我们已知道了木马、扫描器和嗅探器的相关知识, 其实黑客工具远不至于此, 还有诸如损人不利己的网络炸弹, 专门针对QQ的黑客工具(象什么QQ密码终结者、用于远程攻击的QicqSpy、QQ炸弹OICQShield等), 还有拒绝服务攻击(Ddos等)、IP欺骗攻击、Web欺骗、DNS欺骗攻击等等, 简直比古龙小说里的十大恶人还要可恶。 让我们回过头再看看黑客们是怎么攻击的, 同时我们又应该如何拿起身边的武器, 奋起反抗。
1. 混水摸鱼VS釜底抽薪
黑客们可能会在你的机器上启动一个伪造系统登录界面的程序, 来进行狸猫换太子。 不明底细的你多半会误入这个“贼窝”, 当你在这个伪装的界面上输入用户名、密码以后, 该伪登录程序会在后台把你录入的机密信息偷偷地传送到黑客们的机器上, 然后提示一个出错信息说“用户名与密码不符, 请重新登录”。 此后, 才会出现真正的登录界面。
怎么样, 可怕吧?应对方法就是釜底抽薪,强制在登录时必须要按Ctrl+Alt+Del才能调出登录窗口, 方法是进入“开始菜单→管理工具 →本地安全策略”, 打开“本地安全设置”对话框, 再依次进入“本地策略 →安全选项”, 双击右边详细窗格里的“禁用按Ctrl+Alt+Del进行登录的设置”, 当然要禁止它。 这样就可以防止黑客混水摸鱼了。
还有一个方法就是启用防火墙, 它的一个重要作用就是防止非法用户登录你的机器上。 例如可以进行端口过滤, 以禁止外部主机Telnet到内部主机上。
还有一种类似的攻击, 比如说正在用IE等浏览器在互联网上遨游, 如阅读新闻组、咨询产品价格、订阅报纸、电子商务等, 充分享受网络带来的便利。 然而你恐怕不会想到有这些问题存在:正在访问的网页已经被黑客篡改过, 网页上的信息是虚假的!例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器, 当用户浏览目标网页的时候, 实际上是向黑客服务器发出请求, 那么黑客就可以达到欺骗的目的了。 预防的方法就是尽量不要上不可靠的网站, 如果一定要上, 也要察看一下网页的源代码, 看看是不是假的, 并且禁止IE的脚本支持和ActiveX控件。
2.李代桃僵VS顺蔓摸瓜
黑客们可能会通过代理服务器来攻击你, 狡猾的黑客还会使用800电话的无人转接服务来连接ISP, 然后再盗用他人的帐号上网。 也许在他到来之前, 他已经使用了好几个跳板了。 就算你费了九牛二虎之力查到了攻击者的IP, 但可能和你一样, 也是个受害者。
尽管不一定有用, 但建议你这样做, 有总比没有好:启用Windows 2000里的事件审核功能, 要知道, 缺省情况是不记录任何审核事件的!方法嘛, 还是进入“本地安全设置”, 打开“本地策略 →审核策略”双击右边详细窗格里的“审核登录事件”, 选中其中的“成功”、“失败”事件, 然后把里面的象什么“审核对象访问”、“审核帐户登录访问”所有的都选上, 不要怕浪费磁盘空间, 如果被黑客攻占了等于你的磁盘就是他的了, 就更加浪费。
3.偷梁换柱VS关门捉贼
以前讲过, 黑客们可以通过嗅探器得到你的敏感信息, 这类方法有一定的局限性, 比如说要在你的网段里种一个嗅探器, 但其危害性极大。 黑客们可以轻松获取你的帐户和密码。 目前有很多协议根本就没有采用任何加密或身份认证技术, 如在Telnet、FTP、HTTP、SMTP等传输协议中, 用户帐户和密码信息都是以明文格式传输的, 这就给攻击者带来了很多便利, 此时若攻击者利用数据包截取工具例如Iris便可很容易收集到你的机密数据。 还有一种中途截击攻击方法更为狡诈, 它可以在你同服务器端完成“三次握手”建立连接之后, 在通信过程中扮演"第三者"的角色, 假冒服务器身份欺骗你, 再假冒你向服务器发出恶意请求, 其造成的后果不堪设想。 另外, 攻击者有时还会利用软件和硬件工具时刻监视系统主机的工作, 等待记录用户登录信息, 从而取得用户密码;或者编制有缓冲区溢出错误的SUID程序来获得超级用户权限。
对这种方法首先要篱笆扎的严, 同一个网段里的机器应该是可以互相信任的, 同时借助一些反嗅探器工具例如AntiSniffer之类的对网络进行实时监控。
4.美人计VS诱敌深入
前面说过, 木马程序因为生得短小精悍, 所以深得黑客们的青睐, 尽管骨灰级的高手常不屑于使用, 但是统计表明, 百分之六十的黑客攻击是采用木马。 木马程序可以直接潜入你的电脑并进行破坏, 它常常把自己装成一副游戏或者MP3的嘴脸来诱使你打开它们, 一旦你双击了带有特洛伊木马程序的邮件附件或从网上直接下载的貌似合法的程序, 它们就会留在电脑中, 并且可以让自己随Windows而启动。 当你连接到互联网上时, 这个程序就会通知黑客(通过邮件或者即时消息), 告知你的IP地址和可以攻击端口。 黑客收到这些信息后, 使用木马的客户端程序, 和潜伏在你机器里的服务器程序里应外合, 可以任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等, 从而达到控制你的计算机的目的。
要破除木马使的美人计, 首先不要随意打开来历不明的电子邮件及文件, 不要随便运行不太了解的人给你的程序, 比如“特洛伊木马”之类的黑客程序就需要骗你运行。 尽量避免从Internet下载不知名的软件、游戏程序。 即使从知名的网站下载的软件也要及时用最新的病毒和木马查杀软件对软件和系统进行扫描。 查到木马程序以后, 也不要急着将它推出午门斩首, 先逼出口供再说, 你可以用netstat命令看看谁在与你连接, 然后可以分析这个木马, 看看它里面的通知选项里写的是谁的电子邮件地址, 就可以对他进行反惩罚了。
5.借刀杀人—DDos攻击
DDos攻击, 是指分布式拒绝服务攻击, 从许多分布的主机同时攻击一个目标主机, www.arpun.com 从而导致它彻底瘫痪, 好多著名的网站, 象Yahoo、Buy.com、Amazon等都受到过这种“百鸟朝凤”的待遇。 分布式拒绝服务攻击采用的是四层客户机/服务器架构, 处于最顶层的是目标主机, 而首脑攻击者处于最低层, 与第二层的攻击服务器(数量比较少, 约几台到几十台)相连, 然后由攻击服务器把首脑攻击者的攻击命令分布到第三层的攻击执行器(数目很大)上, 攻击执行器实施对目标主机的攻击。 攻击服务器的作用主要是隔离攻击者与网络直接联系, 减少被发现的可能性, 同时可以协调进攻。 攻击执行器主要运行一些简单的程序, 可以向目标主机发出雪崩数据, 而且不要求ACK(回应)。
首脑攻击者多半是由一台普通主机充当, 甚至可能是一台笔记本电脑, 这样它的位置可能是不固定的, 它用来向攻击服务器发出攻击特定目标的指令。 攻击执行器接到攻击命令以后, 发出大量数据包骚扰目标主机, 而且这种数据包还经过伪装, 无法辨认它们的源地址。 很快目标主机就会资源耗尽而崩溃。
目前这一招还没有直接有效的应对方法:只能先防患于未燃。
首先确保服务器安装了最新服务包, 打上了所有最新的安全补丁, 建议使用英文版的操作系统, 因为英文版的操作系统比中文版的Bug要少得多, 而且各种服务包、补丁、漏洞资料也发布得要快得多, 被攻击的案例大多起因于漏洞没有补好。
其次系统管理员要对关键系统的所有外围主机进行检查, 而不仅针对关键系统。 也就是说要保证一般的外围主机不会被黑客控制。 一旦黑客直接控制了外围主机, 那将十分可怕。 要确保系统管理员知道每个外围主机系统在运行什么操作系统?都有哪些人在使用它们?哪些人可以访问它们?要做到心中有数, 不要等到黑客攻击了, 才想到要去查, 已经晚了。
一些未使用的服务, 例如Telnet、Ftp、Smtp等, 会用明文显示密码、帐号。 就应该果断让它们下岗, 并且确保封住它们的端口, 以防它们死灰复燃。 以前讲过黑客通过IPC$攻击就可能获得超级用户的权限, 并能访问其他系统, 不管是不是受防火墙保护。
如果是Unix主机, 则要确保所有的守护服务都有TCP封装程序, 并限制对主机的访问权限。
最好不要让内部网通过“小猫”访问互联网。 否则, 黑客们很容易通过电话线发现未受保护的主机, 马上就可以实行攻击。
限制在防火墙外进行网络文件共享。 这会使黑客有机会截获系统文件, 并以特洛伊木马替换它, 文件传输功能无异将陷入瘫痪。
可以以毒攻毒, 在防火墙上运行扫描器程序。 大多数攻击事件是由于防火墙配置不当造成的, 使DDoS攻击成功率很高, 所以要用扫描器好好地看看到底有哪些不明端口敞开着, 同时也可以看看有哪些漏洞, 你可以用前面说过的流光检查一下。
即时检查所有网络设备和主机/服务器系统的日志。 只要日志出现异常或者有被人改动、删除的痕迹, 那么就可以怀疑主机已经受到黑客的光顾。
尽管以上的方法并不是直接有效, 但是篱笆扎得牢了, 就能最大限度地防止各类黑客工具的侵袭, 其中自然也包括分布式拒绝服务攻击(DDos)。
……