460500587

網(wǎng)絡上流行的掃描軟件是用來檢測管理員手中的系統(tǒng)，防患于未然的工具；就我個人而言，是找到進攻入口，做好入侵準備的必備工具。

一、常見的黑客攻擊過程

主要目的是成為目標主機的所有者，獲得一個網(wǎng)絡主機的超級用戶權限，達到入侵的目的，比如修改服務配置、安裝木馬程序、執(zhí)行任意程序等。雖然網(wǎng)絡安全日新月異，舊的安全漏洞已經被填滿，但新的漏洞會層出不窮。網(wǎng)絡攻擊利用這些安全漏洞和缺陷來攻擊系統(tǒng)和資源。以下描述黑客攻擊的基本過程。

1.隱藏你的行蹤

就是神不知鬼不覺的入侵目標主機，因此，在入侵之前，你要給自己做好偽裝，不要讓攻擊者輕易發(fā)現(xiàn)。在網(wǎng)絡攻擊之前，隱藏你的真實IP地址。一般攻擊者利用別人的電腦隱藏自己的真實IP，有的專家通過800電話的無人轉接服務連接到ISP，然后利用別人的賬號進行偽裝。

2.查詢并分析目標主機

如果攻擊有目標，那么IP地址確實可以識別互聯(lián)網(wǎng)中的主機，域名是對IP地址進行更好的內存管理的另一種體現(xiàn)，這樣就可以利用域名和IP地址來確定目標主機。確定目標主機后，可以對其操作系統(tǒng)類型和服務進行全面的分析和了解。

一般攻擊者只使用一些掃描器工具，就可以知道目標主機使用的操作系統(tǒng)的類型和版本，哪些用戶對系統(tǒng)是開放的，以及Web等服務器程序的版本信息。，從而為入侵做好充分準備。

3.讓正確的用戶入侵

獲取目標主機的授權用戶是最基本的入侵手段。攻擊者應該首先試圖竊取目標主機的帳戶文件并將其破解，以獲得授權用戶的帳號和密碼，然后找到正確的時間以這種方式登錄主機。一般情況下，攻擊者通過一些黑惡攻擊或系統(tǒng)漏洞登錄目標主機。

4.離開后門，清除記錄

獲得授權用戶后，可以成功登錄目標主機系統(tǒng)，從而獲得控制權，然后留下后門，清除記錄，讓攻擊者在不被察覺的情況下再次入侵目標主機。

所謂的后門其實只是一些木馬程序或者預編譯的遠程控制程序，把這些程序的修改時間和權限傳送到目標主機的秘密地點進行隱藏是可以的。一般攻擊者喜歡用rep來傳輸文件，以免被攻擊者發(fā)現(xiàn)。攻擊者還使用清除日志和刪除復制文件等方法來清除自己的記錄并隱藏自己的痕跡。

5.竊取網(wǎng)絡資源

成功入侵目標主機后，主機的所有數(shù)據(jù)都會呈現(xiàn)給黑客，然后可以下載有用的數(shù)據(jù)，甚至導致主機及其網(wǎng)絡癱瘓。

二、常用的網(wǎng)絡防御技術

在廣闊的網(wǎng)絡世界里，當你在用技術攻擊別人的時候，你可能是被人盯上了。只有保護好可能被攻擊的弱點，才能保證我們“大本營”的安全。

以下是針對黑客常見攻擊方式的幾種常見防范方法的簡要介紹。

1.防范協(xié)議欺騙攻擊的措施

攻擊方法之一是利用協(xié)議欺騙來竊取消息。為防止假冒源IP地址的攻擊模式，可采用以下方法:

加密方法。在將數(shù)據(jù)包發(fā)送到網(wǎng)絡之前對其進行加密需要正確更改網(wǎng)絡配置，但它可以保證發(fā)送數(shù)據(jù)的完整性、真實性和機密性。

過濾方式。將路由器配置為拒絕來自網(wǎng)絡外部和該網(wǎng)段內具有相同IP地址的連接請求。并且當數(shù)據(jù)包的IP地址不在該網(wǎng)段時，路由器不會發(fā)送該網(wǎng)段主機的數(shù)據(jù)包。但是，路由器過濾只對來自內部網(wǎng)絡的外部數(shù)據(jù)包起作用，沒有辦法過濾網(wǎng)絡中的外部可信主機。

2.針對拒絕服務攻擊的預防措施

在拒絕服務攻擊中，SYN Flood攻擊是一種典型的攻擊模式。為了防止拒絕服務攻擊，可以采取以下防御措施:

配置和調整路由器上SYN半開放數(shù)據(jù)包的數(shù)量和個數(shù)。

為了防止SYN數(shù)據(jù)段攻擊，我們可以為系統(tǒng)設置相應的內核參數(shù)，強制系統(tǒng)復位已經過期的SYN請求連接包，縮短超時常數(shù)，延長等待隊列，使系統(tǒng)能夠及時處理無效的SYN請求包。

必要的TCP偵聽是在路由器前端完成的，只有完成3次握手過程后的數(shù)據(jù)包才能通過網(wǎng)段，從而有效保護了該網(wǎng)段內的服務器免受其攻擊。

管道段可以生成無限系列的服務，防止信息泛濫攻擊。

其實最好的辦法就是找出攻擊的機器和攻擊者，但是不容易。因為一旦對方停止攻擊，就很難再找到它的蹤跡。唯一可行的方法是根據(jù)路由器信息和攻擊包的特征，使用回溯法找到攻擊源。

3.網(wǎng)絡嗅探的防范措施

對于使用網(wǎng)絡嗅探來檢測自己系統(tǒng)的攻擊者，可以采取以下措施來阻止他們:

網(wǎng)絡分段。共享底層和線路的一組機器可以形成一個網(wǎng)段。在一個網(wǎng)段中，可以限制數(shù)據(jù)流，以防止嗅探工具。

加密。數(shù)據(jù)流中的一些數(shù)據(jù)信息可以加密，應用層也可以加密，但是應用層的加密會使大部分與網(wǎng)絡和操作系統(tǒng)相關的信息失去保護。因此，需要根據(jù)信息安全級別和網(wǎng)絡安全程序選擇使用哪種加密方法。

一次性密碼技術。這里使用的密碼不會在網(wǎng)絡中傳輸，而是在傳輸?shù)膬啥酥苯悠ヅ洹Ｒ虼?，客戶端可以使用從服務器獲得的挑戰(zhàn)和自己的密碼來計算一個字符串并將其返回給服務器，服務器將使用比較算法來匹配它。如果匹配允許建立連接，所有的挑戰(zhàn)和字符串只能使用一次。

禁止雜項節(jié)點。為了防止IBM兼容機器嗅探，可以安裝不支持雜項錯誤的網(wǎng)卡。

4.防范緩沖區(qū)溢出攻擊的措施

屬于系統(tǒng)攻擊的手段，主要是通過在程序的緩沖區(qū)中寫入冗長的內容來達到限制緩沖區(qū)溢出的目的，從而破壞程序的堆棧，使程序改為執(zhí)行其他指令，從而達到攻擊的目的。

以下方法可用于防御緩沖區(qū)溢出攻擊:

程序指針檢查。在引用使用指針之前，請檢查程序指針是否已被更改。只要系統(tǒng)提前檢測到指針的變化，這個指針就不會被使用。

堆棧保護。這是一種提供程序指針完整性檢測的編譯器技術。一些特殊的字節(jié)被附加到程序指針堆棧中的函數(shù)返回的地址上。當函數(shù)返回時，首先檢測這些附加字節(jié)是否已經被改變。因此，在函數(shù)返回之前，很容易檢測到這種攻擊。但是，如果攻擊者預見到這些額外的字節(jié)，并且可以在溢出過程中創(chuàng)建它們，則攻擊者可以跳過堆棧的保護測試。

數(shù)組邊界檢查。通過檢測數(shù)組操作是否在正確的范圍內，可以檢測是否受到緩沖區(qū)溢出的攻擊。目前主要的集中檢查方法有Compaq編譯器檢查、Jones & amp；Kelly C數(shù)組邊界檢查、Purify內存訪問檢查等。