第三节 黑客的安全防范基本手段Word文件下载.docx
《第三节 黑客的安全防范基本手段Word文件下载.docx》由会员分享,可在线阅读,更多相关《第三节 黑客的安全防范基本手段Word文件下载.docx(27页珍藏版)》请在冰豆网上搜索。
\Control\LSA”,将DWORD值“RestrictAnonymous”的键值改为“1”即可。
3.1.4隐藏IP地址
黑客经常利用一些网络探测技术来查看我们的主机信息,主要目的就是得到网络中主机的IP地址。
IP地址在网络安全上是一个很重要的概念,如果攻击者知道了你的IP地址,等于为他的攻击准备好了目标,他可以向这个IP发动各种进攻,如DoS(拒绝服务)攻击、Floop溢出攻击等。
隐藏IP地址的主要方法是使用代理服务器。
与直接连接到Internet相比,使用代理服务器能保护上网用户的IP地址,从而保障上网安全。
代理服务器的原理是在客户机(用户上网的计算机)和远程服务器(如用户想访问远端WWW服务器)之间架设一个“中转站”,当客户机向远程服务器提出服务要求后,代理服务器首先截取用户的请求,然后代理服务器将服务请求转交远程服务器,从而实现客户机和远程服务器之间的联系。
很显然,使用代理服务器后,其它用户只能探测到代理服务器的IP地址而不是用户的IP地址,这就实现了隐藏用户IP地址的目的,保障了用户上网安全。
提供免费代理服务器的网站有很多,你也可以自己用代理猎手等工具来查找。
3.1.5关闭不必要的端口、屏蔽可疑IP地址
黑客在入侵时常常会扫描你的计算机端口,如果安装了端口监视程序(比如Netwatch),该监视程序则会有警告提示。
如果遇到这种入侵,可用工具软件关闭用不到的端口。
一旦网络管理员发现了可疑的IP地址申请,可以通过防火墙屏蔽相对应的IP地址,这样黑客就无法在连接到服务器上了。
但是这种方法有很多缺点,例如很多黑客都使用的动态IP,也就是说他们的IP地址会变化,一个地址被屏蔽,只要更换其他IP仍然可以进攻服务器,而且高级黑客有可能会伪造IP地址,屏蔽的也许是正常用户的地址。
3.1.6更换管理员帐户
Administrator帐户拥有最高的系统权限,一旦该帐户被人利用,后果不堪设想。
黑客入侵的常用手段之一就是试图获得Administrator帐户的密码,所以我们要重新配置Administrator帐号。
首先是为Administrator帐户设置一个强大复杂的密码,然后我们重命名Administrator帐户,再创建一个没有管理员权限的Administrator帐户欺骗入侵者。
这样一来,入侵者就很难搞清哪个帐户真正拥有管理员权限,也就在一定程度上减少了危险性。
3.1.7做好IE的安全设置
ActiveX控件和Applets有较强的功能,但也存在被人利用的隐患,网页中的恶意代码往往就是利用这些控件编写的小程序,只要打开网页就会被运行。
所以要避免恶意网页的攻击只有禁止这些恶意代码的运行。
IE对此提供了多种选择,具体设置步骤是:
“工具”→“Internet选项”→“安全”→“自定义级别”,建议您将ActiveX控件与相关选项禁用。
谨慎些总没有错!
另外,在IE的安全性设定中我们只能设定Internet、本地Intranet、受信任的站点、受限制的站点。
不过,微软在这里隐藏了“我的电脑”的安全性设定,通过修改注册表把该选项打开,可以使我们在对待ActiveX控件和Applets时有更多的选择,并对本地电脑安全产生更大的影响。
下面是具体的方法:
打开“开始”菜单中的“运行”,在弹出的“运行”对话框中输入Regedit.exe,打开注册表编辑器,点击前面的“+”号顺次展开到:
HKEY_CURRE-NT_USER\Software\Microsoft\Windows\CurrentVersion
\InternetSettings\Zones\0,在右边窗口中找到DWORD值“Flags”,默认键值为十六进制的21(十进制33),双击“Flags”,在弹出的对话框中将它的键值改为“1”即可,关闭注册表编辑器。
无需重新启动电脑,重新打开IE,再次点击“工具→Internet选项→安全”标签,你就会看到多了一个“我的电脑”图标,在这里你可以设定它的安全等级。
将它的安全等级设定高些,这样的防范更严密。
3.1.8经常升级系统版本及时给系统打补丁
任何一个版本的系统发布之后,在短时间内都不会受到攻击,一旦其中的问题暴露出来,黑客就会蜂拥而致。
因此管理员在维护系统的时候,可以经常浏览著名的安全站点,找到系统的新版本或者补丁程序进行安装,这样就可以保证系统中的漏洞在没有被黑客发现之前,就已经修补上了,从而保证了服务器的安全。
微软那些补丁还是很有用的。
3.2.1安装必要的安全软件
我们还应在电脑中安装并使用必要的防黑软件,杀毒软件和防火墙都是必备的。
在上网时打开它们,这样即便有黑客进攻我们的安全也是有保证的。
3.2.2防范木马程序
木马程序会窃取所植入电脑中的有用信息,因此我们也要防止被黑客植入木马程序,常用的办法有:
∙在下载文件时先放到自己新建的文件夹里,再用杀毒软件来检测,起到提前预防的作用。
∙在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”选项里看是否有不明的运行项目,如果有,删除即可。
将注册表里HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run下的所有以“Run”为前缀的可疑程序全部删除即可。
3.2.3不要回陌生人的邮件
有些黑客可能会冒充某些正规网站的名义,然后编个冠冕堂皇的理由寄一封信给你要求你输入上网的用户名称与密码,如果按下“确定”,你的帐号和密码就进了黑客的邮箱。
所以不要随便回陌生人的邮件,即使他说得再动听再诱人也不上当。
3.2.4过滤信息包
通过编写防火墙规则,可以让系统知道什么样的信息包可以进入、什么样的应该放弃,如此一来,当黑客发送有攻击性信息包的时候,在经过防火墙时,信息就会被丢弃掉,从而防止了黑客的进攻。
但是这种做法仍然有它不足的地方,例如黑客可以改变攻击性代码的形态,让防火墙分辨不出信息包的真假;
或者黑客干脆无休止的、大量的发送信息包,知道服务器不堪重负而造成系统崩溃。
3.2.5修改系统协议
对于漏洞扫描,系统管理员可以修改服务器的相应协议,例如漏洞扫描是根据对文件的申请返回值对文件存在进行判断的,这个数值如果是200则表示文件存在于服务器上,如果是404则表明服务器没有找到相应的文件,但是管理员如果修改了返回数值、或者屏蔽404数值,那么漏洞扫描器就毫无用处了。
3.2.6及时备份重要数据
亡羊补牢,如果数据备份及时,即便系统遭到黑客进攻,也可以在短时间内修复,挽回不必要的经济损失。
国外很多商务网站,都会在每天晚上对系统数据进行备份,在第二天清晨,无论系统是否收到攻击,都会重新恢复数据,保证每天系统中的数据库都不会出现损坏。
数据的备份最好放在其他电脑或者驱动器上,这样黑客进入服务器之后,破坏的数据只是一部分,因为无法找到数据的备份,对于服务器的损失也不会太严重。
然而一旦受到黑客攻击,管理员不要只设法恢复损坏的数据,还要及时分析黑客的来源和攻击方法,尽快修补被黑客利用的漏洞,然后检查系统中是否被黑客安装了木马、蠕虫或者被黑客开放了某些管理员账号,尽量将黑客留下的各种蛛丝马迹和后门分析清除、清除干净,防止黑客的下一次攻击。
3.2.7使用加密机制传输数据
对于个人信用卡、密码等重要数据,在客户端与服务器之间的传送,应该仙经过加密处理在进行发送,这样做的目的是防止黑客监听、截获。
对于现在网络上流行的各种加密机制,都已经出现了不同的破解方法,因此在加密的选择上应该寻找破解困难的,例如DES加密方法,这是一套没有逆向破解的加密算法,因此黑客的到了这种加密处理后的文件时,只能采取暴力破解法。
个人用户只要选择了一个优秀的密码,那么黑客的破解工作将会在无休止的尝试后终止。
3.3.1网络漏洞扫描技术的分类
从不同角度可以对扫描技术进行不同分类。
从扫描对象来分,可以分为基于网络的扫描(Network—basedScanning)和基于主机的扫描(Host—basedScanning)。
从扫描方式来分,可以分为主动扫描(ActiveScanning)与被动扫描(PassiveScanning)。
(一)基于网络和基于主机的扫描
基于网络的扫描是从外部攻击者的角度对网络及系统架构进行的扫描,主要用于查找网络服务和协议中的漏洞,如可以查找网络中运行的SNMP服务的漏洞。
基于网络的扫描可以及时获取网络漏洞信息,有效的发现那些网络服务和协议的漏洞,如DNS服务和底层协议的漏洞;
同时能够有效的发现那些基于主机的扫描不能发现的网络设备漏洞,如路由器、交换机、远程访问服务和防火墙等存在的漏洞。
基于主机的扫描是从一个内部用户的角度来检测操作系统级的漏洞,主要用于检测注册表和用户配置中的漏洞。
基于主机的扫描的优势在于它能直接获取主机操作系统的底层细节,如特殊服务和配置的细节等。
基于主机的漏洞扫描有如下优点:
①集中化管理:
基于主机的漏洞扫描器通常都有个集中的服务器作为扫描服务器。
所有扫描的指令,均从服务器进行控制这一点与基于网络的扫描器类似。
服务器从下载到最新的代理程序后.过敏反应舒发给各个代理,这种集中化管理模式使得基于主机的漏洞,同扫描器部署上能够快速实现。
②网络流量负载小:
由于漏洞扫描器管理器与漏洞扫描器代理之间只有通讯的数据包漏洞扫描部分部有漏洞扫描器代理单独完成,这就大大减少了网络的流量负载。
当扫描结束后,漏洞扫描器代理再攻与满淘扫描器管理器进行通讯,将扫描结果传送给漏洞扫描器管理器。
③扫描的漏洞数量多:
由于通常在目标系统上安装了代理或者是服务以便能够访问所有的文件与进程。
这也使的基于主机的漏洞扫描器能够扫描更多的漏洞。
④通讯过程中的加密机制:
所有的通讯过程中的敬据包都经过加密.由于漏洞扫描都在本地完成.漏洞扫描器代理和漏洞扫描器管理器之间只需要在扫描之前和扫描结束之后建立必要的通讯链路,因此,对于配置了防火墙的网络,只需要在防火墙上开放漏洞扫描器所需的5600和5601这两个端漏洞扫描器即可完成漏洞扫描的工作.
基于主机的漏洞扫描工具也存在不足之处:
首先是价格方面基于主机的漏洞扫描工具的价格通常由一个营理器的许可证价格加上目标系境的数量来决定,当一个企业网络中的目标主机较多时,扫描工具的价格就非常高。
通常,只有实力强太的公司和政府部门才有能力购买这种漏洞扫描工具,不适台个人用户使用。
其次,基于主机的漏洞扫描工具。
需要在目标主机上安装一个代理或服务而管理员的角度来说,并不希望在重要的机器上安装自己不确定的软件。
第三随着所要扫描范围的扩大在部署基于主机的漏洞扫描工具的代理软件时需要与每个目标系统的用户打交道必然延长了开发部署的工作周期。
由分析可知,基于网络的扫描和基于主机的扫描各有优势,也各自存在了一定的局限性。
只有把二者结合起来,才能尽可能多的获取漏洞信息,为系统管理员评估系统的安全风险提供有力的保证。
(二)主动扫描和被动扫描
主动扫描是传统的扫描方式,拥有较长的发展历史,它是通过给目标主机发送特定的包并收集回应包来取得相关信息的,当然,无响应本身也是信息,它表明可能存在过滤设备将探测包或探测回应包过滤了。
主动扫描的优势在于通常能较快获取信息,准确性也比较高。
缺点在于:
①易于被发现,很难掩盖扫描痕迹;
②要成功实施主动扫描通常需要突破防火墙,但突破防火墙是很困难的。
被动扫描是通过监听网络包来取得信息。
由于被动扫描具有很多优点,近来倍受重视,其主要优点是对它的检测几乎是不可能的。
被动扫描一般只需要监听网络流量而不需要主动发送网络包,也不易受防火墙影响。
而其主要缺点在于速度较慢而且准确性较差,当目标不产生网络流量时,就无法得知目标的任何信息。
虽然被动扫描存在弱点,但依旧被认为是大有可为的,近来出现了一些算法可以增进被动扫描的速度和准确性,如使用正常方式让目标系统产生流量。
3.3.2漏洞扫描器
网络扫描器采用众多的扫描和隐蔽技术,扫描目标主机和端口,识别其工作状态,其主要功能如下:
∙识别目标主机系统及服务程序的类型和版本;
∙根据漏洞库信息,分析系统脆弱点;
∙提供漏洞产生背景、影响、攻击方式、修补措施等信息;
∙以网页形式生成扫描结果报告;
∙具有可扩展性,提供用户动态加载和扩充系统的接口。
(一)网络漏洞扫描器的工作原理
网络漏洞扫描器通过远程检测目标主机TCP/IP不同端口的服务,记录目标给予的回答。
通过这种方法,可以搜集到很多目标主机的各种信息(例如:
是否能用匿名登陆,是否有可写的FTP目录,是否能用Telnet,http是否是用root在运行)。
在获得目标主机TCP/IP端口和其对应的网络访问服务的相关信息后,与网络漏洞扫描系统提供的漏洞库进行匹配,如果满足匹配条件,则视为漏洞存在。
此外,通过模拟黑客的进攻手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等,也是扫描模块的实现方法之一。
如果模拟攻击成功,则视为漏洞存在。
在匹配原理上,该网络漏洞扫描器采用的是基于规则的匹配技术,即根据安全专家对网络系统安全漏洞、黑客攻击案例的分析和系统管理员关于网络系统安全配置的实际经验,形成一套标准的系统漏洞库,然后再在此基础之上构成相应的匹配规则,由程序自动进行系统漏洞扫描的分析工作。
所谓基于规则是基于一套由专家经验事先定义的规则的匹配系统。
例如,在对TCP80端口的扫描中,在linux环境下,如果发现/cgi-bin/phf或/cgi-bin/Count.cgi,根据专家经验以及CGI程序的共享性和标准化,可以推知该WWW服务存在两个CGI漏洞。
同时应当说明的是,基于规则的匹配系统也有其局限性,因为作为这类系统的基础的推理规则一般都是根据已知的安全漏洞进行安排和策划的,而对网络系统的很多危险的威胁是来自未知的安全漏洞,这一点和PC杀毒很相似。
网络扫描是个集中的、重复的行为,显而易见,它也是个比较耗资源的行为。
不光是耗费扫描主机的资源,也耗费被扫描主机的资源;
不光占用主机的资源,同时也占用网络相当多的资源。
总体上看是个特别耗时的过程。
在该网络扫描器的设计和实现的过程中,我们从两方面进行了优化:
利用非阻塞连接技术和多线程技术。
其结果是,首先,这两种技术的运用明显地加快了扫描的速度;
而且,用多进程来实现高效率的利用了资源,从而达到了节省资源的功效。
网络漏洞扫描是建立在端口扫描的基础之上的。
从黑客攻击行为的分析和收集的漏洞来看,绝大多数都是针对某一个网络服务,也就是针对某一个特定的端口的。
所以漏洞扫描也是以同样的思路来进行的。
而如今大多数国内国外的扫描器把端口扫描和具体的漏洞扫描分开来,相互之间几乎没有什么联系:
端口扫描的目的就是为了向用户报出当前所开的端口和网络服务,以及看是否有些特定的后门存在;
漏洞扫描则完全是另外一个独立的流程,不管目标主机的相应端口及服务是否打开,都要做一系列的扫描。
这样看起来好像扫得很全面很彻底,但很明显的一点是,如果在对目标主机毫无了解的情况下,比如说是一台最普通的、几乎没有提供任何网络服务的机器,此时对它也进行彻底的漏洞扫描可以说是意义甚微的,甚至可以说在某些时候会对系统及网络有些反面的影响。
而我们在设计实现该漏洞扫描系统时则从另一个角度出发,保证在达到同等目的的前提下,尽量少占用网络、主机以及时间资源,提高资源的利用率和扫描系统的效率。
基本思想是:
避免不必要的模块调用,根据不同的实际情况来调用相应的扫描子模块。
(二)漏洞扫描器的分类
根据工作模式,漏洞扫描器分为主机漏洞扫描器和网络漏洞扫描器。
它通常以三种形式出现:
单一的扫描软件,安装在计算机或掌上电脑上;
基于客户机(管理端)/服务器(扫描引擎)模式或浏览器服务器模式,通常为软件,安装在不同的计算机上,也有将扫描引擎做成硬件的;
其他安全产品的组件。
(三)现有网络漏洞扫描器的介绍
国内外开发了很多的网络安全扫描工具,现在主要的网络漏洞扫描工具主要有:
∙SATAN(SecurityAnalysisToolsforAuditingNetwork)
∙NMAP(NetworkMapper)
∙Nessus
∙X-Scan
(四)现有网络安全扫描工具的评估及改进方案
针对网络漏洞监测的需要,网络漏洞扫描系统应运而生,国外流行的有ISS公司的InternetScanner,NetworkAssociates公司的CyberCopScanner,开源软件NesSus等,这些产品都能检测出大部分的漏洞。
一套扫描工具的性能孰优孰劣,如何评鉴?
当前,评估一套网络安全扫描工具的性能主要应该考虑下面一些因素:
∙能够扫描发现安全漏洞并持续更新漏洞资料库;
∙扫描效率以及对目标网络系统的影响及自定模拟攻击方法的灵活性;
∙扫描程序的易用性、稳定性、分析报告的形式。
相关机构在对国外现有的各种商业和共享的漏洞扫描软件做过综合评价后,指出开源软件Nessus的综合性能是最好的。
Nessus的特点包括:
∙扫描速度快。
∙采用模块化扫描插件结构。
∙提供完整的漏洞信息。
如果网管人员使用它进行网络安全的维护,将会大大减少维护的负担。
但对于网管人员来说,在使用Nessus时存在很多不方便的地方。
主要表现在以下几点:
∙使用不灵活。
∙不利于共享使用。
∙不利于扫描结果的统计分析。
经过上述调研分析,可以在Nessus的基础上设计基于Web的网络主机端口扫描和漏洞扫描系统充分考虑了网络管理人员的使用需求,使得该系统具有如下特点:
∙基于浏览器/服务器(B/S)结构,网络管理员利用Web浏览器在任何时候任何地方都可以监视和扫描网络,而且还可以使用CGI脚本语言和HTML语言实现与用户的良好交互操作。
∙多用户机制。
∙灵活设定扫描任务。
∙扫描结果自动发送到用户的电子邮箱。
∙统一的数据库管理。
3.4.1防火墙的概念
防火墙是一种网络安全设施,是执行访问控制策略的一个或一组软、硬件系统。
其主要手段是通过放置于网络拓扑结构的合适节点上,使其成为内外通讯的唯一途径,从而隔离内部和外部网络。
并按照根据安全策略制定的过滤规则(访问控制规则)对经过它的信息流进行监控和审查,过滤掉任何不符合安全规则的信息,以保护内部网络不受外界的非法访问和攻击。
防火墙是一种建立在被认为是安全可信的内部网络和被认为是不太安全可信的外部网络(Internet)之间的访问控制机制,是安全策略的具体体现。
3.4.2防火墙的作用
在使用防火墙的决定背后,潜藏着这样的推理:
假如没有防火墙,一个内部网络中的所有主机就都暴露在不那么安全的Interne诸协议和设施面前,有面临来自Internet其它主机的探测和攻击的危险;
在一个没有防火墙的环境里,网络的安全性只能体现为其中每一台主机的安全性,在某种意义上,只有所有主机共同努力,才能达到较高程度的安全性,并且对网络的入侵不仅来自各种攻击手段,也有可能来自配置上的低级错误或选择不合适的口令,网络越大,其安全性就越难管理。
简单而言,防火墙的主要作用有:
∙执行安全策略,提供访问控制,防止不希望的、未授权的通信进出被保护的网络,强化内部网络安全,例如:
可屏蔽部分主机或它们的部分服务,可阻塞IP源路由选项或ICMP复位向报文等;
同时,利用访问控制,可保护脆弱或有缺陷的内部网络服务(如NFS、NIS等),并加强隐私,防止某些服务暴露内部细节(如FINGER、DNS等)。
∙防火墙可集中网络安全,由它根据安全策略统一为整个内部网络提供安全保护和服务;
另外可在它上面融入加密传输和认证,以及安全协议等其它安全技术,这样比将安全分散到各主机更经济,更易于管理。
∙对网络的使用和误用提供记录和统计,并在探测到试探或攻击等可疑行为时,提供报警。
这些信息对控制和管理防火墙是很重要的,通过它们可了解防火墙是否能抵挡攻击者的攻击、其访问控制是否充足等,并且它们为以后的需求和安全分析提供了实际的基础数据。
3.4.3防火墙的分类和特点
按照防火墙工作方式的不同,可以将它们划分为下面三大类:
(1)包过滤防火墙
检查每一个流入的数据包,丢弃或者通过,取决于防火墙的规则,这种防火墙称为包过滤防火墙。
本质上,包过滤防火墙是多址的,表明它有两个或两个以上网络适配器或接口。
例如,作为防火墙的设备可能有两块网卡,一块连到内部网络,一块连到公共的Internet。
防火墙对每一个数据包检查,查看包中的基本信息(源地址和目的地址、端口号、协议等),并将这些信息与设定的规则相比较,也可以使用多个复杂规则的组合对数据包进行检测。
因此,简单的包过滤防火墙具有如下优点:
∙速度快,性能高。
由于只对数据包的IP地址、TCP/UDP协议和端口
∙进行分析,不检测应用层信息,因而包过滤防火墙的处理速度较快,并且易于配置。
∙对应用程序透明。
其缺点有:
∙安全性低。
不能防范黑客攻击。
包过滤防火墙的工作基于一个前提,就是网管知道哪些IP是可信网络,哪些是不可信网络的IP地址。
但
升级会员 