黑客入侵及防范策略
来源:计算机安全 更新时间:2012-04-13
 
 
摘 要  计算机网络的脆弱及其潜在的威胁,使计算机用户深受其害,因此采取强有力的安全策略,保障网络主机安全是非常有必要的。
关键词 网络 黑客 攻击 安全
 
 
       随着计算机网络的广泛应用,如何保证网络数据的安全尤为重要。本文从黑客的入侵手段入手,给出几种安全防范措施。
 

一、黑客常用的攻击手段

1、扫描保留有特定端口的主机,利用已知系统的Bug(漏洞)进行攻击。
这类攻击最有代表的是利用win2000超级终端3389端口和输入法漏洞的攻击法。它的攻击方法比较简单,端口扫描器一个:可用angry  ip扫描器,也可用X-SCAN、流光。客户端连接管理器:3389登陆器MSTSC。
 
2、利用弱令的入侵。
弱口令是指没有实际效力的密码,只需简单方法就可非法获取,可利用工具流光4.7(这流光要打IP补丁,不然不可扫国内IP主机)。
 
3、利用拥有某IP的用户名和密码,做IPC$入侵。
IPC$即Internet process connection,是共享“命名管道”的资源,它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在与远程管理计算机的共享资源时使用。
 
4、利用文件下载、邮箱、QQ传输文件种下木马。
一些非法网站,常有一些含有病毒或木马的程序供人下载。他们常用的方法有:(1)、冒充图像文件,如将abc.exe改为abc.jpg.exe,如是隐藏扩展名则只看见abc.jpg,而且还可利用Iconforge软件进行图标的更改。(2)、合并程序欺骗,可利用winRaR这个常用的压缩/解压软件,将一照片和一文件合并成为一文件,运行时只显示图片。(3)、伪装加密程序。可利用Z-file将文件压缩加密后,再以bmp图像文件格式显示出来。(扩展名是bmp,执行后是一幅普通的图像)
 
5、在文件中加入恶意代码命令。
具有代表性的有:txt炸弹。它只利用一个txt文本文件(也可以利用网页),就可达到破坏对方数据的目的。
以上五种入侵破坏方法,防火墙均无报警,但造成的破坏却是严重的。这对于那些自以为装上防火墙就万事大吉的人来说是一沉重的打击。特别是利用木马达到控制主机目的的入侵造成的损失最为严重。而黑客就是通过种植服务器木马达到长期控制肉机的入侵目的。所以说如何防黑客入侵其实就是如何预防黑客种植木马和如何查杀木马。
 

二、网络的安全防范策略

1、堵住漏洞
(1)安装操作系统时要注意
   因为现在的硬盘越来越大,许多人在安装操作系统时,希望安装越多越好。岂不知装得越多,所提供的服务就越多,而系统的漏洞也就越多。如果只是要作为一个代理服务器,则只安装最小化操作系统和代理软件、杀毒软件、防火墙即可,不要安装任何应用软件,更不可安装任何上网软件用来上网下载,甚至输入法也不要安装,更不能让别人使用这台服务。
 
(2)安装补丁程序
       上面所讲的利用输入法的攻击,其实就是黑客利用系统自身的漏洞进行的攻击,对于这种攻击我们可以下载微软提供的补丁程序来安装,就可较好地完善我们的系统和防御黑客利用漏洞的攻击。我们可下载windows最新的service pack补丁程序,也可直接运行开始菜单中的windows update 进行系统的自动更新。
 
(3)关闭无用的甚至有害的端口
      计算机要进行网络连接就必须通过端口,而“黑客”要种上“木马”,要控制我们的电脑也必须要通过端口。所以我们可通过关闭一些对于我们暂时无用的的端口(但对于“黑客”却可能有用),即关闭无用的服务,来减少“黑客”的攻击路径。我们可通过“控制面板”的“管理工具”来进入“服务”,而要关闭的端口或服务有:(1)23端口:通过关闭Telnet服务,即禁止Telnet服务 (该服务可使远程用户登录到系统并且使用命令运行控制台程序) ;(2)server服务,此服务提供RPC支持、文件、打印以及命名共享,关掉它就关掉win2k的默认共离,比如IPC$(可用于net命令攻击) C$(C盘共享)、admini$(winnt\system32目录共享),最好还要取消网络中的文件和打印共享。(3)3389端口:在“管理工具→终端服务配置→连接→RDP-TCP属性→远程控制→选“不允许远程控制”来关闭3389等一些无用的端口。你也可用通过打开“TCP/IP协议” →选择“属性”,打开“常规” →选择“高级”,打开“选项” →选择“TCP/IP筛选” →选择“属性” →双击“TCP/IP筛选” →选择“只允许” →选择“添加”添加需要打开的端口;如上网必须要利用的80端口。
 
(4)删除Guest账号
        win2000的Guest账号一般是不能更改和删除的,只能“禁用”,但是可以通过net命令(net user guest /active)将其激活,所以它很容易成为“黑客”攻击的目标,所以最好的方法就是将其删除,下载Ptsec.exe 即win2000权限提升程序。进入cmd,打入Ptsec /di回车,退出。进入注册表,搜索guest,删除它,Guest账号就被删除了。
 
(5) 限制不必要的用户数量
       去掉所有的duplicate user账号,测试账号,共享账号,不再使用的账号。这些账号常会成为黑客入侵系统的突破口,账号越多,黑客得到合法用户的权限的机会就越大。如果你的计算机账号自动增加,则可判断你被入侵了。
 
(6)创建一个陷阱账号
       我们都知账号administrator是最有可能成为别人攻击的目标,它既不能删除也不能停用,但是它可以更名。利用这一点,我们可将其伪装成一普通用户,如改名为chineseboy,并创建一个名为“administrator”的本地账户,把它的权限设成最低,并加上一个超级复杂密码,我们也可以利用智能卡来代替密码。这可让那些“黑客”忙上一阵,并可借此发现它们的入侵企图。当然如果你所做的这些如被别人盗知,那你的服务器又会成了一个被藏有士兵的木马攻陷的特洛伊城了。
 
(7)安装防火墙
       虽然本文中上述的攻击方法都没有被防火墙拦截(也可能我检测时对方的防火墙没设好),但是设置好的一个防火墙对于一些大量的但是较为简单的攻击还是相当有效的。如天网防火墙,安装后进入自定义IP规则,进行设置,必须勾选的有(1)禁止互联网上的机器使用我的共享资源。(2)禁止所有人的连接。(3)禁止所有人连接低端口。(4)允许已经授权的程序打开端口,这样一切需要开放的端口程序都需要审批。但是不要勾选“系统设置”里的“允许所有应用程序访问网络,并在规则记录这些程序”,这个设置是防范反弹木马和键盘记录的秘密武器。
 
2、经常检查
       俗话说得好:没有不透风的墙。而且“黑客”还可直接利用80端口进行攻击,或利用一些还不为我们所知的漏洞攻击我们。但正所谓:雁过留声,人过留名。“黑客”入侵我们的电脑肯定会留下踪迹,那我们又如何查到他们留下的蛛丝马迹呢?
 
(1)启动审核策略
       进入“控制面板”→“管理工具” →“本地安全设置” →“安全设置” →“本地策略”→“审核策略” →双击“审核登录事件”和“审核对象访问”,将面板中的“成功”和“失败”都勾选上,这样就开启了事件记录,以后只要有关于登录的事件都会被记录在日志中(如记下对方的IP甚至用户名)。但这些日志文件主要是:c:\winnt\*.txt和*.log、还有c:\winnt\system32\*.txt(*.log),c:\winnt\system32下的logfiles\*.*(config\*.evt,dtclog\*.*)。如果“黑客”把这些文件删除,那在日志中就看不见任何东西了。(当然如果忽然日志里无任何内容,那一定是被入侵了)。
 
(2)检查开放的端口和利用嗅探器监视网络通讯
       远程控制型木马以及输出shell型木马,大都会在系统中监听某个端口,接收从控制端发来的命令并执行,通过检查系统上开启的一些“奇怪”的端口(如冰河木马默认端口为7626),从而发现木马的踪迹。常用的软件有Fport和Aport,它们可列出本地计算机所开的端口及开启端口的程序。如果还想了解“黑客”的IP、甚至账号、密码和邮箱,我们可安装嗅探器(sniffer),或网络检测工具Tcpview.exe,我们可直接查看并中断任一通信进程。也可在CMD里输入:sniffer                    -pass –log mail.txt。就是截取所有密码放置在Mail.txt。我们就可直接查看这个文件,得到较为详细的情报。
 
(3)检查注册表
       木马为了能在开机后自动运行,往往在注册表如下位置中添加注册表项:
 
Chkey_Current_User\Software\Mcrosoft\Windows\Currentversion  \Run
                                                  \Runonce
Hkey_local_Machine\Software\Microsoft\windows\Currentversion  \Run
                                                                            \Runoncex
                                                                            \Runservices
                                                                            \runonce
Hkey_users\.Default\Software\Microsoft\Windows\Currentversion  \Run
                                                                             \Runonce
 
       如果在以上项里发现有些程序文件不是你安装的,那就很有可能你中了木马。在win98系统中,木马也可在win.ini和system.ini的“run=”,”load=”,”shell=”后加载自己的程序名,而且有些木马程序与正常的文件程序很相似,如不仔细观察很难发现。也有些木马在系统进程中留下足迹,甚至将自己作为服务添加到系统中,或随机替换系统中没启动的服务程序来实现自加载,这就需要对操作系统的常规进程和服务有所了解。
 
3、清除木马病毒
(1)软件杀毒
       当发现可疑文件时,最直接的方法就是运行防毒软件(最好是利用实时监控,进来一个杀一个)。好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量的木马列程序。这样,那些“黑客”们使用的那些有名的木马(如:冰河,灰鸽子,广外女生)就毫无用武之地,不过不要忘了经常升级病毒库。还有就是利用专杀木马软件:木马列克星;杀木马的效果也比较好。
 
(2)手工删除
       俗语说得好:道高一尺,魔高一丈。新木马的产生总是会在杀木马软件之前,这就需要我们进行手工删除。对于查到的可疑文件,不能立即删除,因为还是可疑而已(而且有的木马列是依附在某些文件上的)。首先要备份可疑文件和注册表(可直接在注册表编辑器中的“注册表”菜单中“导出注册表文件”进行备份)。对于可疑文件可通过ULTRAEDIT32编辑器查看文件首部信息,通过可疑文件里的明文字符对木马有一大致了解。最后删除“木马”文件及注册表中的键值。如提示:文件正在运行,无法删除。则重启进入安全模式再删。
 
       “黑客”的攻击技术在不断的变化和升级。我们更要不断提高防范技术,通过熟悉他们的攻击方法,做出相应的防御手段,才能谈及网络的安全性。(作者单位 武汉大学 广西河池学院)
 
参考文献
(1)舒洁。Win2000安全审核让入侵者无处遁形[DB/OL].http://www.xfocus.net/index.html(安全焦点)2004-02
(2)毛毛虫。3389端口的攻击方法[DB/OL]。http://www.hackbase.com (黑客基地)2004-03
(3)小锐。需要注意的木马隐藏地点[J]黑客基地,2003,(4):P22.
(4)无琴。Win2000入侵日志分析[J]。黑客X档案,2003,(5):P67