黑客攻防3106計(jì)

我們已知道了木馬、掃描器和嗅探器的相關(guān)知識(shí)， 其實(shí)黑客工具遠(yuǎn)不至于此， 還有諸如損人不利己的網(wǎng)絡(luò)炸彈， 專門(mén)針對(duì)QQ的黑客工具(象什么QQ密碼終結(jié)者、用于遠(yuǎn)程攻擊的QicqSpy、QQ炸彈OICQShield等)， 還有拒絕服務(wù)攻擊(Ddos等)、IP欺騙攻擊、Web欺騙、DNS欺騙攻擊等等， 簡(jiǎn)直比古龍小說(shuō)里的十大惡人還要可惡。 讓我們回過(guò)頭再看看黑客們是怎么攻擊的， 同時(shí)我們又應(yīng)該如何拿起身邊的武器， 奮起反抗。

　　1. 混水摸魚(yú)VS釜底抽薪

　　黑客們可能會(huì)在你的機(jī)器上啟動(dòng)一個(gè)偽造系統(tǒng)登錄界面的程序， 來(lái)進(jìn)行貍貓換太子。 不明底細(xì)的你多半會(huì)誤入這個(gè)“賊窩”， 當(dāng)你在這個(gè)偽裝的界面上輸入用戶名、密碼以后， 該偽登錄程序會(huì)在后臺(tái)把你錄入的機(jī)密信息偷偷地傳送到黑客們的機(jī)器上， 然后提示一個(gè)出錯(cuò)信息說(shuō)“用戶名與密碼不符， 請(qǐng)重新登錄”。 此后， 才會(huì)出現(xiàn)真正的登錄界面。

　　怎么樣， 可怕吧?應(yīng)對(duì)方法就是釜底抽薪,強(qiáng)制在登錄時(shí)必須要按Ctrl+Alt+Del才能調(diào)出登錄窗口， 方法是進(jìn)入“開(kāi)始菜單→管理工具 →本地安全策略”， 打開(kāi)“本地安全設(shè)置”對(duì)話框， 再依次進(jìn)入“本地策略 →安全選項(xiàng)”， 雙擊右邊詳細(xì)窗格里的“禁用按Ctrl+Alt+Del進(jìn)行登錄的設(shè)置”， 當(dāng)然要禁止它。 這樣就可以防止黑客混水摸魚(yú)了。

　　還有一個(gè)方法就是啟用防火墻， 它的一個(gè)重要作用就是防止非法用戶登錄你的機(jī)器上。 例如可以進(jìn)行端口過(guò)濾， 以禁止外部主機(jī)Telnet到內(nèi)部主機(jī)上。

　　還有一種類似的攻擊， 比如說(shuō)正在用IE等瀏覽器在互聯(lián)網(wǎng)上遨游， 如閱讀新聞組、咨詢產(chǎn)品價(jià)格、訂閱報(bào)紙、電子商務(wù)等， 充分享受網(wǎng)絡(luò)帶來(lái)的便利。 然而你恐怕不會(huì)想到有這些問(wèn)題存在:正在訪問(wèn)的網(wǎng)頁(yè)已經(jīng)被黑客篡改過(guò)， 網(wǎng)頁(yè)上的信息是虛假的!例如黑客將用戶要瀏覽的網(wǎng)頁(yè)的URL改寫(xiě)為指向黑客自己的服務(wù)器， 當(dāng)用戶瀏覽目標(biāo)網(wǎng)頁(yè)的時(shí)候， 實(shí)際上是向黑客服務(wù)器發(fā)出請(qǐng)求， 那么黑客就可以達(dá)到欺騙的目的了。 預(yù)防的方法就是盡量不要上不可靠的網(wǎng)站， 如果一定要上， 也要察看一下網(wǎng)頁(yè)的源代碼， 看看是不是假的， 并且禁止IE的腳本支持和ActiveX控件。

　　2.李代桃僵VS順蔓摸瓜

　　黑客們可能會(huì)通過(guò)代理服務(wù)器來(lái)攻擊你， 狡猾的黑客還會(huì)使用800電話的無(wú)人轉(zhuǎn)接服務(wù)來(lái)連接ISP， 然后再盜用他人的帳號(hào)上網(wǎng)。 也許在他到來(lái)之前， 他已經(jīng)使用了好幾個(gè)跳板了。 就算你費(fèi)了九牛二虎之力查到了攻擊者的IP， 但可能和你一樣， 也是個(gè)受害者。

　　盡管不一定有用， 但建議你這樣做， 有總比沒(méi)有好:啟用Windows 2000里的事件審核功能， 要知道， 缺省情況是不記錄任何審核事件的!方法嘛， 還是進(jìn)入“本地安全設(shè)置”， 打開(kāi)“本地策略 →審核策略”雙擊右邊詳細(xì)窗格里的“審核登錄事件”， 選中其中的“成功”、“失敗”事件， 然后把里面的象什么“審核對(duì)象訪問(wèn)”、“審核帳戶登錄訪問(wèn)”所有的都選上， 不要怕浪費(fèi)磁盤(pán)空間， 如果被黑客攻占了等于你的磁盤(pán)就是他的了， 就更加浪費(fèi)。

　　3.偷梁換柱VS關(guān)門(mén)捉賊

　　以前講過(guò)， 黑客們可以通過(guò)嗅探器得到你的敏感信息， 這類方法有一定的局限性， 比如說(shuō)要在你的網(wǎng)段里種一個(gè)嗅探器， 但其危害性極大。 黑客們可以輕松獲取你的帳戶和密碼。 目前有很多協(xié)議根本就沒(méi)有采用任何加密或身份認(rèn)證技術(shù)， 如在Telnet、FTP、HTTP、SMTP等傳輸協(xié)議中， 用戶帳戶和密碼信息都是以明文格式傳輸?shù)模?這就給攻擊者帶來(lái)了很多便利， 此時(shí)若攻擊者利用數(shù)據(jù)包截取工具例如Iris便可很容易收集到你的機(jī)密數(shù)據(jù)。 還有一種中途截?fù)艄�擊方法更為狡詐， 它可以在你同服務(wù)器端完成“三次握手”建立連接之后， 在通信過(guò)程中扮演"第三者"的角色， 假冒服務(wù)器身份欺騙你， 再假冒你向服務(wù)器發(fā)出惡意請(qǐng)求， 其造成的后果不堪設(shè)想。 另外， 攻擊者有時(shí)還會(huì)利用軟件和硬件工具時(shí)刻監(jiān)視系統(tǒng)主機(jī)的工作， 等待記錄用戶登錄信息， 從而取得用戶密碼;或者編制有緩沖區(qū)溢出錯(cuò)誤的SUID程序來(lái)獲得超級(jí)用戶權(quán)限。

　　對(duì)這種方法首先要籬笆扎的嚴(yán)， 同一個(gè)網(wǎng)段里的機(jī)器應(yīng)該是可以互相信任的， 同時(shí)借助一些反嗅探器工具例如AntiSniffer之類的對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控。

　　4.美人計(jì)VS誘敵深入

　　前面說(shuō)過(guò)， 木馬程序因?yàn)樯�得短小精悍�?所以深得黑客們的青睞， 盡管骨灰級(jí)的高手常不屑于使用， 但是統(tǒng)計(jì)表明， 百分之六十的黑客攻擊是采用木馬。 木馬程序可以直接潛入你的電腦并進(jìn)行破壞， 它常常把自己裝成一副游戲或者M(jìn)P3的嘴臉來(lái)誘使你打開(kāi)它們， 一旦你雙擊了帶有特洛伊木馬程序的郵件附件或從網(wǎng)上直接下載的貌似合法的程序， 它們就會(huì)留在電腦中， 并且可以讓自己隨Windows而啟動(dòng)。 當(dāng)你連接到互聯(lián)網(wǎng)上時(shí)， 這個(gè)程序就會(huì)通知黑客(通過(guò)郵件或者即時(shí)消息)， 告知你的IP地址和可以攻擊端口。 黑客收到這些信息后， 使用木馬的客戶端程序， 和潛伏在你機(jī)器里的服務(wù)器程序里應(yīng)外合， 可以任意地修改你的計(jì)算機(jī)的參數(shù)設(shè)定、復(fù)制文件、窺視你整個(gè)硬盤(pán)中的內(nèi)容等， 從而達(dá)到控制你的計(jì)算機(jī)的目的。

　　要破除木馬使的美人計(jì)， 首先不要隨意打開(kāi)來(lái)歷不明的電子郵件及文件， 不要隨便運(yùn)行不太了解的人給你的程序， 比如“特洛伊木馬”之類的黑客程序就需要騙你運(yùn)行。 盡量避免從Internet下載不知名的軟件、游戲程序。 即使從知名的網(wǎng)站下載的軟件也要及時(shí)用最新的病毒和木馬查殺軟件對(duì)軟件和系統(tǒng)進(jìn)行掃描。 查到木馬程序以后， 也不要急著將它推出午門(mén)斬首， 先逼出口供再說(shuō)， 你可以用netstat命令看看誰(shuí)在與你連接， 然后可以分析這個(gè)木馬， 看看它里面的通知選項(xiàng)里寫(xiě)的是誰(shuí)的電子郵件地址， 就可以對(duì)他進(jìn)行反懲罰了。

　　5.借刀殺人—DDos攻擊

　　DDos攻擊， 是指分布式拒絕服務(wù)攻擊， 從許多分布的主機(jī)同時(shí)攻擊一個(gè)目標(biāo)主機(jī)， www.arpun.com 從而導(dǎo)致它徹底癱瘓， 好多著名的網(wǎng)站， 象Yahoo、Buy.com、Amazon等都受到過(guò)這種“百鳥(niǎo)朝鳳”的待遇。 分布式拒絕服務(wù)攻擊采用的是四層客戶機(jī)/服務(wù)器架構(gòu)， 處于最頂層的是目標(biāo)主機(jī)， 而首腦攻擊者處于最低層， 與第二層的攻擊服務(wù)器(數(shù)量比較少， 約幾臺(tái)到幾十臺(tái))相連， 然后由攻擊服務(wù)器把首腦攻擊者的攻擊命令分布到第三層的攻擊執(zhí)行器(數(shù)目很大)上， 攻擊執(zhí)行器實(shí)施對(duì)目標(biāo)主機(jī)的攻擊。 攻擊服務(wù)器的作用主要是隔離攻擊者與網(wǎng)絡(luò)直接聯(lián)系， 減少被發(fā)現(xiàn)的可能性， 同時(shí)可以協(xié)調(diào)進(jìn)攻。 攻擊執(zhí)行器主要運(yùn)行一些簡(jiǎn)單的程序， 可以向目標(biāo)主機(jī)發(fā)出雪崩數(shù)據(jù)， 而且不要求ACK(回應(yīng))。

　　首腦攻擊者多半是由一臺(tái)普通主機(jī)充當(dāng)， 甚至可能是一臺(tái)筆記本電腦， 這樣它的位置可能是不固定的， 它用來(lái)向攻擊服務(wù)器發(fā)出攻擊特定目標(biāo)的指令。 攻擊執(zhí)行器接到攻擊命令以后， 發(fā)出大量數(shù)據(jù)包騷擾目標(biāo)主機(jī)， 而且這種數(shù)據(jù)包還經(jīng)過(guò)偽裝， 無(wú)法辨認(rèn)它們的源地址。 很快目標(biāo)主機(jī)就會(huì)資源耗盡而崩潰。

　　目前這一招還沒(méi)有直接有效的應(yīng)對(duì)方法:只能先防患于未燃。

　　首先確保服務(wù)器安裝了最新服務(wù)包， 打上了所有最新的安全補(bǔ)丁， 建議使用英文版的操作系統(tǒng)， 因?yàn)橛⑽陌娴牟僮飨到y(tǒng)比中文版的Bug要少得多， 而且各種服務(wù)包、補(bǔ)丁、漏洞資料也發(fā)布得要快得多， 被攻擊的案例大多起因于漏洞沒(méi)有補(bǔ)好。

　　其次系統(tǒng)管理員要對(duì)關(guān)鍵系統(tǒng)的所有外圍主機(jī)進(jìn)行檢查， 而不僅針對(duì)關(guān)鍵系統(tǒng)。 也就是說(shuō)要保證一般的外圍主機(jī)不會(huì)被黑客控制。 一旦黑客直接控制了外圍主機(jī)， 那將十分可怕。 要確保系統(tǒng)管理員知道每個(gè)外圍主機(jī)系統(tǒng)在運(yùn)行什么操作系統(tǒng)?都有哪些人在使用它們?哪些人可以訪問(wèn)它們?要做到心中有數(shù)， 不要等到黑客攻擊了， 才想到要去查， 已經(jīng)晚了。

　　一些未使用的服務(wù)， 例如Telnet、Ftp、Smtp等， 會(huì)用明文顯示密碼、帳號(hào)。 就應(yīng)該果斷讓它們下崗， 并且確保封住它們的端口， 以防它們死灰復(fù)燃。 以前講過(guò)黑客通過(guò)IPC$攻擊就可能獲得超級(jí)用戶的權(quán)限， 并能訪問(wèn)其他系統(tǒng)， 不管是不是受防火墻保護(hù)。

　　如果是Unix主機(jī)， 則要確保所有的守護(hù)服務(wù)都有TCP封裝程序， 并限制對(duì)主機(jī)的訪問(wèn)權(quán)限。

　　最好不要讓內(nèi)部網(wǎng)通過(guò)“小貓”訪問(wèn)互聯(lián)網(wǎng)。 否則， 黑客們很容易通過(guò)電話線發(fā)現(xiàn)未受保護(hù)的主機(jī)， 馬上就可以實(shí)行攻擊。

　　限制在防火墻外進(jìn)行網(wǎng)絡(luò)文件共享。 這會(huì)使黑客有機(jī)會(huì)截獲系統(tǒng)文件， 并以特洛伊木馬替換它， 文件傳輸功能無(wú)異將陷入癱瘓。

　　可以以毒攻毒， 在防火墻上運(yùn)行掃描器程序。 大多數(shù)攻擊事件是由于防火墻配置不當(dāng)造成的， 使DDoS攻擊成功率很高， 所以要用掃描器好好地看看到底有哪些不明端口敞開(kāi)著， 同時(shí)也可以看看有哪些漏洞， 你可以用前面說(shuō)過(guò)的流光檢查一下。

　　即時(shí)檢查所有網(wǎng)絡(luò)設(shè)備和主機(jī)/服務(wù)器系統(tǒng)的日志。 只要日志出現(xiàn)異�；蛘哂斜蝗烁膭�(dòng)、刪除的痕跡， 那么就可以懷疑主機(jī)已經(jīng)受到黑客的光顧。

　　盡管以上的方法并不是直接有效， 但是籬笆扎得牢了， 就能最大限度地防止各類黑客工具的侵襲， 其中自然也包括分布式拒絕服務(wù)攻擊(DDos)。