现在国际上几乎每20秒就有一起黑客事件发生,仅美国,每年由黑客所造成的经济损失就高达100亿美元。"黑客攻击"在今后的电子对抗中可能成为一种重要武器,今年5月,在中美撞机事件后,中国的"红客"与美国的"黑客"就进行了针对对方网络的大规模的网上攻防对抗。随着互联网的日益普及和在社会经济活动中的地位不断加强,互联网安全性得到更多的关注。因此,有必要对黑客现象、黑客行为、黑客技术、黑客防范进行分析研究。
事实上,"黑客"并没有明确的定义,它具有"两面性"。黑客在造成重大损失的同时,也有利于系统漏洞发现和技术进步。
一、特洛伊木马
简单的说,特洛伊木马是包含在合法程序中的末授权代码,执行不为用户所知的功能,又称特洛伊或木马。国际著名的病毒专家Alan Solomon博士在他的《病毒大全》一书中给出了另一个恰当的定义:特洛伊木马是超出用户所希望的,并且有害的程序。一般来说,我们可以把特洛伊看成是执行隐藏功能的任何程序。
特洛伊可以在任何地方、在任何应用程序里、在任何操作系统中以任意形式出现,特洛伊也能够在特定的条件和时间做任何事情。在互联网安全性范围里,特洛伊可以收集情报,甚至破坏系统,例如利用特洛伊显示一个系统的特权信息。
开发特洛伊的业余编程者可能仅仅是想制造-些麻烦的小孩;也可能是参与系统开发的合法编程者有意设计。这些情况-般是内贼作案,-些参与开发的人在应用程序(或极少的情况在操作系统)中插入-段未授权的代码。
特洛伊是网络发布中常见的一种威胁,因此从互联网下载软件时应当特别小心。特洛伊很难被发现,它们只是静悄悄地执行预定任务。更糟糕的是,很多设计高明的特洛伊都被伪装成系统中正常运行的应用程序,因此通过列出当前执行中的程序并不能检测出特洛伊。特洛伊隐蔽威胁,即使在它们被发现后,也没有人能精确地知道它对系统造成损害已有多深。许多系统管理员缺乏安全方面足够的知识,这也使很多站点处于危险之中。
特洛伊的类型有多种,包括:远程访问型特洛伊木马,它在你的电脑上打开一个端口,使每一个人可以连接;密码发送型特洛伊木马,它找到所有的隐藏密码并且在受害者不知道的情况下把它们发送到指定的信箱;键盘记录型木马,它记录受害者的键盘敲击并且在LOG文件里查找密码;毁坏型木马,它毁坏并且删除文件,这使它们非常简单,而且很容易被使用;FTP型特洛伊木马,这类的特洛伊木马打开电脑的一个端口,使每一个人都可以有一个FTP客户端,可以不用密码连接到该电脑,而且会有完全的上传下载选项。
分析了特洛伊木马的特性后,再来看木马的检测和消除:
● 查看系统配置文件,检查是否有异常现象;
● 查看启动组,有没有什么非正常项目;
● 查看注册表,键值中有没有自己不熟悉的自动启动文件项目;
● 上网过程中,正常使用操作时,发现计算机速度明显起变化、硬盘在不停地读写、鼠标不听使唤、键盘无效、一些窗口被自动关闭、新窗口被莫名其妙地打开.....这一切的不正常现象都可以怀疑是木马客户端在远程控制你的计算机;
● 如果怀疑被木马控制,那么不要慌张地去拔网线或抽拔Modem上的电话线,有可能的话,最好可以逮到"黑"你的那个家伙;
● 删除木马,应用木马的客户端程序进行删除或手工删除;为保险起见,重新启动以后再用各种检测木马的方法对系统进行检查,以确保木马被删除。
二、拒绝服务
2000年2月,美国的网站遭到黑客大规模的攻击。由于商务网站的动态性和交互性,黑客们在不同的计算机上同时用连续不断的服务器电子邮件请求来轰炸Yahoo等网站。在袭击的最高峰,网站平均每秒钟要遭受1000兆字节数量的猛烈攻击,这一数据相当于普通网站一年的数据量,网站因此陷入瘫痪。这就是所谓的"拒绝服务" (Denial Of Service)攻击了。
"拒绝服务"实际就是分布式D.O.S攻击(Distributed Denial Of Service)。这种攻击的简单原理是:攻击者首先通过一些常用的黑客手段侵入并控制一些网站,在这些网站的服务器上安装并启动一个进程,这个进程将听命于攻击者的特殊指令。当攻击者把攻击目标的IP地址作为指令下达给这些进程的时候,这些进程就开始向目标主机发送攻击。这种方式集中了几百台甚至上千台服务器的带宽能力,对单一目标实施攻击,其威力极其巨大,在这种悬殊的带宽对比下,被攻击目标的剩余带宽被迅速消耗殆尽。
目前还没有绝对有效的对付"拒绝服务"的手段。2000年1月下旬,来自全美的安全专家们在加利福尼亚举行的第6次RSA安全会议上讨论了这种攻击,并试图制定对付措施,但没有得出有效的解决方案。"拒绝服务" 攻击在今后也许会成为信息相对落后国家对付信息战的一种有效手段。
三、网络嗅探器
嗅探器(Sniffer)就是能够捕获网络报文的设备。嗅探器的正当用处在于监视网络的状态、数据流动情况以及网络上传输的信息,分析网络的流量,以便找出网络中潜在的问题,有时又叫网络侦听。嗅探器程序在功能和设计方面有很多不同,有些只能分析一种协议,而另一些则能够分析几百种协议。例如,如果网络的某一段运行得不是很好,报文的发送比较慢,又不知道问题出在什么地方,此时就可以用嗅探器来作出精确的问题判断。因此嗅探器既指危害网络安全的网络侦听程序,也指网络管理工具。
当信息以明文的形式在网络上传输时,便可以用嗅探器来进行攻击。网络监听可以在网上的任何一个位置实施,如局域网中的一台主机、网关或远程网的调制解调器之间等。嗅探器的安全危害与一般的键盘捕获程序不同,键盘捕获程序捕获在终端键盘上输入的键值,而嗅探器则捕获真实的网络报文,在互联网上一个位置放置得很好的嗅探器可以捕获成千上万的指令流。黑客们用得最多的是用嗅探器截获用户的口令。
实际上嗅探器的攻击非常普遍。1994年,一件最大的嗅探器攻击事件被发现,使得当时的美国海军研究中心发出了书面的安全建议,美国科学、空间与技术委员会的科学分会就此进行专门讨论,研究对策。
嗅探器网络监听的特点是:
● 网络响应速度慢。网络监听要保存大量的信息,并对收集的信息进行整理,因此,正在进行监听的机器对用户的请求响应很慢,但也不能完全凭此而判定其正在运行网络监听软件;
● 只能监听同一网段的主机,这里同一网段是指物理上的连接;
● 网络监听最有用的是获得用户口令。目前网上的数据绝大多数是以明文的形式传输,而且口令通常都很短且容易辨认;
● 网络监听很难被发现。运行网络监听的主机只是被动地接收在局部网络上传输的信息,并没有主动的行动,既不会与其他主机交换信息,也不修改在网上传输的信包。
● 击败网络监听最有效的方法是使用安全的网络拓朴结构。这种技术通常被称为分段技术。将网络分成一些小的网络,每一网段的集线器被连接到一个交换机上。这样,网络中其余部分(不在同一网段的部分)就被保护了 ,用户也可以使用网桥或者路由器来进行分段。
四、扫描程序
扫描程序(Scanner)是自动检测主机安全脆弱点的程序。通过使用扫描程序,一个洛杉矶用户足不出户就可以发现在日本境内服务器的安全脆弱点。扫描程序通过确定下列项目,收集关于目标主机的有用信息:当前正在进行什么服务、哪些用户拥有这些服务、是否支持匿名登录、是否有某些网络服务需要鉴别。
早期的扫描程序是专门为UNIX操作系统编写的,现在几乎所有的操作系统都有扫描程序的出现。运行扫描程序必须要有网络连接,网络速度和内存影响扫描的效率,此外,还会受到运行平台的一些限制。
扫描程序具有两面性:一方面它能揭示一个网络的脆弱点,扫描程序可以使一些烦琐的安全审计工作得到简化;另一方面,在不负责任的人手中,扫描程序会对网络的安全造成合法的威胁。因此,关于扫描程序是否合法一直处于争论之中。-些人认为,扫描目标就像靠近一个房子,并拿着铁撬棍试图去撬门和窗,这种行为是违法入侵;另外一些人则认为扫描就象去试着拨打一个电话号码,任何人都有权这样做。至今还没有一种法律对此作出明确的规定。
还有一点需要说明的是现在的安全管理员可能过于依赖扫描程序,这是一个误区。因为,尽管大多数远程攻击已集成到商业扫描程序中,然而仍然有很多攻击还没有集成进来。扫描程序最多提供一个快速观察TCP/IP安全性的工具。它们不应该是保证网络安全的唯一工具。扫描程序只是系统管理员使用的很多工具中的一种。
五、字典攻击
字典攻击是一种典型的网络攻击手段,简单的说它就是用字典库中的数据不断的进行用名和口令的反复试探。一般黑客都拥有自己的攻击用字典,其中包括常用的词、词组、数字及其组合等,并在进行攻击的过程中不断的充实丰富自己的字典库,黑客之间也经常会交换各自的字典库。
对付字典攻击最有效的方法,是设置合适的口令,强烈建议不要用自己的名字或简单的单词作为自己的口令,如果能隐蔽自己的用户名当然更好。目前有一些工具是专门来检测口令的,可以借此来过滤"不好"的口令,提高系统的安全性。