黑客與網絡安全探討

徐冬芹

摘要：在今天的信息時代，計算機網絡的應用已經涉及到了社會的方方面面，人們的生活與網絡密不可分，從而網絡系統的安全、可靠性也成為用戶最為關注的焦點。而各類不安全因素中，又屬黑客攻擊最為棘手，認真研究當今黑客入侵的手段及其相應的防范對策，對計算機網絡用戶提供安全是很有必要的，對黑客常用的攻擊手段進行了較為全面地剖析，并提出了防范黑客的一些可行性措施。

關鍵詞：網絡安全；黑客；防范技術

中圖分類號：TP393.08

文獻標識碼：A

文章編號：1672-3198(2009)13-0243-02

1網絡安全

由于早期網絡協議對安全問題的忽視，以及在使用和管理上的無序狀態，網絡安全受到嚴重的威脅，安全事故屢有發生。網絡安全是對網絡信息保密性、完整性和網絡系統的可用性的保護，影響網絡安全的因素主要包括網絡信息的無序性、計算機病毒、黑客入侵和信息污染等，而其中黑客攻擊是最棘手的難題。針對病毒防范，大多網絡用戶都會采取兩個方面的保護與防范：一是在思想上重視、管理上到位，二是依靠防病毒軟件。這兩者是缺一不可的。相對來說，網絡用戶對于黑客攻擊的防范顯得有點力不從心，對黑客入侵的手段防不勝防，常常在不知不覺中的狀態下受到攻擊，當然帶來的損失也是慘重的，常常是亡羊補牢，為時已晚。因此，認真研究當今黑客入侵的手段及其相應的防范對策，為計算機網絡用戶提供安全很有必要。網絡信息安全分為網絡安全和信息安全兩個層面。網絡安全包括系統安全，即硬件平臺、操作系統、應用軟件；運行服務安全，即保證服務的連續性、高效率。信息安全則主要是指數據安全，包括數據加密、備份、程序等。目前，大多數計算機使用的操作系統WinNT、Win2000等都幾乎存在安全漏洞(Bugs)，其中某些是操作系統或應用軟件自帶的，這些漏洞在補丁未被開發出來之前一般很難防御黑客的破壞，除非將網線拔掉；還有一些漏洞是系統管理員配置錯誤引起的，如在網絡文件系統中，將目錄和文件以可寫方式調出，將未加Shadow的用戶密碼以明碼方式存放在某一目錄之下，給黑客帶來可乘之機，使黑客任意修改、刪除數據庫中的參數設定或有關數據、復制文件、非法窺視服務器中的數據，從而達到破壞的目的。

2黑客的攻擊原理

(1)拒絕服務攻擊。

拒絕服務(Denial of Service，DoS)攻擊是一種利用TCP/IP協議的弱點和系統存在的漏洞，對網絡設備進行攻擊的行為。它以消耗網絡帶寬和系統資源為目的，對網絡服務器發送大量“請求”信息，造成網絡或服務器系統不堪重負，致使系統癱瘓而無法提供正常的網絡服務。拒絕服務攻擊的典型方法是SYN Flood類型的攻擊。

(2)惡意程序攻擊。

黑客在收集信息的過程中利用Trace Route程序，SNMP等一些公開的協議或工具收集駐留在網絡系統中的各個主機系統的相關信息，然后會探測目標網絡上的每臺主機，利用一些特殊的數據包傳送給目標主機，使其做出相對應的響應，由于每種操作系統的響應時間和方式都是不一樣的，黑客利用這種特征把得到的結果與準備好的數據庫中的資料相對照，從中便可輕而易舉地判斷出目標主機操作系統所用的版本及其他相關信息，尤其是對于某些系統，互聯網上已發布了其安全漏洞所在，但用戶由于不懂或一時疏忽未下載并安裝網上發布的該系統的“補丁”程序，那么黑客就可以自己編寫一段程序進入到該系統進行破壞。還有一些黑客準備了后門程序，即進入到目標系統后為方便下一次入侵而安裝在被攻擊計算機系統內的一些程序，為該計算機埋下了無窮無盡的隱患，給用戶造成了不可預測的損失。

(3)欺騙攻擊。

每一臺計算機都有一個IP地址，登錄時服務器可以根據這個IP地址來判斷來訪者的身份。TCP/IP協議是用IP地址來作為網絡節點的惟一標識，因此攻擊者可以在一定范圍內直接修改節點的IP地址，冒充某個可信節點的IP地址進行攻擊，欺騙攻擊就是一種利用假IP地址騙取服務器的信任，實現非法登錄的入侵方法。

(4)對用戶名和密碼進行攻擊。

此種攻擊方式大致分為三種情況，一是對源代碼的攻擊，對于網站來說，由于ASP的方便易用，越來越多的網站后臺程序都使用ASP腳本語言。但是，由于ASP本身存在一些安全漏洞，稍不小心就會給黑客提供可乘之機。用戶名與口令往往是黑客們最感興趣的東西，如果被通過某種方式看到源代碼，后果是嚴重的。第二種攻擊的方法就是監聽，用戶輸入的密碼需要從用戶端傳送到服務器端進行系統對其的校驗，黑客能在兩端之間進行數據監聽。一般系統在傳送密碼時都進行了加密處理，即黑客所得到的數據中不會存在明文的密碼，因此，這種手法一般運用于局域網，一旦成功，攻擊者將會得到很大的操作權益。第三是解密，就是使用窮舉法對已知用戶名的密碼進行解密。這種解密軟件對嘗試所有可能字符所組成的密碼。這種方法十分耗時，但在密碼設置簡單的情況下卻比較容易得手。

3對策

(1)利用防火墻來阻止網絡攻擊。

防火墻(Firewall)是在計算機和Internet提供屏障的程序或設備，可以通過配置合理的防火墻來防止網絡黑客的攻擊事件發生。防火墻還可以被用來隔離局域網中的計算機，以免受來自Internet的威脅。如果到達防火墻的數據包不滿足所指定的條件，那么防火墻就阻止這些數據包進入局域網，但防火墻對于已授權的連接卻是透明的。所有的內外連接都強制性地經過這一保護層接受檢查過濾，只有被授權的通信才允許通過。“防火墻”的安全意義是雙向的，一方面可以限制外部網對內部網的訪問；另一方面也可以限制內部網對外部網中不健康或敏感信息的訪問。同時，“防火墻”還可以對網絡存取訪問進行記錄和統計，對可疑動作報警，以及提供網絡是否受到監視和攻擊的詳細信息。防火墻系統的實現技術一般分為2種，一種是分組過濾技術；一種是代理服務技術。分組過濾基于路由器技術，其機理是由分組過濾路由器對IP分組進行選擇，根據特定組織機構的網絡安全準則過濾掉某些IP地址分組，從而保護內部網絡。代理服務技術是由一個高層應用網關作為代理服務器，對于任何外部網的應用連接請求首先進行安全檢查，然后再與被保護網絡應用服務器連接。代理服務技術可使內、外網絡信息流動受到雙向監控。

(2)加強教育和宣傳。

黑客的攻擊之所以能經常得逞，其主要原因就是人們思想麻痹，沒有正視黑客入侵所造成的嚴重后果。人們經常在有意無意之中就泄露了信息，這些就為黑客開了方便之門。因此要大力宣傳計算機病毒的危害，要宣傳可行的預防病毒的措施，使大家提高警惕。要普及計算機軟件的基本知識，使人們了解病毒入侵計算機的原理和感染方法，以便及早發現，及早清除。特別對未成年人，應從小培養網絡用戶的合法上網概念，防止有害信息的傳播和滲透。另外，對工作人員應結合機房、硬件、軟件、數據和網絡等各方面的安全問題，進行安全教育，提高工作人員的保密觀念和責任心；加強業務、技術的培訓，提高操作技能；教育工作人員嚴格遵守操作規程和各項保密規定，防止人為事故的發生。

(3)建立、健全法律和管理制度。

加強網絡立法，健全信息安全法規體系。網絡信息安全的防范是一項復雜的系統工程，它不僅是一個技術問題，更應該屬于法律范疇的問題。單純的技術防范很難完全保證網絡信息的安全，建立完善的信息安全法規體系是保證網絡信息安全的基石，只有不斷制定和完善法規體系，才能做到有法可依、有法必依、執法必嚴、違法必究，才能更好維護網絡安全。

應建立一個實時有效的安全管理機構，這個系統不僅接收來自IDS、防火墻與安全文件發出的警告信息，以及路由器等設備的報告，還能實時地收集操作系統以及應用程序的日志文件，提取與安全有關的文件，并對數據進行規范化處理，更主要的是要對各處收集來的數據進行實時關聯，這些安全事件數據的相關性能使主管部門知道問題的所在，迅速地做出正確的反應，把網絡信息遭受的損失減小到最低限度，從而確保實現網絡信息的安全。在建立起具有權威性的信息安全管理機構后，進一步制定健全的管理制度，最大限度地避免別有用心的人利用網絡的漏洞，惡意攻擊網絡。