浅谈黑客攻击与防范技术
2009.2
31
浅谈黑客攻击与防范技术
罗艳梅
海军南海工程设计院 广东 524003
摘要:网络已经成为信息资源的海洋,给人们带来了极大的方便的同时也带来了安全上的隐患。近年来,网上泄密事件频频发生,黑客技术也被越来越重视。本文通过分析黑客攻击的方法和流程,给出了防范黑客攻击的若干对策和方法。
关键词:黑客攻击;防范措施;积极防御
0 引言
网络发展到今天,信息网络的安全隐患日益突出,网络的各类攻击与破坏行为与日俱增。我们的计算机分分秒秒都有可能受到攻击或窃取,所以必须了解黑客的攻击手段,才能更全面地防范黑客攻击。
1 我们先来了解一下主机被控的现象
(1)QQ、MSN的异常登录提醒,你在登录QQ时,系统提示上一次的登录IP地址和你完全不相干。比如,你只在广东的家里上过,QQ却提醒你上一次登录地点在上海。
(2)网络游戏登录时发现装备丢失或和你上次下线时的位置不符,甚至用正确的密码无法登录。
(3)突然发现你的鼠标不听使唤,在你不动鼠标的时候,鼠标也会移动,并且还会点击有关按钮进行操作。
(4)正常上网时,突然感觉很慢,硬盘灯在闪烁,就象你平时在COPY文件。
(5)当你准备使用摄像头时,系统提示,该设备正在使用中。
(6)在你没有使用网络资源时,你发现网卡灯在不停闪烁。如果你设定为连接后显示状态,你还会发现屏幕右下角的网卡图标在闪。
如果你的主机存在以上的某种现象,很遗憾的告诉你,你的主机被别人控制了。
2 黑客攻击的基本流程2.1 诱骗式攻击
(1)直接发送传播
利用社会工程学,最典型的莫过于在QQ 上对网友说:“这是我照片”或“美女图片”,然后发送带有病毒的图像文件……虽然原始,但还是有很多人中招……成功率很难说……。
(2)利用电子邮件①利用附件进行传播
著名的“爱虫”,由于邮件的主题是具有诱惑性的“ILOVE YOU”,附件为LOVE-LETTER-FOR-YOU.TXT.VBS,一旦用户打开附件,病毒便进行感染:搜索outlook地址簿、IRC连接、发送带有病毒的邮件、通过IRC感染其他用户……。通过HTML嵌入技术实现。
②邮件网页木马
只要接受者点击了邮件主题看了信件,而不用打开附件,就会中招。而攻击者只需利用社会工程学及心理学等基本技巧,让邮件看起来不是明显的垃圾邮件或广告,接受者会认为反正不打开附件。
(3)利用网页启动。(4)利用系统漏洞
(Worm.Blaster)就是利用的是系统的RPC DCOM漏洞。2005年的狙击波(Worm.Zotob/Worm.Mytob),利用 MS05-051漏洞。
(5)诱骗从网站下载文件。
(6) 通过网络或者U盘等介质感染病毒。
2.2 定点攻击
定位目标机,通常以窃取涉密信息为目的,其攻击的基本流程是:
预攻击探测(收集信息,如OS类型,提供的服务端口)
发现漏洞,采取攻击行为(破解口令文件,或利用缓存溢出漏洞)
获得攻击目标的控制权系统(获得系统账号权限,并提升为root权限)
安装系统后门(方便以后使用)
作者简介:罗艳梅(1979-),女,海军南海工程设计院,研究方向:网络安全。
2009.2
32
继续渗透网络,直至获取机密数据(以此主机为跳板,寻找其它主机的漏洞)
消灭踪迹(消除所有入侵脚印,以免被管理员发觉)
3 常见的攻击方法和防范措施3.1 网络与主机的漏洞扫描与攻击
如果我们的主机存在漏洞,黑客通过漏洞扫描软件可以轻而易举的收集到信息,包括开放的端口和操作系统的种类等。漏洞扫描是一种最常见的攻击模式,用于探测系统和网络漏洞,如获取系统和应用口令,嗅探敏感信息,利用缓存区溢出直接攻击等。针对某一类型的漏洞,都有专门的攻击工具。另外,也有一些功能强大综合扫描工具,针对系统进行全面探测和漏洞扫描,如流光等。
端口扫描基础:
(1)利用TCP/IP来识别不同的操作系统和服务。(2)向系统发送各种特殊的包,根据系统对包回应的差别,推断出操作系统的种类端口扫描程序利用的部分特征:
①ICMP错误信息抑制;②服务类型值(TOS) ;③TCP/IP选项;
④对SYN FLOOD的抵抗力;⑤TCP初始窗口。漏洞攻击的防范:
(1)安装防火墙,禁止访问不该访问的服务端口,使用NAT隐藏内部网络结构。
(2)安装入侵检测系统,检测漏洞攻击行为。
(3)安装安全评估系统,先于入侵者进行模拟漏洞攻击,以便及早发现漏洞并解决。
(4)提高安全意识,经常给操作系统和应用软件打补丁。
3.2 缓冲区溢出攻击
十年来最大的安全问题。这是一种系统攻击手段,通过向程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。这种攻击可以使得一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权。这种攻击主要针对某服务器。
缓冲区溢出攻击的防范措施:(1)安装防火墙。(2)及时更新补丁。
(3)安装IDS/IPS进行检测和拦截。
3.3 拒绝服务攻击(Denial of Service DoS)
此类攻击指一个用户占据了大量的共享资源,使得系统没有剩余的资源给其他用户可用的一种攻击方式。这是一
类危害极大的攻击方式,严重的时候可以使一个网络瘫痪。这个攻击方式多是由于经济利益的驱使,黑客控制成千上万台的肉鸡(被控的机器)一起攻击某服务器,造成某服务器的资源耗尽,响应不了正常用户的访问。Yahoo的服务器就曾遭到过拒绝服务的攻击。
针对拒绝服务攻击的防范措施:
(1)安装防火墙,禁止访问不该访问的服务端口,过滤不正常的畸形数据包,使用NAT隐藏内部网络结构。
(2)安装入侵检测系统,检测拒绝服务攻击行为。(3)安装安全评估系统,先于入侵者进行模拟攻击,以便及早发现问题并解决。
(4)提高安全意识,经常给操作系统和应用软件打补丁。
3.4 ARP欺骗攻击
如果局域网某台主机运行ARP欺骗的木马程序时就会出现:
(1)会欺骗局域网所有主机和路由器,让所有上网的流量必须经过病毒主机。
(2)原来由路由器上网的计算机现在转由病毒主机上网发作时,用户会断一次线。
(3) ARP欺骗的木马程序发作的时候会发出大量的数据包,导致局域网通讯拥塞,用户会感觉到上网的速度越来越慢。
(4) 当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。
Arp欺骗攻击的防范:
(1)安装入侵检测系统,检测ARP欺骗攻击。(2)MAC地址与IP地址双向绑定。
(3)所有机器上把网关的IP和MAC绑定一次。(4)路由器上再把用户的IP地址和MAC绑定一次。查找ARP欺骗木马的工具,大家有兴趣可以自己试试:Antiarp,Nbtscan。
3.5 口令破解和嗅探
如果两台主机进行通信的信息没有加密,只要使用某些网络监听工具,例如,Sniffer Pro, NetXray,tcpdump ,Dsniff等就可以轻而易举地截取包括口令、账号等敏感信息。Snifferpro软件我试过,对于没有设置密码保护的账号和密码都可以轻松截取到!
针对网络嗅探和破解攻击的防范措施:
(1)安装VPN网关,防止对网间网信道进行嗅探。(2)对内部网络通信采取加密处理。(3)采用交换设备进行网络分段。
(4)采取技术手段发现处于混杂模式的主机,发掘“鼹鼠”。
2009.2
33
(5)提高安全意识,避免弱口令。
3.6 SQL注入
随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。恶意用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些想得知的数据,这就是所谓的SQLInjection,即SQL注入。这类攻击要通过提高程序员的编程水平,编写程序时过滤用户提交的参数,尽量减少能够有sql出入的地方。
4 黑客攻击的预防
了解黑客的攻击原理,除了硬件上要做好防范外,我们平时使用电脑也要养成良好的习惯:
(1) 操作系统勤打补丁,同时将Windows自动升级功能启用。现在许多病毒、木马就是利用了Windows操作系统的漏洞进行传播了,而微软也会不定期发布相应的补丁程序要进行补救,如果能够做到勤打补丁,当初的震荡波、冲击波等也就不会成蔓延之势了。
(2)下载软件及驱动程序应该到官方网站或是知名大网站下载,不到一些陌生或是不知名的网站下载,并且最好下载官方版本,不随意使用第三方修改过的版本。
(3)安装软件之前最好先进行病毒扫描,另外在安装过程中将每一个步骤都看仔细,不能随意地一路“Enter”下去。
(4)不浏览非法网站,不安装任何网站的插件。对于使用Windows XP SP2操作系统的朋友,应该将所有弹出窗口禁止,这样你不仅可以免去弹出窗口的干扰,而且可有效地避免你一不小心就安装了某个插件。
(5)不打开陌生人的邮件,不要随意打开陌生人邮件中的附件。使用邮件客户端程序时最好不要使用Outlook。至少也要打补丁。
(6)使用及时通讯软件如QQ、MSN等,不随意点击对方发过来的网址,也不要随便接收文件,即使接受了在打开之前也要进行病毒扫描。
(7) 在网络中(特别是一些论坛中),尽量避免泄露本单位信息,如单位名称和EMAIL地址等。
(8)不要随便执行文件。
(9)密码不要太简单至少8位,15位以上就万无一失了(很难破),关闭文件共享。
(10)不要使用系统默认值,安装防病毒软件,并经常更新。
(11)电脑里不存储涉密信息。
5 查杀黑客木马
5.1 利用Windows自带工具杀毒
(1)当你感觉电脑中毒而杀毒软件无能为力而且也不知道所中毒的名称时,你首先想到的应该是查看进程。按住“Ctrl+Alt+Del”打开“windows任务管理器”,检查其中是否有可疑的进程。
(2)当系统运行非常缓慢,而在进程中你又可发现某个进程的CPU占用虑非常高,而在你打开的相应程序中又没有可与其对应的,那么很有可能就是木马。 找到可疑进程后,我们就要找出它的位置了并停止该进程。事实上,以上方法对于新的病毒木马一般是无效的,因为目前的木马或病毒的进程和线程都是互相挂钩的。因此我们需要更强大的工具,推荐两个:tasklist和taskill。
taskill /F /PID
调试工具命令ntsd ntsd -c q -p PID
5.2 利用第三方工具查杀
(1)Hijackthis + killbox
Hijackthis和Icesword可以对系统的整体状况进行查看Killbox可以对进程,线程及各种文件进行修改或删除。
(2)iceSword
Icesword还能对进程等进行监控,能有效防止木马进程反复生成。
Icesword可以对进程,线程及各种文件进行修改或删除。(3)autoruns
Autoruns则对于注册表的查看与修改有很大帮助。大家可以在网上下载这些软件,他们会借你一双慧眼,找出木马的藏身地!
6 结束语
黑客的攻与防恰如“道”与“魔”的关系,也许用“道高一尺,魔高一丈”来形容这对矛盾的斗争和发展进程再为恰当不过。但是辨证的看,网络安全问题的日益突出,促使网络安全企业不断采用最新安全技术,不断推出满足用户需求、具有时代特色的安全产品,也进一步促进了网络安全技术的发展。所以说黑客技术的研究和网络安全产品的开发也是分不开的。
参考文献
[1]徐超汉.计算机网络安全与数据完整性技术.电子工业出版社.2005.
[2]刘晶璘.计算机网络概论.高等教育出版社.2005.