计算机网络每天都会遇到各种各样的威胁,其中来自人为的威胁已成为网络安全事故的主要来源,这些人为的威胁中大部分是由“黑客”造成的。
5.4.1“黑客”起源
“黑客”起源于20世纪70年代美国麻省理工学院的实验室。这里聚集了大批的高科技人才,他们精通计算机科学及相关知识,以工作为生活的乐趣,以科学成就来评定自身的价值。他们喜欢追求新的技术、新的思维,反抗权威,充满反传统的叛逆思维,对计算机的迷恋到了废寝忘食的地步,并以不断克服一个个计算机难题来获得乐趣。计算机对“黑客”而言不仅是一种智力挑战,也几乎成为了他们生命的一部分。“黑客”所从事的活动,意味着对计算机系统最大潜力的应用,意味着尽可能地使计算机的使用和获取信息成为免费和公开的,具有一定的积极意义。随着时光推进,他们逐渐形成了一种独特的文化,即“黑客”文化。因此,真正的“黑客”是指真正了解系统,对电脑有创造有贡献的计算机迷恋者。
但20世纪90年代后,“黑客”渐渐变成“入侵者”。许多所谓的“黑客”,在学会技术后,干起犯法的事情。例如,进入系统盗取信用卡密码,利用系统漏洞进入服务器后进行破坏,或利用“黑客”程序(特洛伊木马)控制别人的电脑。正是这些可耻的事情,改变了“黑客”在人们中的形象,“黑客”成为了入侵者。
“黑客”是英文“Hacker”的译音,原指热衷于电脑程序的设计者,现在则专指凭借所掌握的计算机技术,专门窥视别人在计算机网络上的秘密进行电脑犯罪的人。现在意义的“黑客”应该是入侵者“Cracker”,指的是怀着不良企图,利用获得的非法访问权闯入和破坏远程计算机完整性的人。他们破坏重要数据,为了个人目的而攻击他人,拒绝成为合法用户。他们没有做出对计算机发展有利的事情。现在的“黑客”一词泛指计算机系统的非法侵入者。
网络“黑客”往往利用自己在计算机方面的独特才能,专门搜寻政府和公司网站软件的漏洞,然后通过这些漏洞潜入网站内部,盗窃信用卡号、公司商业机密,偷窃数据、篡改内容、扰乱交易等,有时甚至使用特殊软件工具使受攻击网站瘫痪。近几年发生的许多侵入他人网站,破坏电脑的高科技案件都与“黑客”有关。随着信息网络的发展,“黑客”已不再是黑暗中隐藏的黑手,而是已露出凶相的“狼群”。网络“黑客”已到了无孔不入的地步。“黑客”的存在正给网络造成越来越多的危害,并潜藏着巨大的威胁。有数据显示,无论是政府机构、军事部门,还是大银行、大公司,甚至学校、家庭只要与互联网接轨,就难逃“黑客”的“黑手”。
“黑客”的存在和对网络系统的入侵,至少说明了三个方面的问题:一是互联网在信息安全方面存在不足;二是大量的公司、机构以及学校等用户对网站或电脑系统疏于管理,对防范“黑客”的攻击准备不足;三是计算机软件多少存在这样或者那样的漏洞。
5.4.2“黑客”攻击的原理和方法
随着“黑客”活动的日益猖獗,信息安全问题越来越多地被各级政府和网络管理部门提到重要议事日程上来。“黑客”攻击网络的手段十分丰富,令人防不胜防。分析和研究“黑客”活动的手段和采用的技术,对加强网络安全建设、防止网络犯罪有很好的借鉴作用。
1.“黑客”攻击过程
(1)踩点(信息收集)。
踩点,就是针对攻击目标的信息收集,“黑客”会尽可能多地收集关于攻击对象安全态势的各个方面信息,以得到关于该攻击对象的互联网、远程访问及内联网/外联网的轮廓。信息的收集并不对目标产生危害,只是为进一步的入侵提供有用信息。
操作系统总是有一些漏洞,在这些漏洞中,一些是已知的,一些则是需要仔细研究才能发现的。而管理员不可能不停地阅读每个平台的安全报告,因此极有可能对某个系统的安全特性掌握得不够。“黑客”通过对上述信息的分析,就可以得到对方计算机网络可能存在的漏洞。“黑客”根据信息收集所获得的信息,可以建立模拟环境,然后对模拟目标机进行一系列的攻击。通过检查被攻击方的日志,可以了解攻击过程中留下的“痕迹”。这样攻击者就知道需要删除哪些文件来毁灭其入侵证据,并在攻击中采取哪些方法进行攻击。
(2)扫描(系统安全弱点的探测和分析)。
在收集到一些要攻击目标的信息后,“黑客”会探测目标网络上的每台主机,来寻求系统内部的安全漏洞。通常攻击者可以用自编工具或公开的程序自动扫描驻留目标系统,检测可能存在的安全漏洞。公开的程序包括基于SuperScan、PortScan及NESSUS等扫描器。也包括一些商用的系统,如ISS的安全漏洞扫描器等。完成扫描后,可对所获数据进行分析,发现安全漏洞,如FTP漏洞、NFS输出到未授权程序中、不受限制的调制解调器、Sendmail的漏洞等。
在对踩点信息进行汇总分析后,还要进行进一步的对具体网络的探测,以得到其所攻击目标的漏洞列表。这些漏洞包括:操作系统类型、操作系统的版本、所提供的服务及其版本、网络拓扑结构、网络设备、防火墙等。
(3)实施攻击。
当攻击者使用上述方法,收集或探测到一些“有用”信息后,就可以对目标系统实施攻击。攻击者可以通过猜测程序对截获的用户账号和口令进行破译或利用破译程序对截获的系统密码文件进行破译等,以获得目标系统的访问权。攻击者一旦获得了对攻击目标系统的访问权后,可能的攻击选择有多种。
如果攻击者在被攻破系统上获得了特权用户权限,就可以读取邮件、搜索和盗窃私人文件、毁坏重要数据及破坏整个系统的信息等,造成极其严重的后果。还可以在被攻破的系统上建立后门,以便在先前的攻击被发现后,还可以继续访问这个系统。根据已知的漏洞,实施攻击。攻击同样也是对不同类型级别的安全漏洞发动有针对性的攻击,而对于网络的攻击则大多集中在欺骗及监听。有些交换设备存在一些特定的漏洞,若被“黑客”利用,就有可能被控制。例如,“黑客”一旦控制或攻破了一个路由器,就可采用ARP欺骗或进行嗅探,从而发起攻击。
2.攻击方法分类
进行“黑客”攻击行为分析是研究、设计和实现“黑客”入侵防范的第一步,“黑客”攻击行为分析的一个有效方法是对“黑客”攻击行为进行分类。“黑客”对网络的攻击方式是多种多样的。到目前为止,已经发现的攻击方式超过3000种,这些攻击可以大致划分为以下几类。
(1)欺骗攻击。
网络是一个虚拟的世界,很难知道网络的背后是什么。人们看到的只是一个貌似合理而且可信的用户界面,在作出决定时没有考虑它的真实性,或者根本无法断定它是否就是那个真实的世界。欺骗行为是多种多样的,Web欺骗和IP欺骗是常见的欺骗行为攻击。
①Web欺骗。
在网上用户可以利用IE等浏览器进行各种各样的Web站点的访问,如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在。正在访问的网页已经被“黑客”篡改过,网页上的信息是虚假的。例如“黑客”将用户要浏览的网页的URL改写为指向“黑客”自己的服务器,当用户浏览目标网页的时候,实际上是向“黑客”服务器发出请求,那么“黑客”就可以达到欺骗的目的了。
Web欺骗主要利用的是人们对网站的一种先入为主的信任。比如在地址栏中输入某个商业网站的域名或IP地址后,如果出现界面正好是使用者所期望的,那么就会认为那正好就是那个公司的主页。于是,使用者开始在网上购物,然后填写其信用卡号和密码,购买所需商品。然而,由于该商业网站是假冒的,使用者永远也无法收到其购买的商品,而且还白白地损失了不少钱财。
②IP欺骗。IP欺骗是利用主机之间的信任关系,伪装成被攻击目标信任的系统,然后登录到目标系统上进行进一步攻击的一种高级的攻击方式。在Unix主机中,相互信任的主机可以很方便地从其中的一台主机登录到另一台主机。因而IP欺骗所要做的工作就是让自己变成其中的一台,从而获取对方的信任。
(2)中间人攻击。
中间人攻击是指攻击者通过某种方法(如攻破DNS服务器,控制路由器等)把目标机器域名的对应IP地址指向攻击者所控制的机器,这样所有外界对目标机器的请求将流向攻击者机器,这时攻击者可以转发所有的请求到目标机器,让目标机器进行处理,再把处理结果发回到发出请求的客户机。实际上,就是把攻击者的机器设成目标机器的代理服务器,这样,所有外界进入目标机器的数据流都在攻击者的监视之下了,攻击者可以任意窃听甚至修改数据流里的数据,收集到大量的信息。攻击所需的工具是代理服务器软件,它可以监听任意端口,把从某个(些)端口收到的数据包转发到任意机器的任意端口,利用它的这个功能可以把机器轻易地配置成最简单的代理服务器。
(3)拒绝服务攻击。
拒绝服务攻击DoS(Denial of Service)是通过使被攻击对象的关键系统资源过载,从而使被攻击对象停止部分或全部服务。这种攻击行动使网络服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。目前已知的DoS攻击有几百种,它是最基本的入侵攻击手段,也是最难对付的入侵攻击之一。
(4)口令攻击。
口令攻击方法是一种最常见的攻击方法,也是最有效的攻击方法。如果攻击者能获得用户的口令,他就能获得机器或者网络的访问权,并能访问到用户能访问的任何资源;如果用户有域管理员或ROOT用户权限,这是极其危险的。口令攻击有三种方式:一是词典攻击,因为大多数人使用普通词典中的单词作为口令。二是强行攻击,也叫暴力破解,它是用速度足够快的计算机尝试字母、数字、特殊字符等所有组合,最终达到破解口令的目的。三是组合攻击,词典攻击只能发现词典单词口令,速度快,强行攻击能破解所有口令,但花费的时间可能很长。针对上述几种口令攻击方法的弱点,攻击者常常使用几种方法的组合,而进行组合攻击。
(5)特洛伊木马攻击。
特洛伊木马,英文叫做“Trojanhorse”,其名称取自希腊神话的“特洛伊木马记”,它是一种基于远程控制的“黑客”工具,是一种恶意程序。
特洛伊木马程序可以直接侵入用户的电脑并进行破坏,它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或者执行了这些程序之后,它们就会像古特洛伊人在敌人城外留下的藏满士兵的木马一样留在用户的电脑中,并在用户的计算机系统中隐藏一个可以在操作系统启动时悄悄执行的程序。当你连接到互联网上时,这个程序就会通知“黑客”,来报告你的IP地址以及预先设定的端口。
大多数特洛伊木马包括客户端和服务器端两个部分。攻击者利用一种称为“绑定程序”的工具将服务器部分绑定到某个合法软件和文件上,这样当用户运行这些合法软件或存取这些文件时,特洛伊木马的服务器部分就会神不知鬼不觉地被安装在用户的主机中,木马一旦被植入攻击主机后,一般会通过一定的方式把入侵主机的IP地址、木马植入的端口等发送给攻击者所在的客户端,这样攻击者就可以删除或修改文件、格式化硬盘、上传和下载文件、侵占系统资源、骚扰用户、窃取内容、实施远程控制(如控制鼠标、接管键盘),这使得其成为最危险的恶意软件。
(6)重放攻击。
重放攻击是指窃听系统间的数据交换,对其进行认真研究,发现其中可供利用的部分,比如固定的搁置等,然后复制格式相同的消息,主要是系统双方的认证机制已经确立,目标系统会误认为该数据来源于原来的主机,从而达到欺骗目标主机的目的。这又是一种间接的攻击方式,就是说,入侵者不必对口令进行解密,需要的是重新编写客户端软件以使用加密口令实现系统登录。重放攻击中主要用到的是嗅探技术,因此这在一定程度上限制了这种攻击方式的威力。虽然现代技术使得嗅探可以突破局域网的限制,但是这种技术的复杂性使大部分攻击者望而却步。
(7)电子邮件攻击。
电子邮件攻击主要表现为两种方式:一是电子邮件轰炸和电子邮件“滚雪球”,就是通常所说的邮件炸弹,指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件,致使受害人邮箱被“炸”,严重者可能会给电子邮件服务器操作系统带来危险,甚至瘫痪;二是电子邮件欺骗,攻击者佯称自己为系统管理员(邮件地址和系统管理员完全相同或相似),给用户发送邮件要求用户修改口令(口令可能为指定字符串)或在貌似正常的附件中加载病毒或其他木马程序,这类欺骗只要用户提高警惕,一般危害性不是太大。
除以上攻击外,还有系统漏洞攻击、内部攻击、蛮力攻击(暴力攻击)、天窗攻击、社会工程攻击等“黑客”攻击手段。这些方法都会对计算机网络造成一定程度的损害。
5.4.3“黑客”攻击的常用工具
“黑客”攻击时使用的攻击工具多种多样,但万变不离其宗,离不开扫描器、嗅探器、口令攻击器、特洛伊木马以及其他一些手段的综合使用,下面对“黑客”常用的工具进行分析:
1.扫描器
扫描器是进行“黑客”活动的基础。扫描器是一种自动检测远程或本地主机安全性弱点和漏洞的程序。如果使用扫描器,用户可以令任何人都无法察觉到远程服务器的各种TCP端口的分配,以及它们所提供的服务和软件版本。使用扫描器进行扫描,一般是“黑客”攻击的前奏。扫描器不能直接发动攻击,它仅仅有助于发现目标远程主机的某些内在弱点和漏洞。扫描器所发现的漏洞可能是破坏目标主机安全的关键之处,也可能毫无用处。扫描器通过扫描TCP/IP端口和服务,并记录目标机的回答,以此获得关于目标机的信息。理解和分析这些信息,就可能发现破坏目标机安全性的关键因素。
常用的扫描器有很多,有些可以在互联网上免费得到,如NSS(网络安全扫描器)、Strobe(超级优化TCP端口检测程序)、SATAN(安全管理员的网络分析工具)等专用工具。扫描器还在不断发展变化,每当发现新的漏洞,检查该漏洞的功能就会被加入已有的扫描器中。扫描器不仅是“黑客”用作网络攻击的工具,也是维护网络安全的重要工具。系统管理人员必须学会使用扫描器。
2.口令攻击器
通过口令进行攻击是多数“黑客”常用的方法。所谓的口令入侵,是指破解口令或屏蔽口令保护。但实际上,真正的加密口令是很难逆向破解的。“黑客”们常用的口令入侵工具所采用的技术是仿真对比,利用与原口令程序相同的方法,通过对比分析,用不同的加密口令去匹配原口令。
口令攻击器是一个程序,它能将口令破译出来。口令攻击器一般并不是真正地去解开加密的算法,而是通过尝试一个一个的单词,用各种加密算法加密这些单词,如果发现一个单词经过加密后的结果和要解密的数据一样,就认为这个单词就是要找的密码。
“黑客”们破解口令的过程大致如下:“黑客”攻击目标时常把破译普通用户的口令作为攻击的开始。先使用命令“finger远端主机名”来找出主机上的用户账号,然后采用字典穷举法进行攻击。因为网络用户常使用一个英语单词或自己的姓名作为口令。通过一些程序,自动地从电脑字典中取出一个单词,作为用户的口令输入给远端的主机,申请进入系统。若口令错误,就按顺序取出下一个单词,进行下一个尝试,并一直循环下去,直到找到正确的口令,或字典的所有单词都尝试完为止。当然破译过程由计算机程序来自动完成,几个小时就可以把字典的所有单词都试一遍。若这种方法不能奏效,“黑客”就会仔细寻找目标的薄弱环节和漏洞,伺机夺取目标中存放口令的shadow(影子)文件或密码文件。然后通过专门破解加密算法的程序来破解口令。
口令攻击是网络上最为常见的攻击手段。随着计算机用户水平的提高,很多人学会了使用工具搜索口令,因此,过于简单的口令就会成为攻击者的突破口。
3.网络嗅探器
网络嗅探器是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具,用于截获网络上传输的信息。它用在以太网或其他共享传输介质的网络上。放置嗅探器,可使网络接口处于广播状态,从而截获网上传输的信息。利用嗅探器可截获口令、秘密的和专有的信息,用来攻击相邻的网络。嗅探器的威胁还在于被攻击方无法发现。嗅探器是被动的程序,本身在网络上不留下任何痕迹。系统管理员也能够使用嗅探器来判断网络中存在的问题。
嗅探器很难被发现,因为运行嗅探器的主机只是被动地接受在局域网上传输的数据包,并没有主动的行动。常用的嗅探器有:Gobbler、ETHLOAD、Netman、Linux Sniffer。c、NitWitc等。
4.破坏系统工具
常见的系统破坏装置有电子邮件炸弹和病毒等。其中邮件炸弹的危害性较小,而病毒的危害性则很大。
电子邮件炸弹是“黑客”常用的一种攻击手段。邮件炸弹的实质是不停地将无用信息传送给攻击方,填满对方的邮件信箱,使其无法接收有用信息。另外,邮件炸弹也可以导致邮件服务器的拒绝服务。常用的E-mail炸弹有:KaBoom、Unabomber、eXtreme Mail、Homicide、FlameThrower等。
病毒程序与特洛伊木马程序有明显的不同。特洛伊木马程序是静态的程序,存在于另一个无害的被信任的程序之中。病毒程序则具有自我复制的功能,它的目的就是感染计算机。在任何时候病毒程序都是清醒的,监视着系统的活动。一旦系统的活动满足了一定的条件,病毒就活跃起来,把自己复制到那个活动的程序中去。因此,病毒的危害很大,常给计算机造成不可估量的损失。
5.4.4防范“黑客”的措施
“黑客”的攻击是令人头疼的事情,因为系统会有漏洞,使用者的疏忽也会留下漏洞,所以网络攻击的实质就是利用被攻击信息系统自身存在的安全漏洞,通过网络命令和专用软件侵入对方网络系统进行破坏或劫取数据资料,其防范的主要措施有以下几个方面:
1.及时升级操作系统的补丁,做到有备无患
任何操作系统都有漏洞,作为网络系统管理员就有责任及时地将“补丁”(Patch)打上。目前大部分服务器使用的是微软的Windows操作系统,因为使用的人特别多,所以发现的Bug也特别多,同时,蓄意攻击它的“黑客”也特别多。例如Windows XP中,SMB数字签名的实现存在缺陷,攻击者可利用此缺陷将目标系统SMB数字签名设置等级降低,从而便于进行进一步的破坏行为。
及时打补丁堵住漏洞。微软的那些没完没了的补丁包是有用的,很多时候,这些补丁能有效堵住漏洞使系统更安全一些。尽管补丁包出现总会晚于漏洞的出现,但作为亡羊补牢的措施还是有必要的。微软公司为了弥补操作系统的安全漏洞,在其网站上提供了许多补丁,所以使用者要注意及时到网上下载并安装相关升级包。
2.安装网络防火墙,有效地控制数据包的传送
防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
防火墙是基于操作系统的。如果信息通过操作系统的后门绕过防火墙进入内部网,则防火墙失效,这也就是前面讲到的升级系统补丁的重要性。防火墙可以有效阻挡各种攻击,有非常灵活的规则设置。规则是一系列的比较条件和一个对数据包的动作,就是根据数据包的每一个部分来与设置的条件比较,当符合条件时,就可以确定对该包放行或者阻挡。通过合理的设置规则就可以把有害的数据包挡在机器之外。
目前的防火墙产品主要有包过滤路由器、代理服务器、屏蔽主机防火墙、双宿主机等类型。防火墙是保护网络免遭“黑客”袭击的有效手段,但也有明显不足。它无法防范通过防火墙以外的其他途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
3.采用入侵检测系统
采用入侵检测系统是一个能够对网络或计算机系统的活动进行实时监测的系统,它能够发现并报告网络或系统中存在的可疑迹象,为网络安全管理提供有价值的信息。从入侵检测的技术来划分,IDS可以划分为两类:基于网络入侵检测和基于行为的入侵检测。入侵检测是信息安全的新兴技术。现在,大多数的IDS产品综合采用三个基本方法来检测网络入侵:审计追踪、网包分析和实时活动监控。IDS利用审计追踪来分析用户、操作系统、路由器或者数据库,判断有无入侵活动。网包分析是基于网络的入侵检测方法,它可以实时监控网络活动,包括:捕获及检测网包的头及内容,将网包与数据库中记录的以往的攻击模式加以比较,如果检测到恶意攻击,立即启动回击系统。入侵检测是对防火墙系统的有效补充。二者搭配能够构建一个比较完整的防护外来攻击的系统。
4.关闭不必要的端口
端口就像我们出入的门一样,互联网上的数据是通过端口来传输的,常见的smtp、pop3、http、ftp、telnet等协议的端口分别为25、56、110、80、21、23.像最后两个端口一般不用就应该关闭,否则将给攻击者提供攻击条件,造成不必要的麻烦。
5.在网络内部使用代理网关
使用代理网关的好处在于,网络数据包的交换不会直接在内外网络之间进行。内部计算机必须通过代理网关,进而才能访问到互联网,这样操作者便可以较方便地在代理服务器上对网络内部的计算机访问外部网络进行限制。
6.建立监督机制,打击网络犯罪
网络犯罪的递增和大量“黑客”的层出不穷,迫使我们对计算机安全问题加以重视,防范和打击网络“黑客”的网上犯罪至今仍为一个世界性的难题。面对网络安全问题日益突出的严峻形势,各国都非常重视。如美国专门委派了一名将军来负责统帅美国的“网上特种兵”。在欧洲,许多国家已经制定了反“黑客”的条约,对计算机犯罪进行联合调查并且惩治,像印度和泰国,已对计算机犯罪制定了法律。我国也专门在《刑法》中规定了打击和惩治网络“黑客”的法律条文。随着网络相关法律的建立和完善,相信在破坏与“反黑”的对抗中,网络将会更好。
针对“黑客”层出不穷的入侵技术,对“黑客”入侵的基本防御方法也在不断发展。任何“黑客”攻击方法都有它本身的弱点,只要掌握这些弱点,就可以对其加以监视和控制,从而降低它对网络安全所造成的影响。“黑客”攻击手段越来越高明,所以我们必须找出其弱点,才能使得自己的网络不受到攻击,使得人们能更加放心地享受网络给我们带来的种种便利。
“思考题”
1.为什么电子商务交易必须保证网络安全?
2.网络安全防范技术有哪些?
3.什么是系统物理安全防范的措施?
4.安全防范策略的实施是什么?
5.“黑客”攻击的常用工具有哪些?
6.防范的“黑客”措施是什么?