黑客与管理员的较量!--再谈网络安全
随着宽带网络的普及,个人服务器、家庭局域网如雨后春笋般出现在小区局域网和校园网中,他们根据自己的喜好开设的各种各样的共享服务,为广大网虫们提供了丰富的共享资源,但由于自身的精力与资金的原因不能建立完善的防护体系,往往成为黑客和准黑客们的试验品,造成数据的丢失或硬件的损坏。因此如何保证网络安全及自身机器的安全就成了一个越来越重要的问题。
黑客与管理员是两个互相独立又互相了解的对立面,一个好的管理员如果不了解黑客的思路、做法,就无法来设置安全策略保护自己的网络,而一个黑客如果不熟悉各种安全措施,在面对着种类繁多的防护措施又会无从下手,双方为了攻击与反击想尽了方法,用尽了手段。正所谓“工欲善其事,必先利其器”,如果我们想要保护自己防范攻击就必须先了解对方的想法和思路以及他们使用的方法和工具,这样我们就可以根据他们所采用的方式方法来制定自己的安全策略,做到因法而异,准备以不变应万变,来对抗入侵。
威胁的分类
首先我们来看看网络资源的划分,以及这些资源存在的潜在威胁,一般来说网络中存在四种资源,即本地资源、网络资源、服务器资源、数据信息资源。本地资源指的是本地局域网中的个人计算机操作系统,或者是服务器的应用操作部分,这部分资源不仅仅受到黑客攻击的威胁,个人用户在使用应用程序或者操作系统时下载或者打开了JAVA、ActiveX、病毒或后门程序的文件,都会对本地计算机的操作系统构成威胁,使得操作系统崩溃,计算机无法使用。网络资源,即网络系统是本地资源与广域网进行数据交流的手段,黑客可以利用IP欺骗的手段使自己获得新的IP从而进入那些不能进入的地区,比如校园网、小区内部局域网等。对于个人服务器来说,因为不当使用服务器(比如不按要求下载,随意删除文件等)而被禁止和封杀IP的计算机,会通过这个方法重新进入服务器进行破坏活动。服务器资源就是指服务器上开设的各种服务(如WEB、FTP、E-MAIL等),黑客会利用这些服务器的漏洞,入侵服务器,获得各种权限,从而对服务器或局域网进行控制。数据信息资源指的是一些个人WEB中的访问者信息、好友信息、客户信息等,相对于公司的数据信息来讲个人数据信息受到的入侵威胁要小很多。
如果要为这些威胁分类的话,大致可以分为两类,一类是偶然性威胁。这是由于系统设备的原因,比如突然断电、重新启动、线路中断等原因获得了高级权限,从而进入或访问到没有授权给他的地域或信息,这类用户没有特殊的目的,而且事件发生的几率很小,一般不会对系统造成很大的伤害。而另一类用户则会造成很大的威胁,他们有备而来使用各种工具、方法去试探系统漏洞,然后从这些漏洞侵入系统,获取他们需要的资料或修改数据造成无法挽回的损失。
如果要给黑客们分类的话,大致可以分成两类。一类是偶然攻击者,他们与前面提到的偶然威胁中的用户可不一样,他们往往无目的地攻击服务器,试图搜索里面的信息,这样做的原因仅仅是为了满足他们的好奇心,使他们过了一把当黑客的瘾,这些人一般只会使用已有的黑客软件,或者从网上照搬来的攻击方法来试探系统漏洞。总体来说,水平一般,很业余,只要采取一般的保护措施,比如简单的防火墙或者升级系统补丁就可以把他们屏蔽在外了。而对付另一类顽固攻击者就没有这么简单了。他们大部分为网络及编程高手,熟悉各种程序语言、操作系统及网络各层间的协议,能够自己编写攻击程序,找到系统的漏洞,发现侵入的方法。而且这些人的目的远远不只是为满足一下自己的好奇心,而是为了商业机密,报复等原因。
攻击类型
现在我们再来说一下黑客几种主要和常见的攻击类型。拒绝服务攻击,这是目前最常见的攻击方式,一般是通过程序占用了主机上所有的资源,或者是在短时间内向主机发送大量数据包,影响其它正常数据交换,从而造成系统过载或系统瘫痪。网络蠕虫是目前最为常见的影响最大的实现拒绝攻击服务的方法。此外通过中止TCP握手过程和邮件炸弹也可以实现拒绝服务攻击。前门攻击,这种攻击方式最为直接,黑客会试图以系统承认的合法用户的身份登录系统进行访问。他们会直接试图利用字母组合去破解合法的用户名及密码。由于使用了配置强大的计算机运算的破解程序,前门攻击对于高级黑客来说也不是什么难事,所以当服务器日志中出现了大量登录失败的信息后,就说明很可能已经有黑客开始光顾服务器的前门了。天窗攻击和特洛伊木马攻击很相似,前者是直接利用管理员留下的后门(就是用于系统检测或故障维护的特殊用户通道)侵入系统;而后者是通过一些驻留内存的程序(后门病毒,代码炸弹等),为非法入侵者打开一个随时出入的特殊通道。IP欺骗和中间人攻击是另外两种类似的攻击手段,第一种前面已经提过,通过新生成的IP报头非法进入合法网络进行通讯,而中间人攻击则是首先通过IP欺骗获得合法身份,然后截取网络中的数据包获取其中的数据,从这些数据窃取合法的用户名和密码。
反攻击、反入侵
管理员在配置服务器的安全策略时一定要小心谨慎,比如在配置授权服务时,尽量用自己的方式为每个用户加上详细的描述来表述其身份,这样一旦发现新出现的用户没有描述,或未用你的方法进行描述,你可以立刻核对它的合法性,看是否为入侵后留下的额外控制账号。配置数据保护和数据集成可以为主机上的各种数据提供授权保护和加密,这样可以防止用户在远端登录主机时,登录信息被中途监听、截获,如果已经被截获,可以防止被破解。安全策略是管理员手里最基础的工具,有效地利用这个工具可以击退大部分非法入侵。
做为要建立服务器的管理员,首先要评估和分析自己服务器会受到哪些入侵,以及自己服务器上哪些资源数据容易被别人攻击。做好这样的评析才能方便地建立自己的安全策略,花最小的代价建立好最妥当的防护方法。入侵监视软件也是管理员必备的武器之一,它替代管理员对流入流出服务器的数据进行监视,检测其合法性。这类软件都还有一个规则数据库,用来和网络中实时交流的数据进行检测比较,通过那些合法的,中止那些非法的。管理员可以自行设置网络规则和应变手段,比如在发现入侵后进行反跟踪,找到入侵的源头。或者是直接进行反击,迫使黑客停止攻击,转入防御(比较常见的监听软件有ISS RealSecure、Axent Intruder Alert等)。而且在配置服务器时,尽量避免使用系统的默认配置,这些默认配置是为了方便普通用户使用的,但是很多黑客都熟悉默认配置的漏洞,能很方便地、从这里侵入系统,所以当系统安装完毕后第一步就是要升级最新的补丁,然后更改系统的默认设置。为用户建立好详细的属性和权限,方便确认用户身份以及他能访问修改的资料。定期修改用户密码,这样可以让密码破解的威胁降到最低。总之要利用好服务器自身系统的各种安全策略,就可以占用最小的资源,挡住大部分黑客了。
防火墙技术不等于前面提到的监视软件,它们是完全独立的两个部分。防火墙作为一道屏障应用于局域网出口处(当然现在市面上也有不少个人防火墙,但是不论是PC机还是局域网,它们的原理大同小异),防火墙系统可以是路由器、服务器、PC机构成,把需要保护的专用网络和公用网络相互隔离开来,它可以架设在高级网关处,比如网络的INTERNET连接处,也可以建立在低等网关处,这样可以把局域网中的某些敏感系统保护隔离起来。复杂高级的防火墙大都由许多软件和硬件构成,它们负责把安全的内部局域网连接到不安全的广域网中;使内部用户可以在保证安全前提下访问到外部网络(同时管理员可以设置防火墙来屏蔽一些特殊的网站,使得内部用户无法访问);所有对内部网络进行的攻击都集中在防火墙上,这样大大减轻了管理员的工作负担,只要直接调整防火墙上的安全措施就可以保证整个网络主机的安全;而且这个网络的通讯都要通过防火墙进行,方便进行监听和控制。
--------------------
相濡以沫,相掬以湿,不若相忘于江湖
~~~~~~~一天到晚游泳的鱼儿~~~~~~~
