摘 要 本文详细探讨黑客入侵网络的方法,以及如何对黑客的攻击进行特征分析以最终达到安全防范的目的。
关键词 黑客 木马 信用卡 漏洞
一、美国信用卡失密案始末 近日,美国万事达信用卡国际公司宣布了一条震惊全球的消息:黑客侵入了"信用卡第三方付款处理器"的网络系统,造成了包括Master Card、Visa、American Express和Discover等各种信用卡高达4000多万用户的数据资料被窃。这是迄今美国最大的泄密事件,这一案件带来的教训值得重视,显示出网络罪犯日渐猖狂,日益朝金融欺诈方向发展的趋势。
Master Card公司近期接到成千上万用户报告信用卡账户有不正常的高档产品盗用消费,于是聘请信息安全公司调查。安全专家发现,漏洞出在为Master Card、Visa和American Express等主要信用卡进行数据处理服务的Card Systems公司,主要原因是Card System公司的信息安全措施不到位。这家公司为超过10万家企业处理信用卡信息,每年业务金额超过150亿美元,理应经常进行数据安全检查,但这一措施被明显疏忽了,公司因违反数据安全规定为黑客的攻击埋下祸根。Master Card公司等信用卡发行机构,要求Card System公司处理的数据不得过夜保存,但这家公司为进行市场研究,自己保存了所有经手的账户信息,而且这些数据不加密、不保护就存储在公司电脑中。公司的网络建立在经常暴露出安全漏洞的“Windows 2000”操作系统之上,没有及时更新升级,让恶意黑客有机可乘。黑客利用了该公司网络系统的漏洞,在Card Systems的网络中植入了一种特洛伊木马程序,通过通常为Web浏览留下的通信端口进入计算机,攻击没有被入侵检测软件发现或被防火墙阻止。木马程序发现了含信用卡账户信息的文件,获取了客户的信用卡信息。显然,在技术性漏洞背后,是一些企业对信息安全的忽视和侥幸心理。
二、黑客常用入侵手法及防范策略 要想有效的防范黑客对我们电脑的入侵和破坏,仅仅被动地安装防火墙是显然不够的,我们更应该了解一些常见的黑客入侵手法,针对不同的方法采取不同的措施,做到有的放矢。
1、木马入侵 木马除了具有远程控制工具的功能外,通常还具有隐蔽性、秘密性、破坏性等特点。木马就如同你肩膀后的一双眼睛,它盯着你输入帐号密码。在用户访问真实的银行网站之前它一直处于休眠状态,而用户访问相关网站时便会激活它,并对登录过程进行秘密监控。
应对措施:提高防范意识,不要随意运行别人发来的软件。安装木马查杀软件,及时更新木马特征库。推荐使用the cleaner,木马克星。
2、ipc$共享入侵 微软在Win2000,xp中设置的这个功能对个人用户来说几乎毫无用处。反而成了黑客入侵nt架构操作系统的一条便利通道。如果你的操作系统存在不安全的口令,那就更可怕了。
应对措施:禁用server服务, Task Scheduler服务,去掉网络文件和打印机共享前的对勾,当然,给自己的账户加上强壮的口令才是最关键的。
3、漏洞入侵 由于宽带越来越普及,给自己的Win2000或是xp装上简单易学的IIS,搭建一个不定时开放的ftp或是Web站点,相信是不少电脑爱好者所向往的,而且应该也已经有很多人这样做了。但是IIS层出不穷的漏洞实在令人担心。远程攻击着只要使用webdavx3这个漏洞攻击程序和telnet命令就可以完成一次对IIS的远程攻击。
利用IIS的webdav漏洞攻击成功后的界面 这里的systen32就指的是对方机器的系统文件夹了,也就是说黑客此刻执行的任何命令,都是在被入侵的机器上运行的。这个时候如果执行format命令,危害就可想而知了,用net user命令添加账户也是轻而易举的。
应对措施:关注微软官方站点,及时安装IIS的漏洞补丁。
4、页恶意代码入侵 在我们浏览网页的时候不可避免地会遇到一些不正规的网站,它们经常会擅自修改浏览者的注册表,其直接体现便是修改IE的默认主页,锁定注册表,修改鼠标右键菜单等等。实际上绝大部分的网页恶意代码都是通过修改我们的注册表达到目的。只要保护好自己的注册表,就一切ok了。
应对措施:安装具有注册表实时监控功能的防护软件,做好注册表的备份工作。禁用Remote Registry Service服务,不要上一些不该上的网站。
三、黑客攻击的行为特征分析方法与反击技术 黑客对网络的攻击方式是多种多样的,一般来讲,攻击总是利用“系统配置的缺陷”,“操作系统的安全漏洞”或“通信协议的安全漏洞”来进行的。到目前为止,已经发现的攻击方式超过2000种,这些攻击大概可以划分为以下6类:
(1)拒绝服务攻击 一般情况下,拒绝服务攻击是通过使被攻击对象的系统关键资源过载,从而使被攻击对象停止部分或全部服务。目前已知的拒绝服务攻击就有几百种,它是最基本的入侵攻击手段,也是最难对付的入侵攻击之一,典型示例有SYN Flood攻击、Ping Flood攻击、Land攻击、WinNuke攻击等。
(2)非授权访问尝试 是攻击者对被保护文件进行读、写或执行的尝试,也包括为获得被保护访问权限所做的尝试。
(3)预探测攻击 在连续的非授权访问尝试过程中,攻击者为了获得网络内部的信息及网络周围的信息,通常使用这种攻击尝试,典型示例包括SATAN扫描、端口扫描和IP半途扫描等。
(4)可疑活动 是通常定义的“标准”网络通信范畴之外的活动,也可以指网络上不希望有的活动,如IP Unknown Protocol和Duplicate IP Address事件等。
(5)协议解码 协议解码可用于以上任何一种非期望的方法中,网络或安全管理员需要进行解码工作,并获得相应的结果,解码后的协议信息可能表明期望的活动,如FTU User和Portmapper Proxy等解码方式。
(6)系统代理攻击 这种攻击通常是针对单个主机发起的,而并非整个网络,通过RealSecure系统代理可以对它们进行监视。
黑客攻击行为的特征分析依赖于入侵检测技术(IDS),入侵检测的最基本手段是采用模式匹配的方法来发现入侵攻击行为,要有效的反攻击首先必须了解入侵的原理和工作机理,只有这样才能做到知己知彼,从而有效的防止入侵攻击行为的发生。下面我们针对几种典型的入侵攻击进行分析,并提出相应的对策。
1.Land攻击
2.TCP SYN攻击
3.Ping Of Death攻击
4.WinNuke攻击
5.Teardrop攻击
6.TCP/UDP端口扫描
对于某些较复杂的入侵攻击行为(如分布式攻击、组合攻击)不但需要采用模式匹配的方法,还需要利用状态转移、网络拓扑结构等方法来进行入侵检测。
四、黑客攻击新趋势及应对策略 今后,网络罪犯们会逐渐将重点放在攻击那些有可能获利丰厚的目标上,他们不大可能掀起大规模网络病毒攻击的浪潮,而是每次只攻击一到两个公司,但是相应的回报却可能是巨大的。利用“特洛伊木马”的计算机程序来复制窃取许多国家的顶级商业公司的机密信息,已经变得越来越频繁。定向木马攻击的程序编写者只针对少数几个公司编写和使用某种特殊的木马。他们发起的攻击规模通常都很小,很容易就躲开了网络安全公司的监视,因为网络安全公司都在寻找较大规模的攻击。
目前出现了越来越多的释放特洛伊木马的自动工具以及其他入侵复杂系统的工具,他们非常快地沿“食物链”升级。窃取信息正在成为木马的主要目的。现在的趋势是,病毒开始集中进攻特定的组织,并试图种木马。因此,提高安全防范意识,建立起综合的网络安全监控防御体系,及时下载操作系统和应用程序的补丁,堵住存在的漏洞将是十分必要的。 |