在今天的信息時代,計算機網(wǎng)絡(luò)的應(yīng)用已經(jīng)涉及到了社會的方方面面,人們的生活與網(wǎng)絡(luò)密不可分,從而網(wǎng)絡(luò)系統(tǒng)的安全、可靠性也成為用戶最為關(guān)注的焦點。而各類不安全因素中,又屬黑客攻擊最為棘手,認真研究當(dāng)今黑客入侵的手段及其相應(yīng)的防范對策,對計算機網(wǎng)絡(luò)用戶提供安全是很有必要的,下面,服務(wù)器租用對黑客常用的攻擊手段進行了較為全面地剖析,并提出了防范黑客的一些可行性措施�！　　�

　　由于早期網(wǎng)絡(luò)協(xié)議對安全問題的忽視,以及在使用和管理上的無序狀態(tài),網(wǎng)絡(luò)安全受到嚴重的威脅,安全事故屢有發(fā)生。網(wǎng)絡(luò)安全是對網(wǎng)絡(luò)信息保密性、完整性和網(wǎng)絡(luò)系統(tǒng)的可用性的保護,影響網(wǎng)絡(luò)安全的因素主要包括網(wǎng)絡(luò)信息的無序性、計算機病毒、黑客入侵和信息污染等,而其中黑客攻擊是最棘手的難題。針對病毒防范,大多網(wǎng)絡(luò)用戶都會采取兩個方面的保護與防范:一是在思想上重視、管理上到位,二是依靠防病毒軟件。這兩者是缺一不可的。相對來說,網(wǎng)絡(luò)用戶對于黑客攻擊的防范顯得有點力不從心,對黑客入侵的手段防不勝防,常常在不知不覺中的狀態(tài)下受到攻擊,當(dāng)然帶來的損失也是慘重的,常常是亡羊補牢,為時已晚。

　　因此,認真研究當(dāng)今黑客入侵的手段及其相應(yīng)的防范對策,為計算機網(wǎng)絡(luò)用戶提供安全很有必要。網(wǎng)絡(luò)信息安全分為網(wǎng)絡(luò)安全和信息安全兩個層面。網(wǎng)絡(luò)安全包括系統(tǒng)安全,即硬件平臺、操作系統(tǒng)、應(yīng)用軟件;運行服務(wù)安全,即保證服務(wù)的連續(xù)性、高效率。信息安全則主要是指數(shù)據(jù)安全,包括數(shù)據(jù)加密、備份、程序等。目前,大多數(shù)計算機使用的操作系統(tǒng)WinNT、Win2000等都幾乎存在安全漏洞(Bugs),其中某些是操作系統(tǒng)或應(yīng)用軟件自帶的,這些漏洞在補丁未被開發(fā)出來之前一般很難防御黑客的破壞,除非將網(wǎng)線拔掉;還有一些漏洞是系統(tǒng)管理員配置錯誤引起的,如在網(wǎng)絡(luò)文件系統(tǒng)中,將目錄和文件以可寫方式調(diào)出,將未加Shadow的用戶密碼以明碼方式存放在某一目錄之下,給黑客帶來可乘之機,使黑客任意修改、刪除數(shù)據(jù)庫中的參數(shù)設(shè)定或有關(guān)數(shù)據(jù)、復(fù)制文件、非法窺視服務(wù)器中的數(shù)據(jù),從而達到破壞的目的�！　　　�

　　2、黑客的攻擊原理　　　　

(1)拒絕服務(wù)攻擊�！　�

　　拒絕服務(wù)(Denial of Service,DoS)攻擊是一種利用TCP/IP協(xié)議的弱點和系統(tǒng)存在的漏洞,對網(wǎng)絡(luò)設(shè)備進行攻擊的行為。它以消耗網(wǎng)絡(luò)帶寬和系統(tǒng)資源為目的,對網(wǎng)絡(luò)服務(wù)器發(fā)送大量“請求”信息,造成網(wǎng)絡(luò)或服務(wù)器系統(tǒng)不堪重負,致使系統(tǒng)癱瘓而無法提供正常的網(wǎng)絡(luò)服務(wù)。拒絕服務(wù)攻擊的典型方法是SYN Flood類型的攻擊�！　�

(2)惡意程序攻擊�！　�

　　黑客在收集信息的過程中利用Trace Route程序,SNMP等一些公開的協(xié)議或工具收集駐留在網(wǎng)絡(luò)系統(tǒng)中的各個主機系統(tǒng)的相關(guān)信息,然后會探測目標網(wǎng)絡(luò)上的每臺主機,利用一些特殊的數(shù)據(jù)包傳送給目標主機,使其做出相對應(yīng)的響應(yīng),由于每種操作系統(tǒng)的響應(yīng)時間和方式都是不一樣的,黑客利用這種特征把得到的結(jié)果與準備好的數(shù)據(jù)庫中的資料相對照,從中便可輕而易舉地判斷出目標主機操作系統(tǒng)所用的版本及其他相關(guān)信息,尤其是對于某些系統(tǒng),互聯(lián)網(wǎng)上已發(fā)布了其安全漏洞所在,但用戶由于不懂或一時疏忽未下載并安裝網(wǎng)上發(fā)布的該系統(tǒng)的“補丁”程序,那么黑客就可以自己編寫一段程序進入到該系統(tǒng)進行破壞。還有一些黑客準備了后門程序,即進入到目標系統(tǒng)后為方便下一次入侵而安裝在被攻擊計算機系統(tǒng)內(nèi)的一些程序,為該計算機埋下了無窮無盡的隱患,給用戶造成了不可預(yù)測的損失�！　�

(3)欺騙攻擊。　　

　　每一臺計算機都有一個IP地址,登錄時服務(wù)器可以根據(jù)這個IP地址來判斷來訪者的身份。TCP/IP協(xié)議是用IP地址來作為網(wǎng)絡(luò)節(jié)點的惟一標識,因此攻擊者可以在一定范圍內(nèi)直接修改節(jié)點的IP地址,冒充某個可信節(jié)點的IP地址進行攻擊,欺騙攻擊就是一種利用假IP地址騙取服務(wù)器的信任,實現(xiàn)非法登錄的入侵方法�！　�

(4)對用戶名和密碼進行攻擊�！　�

　　此種攻擊方式大致分為三種情況,一是對源代碼的攻擊,對于網(wǎng)站來說,由于ASP的方便易用,越來越多的網(wǎng)站后臺程序都使用ASP腳本語言。但是,由于ASP本身存在一些安全漏洞,稍不小心就會給黑客提供可乘之機。用戶名與口令往往是黑客們最感興趣的東西,如果被通過某種方式看到源代碼,后果是嚴重的。第二種攻擊的方法就是監(jiān)聽,用戶輸入的密碼需要從用戶端傳送到服務(wù)器端進行系統(tǒng)對其的校驗,黑客能在兩端之間進行數(shù)據(jù)監(jiān)聽。一般系統(tǒng)在傳送密碼時都進行了加密處理,即黑客所得到的數(shù)據(jù)中不會存在明文的密碼,因此,這種手法一般運用于局域網(wǎng),一旦成功,攻擊者將會得到很大的操作權(quán)益。第三是解密,就是使用窮舉法對已知用戶名的密碼進行解密。這種解密軟件對嘗試所有可能字符所組成的密碼。這種方法十分耗時,但在密碼設(shè)置簡單的情況下卻比較容易得手。

　　3、對策　　　　

(1)利用防火墻來阻止網(wǎng)絡(luò)攻擊。

　　防火墻(Firewall)是在計算機和Internet提供屏障的程序或設(shè)備,可以通過配置合理的防火墻來防止網(wǎng)絡(luò)黑客的攻擊事件發(fā)生。防火墻還可以被用來隔離局域網(wǎng)中的計算機,以免受來自Internet的威脅。如果到達防火墻的數(shù)據(jù)包不滿足所指定的條件,那么防火墻就阻止這些數(shù)據(jù)包進入局域網(wǎng),但防火墻對于已授權(quán)的連接卻是透明的。所有的內(nèi)外連接都強制性地經(jīng)過這一保護層接受檢查過濾,只有被授權(quán)的通信才允許通過�！胺阑饓Α钡陌踩�意義是雙向的,一方面可以限制外部網(wǎng)對內(nèi)部網(wǎng)的訪問;另一方面也可以限制內(nèi)部網(wǎng)對外部網(wǎng)中不健康或敏感信息的訪問。

　　同時,“防火墻”還可以對網(wǎng)絡(luò)存取訪問進行記錄和統(tǒng)計,對可疑動作報警,以及提供網(wǎng)絡(luò)是否受到監(jiān)視和攻擊的詳細信息。防火墻系統(tǒng)的實現(xiàn)技術(shù)一般分為2種,一種是分組過濾技術(shù);一種是代理服務(wù)技術(shù)。分組過濾基于路由器技術(shù),其機理是由分組過濾路由器對IP分組進行選擇,根據(jù)特定組織機構(gòu)的網(wǎng)絡(luò)安全準則過濾掉某些IP地址分組,從而保護內(nèi)部網(wǎng)絡(luò)。代理服務(wù)技術(shù)是由一個高層應(yīng)用網(wǎng)關(guān)作為代理服務(wù)器,對于任何外部網(wǎng)的應(yīng)用連接請求首先進行安全檢查,然后再與被保護網(wǎng)絡(luò)應(yīng)用服務(wù)器連接。代理服務(wù)技術(shù)可使內(nèi)、外網(wǎng)絡(luò)信息流動受到雙向監(jiān)控。

(2)加強教育和宣傳。

　　黑客的攻擊之所以能經(jīng)常得逞,其主要原因就是人們思想麻痹,沒有正視黑客入侵所造成的嚴重后果。人們經(jīng)常在有意無意之中就泄露了信息,這些就為黑客開了方便之門。因此要大力宣傳計算機病毒的危害,要宣傳可行的預(yù)防病毒的措施,使大家提高警惕。要普及計算機軟件的基本知識,使人們了解病毒入侵計算機的原理和感染方法,以便及早發(fā)現(xiàn),及早清除。特別對未成年人,應(yīng)從小培養(yǎng)網(wǎng)絡(luò)用戶的合法上網(wǎng)概念,防止有害信息的傳播和滲透。另外,對工作人員應(yīng)結(jié)合機房、硬件、軟件、數(shù)據(jù)和網(wǎng)絡(luò)等各方面的安全問題,進行安全教育,提高工作人員的保密觀念和責(zé)任心;加強業(yè)務(wù)、技術(shù)的培訓(xùn),提高操作技能;教育工作人員嚴格遵守操作規(guī)程和各項保密規(guī)定,防止人為事故的發(fā)生。   (服務(wù)器租用)

(3)建立、健全法律和管理制度。

　　加強網(wǎng)絡(luò)立法,健全信息安全法規(guī)體系。網(wǎng)絡(luò)信息安全的防范是一項復(fù)雜的系統(tǒng)工程,它不僅是一個技術(shù)問題,更應(yīng)該屬于法律范疇的問題。單純的技術(shù)防范很難完全保證網(wǎng)絡(luò)信息的安全,建立完善的信息安全法規(guī)體系是保證網(wǎng)絡(luò)信息安全的基石,只有不斷制定和完善法規(guī)體系,才能做到有法可依、有法必依、執(zhí)法必嚴、違法必究,才能更好維護網(wǎng)絡(luò)安全。

　　應(yīng)建立一個實時有效的安全管理機構(gòu),這個系統(tǒng)不僅接收來自IDS、防火墻與安全文件發(fā)出的警告信息,以及路由器等設(shè)備的報告,還能實時地收集操作系統(tǒng)以及應(yīng)用程序的日志文件,提取與安全有關(guān)的文件,并對數(shù)據(jù)進行規(guī)范化處理,更主要的是要對各處收集來的數(shù)據(jù)進行實時關(guān)聯(lián),這些安全事件數(shù)據(jù)的相關(guān)性能使主管部門知道問題的所在,迅速地做出正確的反應(yīng),把網(wǎng)絡(luò)信息遭受的損失減小到最低限度,從而確保實現(xiàn)網(wǎng)絡(luò)信息的安全。在建立起具有權(quán)威性的信息安全管理機構(gòu)后,進一步制定健全的管理制度,最大限度地避免別有用心的人利用網(wǎng)絡(luò)的漏洞,惡意攻擊網(wǎng)絡(luò)。