如何防范黑客
黑客对服务器进行扫描是轻而易举的,一旦找到了服务器存在的问题,那么后果将是严重的。这就是说作为网络管理员应该采取不要的手段防止黑客对服务器进行扫描,本节我将谈谈如何才能让自己的服务器免遭黑客扫描。
一、防范黑客心得体会:
1、屏蔽可以IP地址:
这种方式见效最快,一旦网络管理员发现了可疑的IP地址申请,可以通过防火墙屏蔽相对应的IP地址,这样黑客就无法在连接到服务器上了。但是这种方法有很多缺点,例如很多黑客都使用的动态IP,也就是说他们的IP地址会变化,一个地址被屏蔽,只要更换其他IP仍然可以进攻服务器,而且高级黑客有可能会伪造IP地址,屏蔽的也许是正常用户的地址。
2、过滤信息包:
通过编写防火墙规则,可以让系统知道什么样的信息包可以进入、什么样的应该放弃,如此一来,当黑客发送有攻击性信息包的时候,在经过防火墙时,信息就会被丢弃掉,从而防止了黑客的进攻。但是这种做法仍然有它不足的地方,例如黑客可以改变攻击性代码的形态,让防火墙分辨不出信息包的真假;或者黑客干脆无休止的、大量的发送信息包,知道服务器不堪重负而造成系统崩溃。
3、修改系统协议:
对于漏洞扫描,系统管理员可以修改服务器的相应协议,例如漏洞扫描是根据对文件的申请返回值对文件存在进行判断的,这个数值如果是200则表示文件存在于服务器上,如果是404则表明服务器没有找到相应的文件,但是管理员如果修改了返回数值、或者屏蔽404数值,那么漏洞扫描器就毫无用处了。
4、经常升级系统版本:
任何一个版本的系统发布之后,在短时间内都不会受到攻击,一旦其中的问题暴露出来,黑客就会蜂拥而致。因此管理员在维护系统的时候,可以经常浏览著名的安全站点,找到系统的新版本或者补丁程序进行安装,这样就可以保证系统中的漏洞在没有被黑客发现之前,就已经修补上了,从而保证了服务器的安全。
5、及时备份重要数据:
亡羊补牢,如果数据备份及时,即便系统遭到黑客进攻,也可以在短时间内修复,挽回不必要的经济损失。想国外很多商务网站,都会在每天晚上对系统数据进行备份,在第二天清晨,无论系统是否收到攻击,都会重新恢复数据,保证每天系统中的数据库都不会出现损坏。数据的备份最好放在其他电脑或者驱动器上,这样黑客进入服务器之后,破坏的数据只是一部分,因为无法找到数据的备份,对于服务器的损失也不会太严重。
然而一旦受到黑客攻击,管理员不要只设法恢复损坏的数据,还要及时分析黑客的来源和攻击方法,尽快修补被黑客利用的漏洞,然后检查系统中是否被黑客安装了木马、蠕虫或者被黑客开放了某些管理员账号,尽量将黑客留下的各种蛛丝马迹和后门分析清除、清除干净,防止黑客的下一次攻击。
6、使用加密机制传输数据:
对于个人信用卡、密码等重要数据,在客户端与服务器之间的传送,应该仙经过加密处理在进行发送,这样做的目的是防止黑客监听、截获。对于现在网络上流行的各种加密机制,都已经出现了不同的破解方法,因此在加密的选择上应该寻找破解困难的,例如DES加密方法,这是一套没有逆向破解的加密算法,因此黑客的到了这种加密处理后的文件时,只能采取暴力破解法。个人用户只要选择了一个优秀的密码,那么黑客的破解工作将会在无休止的尝试后终止。
二、防火墙使用说明:
1.什么是防火墙?
防火墙的英文叫做firewall,它能够在网络与电脑之间建立一道监控屏障,保护在防火墙内部的系统不受网络黑客的攻击。逻辑上讲,防火墙既是信息分离器、限制器,也是信息分析器,它可以有效地对局域网和Internet之间的任何活动进行监控,从而保证局域网内部的安全。
网络上最著名的软件防火墙是LockDown2000,这套软件需要经过注册才能获得完整版本,它的功能强大,小到保护个人上网用户、大到维护商务网站的运作,它都能出色的做出惊人的表现。但因为软件的注册需要一定费用,所以对个人用户来说还是选择一款免费的防火墙更现实。天网防火墙在这里就更加适合个人用户的需要了,天网防火墙个人版是一套给个人电脑使用的网络安全程序,它能够抵挡网络入侵和攻击,防止信息泄露。
2、天网防火墙的基本功能:
天网防火墙个人版把网络分为本地网和互联网,可以针对来自不同网络的信息,来设置不同的安全方案,以下所述的问题都是针对互联网而言的,故所有的设置都是在互联网安全级别中完成的。 怎样防止信息泄露? 如果把文件共享向互联网开放,而且又不设定密码,那么别人就可以轻松的通过互联网看到您机器中的文件,如果您还允许共享可写,那别人甚至可以删除文件。 你可以在个人防火墙的互联网安全级别设置中,将NETBIOS 关闭,这样别人就不能通过INTERNET访问你的共享资源了(这种设置不会影响你在局域网中的资源共享)。
当拨号用户上网获得了分配到的IP地址之后,可以通过天网防火墙将ICMP关闭,这样黑客用PING的方法就无法确定使用者的的系统是否处于上网状态,无法直接通过IP地址获得使用者系统的信息了。
需要指出的是:防火墙拦截的信息并不完全是攻击信息,它记录的只是系统在安全设置中所拒绝接收的数据包。在某些情况下,系统可能会收到一些正常但又被拦截的数据包,例如某些路由器会定时发出一些IGMP包等;或有些主机会定时PING出数据到本地系统确认连接仍在维持着,这个时候如果利用防火墙将ICMP和IGMP屏蔽了,就会在安全记录中见到这些被拦截的数据包,因此这些拦截下来的数据包并不一定是黑客对系统进行攻击造成的。
3、使用防火墙的益处:
使用防火墙可以保护脆弱的服务,通过过滤不安全的服务,Firewall可以极大地提高网络安全和减少子网中主机的风险。例如,Firewall可以禁止NIS、NFS服务通过,同时可以拒绝源路由和ICMP重定向封包。
另外防火墙可以控制对系统的访问权限,例如某些企业允许从外部访问企业内部的某些系统,而禁止访问另外的系统,通过防火墙对这些允许共享的系统进行设置,还可以设定内部的系统只访问外部特定的Mail Server和Web Server,保护企业内部信息的安全。
4、防火墙的种类:
防火墙总体上分为包过滤、应用级网关和代理服务器等三种类型:
(1)数据包过滤
数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好,它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备,因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。
数据包过滤防火墙的缺点有二:一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒。
(2)应用级网关
应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。实际中的应用网关通常安装在专用工作站系统上。
数据包过滤和应用网关防火墙有一个共同的特点,就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑,则防火墙内外的计算机系统建立直接联系,防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。
(3)代理服务
代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels),也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的" 链接",由两个终止代理服务器上的" 链接"来实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。此外,代理服务也对过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。
三、防病毒从杀毒开始:
2001年的七、八两月对反病毒厂家无疑是一段"幸福时光",先后爆发的Sircam和"红色代码"让国内的杀毒厂家们忙的不亦乐乎,上门求助的用户络绎不绝,代理商的订货单频频发来,用火爆形容此时的杀毒行业一点也不为过。病毒横行互联网并不一定是黑客所谓,但这也同样影响着互联网的安全,所以要做好网络安全工作还要时刻警惕病毒的产生。
使用好的杀毒软件是防范病毒的明智选择,一个商家如何让自己的杀毒软件立于不败之地、一个用户如何选择优秀的杀毒软件?这些问题主要从下面三个方面来衡量:
1、迅速消灭病毒
从2001年4月至今,CIH、"欢乐时光"、"陷阱"、Sircam和红色代码病毒在世界各地大面积疯狂肆虐,对让人心有余悸的CIH,众多杀毒厂家已有了充分准备,但真正让他们经受考验的是紧随其后的几个恶性病毒。
当这些病毒在国内出现苗头之际,兼备国内和国际病毒库的江民公司迅速查杀并发布了解决方案和升级程序,及时消灭了这些恶性病毒,将广大计算机用户的损失减小到最低程度。据江民公司技术人员透露,近来江民网站的访问量急剧上升,大量的计算机用户到江民网站了解病毒知识、下载升级程序、学习杀毒方法。这些现象都说明实效性对衡量杀毒软件好坏起到至关重要的影响。
2、软件升级方便
病毒的不可预期使得频频升级成了杀毒软件一大特点。而性能稳定,升级方便,则无疑会使用户在病毒到来时没有后顾之忧。例如网络上各种新病毒的产生,随之而来的是全新的杀毒概念——网络杀毒,用户上网通过浏览器就可以检测自己的系统中是否存在病毒、并进行清除,这对于今后的杀毒市场无疑是一个新方向、新概念。
网络杀毒具有更高的时效性,并且可以轻松升级杀毒软件的病毒识别库,软件升级方便,让更多的病毒在没有大面积流行之前就断绝了它的传播途径,这种杀毒新概念的优越性是显而易见的。
3、技术引领潮流
说到底,技术还是决定一个杀毒软件的命脉。在反病毒领域,技术是检验真理的唯一标准。
杀毒软件的牌子是杀出来的,谁最能杀,谁最能防,谁能在病毒发作后恢复丢失的文件和数据,谁又能引导该行业的技术潮流,不断推陈出新,与国际领先水平相比毫不逊色,谁就是最终的胜者,这也是广大计算机用户多年来形成的检验标准。如果哪个杀毒软件因为一点小漏洞给用户带来损失,那它自然就会失宠。
占用资源少,扫描速度快,杀毒能力强,这是广大用户心目中理想的杀毒软件模型。对于网络蠕虫病毒查杀、宏病毒查杀、邮件防毒、未知病毒查杀、硬盘修复、智能升级和防黑客等在国际上领先的技术,是今天成功杀毒软件必不可少的功能。
四、2001年流行病毒一览:
这本《攻学兼防》是2001年8月写成的,而面对网络的瞬息万变,我也没有能力预测今后若干年会出现什么变故,因而只能做个简单的抛砖引玉,看看病毒流行和防范工作是如何进行的。
公安部日前指出,目前我国计算机系统遭病毒感染和破坏的情况比较严重。据最近的一次调查表明,我国约73%的计算机用户曾感染过病毒,其中感染三次以上的用户高达59%,而且病毒的破坏性较大,全部数据被病毒破坏的占14%,部分损失的占57%。
在随后美国一家反病毒公司的调查中显示,41%的调查者安装了杀毒软件,但这一部分人中,只有26%的人至少每月升级一次杀毒软件来防止最新病毒。而真正令人担忧的是,即使知道最近潜伏病毒威胁,比如Sircam、红色代码等病毒,大多数调查者仍然表示没有兴趣改变他们的在线安全习惯。
从以上数据不难看出,全球的计算机信息安全问题依然任重道远,仍有许多计算机用户因缺乏足够的防范病毒意识和知识使病毒得以横行。这一点在我国更为明显,尤其是7、8月份以来,一些用户屡遭几种复发率较高的病毒如"欢乐时光"、CIH等的毒手。日前,国内权威反病毒专家王江民指出,虽然近期国内暂时没有大的疫情出现,但7、8月份延续而来的病毒高发期并没有过去, 9月,计算机用户应密切关注反病毒厂家的动态信息,重点防范四大病毒。
1、“欢乐时光”首当其冲
“欢乐时光”是今年4月底出现的一种通过电子邮件传播的VBS/HTM蠕虫类病毒,这种针对微软信件浏览器的弱点而编写的病毒已经被公认为上半年国内最具危险性的十大恶性病毒之一,它的传播性和危害性丝毫不比7、8月份流行的Sircam和"红色代码"逊色,而且它的复发率极强,当染毒计算机的日期为日+月=13时,该病毒就会死灰复燃。自5月8日第一次大规模爆发以来,尽管该病毒已被广大用户所熟知,但由于该病毒在感染上的特殊性,即作为邮件内容而不是作为附件传染,而且还有可能通过浏览被感染网站而遭受感染,所以几个月来,被该病毒感染的用户数量始终不减。
2、Sircam“毒”占鳌头
相信“Hi! How are you?”、“See you later.Thanks”这样的句子大家早已不再陌生了,这就是不断在肆意散发用户邮件及机密文档,但因只占用资源并未出现较大危害而使得许多用户在感染后还不知道的Sircam病毒。
Sircam病毒是一种首发于英国的恶性网络蠕虫病毒,主要通过电子邮件附件进行传播,目前有A,B,C3个变种,在传播自身的同时,它也要大量将用户的DOC、XLS、ZIP文档的前部贴上病毒体后再通过互联网到处乱发,已有相当多的政府机密文档和企业资料被泄密。如果受感染的机器上的日期的格式是:日/月/年的话,那么在每年的10月16日该网络蠕虫程序会将C盘上的所有文件以及目录删除;在该网络蠕虫程序发现自身不完全时,该网络蠕虫程序就会将WINDOWS安装目录所在的驱动器上的文件和所有的子目录完全删除;同时还会在系统的回收站中写入文件:Sircam.sys一直到硬盘的剩余空间为零。
Sircam病毒在感染电脑后会自我复制,然后根据受感染电脑内的电子邮件地址寄出副本,并随机夹带出一个档案。同时该病毒并不针对任何特定的电子邮件软件,如微软(Microsoft)的Outlook等,该病毒拥有自己的电子邮件引擎,所以可能感染任何电子邮件的使用者。因此Sircam病毒比专家预期的更难以对付且存活时间更长,可以断言,该病毒在未来一段时期内仍将是全球电脑用户的头号大敌,对该病毒的防范意识和措施应继续加强。
3、“红色代码”阴魂不散
2001年8月份,尽管危害性最强的是迅速蹿至全球头号杀手的Sircam,尽管有权威专家在人们谈红色变时及时出来降了温,但近日“红色代码”再生变种的消息又让心有余悸的人不禁胆寒。
公安部近期对“红毒”专门发布的通告称,“红色代码Ⅱ”病毒是一种具有严重危害后果的恶性病毒,该病毒具有传播速度快、可造成网络通讯阻塞、服务器瘫痪、含黑客远程控制程序等特征,它主要威胁使用Windows2000或NT操作系统的局域网、企业网和互联网,但没有像最近社会上传说的那样对全国网络系统造成巨大影响。截止2001年8月22日,我国受“红色代码Ⅱ”病毒感染的单位近600家,服务器1000余台,涉及全国20多个省区市。
4、Funlove死缠烂打
长期以来,WIN32.FunLove.4099病毒在我国感染率居高不下,屡杀不尽,寻求解决方案的电话和邮件不断。尤其是NT服务器感染该病毒后的清除一直存在问题。江民公司、赛门铁克等几大反病毒厂家纷纷推出了自己的一整套解决方案,声称困扰计算机用户两年之久的WIN32.FunLove.4099病毒有望根除,但截止目前,该病毒并没有被赶净杀绝。
WIN32.FunLove.4099病毒是驻留内存的Win32病毒,它感染本地和网络中的PE-EXE文件,属于一种易监测、难杀除的顽劣病毒。当染毒的文件被运行时,该病毒将在Windows\system目录下创建FLCSS.EXE文件,在其中只写入纯代码部分,并运行这个生成的文件。
一旦在创建FLCSS.EXE文件的时候发生错误,病毒将从染毒的主机文件中运行传染模块。该传染模块被作为独立的线程在后台运行,主机程序在执行时几乎没有可察觉的延时。
传染模块将扫描本地从 C: to Z:的所有驱动器,然后搜索网络资源,扫描网络中的子目录树并感染具有.OCX, .SCR or .EXE扩展名的PE文件,当感染一个文件时,该病毒将其代码写到文件的尾部并且添加启动程序(8字节长的代码)将控制权传递给病毒体。当被激活,病毒将首先恢复这8字节的代码然后运行它的主程序。并在机器间完全共享的文件中极为迅速地传播,致使计算机长期处于“病态”。
网络时代的病毒常常是不可预见的,正如2001年7月涌现Sircam、8月泛滥"红色代码",9月是否新的计算机安全杀手又将横空出世尚不可知。时至今日,通过网络滋生和传播的病毒已达60%以上,让人类从经济和精神上饱受打击,对病毒的防范,除了呼唤更好的单机版杀毒软件为个人用户筑起一道坚实的防护墙,除了期盼更安全的网络版防杀毒系统为企事业单位竖起牢固的盾牌,除了希望杀毒厂家能提供更优质及时的升级服务和技术支持外,其余能做的,只有牢记象与病毒征战了十余年的王江民那样的专家不断重复的几句话:一是要养成备份文件的习惯,二是及时升级杀毒软件以最大限度地减少损失,三是学会利用杀毒软件进行灾难恢复。
与病毒抗争,永远都是:亡羊补牢犹为晚。
有什么不明白可在此发问,我会尽量回答。。
|
發表於 2008-10-11 02:20 AM
| 
