斩断网络黑手 2001年 47期 随着计算机及网络系统应用程度的扩展,电脑信息安全所面临的危险已经渗透于社会经济、军事技术、国家安全、知识产权、商业秘密乃至个人隐私等各个方面。对于个人用户来说,一旦被黑,也许你的隐私你的机密资料会泄露,给你的身心造成伤害;对于企业用户来说,能否保障网络安全的问题,更被提到了直接影响企业发展、企业信誉的高度。从全球范围来看,近年来企业因安全问题引起的损失成倍增长。甚至有人预言,网络安全问题将成为未来企业发展的瓶颈。   #1黑客常用的攻击方法   为了把损失降低到最低限度,我们一定要有安全观念,并掌握一定的安全防范措施,让黑客无任何机会可乘。下面我们就来研究一下那些黑客是如何实施攻击的。只有了解了他们的攻击手段,我们才能采取准确的对策对付这些黑客。具体说来黑客主要采用如下几种手段:   #21.欺骗法   这是一种非常普遍的攻击方法。把一些有害的数据伪装成无害的数据通过E-mail或其它方式发送到Internet主机上,一旦被执行,就开始对Internet主机进行攻击。其中特洛伊木马就是一个典型的例子。还有一种情况的欺骗,即网页欺骗,如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器,当用户浏览目标网页的时候,实际上是向黑客服务器发出请求,那么黑客就可以达到欺骗的目的了。这种方法的变体也很多,简直可以说防不胜防。   #22.利用操作系统和应用软件的漏洞   #23.利用互联网协议的漏洞   #24.利用系统管理员的失误   还有一些漏洞是由于系统管理员配置错误引起的,如在网络文件系统中,将目录和文件以可写的方式调出,将未加Shadow的用户密码文件以明码方式存放在某一目录下,这都会给黑客带来可乘之机,应及时加以修正。   #25.窃取口令   #2 6.服务过量法   也就是说,黑客想攻击某台服务器时,就通过某些软件大量地向服务器发送请求,以致服务器无法满足大量的请求甚至连其它正当的请求也无法满足。如电子邮箱炸弹及DDOS都属于这种情况。   #1如何防止黑客的攻击   #21.特洛伊木马   不要随便运行不太了解的人给你的程序,特别是后缀名为exe的可执行程序。特洛伊木马程序很多,运行后如果程序突然消失,或者是无任何反应,那你很可能是感染上特洛伊木马了。对于Windows用户,你可以通过修改注册表或用最新版本的杀毒软件或专门扫除特洛伊木马的软件来清除特洛伊木马。   #22.电子邮箱炸弹   对于电子邮箱炸弹要注意防范,一是不要将自己的邮箱地址到处传播;二是最好多申请几个免费信箱对外使用;三是如果你使用某邮件客户程序收发信件,一定要仔细设置它的安全选项。如果你不幸遭受了电子邮箱炸弹的攻击,还可以采取如下两种方法来解除。一是当某人不停炸你信箱时,可以先打开一封信,看清对方地址,然后在收件工具的过滤器中选择不再接收来自该地址的信,直接从服务器删除;找一些工具软件防止邮件炸弹,例如echom201就是一个功能强大的砍信机,每分钟能砍到1000封电子邮件,是对付邮件炸弹的好东西。   #23.防止口令泄露   #24.勤升级你的系统,勤打补丁文件   #25.入侵检测   对于利用互联网本身固有的漏洞而进行的攻击,一般情况下是防不胜防的,对于这种情况只有借助于入侵检测,在攻击还没有造成损害之前就采取必要的措施。常用的入侵检测从原理来说分为如下的三种:   (1)数据分析:分析用户、操作系统、路由器或是数据库,看看有没有可疑的入侵活动。审计追踪分析是基于主机的入侵检测方法,它能最有效地识别因单一系统被滥用而导致的攻击。   基于主机的ID系统记录了系统所有的活动,所以很容易断定发生了什么入侵事件。   (2)数据包分析:这是一种基于网络的入侵检测方法,它可以实时监控网络活动,包括:捕获及检查数据包的头及内容;将数据包与数据库中记录的以往的攻击模式加以比较,如果检测到恶意的攻击,立即启动回击系统或通知中央管理控制台、发送电子邮件或呼叫技术人员、终止会话。   (3)实时活动监控:这种方法是不停监视主机或网络的状态,一旦发现可疑情况立即发出相应通知。   这种方法是比较主要的防止攻击方法,防范范围要广得多。下面我们介绍的网络安全软件LockDown 2000就能够完成上面介绍的大部分的防范功能。   #1钢铁卫士──LockDown 2000   LockDown 2000是目前世界上针对Windows操作系统最有效、最完善的安全防护软件,它的最新版本是V8.1.7。   下图是LockDown 2000 V8.1.7的主界面,也是Status的界面(^47060105a^1)。主要分为Status、Scanner、Generics、Ports、Shares、NetUtils、Connection、Processes、Update、Unlock这10个主要功能。由于篇幅的关系,不便详细讲解。   1.Status:主要用来报告记录的信息、启动的模式(Simple mode与Advanced Mode)、设置监控对象(连接、端口与本马程序)、设置安全等级(高、中、低、自定义);   2.Scanner:主要是用来扫描木马程序。在Trojan Scanner标签页中可设置扫描范围及报告扫描结果;在Scanner Options标签页是对其扫描的进一步设置,包括扫描的文件类型、定时扫描哪些文件夹等等;在Report Options标签页中设置一旦扫描到木马程序将采取什么行动,是发邮件、弹出窗口还是声音警告,或者是三者的任意组合;在Trojan Signatures中列出此版本能识别的木马种类(2714种)(^47060105b^2)。   3.Generics:它包含七个标签页,从整体来看也是对LockDown 2000中的有关选项进一步设置。如在Show Extensions标签页中设置对什么样的扩展名文件进行扫描;在General Settings中设置哪些服务器程序是可信的,哪些自动删除,以及如果启动新程序应如何通知用户等等(^47060105c^3)。   4.Ports:设置对端口如何监控。主要设置对哪些端口进行监控,以及是否记录监控端口的活动,及如果被监控端口被连接应如何处理等等。也就是说Ports主要负责与互联网连接时的安全(^47060105d^4)。   5.Shares:设定共享文件,以及设定当其他人想连接某些文件或者某些IP地址想与本机通信时自动挂断。正确合理的设置,能很彻底地防止黑客的攻击。   6.NetUtils:它主要提供Trace Route、Whois、Finger、Ping、NsLookup这几个工具,根据这项功能,一旦你锁定黑客的IP地址之后,你就能得到有关黑客的一些信息(^47060105e^5)。   7.Connections:显示目前所有的连接及所监控的端口(^47060105f^6)。   8.Processes:显示当前正在运行的所有程序及相关的程序模块(^47060105g^7)。   9.Update:对LockDown 2000进行升级。   上面只是对LockDown 2000进行简要的说明,从整体看来,它具有如下功能:   (1)能够完全关闭远程用户(很有可能这种用户就是黑客)对你计算机系统的访问;   (2)实时监控和记录远程用户在你计算机里的活动情况;   (3)自动追踪所有连接情况,记录黑客的IP地址、域名和计算机名称,从而利用NetUtils查出黑客是何方人士;   (4)如果有人已经连接到了你的计算机或正在企图闯入,它会用不同的声音发出警告。如果有人未经你的许可,就连接到你的计算机,它立刻会在屏幕上弹出警告窗口和实时监控窗口;   (5)完全控制Internet或局域网的任何连接情况;   (6)可以自动地任意断开与一个用户或所有用户的连接,这对于资源共享的计算机而言,是非常重要的;   (7)能够记录以前连接到你的计算机的用户资料,能够限制与你计算机连接的数目;   (8)可以查出和中止偷偷运行在你限制的程序列表中的任何一个程序,这种程序很可能是一种不知名的黑客程序或病毒。   由此可知,只要机器上安装了LockDown 2000并进行正确合理的设置,你的电脑便能时刻处于层层呵护之下,免受黑客攻击。