【正文】 息，所以黑客一般會采用清除系統(tǒng)日志或者偽造系統(tǒng)日志等方法來銷毀痕跡，以免被跟蹤。 攻擊者如果沒有辦法通過物理入侵直接取得所需要的資料，就會通過計策或欺騙等手段間接獲得密碼等敏感信息，通常使用電子郵件、電話等形式對所需要的資料進行騙取，再利用這些資料獲取主機的權(quán)限以達到其攻擊的目的。 在社會工程中那些黑客冒充失去密碼的合法雇員 ， 經(jīng)常通過這種簡單的方法重新獲得密碼 。 利用這種機制 ， 黑客可以任意進行偽造 ， 并冒充系統(tǒng)管理員輕松地獲得大量的信息 ， 以實施他們的惡意陰謀 。 （ 1） 簡單信息收集 。 如 ， Ping、 Finger、 Whois、Tracerroute等 。 使用掃描工具對網(wǎng)絡(luò)地址 、 開放端口等情況掃描 。 使用監(jiān)聽工具對網(wǎng)絡(luò)數(shù)據(jù)包進行監(jiān)聽 ， 以獲得口令等敏感信息 。 使用其它主機的 IP地址來獲得信息或者得到特權(quán) 。 通過主機間的信任關(guān)系 ， 以 Web形式實施的一種欺騙行為 。 用冒充的 Email地址進行欺騙 。 主要是針對人力因素的攻擊 ，通過社會工程技術(shù)來實現(xiàn) 。 （ 1） 緩沖區(qū)溢出：是指通過有意設(shè)計而造成緩沖區(qū)溢出的現(xiàn)象 ， 目的是使程序運行失敗 ， 或者為了獲得系統(tǒng)的特權(quán) 。 （ 3） 分布式拒絕服務(wù)攻擊：攻擊者通?？刂贫鄠€分布的 “ 傀儡 ” 主機 ， 對某一目標發(fā)動拒絕服務(wù)的攻擊 。 通過分析或暴力攻擊等手段獲取合法賬戶的口令 。 這里的 “ 木馬 ” 是潛在威脅的意思 ， 種植過木馬的主機將會完全被攻擊者掌握和控制 。 病毒攻擊是當今網(wǎng)絡(luò)信息安全的主要威脅之一 。 如果黑客破壞了站點的安全性 ，則追蹤他們 ， 方法有： ? 借助工具來發(fā)現(xiàn) ， 如：掃描 、 監(jiān)聽等 ? 對可疑行為進行檢查 ， 如檢查系統(tǒng)命令等 ? 查看屢次失敗的訪問口令 2．應(yīng)急操作 （ 1） 估計形勢 估計入侵造成的破壞程度 ， 如 ， 是否已經(jīng)入侵 ？是否還滯留 ？ 是否來自內(nèi)部等 。 （ 3） 分析問題 分析新近發(fā)生的安全事件 ， 并制定一個計劃 。 3．抓住入侵者 ? 遵循一定的原則，有利于抓住入侵者 ? 定期檢查登錄文件 ? 注意不尋常的登錄 ? 注意突然活躍的賬號 ? 預(yù)判入侵者的活動時間 黑客與信息安全 進入 21世紀 ， 黑客的行為又呈現(xiàn)出新的特點 ， 主要表現(xiàn)為： （ 1） 群體組織化 （ 2） 地域全球化 （ 3） 構(gòu)成大眾化 （ 4） 陣容年輕化 （ 5） 技術(shù)智能化 （ 6） 手段多樣化 （ 7） 動機商業(yè)化 （ 8） 身份合法化 （ 9） 行為軍事化 網(wǎng)絡(luò)掃描 掃描的概念 ? 網(wǎng)絡(luò)掃描就是對計算機系統(tǒng)或者其他網(wǎng)絡(luò)設(shè)備進行與安全相關(guān)的檢測 ， 以找出目標系統(tǒng)所放開放的端口信息 、 服務(wù)類型以及安全隱患和可能被黑客利用的漏洞 。 ? 如果被黑客掌握 ， 它也可以成為一種有效的入侵工具 。 ? 網(wǎng)絡(luò)掃描通常采用兩種策略： ? 第一種是被動式策略 ， 所謂被動式策略就是基于主機之上 ， 對系統(tǒng)中不合適的設(shè)置 、 脆弱的口令以及其他與安全規(guī)則抵觸的對象進行檢查； ? 第二種是主動式策略 ， 主動式策略是基于網(wǎng)絡(luò)的 ， 它通過執(zhí)行一些腳本文件 ， 模擬對系統(tǒng)進行攻擊的行為并記錄系統(tǒng)的反應(yīng) ， 從而發(fā)現(xiàn)其中的漏洞 。 ? 端口掃描是指通過檢測遠程或本地系統(tǒng)的端口開放情況，來判斷系統(tǒng)所安裝的服務(wù)和相關(guān)信息。 ? 主要的目的是： ? 判斷目標主機中開放了哪些服務(wù) ? 判斷目標主機的操作系統(tǒng) （ 1） TCP connect() 掃描 ? 這是最基本的 TCP掃描。 ? 如果端口處于偵聽狀態(tài)，那么 connect()就能成功。 （ 2） TCP SYN掃描 ? 這種技術(shù)通常認為是 “ 半開放 ” 掃描 ， 因為掃描程序不必要打開一個完全的 TCP連接 。 ? 一個 ACK的返回信息表示端口處于偵聽狀態(tài)；一個 RST返回，表示端口沒有處于偵聽態(tài)。 一些防火墻和包過濾器會對一些指定的端口進行監(jiān)視 ， 有的程序能檢測到這些掃描 。這種掃描方法的思想是，關(guān)閉的端口會用適當?shù)?RST來回復(fù)FIN數(shù)據(jù)包。有的系統(tǒng)不管端口是否打開，都回復(fù) RST，這樣，這種掃描方法就不適用了。 （ 4） UDP ICMP端口不能到達掃描 ? 這種方法使用的是 UDP。 因為打開的端口對掃描探測并不發(fā)送一個確認 ， 關(guān)閉的端口也并不需要發(fā)送一個錯誤數(shù)據(jù)包 。這樣你就能發(fā)現(xiàn)哪個端口是關(guān)閉的。 ? 它并不是直接發(fā)送 TCP探測數(shù)據(jù)包，而是將數(shù)據(jù)包分成幾個較小的 IP段。 （ 6）慢速掃描 ? 由于一般掃描檢測器的實現(xiàn)是通過監(jiān)視某個時間段里一臺特定主機被連接的數(shù)目來決定是否在被掃描，因此，攻擊者可以通過使用掃描速度慢一些的掃描軟件進行掃描，這樣檢測軟件就不會判別出他在進行掃描了。 ? 其原理是，采用模擬攻擊的形式，對工作站、服務(wù)器、交換機、數(shù)據(jù)庫應(yīng)用等各種對象可能存在的安全漏洞進行逐項檢查，根據(jù)掃描結(jié)果形成安全性分析報告。 ? 基于主機的漏洞掃描技術(shù)：用于掃描本地主機，查找安全漏洞，查殺病毒、木馬、蠕蟲等危害系統(tǒng)安全的惡意程序，主要是針對操作系統(tǒng)的掃描檢測，通常涉及系統(tǒng)的內(nèi)核、文件的屬性、操作系統(tǒng)的補丁等問題，還包括口令解密等。 ? 檢測漏洞：包括已知安全漏洞的檢測、錯誤的配置檢測、弱口令檢測。 ? 但是根據(jù)端口掃描的原理 ， 掃描器一般都只是查看端口是否開通 ， 然后在端口列表中顯示出相應(yīng)的服務(wù) 。 網(wǎng)絡(luò)掃描的防范 ? 對于端口掃描的防范需要進行統(tǒng)計分析，即在單位時間內(nèi)統(tǒng)計，當發(fā)現(xiàn)接收到超過上限數(shù)目的以掃描端口為目的的數(shù)據(jù)包請求時，可以判斷為發(fā)現(xiàn)了端口掃描攻擊。 網(wǎng)絡(luò)掃描的防范 防范掃描可行的方法是： （ 1） 關(guān)閉掉所有閑置的和有潛在威脅的端口 。 （ 3） 利用特殊軟件在一些端口上欺騙黑客 ， 讓其掃描和攻擊 “ 陷阱 ” 端口 。 它工作在網(wǎng)絡(luò)的底層，能夠把網(wǎng)絡(luò)傳輸?shù)娜繑?shù)據(jù)記錄下來，黑客一般都是利用該技術(shù)來截取用戶口令的。 網(wǎng)絡(luò)監(jiān)聽通常在網(wǎng)絡(luò)接口處截獲計算機之間通信的數(shù)據(jù)流 ， 是進行網(wǎng)絡(luò)攻擊最簡單 、 最有效的方法 。 進行網(wǎng)絡(luò)監(jiān)聽的主機只是被動地接收在網(wǎng)絡(luò)中傳輸?shù)男畔?， 沒有任何主動的行為 ， 既不修改在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包 ， 也不往鏈路中插入任何數(shù)據(jù) ， 很難被網(wǎng)絡(luò)管理員覺察到 。 網(wǎng)絡(luò)監(jiān)聽可以在網(wǎng)絡(luò)中的任何位置實施 ， 可以是網(wǎng)絡(luò)中的一臺主機 、 路由器 ， 也可以是調(diào)制解調(diào)器 。 2．監(jiān)聽的特點 監(jiān)聽雖然沒有直接對系統(tǒng)發(fā)動破壞性攻擊 ，但是其依舊是危險的 ， 主要危害有： （ 1） 能夠捕獲口令 。 （ 3） 可以用來危害網(wǎng)絡(luò)鄰居的安全 ， 或者用來獲取更高級別的訪問權(quán)限 。 3．監(jiān)聽的危害 監(jiān)聽的原理 正常情況下 ， 網(wǎng)卡只接收發(fā)給自己的信息 ， 但是如果將網(wǎng)卡模式設(shè)置為 Promiscuous（ 混雜模式 ） ，網(wǎng)卡進行的數(shù)據(jù)包過濾將不同于普通模式 。 混合模式讓所有經(jīng)過的數(shù)據(jù)包都傳遞給系統(tǒng)核心；然后被 Sniffer等程序利用 。 由于網(wǎng)卡支持混雜模式，才使網(wǎng)卡驅(qū)動程序支持MAC地址的修改成為可能；否則，就算修改了 MAC地址，但是網(wǎng)卡根本無法接收相應(yīng)地址的報文，該網(wǎng)卡就變得只能發(fā)送，無法接收，通信也就無法正常進行了。網(wǎng)絡(luò)監(jiān)聽器 Sniffer就是這樣的軟件。 還可以通過網(wǎng)絡(luò)帶寬出現(xiàn)反常來檢測嗅探 。 通過帶寬控制器也可以察覺出網(wǎng)絡(luò)通信速度的變化 。 Lsof的最初的設(shè)計目的并非為了防止嗅探器入侵 ， 但因為在嗅探器入侵的系統(tǒng)中 ， 嗅探器會打開 Lsof來輸出文件 ， 并不斷傳送信息給該文件 ，這樣該文件的內(nèi)容就會越來越大 。 最好的辦法就是使網(wǎng)絡(luò)嗅探不能達到預(yù)期的效果 ， 使嗅探價值降低 ， 可以使用的方法包括： （ 1） 采用安全的拓撲結(jié)構(gòu) ， 如 ， 網(wǎng)絡(luò)分段越細 ， 嗅探器收集到的信息就越少 。 （ 3） 采用靜態(tài)的 ARP或者 IPMAC對應(yīng)表 ， 可防止利用 ARP欺騙進行的嗅探 。 然而，攻擊者控制了這個 Web站點的“拷貝”，被攻擊對象和真的 Web站點之間的所有信息流動都被攻擊者所控制了。 雖然這種攻擊并不會直接造成被攻擊者主機的軟、硬件損壞，但是它所帶來的危害也是不能忽視的。 ? 開始攻擊：誘惑被攻擊對象連接到攻擊者的假的 Web頁面上。 Web欺騙的防范 1． 短期的解決辦法 （ 1） 上網(wǎng)瀏覽時 ， 最好關(guān)掉瀏覽器的 JavaScript，只有當訪問熟悉的