【正文】 對該主機的絕對控制 。 利用這種機制 ， 黑客可以任意進(jìn)行偽造 ， 并冒充系統(tǒng)管理員輕松地獲得大量的信息 ， 以實施他們的惡意陰謀 。 使用監(jiān)聽工具對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行監(jiān)聽 ， 以獲得口令等敏感信息 。 主要是針對人力因素的攻擊 ，通過社會工程技術(shù)來實現(xiàn) 。 這里的 “ 木馬 ” 是潛在威脅的意思 ， 種植過木馬的主機將會完全被攻擊者掌握和控制 。 3．抓住入侵者 ? 遵循一定的原則，有利于抓住入侵者 ? 定期檢查登錄文件 ? 注意不尋常的登錄 ? 注意突然活躍的賬號 ? 預(yù)判入侵者的活動時間 黑客與信息安全 進(jìn)入 21世紀(jì) ， 黑客的行為又呈現(xiàn)出新的特點 ， 主要表現(xiàn)為： （ 1） 群體組織化 （ 2） 地域全球化 （ 3） 構(gòu)成大眾化 （ 4） 陣容年輕化 （ 5） 技術(shù)智能化 （ 6） 手段多樣化 （ 7） 動機商業(yè)化 （ 8） 身份合法化 （ 9） 行為軍事化 網(wǎng)絡(luò)掃描 掃描的概念 ? 網(wǎng)絡(luò)掃描就是對計算機系統(tǒng)或者其他網(wǎng)絡(luò)設(shè)備進(jìn)行與安全相關(guān)的檢測 ， 以找出目標(biāo)系統(tǒng)所放開放的端口信息 、 服務(wù)類型以及安全隱患和可能被黑客利用的漏洞 。 ? 主要的目的是： ? 判斷目標(biāo)主機中開放了哪些服務(wù) ? 判斷目標(biāo)主機的操作系統(tǒng) （ 1） TCP connect() 掃描 ? 這是最基本的 TCP掃描。 一些防火墻和包過濾器會對一些指定的端口進(jìn)行監(jiān)視 ， 有的程序能檢測到這些掃描 。 因為打開的端口對掃描探測并不發(fā)送一個確認(rèn) ， 關(guān)閉的端口也并不需要發(fā)送一個錯誤數(shù)據(jù)包 。 ? 其原理是，采用模擬攻擊的形式，對工作站、服務(wù)器、交換機、數(shù)據(jù)庫應(yīng)用等各種對象可能存在的安全漏洞進(jìn)行逐項檢查，根據(jù)掃描結(jié)果形成安全性分析報告。 網(wǎng)絡(luò)掃描的防范 ? 對于端口掃描的防范需要進(jìn)行統(tǒng)計分析，即在單位時間內(nèi)統(tǒng)計，當(dāng)發(fā)現(xiàn)接收到超過上限數(shù)目的以掃描端口為目的的數(shù)據(jù)包請求時，可以判斷為發(fā)現(xiàn)了端口掃描攻擊。 網(wǎng)絡(luò)監(jiān)聽通常在網(wǎng)絡(luò)接口處截獲計算機之間通信的數(shù)據(jù)流 ， 是進(jìn)行網(wǎng)絡(luò)攻擊最簡單 、 最有效的方法 。 （ 3） 可以用來危害網(wǎng)絡(luò)鄰居的安全 ， 或者用來獲取更高級別的訪問權(quán)限 。網(wǎng)絡(luò)監(jiān)聽器 Sniffer就是這樣的軟件。 最好的辦法就是使網(wǎng)絡(luò)嗅探不能達(dá)到預(yù)期的效果 ， 使嗅探價值降低 ， 可以使用的方法包括： （ 1） 采用安全的拓?fù)浣Y(jié)構(gòu) ， 如 ， 網(wǎng)絡(luò)分段越細(xì) ， 嗅探器收集到的信息就越少 。 ? 開始攻擊：誘惑被攻擊對象連接到攻擊者的假的 Web頁面上。 （ 3）加密：這是通過公開密鑰技術(shù)實現(xiàn)的，所有傳送的內(nèi)容都是加密的，除了接收者之外無人可以讀懂。 ? IP地址欺騙通常通過編程來實現(xiàn) 。 （ 2）對數(shù)據(jù)包進(jìn)行限制 對于來自網(wǎng)絡(luò)外部的欺騙來說 ， 防止這種攻擊的方法很簡單 ， 可以在局域網(wǎng)的對外路由器上加一個限制來實現(xiàn) 。 ? 當(dāng)程序?qū)懭氤^緩沖區(qū)的邊界時，就發(fā)生所謂的“緩沖區(qū)溢出”。 緩沖區(qū)溢出的防范 （ 3） 指針完整性檢查 堆棧保護(hù)是一種提供程序指針完整性檢查的編譯器技術(shù) ， 通過檢查函數(shù)活動記錄中的返回地址來實現(xiàn) 。 被分布式拒絕服務(wù)攻擊時會出現(xiàn)下列現(xiàn)象： ? 被攻擊主機上有大量等待的 TCP連接 。 利用客戶 /服務(wù)器技術(shù) ， 主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運行 。 3)攻擊者使他的全部代理程序同時發(fā)送由殘缺的數(shù)字包構(gòu)成的連接請求送至目標(biāo)系統(tǒng)。 拒絕服務(wù)攻擊的防范 （ 3） 服務(wù)器優(yōu)化 確保服務(wù)器的安全 ， 使攻擊者無法獲得更多內(nèi)部主機的信息 ， 從而無法發(fā)動有效的攻擊 。 ? 它們可以自動刪除受控計算機上所有的 .ini .exe .dll文件，甚至格式化受害者的硬盤，系統(tǒng)中的信息會在頃刻間“灰飛煙滅”。 ? 這種木馬程序隨著系統(tǒng)的啟動而啟動，知道受害者在線并記錄每一個用戶事件，然后通過郵件或其他方式發(fā)送給控制者。 （ 2） 捆綁文件 將木馬服務(wù)端程序與其它文件（如真正的文本文件）進(jìn)行捆綁，當(dāng)用戶打開這個文件時，木馬程序也隨之被激活。 ? 當(dāng)該木馬相應(yīng)的客戶端程序在此端口上請求連接時，它會與客戶程序建立 TCP連接，從而被客戶端遠(yuǎn)程控制。 木馬的特點 1．隱蔽性 （ 1） 在任務(wù)欄里隱藏 （ 2）在任務(wù)管理器里隱藏 （ 3）隱藏通信端口 （ 4）隱蔽加載方式 ? 在 ? 在 ? 反彈端口型木馬的主動連接 ? 隱藏在配置文件中自動加載運行 ? 捆綁方式啟動 ? 偽裝在普通文件中 ? 設(shè)置在超級連接中 ? 啟動組 木馬的特點 2．具有自動運行性 木馬為了控制服務(wù)器端，必須在系統(tǒng)啟動時即跟隨啟動，所以必須潛入用戶計算機的啟動配置文件中 3．具備自動恢復(fù)功能 木馬程序不是僅由單一的文件組成，而是具有多重備份，可以相互恢復(fù) 4．自動開啟特別的端口 TCP/IP協(xié)議中，計算機有 65535個端口，其中常用的很少，木馬經(jīng)常利用那些被忽視的端口進(jìn)行連接 5．功能的特殊性 木馬除了具有普通文件的特征外，往往具有特殊的功能，如：設(shè)置口令、掃描地址、記錄鍵盤、鎖定鼠標(biāo)等 木馬攻擊的原理 ? 木馬程序一般由兩部分組成，分別是服務(wù)器端和客戶端。 （ 8）程序殺手木馬 ? 程序殺手木馬的功能是關(guān)閉對方主機上運行的防木馬軟件，讓其他的木馬更好的發(fā)揮作用。這種木馬起著遠(yuǎn)程控制的功能，用起來非常簡單，只需先運行服務(wù)端程序，同時獲得遠(yuǎn)程主機的 IP地址，控制者就能任意訪問被控制端的計算機。 ? 所謂隱蔽性是指木馬的設(shè)計者為了防止木馬被發(fā)現(xiàn)，會采用多種手段隱藏木馬，這樣服務(wù)端即使發(fā)現(xiàn)感染了木馬，由于不能確定其具體位置，往往只能望“馬”興嘆； ? 所謂非授權(quán)性是指一旦控制端與服務(wù)端連接后，控制端將享有服務(wù)端的大部分操作權(quán)限，包括修改文件，修改注冊表，控制鼠標(biāo)，鍵盤等等。 ? 可采取的安全防御措施有以下幾種： ? 及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞，及時安裝系統(tǒng)補丁程序；對一些重要的信息（例如系統(tǒng)配置信息）建立和完善備份機制；對一些特權(quán)帳號（例如管理員帳號）的密碼設(shè)置要謹(jǐn)慎。 ? 對受害者的攻擊是從擊傀儡機上發(fā)出的，控制機只發(fā)布命令而不參與實際的攻擊。 ? 嚴(yán)重時會造成系統(tǒng)死機 。 從廣義上來講 ， 任何導(dǎo)致服務(wù)器不能正常提供服務(wù)的攻擊都叫做拒絕服務(wù)攻擊 。然而這一要求往往被人們忽視，從而給黑客有機可乘。 （ 3）應(yīng)用加密技術(shù) 對數(shù)據(jù)進(jìn)行加密傳輸和驗證也是防止 IP欺騙的好方法 。 為了假冒 C去欺騙主機 B， 首要的任務(wù)是攻擊主機C， 使其癱瘓 ， 即先實施拒絕服務(wù)攻擊 。 2． IP地址欺騙 ? 所謂 IP地址欺騙 ， 就是偽造某臺主機的 IP地址的技術(shù) 。 （ 3） 要養(yǎng)成從地址欄中直接輸入網(wǎng)址來實現(xiàn)瀏覽網(wǎng)站的好習(xí)慣 。 然而，攻擊者控制了這個 Web站點的“拷貝”，被攻擊對象和真的 Web站點之間的所有信息流動都被攻擊者所控制了。 通過帶寬控制器也可以察覺出網(wǎng)絡(luò)通信速度的變化 。 混合模式讓所有經(jīng)過的數(shù)據(jù)包都傳遞給系統(tǒng)核心；然后被 Sniffer等程序利用 。 網(wǎng)絡(luò)監(jiān)聽可以在網(wǎng)絡(luò)中的任何位置實施 ， 可以是網(wǎng)絡(luò)中的一臺主機 、 路由器 ， 也可以是調(diào)制解調(diào)器 。 （ 3） 利用特殊軟件在一些端口上欺騙黑客 ， 讓其掃描和攻擊 “ 陷阱 ” 端口 。 ? 檢測漏洞：包括已知安全漏洞的檢測、錯誤的配置檢測、弱口令檢測。 ? 它并不是直接發(fā)送 TCP探測數(shù)據(jù)包，而是將數(shù)據(jù)包分成幾個較小的 IP段。有的系統(tǒng)不管端口是否打開，都回復(fù) RST，這樣，這種掃描方法就不適用了。 （ 2） TCP SYN掃描 ? 這種技術(shù)通常認(rèn)為是 “ 半開放 ” 掃描 ， 因為掃描程序不必要打開一個完全的 TCP連接 。 ? 網(wǎng)絡(luò)掃描通常采用兩種策略： ? 第一種是被動式策略 ， 所謂被動式策略就是基于主機之上 ， 對系統(tǒng)中不合適的設(shè)置 、 脆弱的口令以及其他與安全規(guī)則抵觸的對象進(jìn)行檢查； ? 第二種是主動式策略 ， 主動式策略是基于網(wǎng)絡(luò)的 ， 它通過執(zhí)行一些腳本文件 ， 模擬對系統(tǒng)進(jìn)行攻擊的行為并記錄系統(tǒng)的反應(yīng) ， 從而發(fā)現(xiàn)其中的漏洞 。 如果黑客破壞了站點的安全性 ，則追蹤他們 ， 方法有： ? 借助工具來發(fā)現(xiàn) ， 如：掃描 、 監(jiān)聽等 ? 對可疑行為進(jìn)行檢查 ， 如檢查系統(tǒng)命令等 ? 查看屢次失敗的訪問口令 2．應(yīng)急操作 （ 1） 估計形勢 估計入侵造