【正文】 ? 客戶端程序安裝在控制端，客戶端能夠?qū)Ψ?wù)器端的控制。 ? 木馬定時(shí)檢測(cè)控制端的存在，發(fā)現(xiàn)控制端上線，立即主動(dòng)連接控制端打開的端口。 ? 這種類型的木馬有著名的 BO (Back Office)和國(guó)產(chǎn)的冰河等。 1．什么是木馬 木馬與病毒的區(qū)別： ? 病毒程序是以自發(fā)性的敗壞為目的； ? 木馬程序是依照黑客的命令來(lái)運(yùn)作，主要目的是偷取文件、機(jī)密數(shù)據(jù)、個(gè)人隱私等行為。 拒絕服務(wù)攻擊的防范 （ 1） 與 ISP合作 與 ISP配合 ， 對(duì)路由訪問進(jìn)行控制 、 對(duì)網(wǎng)絡(luò)流量的監(jiān)視 ， 以實(shí)現(xiàn)對(duì)帶寬總量的限制 ， 以及不同的訪問地址在同一時(shí)間對(duì)帶寬的占有率 。 1. DDoS攻擊的一般原理 在一般的情況下， DDoS可能使用多臺(tái)控制機(jī)： 2. DDoS攻擊步驟 1)攻擊者攻擊諸客戶主機(jī)以求分析他們的安全水平和脆弱性。 ? 通常 ， 攻擊者使用一個(gè)偷竊帳號(hào) ， 將 DDoS主控程序安裝在一個(gè)計(jì)算機(jī)上 ， 在一個(gè)設(shè)定的時(shí)間 ， 主控程序?qū)⑴c大量代理程序通訊 ， 代理程序已經(jīng)被安裝在Inter上的許多計(jì)算機(jī)上 。 在這種反復(fù)發(fā)送地址請(qǐng)求的情況下 ， 服務(wù)器資源最終會(huì)被耗盡 。 在程序開發(fā)時(shí)就要考慮可能的安全問題 ，杜絕緩沖區(qū)溢出的可能性 ， 尤其在 C程序中使用數(shù)組時(shí) ， 只要數(shù)組邊界不溢出 ， 那么緩沖區(qū)溢出攻擊就無(wú)從談起 ， 所以對(duì)所有數(shù)組的讀寫操作都應(yīng)控制在正確的范圍內(nèi) ， 通常可通過優(yōu)化技術(shù)來(lái)實(shí)現(xiàn) 。 緩沖區(qū)溢出 緩沖區(qū)溢出的概念 緩沖區(qū)溢出攻擊是一種系統(tǒng)攻擊的手段 ， 通過往緩沖區(qū)寫超出其長(zhǎng)度的內(nèi)容 ， 造成緩沖區(qū)溢出 ，從而破壞程序的堆棧 ， 使程序轉(zhuǎn)而執(zhí)行其它指令 ，以達(dá)到攻擊的目的 。 IP欺騙的防范 （ 1） 放棄基于地址的信任策略 IP欺騙是建立在信任的基礎(chǔ)之上的 ， 防止 IP欺騙的最好的方法就是放棄以地址為基礎(chǔ)的驗(yàn)證 。 ? 被偽造的主機(jī)往往具有某種特權(quán)或者被另外的主機(jī)所信任 。 如果瀏覽器的 IP不在授權(quán)的 IP地址之列 ， 則它是無(wú)法與該文檔進(jìn)行連接的 ， 即通過授權(quán)的方式對(duì) IP地址 、 子網(wǎng)和域進(jìn)行保護(hù) 。 雖然這種攻擊并不會(huì)直接造成被攻擊者主機(jī)的軟、硬件損壞，但是它所帶來(lái)的危害也是不能忽視的。 Lsof的最初的設(shè)計(jì)目的并非為了防止嗅探器入侵 ， 但因?yàn)樵谛崽狡魅肭值南到y(tǒng)中 ， 嗅探器會(huì)打開 Lsof來(lái)輸出文件 ， 并不斷傳送信息給該文件 ，這樣該文件的內(nèi)容就會(huì)越來(lái)越大 。 由于網(wǎng)卡支持混雜模式，才使網(wǎng)卡驅(qū)動(dòng)程序支持MAC地址的修改成為可能；否則，就算修改了 MAC地址，但是網(wǎng)卡根本無(wú)法接收相應(yīng)地址的報(bào)文，該網(wǎng)卡就變得只能發(fā)送，無(wú)法接收，通信也就無(wú)法正常進(jìn)行了。 2．監(jiān)聽的特點(diǎn) 監(jiān)聽雖然沒有直接對(duì)系統(tǒng)發(fā)動(dòng)破壞性攻擊 ，但是其依舊是危險(xiǎn)的 ， 主要危害有： （ 1） 能夠捕獲口令 。 它工作在網(wǎng)絡(luò)的底層，能夠把網(wǎng)絡(luò)傳輸?shù)娜繑?shù)據(jù)記錄下來(lái)，黑客一般都是利用該技術(shù)來(lái)截取用戶口令的。 ? 但是根據(jù)端口掃描的原理 ， 掃描器一般都只是查看端口是否開通 ， 然后在端口列表中顯示出相應(yīng)的服務(wù) 。 （ 6）慢速掃描 ? 由于一般掃描檢測(cè)器的實(shí)現(xiàn)是通過監(jiān)視某個(gè)時(shí)間段里一臺(tái)特定主機(jī)被連接的數(shù)目來(lái)決定是否在被掃描，因此，攻擊者可以通過使用掃描速度慢一些的掃描軟件進(jìn)行掃描，這樣檢測(cè)軟件就不會(huì)判別出他在進(jìn)行掃描了。 （ 4） UDP ICMP端口不能到達(dá)掃描 ? 這種方法使用的是 UDP。 ? 一個(gè) ACK的返回信息表示端口處于偵聽狀態(tài)；一個(gè) RST返回，表示端口沒有處于偵聽?wèi)B(tài)。 ? 端口掃描是指通過檢測(cè)遠(yuǎn)程或本地系統(tǒng)的端口開放情況，來(lái)判斷系統(tǒng)所安裝的服務(wù)和相關(guān)信息。 （ 3） 分析問題 分析新近發(fā)生的安全事件 ， 并制定一個(gè)計(jì)劃 。 通過分析或暴力攻擊等手段獲取合法賬戶的口令 。 用冒充的 Email地址進(jìn)行欺騙 。 使用掃描工具對(duì)網(wǎng)絡(luò)地址 、 開放端口等情況掃描 。 在社會(huì)工程中那些黑客冒充失去密碼的合法雇員 ， 經(jīng)常通過這種簡(jiǎn)單的方法重新獲得密碼 。 收集信息并不會(huì)對(duì)目標(biāo)主機(jī)造成危害 ， 只是為進(jìn)一步攻擊提供有價(jià)值的信息 。 （ 5）攻擊行為越來(lái)越隱密 攻擊者已經(jīng)具備了反偵破、動(dòng)態(tài)行為、攻擊工具更加成熟等特點(diǎn)。 新發(fā)現(xiàn)的各種系統(tǒng)與網(wǎng)絡(luò)安全漏洞每年都要增加一倍，每年都會(huì)發(fā)現(xiàn)安全漏洞的新類型，網(wǎng)絡(luò)管理員需要不斷用最新的軟件補(bǔ)丁修補(bǔ)這些漏洞。 （ 9） 已侵入的電腦中的賬號(hào)不得清除或修改 。 （ 1） 不要惡意破壞任何系統(tǒng) ， 否則會(huì)給自己帶來(lái)麻煩 。 對(duì)于計(jì)算機(jī)而言 ， 黑客是指既具有高超的專業(yè)技術(shù)（ 精通網(wǎng)絡(luò) 、 系統(tǒng) 、 外設(shè)以及軟硬件技術(shù) ） ， 又能遵守黑客行為準(zhǔn)則的人 。 2．黑客守則 2．黑客守則 （ 6） 正在入侵的時(shí)候 ， 不要隨意離開自己的電腦 。網(wǎng)絡(luò)攻擊的自動(dòng)化程度和攻擊速度不斷提高，利用分工協(xié)同的掃描方式、配合靈活的任務(wù)配置和加強(qiáng)自身隱蔽性，來(lái)實(shí)現(xiàn)大規(guī)模、高效率的安全掃描。 （ 4）攻擊的目的和目標(biāo)在改變 ? 從早期的以個(gè)人表現(xiàn)的無(wú)目的的攻擊，到有意識(shí)有目的的攻擊，攻擊目標(biāo)在改變； ? 從早期的以軍事敵對(duì)為目標(biāo)向民用目標(biāo)轉(zhuǎn)變，民用計(jì)算機(jī)受到越來(lái)越多的攻擊，公司甚至個(gè)人的電腦都成為了攻擊目標(biāo)。隨著黑客軟件部署自動(dòng)化程度和攻擊工具管理技巧的提高，安全威脅的不對(duì)稱性將繼續(xù)增加。 黑客攻擊的步驟 攻擊主機(jī) 確定目標(biāo) 信息收集 漏洞挖掘 攻擊網(wǎng)絡(luò) 留下后門 清除日志 結(jié)束攻擊 黑客常用的攻擊手段 目前常見的黑客攻擊手段主要有以下幾種： 1． 社會(huì)工程學(xué)攻擊 社會(huì)工程學(xué)攻擊是指利用人性的弱點(diǎn)、社會(huì)心理學(xué)等知識(shí)來(lái)獲得目標(biāo)系統(tǒng)敏感信息的行為。 可以通過一些網(wǎng)絡(luò)命令對(duì)目標(biāo)主機(jī)進(jìn)行信息查詢 。 （ 2） Web欺騙 。 （ 2） 拒絕服務(wù)攻擊：如果一個(gè)用戶占用大量資源 ，系統(tǒng)就沒有剩下的資源再提供服務(wù) ， 導(dǎo)致死機(jī)等現(xiàn)象的發(fā)生 ， 如 ， 死亡之 Ping、 淚滴 （ Teardrop） 、 UDP洪水 、SYN洪水 、 Land攻擊 、 郵件炸彈 、 Fraggle攻擊等 。 黑客入侵后的應(yīng)對(duì)措施 1． 發(fā)現(xiàn)黑客 發(fā)現(xiàn)信息系統(tǒng)是否被入侵不是件容易的事 ， 即使已經(jīng)有黑客入侵 ， 也可能永遠(yuǎn)發(fā)現(xiàn)不了 。 網(wǎng)絡(luò)掃描的原理 ? 網(wǎng)絡(luò)掃描的基本原理是通過網(wǎng)絡(luò)向目標(biāo)系統(tǒng)發(fā)送一些特征信息 ， 然后根據(jù)反饋情況 ， 獲得有關(guān)信息 。否則，這個(gè)端口是不能用的，即沒有提供服務(wù)。這種方法和系統(tǒng)的實(shí)現(xiàn)有一定的關(guān)系。 （ 5） IP包分段掃描 ? 這種不能算是新方法，只是其它技術(shù)的變化。 ? 通過使用安全掃描器，可以： ? 收集信息：包括遠(yuǎn)程操作系統(tǒng)識(shí)別、網(wǎng)絡(luò)結(jié)構(gòu)分析、端口開放情況以及其他敏感信息，例如，提供的服務(wù)、軟件版本等。 （ 2） 通過防火墻或其它安全系統(tǒng)檢查各端口 ， 如果有端口掃描的癥狀時(shí) ， 就立即屏蔽該端口 。 （ 2） 手段靈活 。 在普通模式下 ， 只有本地地址的數(shù)據(jù)包或者廣播才會(huì)被網(wǎng)卡提交給系統(tǒng)核心；否則這些數(shù)據(jù)包就直接被網(wǎng)卡拋棄 。通過某些帶寬控制器 ， 可以實(shí)時(shí)看到目前網(wǎng)絡(luò)帶寬的分布情況 ， 如果某臺(tái)機(jī)器長(zhǎng)時(shí)間的占用了較大的帶寬 ， 這臺(tái)機(jī)器就有可能在監(jiān)聽 。 2．主動(dòng)防御網(wǎng)絡(luò)嗅探 Web欺騙 Web欺騙的概念 Web欺騙是指攻擊者建立一個(gè)使人相信的 Web站點(diǎn)的“拷貝”，這個(gè) Web站點(diǎn)“拷貝”就像真的一樣，它具有原頁(yè)面幾乎所有頁(yè)面元素。 （ 2） 不從自己不熟悉的網(wǎng)站上鏈接到其他網(wǎng)站 ，特別是鏈接那些需要輸入個(gè)人賬戶名和密碼的有關(guān)電子商務(wù)的網(wǎng)站 。不同的情況有不同的結(jié)果。 IP欺騙的原理 假如一個(gè)局域網(wǎng)內(nèi)的主機(jī)間存在著某種信任關(guān)系 ， 如果主機(jī) A信任主機(jī) B， 主機(jī) B信任主機(jī) C， 為了侵入該網(wǎng)絡(luò) ， 黑客可以采用以下方法： （ 1） 通過假冒主機(jī) B來(lái)欺騙主機(jī) A和主機(jī) C； （ 2） 通過假冒主機(jī) A和主機(jī) C來(lái)欺騙主機(jī) B。一般通過路由器對(duì)數(shù)據(jù)包的監(jiān)控來(lái)防范 IP地址欺騙 。 ? C語(yǔ)言把這一艱巨任務(wù)交給了開發(fā)人員，要求他們進(jìn)行邊界檢查，編寫安全的程序。 拒絕服務(wù)攻擊 拒絕服務(wù)攻擊的概念 DoS攻擊是一種簡(jiǎn)單有效的攻擊方式 ， 其目的是使服務(wù)器拒絕正常的訪問 ， 破壞系統(tǒng)的正常運(yùn)行 ， 最終使部分網(wǎng)絡(luò)連接