黑客俘獲計算機的攻擊方法和防御詳解(上)

字號:

黑客在進行攻擊時會借用其他系統(tǒng)來達到自己的目的,如對下一目標的攻擊和被侵占計算機本身的利用等等。本文介紹了常見的黑客對被侵占計算機的使用方式和安全管理員相應的應對方法。
     黑客進行網(wǎng)絡攻擊時,除了自己手中直接操作的計算機外,往往在攻擊進行時和完成之后利用、控制其他的計算機。他們或者是借此達到攻擊的目的,或者是把這些計算機派做其他的用途。本文匯總描述了黑客各種利用其他計算機的手段,希望網(wǎng)絡與系統(tǒng)管理員能通過了解這些攻擊辦法來達到更好地進行安全防范的目的。
     一、對“肉雞”的利用
     “肉雞”這個詞被黑客專門用來描述Internet上那些防護性差,易于被攻破而且控制的計算機。
     1.1、本身數(shù)據(jù)被獲取
     原理介紹
     這是一臺計算機被攻破并完全控制之后,黑客要做的第一件事。很多黑客宣稱自己是非惡意的,只是對計算機安全感興趣,在進入別人的計算機時,不會進行破壞、刪除、篡改等操作。甚至還有更"好心"一些的黑客會為這些計算機打補丁,做一些安全加強。
     但是他們都回避了一個問題,那就是對這些計算機上本身保存的數(shù)據(jù)如何處理。確實,對別人的計算機進行破壞這種損人不利已的事情對這大多數(shù)黑客來講沒有太大意思,不過他們都不會反對把“肉雞”上的數(shù)據(jù)弄回來保存。這時黑客再說"沒有進行破壞"是說不過去的,根據(jù)計算機安全的基本原則,當數(shù)據(jù)的"完整性、可用性和機密性"中任意三者之一在受到破壞的時候,都應視為安全受到了破壞。在被占領的計算機上可能會保存著用戶信息、網(wǎng)絡拓撲圖、商業(yè)秘密、財務報表、軍事情報和其他各類需要保密的數(shù)據(jù),黑客獲得這些數(shù)據(jù)(即使只是查看數(shù)據(jù)的內(nèi)容而不下載)時正是破壞了保密性。在實際情況中,很多商業(yè)間諜和政治間諜都是這一類,他們只是默默地拿走你的數(shù)據(jù)而絕不做任何的破壞,而且盡可能地掩蓋自己行動的痕跡。這些黑客希望長時間大量地得到珍貴的數(shù)據(jù)而不被發(fā)覺,這其實是最可怕的一種攻擊行為。
     很多黑客會在“肉雞”上安裝FTP軟件或者開放FTP服務,再下載其數(shù)據(jù),但安裝軟件和開放服務這樣的動作很容易在系統(tǒng)中的各類日志留下記錄,有可能被發(fā)現(xiàn)。而不希望被人發(fā)覺的黑客會自己建立一臺FTP服務器,讓“肉雞”做為客戶端把自己的數(shù)據(jù)上傳過來。
     防御方法
     防止本身數(shù)據(jù)資料不被竊取,當然首先要考慮的是計算機本身不被攻破。如果自己是鐵桶一個,水潑不進,黑客無法在你的網(wǎng)絡中的計算機取得任何訪問的權限,當然就杜絕了絕大多數(shù)的泄密可能(請注意,這時候還是有可能會泄密的!比如被黑客欺騙而將數(shù)據(jù)發(fā)送出去)。我們先來看一下如何加強自己的計算機的操作系統(tǒng),對于所有需要事先控制的攻擊方式,這些手段都是有效的,在以后的章節(jié)中就不重復說明了。
     簡單地說,對于操作系統(tǒng)的加強,無論是Windows、Unix或是Linux,都可以從物理安全、文件系統(tǒng)、帳號管理、網(wǎng)絡設置和應用服務幾個方面來考慮,在這里我們不詳細討論全面的安全防護方案,只是提供一些簡單實用的系統(tǒng)安全檢查項目。這是安全的必要條件,而不是充分條件。
     物理安全
     簡單地說,物理安全就是你的計算機所在的物理環(huán)境是否可靠,會不會受到自然災害(如火災、水災、雷電等)和人為的破壞(失竊、破壞)等。物理安全并不完全是系統(tǒng)或者網(wǎng)絡管理員的責任,還需要公司的其他部門如行政、保安等一起協(xié)作,不過因為這是其他安全手段的基礎,所以我們網(wǎng)管員還是應該密切注意的。要特別保證所有的重要設備與服務器要集中在機房里,并制訂機房相關制度,無關人員不得進入機房等。網(wǎng)管員無特殊情況也不要進入機房,需要可以從外面的指定終端進行管理。
     如果重要的服務器暴露在人人都可以接近的外部,那么無論你的口令設得多么強大都沒用了,各種操作系統(tǒng)都可以用軟盤、光盤啟動來*密碼。
     文件系統(tǒng)安全
     文件和目錄的權限設置得是否正確,對系統(tǒng)中那些重要的文件,權限要重新設置;在Unix與Linux系統(tǒng)中,還要注意文件的setuid和setgid權限,是否有不適合的文件被賦予了這些權限;
     帳號系統(tǒng)安全
     帳號信息,用戶名和密碼是否合乎規(guī)則,具有足夠的復雜程度。不要把權限給予任何沒有必要的人;在Unix/Linux中可以合理地使用su與sudo;關閉無用賬號;
     網(wǎng)絡系統(tǒng)安全
     關閉一切不必要的服務。這一點不必多說了吧,每個開放的服務就象一扇開啟的門,都有可能會被黑客悄悄地進入;網(wǎng)絡接口特性。注意網(wǎng)卡不要處在監(jiān)聽的混雜模式;防止DoS的網(wǎng)絡設置。禁止IP轉發(fā)、不轉發(fā)定向廣播、限定多宿主機、忽略和不發(fā)送重定向包、關閉時間戳響應、不響應Echo廣播、地址掩碼廣播、不轉發(fā)設置了源路由的包、加快ARP表過期時間、提高未連接隊列的大小、提高已連接隊列的大小;禁用r*命令和telnet命令,用加密的SSH來遠程管理;對NIS/NIS+進行安全設置;對NFS進行安全設置;
     應用服務安全
     應用服務是服務器存在的原因,又是經(jīng)常會產(chǎn)生問題的地方。因為應用服務的種類太多,這里無法一一敘述,就請大家注意一下這方面的資料吧。如果有可能,我會在今后繼續(xù)提供一些相關知識??梢钥隙ǖ卣f,沒有一種應用程序是完全安全的,必須依靠我們?nèi)ブ匦略O置。
     對于防止數(shù)據(jù)被竊取,也有手段可以采用,使黑客侵入計算機之后不能盜竊數(shù)據(jù)和資料。這就是訪問控制和加密。系統(tǒng)訪問控制需要軟件來實現(xiàn),可以限制root的權限,把那些重要的數(shù)據(jù)設置為除了特殊用戶外,連root都無法訪問,這樣即使黑客成為root也沒有用。加密的手段有很多,這里也不詳細介紹了,文件通過加密會以密文的形式存放在硬盤中,如果不能正確解密,就是一堆沒有任何意義的字符,黑客就算拿到了也沒有用。