拒絕再被黑 網(wǎng)絡(luò)攻擊分析與防范策略
—— 閱讀:12723次
一、前言
在網(wǎng)絡(luò)這個(gè)不斷更新?lián)Q代的世界里�����,網(wǎng)絡(luò)中的安全漏洞無處不在�����。即便舊的安全漏洞補(bǔ)上了,新的安全漏洞又將不斷涌現(xiàn)����。網(wǎng)絡(luò)攻擊正是利用這些存在的漏洞和安全缺陷對(duì)系統(tǒng)和資源進(jìn)行攻擊。
也許有人會(huì)對(duì)網(wǎng)絡(luò)安全抱著無所謂的態(tài)度�����,認(rèn)為最多不過是被攻擊者盜用賬號(hào)�����,造不成多大的危害�。他們往往會(huì)認(rèn)為“安全”只是針對(duì)那些大中型企事業(yè)單位和網(wǎng)站而言。其實(shí)����,單從技術(shù)上說,黑客入侵的動(dòng)機(jī)是成為目標(biāo)主機(jī)的主人��。只要他們獲得了一臺(tái)網(wǎng)絡(luò)主機(jī)的超級(jí)用戶權(quán)限后他們就有可能在該主機(jī)上修改資源配置���、安置“特洛伊”程序���、隱藏行蹤、執(zhí)行任意進(jìn)程等等���。我們誰又愿意別人在我們的機(jī)器上肆無忌憚地?fù)碛羞@些特權(quán)呢���?更何況這些攻擊者的動(dòng)機(jī)也不都是那么單純。因此����,我們每一個(gè)人都有可能面臨著安全威脅,都有必要對(duì)網(wǎng)絡(luò)安全有所了解��,并能夠處理一些安全方面的問題�����。
下面我們就來看一下那些攻擊者是如何找到你計(jì)算機(jī)中的安全漏洞的�,并了解一下他們的攻擊手法。
二�����、網(wǎng)絡(luò)攻擊的步驟
第一步:隱藏自已的位置
普通攻擊者都會(huì)利用別人的電腦隱藏他們真實(shí)的IP地址�。老練的攻擊者還會(huì)利用800電話的無人轉(zhuǎn)接服務(wù)聯(lián)接ISP����,然后再盜用他人的帳號(hào)上網(wǎng)�����。
第二步:尋找目標(biāo)主機(jī)并分析目標(biāo)主機(jī)
攻擊者首先要尋找目標(biāo)主機(jī)并分析目標(biāo)主機(jī)���。在Internet上能真正標(biāo)識(shí)主機(jī)的是IP地址���,域名是為了便于記憶主機(jī)的IP地址而另起的名字,只要利用域名和IP地址就可以順利地找到目標(biāo)主機(jī)��。當(dāng)然���,知道了要攻擊目標(biāo)的位置還是遠(yuǎn)遠(yuǎn)不夠的���,還必須將主機(jī)的操作系統(tǒng)類型及其所提供服務(wù)等資料作個(gè)全面的了解。此時(shí)����,攻擊者們會(huì)使用一些掃描器工具,輕松獲取目標(biāo)主機(jī)運(yùn)行的是哪種操作系統(tǒng)的哪個(gè)版本,系統(tǒng)有哪些帳戶�����,WWW�����、FTP��、Telnet �、SMTP等服務(wù)器程序是何種版本等資料�,為入侵作好充分的準(zhǔn)備。
第三步:獲取帳號(hào)和密碼��,登錄主機(jī)
攻擊者要想入侵一臺(tái)主機(jī)�����,首先要有該主機(jī)的一個(gè)帳號(hào)和密碼�����,否則連登錄都無法進(jìn)行�����。這樣常迫使他們先設(shè)法盜竊帳戶文件,進(jìn)行破解��,從中獲取某用戶的帳戶和口令�����,再尋覓合適時(shí)機(jī)以此身份進(jìn)入主機(jī)���。當(dāng)然��,利用某些工具或系統(tǒng)漏洞登錄主機(jī)也是攻擊者常用的一種技法���。
第四步:獲得控制權(quán)
攻擊者們用FTP、Telnet等工具利用系統(tǒng)漏洞進(jìn)入進(jìn)入目標(biāo)主機(jī)系統(tǒng)獲得控制權(quán)之后��,就會(huì)做兩件事:清除記錄和留下后門�����。他會(huì)更改某些系統(tǒng)設(shè)置���、在系統(tǒng)中置入特洛伊木馬或其他一些遠(yuǎn)程操縱程序�,以便日后可以不被覺察地再次進(jìn)入系統(tǒng)。大多數(shù)后門程序是預(yù)先編譯好的���,只需要想辦法修改時(shí)間和權(quán)限就可以使用了��,甚至新文件的大小都和原文件一模一樣�����。攻擊者一般會(huì)使用rep傳遞這些文件,以便不留下FTB記錄��。清除日志���、刪除拷貝的文件等手段來隱藏自己的蹤跡之后�����,攻擊者就開始下一步的行動(dòng)�。
第五步:竊取網(wǎng)絡(luò)資源和特權(quán)
攻擊者找到攻擊目標(biāo)后�����,會(huì)繼續(xù)下一步的攻擊��。如:下載敏感信息;實(shí)施竊取帳號(hào)密碼�����、信用卡號(hào)等經(jīng)濟(jì)偷竊���;使網(wǎng)絡(luò)癱瘓��。
三����、網(wǎng)絡(luò)攻擊的原理和手法
1��、口令入侵
所謂口令入侵是指使用某些合法用戶的帳號(hào)和口令登錄到目的主機(jī)���,然后再實(shí)施攻擊活動(dòng)���。這種方法的前提是必須先得到該主機(jī)上的某個(gè)合法用戶的帳號(hào),然后再進(jìn)行合法用戶口令的破譯�。獲得普通用戶帳號(hào)的方法很多,如利用目標(biāo)主機(jī)的Finger功能:當(dāng)用Finger命令查詢時(shí)�����,主機(jī)系統(tǒng)會(huì)將保存的用戶資料(如用戶名、登錄時(shí)間等)顯示在終端或計(jì)算機(jī)上����;
利用目標(biāo)主機(jī)的X.500服務(wù):有些主機(jī)沒有關(guān)閉X.500的目錄查詢服務(wù),也給攻擊者提供了獲得信息的一條簡(jiǎn)易途徑���;
從電子郵件地址中收集:有些用戶電子郵件地址常會(huì)透露其在目標(biāo)主機(jī)上的帳號(hào)���;
查看主機(jī)是否有習(xí)慣性的帳號(hào):有經(jīng)驗(yàn)的用戶都知道,很多系統(tǒng)會(huì)使用一些習(xí)慣性的帳號(hào)�����,造成帳號(hào)的泄露��。
這又有三種方法:
(1)是通過網(wǎng)絡(luò)監(jiān)聽非法得到用戶口令���,這類方法有一定的局限性,但危害性極大����。監(jiān)聽者往往采用中途截?fù)舻姆椒ㄒ彩谦@取用戶帳戶和密碼的一條有效途徑。當(dāng)下���,很多協(xié)議根本就沒有采用任何加密或身份認(rèn)證技術(shù)�,如在Telnet、FTP�、HTTP、SMTP等傳輸協(xié)議中�����,用戶帳戶和密碼信息都是以明文格式傳輸?shù)�,此時(shí)若攻擊者利用數(shù)據(jù)包截取工具便可很容易收集到你的帳戶和密碼。還有一種中途截?fù)艄舴椒ǜ鼮閰柡��,它可以在你同服?wù)器端完成“三次握手”建立連接之后�,在通信過程中扮演“第三者”的角色,假冒服務(wù)器身份欺騙你��,再假冒你向服務(wù)器發(fā)出惡意請(qǐng)求�����,其造成的后果不堪設(shè)想��。另外�����,攻擊者有時(shí)還會(huì)利用軟件和硬件工具時(shí)刻監(jiān)視系統(tǒng)主機(jī)的工作,等待記錄用戶登錄信息����,從而取得用戶密碼;或者編制有緩沖區(qū)溢出錯(cuò)誤的SUID程序來獲得超級(jí)用戶權(quán)限��。
(2)是在知道用戶的賬號(hào)后(如電子郵件@前面的部分)利用一些專門軟件強(qiáng)行破解用戶口令���,這種方法不受網(wǎng)段限制����,但攻擊者要有足夠的耐心和時(shí)間�。如:采用字典窮舉法(或稱暴力法)來破解用戶的密碼。攻擊者可以通過一些工具程序���,自動(dòng)地從電腦字典中取出一個(gè)單詞,作為用戶的口令����,再輸入給遠(yuǎn)端的主機(jī),申請(qǐng)進(jìn)入系統(tǒng)���;若口令錯(cuò)誤����,就按序取出下一個(gè)單詞,進(jìn)行下一個(gè)嘗試�����,并一直循環(huán)下去�,直到找到正確的口令或字典的單詞試完為止。由于這個(gè)破譯過程由計(jì)算機(jī)程序來自動(dòng)完成�,因而幾個(gè)小時(shí)就可以把上十萬條記錄的字典里所有單詞都嘗試一遍。
(3)是利用系統(tǒng)管理員的失誤��。在現(xiàn)代的Unix操作系統(tǒng)中����,用戶的基本信息存放在passwd文件中,而所有的口令則經(jīng)過DES加密方法加密后專門存放在一個(gè)叫shadow的文件中����。黑客們獲取口令文件后,就會(huì)使用專門的破解DES加密法的程序來解口令��。同時(shí)����,由于為數(shù)不少的操作系統(tǒng)都存在許多安全漏洞��、Bug或一些其他設(shè)計(jì)缺陷����,這些缺陷一旦被找出���,黑客就可以長(zhǎng)驅(qū)直入�。例如��,讓W(xué)indows95/98系統(tǒng)后門洞開的BO就是利用了Windows的基本設(shè)計(jì)缺陷�。
2、放置特洛伊木馬程序
特洛伊木馬程序可以直接侵入用戶的電腦并進(jìn)行破壞��,它常被偽裝成工具程序或者游戲等誘使用戶打開帶有特洛伊木馬程序的郵件附件或從網(wǎng)上直接下載��,一旦用戶打開了這些郵件的附件或者執(zhí)行了這些程序之后����,它們就會(huì)象古特洛伊人在敵人城外留下的藏滿士兵的木馬一樣留在自己的電腦中,并在自己的計(jì)算機(jī)系統(tǒng)中隱藏一個(gè)可以在windows啟動(dòng)時(shí)悄悄執(zhí)行的程序���。當(dāng)您連接到因特網(wǎng)上時(shí),這個(gè)程序就會(huì)通知攻擊者�,來報(bào)告您的IP地址以及預(yù)先設(shè)定的端口�����。攻擊者在收到這些信息后�����,再利用這個(gè)潛伏在其中的程序�����,就可以任意地修改你的計(jì)算機(jī)的參數(shù)設(shè)定��、復(fù)制文件����、窺視你整個(gè)硬盤中的內(nèi)容等���,從而達(dá)到控制你的計(jì)算機(jī)的目的���。
3、WWW的欺騙技術(shù)
在網(wǎng)上用戶可以利用IE等瀏覽器進(jìn)行各種各樣的WEB站點(diǎn)的訪問��,如閱讀新聞組、咨詢產(chǎn)品價(jià)格�����、訂閱報(bào)紙���、電子商務(wù)等�����。然而一般的用戶恐怕不會(huì)想到有這些問題存在:正在訪問的網(wǎng)頁已經(jīng)被黑客篡改過��,網(wǎng)頁上的信息是虛假的�!例如黑客將用戶要瀏覽的網(wǎng)頁的URL改寫為指向黑客自己的服務(wù)器�,當(dāng)用戶瀏覽目標(biāo)網(wǎng)頁的時(shí)候,實(shí)際上是向黑客服務(wù)器發(fā)出請(qǐng)求����,那么黑客就可以達(dá)到欺騙的目的了。
一般Web欺騙使用兩種技術(shù)手段����,即URL地址重寫技術(shù)和相關(guān)信關(guān)信息掩蓋技術(shù)。利用URL地址���,使這些地址都向攻擊者的Web服務(wù)器���,即攻擊者可以將自已的Web地址加在所有URL地址的前面。這樣�,當(dāng)用戶與站點(diǎn)進(jìn)行安全鏈接時(shí),就會(huì)毫不防備地進(jìn)入攻擊者的服器��,于是用記的所有信息便處于攻擊者的監(jiān)視之中�����。但由于瀏覽器材一般均設(shè)有地址欄和狀態(tài)欄�,當(dāng)瀏覽器與某個(gè)站點(diǎn)邊接時(shí),可以在地址欄和狀態(tài)樣中獲得連接中的Web站點(diǎn)地址及其相關(guān)的傳輸信息����,用戶由此可以發(fā)現(xiàn)問題,所以攻擊者往往在URLf址重寫的同時(shí)����,利用相關(guān)信息排蓋技術(shù),即一般 用javascript程序來重寫地址樣和狀枋樣�����,以達(dá)到其排蓋欺騙的目的。
4����、電子郵件攻擊
電子郵件是互聯(lián)網(wǎng)上運(yùn)用得十分廣泛的一種通訊方式。攻擊者可以使用一些郵件炸彈軟件或CGI程序向目的郵箱發(fā)送大量?jī)?nèi)容重復(fù)��、無用的垃圾郵件�,從而使目的郵箱被撐爆而無法使用。當(dāng)垃圾郵件的發(fā)送流量特別大時(shí)���,還有可能造成郵件系統(tǒng)對(duì)于正常的工作反映緩慢����,甚至癱瘓���。相對(duì)于其它的攻擊手段來說�����,這種攻擊方法具有簡(jiǎn)單����、見效快等優(yōu)點(diǎn)����。
電子郵件攻擊主要表現(xiàn)為兩種方式:
(1)是電子郵件轟炸和電子郵件“滾雪球”�����,也就是通常所說的郵件炸彈,指的是用偽造的IP地址和電子郵件地址向同一信箱發(fā)送數(shù)以千計(jì)�、萬計(jì)甚至無窮多次的內(nèi)容相同的垃圾郵件,致使受害人郵箱被“炸”��,嚴(yán)重者可能會(huì)給電子郵件服務(wù)器操作系統(tǒng)帶來危險(xiǎn)��,甚至癱瘓���;
(2)是電子郵件欺騙��,攻擊者佯稱自己為系統(tǒng)管理員(郵件地址和系統(tǒng)管理員完全相同)��,給用戶發(fā)送郵件要求用戶修改口令(口令可能為指定字符串)或在貌似正常的附件中加載病毒或其他木馬程序���。
5、通過一個(gè)節(jié)點(diǎn)來攻擊其他節(jié)點(diǎn)
攻擊者在突破一臺(tái)主機(jī)后���,往往以此主機(jī)作為根據(jù)地�,攻擊其他主機(jī)(以隱蔽其入侵路徑,避免留下蛛絲馬跡)�。他們可以使用網(wǎng)絡(luò)監(jiān)聽方法,嘗試攻破同一網(wǎng)絡(luò)內(nèi)的其他主機(jī)�����;也可以通過IP欺騙和主機(jī)信任關(guān)系�����,攻擊其他主機(jī)����。
這類攻擊很狡猾,但由于某些技術(shù)很難掌握��,如TCP/IP欺騙攻擊�。攻擊者通過外部計(jì)算機(jī)偽裝成另一臺(tái)合法機(jī)器來實(shí)現(xiàn)。它能磙壞兩臺(tái)機(jī)器間通信鏈路上的數(shù)據(jù)����,其偽裝的目的在于哄騙網(wǎng)絡(luò)中的其它機(jī)器誤將其攻擊者作為合法機(jī)器加以接受,誘使其它機(jī)器向他發(fā)送據(jù)或允許它修改數(shù)據(jù)�����。TCP/IP欺騙可以發(fā)生TCP/IP系統(tǒng)的所有層次上,包括數(shù)據(jù)鏈路層�����、網(wǎng)絡(luò)層�、運(yùn)輸層及應(yīng)用層均容易受到影響。如果底層受到損害��,則應(yīng)用層的所有協(xié)議都將處于危險(xiǎn)之中��。另外由于用戶本身不直接與底層相互相交流��,因而對(duì)底層的攻擊更具有欺騙性�。
6�����、網(wǎng)絡(luò)監(jiān)聽
網(wǎng)絡(luò)監(jiān)聽是主機(jī)的一種工作模式�����,在這種模式下����,主機(jī)可以接收到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔�����,而不管這些信息的發(fā)送方和接收方是誰�����。因?yàn)橄到y(tǒng)在進(jìn)行密碼校驗(yàn)時(shí)�����,用戶輸入的密碼需要從用戶端傳送到服務(wù)器端��,而攻擊者就能在兩端之間進(jìn)行數(shù)據(jù)監(jiān)聽�。此時(shí)若兩臺(tái)主機(jī)進(jìn)行通信的信息沒有加密�����,只要使用某些網(wǎng)絡(luò)監(jiān)聽工具(如NetXRay for Windows95/98/NT�、Sniffit for Linux、Solaries等)就可輕而易舉地截取包括口令和帳號(hào)在內(nèi)的信息資料����。雖然網(wǎng)絡(luò)監(jiān)聽獲得的用戶帳號(hào)和口令具有一定的局限性,但監(jiān)聽者往往能夠獲得其所在網(wǎng)段的所有用戶帳號(hào)及口令。
7����、利用黑客軟件攻擊
利用黑客軟件攻擊是互聯(lián)網(wǎng)上比較多的一種攻擊手法。Back Orifice2000��、冰河等都是比較著名的特洛伊木馬��,它們可以非法地取得用戶電腦的超級(jí)用戶級(jí)權(quán)利����,可以對(duì)其進(jìn)行完全的控制,除了可以進(jìn)行文件操作外����,同時(shí)也可以進(jìn)行對(duì)方桌面抓圖����、取得密碼等操作。這些黑客軟件分為服務(wù)器端和用戶端�,當(dāng)黑客進(jìn)行攻擊時(shí),會(huì)使用用戶端程序登陸上已安裝好服務(wù)器端程序的電腦����,這些服務(wù)器端程序都比較小,一般會(huì)隨附帶于某些軟件上��。有可能當(dāng)用戶下載了一個(gè)小游戲并運(yùn)行時(shí),黑客軟件的服務(wù)器端就安裝完成了�����,而且大部分黑客軟件的重生能力比較強(qiáng)��,給用戶進(jìn)行清除造成一定的麻煩���。 特別是最近出現(xiàn)了一種TXT文件欺騙手法�,表面看上去是一個(gè)TXT文本文件��,但實(shí)際上卻是一個(gè)附帶黑客程序的可執(zhí)行程序�,另外有些程序也會(huì)偽裝成圖片和其他格式的文件。
8�����、安全漏洞攻擊
許多系統(tǒng)都有這樣那樣的安全漏洞(Bugs)��。其中一些是操作系統(tǒng)或應(yīng)用軟件本身具有的����。如緩沖區(qū)溢出攻擊。由于很多系統(tǒng)在不檢查程序與緩沖之間變化的情況,就任意接受任意長(zhǎng)度的數(shù)據(jù)輸入���,把溢出的數(shù)據(jù)放在堆棧里����,系統(tǒng)還照常執(zhí)行命令���。這樣攻擊者只要發(fā)送超出緩沖區(qū)所能處理的長(zhǎng)度的指令�����,系統(tǒng)便進(jìn)入不穩(wěn)定狀態(tài)�。若攻擊者特別配置一串準(zhǔn)備用作攻擊的字符��,他甚至可以訪問根目錄����,從而擁有對(duì)整個(gè)網(wǎng)絡(luò)的絕對(duì)控制權(quán)���。另一些是利用協(xié)議漏洞進(jìn)行攻擊��。如攻擊者利用POP3一定要在根目錄下運(yùn)行的這一漏洞發(fā)動(dòng)攻擊��,破壞的根目錄�,從而獲得超級(jí)用戶的權(quán)限�。
又如���,ICMP協(xié)議也經(jīng)常被用于發(fā)動(dòng)拒絕服務(wù)攻擊。它的具體手法就是向目的服務(wù)器發(fā)送大量的數(shù)據(jù)包�,幾乎占取該服務(wù)器所有的網(wǎng)絡(luò)寬帶,從而使其無法對(duì)正常的服務(wù)請(qǐng)求進(jìn)行處理���,而導(dǎo)致網(wǎng)站無法進(jìn)入���、網(wǎng)站響應(yīng)速度大大降低或服務(wù)器癱瘓。現(xiàn)在常見的蠕蟲病毒或與其同類的病毒都可以對(duì)服務(wù)器進(jìn)行拒絕服務(wù)攻擊的進(jìn)攻����。它們的繁殖能力極強(qiáng),一般通過Microsoft的Outlook軟件向眾多郵箱發(fā)出帶有病毒的郵件�����,而使郵件服務(wù)器無法承擔(dān)如此龐大的數(shù)據(jù)處理量而癱瘓���。對(duì)于個(gè)人上網(wǎng)用戶而言��,也有可能遭到大量數(shù)據(jù)包的攻擊使其無法進(jìn)行正常的網(wǎng)絡(luò)操作����。
9、端口掃描攻擊
所謂端口掃描��,就是利用Socket編程與目標(biāo)主機(jī)的某些端口建立TCP連接�����、進(jìn)行傳輸協(xié)議的驗(yàn)證等�����,從而偵知目標(biāo)主機(jī)的掃描端口是否是處于激活狀態(tài)���、主機(jī)提供了哪些服務(wù)�����、提供的服務(wù)中是否含有某些缺陷等等���。常用的掃描方式有:Connect()掃描����。Fragmentation掃描��。
四����、攻擊者常用的攻擊工具
1�����、D.O.S攻擊工具:
如WinNuke通過發(fā)送OOB漏洞導(dǎo)致系統(tǒng)藍(lán)屏�;Bonk通過發(fā)送大量偽造的UDP數(shù)據(jù)包導(dǎo)致系統(tǒng)重啟;TearDrop通過發(fā)送重疊的IP碎片導(dǎo)致系統(tǒng)的TCP/IP棧崩潰�����;WinArp通過發(fā)特殊數(shù)據(jù)包在對(duì)方機(jī)器上產(chǎn)生大量的窗口�����;Land通過發(fā)送大量偽造源IP的基于SYN的TCP請(qǐng)求導(dǎo)致系統(tǒng)重啟動(dòng)�����;FluShot通過發(fā)送特定IP包導(dǎo)致系統(tǒng)凝固���;Bloo通過發(fā)送大量的ICMP數(shù)據(jù)包導(dǎo)致系統(tǒng)變慢甚至凝固���;PIMP通過IGMP漏洞導(dǎo)致系統(tǒng)藍(lán)屏甚至重新啟動(dòng)�����;Jolt通過大量偽造的ICMP和UDP導(dǎo)致系統(tǒng)變的非常慢甚至重新啟動(dòng)�。
2���、木馬程序
(1)����、BO2000(BackOrifice):它是功能最全的TCP/IP構(gòu)架的攻擊工具���,可以搜集信息�����,執(zhí)行系統(tǒng)命令��,重新設(shè)置機(jī)器�,重新定向網(wǎng)絡(luò)的客戶端/服務(wù)器應(yīng)用程序�。BO2000支持多個(gè)網(wǎng)絡(luò)協(xié)議��,它可以利用TCP或UDP來傳送,還可以用XOR加密算法或更高級(jí)的3DES加密算法加密�。感染BO2000后機(jī)器就完全在別人的控制之下,黑客成了超級(jí)用戶���,你的所有操作都可由BO2000自帶的“秘密攝像機(jī)”錄制成“錄像帶”����。
(2)�����、“冰河”:冰河是一個(gè)國(guó)產(chǎn)木馬程序�,具有簡(jiǎn)單的中文使用界面,且只有少數(shù)流行的反病毒����、防火墻才能查出冰河的存在。冰河的功能比起國(guó)外的木馬程序來一點(diǎn)也不遜色�����。 它可以自動(dòng)跟蹤目標(biāo)機(jī)器的屏幕變化��,可以完全模擬鍵盤及鼠標(biāo)輸入,即在使被控端屏幕變化和監(jiān)控端產(chǎn)生同步的同時(shí)��,被監(jiān)控端的一切鍵盤及鼠標(biāo)操作將反映在控端的屏幕����。它可以記錄各種口令信息,包括開機(jī)口令�、屏保口令���、各種共享資源口令以及絕大多數(shù)在對(duì)話框中出現(xiàn)過的口令信息���;它可以獲取系統(tǒng)信息;它還可以進(jìn)行注冊(cè)表操作����,包括對(duì)主鍵的瀏覽、增刪����、復(fù)制、重命名和對(duì)鍵值的讀寫等所有注冊(cè)表操作�����。
(3)、NetSpy:可以運(yùn)行于Windows95/98/NT/2000等多種平臺(tái)上���,它是一個(gè)基于TCP/IP的簡(jiǎn)單的文件傳送軟件��,但實(shí)際上你可以將它看作一個(gè)沒有權(quán)限控制的增強(qiáng)型FTP服務(wù)器。通過它����,攻擊者可以神不知鬼不覺地下載和上傳目標(biāo)機(jī)器上的任意文件,并可以執(zhí)行一些特殊的操作��。
(4)��、Glacier:該程序可以自動(dòng)跟蹤目標(biāo)計(jì)算機(jī)的屏幕變化�����、獲取目標(biāo)計(jì)算機(jī)登錄口令及各種密碼類信息����、獲取目標(biāo)計(jì)算機(jī)系統(tǒng)信息、限制目標(biāo)計(jì)算機(jī)系統(tǒng)功能����、任意操作目標(biāo)計(jì)算機(jī)文件及目錄��、遠(yuǎn)程關(guān)機(jī)�、發(fā)送信息等多種監(jiān)控功能�。類似于BO2000。
(5)��、KeyboardGhost:Windows系統(tǒng)是一個(gè)以消息循環(huán)(MessageLoop)為基礎(chǔ)的操作系統(tǒng)��。系統(tǒng)的核心區(qū)保留了一定的字節(jié)作為鍵盤輸入的緩沖區(qū)�����,其數(shù)據(jù)結(jié)構(gòu)形式是隊(duì)列��。鍵盤幽靈正是通過直接訪問這一隊(duì)列���,使鍵盤上輸入你的電子郵箱�����、代理的賬號(hào)��、密碼Password(顯示在屏幕上的是星號(hào))得以記錄�,一切涉及以星號(hào)形式顯示出來的密碼窗口的所有符號(hào)都會(huì)被記錄下來,并在系統(tǒng)根目錄下生成一文件名為KG.DAT的隱含文件���。
(6)�����、ExeBind:這個(gè)程序可以將指定的攻擊程序捆綁到任何一個(gè)廣為傳播的熱門軟件上�,使宿主程序執(zhí)行時(shí)���,寄生程序也在后臺(tái)被執(zhí)行����,且支持多重捆綁��。實(shí)際上是通過多次分割文件��,多次從父進(jìn)程中調(diào)用子進(jìn)程來實(shí)現(xiàn)的����。
五�����、網(wǎng)絡(luò)攻擊應(yīng)對(duì)策略
在對(duì)網(wǎng)絡(luò)攻擊進(jìn)行上述分析與識(shí)別的基礎(chǔ)上,我們應(yīng)當(dāng)認(rèn)真制定有針對(duì)性的策略����。明確安全對(duì)象,設(shè)置強(qiáng)有力的安全保障體系����。有的放矢,在網(wǎng)絡(luò)中層層設(shè)防����,發(fā)揮網(wǎng)絡(luò)的每層作用,使每一層都成為一道關(guān)卡���,從而讓攻擊者無隙可鉆��、無計(jì)可使�。還必須做到未雨稠繆�����,預(yù)防為主 �����,將重要的數(shù)據(jù)備份并時(shí)刻注意系統(tǒng)運(yùn)行狀況。以下是針對(duì)眾多令人擔(dān)心的網(wǎng)絡(luò)安全問題�,提出的幾點(diǎn)建議:
1、提高安全意識(shí)
(1)不要隨意打開來歷不明的電子郵件及文件�����,不要隨便運(yùn)行不太了解的人給你的程序�,比如“特洛伊”類黑客程序就需要騙你運(yùn)行。
(2)盡量避免從Internet下載不知名的軟件�、游戲程序。即使從知名的網(wǎng)站下載的軟件也要及時(shí)用最新的病毒和木馬查殺軟件對(duì)軟件和系統(tǒng)進(jìn)行掃描���。
(3)密碼設(shè)置盡可能使用字母數(shù)字混排��,單純的英文或者數(shù)字很容易窮舉���。將常用的密碼設(shè)置不同����,防止被人查出一個(gè),連帶到重要密碼����。重要密碼最好經(jīng)常更換����。
(4)及時(shí)下載安裝系統(tǒng)補(bǔ)丁程序����。
(5)不隨便運(yùn)行黑客程序,不少這類程序運(yùn)行時(shí)會(huì)發(fā)出你的個(gè)人信息���。
(6)在支持HTML的BBS上��,如發(fā)現(xiàn)提交警告��,先看源代碼��,很可能是騙取密碼的陷阱����。
2�����、使用防毒���、防黑等防火墻軟件����。
防火墻是一個(gè)用以阻止網(wǎng)絡(luò)中的黑客訪問某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障,也可稱之為控制進(jìn)/出兩個(gè)方向通信的門檻���。在網(wǎng)絡(luò)邊界上通過建立起來的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò)�,以阻檔外部網(wǎng)絡(luò)的侵入��。
3��、設(shè)置代理服務(wù)器��,隱藏自已的IP地址�。
保護(hù)自己的IP地址是很重要的。事實(shí)上����,即便你的機(jī)器上被安裝了木馬程序,若沒有你的IP地址�,攻擊者也是沒有辦法的���,而保護(hù)IP地址的最好方法就是設(shè)置代理服務(wù)器���。代理服務(wù)器能起到外部網(wǎng)絡(luò)申請(qǐng)?jiān)L問內(nèi)部網(wǎng)絡(luò)的中間轉(zhuǎn)接作用�,其功能類似于一個(gè)數(shù)據(jù)轉(zhuǎn)發(fā)器���,它主要控制哪些用戶能訪問哪些服務(wù)類型�����。當(dāng)外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)某種網(wǎng)絡(luò)服務(wù)時(shí)����,代理服務(wù)器接受申請(qǐng)�,然后它根據(jù)其服務(wù)類型、服務(wù)內(nèi)容���、被服務(wù)的對(duì)象�、服務(wù)者申請(qǐng)的時(shí)間����、申請(qǐng)者的域名范圍等來決定是否接受此項(xiàng)服務(wù),如果接受�,它就向內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)發(fā)這項(xiàng)請(qǐng)求。
4���、將防毒�、防黑當(dāng)成日常例性工作,定時(shí)更新防毒組件�,將防毒軟件保持在常駐狀態(tài),以徹底防毒���。
5����、由于黑客經(jīng)常會(huì)針對(duì)特定的日期發(fā)動(dòng)攻擊����,計(jì)算機(jī)用戶在此期間應(yīng)特別提高警戒。
6�����、對(duì)于重要的個(gè)人資料做好嚴(yán)密的保護(hù)����,并養(yǎng)成資料備份的習(xí)慣。
