校园网络技术窃密手段与防范.docVIP

校园网络技术窃密手段与防范 　　随着计算机及网络技术的发展，人们越来越依靠网络来办公、学习、生活和娱乐。那么如何保证信息的安全呢？本文从技术角度，分析两个内容。 　　一、网络主要技术窃密手段 　　互联网的开放性和计算机系统的脆弱性，导致网络危机四伏，间谍、黑客、好奇者都瞄准了这片阵地，利用各种手段在网上搜集情报信息、操控别人计算机、窃取涉密或隐私信息、盗窃诈骗他人钱财、监视他人行动。 　　（一）利用计算机漏洞窃密 　　漏洞是指计算机操作系统、设备产品和应用程序由于自身结构复杂、安全设计不周等原因，在研制过程中产生的先天技术缺陷。存在漏洞的计算机，接入网络后，就可能被窃密者进行远程利用、攻击和控制。 　　常见的利用计算机漏洞窃密的方法主要是缓冲区溢出攻击。其原理是非法攻击者通过向用户程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他的指令。如果这些指令放在有管理员权限的内存中，那么一旦这些指令得到了运行，黑客就以管理员权限控制了系统，达到入侵的目的。缓冲区攻击的目的就在于干扰某些已特权身份运行的程序的功能，使攻击者获得程序乃至系统的控制权。这就好比有个岔路口，攻击者通过溢出的方法把路标转向了另一条路，当程序执行到岔路口时，就转向了攻击者所设下的陷阱里。 　　另一个我们常见的漏洞就是RealPlayer播放器的缓冲区溢出漏洞。攻击者利用精心构造的播放器播放脚本SMIL文件，可以使RealPlayer 11以下版本的RealPlayer网页播放器控件产生堆栈溢出，从而执行黑客编写的ShellCode代码，造成自动下载并运行木马程序或者自行开启服务和端口。 　　类似的漏洞有很多，比如常用的Office Word 2003、Flash网页控件、PDF阅读器等等，都存在缓冲区溢出漏洞。 　　还有一个常见的远程执行漏洞，出现在我们熟知的迅雷下载、百度搜霸、暴风影音等软件中，他们不会产生溢出错误，但是因为程序自身安全验证的不全面，导致攻击者可以利用精心编写的网页，调用这些程序的某些函数，从而自动下载并运行木马程序，为黑客实现远程控制、窃取秘密提供了方便。 　　（二）利用“木马”技术窃密 　　“木马”就是在正常文件的伪装下，对目标计算机实施远程控制的“间谍”软件。对执行缓冲区溢出攻击、远程执行漏洞攻击后，想要提升攻击的效果，实现随心所欲地进行密码窃取、文件窃取、屏幕信息获取、控制远程计算机等操作，就需要向被攻击计算机中植入木马。 　　“木马”植入的方式多种多样，其中以邮件、网页和诱骗的方式最为常见。当打开有“木马”程序的邮件或邮件附件时，“木马”就会悄悄的植入和控制计算机，窃密者就可实施网络远程窃密。而现在最让人防不胜防的就是网页挂马，可以说，只要浏览网页，就有可能被种木马。 　　当访问一个站点时，浏览器会自动下载网站中的网页文件、图片文件、层样式文件、脚本文件等等，同时对这些文件加以解析、执行，从而展现出我们看到的页面。而黑客就精心构造这些文件，从而利用IE的漏洞、应用程序的漏洞等等，让页面在展现的时候，从后台自动下载木马程序并执行，使攻击者可以远程控制目标计算机，达到窃密的目的。 　　再有一种方法就是诱骗被攻击者自己运行木马程序或者自行访问恶意网页下载运行木马。通常称作社会工程学和网络钓鱼。社会工程学的方法通常是搜集被攻击者的信息，向被攻击者提供其感兴趣的图片或者程序，而这些往往都是经过文件合并或者处理过的木马程序，当被攻击者运行这些图片或者程序时自然而然就被黑客控制了计算机。而网络钓鱼则是伪造一个看似正常合法的页面，当被攻击者浏览时，其输入的用户明密码会被黑客获取，同时下载并执行木马，而后转向正常合法的页面。 　　（三）利用“嗅探”技术窃密 　　“嗅探”是指黑客利用软件或者硬件获取网络中流经的数据包，从而窃取被攻击者的口令密码、数据内容等重要信息。 　　虽然现在使用交换机，对嗅探技术有一定影响，但是通过ARP欺骗、上层接入设备拦截等软硬件嗅探手段，同样可以窃取到被攻击者的账号、口令以及相关文件内容信息。比较常见的就是FTP登录口令的窃取，因为FTP的用户登录账号和密码不通过加密而是明文网络传输，所以黑客很容易获取到被攻击者的账号和密码。再一个比较常见的就是网页的嗅探，很多人喜欢在邮箱里保存涉密信息或者个人信息，而现在普遍都是WEB页面形式的邮箱服务，当用户登录邮箱时，网页也是通过明文传输用户名和密码，黑客很容易登录到被攻击者的邮箱获取秘密。 　　那么除了获取FTP、邮箱口令密码等危险外，更危险的就是直接嗅探到传输文件时的文件内容。比如我们通过飞秋传输文件，黑客可以通过嗅探的方式直接获取文件的内容，而不用煞费苦心的破解被攻击主机的用户名密码、溢出获取权限、种植