【正文】 對(duì)該主機(jī)的絕對(duì)控制 。 利用這種機(jī)制 ， 黑客可以任意進(jìn)行偽造 ， 并冒充系統(tǒng)管理員輕松地獲得大量的信息 ， 以實(shí)施他們的惡意陰謀 。 使用監(jiān)聽(tīng)工具對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行監(jiān)聽(tīng) ， 以獲得口令等敏感信息 。 主要是針對(duì)人力因素的攻擊 ，通過(guò)社會(huì)工程技術(shù)來(lái)實(shí)現(xiàn) 。 這里的 “ 木馬 ” 是潛在威脅的意思 ， 種植過(guò)木馬的主機(jī)將會(huì)完全被攻擊者掌握和控制 。 3．抓住入侵者 ? 遵循一定的原則，有利于抓住入侵者 ? 定期檢查登錄文件 ? 注意不尋常的登錄 ? 注意突然活躍的賬號(hào) ? 預(yù)判入侵者的活動(dòng)時(shí)間 黑客與信息安全 進(jìn)入 21世紀(jì) ， 黑客的行為又呈現(xiàn)出新的特點(diǎn) ， 主要表現(xiàn)為： （ 1） 群體組織化 （ 2） 地域全球化 （ 3） 構(gòu)成大眾化 （ 4） 陣容年輕化 （ 5） 技術(shù)智能化 （ 6） 手段多樣化 （ 7） 動(dòng)機(jī)商業(yè)化 （ 8） 身份合法化 （ 9） 行為軍事化 網(wǎng)絡(luò)掃描 掃描的概念 ? 網(wǎng)絡(luò)掃描就是對(duì)計(jì)算機(jī)系統(tǒng)或者其他網(wǎng)絡(luò)設(shè)備進(jìn)行與安全相關(guān)的檢測(cè) ， 以找出目標(biāo)系統(tǒng)所放開(kāi)放的端口信息 、 服務(wù)類(lèi)型以及安全隱患和可能被黑客利用的漏洞 。 ? 主要的目的是： ? 判斷目標(biāo)主機(jī)中開(kāi)放了哪些服務(wù) ? 判斷目標(biāo)主機(jī)的操作系統(tǒng) （ 1） TCP connect() 掃描 ? 這是最基本的 TCP掃描。 一些防火墻和包過(guò)濾器會(huì)對(duì)一些指定的端口進(jìn)行監(jiān)視 ， 有的程序能檢測(cè)到這些掃描 。 因?yàn)榇蜷_(kāi)的端口對(duì)掃描探測(cè)并不發(fā)送一個(gè)確認(rèn) ， 關(guān)閉的端口也并不需要發(fā)送一個(gè)錯(cuò)誤數(shù)據(jù)包 。 ? 其原理是，采用模擬攻擊的形式，對(duì)工作站、服務(wù)器、交換機(jī)、數(shù)據(jù)庫(kù)應(yīng)用等各種對(duì)象可能存在的安全漏洞進(jìn)行逐項(xiàng)檢查，根據(jù)掃描結(jié)果形成安全性分析報(bào)告。 網(wǎng)絡(luò)掃描的防范 ? 對(duì)于端口掃描的防范需要進(jìn)行統(tǒng)計(jì)分析，即在單位時(shí)間內(nèi)統(tǒng)計(jì)，當(dāng)發(fā)現(xiàn)接收到超過(guò)上限數(shù)目的以?huà)呙瓒丝跒槟康牡臄?shù)據(jù)包請(qǐng)求時(shí)，可以判斷為發(fā)現(xiàn)了端口掃描攻擊。 網(wǎng)絡(luò)監(jiān)聽(tīng)通常在網(wǎng)絡(luò)接口處截獲計(jì)算機(jī)之間通信的數(shù)據(jù)流 ， 是進(jìn)行網(wǎng)絡(luò)攻擊最簡(jiǎn)單 、 最有效的方法 。 （ 3） 可以用來(lái)危害網(wǎng)絡(luò)鄰居的安全 ， 或者用來(lái)獲取更高級(jí)別的訪(fǎng)問(wèn)權(quán)限 。網(wǎng)絡(luò)監(jiān)聽(tīng)器 Sniffer就是這樣的軟件。 最好的辦法就是使網(wǎng)絡(luò)嗅探不能達(dá)到預(yù)期的效果 ， 使嗅探價(jià)值降低 ， 可以使用的方法包括： （ 1） 采用安全的拓?fù)浣Y(jié)構(gòu) ， 如 ， 網(wǎng)絡(luò)分段越細(xì) ， 嗅探器收集到的信息就越少 。 ? 開(kāi)始攻擊：誘惑被攻擊對(duì)象連接到攻擊者的假的 Web頁(yè)面上。 （ 3）加密：這是通過(guò)公開(kāi)密鑰技術(shù)實(shí)現(xiàn)的，所有傳送的內(nèi)容都是加密的，除了接收者之外無(wú)人可以讀懂。 ? IP地址欺騙通常通過(guò)編程來(lái)實(shí)現(xiàn) 。 （ 2）對(duì)數(shù)據(jù)包進(jìn)行限制 對(duì)于來(lái)自網(wǎng)絡(luò)外部的欺騙來(lái)說(shuō) ， 防止這種攻擊的方法很簡(jiǎn)單 ， 可以在局域網(wǎng)的對(duì)外路由器上加一個(gè)限制來(lái)實(shí)現(xiàn) 。 ? 當(dāng)程序?qū)懭氤^(guò)緩沖區(qū)的邊界時(shí)，就發(fā)生所謂的“緩沖區(qū)溢出”。 緩沖區(qū)溢出的防范 （ 3） 指針完整性檢查 堆棧保護(hù)是一種提供程序指針完整性檢查的編譯器技術(shù) ， 通過(guò)檢查函數(shù)活動(dòng)記錄中的返回地址來(lái)實(shí)現(xiàn) 。 被分布式拒絕服務(wù)攻擊時(shí)會(huì)出現(xiàn)下列現(xiàn)象： ? 被攻擊主機(jī)上有大量等待的 TCP連接 。 利用客戶(hù) /服務(wù)器技術(shù) ， 主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行 。 3)攻擊者使他的全部代理程序同時(shí)發(fā)送由殘缺的數(shù)字包構(gòu)成的連接請(qǐng)求送至目標(biāo)系統(tǒng)。 拒絕服務(wù)攻擊的防范 （ 3） 服務(wù)器優(yōu)化 確保服務(wù)器的安全 ， 使攻擊者無(wú)法獲得更多內(nèi)部主機(jī)的信息 ， 從而無(wú)法發(fā)動(dòng)有效的攻擊 。 ? 它們可以自動(dòng)刪除受控計(jì)算機(jī)上所有的 .ini .exe .dll文件，甚至格式化受害者的硬盤(pán)，系統(tǒng)中的信息會(huì)在頃刻間“灰飛煙滅”。 ? 這種木馬程序隨著系統(tǒng)的啟動(dòng)而啟動(dòng)，知道受害者在線(xiàn)并記錄每一個(gè)用戶(hù)事件，然后通過(guò)郵件或其他方式發(fā)送給控制者。 （ 2） 捆綁文件 將木馬服務(wù)端程序與其它文件（如真正的文本文件）進(jìn)行捆綁，當(dāng)用戶(hù)打開(kāi)這個(gè)文件時(shí)，木馬程序也隨之被激活。 ? 當(dāng)該木馬相應(yīng)的客戶(hù)端程序在此端口上請(qǐng)求連接時(shí)，它會(huì)與客戶(hù)程序建立 TCP連接，從而被客戶(hù)端遠(yuǎn)程控制。 木馬的特點(diǎn) 1．隱蔽性 （ 1） 在任務(wù)欄里隱藏 （ 2）在任務(wù)管理器里隱藏 （ 3）隱藏通信端口 （ 4）隱蔽加載方式 ? 在 ? 在 ? 反彈端口型木馬的主動(dòng)連接 ? 隱藏在配置文件中自動(dòng)加載運(yùn)行 ? 捆綁方式啟動(dòng) ? 偽裝在普通文件中 ? 設(shè)置在超級(jí)連接中 ? 啟動(dòng)組 木馬的特點(diǎn) 2．具有自動(dòng)運(yùn)行性 木馬為了控制服務(wù)器端，必須在系統(tǒng)啟動(dòng)時(shí)即跟隨啟動(dòng)，所以必須潛入用戶(hù)計(jì)算機(jī)的啟動(dòng)配置文件中 3．具備自動(dòng)恢復(fù)功能 木馬程序不是僅由單一的文件組成，而是具有多重備份，可以相互恢復(fù) 4．自動(dòng)開(kāi)啟特別的端口 TCP/IP協(xié)議中，計(jì)算機(jī)有 65535個(gè)端口，其中常用的很少，木馬經(jīng)常利用那些被忽視的端口進(jìn)行連接 5．功能的特殊性 木馬除了具有普通文件的特征外，往往具有特殊的功能，如：設(shè)置口令、掃描地址、記錄鍵盤(pán)、鎖定鼠標(biāo)等 木馬攻擊的原理 ? 木馬程序一般由兩部分組成，分別是服務(wù)器端和客戶(hù)端。 （ 8）程序殺手木馬 ? 程序殺手木馬的功能是關(guān)閉對(duì)方主機(jī)上運(yùn)行的防木馬軟件，讓其他的木馬更好的發(fā)揮作用。這種木馬起著遠(yuǎn)程控制的功能，用起來(lái)非常簡(jiǎn)單，只需先運(yùn)行服務(wù)端程序，同時(shí)獲得遠(yuǎn)程主機(jī)的 IP地址，控制者就能任意訪(fǎng)問(wèn)被控制端的計(jì)算機(jī)。 ? 所謂隱蔽性是指木馬的設(shè)計(jì)者為了防止木馬被發(fā)現(xiàn)，會(huì)采用多種手段隱藏木馬，這樣服務(wù)端即使發(fā)現(xiàn)感染了木馬，由于不能確定其具體位置，往往只能望“馬”興嘆； ? 所謂非授權(quán)性是指一旦控制端與服務(wù)端連接后，控制端將享有服務(wù)端的大部分操作權(quán)限，包括修改文件，修改注冊(cè)表，控制鼠標(biāo)，鍵盤(pán)等等。 ? 可采取的安全防御措施有以下幾種： ? 及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞，及時(shí)安裝系統(tǒng)補(bǔ)丁程序；對(duì)一些重要的信息（例如系統(tǒng)配置信息）建立和完善備份機(jī)制；對(duì)一些特權(quán)帳號(hào)（例如管理員帳號(hào)）的密碼設(shè)置要謹(jǐn)慎。 ? 對(duì)受害者的攻擊是從擊傀儡機(jī)上發(fā)出的，控制機(jī)只發(fā)布命令而不參與實(shí)際的攻擊。 ? 嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī) 。 從廣義上來(lái)講 ， 任何導(dǎo)致服務(wù)器不能正常提供服務(wù)的攻擊都叫做拒絕服務(wù)攻擊 。然而這一要求往往被人們忽視，從而給黑客有機(jī)可乘。 （ 3）應(yīng)用加密技術(shù) 對(duì)數(shù)據(jù)進(jìn)行加密傳輸和驗(yàn)證也是防止 IP欺騙的好方法 。 為了假冒 C去欺騙主機(jī) B， 首要的任務(wù)是攻擊主機(jī)C， 使其癱瘓 ， 即先實(shí)施拒絕服務(wù)攻擊 。 2． IP地址欺騙 ? 所謂 IP地址欺騙 ， 就是偽造某臺(tái)主機(jī)的 IP地址的技術(shù) 。 （ 3） 要養(yǎng)成從地址欄中直接輸入網(wǎng)址來(lái)實(shí)現(xiàn)瀏覽網(wǎng)站的好習(xí)慣 。 然而，攻擊者控制了這個(gè) Web站點(diǎn)的“拷貝”，被攻擊對(duì)象和真的 Web站點(diǎn)之間的所有信息流動(dòng)都被攻擊者所控制了。 通過(guò)帶寬控制器也可以察覺(jué)出網(wǎng)絡(luò)通信速度的變化 。 混合模式讓所有經(jīng)過(guò)的數(shù)據(jù)包都傳遞給系統(tǒng)核心；然后被 Sniffer等程序利用 。 網(wǎng)絡(luò)監(jiān)聽(tīng)可以在網(wǎng)絡(luò)中的任何位置實(shí)施 ， 可以是網(wǎng)絡(luò)中的一臺(tái)主機(jī) 、 路由器 ， 也可以是調(diào)制解調(diào)器 。 （ 3） 利用特殊軟件在一些端口上欺騙黑客 ， 讓其掃描和攻擊 “ 陷阱 ” 端口 。 ? 檢測(cè)漏洞：包括已知安全漏洞的檢測(cè)、錯(cuò)誤的配置檢測(cè)、弱口令檢測(cè)。 ? 它并不是直接發(fā)送 TCP探測(cè)數(shù)據(jù)包，而是將數(shù)據(jù)包分成幾個(gè)較小的 IP段。有的系統(tǒng)不管端口是否打開(kāi)，都回復(fù) RST，這樣，這種掃描方法就不適用了。 （ 2） TCP SYN掃描 ? 這種技術(shù)通常認(rèn)為是 “ 半開(kāi)放 ” 掃描 ， 因?yàn)閽呙璩绦虿槐匾蜷_(kāi)一個(gè)完全的 TCP連接 。 ? 網(wǎng)絡(luò)掃描通常采用兩種策略： ? 第一種是被動(dòng)式策略 ， 所謂被動(dòng)式策略就是基于主機(jī)之上 ， 對(duì)系統(tǒng)中不合適的設(shè)置 、 脆弱的口令以及其他與安全規(guī)則抵觸的對(duì)象進(jìn)行檢查； ? 第二種是主動(dòng)式策略 ， 主動(dòng)式策略是基于網(wǎng)絡(luò)的 ， 它通過(guò)執(zhí)行一些腳本文件 ， 模擬對(duì)系統(tǒng)進(jìn)行攻擊的行為并記錄系統(tǒng)的反應(yīng) ， 從而發(fā)現(xiàn)其中的漏洞 。 如果黑客破壞了站點(diǎn)的安全性 ，則追蹤他們 ， 方法有： ? 借助工具來(lái)發(fā)現(xiàn) ， 如：掃描 、 監(jiān)聽(tīng)等 ? 對(duì)可疑行為進(jìn)行檢查 ， 如檢查系統(tǒng)命令等 ? 查看屢次失敗的訪(fǎng)問(wèn)口令 2．應(yīng)急操作 （ 1） 估計(jì)形勢(shì) 估計(jì)入侵造