黑客攻防的孫子兵法

黑客攻防的孫子兵法

1.混水摸魚VS釜底抽薪黑客們可能會在你的機器上啟動一個偽造系統(tǒng)登錄界面的程序，來進行貍貓換太子。不明底細的你多半會誤入這個“賊窩”，當你在這個偽裝的界面上輸入用戶名、密碼以后，該偽登錄程序會在后臺把你錄入的機密信息偷偷地傳送到黑客們的機器上，然后提示一個出錯信息說“用戶名與密碼不符，請重新登錄”。此后，才會出現(xiàn)真正的登錄界面。怎么樣，可怕吧?應(yīng)對方法就是釜底抽薪，強制在登錄時必須要按Ctrl+Alt+Del才能調(diào)出登錄窗口，方法是進入“開始菜單→管理工具→本地安全策略”，打開“本地安全設(shè)置”對話框，再依次進入“本地策略→安全選項”，雙擊右邊詳細窗格里的“禁用按Ctrl+Alt+Del進行登錄的設(shè)置”，當然要禁止它。這樣就可以防止黑客混水摸魚了。還有一個方法就是啟用防火墻，它的一個重要作用就是防止非法用戶登錄你的機器上。例如可以進行端口過濾，以禁止外部主機Telnet到內(nèi)部主機上。還有一種類似的攻擊，比如說正在用IE等瀏覽器在互聯(lián)網(wǎng)上遨游，如閱讀新聞組、咨詢產(chǎn)品價格、訂閱報紙、電子商務(wù)等，充分享受網(wǎng)絡(luò)帶來的便利。然而你恐怕不會想到有這些問題存在：正在訪問的網(wǎng)頁已經(jīng)被黑客篡改過，網(wǎng)頁上的信息是虛假的!例如黑客將用戶要瀏覽的網(wǎng)頁的URL改寫為指向黑客自己的服務(wù)器，當用戶瀏覽目標網(wǎng)頁的時候，實際上是向黑客服務(wù)器發(fā)出請求，那么黑客就可以達到欺騙的目的了。預(yù)防的方法就是盡量不要上不可靠的網(wǎng)站，如果一定要上，也要察看一下網(wǎng)頁的源代碼，看看是不是假的，并且禁止IE的腳本支持和ActiveX控件。2.李代桃僵VS順蔓摸瓜黑客們可能會通過代理服務(wù)器來攻擊你，狡猾的黑客還會使用800電話的無人轉(zhuǎn)接服務(wù)來連接ISP，然后再盜用他人的帳號上網(wǎng)。也許在他到來之前，他已經(jīng)使用了好幾個跳板了。就算你費了九牛二虎之力查到了攻擊者的IP，但可能和你一樣，也是個受害者。盡管不一定有用，但建議你這樣做，有總比沒有好：啟用Windows2000里的事件審核功能，要知道，缺省情況是不記錄任何審核事件的!方法嘛，還是進入“本地安全設(shè)置”，打開“本地策略→審核策略”雙擊右邊詳細窗格里的“審核登錄事件”，選中其中的“成功”、“失敗”事件，然后把里面的象什么“審核對象訪問”、“審核帳戶登錄訪問”所有的都選上，不要怕浪費磁盤空間，如果被黑客攻占了等于你的磁盤就是他的了，就更加浪費。3.偷梁換柱VS關(guān)門捉賊以前講過，黑客們可以通過嗅探器得到你的敏感信息，這類方法有一定的局限性，比如說要在你的網(wǎng)段里種一個嗅探器，但其危害性極大。黑客們可以輕松獲取你的帳戶和密碼。目前有很多協(xié)議根本就沒有采用任何加密或身份認證技術(shù)，如在Telnet、FTP、HTTP、SMTP等傳輸協(xié)議中，用戶帳戶和密碼信息都是以明文格式傳輸?shù)?，這就給攻擊者帶來了很多便利，此時若攻擊者利用數(shù)據(jù)包截取工具例如Iris便可很容易收集到你的機密數(shù)據(jù)。還有一種中途截擊攻擊方法更為狡詐，它可以在你同服務(wù)器端完成“三次握手”建立連接之后，在通信過程中扮演"第三者"的角色，假冒服務(wù)器身份欺騙你，再假冒你向服務(wù)器發(fā)出惡意請求，其造成的后果不堪設(shè)想。另外，攻擊者有時還會利用軟件和硬件工具時刻監(jiān)視系統(tǒng)主機的工作，等待記錄用戶登錄信息，從而取得用戶密碼;或者編制有緩沖區(qū)溢出錯誤的SUID程序來獲得超級用戶權(quán)限。對這種方法首先要籬笆扎的嚴，同一個網(wǎng)段里的機器應(yīng)該是可以互相信任的，同時借助一些反嗅探器工具例如AntiSniffer之類的對網(wǎng)絡(luò)進行實時監(jiān)控。4.美人計VS誘敵深入前面說過，木馬程序因為生得短小精悍，所以深得黑客們的青睞，盡管骨灰級的高手常不屑于使用，但是統(tǒng)計表明，百分之六十的黑客攻擊是采用木馬。木馬程序可以直接潛入你的電腦并進行破壞，它常常把自己裝成一副游戲或者MP3的嘴臉來誘使你打開它們，一旦你雙擊了帶有特洛伊木馬程序的郵件附件或從網(wǎng)上直接下載的貌似合法的程序，它們就會留在電腦中，并且可以讓自己隨Windows而啟動。當你連接到互聯(lián)網(wǎng)上時，這個程序就會通知黑客(通過郵件或者即時消息)，告知你的IP地址和可以攻擊端口。黑客收到這些信息后，使用木馬的客戶端程序，和潛伏在你機器里的服務(wù)器程序里應(yīng)外合，可以任意地修改你的計算機的參數(shù)設(shè)定、復(fù)制文件、窺視你整個硬盤中的內(nèi)容等，從而達到控制你的計算機的目的。要破除木馬使的美人計，首先不要隨意打開來歷不明的電子郵件及文件，不要隨便運行不太了解的人給你的程序，比如“特洛伊木馬”之類的黑客程序就需要騙你運行。盡量避免從Internet下載不知名的軟件、游戲程序。即使從知名的網(wǎng)站下載的軟件也要及時用最新的病毒和木馬查殺軟件對軟件和系統(tǒng)進行掃描。查到木馬程序以后，也不要急著將它推出午門斬首，先逼出口供再說，你可以用netstat命令看看誰在與你連接，然后可以分析這個木馬，看看它里面的通知選項里寫的是誰的電子郵件地址，就可以對他進行反懲罰了。5.借刀殺人—DDos攻擊DDos攻擊，是指分布式拒絕服務(wù)攻擊，從許多分布的主機同時攻擊一個目標主機，從而導(dǎo)致它徹底癱瘓，好多著名的網(wǎng)站，象Yahoo、B、Amazon等都受到過這種“百鳥朝鳳”的待遇。分布式拒絕服務(wù)攻擊采用的是四層客戶機/服務(wù)器架構(gòu)，處于最頂層的是目標主機，而首腦攻擊者處于最低層，與第二層的攻擊服務(wù)器(數(shù)量比較少，約幾臺到幾十臺)相連，然后由攻擊服務(wù)器把首腦攻擊者的攻擊命令分布到第三層的攻擊執(zhí)行器(數(shù)目很大)上，攻擊執(zhí)行器實施對目標主機的攻擊。攻擊服務(wù)器的作用主要是隔離攻擊者與網(wǎng)絡(luò)直接聯(lián)系，減少被發(fā)現(xiàn)的可能性，同時可以協(xié)調(diào)進攻。攻擊執(zhí)行器主要運行一些簡單的程序，可以向目標主機發(fā)出雪崩數(shù)據(jù)，而且不要求ACK(回應(yīng))。首腦攻擊者多半是由一臺普通主機充當，甚至可能是一臺筆記本電腦，這樣它的位置可能是不固定的，它用來向攻擊服務(wù)器發(fā)出攻擊特定目標的指令。攻擊執(zhí)行器接到攻擊命令以后，發(fā)出大量數(shù)據(jù)包騷擾目標主機，而且這種數(shù)據(jù)包還經(jīng)過偽裝，無法辨認它們的源地址。很快目標主機就會資源耗盡而崩潰。目前這一招還沒有直接有效的應(yīng)對方法：只能先防患于未燃。首先確保服務(wù)器安裝了最新服務(wù)包，打上了所有最新的安全補丁，建議使用英文版的操作系統(tǒng)，因為英文版的操作系統(tǒng)比中文版的Bug要少得多，而且各種服務(wù)包、補丁、漏洞資料也發(fā)布得要快得多，被攻擊的案例大多起因于漏洞沒有補好。其次系統(tǒng)管理員要對關(guān)鍵系統(tǒng)的所有外圍主機進行檢查，而不僅針對關(guān)鍵系統(tǒng)。也就是說要保證一般的外圍主機不會被黑客控制。一旦黑客直接控制了外圍主機，那將十分可怕。要確保系統(tǒng)管理員知道每個外圍主機系統(tǒng)在運行什么操作系統(tǒng)?都有哪些人在使用它們?哪些人可以訪問它們?要做到心中有數(shù)，不要等到黑客攻擊了，才想到要去查，已經(jīng)晚了。一些未使用的服務(wù)，例如Telnet、Ftp、Smtp等，會用明文顯示密碼、帳號。就應(yīng)該果斷讓它們下崗，并且確保封住它們的端口，以防它們死灰復(fù)燃。以前講過黑客通過IPC$攻擊就可能獲得超級用戶的權(quán)限，并能訪問其他系統(tǒng)，不管是不是受防火墻保護。如果是Unix主機，則要確保所有的守護服務(wù)都有TCP封裝程序，并限制對主機的訪問權(quán)限。最好不要讓內(nèi)部網(wǎng)通過“小貓”訪問互聯(lián)網(wǎng)。否則，黑客們很容易通過電話線發(fā)現(xiàn)未受保護的主機，馬上就可以實行攻擊。限制在防火墻外進行網(wǎng)絡(luò)文件共享。這會使黑客有機會截獲系統(tǒng)文件，并以特洛伊木馬替換它，文件傳輸功能無異將陷入癱瘓?？梢砸远竟ザ荆诜阑饓ι线\行掃描器程序。大多數(shù)攻擊事件是由于防火墻配置不當造成的，使DDoS攻擊成功率很高，所以要用掃描器好好地看看到底有哪些不明端口敞開著，同時也可以看看有哪些漏洞，你可以