文章内容
一、网络本身存在的安全缺陷
- 1. 开放性的网络环境:Internet 的开放性,使网络变成众矢之的,可能遭受各方面的攻击;Internet的国际性使网络可能遭受本地用户或远程用户,国外用户或国内用户等的攻击;Internet的自由性没有给网络的使用者规定任何的条款,导致用户“太自由了”,自由的下载,自由的访问,自由的发布;Internet使用的傻瓜性使任何人都可以方便地访问网络,基本不需要技术,只要会移动鼠标就可以上网冲浪,这就给我们带来很多的隐患。
- 2. 协议本身的缺陷:网络应用层服务的隐患:IP层通信的易欺骗性;针对ARP的欺骗性。
- 3. 操作系统的漏洞:系统模型本身的缺陷;操作系统存在BUG;操作系统程序配置不正确。
- 4. 么重要的东西,不会被别人黑,存在这种侥幸心理、重装系统后觉得防范很麻烦,所以不认真对待安全问题,造成的隐患就特别多。
- 5. 设备不安全:对于我们购买的国外的网络产品,到底有没有留后门,我们根本无法得知,这对于缺乏自主技术支撑,依赖进口的国家而言,无疑是最大的安全隐患。
- 6. 线路不安全:不管是有线介质:双绞线、光纤还是无线介质:微波、红外、卫星、WIFI等,窃听其中一小段线路的信息是可以的,没有绝对的通信线路。
二、黑客攻击
1、黑客攻击的步骤和方法
1)目标探测和信息攫取
先确定攻击日标并收集目标系统的相关信息。一般先大量收集网上主机的信息,然后根据各系统的安全性强弱确定最后的目标。
- 1. 踩点(Footprinting):黑客必须尽可能收集目标系统安全状况的各种信息。Whois数据库查询可以获得很多关于目标系统的注册信息,DNS查询(用Windows/UNIX上提供的nslookup命令客户端)也可令黑客获得关于目标系统域名、IP地址、DNS务器、邮件服务器等有用信息。此外还可以用traceroute工具获得一些网络拓扑和路由信息。
- 2. 扫描(Scanning):在扫描阶段,我们将使用各种工具和技巧(如Ping扫射、端口扫描以及操作系统检测等)确定哪些系统存活着、它们在监听哪些端口(以此来判断它们在提供哪些服务),甚至更进一步地获知它们运行的是什么操作系统。
- 3. 查点(Enumeration):从系统中抽取有效账号或导出资源名的过程称为查点,这些信息很可能成为目标系统的祸根。比如说,一旦查点查出一个有效用户名或共享资源,攻击者猜出对应的密码或利用与资源共享协议关联的某些脆弱点通常就只是一个时间问题了。查点技巧差不多都是特定于操作系统的,因此要求使用前面步骤汇集的信息。
2)获得访问权
通过密码窃听、共享文件的野蛮攻击、攫取密码文件并破解或缓冲区溢出攻击等来获得系统的访问权限。
3)特权提升
在获得一般账户后,黑客经常会试图获得更高的权限,比如获得系统管理员权限。通常可以采用密码破解(如用L0phtcrack破解NT的SAM文件)、利用已知的漏洞或脆弱点等技术。
4)窃取
对敏感数据进行篡改、添加、删除及复制(如Windows系统的注册表、UNIX的rhost文件等)。
5)掩盖踪迹
此时最重要就隐藏自己踪迹,以防被管理员发觉,比如清除日志记录、使用rootkits等工具。
6)创建后门
在系统的不同部分布置陷阱和后门,以便入侵者在以后仍能从容获得特权访问。
2、扫描器
扫描器的工作原理是对某个指定端口或包含若干个端口的区间逐个发出连接请求。当向主机某个端口发送建立连接请求时,如果该主机有此项服务则应答;如果主机未安装此项服务,则无应答。利用该原理,如果对某个主机所有熟知端口或自己选定范围内的端口分别请求建立连接,根据主机的回应,就可以知道目标主机安装了哪些服务,开放了哪些端口。端口扫描是网络攻击者喜欢的一种探测方式,通过它可以获悉目标主机哪里隐藏着可被攻击的弱点或漏洞。常用扫描器有:nmap、X-scan、IPscan、Nessus等。
3、网络监听
网络监听指在网络中监听他人的数据包,分析数据包,从而获得一些敏感信息,如账号和密码等。网络监听是网管用来监视网络的状态,数据流动情况以及传输的信息的工具,也是黑客常用的攻击方法。 监听原理工作原理就是更改网卡工作模式,利用网卡混杂模式接收一切所能够接受的数据,从而捕获数据包,分析数据包,达到网络监听目的。
4、木马攻击的过程
- 1. 木马的配置:有客户端配置服务端。
- 2. 木马的传播:将配置好的服务端传播出去。
- 3. 木马的自启动:进入目标之后设法获得启动机会。
- 4. 建立连接:和控制端建立连接,有主动式和被动式。
- 5. 远程控制:操控者利用木马控制目标,窃取目标信息。
三、如何防范?
1、windows登录策略
- 1. Windows强密码原则:不少于8字符;包含3种类型;不用完整词汇、用户名、姓名、生日等;
- 2. 启用系统账户策略,设置适当的密码策略与锁定策略
- 3. 重新命名管理员Administrator账号
- 4. 创建陷阱用户:增加黑客入侵难度。
- 5. 禁用或删除不必要的账号:降低风险
- 6. SYSKEY双重加密账户保护。
2、木马的检测和清除
1)木马的检测方法
- 1. 查看端口
- 2. 检查注册表
- 3. 检查DLL木马
- 4. 检查配置文件
2)木马的清除
- 1. 删除木马主文件
- 2. 删除注册表启动项
- 3. 删除关联文件和关联启动项
3、病毒防护
- 1. 经常进行数据备份,特别是一些非常重要的数据及文件,以避免被病毒侵入后无法恢复。
- 2. 对于新购置的计算机、硬盘、软件等,先用查毒软件检测后方可使用。
- 3. 尽量避免在无防毒软件的机器上或公用机器上使用可移动磁盘、以免感染病毒。
- 4. 对计算机的使用权限进行严格控制,禁止来历不明的人和软件进入系统。
- 5. 采用一套公认最好的病毒查杀软件,以便在对文件和磁盘进行实时监控,及时控制病毒入侵,并及时可靠的升级反病毒产品。