05 郑州市 2015 网络安全员培训考试资料 技术 第五章54.doc

第五章 应用安全技术 一、反黑客攻击 （一）网络黑客概述 HACKER(黑客)一词来自于英语HACK，起源于20世纪70年代美国麻省理工学院实验室，他们信守“永不破坏任何系统”的原则，检查系统的完整性和安全性，并乐于与他人共享研究的成果。但现在很多黑客却成了真正的电脑入侵与破坏者 黑客攻击的主要目的是获取目标系统的非法访问、获取所需资料、篡改有关数据和利用有关资源。目前黑客主要有以下几种类型： （1）恶作剧型：喜欢进入他人网址，以删除某些文字或图象，篡改网址主页信息来显示自己高超的网络侵略技巧。 （2）隐蔽攻击型：躲在暗处以匿名身份对网络发动攻击，往往不易被人识破；或者干脆冒充网络合法用户，侵入网络“行黑”。这种行为由于是在暗处实施的主动攻击行为，因此对社会危害极大。 （3）定时炸弹型： 在实施时故意在网络上布下陷阱，或故意在网络维护软件内安插逻辑炸弹或后门程序，在特定的时间或特定条件下，引发一系列具有连锁反应性质的破坏行动，或干扰网络正常运行，致使网络完全瘫痪。 （4）矛盾制造型： 非法进入他人网络，修改其电子邮件的内容或厂商签约日期，进而破坏甲乙双方交易，并借此方式了解双方商谈的报价，乘机介入其商品竞争。有些黑客还利用政府上网的机会，修改公众信息，挑起社会矛盾。 （5）职业杀手型： 此种黑客以职业杀手著称，经常以监控方式将他人网站内由国外传来的资料迅速清除，使得原网站使用公司无法得知国外最新资料或订单，或者将电脑病毒植入他人网络内，使其网络无法正常运行。更有甚者，进入军事情报机关的内部网络，干扰军事指挥系统的正常工作。 （6）窃密高手型： 出于某些集团利益的需要或者个入的私利，利用高技术手段窃取网络上的加密信息，使高度敏感信息泄密。或者窃取情报用于威胁利诱政府公职人员，导致内外勾结进一步干扰破坏内部网的运行。 （7）业余爱好型： 计算机爱好者受到好奇心驱使，往往在技术上追求精益求精，丝毫未感到自己的行为对他人造成的影响，属于无意识攻击行为。 （二）网络黑害攻击步骤 黑客会对计算机系统进行各种各样的攻击，但是攻击的步骤基本如下： 1. 寻找目标主机并分析目标主机：他们攻击的目标、采用的手段可能不同，通常黑客会通过一些常用的网络命令或端口扫描工具来获取目标主机的域名和IP地址及系统漏洞。 2. 登录主机：黑客通过使用工具或盗取帐号和密码的方式，登录主机。 3. 得到超级用户权限、控制主机：利用盗取的帐号和密码，获得普通用户的权限，然后再获取超级用户的权限，成为目标主机的主人。 4. 清除记录、设置后门：黑客获得超级用户的权限后，可能删除自己人侵的全部记录，并可能在系统设置中植入木马，作为以后入侵该主机的“后门”。 （三）黑客常用技术及防范方法 1．IP欺骗： 在Internet上，存在许多“相互信任”的主机。“信任”是指从相互作用的一台主机登录到另一个主机上时，不需要进行口令验证。这种模式主要是为了管理主机的方便。 IP欺骗的原理是入侵者首先使相互信任的主机中的一台不再接收到任何有效的网络数据，然后伪装成被屏蔽的主机，向信任它的另一台主机发送数据，从而获得对另一台主机的控制权。 IP欺骗的防止措施： （1）抛弃基于地址的信任策略，迫使所有用户使用其它远程通信手段，如Telnet。 （2）进行包过滤。如果主机所在网络是通过路由器接入Internet的，那么可以利用路由器来进行包过滤，使只有内部LAN可以使用信任关系，而内部LAN上的主机对于LAN以外的主机要慎重处理。 （3）使用加密方法，在通信时要求加密传输和验证。 2. 网络监听 　 网络监听是一种监视网络状态、数据流程以及网络上信息传输的管理工具，它可以将网络界面设定成监听模式，并且可以截获网络上所传输的信息。也就是说，当黑客登录网络主机并取得超级用户权限后，若要登录其它主机，使用网络监听便可以有效地截获网络上的数据。但是网络监听只能应用于连接同一网段的主机，通常被用来获取用户密码等。 网络监听无法阻止，但是我们可以采取方式来避免遭受重大损失。例如： （1）在传输敏感数据时使用加密。加密方式可以选用PGP、RSA、DES、IDEA、CAST、Skipjack、RC2/RC4、MD2/MD4/MD5。 （2）使用安全拓扑结构。 3. 端口扫描： 对于黑客来说，端口就是入侵通道。端口扫描有手工与软件两种实现。手工实现可以综合运用Ping、Tracert、Rusers、Finger、Host等。软件实现则是使用扫描器，扫描器通过选用远程TCP/IP不同的端口的服务，可以搜集到许多关于目标主机的有用信息，从而为攻