论文部分内容阅读
开放性和标准化是INTERNET迅速发展的重要因素也是不安全因素,INTERNET 作为一种技术,是面向所有用户的,所有资源通过网络共享;另一方面,INTERNET的技术基础是不安全的。INTERNET本身是没有边界的,整个全球互联,不属于任何一个组织和任何一个国家,人与人之间的平等性使其行为几乎不受约束。龙年伊始,随着美国以及中国数大网站相继遭到黑客袭击事件的发生,网络安全再一次引起了中国业界的普遍关注。研究黑客技术,更好的了解黑客技术手段,才能产生相应对策,保障网络系统和各种网上活动的安全。
一. 黑客的攻击不可避免
黑客技术,简单地说,就是发现计算机系统和网络的缺陷和漏洞,以及针对这些缺陷实施攻击的技术。黑客技术的作用是双面的,既有攻击性,也有防护的作用。研究过黑客技术的管理员会把他的系统和网络配置得更安全。因此研究黑客技术也是某些人追求的目标。
二. 黑客攻击的步骤
黑客的攻击一般分为搜集信息、分析、编码、试探、最后实施攻击。
1.收集信息
黑客确定了攻击目标以后,首先是想获取目标主机的有用信息,这些信息包括,操作系统的类型和版本,主机域名,主机上开放了哪些端口服务,启动了哪些可被利用的守护进程,一些应用程序的版本,主机上的帐号,邮件地址等。获取这些信息可以使用扫描工具来完成。
2.实施攻击
根据上一步的结果,黑客开始实施攻击。他可通过一些破解程序对帐号和口令进行破解,如果成功,那么他可利用此帐号登录到远程主机上,再酝酿下一步的攻击计划。实施的攻击行为还有,破坏系统程序,放置病毒,窃取主机重要信息,及进行电子邮件骚扰等等一些破坏活动。因此就有了黑客常利用的安全弱点和漏洞进行的攻击手段,形成黑客攻击技术。
三. 黑客常用攻击手段
(一)口令攻击
口令攻击是网上攻击最常用的方法,也是大多数入侵者开始网络攻击的第一步。首先入侵者通过系统常用服务或对网络通信进行监听来搜集帐号,当找到主机上的帐号后,就采用字典穷举法进行攻击。
防范措施:
1.安装系统最新的补丁程序,尽量减少入侵者窃取到口令文件的可能性。
2.保证用户口令的安全:
* 不要将口令写下来
* 不要将口令存放在计算机文件中
* 不要选取特征特别明显的信息作为口令字
* 不要在不同的系统中使用同一个口令
* 不要将口令起的过短和过于简单
* 定期更换口令
(二)服务攻击
攻击者所采用的手段主要有三种:
1.和目的主机建立大量的连接,因为目的主机要为每次网络连接提供网络资源,所以当连接速率足够高、连接数量足够多时会使目的主机的网络资源耗尽,从而导致主机瘫痪、重启、死机或黑(蓝)屏。
2. 向远程主机发送大量的数据包,因为目的主机要为每次到来的数据分配缓冲区,所以当数据量足够大时会使目的主机的网络资源耗尽,从而导致主机瘫痪、重启、死机或黑(蓝)屏。
3. 用网络软件在实现协议时的漏洞,向目的主机发送特定格式的数据包从而导致目的主机瘫痪。
4. 还有其它的攻击方法,可导致目标主机缓冲区溢出。系统溢出可导致入侵者伺机提升权限,获取信息或执行任意程序。
防范措施:
1. 关掉不必须的服务,如端口23、79、139,减少入侵者入侵的途径。
2. 注意软件版本的升级,和及时安装补丁程序。
3. 经常检查系统配置的安全性
4. 如有可能的话,在自己的网络里安装网络监测软件或其它分析软件,并对网络流量的突变进行分析。
(三)IP欺骗
IP欺骗包括简单的地址伪造和序列号预测两种:
(1)简单的地址伪造是指,攻击者将自己数据包的源地址改为其它主机的地址然后发向目标主机,使目标主机无法正确找到数据包的来源。
(2)序列号预测方法的流程为:
入侵者首先在网上监听目标主机与其它主机的通信,分析目标主机发出的TCP数据包,对目标主机发出的TCP数据包的序列号进行预测(TCP序列号是在TCP连接中唯一标识各个TCP数据包的ID号),如果目标主机的序列号是按一定的规律产生的,那么入侵者就可通过伪造TCP序列号、修改数据包的源地址等方法,使数据包看起来来自于被信任或正在通信的计算机,而被目标主机接收。
防范措施:
1. 局域网内可建立IP和物理地址的对照表,这样可在某种程度上减少简单的IP盗用。
2. 序列号预测,需要安装相应软件的较新版本,使序列号产生的随机性足够好。
(四)邮件服务器的入侵
1.利用邮件传输协议SMTP进行的入侵方法很多,其中使用较普遍的SendMail已知漏洞很多。
2.电子邮件炸弹,英文是E-Mail Bomb,它是最常用的攻击手段之一,这种攻击方法简单,见效快。
3.还有一种邮件是在直接夹带或在附件中夹带执行程序,用户不小心点击了邮件或附件,就会启动这个程序。
防范措施:
1.安装sendmail的较新版本(sendmail更新较快,要注意更新),在配置文件中屏蔽掉不必须的命令。
2.不要在网络上随意公布自己的邮箱地址。
3.为邮箱设置空间大小。
4.在邮箱设置中设置邮件过滤。
(五)利用文件传输协议(FTP)进行的入侵
FTP(文件传输协议)是Internet上最早应用于不同系统之间交换数据的协议之一。FTP的实现依靠TCP在主机间进行数据传输,只要安装了FTP客户和服务程序,就可在不同的主机(硬件和操作系统都可以不同)间进行数据交换。
防范措施:
1.安装较新版本的FTP服务程序。
2.在配置文件中屏蔽掉不必须的命令。
3.如必须启用匿名FTP服务,注意匿名服务的权限设置。
4.做好FTP服务器用户权限设置。
(六)WWW上的入侵
WWW服务是现在网上最流行的一种服务,它给上网用户提供了丰富的图文声并茂的信息,是Internet传播信息的重要渠道。电子商务也因此有了交易的界面,用户能够足不出户就可了解和参与市场行为,因此,网站的安全性是Internet上重要的资源,也是黑客首选的攻击目标。
许多安全问题都存在于HTTP的各种实现中,因此许多Web服务器都存在安全漏洞,如Alibaba,Apache,NCSA Webserver,glimpse,低版本的Website,低版本的IIS等。
CGI(通用网关接口)程序,是早期WWW上常用的编制与数据库相连,可对数据库进行查询、修改等操作的实用程序,动态显示页面信息。CGI也是WWW安全漏洞的主要来源。
防范措施:
1. 在开发CGI程序时不要透露关于你的系统的过多信息。
2. 不要将未检查的用户输入传递给Shell执行。
3. 在安装从网上下载的CGI程序时要做必要的检查。
4. 删除不必要或会带来安全威胁的文件。
5. 经常检查web服务器的配置情况。
(七)网络文件系统(NFS)
NFS(网络文件系统)服务器可对外输出(export)目录,提供资源共享。其它主机就可以通过NFS协议对服务器输出的目录进行访问。
由于NFS鉴别一个写文件的请求时是鉴别发出这个请求的机器,而不是用户,因而,在基于NFS的文件系统中运行SU命令而成为某个文件的拥有者并不是一件困难的事情。
防范措施:
1. 作好输出目录的权限设置,包括访问权限和目录本身权限。
2. 关掉不必须的RPC服务进程,特别是有关系统信息和用户信息的服务进程。
(八)病毒
病毒是一个程序,有时是有破坏性的,可自我复制,能以替换、插入等形式附着在操作系统或可执行文件上,这些行为用户毫无觉察。它还可通过网络传播,发作时有危害。
一旦病毒发作,会发生机器不能正常启动,运行速度降低,磁盘空间被占用,文件内容和长度被改变,经常出现"死机"现象,外部设备工作异常等情况。
防范措施:
1.安装防病毒软件,定期对系统进行查毒。
2.不要随意从网上下载软件,下载后要注意进行查毒。
3.不要打开不熟悉的邮件和附件。
(九)利用特洛伊程序进行的入侵
特洛伊程序往往是在用户不知道的情况下被引入到系统中的。它可隐蔽的藏于用户的执行进程中,不容易被发觉,可为远程入侵者提供本地有用信息,严重的还可被远程控制,其危害性极大。
防范措施:
1. 任何特洛伊和后门程序一旦被入侵者利用都将会带来安全危害,因此不要随意从网上下载软件,建议使用正版软件。
2.经常检查自己的系统是否启动了不明的服务,应尽快删除。
3.对于Windows系统,应注意比较注册表的改变。
4.使用安全工具进行检查。
一. 黑客的攻击不可避免
黑客技术,简单地说,就是发现计算机系统和网络的缺陷和漏洞,以及针对这些缺陷实施攻击的技术。黑客技术的作用是双面的,既有攻击性,也有防护的作用。研究过黑客技术的管理员会把他的系统和网络配置得更安全。因此研究黑客技术也是某些人追求的目标。
二. 黑客攻击的步骤
黑客的攻击一般分为搜集信息、分析、编码、试探、最后实施攻击。
1.收集信息
黑客确定了攻击目标以后,首先是想获取目标主机的有用信息,这些信息包括,操作系统的类型和版本,主机域名,主机上开放了哪些端口服务,启动了哪些可被利用的守护进程,一些应用程序的版本,主机上的帐号,邮件地址等。获取这些信息可以使用扫描工具来完成。
2.实施攻击
根据上一步的结果,黑客开始实施攻击。他可通过一些破解程序对帐号和口令进行破解,如果成功,那么他可利用此帐号登录到远程主机上,再酝酿下一步的攻击计划。实施的攻击行为还有,破坏系统程序,放置病毒,窃取主机重要信息,及进行电子邮件骚扰等等一些破坏活动。因此就有了黑客常利用的安全弱点和漏洞进行的攻击手段,形成黑客攻击技术。
三. 黑客常用攻击手段
(一)口令攻击
口令攻击是网上攻击最常用的方法,也是大多数入侵者开始网络攻击的第一步。首先入侵者通过系统常用服务或对网络通信进行监听来搜集帐号,当找到主机上的帐号后,就采用字典穷举法进行攻击。
防范措施:
1.安装系统最新的补丁程序,尽量减少入侵者窃取到口令文件的可能性。
2.保证用户口令的安全:
* 不要将口令写下来
* 不要将口令存放在计算机文件中
* 不要选取特征特别明显的信息作为口令字
* 不要在不同的系统中使用同一个口令
* 不要将口令起的过短和过于简单
* 定期更换口令
(二)服务攻击
攻击者所采用的手段主要有三种:
1.和目的主机建立大量的连接,因为目的主机要为每次网络连接提供网络资源,所以当连接速率足够高、连接数量足够多时会使目的主机的网络资源耗尽,从而导致主机瘫痪、重启、死机或黑(蓝)屏。
2. 向远程主机发送大量的数据包,因为目的主机要为每次到来的数据分配缓冲区,所以当数据量足够大时会使目的主机的网络资源耗尽,从而导致主机瘫痪、重启、死机或黑(蓝)屏。
3. 用网络软件在实现协议时的漏洞,向目的主机发送特定格式的数据包从而导致目的主机瘫痪。
4. 还有其它的攻击方法,可导致目标主机缓冲区溢出。系统溢出可导致入侵者伺机提升权限,获取信息或执行任意程序。
防范措施:
1. 关掉不必须的服务,如端口23、79、139,减少入侵者入侵的途径。
2. 注意软件版本的升级,和及时安装补丁程序。
3. 经常检查系统配置的安全性
4. 如有可能的话,在自己的网络里安装网络监测软件或其它分析软件,并对网络流量的突变进行分析。
(三)IP欺骗
IP欺骗包括简单的地址伪造和序列号预测两种:
(1)简单的地址伪造是指,攻击者将自己数据包的源地址改为其它主机的地址然后发向目标主机,使目标主机无法正确找到数据包的来源。
(2)序列号预测方法的流程为:
入侵者首先在网上监听目标主机与其它主机的通信,分析目标主机发出的TCP数据包,对目标主机发出的TCP数据包的序列号进行预测(TCP序列号是在TCP连接中唯一标识各个TCP数据包的ID号),如果目标主机的序列号是按一定的规律产生的,那么入侵者就可通过伪造TCP序列号、修改数据包的源地址等方法,使数据包看起来来自于被信任或正在通信的计算机,而被目标主机接收。
防范措施:
1. 局域网内可建立IP和物理地址的对照表,这样可在某种程度上减少简单的IP盗用。
2. 序列号预测,需要安装相应软件的较新版本,使序列号产生的随机性足够好。
(四)邮件服务器的入侵
1.利用邮件传输协议SMTP进行的入侵方法很多,其中使用较普遍的SendMail已知漏洞很多。
2.电子邮件炸弹,英文是E-Mail Bomb,它是最常用的攻击手段之一,这种攻击方法简单,见效快。
3.还有一种邮件是在直接夹带或在附件中夹带执行程序,用户不小心点击了邮件或附件,就会启动这个程序。
防范措施:
1.安装sendmail的较新版本(sendmail更新较快,要注意更新),在配置文件中屏蔽掉不必须的命令。
2.不要在网络上随意公布自己的邮箱地址。
3.为邮箱设置空间大小。
4.在邮箱设置中设置邮件过滤。
(五)利用文件传输协议(FTP)进行的入侵
FTP(文件传输协议)是Internet上最早应用于不同系统之间交换数据的协议之一。FTP的实现依靠TCP在主机间进行数据传输,只要安装了FTP客户和服务程序,就可在不同的主机(硬件和操作系统都可以不同)间进行数据交换。
防范措施:
1.安装较新版本的FTP服务程序。
2.在配置文件中屏蔽掉不必须的命令。
3.如必须启用匿名FTP服务,注意匿名服务的权限设置。
4.做好FTP服务器用户权限设置。
(六)WWW上的入侵
WWW服务是现在网上最流行的一种服务,它给上网用户提供了丰富的图文声并茂的信息,是Internet传播信息的重要渠道。电子商务也因此有了交易的界面,用户能够足不出户就可了解和参与市场行为,因此,网站的安全性是Internet上重要的资源,也是黑客首选的攻击目标。
许多安全问题都存在于HTTP的各种实现中,因此许多Web服务器都存在安全漏洞,如Alibaba,Apache,NCSA Webserver,glimpse,低版本的Website,低版本的IIS等。
CGI(通用网关接口)程序,是早期WWW上常用的编制与数据库相连,可对数据库进行查询、修改等操作的实用程序,动态显示页面信息。CGI也是WWW安全漏洞的主要来源。
防范措施:
1. 在开发CGI程序时不要透露关于你的系统的过多信息。
2. 不要将未检查的用户输入传递给Shell执行。
3. 在安装从网上下载的CGI程序时要做必要的检查。
4. 删除不必要或会带来安全威胁的文件。
5. 经常检查web服务器的配置情况。
(七)网络文件系统(NFS)
NFS(网络文件系统)服务器可对外输出(export)目录,提供资源共享。其它主机就可以通过NFS协议对服务器输出的目录进行访问。
由于NFS鉴别一个写文件的请求时是鉴别发出这个请求的机器,而不是用户,因而,在基于NFS的文件系统中运行SU命令而成为某个文件的拥有者并不是一件困难的事情。
防范措施:
1. 作好输出目录的权限设置,包括访问权限和目录本身权限。
2. 关掉不必须的RPC服务进程,特别是有关系统信息和用户信息的服务进程。
(八)病毒
病毒是一个程序,有时是有破坏性的,可自我复制,能以替换、插入等形式附着在操作系统或可执行文件上,这些行为用户毫无觉察。它还可通过网络传播,发作时有危害。
一旦病毒发作,会发生机器不能正常启动,运行速度降低,磁盘空间被占用,文件内容和长度被改变,经常出现"死机"现象,外部设备工作异常等情况。
防范措施:
1.安装防病毒软件,定期对系统进行查毒。
2.不要随意从网上下载软件,下载后要注意进行查毒。
3.不要打开不熟悉的邮件和附件。
(九)利用特洛伊程序进行的入侵
特洛伊程序往往是在用户不知道的情况下被引入到系统中的。它可隐蔽的藏于用户的执行进程中,不容易被发觉,可为远程入侵者提供本地有用信息,严重的还可被远程控制,其危害性极大。
防范措施:
1. 任何特洛伊和后门程序一旦被入侵者利用都将会带来安全危害,因此不要随意从网上下载软件,建议使用正版软件。
2.经常检查自己的系统是否启动了不明的服务,应尽快删除。
3.对于Windows系统,应注意比较注册表的改变。
4.使用安全工具进行检查。