發佈時間:2008.05.09 04:40 來源:賽迪網 作者:什剎海的柳樹
【賽迪網-IT技術報道】我們已知道了木馬、掃描器和嗅探器的相關知識,其實駭客工具遠不至於此,還有諸如損人不利己的網路炸彈,專門針對QQ的駭客工具(象什麼QQ密碼終結者、用於遠程攻擊的QicqSpy、QQ炸彈OICQShield等),還有拒絕服務攻擊(Ddos等)、IP欺騙攻擊、Web欺騙、DNS欺騙攻擊等等,簡直比古龍小說裏的十大惡人還要可惡。讓我們回過頭再看看駭客們是怎麼攻擊的,同時我們又應該如何拿起身邊的武器,奮起反抗。
1. 混水摸魚VS釜底抽薪
駭客們可能會在你的機器上啟動一個偽造系統登錄介面的程式,來進行狸貓換太子。不明底細的你多半會誤入這個“賊窩”,當你在這個偽裝的介面上輸入用戶名、密碼以後,該偽登錄程式會在後臺把你錄入的機密資訊偷偷地傳送到駭客們的機器上,然後提示一個出錯資訊說“用戶名與密碼不符,請重新登錄”。此後,才會出現真正的登錄介面。
怎麼樣,可怕吧?應對方法就是釜底抽薪,強制在登錄時必須要按Ctrl+Alt+Del才能調出登錄窗口,方法是進入“開始功能表→管理工具 →本地安全策略”,打開“本地安全設置”對話方塊,再依次進入“本地策略 →安全選項”,雙擊右邊詳細窗格裏的“禁用按Ctrl+Alt+Del進行登錄的設置”,當然要禁止它。這樣就可以防止駭客混水摸魚了。
還有一個方法就是啟用防火牆,它的一個重要作用就是防止非法用戶登錄你的機器上。例如可以進行端口過濾,以禁止外部主機Telnet到內部主機上。
還有一種類似的攻擊,比如說正在用IE等瀏覽器在互聯網上遨遊,如閱讀新聞組、諮詢產品價格、訂閱報紙、電子商務等,充分享受網路帶來的便利。然而你恐怕不會想到有這些問題存在:正在訪問的網頁已經被駭客篡改過,網頁上的資訊是虛假的!例如駭客將用戶要瀏覽的網頁的URL改寫為指向駭客自己的伺服器,當用戶瀏覽目標網頁的時候,實際上是向駭客伺服器發出請求,那麼駭客就可以達到欺騙的目的了。預防的方法就是儘量不要上不可靠的網站,如果一定要上,也要察看一下網頁的源代碼,看看是不是假的,並且禁止IE的腳本支援和ActiveX控件。
2.李代桃僵VS順蔓摸瓜
駭客們可能會通過代理伺服器來攻擊你,狡猾的駭客還會使用800電話的無人轉接服務來連接ISP,然後再盜用他人的帳號上網。也許在他到來之前,他已經使用了好幾個跳板了。就算你費了九牛二虎之力查到了攻擊者的IP,但可能和你一樣,也是個受害者。
儘管不一定有用,但建議你這樣做,有總比沒有好:啟用Windows 2000里的事件審核功能,要知道,缺省情況是不記錄任何審核事件的!方法嘛,還是進入“本地安全設置”,打開“本地策略 →審核策略”雙擊右邊詳細窗格裏的“審核登錄事件”,選中其中的“成功”、“失敗”事件,然後把裏面的象什麼“審核對象訪問”、“審核帳戶登錄訪問”所有的都選上,不要怕浪費磁片空間,如果被駭客攻佔了等於你的磁片就是他的了,就更加浪費。
3.偷梁換柱VS關門捉賊
以前講過,駭客們可以通過嗅探器得到你的敏感資訊,這類方法有一定的局限性,比如說要在你的網段裏種一個嗅探器,但其危害性極大。駭客們可以輕鬆獲取你的帳戶和密碼。目前有很多協議根本就沒有採用任何加密或身份認證技術,如在Telnet、FTP、HTTP、SMTP等傳輸協議中,用戶帳戶和密碼資訊都是以明文格式傳輸的,這就給攻擊者帶來了很多便利,此時若攻擊者利用數據包截取工具例如Iris便可很容易收集到你的機密數據。還有一種中途截擊攻擊方法更為狡詐,它可以在你同伺服器端完成“三次握手”建立連接之後,在通信過程中扮演"第三者"的角色,假冒伺服器身份欺騙你,再假冒你向伺服器發出惡意請求,其造成的後果不堪設想。另外,攻擊者有時還會利用軟體和硬體工具時刻監視系統主機的工作,等待記錄用戶登錄資訊,從而取得用戶密碼;或者編制有緩衝區溢出錯誤的SUID程式來獲得超級用戶許可權。
對這種方法首先要籬笆扎的嚴,同一個網段裏的機器應該是可以互相信任的,同時借助一些反嗅探器工具例如AntiSniffer之類的對網路進行實時監控。
4.美人計VS誘敵深入
前面說過,木馬程式因為生得短小精悍,所以深得駭客們的青睞,儘管骨灰級的高手常不屑于使用,但是統計表明,百分之六十的駭客攻擊是採用木馬。木馬程式可以直接潛入你的電腦並進行破壞,它常常把自己裝成一副遊戲或者MP3的嘴臉來誘使你打開它們,一旦你雙擊了帶有特洛伊木馬程式的郵件附件或從網上直接下載的貌似合法的程式,它們就會留在電腦中,並且可以讓自己隨Windows而啟動。當你連接到互聯網上時,這個程式就會通知駭客(通過郵件或者即時消息),告知你的IP地址和可以攻擊端口。駭客收到這些資訊後,使用木馬的客戶端程式,和潛伏在你機器裏的伺服器程式裏應外合,可以任意地修改你的電腦的參數設定、複製文件、窺視你整個硬盤中的內容等,從而達到控制你的電腦的目的。
要破除木馬使的美人計,首先不要隨意打開來歷不明的電子郵件及文件,不要隨便運行不太了解的人給你的程式,比如“特洛伊木馬”之類的駭客程式就需要騙你運行。儘量避免從Internet下載不知名的軟體、遊戲程式。即使從知名的網站下載的軟體也要及時用最新的病毒和木馬查殺軟體對軟體和系統進行掃描。查到木馬程式以後,也不要急著將它推出午門斬首,先逼出口供再說,你可以用netstat命令看看誰在與你連接,然後可以分析這個木馬,看看它裏面的通知選項裏寫的是誰的電子郵件地址,就可以對他進行反懲罰了。
5.借刀殺人—DDos攻擊
DDos攻擊,是指分佈式拒絕服務攻擊,從許多分佈的主機同時攻擊一個目標主機,從而導致它徹底癱瘓,好多著名的網站,象Yahoo、Buy.com、Amazon等都受到過這種“百鳥朝鳳”的待遇。分佈式拒絕服務攻擊採用的是四層客戶機/伺服器架構,處於最頂層的是目標主機,而首腦攻擊者處於最低層,與第二層的攻擊伺服器(數量比較少,約幾臺到幾十台)相連,然後由攻擊伺服器把首腦攻擊者的攻擊命令分佈到第三層的攻擊執行器(數目很大)上,攻擊執行器實施對目標主機的攻擊。攻擊伺服器的作用主要是隔離攻擊者與網路直接聯繫,減少被發現的可能性,同時可以協調進攻。攻擊執行器主要運行一些簡單的程式,可以向目標主機發出雪崩數據,而且不要求ACK(回應)。
首腦攻擊者多半是由一台普通主機充當,甚至可能是一台筆記本電腦,這樣它的位置可能是不固定的,它用來向攻擊伺服器發出攻擊特定目標的指令。攻擊執行器接到攻擊命令以後,發出大量數據包騷擾目標主機,而且這種數據包還經過偽裝,無法辨認它們的源地址。很快目標主機就會資源耗盡而崩潰。
目前這一招還沒有直接有效的應對方法:只能先防患于未燃。
首先確保伺服器安裝了最新服務包,打上了所有最新的安全補丁,建議使用英文版的作業系統,因為英文版的作業系統比中文版的Bug要少得多,而且各種服務包、補丁、漏洞資料也發佈得要快得多,被攻擊的案例大多起因于漏洞沒有補好。
其次系統管理員要對關鍵系統的所有週邊主機進行檢查,而不僅針對關鍵系統。也就是說要保證一般的週邊主機不會被駭客控制。一旦駭客直接控制了週邊主機,那將十分可怕。要確保系統管理員知道每個週邊主機系統在運行什麼作業系統?都有哪些人在使用它們?哪些人可以訪問它們?要做到心中有數,不要等到駭客攻擊了,才想到要去查,已經晚了。
一些未使用的服務,例如Telnet、Ftp、Smtp等,會用明文顯示密碼、帳號。就應該果斷讓它們下崗,並且確保封住它們的端口,以防它們死灰複燃。以前講過駭客通過IPC$攻擊就可能獲得超級用戶的許可權,並能訪問其他系統,不管是不是受防火牆保護。
如果是Unix主機,則要確保所有的守護服務都有TCP封裝程式,並限制對主機的訪問許可權。
最好不要讓內部網通過“小貓”訪問互聯網。否則,駭客們很容易通過電話線發現未受保護的主機,馬上就可以實行攻擊。
限制在防火牆外進行網路文件共用。這會使駭客有機會截獲系統文件,並以特洛伊木馬替換它,文件傳輸功能無異將陷入癱瘓。
可以以毒攻毒,在防火牆上運行掃描器程式。大多數攻擊事件是由於防火牆配置不當造成的,使DDoS攻擊成功率很高,所以要用掃描器好好地看看到底有哪些不明端口敞開著,同時也可以看看有哪些漏洞,你可以用前面說過的流光檢查一下。
即時檢查所有網路設備和主機/伺服器系統的日誌。只要日誌出現異常或者有被人改動、刪除的痕跡,那麼就可以懷疑主機已經受到駭客的光顧。
儘管以上的方法並不是直接有效,但是籬笆扎得牢了,就能最大限度地防止各類駭客工具的侵襲,其中自然也包括分佈式拒絕服務攻擊(DDos)。
沒有留言:
張貼留言