do S (拒绝服务) 攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用代理服务器。
5、关闭不必要的端口
黑客在入侵时常常会扫描你的计算机端口, 如果安装了端口监视程序 (比如Netwatch) , 该监视程序则会有警告提示。如果遇到这种入侵, 可用工具软件关闭用不到的端口, 比如, 用“Norton Internet Security”关闭用来提供网页服务的80和443端口, 其他一些不常用的端口也可关闭。
6、更换管理员帐户
A d m i n i s t r a t o r帐户拥有最高的系统权限, 一旦该帐户被人利用, 后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码, 所以我们要重新配置Administrator账号。
7、杜绝Guest帐户的入侵
Guest帐户即所谓的来宾帐户, 它可以访问计算机, 但受到限制。不幸的是, Guest也为黑客入侵打开了方便之门!网上有很多文章中都介绍过如何利用Guest用户得到管理员权限的方法, 所以要杜绝基于Guest帐户的系统入侵。
8、安装必要的安全软件
我们还应在电脑中安装并使用必要的防黑软件, 杀毒软件和防火墙都是必备的。在上网时打开它们, 这样即便有黑客进攻我们的安全也是有保证的。
另外还有:防范木马程序、不要回陌生人的邮件、做好IE的安全设置等方法, 这里不再一一赘述。
三、结束语
除了上述这些主要的攻击入侵方式, 黑客还有很多其他的攻击方式, 比如网络钓鱼, 邮件炸弹等, 还有很多非技术性攻击方式, 如通过人际交往手段欺骗盗取, 在电脑系统垃圾箱中清理寻找到相关机密信息等。随着网络的普及, 技术的进一步发展, 种种新的攻击方式也将层出不穷, 而且攻击手段也变得越来越先进, 黑客工具也越来越复杂, 同时更加自动化。正如光明必将伴着黑暗一样, 有善必有恶, 从网络出现的那一天开始, 它就注定和黑客攻击是分不开的了。但是我们也可以看出, 黑客并不是十分可怕的, 只要我们的加强安全意识, 并采用适当的防护手段和安全产品, 就可以将绝大部分黑客攻击拒之门外, 保证我们的计算机网络能够正常的运行。
参考文献
[1]徐超汉.计算机网络安全与数据完整性技术.电子工业出版社.2005.
[2]刘晶璘.计算机网络概论.高等教育出版社.2005.
假如“黑客”来临 篇2
切断光缆
互联网没有总开关, 没有自我摧毁按钮, 不会因断电而受到影响。正因其优秀的设计以及人们对其不断地摸索与改进, 互联网几乎是坚不可摧。像光纤网络, 就算你砍断了大部分, 剩下的还是会保持传输, 能够自动重新确认传输路径, 保证大陆或者国家之间的连接通畅。不过就像地球上其他东西一样, 如果它是被建造出来的, 那么总是可以被摧毁的。也就是说, 通过足够多的努力, 就可以像砍树一样彻底摧毁互联网。
互联网因成千上万公里厚重而破旧的线缆连接而存在。漫长的海底光缆连接各个大陆, 使世界连成一个整体。正如前面所说, 光缆的连接可以互相支持, 当一条断了, 另一根就会接起任务。那么, 如果把它们全部切断呢?
这些海底光缆有时是伪装起来的, 或者是部分掩埋的。但有时候也像废弃的冲浪板一样裸露在沙滩上。虽然很多光缆的精确位置和它们的着陆点都是不公开的, 但其实总能在一些有名的海岸和热闹的城镇看到。
左边的三个光缆点, 按照互联网基础设施分析公司Tele Geography的说法, 如果被破坏, 后果会非常严重。虽然一个点的破坏只会导致减速和阻碍, 不是完全的瘫痪, 但这几个站点连接美国的东海岸和西欧, 是互联网最稠密、最重要的基础设施点。破坏了这些, 就已经深入互联网的内脏了。全球经济也会随之崩塌, 大陆之间的互联网通信也会中断, 你不能给国外的朋友发邮件, 也不能在国外的网站上订购商品。
破坏根服务器
域名输入实际上是对晦涩的IP字段进行转换的结果, 像“Google.com”的IP地址就是74.125.228.37。但是网站有成千上万, 又有谁能记得住所有的IP地址呢?目前全球共有13台根域名服务器, 名字分别为“A”至“M”, 负责IP地址域名的解析。要是让这些机器瘫痪, 想上网就只能记数字了。那么怎样找到并且摧毁这些服务器呢?就像之前的光缆, 这些服务器也有公开的秘密。
以“K”服务器为例, 它是由一家RIPENCC公司来运行。去它的网站, 然后用谷歌地图就能找到服务器的位置。不过想要真的进去就难上加难了, 其守卫有多森严也是可想而知吧。不过, 守卫主要是防止陌生人在里面乱逛或者按错按钮。对于“黑客”而言, 其实摧毁一栋互联网关键建筑和摧毁那些普通建筑也没什么两样。
破坏数据中心
如果“黑客”切断了光缆, 信息再不能在世界范围内传递了;再加上破坏了根服务器, 网络地址也变成了无法解析的密码数字。摧毁互联网也就只剩下了一步:炸毁那些还连在一起的盒子。
数据中心都是些很不起眼的建筑, 里面装着那些能让我们浏览网站、收发邮件、聊天游戏的服务器。这些建筑通常很高大, 因为不是给人设计的, 所以大多没有窗户。那些装着机器的屋子通常很暗, 并且保持低温以使机器能正常运转。但对于那些需要网络的人来说, 它们至关重要, 通过它们, 互联网服务商 (ISP) 才能连接互联网的其他部分。
纽约市的哈德逊街60号的建筑是全球互联网的重要枢纽:第9层有1394平方米, 是当地、全国以及全球多层光纤电缆的汇聚地。若是能破坏这一层或者是这个建筑, 那么整个地区的连接也就断裂, 世界范围的互联网连接也会受到影响。不仅仅是网站本身被抹掉, 有些公司在数据中心存储的数据也会消失。举个例子, 就是你上传的所有照片或者歌曲都将不复存在。
像这样的数据中心全世界有很多, 破坏其内部的齿轮将会导致网络不能再向外延伸, 数据被彻底冻结了, 所有的道路、桥梁和交通指示灯都被摧毁, 数据哪里都去不了。剩下的也就是一些局域网了, 它们是网络, 但不再是互联网了。至此, 互联网已被成功摧毁。游戏结束。
POS黑客攻击实例 篇3
现在有超过13 000万张的违规银行卡被曝,这还只是现在臭名昭著的黑客阿尔伯特·冈萨雷斯(Albert Gonzalez)的5年网络犯罪大礼包的其中一部分。
该事件对一些行业惯例提出质疑,而且对有关支付卡行业数据的安全标准(简称PCI)表示了严重关切,这个标准在当时还仍处于萌芽阶段。
快进到2012年,想想我们已经走了多远,哈特兰支付、PCI-DSS和支付卡行业安全标准委员会走了多远,情况如何。事实上,现在的哈特兰标准和该标准理事会目前都在率先单独举措来提高支付的安全性,并且从源头上,也就是从商家开始做起。
PCI委员会已经宣布推出一个新的培训计划,即QIR方案,内容是直接针对销售点正在发生的安全漏洞。这种新的质量信得过集成商和分销商计划可能是目前所见理事会举办的最切实可行的方案。
该培训计划的课程设计是,训练和培训POS设备、系统集成商以及PCI标准的配套安装程序,强调它们在POS安全方面所扮演的角色。
支付行业标准理事会的总经理鲍勃·鲁索(Bob Russo)认为,QIR方案是业界对在贫困地区违规POS安装问题的处理响应,但这使得远程访问门户网站行为容易遭受黑客攻击。
尽管现在与2009年的情况大有不同,当时冈萨雷斯以军用驾驶技术般的速度进入哈特兰支付网络,利用开放的互联网连接商用处理器,这样的漏洞都是相似的。最近针对美国商户的POS攻击横行,从迈克尔地铁站到滨州车站,显示了这种过时的POS设备、软件和默认密码带来的银行卡安全风险。
鲁索认为,事实上,大多数的POS网络违规行为可以追溯到远程访问门户网站,这是由于太经常开放,或是没有充分的安防措施。鲁索说:“通常情况下,这可以取决于一个简单的元素:某些设备不重置为出厂默认状态。”通过QIR方案,该理事会将分享在设备和应用程序安装期间必须解决的漏洞的最佳实践。
不只是PCI,哈特兰支付系统也在采取措施确保商户安全,并且它树立了一个足以令处理器效仿的好榜样。
哈特兰支付系统不但在POS和支付卡安全方面培训与其有业务联系的商户,而且也帮助那些有POS违规调查先例以及有POS硬件和网络升级需求的商户。
在最近哈特兰支付系统的两个客户端,滨州车站和一家肯塔基州的温彻斯特本地开的一家墨西哥餐馆发生了违规行为之后,哈特兰的高管表示,他们认为现在是进行积极主动回击的时候了。
哈特兰在违规行为发生后加强了对这方面的防范,负责调查甚至为有意愿的商家升级其E3 POS系统。该系统是一款基于硬件的终端到终端的加密技术,它可以消除商家在本地管理加密金钥过程中的处理记录。
除去商家肩头的密钥管理责任一事简化了处理程序。这是有道理的,是更多的处理器应该做的事情,并且应当在很长的一段时间内持续保持。
正如哈特兰的首席安全观约翰·南(John South)所指出的:商家需要得到帮助。南表示:“他们的专业不是网络安全上。在安装硬件或软件方面,商家大多都拥有很少或没有经验。”
而且,像鲁索和南所说的,远程访问是最大的忧虑。南说:“据统计,目前远程访问能力对那些安装系统的人,构成了最大威胁。卡略读仍然是一个问题,但它只是银行卡被攻击的形式之一。”FTT
当黑客盯上车联网 篇4
日前, 美国菲亚特克莱斯勒汽车公司召回140万辆面临黑客攻击风险的汽车, 被网络安全专家视为“大事”。此次汽车召回的直接导火线, 是美国网络安全专家查利·米勒和克里斯·瓦拉塞克“黑入”一辆切诺基吉普车的实验。两人在家利用笔记本电脑, 通过这辆吉普车的联网娱乐系统侵入其电子系统, 远程控制车的行驶速度, 操纵空调、雨刮器、电台等设备, 甚至还把车“开进沟里”。米勒和瓦拉塞克认为, 吉普车上的互联网连接功能对黑客来说是非常理想的漏洞, 只要找到车的IP地址侵入系统, 就能“劫持”车辆。
网络安全研究者说, 目前已经出现盗窃者利用无线电信号解锁并盗走汽车的案例。今后可能出现的手段包括:黑客在车中植入恶意软件, 导致引擎失灵, 以此敲诈车主;利用所谓“车联网”, 即实现车辆与周边环境联网以改善交通状况、防止车辆相撞的无线连接技术, 使每一辆驶经的汽车都可能被侵入或置入病毒。
点评:当车接上车联网, 汽车就不再只是代步工具, 摇身成为“车轮上的电脑”。然而, 汽车内部各系统间的计算机协议比目前计算机操作系统的安全状况落后15~20年。过时的计算机协议需要汽车制造商在安全措施研发上投入更多的时间和资源做弥补, 如此才有完善汽车网络安全的可能。
黑客追踪系统的设计 篇5
1 系统主要功能
本系统主要提供自动侦查分析、实时监控报警、远程快速追踪和设定网络陷阱等功能,具体包括:1)自动侦查分析功能,通过对被攻击主机的日志、进程、注册表、邮件、账号、共享、连接、cookies及现场网络通讯等自动分析,确定攻击来源IP地源和采用的攻击手法,提供的分析方法有主机基本入侵痕迹分析、应用服务日志分析、进程深层分析、电子邮件分析和通信实时监控;2)实时监控报警功能,对现场进行守候式监控,当黑客再次来访或攻击时,即时报警,并记下其攻击者的IP和攻击方式;3)远程快速追踪功能,通过植入远程追踪探头分析攻击发起计算机的类型(肉机/控制机),逐级跟踪直到找到发起攻击的入侵者的真实IP地址,并尽可能地获取入侵者的计算机中的信息,如获取目标主机静态信息、获取目标主机动态信息、监听目标主机网络通信、监听目标主机网络通信、进行主机类型分析和入侵痕迹提取等等;4)设定网络陷阱功能,在攻击发生时模拟被攻击的网络服务(如HTTP、FTP、SMTP等),并对访问进行记录和安全性审查,提取攻击者的地址和采用的手法。
2 系统组成
本系统主要由攻击分析探头、侦查分析器、实时监控、远程追踪和控制中心组成,如图1所示。攻击分析探头负责获取和整理的日志、进程、网络连接等多种信息;侦查分析器负责获整理和分析攻击信息,找出攻击行为留下的痕迹,提取攻击行为采用的手法和攻击源地址;实时监控负责监控目标网络服务的运行,对网络服务的访问进行实时安全性审核,根据警报规则发送入侵警报信息,进行入侵痕迹的安全性分析;远程追踪由一组专用远程追踪探头组成,负责入侵到被追踪的主机,潜伏、监听、收集目标主机的信息;控制中心实现了整套系统的管理和控制的功能,以及接收、分析远程追踪探头发回的数据。
公安人员办案时,首先启动实时监控功能,监控整个网络的服务,控制网络服务的访问,截止和防范黑客的进一步攻击。然后,将攻击分析探头安装到被攻击主机中,收集和整理攻击信息,将信息传送到主系统。接着,使用侦查分析器对这些信息进行深度整理和分析,提取攻击特征和规则,确定黑客的攻击行为和方式。掌握了黑客的攻击信息后,可以对其投放远程追踪探头,入侵黑客的主机系统,潜伏、监听、收集黑客主机的信息和电子证据,并关键信息和证据返回给控制中心。
3 主要模块说明
1)攻击信息收集和提取模块
本模块通过扫描系统的注册表、系统进程、系统文件、日志文件,收集、抽取和整理出攻击相关的信息。系统中的文件会备份起来,经过初步抽取和整的信息保存数据库,供系统其它模块使用,以及进行深度的整理、抽取和分析。
2)攻击特征的分析解码模块
本模块利用网络安全、入侵检测、数据分析等方面的技术,对收集到的攻击信息进行深度的抽取和分析,获得入侵痕迹、攻击源IP地址、攻击源类型(肉机或控制机)、攻击发起时间、攻击效果、攻击类型、危害程度等攻击特征信息,作为追踪黑客的依据,同时,产生部分数据证据。本模块的分析技术采用插件的方式根据情况的需求能动态地加入到系统中,具有较好的扩展性和灵活性。
3)信息监听模块
本模块监视目标服务的日志系统,监听目标服务的网络通信,获取对目标服务的访问请求,包括访问请求的方法、URL资源、URL查询等,捕获系统消息和网络服务访问请求,截获、拆开、分析和重组数据包。
4)远程追踪模块
本模块运行在控制中心,用于控制远程主机中的追踪探头,接收追踪探头发送的各种数据。在需要时可对数据进行分析,提取非法的信息,依据分析结果进一步控制远程主机的网络访问。
4 系统实现的关键技术点
1)设计模式的应用
本系统采用面向对象的分析和分析方法,并融入了多种设计模式[1],如外观模式(Facade)、工厂模式(Factory Method)、生成器模式(Builder)、单例模式(Singleton)、适配器模式(Adapter)、策略模式(Strategy)、模板方法模式(Template Method)和组合模式(Composite)等等,使得系统具有较好的稳定性、可扩展性和可维护性。对于复杂的对象,利用生成器模式进行构建,屏蔽复杂的对象的创建过程。对于分析策略的组织,利用模板方法模式抽取出分析过程的模板,子类完成具体分析策略的实现,在实现具体策略时,可以部分使用策略模式来优化结构。利用外观模式定义了多套高层的接口,它们代表了系统功能若干子集,提高系统服务的使用效率、简单性和便利性。
2)多种分析方法的应用
本系统综合多种分析统计的方法,如单项分析、集中分析、关联分析、层次分析和跟踪分析等。单项分析从单一的各种来源的各种存留信息、动态信息中发现危害行为痕迹,并对其进行定位、分离、溯源和追踪,并提取危害行为过程及其采用的技术手段;集中分析负责对各种来源、各种类型的数据源进行用统一数据结构描述的集中分析,从中找出有侦查价值的痕迹信息和线索信息,并对其进行定位、溯源和追踪;关联分析[2]负责对包含同一设备不同信息、不同设备之间的信息在内的各种来源、各种类型的数据源进行集中分析,从中找出有侦查价值的痕迹信息和线索信息,以及各信息之间的关联性,并对其进行定位、溯源和追踪;层次分析[3]是从全局到局部地逐步深入的方法,能对收集的痕迹信息和线索信息进行深层次的分析和挖掘,黑客跟踪提供更准确更丰富的数据;跟踪分析负责对来自现场侦查程序、日志监控程序的进程变化、网络连接变化、日志信息变化等信息进行跟踪,从中找出有侦查价值的痕迹信息和线索信息,并对其进行定位、溯源和追踪。
3)远程追踪探头的投放和隐藏
本系统利用目标主机中的各种系统漏洞,采用邮件诱骗、进程注入和二次载入等多种方法,将专用远程追踪探头自动投放到目标主机,隐藏于正常系统程序的二进制代码中。为了逃避防火墙对连入本机的连接会进行非常严格的检测和过滤,远程追踪探头利用端口反弹技术[4,5],通过主动端口连接有固定IP的第三方FTP服务器或个人主页,将目标主机的信息存于此服务器,控制台通过访问此服务器获取目标主机的信息,然后主动连接客户端。为了更好地穿透防火墙,本系统结合了HTTP隧道技术[6],将要传输的数据利用HTTP协议进行封装,以伪装成HTTP数据包,同时把请求的目的端口设置成80,这样防火墙检测时就认为是安全的数据包,从而在信息探头和分析控制器之间利用HTTP协议封装建立起一条安全传输隧道。
4 结束语
信息化的犯罪现象不断增多,黑客攻击活动更是日渐猖狂。本文设计的黑客追踪系统能有效地进行犯罪行为的勘察、犯罪证据的收集、涉案黑客的追踪和远程“肉机”的潜伏,能作为可移动的软硬一体化的黑客追踪专用设备。该系统的使用和推广,对于维持信息社会的稳定和谐具有重要的意义。
摘要:针对日渐猖狂黑客攻击活动,该文设计了一套专用的黑客追踪系统,讨论了系统的主要功能、体系结构、主要模块,以及关键的技术点,解决了黑客攻击案件侦查困难,取证困难,追踪困难等问题。
关键词:黑客,黑客追踪,攻击特征
参考文献
[1]Metsker S J,Wake W C.Java设计模式[M].龚波,译.北京:人民邮电出版社,2007.
[2]夏颖,王哲,王胜和,等.刑事案件信息数据库中的关联规则分析[J].电脑知识与技术,2009(35):33-35.
[3]王俊良,白慧芳,宋斌.基于层次分析的变压器故障诊断决策支持系统[J].武汉大学学报:工学版,2008(6):93-96.
[4]阮宁君.端口反弹型木马通信技术研究及防范措施[J].信息安全与通信保密,2007(12):99-101.
[5]罗红,慕德俊,戴冠中,等.端口反弹型木马的通信技术研究(英文)[J].微电子学与计算机,2006,23(2):192-197.
网络黑客与防范措施 篇6
关键词:黑客,网络安全,防范措施
黑客 (Hacker) 一般指非法入侵其他用户电脑系统的人。黑客通过非法手段获取远程电脑系统的访问权, 篡改或破坏其他用户电脑系统内的重要数据, 窃取他人隐私文件或制造麻烦, 黑客逐渐变成了入侵者、破坏者的代名词。
1 网络黑客的攻击方法
下面将介绍一下黑客的主要攻击方法, 只有了解这些方法, 我们在对付黑客时才能有的放矢。
⑴获取口令。黑客获取口令通常有三种方法:第一种方法是通过网络非法监听获取用户的账号和口令;第二种方法为在获取用户账号名后, 通过破解软件获取用户口令;第三种方法时获取服务器上的用户口令文件的Shadow文件后, 用暴力破解程序强行获取用户口令。这三种方法中以第三种方法的对用户危害最大。
⑵放置特洛伊木马程序。特洛伊木马, 简称木马, 常常被伪装成程序文件或游戏文件引诱用户打开, 用户一旦打开这些程序, 木马就会启动被留在用户的电脑中, 用隐藏在一个开机程序中, 用户在上网时, 黑客就会通过木马控制用户的电脑, 窃取或修改用户电脑里的参数、文件等。
⑶WWW的欺骗技术。黑客能够篡改网页上的内容, 并在网页上发布一些虚假信息, 当用户访问这些虚假的网页并在网页上输入的一切账号等个人信息都将被黑客获取。
⑷电于邮件攻击。黑客用过电子邮件进行攻击的方式有两种, 一是电子邮件炸弹, 指黑客通过一个假的电子邮件地址向同一邮箱里发送无数次相同内容的垃圾邮件, 导致用户邮箱崩溃, 邮件服务器瘫痪;第二种攻击方式是电子邮件欺骗, 也就是黑客伪装成系统管理员, 给用户发送邮件, 要求用户打开指定的地址修改口令, 或者引诱用户打开邮件中带有木马或病毒的附件, 使用户电脑中毒。这两种电子邮件攻击方式都具有一定的欺骗性, 只要用户擦亮眼睛, 拒收来历不明的邮件, 就可以避免其危害。
⑸网络监听。主机能够在网络监听这种工作模式下接收到同一条物理通道上传输的本网段的全部接收或发送的信息, 假如两台相互通信的主机没有加密保护, 黑客就可以通过特定的网络监听软件, 轻易的获取通信中的所有账号口令等隐私信息, 给用户造成一定的损失。
⑹寻找系统漏洞。在一些系统或软件中经常会出现一些安全漏洞, 其中一些安全漏洞是系统或软件自身所有, 有的则是系统管理员配置错误造成的。这些安全漏洞出现后, 用户没有修复这些漏洞就上网, 黑客就会通过这些安全漏洞侵入到用户电脑中, 窃取用户的个人信息。
⑺利用账号进行攻击。一些操作系统会提供账号密码相同或无密码的缺省账户, 黑客会利用操作系统提供的命令收集用户信息, 窃取用户个人资料。只要系统管理员关闭所有的缺省账户或提醒用户给账户加密, 一般都可以防范这种攻击手段。
⑻偷取特权。黑客会利用一些木马或后门程序安全控制用户的电脑, 或者使用黑客自己编写的程序攻击用户电脑, 这些自编程序会导致缓冲区溢出, 使黑客取得用户电脑的超级权限, 进而通过远程网络实现对用户电脑的绝地控制, 危害极大。
2 网络黑客的防范措施
⑴一部分主机由于专门做Telnet、FTP等需要传送口令的重要机密信息, 所以应对这部分主机设置一个独立的网段, 防治一个网段中的一台主机一旦被黑客攻破, 背黑客装上sniffer, 导致整个网段的通信信息全部被黑客获取。必要时, 对一些非常重要的主机, 应将其装在交换机上, 这样就能防治sniffer窃取密码等隐私信息。⑵专机专用, 对一些例如运行网管或数据库进场的专用主机就应该只把这些需要运行的程序打开, 其他像send mail等漏洞较多的程序必须关闭, 防止黑客利用其漏洞入侵系统。网管网段路由器应把其访问限度要设置成最低, 弄清楚各个进程所需的端口号, 把不常用的端口关闭。⑶把向用户开发的所有主机的日志文件都定向到一个syslog server上, 集中起来便于管理。这台服务器可用一台大容量存储的NT或者UNIX主机承担, 对备份日志主机上的数据要定期做检查。⑷网管不得访问Internet, 下载资料或软件时最好用专门的电脑。⑸专门用来提供WWW、DNS及电子邮件的主机最好不要安装开发工具, 防治黑客编译程序攻击主机。⑹用户电脑最好把网络配置成“用户权限最小化”, 把一些不重要的网络服务关掉, 不在电子邮件中发送账号密码等重要的隐私信息。⑺定期给操作系统或者应用软件升级或打补丁, 安装必要的杀毒软件或防火墙等, 对主机的访问加以限制, 保护系统日志文件, 修改简单的用户口令, 不用主机设置不同的口令, 不要长时间使用同一口令。⑻定期对系统日志文件做检查备份, 制定严格的系统备份计划。⑼对系统关键的配置文件至少一个月检查一次。⑽做好黑客入侵的预防措施, 一旦发现有黑客入侵迹象, 马上打开进程记录功能, 保持内存中的进程列表, 保护重要的日志文件。必要时可断开网络连接。在服务主机不能继续服务的情况下。应该有能力从各份磁带中恢复服务到各份主机上。
参考文献
[1]尹承东.计算机网络黑客攻击机制与防范措施[J].科技资讯.2013 (17) .
[2]李振汕.黑客攻击与防范方法研究[J].网络安全技术与应用.2012 (01) .
黑客预防 篇7
黑客们一般都使用图形工具, 图形工具可以将数据可视化并把它们以一种用户很容易李捷的形式显示出来。如果不安装窗口子系统, 就不能安全windows XP的命令行。但对于UNIX来说, 其x window system (X) 仍然是一个插件工具。
1 x window s ys te m的使用原理
关于x windowsystem (以下简称X) 的一个微小但很重要的特点是, 默认情况下, 它并不包含窗口管理器或者桌面 (Desktop) 。X只处理键盘、鼠标和输出屏幕, 它有一个基本的系统可以把窗口“放置”在屏幕上, 也可以终止这些窗口, 但菜单和工具栏是运行在X的窗口管理器生成的。系统提供了一些窗口管理器, 包括常用的Gnome、KDE及Window Maker应用程序等。
X使用的是客户机/服务器模型, 实际的窗口充当服务器的角色, 图形工具充当客户端角色。但如果再运行X服务器系统的机器上启动了图形应用程序 (如xterm或xemacs等) 那么这个客户机/服务器的交互过程就相当透明了, 看起来与Microsoft windows系统没什么两样。但如果在HOST1上运行X服务器, 在HOST2上处于Telnet会话中, 又想在HOST2上运行xemacs, 该怎么办呢?这时需要一种方法来告诉HOST2上的xemacs客户使用HOST1上的X服务器将其显示出来。这个问题也是大多数客户机/服务器模型所要考虑的。通常如果在一个系统中想要访问远程资源, 那么就要使用本地客户应用程序连接到提供该资源的远程服务器。然而, 再使用X系统时, 必须在本地系统上运行服务器, 然后让远程资源 (客户) 与该服务器连接。
2 x window s ys te m服务器与客户端通信的实现
现在假设已经登陆到了HOST2的一个命令行Shell (bash或者tcsh) 。可以采用在运行X应用程序的命令行中指定的HOST1的方法, 告诉HOST2使用HOST1进行图形应用程序的显示:
可以通过设置一个Shell中的DISPLAY环境变量, 强制所有X应用程序都用HOST1来显示。这样在HOST2中, 对于B偶然呢Shell (如sh、bash) 来说应输入:
对于C Shell (如csh、tcsh) 来说, 应输入:
X客户机/服务器模型的流程见图1:
DISPLAY变量中有个HOST1串, 它后面的:0.0是什么意思呢?此表明一台主机可以运行多台X服务器, 每台X服务器可以控制多个屏幕。DISPLAY变量的格式为:
其中:
除非X服务器配置的比较奇怪, 否则DISPLAY参数一般都会使用:0.0。事实上, 可以省略.0部分, 因为再默认情况下假设使
用屏幕.0。在默认情况下, X服务器在TCP端口6000上进行监听, 如果系统运行了第二个X服务器, 则将在TCP端口6001上监听。通过在显示编号上加6000, 每台X服务器使用的显示号总可以映射到相应的TCP端口。
3 x window s ys te m常用的几个命令
Xhost:通过它可以基于主机名/IP地址来控制连接到X服务器的用户。
语法是:bash%xhost+HOST2
如果想显示地拒访问HOST2, 使用下面的命令:
Xinit:它能够对x window system进行初始化, 并启动初始客户端。
Startx:它是xinit的前端程序, 它隐藏了启动、关闭X window会话时的一些繁琐的细节。
4 结束语
本文介绍了x windowsystem体系的基本知识, 这能使大家了解了运行基于X的应用程序时的一些潜在的安全隐患。可以说, 运行可视化见面应用程序使要付出代价的。运行X要记住三点:
(1) 如果可能, 避免xhost访问控制, 用xauth来替代。
(2) 通过SSH隧道将所有远程X应用程序的运行结果返回到X服务器。
(3) 关闭XDMCP, 除非网络是私有的并且可信。
摘要:计算机网络信息的安全是当前影响计算机应用的一个重要问题, 对网络安全技术的研究已经成为现代计算机研究的热点课题, 网络安全产品的研究和开发也被人们重视起来。xwindow system是黑客在命令提示符下使用的命令行工具。黑客们就是使用他们来对网络上的电脑进行检测、记录、复制、攻击等行为。
关键词:xwindow system,窗口管理器,xinit和startx
参考文献
【1】MikeShema著宋晨译.阻击黑客[M].电子工业出版社, 2003.
【2】远程登录Telnet的使用.p://pj3z.mhedu.sh.cn/pgy/rjjc/ShowArticle.asp?ArticleID=1065.