黑客手段揭秘及预防措施全面分

　　黑客一词，源于英文Hacker，原指热心于计算机技术，水平高超的电脑专家，尤其是程序设计人员。美国《黑(骇)客帝国》的热映，使得黑客文化得到了广泛的，也许很多人会觉得黑客一词是用来形容那些专门利用电脑搞或恶作剧的家伙，而对这些人的正确英文叫法是Cracker，有人翻译成“骇客”。不管是叫黑客还是骇客，他们根本的区别是:黑客们建设、，而骇客们入侵、。

　　目前造成网络不安全的主要因素是系统、协议及数据库等的设计上存在缺陷。由于当今的计算机网络操作系统在本身结构设计和代码设计时偏重考虑系统使用时的方便性，导致了系统在远程访问、权限控制和口令管理等许多方面存在安全漏洞。

　　网络互连一般采用TCP/IP协议，它是一个工业标准的协议簇，但该协议簇在制订之初，对安全问题考虑不多，协议中有很多的安全漏洞。同样，数据库管理系统(DBMS)也存在数据的安全性、权限管理及远程访问等方面问题，在DBMS或应用程序中可以预先安置从事情报收集、受控激发、定时发作等程序。

　　由此可见，针对系统、网络协议及数据库等，无论是其自身的设计缺陷，还是由于人为的因素产生的各种安全漏洞，都可能被一些另有图谋的黑客所利用并发起。因此若要网络安全、可靠，则必须熟知黑客网络的一般过程。只有这样方可在凸セ髑白龊帽匾姆辣福佣繁M缭诵械陌踩涂煽俊?

　　一、黑客网络的一般过程

　　路由器地址打不开1、信息的收集

　　信息的收集并不对目标产生危害，只是为进一步的入侵提供有用信息。黑客可能会利用下列的公开协议或工具，收集驻留在网络系统中的各个主机系统的相关信息：

　　(1)TraceRoute程序能够用该程序获得到达目标主机所要经过的网络数和由器数。

　　(2)SNMP协议用来查阅网络系统由器的由表，从而了解目标主机所在网络的拓扑结构及其内部细节。

　　(3)DNS服务器该服务器提供了系统中可以访问的主机IP地址表和它们所对应的主机名。

　　(4)Whois协议该协议的服务信息能提供所有有关的DNS域和相关的管理参数。

　　(5)Ping实用程序可以用来确定一个指定的主机的或网线是否连通。

　　2、系统安全弱点的探测

　　在收集到一些准备要目标的信息后，黑客们会探测目标网络上的每台主机，来寻求系统内部的安全漏洞，主要探测的方式如下：

　　(1)自编程序对某些系统，互联网上已发布了其安全漏洞所在，但用户由于不懂或一时疏忽未打上网上发布的该系统的“补丁”程序，那么途涂梢宰约罕嘈匆欢纬绦蚪氲礁孟低辰衅苹怠?

　　(2)慢速扫描由于一般扫描侦测器的实现是通过某个时间段里一台特定主机发起的连接的数目来决定是否在被扫描，这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。

　　(3)体系结构探测黑客利用一些特殊的数据包传送给目标主机，使其作出相对应的响应。由于每种操作系统的响应时间和方式都是不一样的，屠谜庵痔卣靼训玫降慕峁胱急负玫氖菘庵械淖柿舷喽哉眨又斜憧汕岫拙俚嘏卸铣瞿勘曛骰僮飨低乘玫陌姹炯捌渌喙匦畔?

　　二、协议及其防范措施

　　1、源IP地址

　　许多应用程序认为若数据包可以使其自身沿着由到达目的地，并且应答包也可回到源地，那么源IP地址一定是有效的，而这正是使源IP地址成为可能的一个重要前提。

　　假设同一网段内有两台主机A和B，另一网段内有主机X。B授予A某些。X为获得与A相同的，所做如下：首先，X冒充A，向主机B发送一个带有随机序列号的SYN包。主机B响应，回送一个应答包给A，该应答号等于原序列号加1。

　　然而，此时主机A已被主机X利用服务“淹没”了，导致主机A服务失效。结果，主机A将B发来的包丢弃。为了完成三次握手，X还需要向B回送一个应答包，其应答号等于B向A发送数据包的序列号加1。此时主机X并不能检测到主机B的数据包(因为不在同一网段)，只有利用TCP顺序号估算法来预测应答包的顺序号并将其发送给目标机B。如果猜测正确，B则认为收到的ACK是来自内部主机A。此时，X即获得了主机A在主机B上所享有的，并开始对这些服务实施。

　　要防止源IP地址行为，可以采取以下措施来尽可能地系统免受这类：

　　(1)抛弃基于地址的信任策略这类的一种十分容易的办法就是放弃以地址为基础的验证。不允许r类远程调用命令的使用;删除.rhosts文件;清空/etc/hosts.equiv文件。这将所有用户使用其它远程通信手段，如telnet、ssh、skey等等。

　　(2)使用加密方法在包发送到网络上之前，我们可以对它进行加密。虽然加密过程要求适当改变目前的网络，但它将数据的完整性、真实性和保密性。

　　(3)进行包过滤可以配置由器使其能够网络外部与本网内具有相同IP地址的连接请求。而且，当包的IP地址不在本网内时，由器不应该把本网主机的包发送出去。有一点要注意，由器虽然可以试图到达内部网络的特定类型的包。但它们也是通过分析测试源地址来实现操作的。因此，它们仅能对声称是来自于内部网络的外来包进行过滤，若你的网络存在外部可信任主机，那么由器将无法防止别人冒充这些主机进行IP。

　　2、源由

　　在通常情况下，信息包从起点到终点所走的是由位于此两点间的由器决定的，数据包本身只知道去往何处，而不知道该如何去。源由可使信息包的发送者将此数据包要经过的径写在数据包里，使数据包循着一个对方不可预料的径到达目的主机。下面仍以上述源IP中的例子给出这种的形式：

　　主机A享有主机B的某些，主机X想冒充主机A从主机B(假设IP为aaa.bbb.ccc.ddd)获得某些服务。首先，者修改距离X最近的由器，使得到达此由器且包含目的地址aaa.bbb.ccc.ddd的数据包以主机X所在的网络为目的地;然后，者X利用IP向主机B发送源由(指定最近的由器)数据包。当B回送数据包时，就传送到被更改过的由器。这就使一个入侵者可以假冒一个主机的名义通过一个特殊的径来获得某些被数据。

　　为了防范源由，一般采用下面两种措施：

　　・对付这种最好的办法是配置好由器，使它抛弃那些由外部网进来的却声称是内部主机的报文。

　　三、服务及预防措施

　　在服务中，者加载过多的服务将对方资源全部使用，使得没有多余资源供其他用户无法使用。SYNFlood是典型的服务。

　　SYNFlood常常是源IP地址的前奏，又称半开式连接，每当我们进行一次标准的TCP连接就会有一个三次握手的过程，而SYNFlood在它的实现过程中只有三次握手的前两个步骤，当服务方收到请求方的SYN并回送SYN-ACK确认报文后，请求方由于采用源地址等手段，致使服务方得不到ACK回应，这样，服务方会在一定时间内处于等待接收请求方ACK报文的状态，一台服务器可用的TCP连接是有限的，如果恶意方快速连续的发送此类连接请求，则服务器的系统可用资源、网络可用带宽急剧下降，将无法向其它用户提供正常的网络服务。

　　为了防止服务，我们可以采取以下的预防措施：

　　(1)在该网段的由器上做些配置的调整，这些调整包括Syn半开数据包的流量和个数。

　　(2)要防止SYN数据段，我们应对系统设定相应的内核参数，使得系统强制对超时的Syn请求连接数据包复位，同时通过缩短超时和加长等候队列使得系统能迅速处理无效的Syn请求数据包。

　　在如今这个信息爆炸的时代里，每天都会有数不清的新闻通过各种渠道涌到我们面前，而真正有价值的应该进入我们心里的，却很可能随着日历牌的翻动被我们忽略。作为对一周新闻进行回顾的《比特网新闻中心每周热点推荐》，就是要告诉您过去的七天都发生了哪些新闻，更希望和您一起，站在七天的高度来看待过去一周的新闻。

　　领IT群雄秀企业风采。创刊于2008年2月，定位于行业（企业）信息化规划、建设、管理的中高层人士，通过精心的内容筛选，将每月发生的重点事件进行回顾，为高端人群提供深度阅读，与比特网内容的速度特性形成互补。主要栏目有：比特网精粹、新产品新技术、CIO、封面报道、下午茶精选等。

　　业内首个只为报道数据中心资讯内容的专业频道，是为数据中心用户及厂商而建设的专业平台。以数据中心专业技术内容为核心，贯穿新鲜资讯、技巧方法和用户案例等高附加值内容。以为网友提供最具实用价值的信息为原则，以成为用户最信赖的行业专家为目标，打造高时效、高品质、高前瞻的最全威频道。企业数据中心热点播报，为您精心奉上过去一周数据中心最精彩、权威资讯_chinabyte比特网。

　　就服务器和数据中心领域的产业动态、技术热点、热门产品、实用技巧，向企业CIO/CTO、IT管理层、技术人员提供一周精选套餐，为数据中心决策者、使用者提供一份服务器行业以及数据中心领域最新动态及产品应用的技术套餐。