9.1 常见黑客手段及对付方法

系统安全服务解决方案2.0版

常见黑客手段分析

及对付手段

华为技术

华为技术有限公司

综合业务服务产品部

二〇一三年四月

修订记录

目录

1安放后门程序 (4)

2利用操作系统的漏洞 (4)

3伪造信息 (4)

4利用信息协议的弱点 (5)

5伪造登录界面 (5)

6利用系统管理员的失误 (5)

7重放攻击 (6)

8地址欺骗 (6)

9信息嗅探 (6)

10跳跃攻击 (6)

11窃取TCP连接 (7)

12总结 (7)

本文目的在于让读者了解各种黑客手段，并对相应的对付方法进行简要的说明。

1安放后门程序

安放后门（Back Door）是一种非常普遍的攻击方法。也就是所谓的数据驱动攻击，当有些表面看来无害的数据被邮寄给受害者时，并被执行发起攻击时，就会发生数据驱动攻击。比如，攻击者把一些后门程序伪装成一个小游戏，或者一个玩笑程序，以邮件的方式发出去，当接受者因为好奇运行了这个程序之后，后门的服务器端就被安装在受害者的主机上，攻击者在自己的主机上安装一个客户端程序，就可以随意地控制受害者的主机。这些数据驱动的攻击（后门）通常使主机修改与安全相关的文件，从而使入侵者下一次更容易入侵该系统。有些mailing list中夹也会带后门程序。BO和Webkiller就是其中的典型代表，由于服务器端和客户端分开，一旦服务器端程序被激活，将首先进行更名和隐藏工作，使受害者很难发现。

对付的方法：对于来历不明的数据，特别使一些没有由头的带有可执行附件的邮件要非常小心，首先进行杀毒检查，在没有得到安全确认以前，千万不要运行所带的附件。另外，某些病毒利用系统和应用的漏洞，因此应及时地对系统和应用打安全补丁。

2利用操作系统的漏洞

通常，在UNIX系统中，可执行文件的目录允许所有用户进行读操作。这恰恰违背了“最少特权”的原则。有些用户可以从可执行文件中得到操作系统的版本号，从而知道它具有什么样的漏洞。作为一种最基本的防卫措施，禁止对可执行文件的访问虽然不能防止黑客对系统的攻击，但至少可以使这种攻击变得更加困难，黑客需要进行长时间的通道扫描和数据确认才能获得足够的目标主机信息。实际上，系统中的大部分漏洞是由配置文件、访问控制文件和缺省的初始化文件造成的。

对付的办法：我们知道，一个黑客要进行攻击，第一步是要收集足够的信息，而尽可能地提高信息收集的门槛就可以挡住大部分没有耐心或者水平一般的黑客。对于哪些针对操作系统设计上的漏洞的攻击，一个最有效的对付方法是：勤升级你的操作系统，勤打补丁。80/20规律在这里同样适用，80%的入侵成功案例都发生在已经被公布缺陷的系统软件中。一个典型的例子就是SQL Slammer蠕虫，微软早就公布了SQL2000服务器的漏洞并提供了补丁程序，但是这个恶性蠕虫仍然在半小时之内在全世界范围泛滥，使多个地区的Internet陷于瘫痪状态。可见，那些忽视补丁的做法常常导致更大的损失。

3伪造信息

攻击者通过发送伪造的路由信息，编造源主机和目标主机的虚假路由，从而使流向目标主机的数据包均经过攻击者的主机，给攻击者提供敏感的信息和有用的密码。这种攻击叫做Man-in-the-Middle。攻击者相当于源和目的的一个中间人，他们之间的通信都通过攻击者来转发。另一种Man-in-the-Middle通常发生在一些共享介质的网络上，比如ethernet，ARP Sinffer就是一个经典的黑客软件，加入A和B在一个以太网的同一子网内通信，他们首先要通过ARP来知道对方的物理地址，黑客C通过这个软件欺骗A说自己是B，欺骗B说自己是A，从而使A和B的通信流量都经过自己，获得自己想要的敏感信息。

对付的方法：通常这种攻击比较难以发现，一个比较可行的方法就是严格控制网络内的物理接入，把危险降到最低的限度。如果你的网络发生了这样的情况，建议从“内部”查找原因，特别是知道内部网络设置的人员，应该被列入重点怀疑对象。

4利用信息协议的弱点

在一些网络协议中，IP源路由选项允许IP数据报告自己选择一条通往目的主机的路由。攻击者试图与路由器后面的一个不可达主机A连接，只需在送出的请求报文中设置IP 源路由选项，使报文有一个目的地址指向路由器，而最终地址是主机A。当报文到达路由器时被允许通过，以为它指向的是路由器而不是主机A。路由器的IP层处理该报文的源路由项并发送到内部网上，报文就这样到达了不可达的主机A。

对付的方法：手段很简单，因为源路由其实用处不大，禁止路由器的源路由功能即可。

5伪造登录界面

许多网络软件缺省的登录界面（shellscript）、配置文件和客户文件是一个容易被忽视的区域。它们提供一个简单的方法来配置程序的执行环境。但是这有时会引起“特洛伊木马”攻击，攻击者通过各种手段在被攻击主机上启动一个可执行程序，该程序显示一个伪造的登录界面。当用户在这个伪装的界面上输入登录信息后，该程序就将用户输入的信息传送到攻击者主机，然后关闭界面，提示用户“输入错误”或其他信息，要求用户再次输入，这时出现的才是系统真正的登录界面。

另外一种类似的攻击方式就是键盘击键记录程序，一旦这个程序在被攻击者的主机上运行，它就会将被攻击者的所有击键记录发送给攻击者，使其得到敏感信息，如用户名，密码等。

对付的方法：对于这种攻击，最有效的手段就是保证主机本身的安全，主机的屏保时间，超时登出时间设置应尽量短，并设置屏保密码，使得使用者在离开自己的主机时，恶意用户无法在主机上安装有害软件；另外，就是不要随意运行不明程序，安装与工作无关的软件。

6利用系统管理员的失误

网络安全的重要因素就是人。人为的失误，如WWW服务器系统的配置错误，普通用户被授予不合适的使用权限，管理口令设置复杂度不够或者长时间不更换等，都能给黑客一个可乘之机。黑客常利用系统管理员的失误收集攻击信息，比如“brute force”就是一种简单但有效的手段，黑客会用软件强力破解目标主机的密码，只要密码设置稍微简单，这种强力破解就很有可能成功。

对付的方法：对这种攻击唯一的方法就是加强管理，提高责任心，建立科学的用户权限和口令管理制度；另外，加强培训也是一个很好的手段，有时系统管理员并不是不想做安全的配置，而是不清楚如何做安全的配置。

在UNIX系统中，多数文件只有超级用户才能拥有，很少可以由某一类用户所有。这使得管理员必须在root下进行各种操作。黑客攻击的首要对象就是root，而最常受到攻击的是root的password。严格说，unix下的用户密码加密程度有限，黑客只要获得密码文