我們已知道了木馬、掃描器和嗅探器de相關(guān)知識(shí),其實(shí)黑客工具遠(yuǎn)不至于此,還有諸如損人不利己de網(wǎng)絡(luò)爆彈,專(zhuān)門(mén)針對(duì)QQde黑客工具(象什么QQ密碼終結(jié)者、用于遠(yuǎn)程攻擊deQicqSpy、QQ爆彈OICQShield等),還有拒絕服務(wù)攻擊(DDoS等)、IP欺騙攻擊、Web欺騙、DNS欺騙攻擊等等,簡(jiǎn)直比古龍小說(shuō)里de十大惡人還要可惡。讓我們回過(guò)頭再看看黑客們是怎么攻擊de,同時(shí)我們又應(yīng)該如何拿起身邊de武器,奮起反抗。
1.混水摸魚(yú)VS釜底抽薪
黑客們可能會(huì)在你de機(jī)器上啟動(dòng)一個(gè)偽造系統(tǒng)登錄界面de程序,來(lái)進(jìn)行貍貓換太子。不明底細(xì)de你多半會(huì)誤入這個(gè)賊窩,當(dāng)你在這個(gè)偽裝de界面上輸入用戶(hù)名、密碼以后,該偽登錄程序會(huì)在后臺(tái)把你錄入de機(jī)密信息偷偷地傳送到黑客們de機(jī)器上,然后提示一個(gè)出錯(cuò)信息說(shuō)用戶(hù)名與密碼不符,請(qǐng)重新登錄。此后,才會(huì)出現(xiàn)真正de登錄界面。
怎么樣,可怕吧?應(yīng)對(duì)方法就是釜底抽薪,強(qiáng)制在登錄時(shí)必須要按Ctrl+Alt+Del才能調(diào)出登錄窗口,方法是進(jìn)入開(kāi)始菜單→管理工具→本地安全策略,打開(kāi)本地安全設(shè)置對(duì)話框,再依次進(jìn)入本地策略→安全選項(xiàng),雙擊右邊詳細(xì)窗格里de禁用按Ctrl+Alt+Del進(jìn)行登錄de設(shè)置,當(dāng)然要禁止它。這樣就可以防止黑客混水摸魚(yú)了。
還有一個(gè)方法就是啟用防火墻,它de一個(gè)重要作用就是防止非法用戶(hù)登錄你de機(jī)器上。例如可以進(jìn)行端口過(guò)濾,以禁止外部主機(jī)Telnet到內(nèi)部主機(jī)上。
還有一種類(lèi)似de攻擊,比如說(shuō)正在用IE等瀏覽器在互聯(lián)網(wǎng)上遨游,如閱讀新聞組、咨詢(xún)產(chǎn)品價(jià)格、訂閱報(bào)紙、電子商務(wù)等,充分享受網(wǎng)絡(luò)帶來(lái)de便利。然而你恐怕不會(huì)想到有這些問(wèn)題存在:正在訪問(wèn)de網(wǎng)頁(yè)已經(jīng)被黑客篡改過(guò),網(wǎng)頁(yè)上de信息是虛假de!例如黑客將用戶(hù)要瀏覽de網(wǎng)頁(yè)deURL改寫(xiě)為指向黑客自己de服務(wù)器,當(dāng)用戶(hù)瀏覽目標(biāo)網(wǎng)頁(yè)de時(shí)候,實(shí)際上是向黑客服務(wù)器發(fā)出請(qǐng)求,那么黑客就可以達(dá)到欺騙de目de了。預(yù)防de方法就是盡量不要上不可靠de網(wǎng)站,如果一定要上,也要察看一下網(wǎng)頁(yè)de源代碼,看看是不是假de,并且禁止IEde腳本支持和ActiveX控件。
2.李代桃僵VS順蔓摸瓜
黑客們可能會(huì)通過(guò)代理服務(wù)器來(lái)攻擊你,狡猾de黑客還會(huì)使用800電話de無(wú)人轉(zhuǎn)接服務(wù)來(lái)連接ISP,然后再盜用他人de帳號(hào)上網(wǎng)。也許在他到來(lái)之前,他已經(jīng)使用了好幾個(gè)跳板了。就算你費(fèi)了九牛二虎之力查到了攻擊者deIP,但可能和你一樣,也是個(gè)受害者。
盡管不一定有用,但建議你這樣做,有總比沒(méi)有好:啟用Windows2000里de事件審核功能,要知道,缺省情況是不記錄任何審核事件de!方法嘛,還是進(jìn)入本地安全設(shè)置,打開(kāi)本地策略→審核策略雙擊右邊詳細(xì)窗格里de審核登錄事件,選中其中de成功、失敗事件,然后把里面de象什么審核對(duì)象訪問(wèn)、審核帳戶(hù)登錄訪問(wèn)所有de都選上,不要怕浪費(fèi)磁盤(pán)空間,如果被黑客攻占了等于你de磁盤(pán)就是他de了,就更加浪費(fèi)。
3.偷梁換柱VS關(guān)門(mén)捉賊
以前講過(guò),黑客們可以通過(guò)嗅探器得到你de敏感信息,這類(lèi)方法有一定de局限性,比如說(shuō)要在你de網(wǎng)段里種一個(gè)嗅探器,但其危害性極大。黑客們可以輕松獲取你de帳戶(hù)和密碼。目前有很多協(xié)議根本就沒(méi)有采用任何加密或身份認(rèn)證技術(shù),如在Telnet、FTP、HTTP、SMTP等傳輸協(xié)議中,用戶(hù)帳戶(hù)和密碼信息都是以明文格式傳輸de,這就給攻擊者帶來(lái)了很多便利,此時(shí)若攻擊者利用數(shù)據(jù)包截取工具例如Iris便可很容易收集到你de機(jī)密數(shù)據(jù)。還有一種中途截?fù)艄舴椒ǜ鼮榻圃p,它可以在你同服務(wù)器端完成三次握手建立連接之后,在通信過(guò)程中扮演”第三者””de角色,假冒服務(wù)器身份欺騙你,再假冒你向服務(wù)器發(fā)出惡意請(qǐng)求,其造成de后果不堪設(shè)想。另外,攻擊者有時(shí)還會(huì)利用軟件和硬件工具時(shí)刻監(jiān)視系統(tǒng)主機(jī)de工作,等待記錄用戶(hù)登錄信息,從而取得用戶(hù)密碼;或者編制有緩沖區(qū)溢出錯(cuò)誤deSUID程序來(lái)獲得超級(jí)用戶(hù)權(quán)限。
對(duì)這種方法首先要籬笆扎de嚴(yán),同一個(gè)網(wǎng)段里de機(jī)器應(yīng)該是可以互相信任de,同時(shí)借助一些反嗅探器工具例如AntiSniffer之類(lèi)de對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控。
4.美人計(jì)VS誘敵深入
前面說(shuō)過(guò),木馬程序因?yàn)樯枚绦【罚陨畹煤诳蛡僤e青睞,盡管骨灰級(jí)de高手常不屑于使用,但是統(tǒng)計(jì)表明,百分之六十de黑客攻擊是采用木馬。木馬程序可以直接潛入你de電腦并進(jìn)行破壞,它常常把自己裝成一副游戲或者M(jìn)P3de嘴臉來(lái)誘使你打開(kāi)它們,一旦你雙擊了帶有特洛伊木馬程序de郵件附件或從網(wǎng)上直接下載de貌似合法de程序,它們就會(huì)留在電腦中,并且可以讓自己隨Windows而啟動(dòng)。當(dāng)你連接到互聯(lián)網(wǎng)上時(shí),這個(gè)程序就會(huì)通知黑客(通過(guò)郵件或者即時(shí)消息),告知你deIP地址和可以攻擊端口。黑客收到這些信息后,使用木馬de客戶(hù)端程序,和潛伏在你機(jī)器里de服務(wù)器程序里應(yīng)外合,可以任意地修改你de計(jì)算機(jī)de參數(shù)設(shè)定、復(fù)制文件、窺視你整個(gè)硬盤(pán)中de內(nèi)容等,從而達(dá)到控制你de計(jì)算機(jī)de目de。
要破除木馬使de美人計(jì),首先不要隨意打開(kāi)來(lái)歷不明de電子郵件及文件,不要隨便運(yùn)行不太了解de人給你de程序,比如特洛伊木馬之類(lèi)de黑客程序就需要騙你運(yùn)行。盡量避免從Internet下載不知名de軟件、游戲程序。即使從知名de網(wǎng)站下載de軟件也要及時(shí)用最新de病毒和木馬查殺軟件對(duì)軟件和系統(tǒng)進(jìn)行掃描。查到木馬程序以后,也不要急著將它推出午門(mén)斬首,先逼出口供再說(shuō),你可以用netstat命令看看誰(shuí)在與你連接,然后可以分析這個(gè)木馬,看看它里面de通知選項(xiàng)里寫(xiě)de是誰(shuí)de電子郵件地址,就可以對(duì)他進(jìn)行反懲罰了。計(jì)算機(jī)
5.借刀殺人DDoS攻擊
DDoS攻擊,是指分布式拒絕服務(wù)攻擊,從許多分布de主機(jī)同時(shí)攻擊一個(gè)目標(biāo)主機(jī),從而導(dǎo)致它徹底癱瘓,好多著名de網(wǎng)站,象Yahoo、Buy.com、Amazon等都受到過(guò)這種百鳥(niǎo)朝鳳de待遇。分布式拒絕服務(wù)攻擊采用de是四層客戶(hù)機(jī)/服務(wù)器架構(gòu),處于最頂層de是目標(biāo)主機(jī),而首腦攻擊者處于最低層,與第二層de攻擊服務(wù)器(數(shù)量比較少,約幾臺(tái)到幾十臺(tái))相連,然后由攻擊服務(wù)器把首腦攻擊者de攻擊命令分布到第三層de攻擊執(zhí)行器(數(shù)目很大)上,攻擊執(zhí)行器實(shí)施對(duì)目標(biāo)主機(jī)de攻擊。攻擊服務(wù)器de作用主要是隔離攻擊者與網(wǎng)絡(luò)直接聯(lián)系,減少被發(fā)現(xiàn)de可能性,同時(shí)可以協(xié)調(diào)進(jìn)攻。攻擊執(zhí)行器主要運(yùn)行一些簡(jiǎn)單de程序,可以向目標(biāo)主機(jī)發(fā)出雪崩數(shù)據(jù),而且不要求ACK(回應(yīng))。
首腦攻擊者多半是由一臺(tái)普通主機(jī)充當(dāng),甚至可能是一臺(tái)筆記本電腦,這樣它de位置可能是不固定de,它用來(lái)向攻擊服務(wù)器發(fā)出攻擊特定目標(biāo)de指令。攻擊執(zhí)行器接到攻擊命令以后,發(fā)出大量數(shù)據(jù)包騷擾目標(biāo)主機(jī),而且這種數(shù)據(jù)包還經(jīng)過(guò)偽裝,無(wú)法辨認(rèn)它們de源地址。很快目標(biāo)主機(jī)就會(huì)資源耗盡而崩潰。
目前這一招還沒(méi)有直接有效de應(yīng)對(duì)方法:只能先防患于未燃。
首先確保服務(wù)器安裝了最新服務(wù)包,打上了所有最新de安全補(bǔ)丁,建議使用英文版de操作系統(tǒng),因?yàn)橛⑽陌鎑e操作系統(tǒng)比中文版deBug要少得多,而且各種服務(wù)包、補(bǔ)丁、漏洞資料也發(fā)布得要快得多,被攻擊de案例大多起因于漏洞沒(méi)有補(bǔ)好。
其次系統(tǒng)管理員要對(duì)關(guān)鍵系統(tǒng)de所有外圍主機(jī)進(jìn)行檢查,而不僅針對(duì)關(guān)鍵系統(tǒng)。也就是說(shuō)要保證一般de外圍主機(jī)不會(huì)被黑客控制。一旦黑客直接控制了外圍主機(jī),那將十分可怕。要確保系統(tǒng)管理員知道每個(gè)外圍主機(jī)系統(tǒng)在運(yùn)行什么操作系統(tǒng)?都有哪些人在使用它們?哪些人可以訪問(wèn)它們?要做到心中有數(shù),不要等到黑客攻擊了,才想到要去查,已經(jīng)晚了。
一些未使用de服務(wù),例如Telnet、Ftp、Smtp等,會(huì)用明文顯示密碼、帳號(hào)。就應(yīng)該果斷讓它們下崗,并且確保封住它們de端口,以防它們死灰復(fù)燃。以前講過(guò)黑客通過(guò)IPC$攻擊就可能獲得超級(jí)用戶(hù)de權(quán)限,并能訪問(wèn)其他系統(tǒng),不管是不是受防火墻保護(hù)。
如果是Unix主機(jī),則要確保所有de守護(hù)服務(wù)都有TCP封裝程序,并限制對(duì)主機(jī)de訪問(wèn)權(quán)限。
最好不要讓內(nèi)部網(wǎng)通過(guò)小貓?jiān)L問(wèn)互聯(lián)網(wǎng)。否則,黑客們很容易通過(guò)電話線發(fā)現(xiàn)未受保護(hù)de主機(jī),馬上就可以實(shí)行攻擊。
限制在防火墻外進(jìn)行網(wǎng)絡(luò)文件共享。這會(huì)使黑客有機(jī)會(huì)截獲系統(tǒng)文件,并以特洛伊木馬替換它,文件傳輸功能無(wú)異將陷入癱瘓。
可以以毒攻毒,在防火墻上運(yùn)行掃描器程序。大多數(shù)攻擊事件是由于防火墻配置不當(dāng)造成de,使DDoS攻擊成功率很高,所以要用掃描器好好地看看到底有哪些不明端口敞開(kāi)著,同時(shí)也可以看看有哪些漏洞,你可以用前面說(shuō)過(guò)de流光檢查一下。
即時(shí)檢查所有網(wǎng)絡(luò)設(shè)備和主機(jī)/服務(wù)器系統(tǒng)de日志。只要日志出現(xiàn)異常或者有被人改動(dòng)、刪除de痕跡,那么就可以懷疑主機(jī)已經(jīng)受到黑客de光顧。
盡管以上de方法并不是直接有效,但是籬笆扎得牢了,就能最大限度地防止各類(lèi)黑客工具de侵襲,其中自然也包括分布式拒絕服務(wù)攻擊(DD0s)。
”
上海廣樂(lè)網(wǎng)絡(luò)科技有限公司 
滬ICP備14038021號(hào)-2 版權(quán)所有. 上海市市轄區(qū)浦東新區(qū)盛夏路666號(hào)盛銀大廈E棟 13151091625
