一般来说黑客进行网络入侵的步骤大体是相同的,首先收集可以进行攻击的信息,然后就通过一定的方式上传程序,最后实现对远方电脑的控制,可以复制被侵电脑的数据,删除数据,甚至是实现完全控制电脑。无论是哪种方法,入侵者都要通过一个有效的打开端口才能进行,这个端口可能是本来就打开的,也可能是入侵者通过某种方法比如说服务来打开的,因此,关闭一些不必要的端口有助于电脑安全性。 了解入侵过程有利于防备 在攻击者进行攻击以前,他们需要了解对方的环境,这需要搜集汇总各种与目标系统相关的信息,包括机器数目、类型、操作系统等等。为了达到这个目的,通常使用踩点和扫描等方法来进行。攻击者可以根据已有的信息来获得更多的信息,比如说根据已知的域名搜集关于这个站点的信息。当攻击者有一些机器的IP地址,他下一步需要找出网络的地址范围或者子网掩码。这样他就可以只对这个网络进行攻击了,而并不会影响其他网络。 在确定网络之后,攻击者就要寻找在这个网络中活动的机器了,而且他可以通过各个活动机器的在线时间来判断哪台是服务器。找到活动机器的方法是很多的,比如说可以通过ping命令来进行。在确认了攻击目标之后,入侵者就要寻找攻击的入口点了。这主要是通过寻找开放端口来进行,通常都是使用一些端口分析的软件来进行端口的搜索,软件会自动显示哪些端口是开放的。另外还有一个常用的入口点就是调制解调器,通过不安全的调制解调器也是可以进行入侵的。 在必要的时候,入侵者还会弄清操作系统,因为对于不同的操作系统运行的服务是有不同的,那么攻击的方法也是不同的。主要也是利用一些软件来分辨对方的操作系统,当然,如果专业一点的,还会使用一些网络命令来进行。在弄清楚了操作系统之后,接下来就是要弄清哪个端口运行了哪些服务了,这对于攻击的成功与否是非常重要的,比如说他要知道Telnet服务是运行在哪个端口的,这样才能够有可能进行成功的连接,又比如知道2000系统的终端服务端口,就有可能实现远程管理,就如管理自己的电脑一样。
在这些步骤完成之后,入侵的工作就已经准备好了,就可以根据取得的这些信息采用一种适当的方法,对目标进行攻击。 关闭没用端口以防后患 端口就像网络通信中的一扇窗户,要想进行通信就必须开放某些特定的端口。然而对这些端口如果不加以防范就有可能给攻击者留下机会。一般来说,本地系统中的应用程序都是使用大于1024的高端端口。而病毒、木马和间谍软件等同样会使用高端端口进行传播、攻击。甚至有得木马对端口进行了隐蔽,很难被发现。 既然端口如此重要,我们就可以对自己电脑的端口进行安全性的检查。首先可以扫描端口的开放情况,比如说使用一款名称为SuperScan的软件就可以对端口进行扫描,在扫描结果中,会列举出有危险的端口。如果碰到某些高端端口已开放,而且在“常用端口对应表”中无法查找到时,这就要注意了。单纯通过端口号进行判断会证据不足的,这时可以利用与该可疑端口相关联的进程来分析,找到使用该端口的进程,通过分析它的进程名、路径和主程序名,这样就可以对可疑端口进行确认了,这是要利用另外的软件才能完成的,比如说Fport,这些软件可以快速查找出端口和进程的关联情况。 如果我们通过以上步骤确认了某个端口是不安全的,而且不是我们自己开放的,那么就可以把它关闭掉。要关闭这个端口,首先要利用进程管理器结束这个恶意进程,用Windows自带的进程管理器就可以结束进程,然后用杀毒软件清除系统中的木马或是病毒软件,最后我们可以借助一些软件不木马使用的端口关闭掉,比如说使用防火墙来关闭。 小结 这里大致介绍了网络攻击的一般步骤和我们怎样关闭基本的危险端口,我们的目的是希望大家能够及时防范自己的系统,确保系统网络安全。当然,系统的安全问题远远不只这些,要真正保证系统的安全,就必须经常升级杀毒软件。管理好端口服务和系统进程,并经常对系统进行安全测试,让入侵者无机可乘。 |