黑客在進(jìn)行攻擊時(shí)會(huì)借用其他系統(tǒng)來(lái)達(dá)到自己的目的��,如對(duì)下一目標(biāo)的攻擊和被侵占計(jì)算機(jī)本身的利用等等�。本文介紹了常見(jiàn)的黑客對(duì)被侵占計(jì)算機(jī)的使用方式和安全管理員相應(yīng)的應(yīng)對(duì)方法。
黑客進(jìn)行網(wǎng)絡(luò)攻擊時(shí)��,除了自己手中直接操作的計(jì)算機(jī)外��,往往在攻擊進(jìn)行時(shí)和完成之后利用����、控制其他的計(jì)算機(jī)。他們或者是借此達(dá)到攻擊的目的�,或者是把這些計(jì)算機(jī)派做其他的用途。本文匯總描述了黑客各種利用其他計(jì)算機(jī)的手段�,希望網(wǎng)絡(luò)與系統(tǒng)管理員能通過(guò)了解這些攻擊辦法來(lái)達(dá)到更好地進(jìn)行安全防范的目的。
一��、對(duì)“肉雞”的利用
“肉雞”這個(gè)詞被黑客專門(mén)用來(lái)描述Internet上那些防護(hù)性差���,易于被攻破而且控制的計(jì)算機(jī)�����。
1.1��、本身數(shù)據(jù)被獲取
原理介紹
這是一臺(tái)計(jì)算機(jī)被攻破并完全控制之后�,黑客要做的第一件事����。很多黑客宣稱自己是非惡意的,只是對(duì)計(jì)算機(jī)安全感興趣�����,在進(jìn)入別人的計(jì)算機(jī)時(shí)���,不會(huì)進(jìn)行破壞���、刪除、篡改等操作��。甚至還有更"好心"一些的黑客會(huì)為這些計(jì)算機(jī)打補(bǔ)丁���,做一些安全加強(qiáng)��。
但是他們都回避了一個(gè)問(wèn)題���,那就是對(duì)這些計(jì)算機(jī)上本身保存的數(shù)據(jù)如何處理�。確實(shí)�����,對(duì)別人的計(jì)算機(jī)進(jìn)行破壞這種損人不利已的事情對(duì)這大多數(shù)黑客來(lái)講沒(méi)有太大意思���,不過(guò)他們都不會(huì)反對(duì)把“肉雞”上的數(shù)據(jù)弄回來(lái)保存����。這時(shí)黑客再說(shuō)"沒(méi)有進(jìn)行破壞"是說(shuō)不過(guò)去的���,根據(jù)計(jì)算機(jī)安全的基本原則����,當(dāng)數(shù)據(jù)的"完整性�、可用性和機(jī)密性"中任意三者之一在受到破壞的時(shí)候,都應(yīng)視為安全受到了破壞����。在被占領(lǐng)的計(jì)算機(jī)上可能會(huì)保存著用戶信息��、網(wǎng)絡(luò)拓?fù)鋱D�����、商業(yè)秘密����、財(cái)務(wù)報(bào)表���、軍事情報(bào)和其他各類需要保密的數(shù)據(jù),黑客獲得這些數(shù)據(jù)(即使只是查看數(shù)據(jù)的內(nèi)容而不下載)時(shí)正是破壞了保密性�����。在實(shí)際情況中�,很多商業(yè)間諜和政治間諜都是這一類,他們只是默默地拿走你的數(shù)據(jù)而絕不做任何的破壞���,而且盡最大可能地掩蓋自己行動(dòng)的痕跡����。這些黑客希望長(zhǎng)時(shí)間大量地得到珍貴的數(shù)據(jù)而不被發(fā)覺(jué),這其實(shí)是最可怕的一種攻擊行為�。
很多黑客會(huì)在“肉雞”上安裝FTP軟件或者開(kāi)放FTP服務(wù),再下載其數(shù)據(jù)�,但安裝軟件和開(kāi)放服務(wù)這樣的動(dòng)作很容易在系統(tǒng)中的各類日志留下記錄,有可能被發(fā)現(xiàn)����。而不希望被人發(fā)覺(jué)的黑客會(huì)自己建立一臺(tái)FTP服務(wù)器,讓“肉雞”做為客戶端把自己的數(shù)據(jù)上傳過(guò)來(lái)�。
防御方法
防止本身數(shù)據(jù)資料不被竊取,當(dāng)然首先要考慮的是計(jì)算機(jī)本身不被攻破�����。如果自己是鐵桶一個(gè)�����,水潑不進(jìn)����,黑客無(wú)法在你的網(wǎng)絡(luò)中的計(jì)算機(jī)取得任何訪問(wèn)的權(quán)限,當(dāng)然就杜絕了絕大多數(shù)的泄密可能(請(qǐng)注意�,這時(shí)候還是有可能會(huì)泄密的!比如被黑客欺騙而將數(shù)據(jù)發(fā)送出去)���。我們先來(lái)看一下如何加強(qiáng)自己的計(jì)算機(jī)的操作系統(tǒng)��,對(duì)于所有需要事先控制的攻擊方式����,這些手段都是有效的,在以后的章節(jié)中就不重復(fù)說(shuō)明了��。
簡(jiǎn)單地說(shuō)���,對(duì)于操作系統(tǒng)的加強(qiáng)���,無(wú)論是Windows���、Unix或是Linux����,都可以從物理安全�����、文件系統(tǒng)����、帳號(hào)管理��、網(wǎng)絡(luò)設(shè)置和應(yīng)用服務(wù)幾個(gè)方面來(lái)考慮����,在這里我們不詳細(xì)討論全面的安全防護(hù)方案��,只是提供一些簡(jiǎn)單實(shí)用的系統(tǒng)安全檢查項(xiàng)目���。這是安全的必要條件���,而不是充分條件。
物理安全
簡(jiǎn)單地說(shuō)�����,物理安全就是你的計(jì)算機(jī)所在的物理環(huán)境是否可靠����,會(huì)不會(huì)受到自然災(zāi)害(如火災(zāi)、水災(zāi)��、雷電等)和人為的破壞(失竊�、破壞)等�。物理安全并不完全是系統(tǒng)或者網(wǎng)絡(luò)管理員的責(zé)任�����,還需要公司的其他部門(mén)如行政�����、保安等一起協(xié)作�,不過(guò)因?yàn)檫@是其他安全手段的基礎(chǔ),所以我們網(wǎng)管員還是應(yīng)該密切注意的�。要特別保證所有的重要設(shè)備與服務(wù)器要集中在機(jī)房里,并制訂機(jī)房相關(guān)制度����,無(wú)關(guān)人員不得進(jìn)入機(jī)房等。網(wǎng)管員無(wú)特殊情況也不要進(jìn)入機(jī)房�,需要可以從外面的指定終端進(jìn)行管理�����。
如果重要的服務(wù)器暴露在人人都可以接近的外部��,那么無(wú)論你的口令設(shè)得多么強(qiáng)大都沒(méi)用了���,各種操作系統(tǒng)都可以用軟盤(pán)��、光盤(pán)啟動(dòng)來(lái)破解密碼�����。
文件系統(tǒng)安全
文件和目錄的權(quán)限設(shè)置得是否正確�����,對(duì)系統(tǒng)中那些重要的文件�����,權(quán)限要重新設(shè)置�����;在Unix與Linux系統(tǒng)中�����,還要注意文件的setuid和setgid權(quán)限���,是否有不適合的文件被賦予了這些權(quán)限���;
帳號(hào)系統(tǒng)安全
帳號(hào)信息�,用戶名和密碼是否合乎規(guī)則�,具有足夠的復(fù)雜程度。不要把權(quán)限給予任何沒(méi)有必要的人���;在Unix/Linux中可以合理地使用su與sudo���;關(guān)閉無(wú)用賬號(hào);
網(wǎng)絡(luò)系統(tǒng)安全
關(guān)閉一切不必要的服務(wù)����。這一點(diǎn)不必多說(shuō)了吧,每個(gè)開(kāi)放的服務(wù)就象一扇開(kāi)啟的門(mén)�,都有可能會(huì)被黑客悄悄地進(jìn)入;網(wǎng)絡(luò)接口特性�。注意網(wǎng)卡不要處在監(jiān)聽(tīng)的混雜模式;防止DoS的網(wǎng)絡(luò)設(shè)置�����。禁止IP轉(zhuǎn)發(fā)����、不轉(zhuǎn)發(fā)定向廣播、限定多宿主機(jī)���、忽略和不發(fā)送重定向包�����、關(guān)閉時(shí)間戳響應(yīng)��、不響應(yīng)Echo廣播��、地址掩碼廣播�����、不轉(zhuǎn)發(fā)設(shè)置了源路由的包��、加快ARP表過(guò)期時(shí)間���、提高未連接隊(duì)列的大小、提高已連接隊(duì)列的大�。唤胷*命令和telnet命令�,用加密的SSH來(lái)遠(yuǎn)程管理;對(duì)NIS/NIS+進(jìn)行安全設(shè)置;對(duì)NFS進(jìn)行安全設(shè)置��;
應(yīng)用服務(wù)安全
應(yīng)用服務(wù)是服務(wù)器存在的原因�����,又是經(jīng)常會(huì)產(chǎn)生問(wèn)題的地方�。因?yàn)閼?yīng)用服務(wù)的種類太多,這里無(wú)法一一敘述��,就請(qǐng)大家注意一下這方面的資料吧��。如果有可能���,我會(huì)在今后繼續(xù)提供一些相關(guān)知識(shí)�����?梢钥隙ǖ卣f(shuō),沒(méi)有一種應(yīng)用程序是完全安全的����,必須依靠我們?nèi)ブ匦略O(shè)置。
對(duì)于防止數(shù)據(jù)被竊取����,也有手段可以采用,使黑客侵入計(jì)算機(jī)之后不能盜竊數(shù)據(jù)和資料��。這就是訪問(wèn)控制和加密����。系統(tǒng)訪問(wèn)控制需要軟件來(lái)實(shí)現(xiàn),可以限制root的權(quán)限���,把那些重要的數(shù)據(jù)設(shè)置為除了特殊用戶外�����,連root都無(wú)法訪問(wèn)��,這樣即使黑客成為root也沒(méi)有用�����。加密的手段有很多�,這里也不詳細(xì)介紹了��,文件通過(guò)加密會(huì)以密文的形式存放在硬盤(pán)中��,如果不能正確解密,就是一堆沒(méi)有任何意義的字符�,黑客就算拿到了也沒(méi)有用。
