在今天的信息時(shí)代,計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用已經(jīng)涉及到了社會(huì)的方方面面,人們的生活與網(wǎng)絡(luò)密不可分,從而網(wǎng)絡(luò)系統(tǒng)的安全、可靠性也成為用戶最為關(guān)注的焦點(diǎn)。而各類不安全因素中,又屬黑客攻擊最為棘手,認(rèn)真研究當(dāng)今黑客入侵的手段及其相應(yīng)的防范對(duì)策,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)用戶提供安全是很有必要的,下面,服務(wù)器租用對(duì)黑客常用的攻擊手段進(jìn)行了較為全面地剖析,并提出了防范黑客的一些可行性措施。　　　

　　由于早期網(wǎng)絡(luò)協(xié)議對(duì)安全問題的忽視,以及在使用和管理上的無序狀態(tài),網(wǎng)絡(luò)安全受到嚴(yán)重的威脅,安全事故屢有發(fā)生。網(wǎng)絡(luò)安全是對(duì)網(wǎng)絡(luò)信息保密性、完整性和網(wǎng)絡(luò)系統(tǒng)的可用性的保護(hù),影響網(wǎng)絡(luò)安全的因素主要包括網(wǎng)絡(luò)信息的無序性、計(jì)算機(jī)病毒、黑客入侵和信息污染等,而其中黑客攻擊是最棘手的難題。針對(duì)病毒防范,大多網(wǎng)絡(luò)用戶都會(huì)采取兩個(gè)方面的保護(hù)與防范:一是在思想上重視、管理上到位,二是依靠防病毒軟件。這兩者是缺一不可的。相對(duì)來說,網(wǎng)絡(luò)用戶對(duì)于黑客攻擊的防范顯得有點(diǎn)力不從心,對(duì)黑客入侵的手段防不勝防,常常在不知不覺中的狀態(tài)下受到攻擊,當(dāng)然帶來的損失也是慘重的,常常是亡羊補(bǔ)牢,為時(shí)已晚。

　　因此,認(rèn)真研究當(dāng)今黑客入侵的手段及其相應(yīng)的防范對(duì)策,為計(jì)算機(jī)網(wǎng)絡(luò)用戶提供安全很有必要。網(wǎng)絡(luò)信息安全分為網(wǎng)絡(luò)安全和信息安全兩個(gè)層面。網(wǎng)絡(luò)安全包括系統(tǒng)安全,即硬件平臺(tái)、操作系統(tǒng)、應(yīng)用軟件;運(yùn)行服務(wù)安全,即保證服務(wù)的連續(xù)性、高效率。信息安全則主要是指數(shù)據(jù)安全,包括數(shù)據(jù)加密、備份、程序等。目前,大多數(shù)計(jì)算機(jī)使用的操作系統(tǒng)WinNT、Win2000等都幾乎存在安全漏洞(Bugs),其中某些是操作系統(tǒng)或應(yīng)用軟件自帶的,這些漏洞在補(bǔ)丁未被開發(fā)出來之前一般很難防御黑客的破壞,除非將網(wǎng)線拔掉;還有一些漏洞是系統(tǒng)管理員配置錯(cuò)誤引起的,如在網(wǎng)絡(luò)文件系統(tǒng)中,將目錄和文件以可寫方式調(diào)出,將未加Shadow的用戶密碼以明碼方式存放在某一目錄之下,給黑客帶來可乘之機(jī),使黑客任意修改、刪除數(shù)據(jù)庫中的參數(shù)設(shè)定或有關(guān)數(shù)據(jù)、復(fù)制文件、非法窺視服務(wù)器中的數(shù)據(jù),從而達(dá)到破壞的目的。　　　　

　　2、黑客的攻擊原理　　　　

(1)拒絕服務(wù)攻擊�！　�

　　拒絕服務(wù)(Denial of Service,DoS)攻擊是一種利用TCP/IP協(xié)議的弱點(diǎn)和系統(tǒng)存在的漏洞,對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行攻擊的行為。它以消耗網(wǎng)絡(luò)帶寬和系統(tǒng)資源為目的,對(duì)網(wǎng)絡(luò)服務(wù)器發(fā)送大量“請(qǐng)求”信息,造成網(wǎng)絡(luò)或服務(wù)器系統(tǒng)不堪重負(fù),致使系統(tǒng)癱瘓而無法提供正常的網(wǎng)絡(luò)服務(wù)。拒絕服務(wù)攻擊的典型方法是SYN Flood類型的攻擊�！　�

(2)惡意程序攻擊�！　�

　　黑客在收集信息的過程中利用Trace Route程序,SNMP等一些公開的協(xié)議或工具收集駐留在網(wǎng)絡(luò)系統(tǒng)中的各個(gè)主機(jī)系統(tǒng)的相關(guān)信息,然后會(huì)探測(cè)目標(biāo)網(wǎng)絡(luò)上的每臺(tái)主機(jī),利用一些特殊的數(shù)據(jù)包傳送給目標(biāo)主機(jī),使其做出相對(duì)應(yīng)的響應(yīng),由于每種操作系統(tǒng)的響應(yīng)時(shí)間和方式都是不一樣的,黑客利用這種特征把得到的結(jié)果與準(zhǔn)備好的數(shù)據(jù)庫中的資料相對(duì)照,從中便可輕而易舉地判斷出目標(biāo)主機(jī)操作系統(tǒng)所用的版本及其他相關(guān)信息,尤其是對(duì)于某些系統(tǒng),互聯(lián)網(wǎng)上已發(fā)布了其安全漏洞所在,但用戶由于不懂或一時(shí)疏忽未下載并安裝網(wǎng)上發(fā)布的該系統(tǒng)的“補(bǔ)丁”程序,那么黑客就可以自己編寫一段程序進(jìn)入到該系統(tǒng)進(jìn)行破壞。還有一些黑客準(zhǔn)備了后門程序,即進(jìn)入到目標(biāo)系統(tǒng)后為方便下一次入侵而安裝在被攻擊計(jì)算機(jī)系統(tǒng)內(nèi)的一些程序,為該計(jì)算機(jī)埋下了無窮無盡的隱患,給用戶造成了不可預(yù)測(cè)的損失�！　�

(3)欺騙攻擊。　　

　　每一臺(tái)計(jì)算機(jī)都有一個(gè)IP地址,登錄時(shí)服務(wù)器可以根據(jù)這個(gè)IP地址來判斷來訪者的身份。TCP/IP協(xié)議是用IP地址來作為網(wǎng)絡(luò)節(jié)點(diǎn)的惟一標(biāo)識(shí),因此攻擊者可以在一定范圍內(nèi)直接修改節(jié)點(diǎn)的IP地址,冒充某個(gè)可信節(jié)點(diǎn)的IP地址進(jìn)行攻擊,欺騙攻擊就是一種利用假IP地址騙取服務(wù)器的信任,實(shí)現(xiàn)非法登錄的入侵方法�！　�

(4)對(duì)用戶名和密碼進(jìn)行攻擊。　　

　　此種攻擊方式大致分為三種情況,一是對(duì)源代碼的攻擊,對(duì)于網(wǎng)站來說,由于ASP的方便易用,越來越多的網(wǎng)站后臺(tái)程序都使用ASP腳本語言。但是,由于ASP本身存在一些安全漏洞,稍不小心就會(huì)給黑客提供可乘之機(jī)。用戶名與口令往往是黑客們最感興趣的東西,如果被通過某種方式看到源代碼,后果是嚴(yán)重的。第二種攻擊的方法就是監(jiān)聽,用戶輸入的密碼需要從用戶端傳送到服務(wù)器端進(jìn)行系統(tǒng)對(duì)其的校驗(yàn),黑客能在兩端之間進(jìn)行數(shù)據(jù)監(jiān)聽。一般系統(tǒng)在傳送密碼時(shí)都進(jìn)行了加密處理,即黑客所得到的數(shù)據(jù)中不會(huì)存在明文的密碼,因此,這種手法一般運(yùn)用于局域網(wǎng),一旦成功,攻擊者將會(huì)得到很大的操作權(quán)益。第三是解密,就是使用窮舉法對(duì)已知用戶名的密碼進(jìn)行解密。這種解密軟件對(duì)嘗試所有可能字符所組成的密碼。這種方法十分耗時(shí),但在密碼設(shè)置簡(jiǎn)單的情況下卻比較容易得手。

　　3、對(duì)策　　　　

(1)利用防火墻來阻止網(wǎng)絡(luò)攻擊。

　　防火墻(Firewall)是在計(jì)算機(jī)和Internet提供屏障的程序或設(shè)備,可以通過配置合理的防火墻來防止網(wǎng)絡(luò)黑客的攻擊事件發(fā)生。防火墻還可以被用來隔離局域網(wǎng)中的計(jì)算機(jī),以免受來自Internet的威脅。如果到達(dá)防火墻的數(shù)據(jù)包不滿足所指定的條件,那么防火墻就阻止這些數(shù)據(jù)包進(jìn)入局域網(wǎng),但防火墻對(duì)于已授權(quán)的連接卻是透明的。所有的內(nèi)外連接都強(qiáng)制性地經(jīng)過這一保護(hù)層接受檢查過濾,只有被授權(quán)的通信才允許通過�！胺阑饓Α钡陌踩�意義是雙向的,一方面可以限制外部網(wǎng)對(duì)內(nèi)部網(wǎng)的訪問;另一方面也可以限制內(nèi)部網(wǎng)對(duì)外部網(wǎng)中不健康或敏感信息的訪問。

　　同時(shí),“防火墻”還可以對(duì)網(wǎng)絡(luò)存取訪問進(jìn)行記錄和統(tǒng)計(jì),對(duì)可疑動(dòng)作報(bào)警,以及提供網(wǎng)絡(luò)是否受到監(jiān)視和攻擊的詳細(xì)信息。防火墻系統(tǒng)的實(shí)現(xiàn)技術(shù)一般分為2種,一種是分組過濾技術(shù);一種是代理服務(wù)技術(shù)。分組過濾基于路由器技術(shù),其機(jī)理是由分組過濾路由器對(duì)IP分組進(jìn)行選擇,根據(jù)特定組織機(jī)構(gòu)的網(wǎng)絡(luò)安全準(zhǔn)則過濾掉某些IP地址分組,從而保護(hù)內(nèi)部網(wǎng)絡(luò)。代理服務(wù)技術(shù)是由一個(gè)高層應(yīng)用網(wǎng)關(guān)作為代理服務(wù)器,對(duì)于任何外部網(wǎng)的應(yīng)用連接請(qǐng)求首先進(jìn)行安全檢查,然后再與被保護(hù)網(wǎng)絡(luò)應(yīng)用服務(wù)器連接。代理服務(wù)技術(shù)可使內(nèi)、外網(wǎng)絡(luò)信息流動(dòng)受到雙向監(jiān)控。

(2)加強(qiáng)教育和宣傳。

　　黑客的攻擊之所以能經(jīng)常得逞,其主要原因就是人們思想麻痹,沒有正視黑客入侵所造成的嚴(yán)重后果。人們經(jīng)常在有意無意之中就泄露了信息,這些就為黑客開了方便之門。因此要大力宣傳計(jì)算機(jī)病毒的危害,要宣傳可行的預(yù)防病毒的措施,使大家提高警惕。要普及計(jì)算機(jī)軟件的基本知識(shí),使人們了解病毒入侵計(jì)算機(jī)的原理和感染方法,以便及早發(fā)現(xiàn),及早清除。特別對(duì)未成年人,應(yīng)從小培養(yǎng)網(wǎng)絡(luò)用戶的合法上網(wǎng)概念,防止有害信息的傳播和滲透。另外,對(duì)工作人員應(yīng)結(jié)合機(jī)房、硬件、軟件、數(shù)據(jù)和網(wǎng)絡(luò)等各方面的安全問題,進(jìn)行安全教育,提高工作人員的保密觀念和責(zé)任心;加強(qiáng)業(yè)務(wù)、技術(shù)的培訓(xùn),提高操作技能;教育工作人員嚴(yán)格遵守操作規(guī)程和各項(xiàng)保密規(guī)定,防止人為事故的發(fā)生。   (服務(wù)器租用)

(3)建立、健全法律和管理制度。

　　加強(qiáng)網(wǎng)絡(luò)立法,健全信息安全法規(guī)體系。網(wǎng)絡(luò)信息安全的防范是一項(xiàng)復(fù)雜的系統(tǒng)工程,它不僅是一個(gè)技術(shù)問題,更應(yīng)該屬于法律范疇的問題。單純的技術(shù)防范很難完全保證網(wǎng)絡(luò)信息的安全,建立完善的信息安全法規(guī)體系是保證網(wǎng)絡(luò)信息安全的基石,只有不斷制定和完善法規(guī)體系,才能做到有法可依、有法必依、執(zhí)法必嚴(yán)、違法必究,才能更好維護(hù)網(wǎng)絡(luò)安全。

　　應(yīng)建立一個(gè)實(shí)時(shí)有效的安全管理機(jī)構(gòu),這個(gè)系統(tǒng)不僅接收來自IDS、防火墻與安全文件發(fā)出的警告信息,以及路由器等設(shè)備的報(bào)告,還能實(shí)時(shí)地收集操作系統(tǒng)以及應(yīng)用程序的日志文件,提取與安全有關(guān)的文件,并對(duì)數(shù)據(jù)進(jìn)行規(guī)范化處理,更主要的是要對(duì)各處收集來的數(shù)據(jù)進(jìn)行實(shí)時(shí)關(guān)聯(lián),這些安全事件數(shù)據(jù)的相關(guān)性能使主管部門知道問題的所在,迅速地做出正確的反應(yīng),把網(wǎng)絡(luò)信息遭受的損失減小到最低限度,從而確保實(shí)現(xiàn)網(wǎng)絡(luò)信息的安全。在建立起具有權(quán)威性的信息安全管理機(jī)構(gòu)后,進(jìn)一步制定健全的管理制度,最大限度地避免別有用心的人利用網(wǎng)絡(luò)的漏洞,惡意攻擊網(wǎng)絡(luò)。