A. 黑客是怎樣侵入的,該如何防範
下面的辦法你試試:
一、取消文件夾隱藏共享
如果你使用了Windows 2000/XP系統,右鍵單擊C盤或者其他盤,選擇共享,你會驚奇地發現它已經被設置為「共享該文件夾」,而在「網上鄰居」中卻看不到這些內容,這是怎麼回事呢?
原來,在默認狀態下,Windows 2000/XP會開啟所有分區的隱藏共享,從「控制面板/管理工具/計算機管理」窗口下選擇「系統工具/共享文件夾/共享」,就可以看到硬碟上的每個分區名後面都加了一個「$」。但是只要鍵入「計算機名或者IPC$」,系統就會詢問用戶名和密碼,遺憾的是,大多數個人用戶系統Administrator的密碼都為空,入侵者可以輕易看到C盤的內容,這就給網路安全帶來了極大的隱患。
怎麼來消除默認共享呢?方法很簡單,打開注冊表編輯器,進入「HKEY_LOCAL_」,新建一個名為「AutoShareWKs」的雙位元組值,並將其值設為「0」,然後重新啟動電腦,這樣共享就取消了。
二、拒絕惡意代碼
惡意網頁成了寬頻的最大威脅之一。以前使用Modem,因為打開網頁的速度慢,在完全打開前關閉惡意網頁還有避免中招的可能性。現在寬頻的速度這么快,所以很容易就被惡意網頁攻擊。
一般惡意網頁都是因為加入了用編寫的惡意代碼才有破壞力的。這些惡意代碼就相當於一些小程序,只要打開該網頁就會被運行。所以要避免惡意網頁的攻擊只要禁止這些惡意代碼的運行就可以了。
運行IE瀏覽器,點擊「工具/Internet選項/安全/自定義級別」,將安全級別定義為「安全級-高」,對「ActiveX控制項和插件」中第2、3項設置為「禁用」,其它項設置為「提示」,之後點擊「確定」。這樣設置後,當你使用IE瀏覽網頁時,就能有效避免惡意網頁中惡意代碼的攻擊。
三、封死黑客的「後門」
俗話說「無風不起浪」,既然黑客能進入,那說明系統一定存在為他們打開的「後門」,只要堵死這個後門,讓黑客無處下手,便無後顧之憂!
1.刪掉不必要的協議
對於伺服器和主機來說,一般只安裝TCP/IP協議就夠了。滑鼠右擊「網路鄰居」,選擇「屬性」,再滑鼠右擊「本地連接」,選擇「屬性」,卸載不必要的協議。其中NETBIOS是很多安全缺陷的根源,對於不需要提供文件和列印共享的主機,還可以將綁定在TCP/IP協議的NETBIOS關閉,避免針對NETBIOS的攻擊。選擇「TCP/IP協議/屬性/高級」,進入「高級TCP/IP設置」對話框,選擇「WINS」標簽,勾選「禁用TCP/IP上的NETBIOS」一項,關閉NETBIOS。
2.關閉「文件和列印共享」
文件和列印共享應該是一個非常有用的功能,但在不需要它的時候,也是黑客入侵的很好的安全漏洞。所以在沒有必要「文件和列印共享」的情況下,我們可以將它關閉。用滑鼠右擊「網路鄰居」,選擇「屬性」,然後單擊「文件和列印共享」按鈕,將彈出的「文件和列印共享」對話框中的兩個復選框中的鉤去掉即可。
雖然「文件和列印共享」關閉了,但是還不能確保安全,還要修改注冊表,禁止它人更改「文件和列印共享」。打開注冊表編輯器,選擇「HKEY_CURRENT_」主鍵,在該主鍵下新建DWORD類型的鍵值,鍵值名為「NoFileSharingControl」,鍵值設為「1」表示禁止這項功能,從而達到禁止更改「文件和列印共享」的目的;鍵值為「0」表示允許這項功能。這樣在「網路鄰居」的「屬性」對話框中「文件和列印共享」就不復存在了。
3.把Guest賬號禁用
有很多入侵都是通過這個賬號進一步獲得管理員密碼或者許可權的。如果不想把自己的計算機給別人當玩具,那還是禁止的好。打開控制面板,雙擊「用戶和密碼」,單擊「高級」選項卡,再單擊「高級」按鈕,彈出本地用戶和組窗口。在Guest賬號上面點擊右鍵,選擇屬性,在「常規」頁中選中「賬戶已停用」。另外,將Administrator賬號改名可以防止黑客知道自己的管理員賬號,這會在很大程度上保證計算機安全。
4.禁止建立空連接
在默認的情況下,任何用戶都可以通過空連接連上伺服器,枚舉賬號並猜測密碼。因此,我們必須禁止建立空連接。方法有以下兩種:
方法一是修改注冊表:打開注冊表「HKEY_LOCAL_」,將DWORD值「RestrictAnonymous」的鍵值改為「1」即可。
最後建議大家給自己的系統打上補丁,微軟那些沒完沒了的補丁還是很有用的!
四、隱藏IP地址
黑客經常利用一些網路探測技術來查看我們的主機信息,主要目的就是得到網路中主機的IP地址。IP地址在網路安全上是一個很重要的概念,如果攻擊者知道了你的IP地址,等於為他的攻擊准備好了目標,他可以向這個IP發動各種進攻,如DoS(拒絕服務)攻擊、Floop溢出攻擊等。隱藏IP地址的主要方法是使用代理伺服器。
與直接連接到Internet相比,使用代理伺服器能保護上網用戶的IP地址,從而保障上網安全。代理伺服器的原理是在客戶機(用戶上網的計算機)和遠程伺服器(如用戶想訪問遠端WWW伺服器)之間架設一個「中轉站」,當客戶機向遠程伺服器提出服務要求後,代理伺服器首先截取用戶的請求,然後代理伺服器將服務請求轉交遠程伺服器,從而實現客戶機和遠程伺服器之間的聯系。很顯然,使用代理伺服器後,其它用戶只能探測到代理伺服器的IP地址而不是用戶的IP地址,這就實現了隱藏用戶IP地址的目的,保障了用戶上網安全。提供免費代理伺服器的網站有很多,你也可以自己用代理獵手等工具來查找。
五、關閉不必要的埠
黑客在入侵時常常會掃描你的計算機埠,如果安裝了埠監視程序(比如Netwatch),該監視程序則會有警告提示。如果遇到這種入侵,可用工具軟體關閉用不到的埠,比如,用「Norton Internet Security」關閉用來提供網頁服務的80和443埠,其他一些不常用的埠也可關閉。
六、更換管理員帳戶
Administrator帳戶擁有最高的系統許可權,一旦該帳戶被人利用,後果不堪設想。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼,所以我們要重新配置Administrator帳號。
首先是為Administrator帳戶設置一個強大復雜的密碼,然後我們重命名Administrator帳戶,再創建一個沒有管理員許可權的Administrator帳戶欺騙入侵者。這樣一來,入侵者就很難搞清哪個帳戶真正擁有管理員許可權,也就在一定程度上減少了危險性。
七、杜絕Guest帳戶的入侵
Guest帳戶即所謂的來賓帳戶,它可以訪問計算機,但受到限制。不幸的是,Guest也為黑客入侵打開了方便之門!網上有很多文章中都介紹過如何利用Guest用戶得到管理員許可權的方法,所以要杜絕基於Guest帳戶的系統入侵。
禁用或徹底刪除Guest帳戶是最好的辦法,但在某些必須使用到Guest帳戶的情況下,就需要通過其它途徑來做好防禦工作了。首先要給Guest設一個強壯的密碼,然後詳細設置Guest帳戶對物理路徑的訪問許可權。舉例來說,如果你要防止Guest用戶可以訪問tool文件夾,可以右擊該文件夾,在彈出菜單中選擇「安全」標簽,從中可看到可以訪問此文件夾的所有用戶。刪除管理員之外的所有用戶即可。或者在許可權中為相應的用戶設定許可權,比方說只能「列出文件夾目錄」和「讀取」等,這樣就安全多了。
八、安裝必要的安全軟體
我們還應在電腦中安裝並使用必要的防黑軟體,殺毒軟體和防火牆都是必備的。在上網時打開它們,這樣即便有黑客進攻我們的安全也是有保證的。
九、防範木馬程序
木馬程序會竊取所植入電腦中的有用信息,因此我們也要防止被黑客植入木馬程序,常用的辦法有:
● 在下載文件時先放到自己新建的文件夾里,再用殺毒軟體來檢測,起到提前預防的作用。
● 在「開始」→「程序」→「啟動」或「開始」→「程序」→「Startup」選項里看是否有不明的運行項目,如果有,刪除即可。
● 將注冊表裡 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以「Run」為前綴的可疑程序全部刪除即可。
十、不要回陌生人的郵件
有些黑客可能會冒充某些正規網站的名義,然後編個冠冕堂皇的理由寄一封信給你要求你輸入上網的用戶名稱與密碼,如果按下「確定」,你的帳號和密碼就進了黑客的郵箱。所以不要隨便回陌生人的郵件,即使他說得再動聽再誘人也不上當。
做好IE的安全設置
ActiveX控制項和 Applets有較強的功能,但也存在被人利用的隱患,網頁中的惡意代碼往往就是利用這些控制項編寫的小程序,只要打開網頁就會被運行。所以要避免惡意網頁的攻擊只有禁止這些惡意代碼的運行。IE對此提供了多種選擇,具體設置步驟是:「工具」→「Internet選項」→「安全」→「自定義級別」,建議您將ActiveX控制項與相關選項禁用。謹慎些總沒有錯!
另外,在IE的安全性設定中我們只能設定Internet、本地Intranet、受信任的站點、受限制的站點。不過,微軟在這里隱藏了「我的電腦」的安全性設定,通過修改注冊表把該選項打開,可以使我們在對待ActiveX控制項和 Applets時有更多的選擇,並對本地電腦安全產生更大的影響。
下面是具體的方法:打開「開始」菜單中的「運行」,在彈出的「運行」對話框中輸入Regedit.exe,打開注冊表編輯器,點擊前面的「+」號順次展開到:HKEY_CURRE-NT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0,在右邊窗口中找到DWORD值「Flags」,默認鍵值為十六進制的21(十進制33),雙擊「Flags」,在彈出的對話框中將它的鍵值改為「1」即可,關閉注冊表編輯器。無需重新啟動電腦,重新打開IE,再次點擊「工具→Internet選項→安全」標簽,你就會看到多了一個「我的電腦」圖標,在這里你可以設定它的安全等級。將它的安全等級設定高些,這樣的防範更嚴密。
B. 黑客是怎樣通過網路入侵電腦的啊
黑客是入侵別人電腦的方法有9種。
1、獲取口令
這又有三種方法:
一是通過網路監聽非法得到用戶口令,這類方法有一定的局限性,但危害性極大,監聽者往往能夠獲得其所在網段的所有用戶賬號和口令,對區域網安全威脅巨大;二是在知道用戶的賬號後(如電子郵件@前面的部分)利用一些專門軟體強行破解用戶口令,這種方法不受網段限制,但黑客要有足夠的耐心和時間;三是在獲得一個伺服器上的用戶口令文件(此文件成為Shadow文件)後,用暴力破解程序破解用戶口令,該方法的使用前提是黑客獲得口令的Shadow文件。
此方法在所有方法中危害最大,因為它不需要像第二種方法那樣一遍又一遍地嘗試登錄伺服器,而是在本地將加密後的口令與Shadow文件中的口令相比較就能非常容易地破獲用戶密碼,尤其對那些弱智用戶(指口令安全系數極低的用戶,如某用戶賬號為zys,其口令就是zys666、666666、或乾脆就是zys等)更是在短短的一兩分鍾內,甚至幾十秒內就可以將其幹掉。
2、放置特洛伊木馬程序
特洛伊木馬程序可以直接侵入用戶的電腦並進行破壞,它常被偽裝成工具程序或者游戲等誘使用戶打開帶有特洛伊木馬程序的郵件附件或從網上直接下載,一旦用戶打開了這些郵件的附件或者執行了這些程序之後,它們就會象古特洛伊人在敵人城外留下的藏滿士兵的木馬一樣留在自己的電腦中,並在自己的計算機系統中隱藏一個可以在Windows啟動時悄悄執行的程序。
當您連接到網際網路上時,這個程序就會通知黑客,來報告您的IP地址以及預先設定的埠。黑客在收到這些信息後,再利用這個潛伏在其中的程序,就可以任意地修改您的計算機的參數設定、復制文件、窺視你整個硬碟中的內容等,從而達到控制你的計算機的目的。
3、WWW的欺騙技術
在網上用戶可以利用IE等瀏覽器進行各種各樣的WEB站點的訪問,如閱讀新聞組、咨詢產品價格、訂閱報紙、電子商務等。然而一般的用戶恐怕不會想到有這些問題存在:正在訪問的網頁已經被黑客篡改過,網頁上的信息是虛假的!例如黑客將用戶要瀏覽的網頁的URL改寫為指向黑客自己的伺服器,當用戶瀏覽目標網頁的時候,實際上是向黑客伺服器發出請求,那麼黑客就可以達到欺騙的目的了。
4、電子郵件攻擊
電子郵件攻擊主要表現為兩種方式:
一是電子郵件轟炸和電子郵件「滾雪球」,也就是通常所說的郵件炸彈,指的是用偽造的IP地址和電子郵件地址向同一信箱發送數以千計、萬計甚至無窮多次的內容相同的垃圾郵件,致使受害人郵箱被「炸」,嚴重者可能會給電子郵件伺服器操作系統帶來危險,甚至癱瘓;
二是電子郵件欺騙,攻擊者佯稱自己為系統管理員(郵件地址和系統管理員完全相同),給用戶發送郵件要求用戶修改口令(口令可能為指定字元串)或在貌似正常的附件中載入病毒或其他木馬程序(據筆者所知,某些單位的網路管理員有定期給用戶免費發送防火牆升級程序的義務,這為黑客成功地利用該方法提供了可乘之機),這類欺騙只要用戶提高警惕,一般危害性不是太大。
5、通過一個節點來攻擊其他節點
黑客在突破一台主機後,往往以此主機作為根據地,攻擊其他主機(以隱蔽其入侵路徑,避免留下蛛絲馬跡)。他們可以使用網路監聽方法,嘗試攻破同一網路內的其他主機;也可以通過IP欺騙和主機信任關系,攻擊其他主機。這類攻擊很狡猾,但由於某些技術很難掌握,如IP欺騙,因此較少被黑客使用。
6、網路監聽
網路監聽是主機的一種工作模式,在這種模式下,主機可以接受到本網段在同一條物理通道上傳輸的所有信息,而不管這些信息的發送方和接受方是誰。此時,如果兩台主機進行通信的信息沒有加密,只要使用某些網路監聽工具,例如NetXray for windows 95/98/nt,sniffit for linux 、solaries等就可以輕而易舉地截取包括口令和帳號在內的信息資料。雖然網路監聽獲得的用戶帳號和口令具有一定的局限性,但監聽者往往能夠獲得其所在網段的所有用戶帳號及口令。
7、尋找系統漏洞
許多系統都有這樣那樣的安全漏洞(Bugs),其中某些是操作系統或應用軟體本身具有的,如Sendmail漏洞,win98中的共享目錄密碼驗證漏洞和IE5漏洞等,這些漏洞在補丁未被開發出來之前一般很難防禦黑客的破壞,除非你將網線拔掉;還有一些漏洞是由於系統管理員配置錯誤引起的,如在網路文件系統中,將目錄和文件以可寫的方式調出,將未加Shadow的用戶密碼文件以明碼方式存放在某一目錄下,這都會給黑客帶來可乘之機,應及時加以修正。
8、利用帳號進行攻擊
有的黑客會利用操作系統提供的預設賬戶和密碼進行攻擊,例如許多UNIX主機都有FTP和Guest等預設賬戶(其密碼和賬戶名同名),有的甚至沒有口令。黑客用Unix操作系統提供的命令如Finger和Ruser等收集信息,不斷提高自己的攻擊能力。這類攻擊只要系統管理員提高警惕,將系統提供的預設賬戶關掉或提醒無口令用戶增加口令一般都能克服。
9、偷取特權
利用各種特洛伊木馬程序、後門程序和黑客自己編寫的導致緩沖區溢出的程序進行攻擊,前者可使黑客非法獲得對用戶機器的完全控制權,後者可使黑客獲得超級用戶的許可權,從而擁有對整個網路的絕對控制權。這種攻擊手段,一旦奏效,危害性極大。
C. 黑客的入侵手段~~
死亡之ping (ping of death)
概覽:由於在早期的階段,路由器對包的最大尺寸都有限制,許多操作系統對TCP/IP棧的實現在ICMP包上都是規定64KB,並且在對包的標題頭進行讀取之後,要根據該標題頭里包含的信息來為有效載荷生成緩沖區,當產生畸形的,聲稱自己的尺寸超過ICMP上限的包也就是載入的尺寸超過64K上限時,就會出現內存分配錯誤,導致TCP/IP堆棧崩潰,致使接受方當機。
防禦:現在所有的標准TCP/IP實現都已實現對付超大尺寸的包,並且大多數防火牆能夠自動過濾這些攻擊,包括:從windows98之後的windows,NT(service pack 3之後),linux、Solaris、和Mac OS都具有抵抗一般ping ofdeath攻擊的能力。此外,對防火牆進行配置,阻斷ICMP以及任何未知協議,都講防止此類攻擊。
淚滴(teardrop)
概覽:淚滴攻擊利用那些在TCP/IP堆棧實現中信任IP碎片中的包的標題頭所包含的信息來實現自己的攻擊。IP分段含有指示該分段所包含的是原包的哪一段的信息,某些TCP/IP(包括servicepack 4以前的NT)在收到含有重疊偏移的偽造分段時將崩潰。
防禦:伺服器應用最新的服務包,或者在設置防火牆時對分段進行重組,而不是轉發它們。
UDP洪水(UDP flood)
概覽:各種各樣的假冒攻擊利用簡單的TCP/IP服務,如Chargen和Echo來傳送毫無用處的占滿帶寬的數據。通過偽造與某一主機的Chargen服務之間的一次的UDP連接,回復地址指向開著Echo服務的一台主機,這樣就生成在兩台主機之間的足夠多的無用數據流,如果足夠多的數據流就會導致帶寬的服務攻擊。
防禦:關掉不必要的TCP/IP服務,或者對防火牆進行配置阻斷來自Internet的請求這些服務的UDP請求。
SYN洪水(SYN flood)
概覽:一些TCP/IP棧的實現只能等待從有限數量的計算機發來的ACK消息,因為他們只有有限的內存緩沖區用於創建連接,如果這一緩沖區充滿了虛假連接的初始信息,該伺服器就會對接下來的連接停止響應,直到緩沖區里的連接企圖超時。在一些創建連接不受限制的實現里,SYN洪水具有類似的影響。
防禦:在防火牆上過濾來自同一主機的後續連接。
未來的SYN洪水令人擔憂,由於釋放洪水的並不尋求響應,所以無法從一個簡單高容量的傳輸中鑒別出來。
Land攻擊
概覽:在Land攻擊中,一個特別打造的SYN包它的原地址和目標地址都被設置成某一個伺服器地址,此舉將導致接受伺服器向它自己的地址發送SYN-ACK消息,結果這個地址又發回ACK消息並創建一個空連接,每一個這樣的連接都將保留直到超時掉,對Land攻擊反應不同,許多UNIX實現將崩潰,NT變的極其緩慢(大約持續五分鍾)。
防禦:打最新的補丁,或者在防火牆進行配置,將那些在外部介面上入站的含有內部源地址濾掉。(包括10域、127域、192.168域、172.16到172.31域)
Smurf攻擊
概覽:一個簡單的smurf攻擊通過使用將回復地址設置成受害網路的廣播地址的ICMP應答請求(ping)數據包來淹沒受害主機的方式進行,最終導致該網路的所有主機都對此ICMP應答請求作出答復,導致網路阻塞,比pingof death洪水的流量高出一或兩個數量級。更加復雜的Smurf將源地址改為第三方的受害者,最終導致第三方雪崩。
防禦:為了防止黑客利用你的網路攻擊他人,關閉外部路由器或防火牆的廣播地址特性。為防止被攻擊,在防火牆上設置規則,丟棄掉ICMP包。
Fraggle攻擊
概覽:Fraggle攻擊對Smurf攻擊作了簡單的修改,使用的是UDP應答消息而非ICMP
防禦:在防火牆上過濾掉UDP應答消息
電子郵件炸彈
概覽:電子郵件炸彈是最古老的匿名攻擊之一,通過設置一台機器不斷的大量的向同一地址發送電子郵,攻擊者能夠耗盡接受者網路的帶寬。
防禦:對郵件地址進行配置,自動刪除來自同一主機的過量或重復的消息。
畸形消息攻擊
概覽:各類操作系統上的許多服務都存在此類問題,由於這些服務在處理信息之前沒有進行適當正確的錯誤校驗,在收到畸形的信息可能會崩潰。
防禦:打最新的服務補丁。
利用型攻擊
利用型攻擊是一類試圖直接對你的機器進行控制的攻擊,最常見的有三種:
口令猜測
概覽:一旦黑客識別了一台主機而且發現了基於NetBIOS、Telnet或NFS這樣的服務的可利用的用戶帳號,成功的口令猜測能提供對機器控制。
防禦:要選用難以猜測的口令,比如詞和標點符號的組合。確保像NFS、NetBIOS和Telnet這樣可利用的服務不暴露在公共范圍。如果該服務支持鎖定策略,就進行鎖定。
特洛伊木馬
概覽:特洛伊木馬是一種或是直接由一個黑客,或是通過一個不令人起疑的用戶秘密安裝到目標系統的程序。一旦安裝成功並取得管理員許可權,安裝此程序的人就可以直接遠程式控制制目標系統。
最有效的一種叫做後門程序,惡意程序包括:NetBus、BackOrifice和BO2k,用於控制系統的良性程序如:netcat、VNC、pcAnywhere。理想的後門程序透明運行。
防禦:避免下載可疑程序並拒絕執行,運用網路掃描軟體定期監視內部主機上的監聽TCP服務。
緩沖區溢出
概覽:由於在很多的服務程序中大意的程序員使用象strcpy(),strcat()類似的不進行有效位檢查的函數,最終可能導致惡意用戶編寫一小段利用程序來進一步打開安全豁口然後將該代碼綴在緩沖區有效載荷末尾,這樣當發生緩沖區溢出時,返回指針指向惡意代碼,這樣系統的控制權就會被奪取。
防禦:利用SafeLib、tripwire這樣的程序保護系統,或者瀏覽最新的安全公告不斷更新操作系統。
信息收集型攻擊
信息收集型攻擊並不對目標本身造成危害,如名所示這類攻擊被用來為進一步入侵提供有用的信息。主要包括:掃描技術、體系結構刺探、利用信息服務
掃描技術
地址掃描
概覽:運用ping這樣的程序探測目標地址,對此作出響應的表示其存在。
防禦:在防火牆上過濾掉ICMP應答消息。
埠掃描
概覽:通常使用一些軟體,向大范圍的主機連接一系列的TCP埠,掃描軟體報告它成功的建立了連接的主機所開的埠。
防禦:許多防火牆能檢測到是否被掃描,並自動阻斷掃描企圖。
反響映射
概覽:黑客向主機發送虛假消息,然後根據返回「hostunreachable」這一消息特徵判斷出哪些主機是存在的。目前由於正常的掃描活動容易被防火牆偵測到,黑客轉而使用不會觸發防火牆規則的常見消息類型,這些類型包括:RESET消息、SYN-ACK消息、DNS響應包。
防禦:NAT和非路由代理伺服器能夠自動抵禦此類攻擊,也可以在防火牆上過濾「hostunreachable」ICMP應答?.
慢速掃描
概覽:由於一般掃描偵測器的實現是通過監視某個時間楨里一台特定主機發起的連接的數目(例如每秒10次)來決定是否在被掃描,這樣黑客可以通過使用掃描速度慢一些的掃描軟體進行掃描。
防禦:通過引誘服務來對慢速掃描進行偵測。
體系結構探測
概覽:黑客使用具有已知響應類型的資料庫的自動工具,對來自目標主機的、對壞數據包傳送所作出的響應進行檢查。由於每種操作系統都有其獨特的響應方法(例NT和Solaris的TCP/IP堆棧具體實現有所不同),通過將此獨特的響應與資料庫中的已知響應進行對比,黑客經常能夠確定出目標主機所運行的操作系統。
防禦:去掉或修改各種Banner,包括操作系統和各種應用服務的,阻斷用於識別的埠擾亂對方的攻擊計劃。
利用信息服務
DNS域轉換
概覽:DNS協議不對轉換或信息性的更新進行身份認證,這使得該協議被人以一些不同的方式加以利用。如果你維護著一台公共的DNS伺服器,黑客只需實施一次域轉換操作就能得到你所有主機的名稱以及內部IP地址。
防禦:在防火牆處過濾掉域轉換請求。
Finger服務
概覽:黑客使用finger命令來刺探一台finger伺服器以獲取關於該系統的用戶的信息。
防禦:關閉finger服務並記錄嘗試連接該服務的對方IP地址,或者在防火牆上進行過濾。
LDAP服務
概覽:黑客使用LDAP協議窺探網路內部的系統和它們的用戶的信息。
防禦:對於刺探內部網路的LDAP進行阻斷並記錄,如果在公共機器上提供LDAP服務,那麼應把LDAP伺服器放入DMZ。
假消息攻擊
用於攻擊目標配置不正確的消息,主要包括:DNS高速緩存污染、偽造電子郵件。
DNS高速緩存污染
概覽:由於DNS伺服器與其他名稱伺服器交換信息的時候並不進行身份驗證,這就使得黑客可以將不正確的信息摻進來並把用戶引向黑客自己的主機。
防禦:在防火牆上過濾入站的DNS更新,外部DNS伺服器不應能更改你的內部伺服器對內部機器的認識。
偽造電子郵件
概覽:由於SMTP並不對郵件的發送者的身份進行鑒定,因此黑客可以對你的內部客戶偽造電子郵件,聲稱是來自某個客戶認識並相信的人,並附帶上可安裝的特洛伊木馬程序,或者是一個引向惡意網站的連接。
防禦:使用PGP等安全工具並安裝電子郵件證書。
漏洞攻擊
對微軟(Microsoft)而言,最具諷刺的是總被黑客先發現漏洞,待Windows們倒下後,微軟才站出來補充兩句:「最新的補丁已經發布,如果客戶沒有及時下載補丁程序而造成的後果,我們將不承擔責任!」
攻擊:
細細盤查,漏洞攻擊主要集中在系統的兩個部分:1.系統的對外服務上,如「沖擊波」病毒針對系統的「遠程協助」服務;「尼姆達」病毒由系統的「IPC漏洞」(資源共享)感染。2. 集成的應用軟體上, IE、OutLook Express、MSN Messager、Media Player這些集成的應用程序,都可能成為漏洞攻擊的橋梁。
那黑客又是如何利用這些漏洞,實施攻擊的呢?首先利用掃描技術,了解對方計算機存在哪些漏洞,然後有針對性地選擇攻擊方式。以IE的IFRAME漏洞為例,黑客能利用網頁惡意代碼(惡意代碼可以採用手工編寫或者工具軟體來協助完成),製作帶毒網頁,然後引誘對方觀看該網頁,未打補丁的IE將會幫助病毒進入計算機,感染後的系統利用IE通訊簿,向外發送大量帶毒郵件,最終堵塞用戶網路。
防範:
漏洞的防禦,升級自然是首選。有兩種方式可以很好的升級:
1. Update
系統的「開始」菜單上,會有「Windows Update」的鏈接,選擇後,進入Microsoft的升級主頁,網站上的程序會自動掃描當前系統存在哪些漏洞,哪些需要升級,根據「向導」即可完成,如圖所示(筆者推崇這種方式)。
漏洞攻擊
對微軟(Microsoft)而言,最具諷刺的是總被黑客先發現漏洞,待Windows們倒下後,微軟才站出來補充兩句:「最新的補丁已經發布,如果客戶沒有及時下載補丁程序而造成的後果,我們將不承擔責任!」
攻擊:
細細盤查,漏洞攻擊主要集中在系統的兩個部分:1.系統的對外服務上,如「沖擊波」病毒針對系統的「遠程協助」服務;「尼姆達」病毒由系統的「IPC漏洞」(資源共享)感染。2. 集成的應用軟體上, IE、OutLook Express、MSN Messager、Media Player這些集成的應用程序,都可能成為漏洞攻擊的橋梁。
那黑客又是如何利用這些漏洞,實施攻擊的呢?首先利用掃描技術,了解對方計算機存在哪些漏洞,然後有針對性地選擇攻擊方式。以IE的IFRAME漏洞為例,黑客能利用網頁惡意代碼(惡意代碼可以採用手工編寫或者工具軟體來協助完成),製作帶毒網頁,然後引誘對方觀看該網頁,未打補丁的IE將會幫助病毒進入計算機,感染後的系統利用IE通訊簿,向外發送大量帶毒郵件,最終堵塞用戶網路。
防範:
漏洞的防禦,升級自然是首選。有兩種方式可以很好的升級:
1. Update
系統的「開始」菜單上,會有「Windows Update」的鏈接,選擇後,進入Microsoft的升級主頁,網站上的程序會自動掃描當前系統存在哪些漏洞,哪些需要升級,根據「向導」即可完成,如圖所示(筆者推崇這種方式)。
2. 使用升級程序
使用Update雖然比較准確、全面。但它所有的升級組件都需要在Microsoft的網站上下載,「窄帶」的情況下顯然不現實;「寬頻」也需要很長的時間。Microsoft提供升級程序的打包下載,或者一些工具光碟上也帶有這些升級包。常說的「Service Pack 1」、「Service Pack 2」就是指這些升級包。
除了升級,使用一些工具軟體,也能夠達到效果,如3721的「上網助手」,它能夠很好填補IE漏洞。這些軟體一般定向保護系統的應用程序,針對「對外服務」漏洞的較少。
DDOS攻擊
DDOS(分布式拒絕服務攻擊)的本質是:利用合理的服務請求來佔用過多的服務資源,從而使合法用戶無法得到服務的響應。它實現簡單,是目前黑客常用的一種方式。
攻擊:
DDOS的實現方式較多,如多人同時向主機提出Web請求;多人同時Ping主機……這里介紹一種「先進」的「偽裝IP地址的洪水Ping攻擊」。
Ping指令是用來探測網路通訊狀況和對方主機狀況的網路指令,先前有過一些資料介紹不斷的Ping對方主機,可能會造成該主機無法承受的情況,但隨著Windows XP等新系統的普及,網路帶寬的升級、計算機硬體的升級,單純的大量Ping包基本上沒有效果了。
Ping指令的工作流程是這樣的:先由使用Ping命令的主機A發送ICMP報文給主機B;再由主機B回送ICMP報文給主機A。
網路通訊中有一種被稱為「廣播」(Broadcast)的方式,所謂廣播的意思是說有一個地址,任何區域網內的主機都會接收發往這個地址的報文(就像電台廣播一樣),以此類推。如果往一個區域網的廣播地址(利用一些「區域網嗅探軟體」就可以查找它的廣播地址)發送一個ICMP報文(就是一下Ping廣播地址),會得到非常多的ICMP報文回應。把當前計算機的地址偽裝成被攻擊主機的(SOCK_RAW就可以實現偽裝IP),向一個廣播地址發送Ping請求的時候,所有這個廣播地址內的主機都會回應這個Ping請求,被攻擊主機被迫接受大量的Ping包。這就形成了偽裝IP地址的洪水Ping攻擊形式。
防範:
對於DDOS而言,目前網路上還沒有找到什麼有效的防禦方法,對於一種使用Ping包的攻擊方式,雖然可以使用一些防火牆拒絕Ping包,但如果DDOS採用了另一種載體——合法的Web請求(打開該主機上的網頁)時,依然無法防範。現在對付DDOS的普遍方法是由管理員,手工屏蔽DDOS的來源和伺服器形式,如有一段IP對主機進行DDOS,就屏蔽該段IP的訪問;DDOS使用的是FTP、HTTP服務,就暫時停止這些服務。
最後還要提醒一下大家,高明的黑客在攻擊後都會做一些掃尾工作,掃尾工作就是要清除一些能夠發現自己的殘留信息。對於用戶而言一般只能通過日誌來捕捉這些殘留信息,如防火牆的日誌;Web伺服器的日誌(IIS、Server_U都具有日誌查看功能)。能否通過日誌找到這些殘留信息只能靠運氣了,真正夠厲害的黑客會悄然無聲地離去,而不留下一片「雲彩」。
六、ICMP Flood能防嗎?
先反問你一個問題:洪水迅猛的沖來時,你能否拿著一個臉盆來抵擋?(坐上臉盆做現代魯賓遜倒是個不錯的主意,沒准能漂到MM身邊呢)
軟體的網路防火牆能對付一些漏洞、溢出、OOB、IGMP攻擊,但是對於洪水類型的攻擊,它們根本無能為力,我通常對此的解釋是「傾倒垃圾」:「有蟑螂或老鼠在你家門前逗留,你可以把它們趕走,但如果有人把一車垃圾傾倒在你家門口呢?」前幾天看到mikespook大哥對此有更體面的解釋,轉載過來——「香蕉皮原理:如果有人給你一個香蕉和一個香蕉皮你能區分,並把沒有用的香蕉皮扔掉。(一般軟體防火牆就是這么判斷並丟棄數據包的。)但是如果有人在同一時間內在你身上倒一車香蕉皮,你再能區分有用沒用也沒啥作用了~~因為你被香蕉皮淹沒了~~~~(所以就算防火牆能區分是DoS的攻擊數據包,也只能識別,根本來不及丟棄~~死了,死了,死了~~)」
所以,洪水沒法防!能做的只有提高自己的帶寬和預防洪水的發生(雖然硬體防火牆和分流技術能做到,但那價格是太昂貴的,而且一般人也沒必要這樣做)。
如果你正在被攻擊,最好的方法是抓取攻擊者IP(除非對方用第一種,否則抓了沒用——假的IP)後,立即下線換IP!(什麼?你是固定IP?沒轍了,打電話找警察叔叔吧)
七、被ICMP Flood攻擊的特徵
如何發現ICMP Flood?
當你出現以下症狀時,就要注意是否正被洪水攻擊:
1.傳輸狀態里,代表遠程數據接收的計算機圖標一直亮著,而你沒有瀏覽網頁或下載
2.防火牆一直提示有人試圖ping你
3.網路速度奇慢無比
4.嚴重時系統幾乎失去響應,滑鼠呈跳躍狀行走
如果出現這些情況,先不要慌張,冷靜觀察防火牆報警的頻率及IP來確認是否普通的Ping或是洪水,做出相應措施(其實大多數情況也只能換IP了)。
1.普通ping
這種「攻擊」一般是對方掃描網路或用ping -t發起的,沒多大殺傷力(這個時候,防火牆起的作用就是延遲攻擊者的數據報發送間隔時間,請別關閉防火牆!否則後果是嚴重的!),通常表現如下:
==============================================================
[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機,
該操作被拒絕。
[13:09:24] 61.151.252.106 嘗試用Ping 來探測本機,
該操作被拒絕。
[13:09:26] 61.151.252.106 嘗試用Ping 來探測本機,
該操作被拒絕。
[13:09:30] 61.151.252.106 嘗試用Ping 來探測本機,
該操作被拒絕。
=============================================================
這么慢的速度,很明顯是由ping.exe或IcmpSendEcho發出的,如果對方一直不停的讓你的防火牆吵鬧,你可以給他個真正的ICMP Flood問候。
2.直接Flood
這是比較夠勁的真正意義洪水了,防火牆的報警密度會提高一個數量級:
==============================================================
[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機,
該操作被拒絕。
[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機,
該操作被拒絕。
[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機,
該操作被拒絕。
[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機,
該操作被拒絕。
[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機,
該操作被拒絕。
[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機,
該操作被拒絕。
[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機,
該操作被拒絕。
[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機,
該操作被拒絕。
[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機,
該操作被拒絕。
[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機,
該操作被拒絕。
[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機,
該操作被拒絕。
[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機,
該操作被拒絕。
[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機,
該操作被拒絕。
[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機,
該操作被拒絕。
[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機,
該操作被拒絕。
[13:09:21] 61.151.252.106 嘗試用Ping 來探測本機,
該操作被拒絕。
[13:09:21] 61.151.252.106 嘗試用Ping 來探測本機,
該操作被拒絕。
[13:09:21] 61.151.252.106 嘗試用Ping 來探測本機,
該操作被拒絕。
[13:09:21] 61.151.252.106 嘗試用Ping 來探測本機,
該操作被拒絕。
[13:09:21] 61.151.252.106 嘗試用Ping 來探測本機,
該操作被拒絕。
[13:09:21] 61.151.252.106 嘗試用Ping 來探測本機,
該操作被拒絕。
[13:09:21] 61.151.252.106 嘗試用Ping 來探測本機,
該操作被拒絕。
[13:09:21] 61.151.252.106 嘗試用Ping 來探測本機,
該操作被拒絕。
=============================================================
這時候你的防火牆實際上已經廢了,換個IP吧。
3.偽造IP的Flood
比較厲害的ICMP Flood,使用的是偽造的IP而且一樣大密度,下面是the0crat用56K撥號對我的一次攻擊測試的部分數據(看看時間,真暈了,這可是56K小貓而已啊)
=============================================================
[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機,
該操作被拒絕。
[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機,
該操作被拒絕。
[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機,
該操作被拒絕。
[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機,
該操作被拒絕。
[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機,
該操作被拒絕。
[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機,
該操作被拒絕。
[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機,
該操作被拒絕。
[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機,
該操作被拒絕。
[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機,
該操作被拒絕。
[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機,
該操作被拒絕。
[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機,
該操作被拒絕。
[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機,
該操作被拒絕。
[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機,
該操作被拒絕。
[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機,
該操作被拒絕。
[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機,
該操作被拒絕。
[18:52:13] 1.1.1.1 嘗試用Ping 來探測本機,
該操作被拒絕。
=============================================================
無言…………
4、反射ICMP Flood
估計現在Smurf攻擊還沒有多少人會用(R-Series的RSS.EXE就是做這事的,RSA.EXE和RSC.EXE分別用作SYN反射和UDP反射),所以這種方法還沒有大規模出現,但Smurf是存在的!而且這個攻擊方法比前面幾種更恐怖,因為攻擊你的是大網站(或一些受苦受難的伺服器)!
我正在被網易、萬網和新浪網站攻擊中(懶得修改天網策略,直接用其他工具抓的。實際攻擊中,反射的IP會多幾倍!)
=======================================================================
[15:26:32] RECV:ICMP Packet from 202.108.37.36 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 202.108.36.206 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 210.192.103.30 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 202.108.37.36 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 210.192.103.30 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 202.108.36.206 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 202.108.37.36 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet fro
D. 網站入侵的基本思路
黑客入侵網站的思路其實跟我們的思路都是差不多的。首先從簡單的入手,如果簡單方式攻破了,自然不想花費太多時間去研究,黑客也是希望多花點時間挑戰高難度的網站。
那麼一般黑客先從哪裡入手:
第一:網站後台,應該現在很多網站都是套用開源系統開放,所以網站後台地址很容易ping出來。大多都是admin、manage。所以,網站後台密碼不要過於簡單,很多管理員方便記住密碼,大都是admin123。這樣的網站,要把網站搞廢,分分鍾的事情。
第二:網站後台攻破不了的話,從資料庫入手。由於伺服器IP很容易PING出來,很多人數據地址都是採用物理資料庫地址。那麼就差資料庫密碼了。所以,如果網站資料庫架設不嚴謹,考慮不周全,那麼資料庫同樣也是簡單的被攻破。
所以,做網站一定要找有經驗的團隊。
E. 黑客主要是經過什麼途徑入侵我們的電腦的
大部分的菜鳥黑客都是用網站上掛馬 然後你登陸有馬的網站 然後中毒的 厲害一些的黑客 可以通過你計算機開放的埠和侵入你的計算機
F. 網站滲透入侵全部教程
新手先學法律知識,知道哪些行為不能做再學滲透技術。
學習基本的技術術語,了解基本的黑客技術。鏈接:https://www.xf1433.com/3935.html正式學習課程,可以觀看小風教程網的免費課程。鏈接:https://www.xf1433.com/nan新手可以看完小風教程網的基礎課程,自己學會搭建一個靶場,再通過學會的技術去自己入侵自己搭建的網站,這樣既不會違法也能實戰學習到技術。因為網站漏洞是復雜的,不同的網站有不同的漏洞,對於新手來說應該把所有常見漏洞都學會,才能系統入門滲透。
G. 黑客攻擊網站的原理是什麼
根據網站存在的漏洞 ,入侵到網站內部。
H. 頂尖的黑客是怎麼入侵網站的
頂尖黑客和普通黑客用的辦法差不多。
都是先從簡單的方法入手,之後才會考慮更復雜的方法。
對網站的入侵思路有很多。以前注入漏洞多的時候典型的方式是先找注入,不行才會考慮其他方法。
其實真實的黑客並不一定都是技術高手,更多時候只是一個高明的騙子,可以了解什麼叫社會工程學。通過欺騙獲取有價值的情報,根據經驗將這些情報用於猜解是一個百試不爽的獲取密碼的辦法。舉個很簡單的例子,大部分人的密碼都和自己的生日、電話號碼、車牌等等有關,對一個躲在暗處的黑客來說,獲取你的這些信息其實很容易。
I. 我問下一個黑客在入侵一個網站,一般是通過什麼步驟啊
--探測開放的服務
|-->溢出
|-->弱口令
|--查找敏感或者脆弱目錄->分析網站目錄結構
|--整站程序Bug 黑白盒測試 獲取SHELL
|--nslookup 列出所有二級玉米 逐個分析
|--site:***.com 關鍵字 ->探測弱口令
|--啊D尋找注入點----->注入
|---手工查找注入點->注入
|--拿C段機器-->提權-->嗅探+arp
|--收集一切能收集管理員信息 充分應用 google 實現社會工程序
J. 黑客攻擊原理
1樓是粘貼黨,鑒定完畢
路由表就是將IP地址與網卡MAC作成一一對應的一張表,類似資料庫的表
路由器是網路交換設備,一些網路通信的數據包到達後,根據IP地址查找網卡
將數據包發過去,如果存在兩個對應關系,那麼這兩張網卡都無法正常收發
簡單的說就是這樣,建議查ARP協議及IP協議