網絡安全之防御黑客七部曲
隨著互聯網日益平民化,越來越多的網民出現了一種恐懼。面對“黑客”這種趨于神秘的人物,要怎么才能保護自己在互聯網中的安全呢?是不是面對著看似無與倫比強大的“黑客”就只能夠束手無策呢?本文將通過七種方式,教您如何防御黑客,應對黑客入侵。
一、主機的服務端口關閉
主機大部分都提供WWW、Mail、FTP、BBS等日常網絡服務,每一臺網絡主機原則上可以同時提供幾種服務, 一臺主機為何能夠提供如此多的服務呢?因為,Unix/Windows系統是一種多用戶、多任務的系統,將網絡 服務劃分為許多不同的端口,每一個端口提供一種不同服務,一個服務會有一個程序時刻監視端口活動, 并且給予應有的應答。并且,端口的定義已經成為了標準,例如:FTP服務的端口是21,Telnet服務的端口 是23,WWW服務的端口是80等。
想要防御黑客,就要知道他們經常使用一些像Portscan這樣的工具軟件,對目標主機一定范圍的端口進行掃描。這樣可以全部掌握 目標主機的端口情況。有一個好工具Haktek,這是一個非常實用的工具軟件,它將許多應用集成在一起, 其中包括: Ping、IP地址范圍掃描、目標主機端口掃描、郵件炸彈、過濾郵件、Finger主機等都是非常實 用的工具。完成目標主機掃描任務,首先告訴Haktek目標主機的位置,即域名或IP地址。然后選擇端口掃 描,輸入掃描范圍,開始掃描,屏幕很快返回激活的端口號以及對應的服務。對資料的收集非常迅速完整 。因此,如果懷疑或確認主機遭到攻擊,防御黑客攻擊的第一步,首先要立即關閉主機上可能被黑客利用的服務端口,以阻斷黑客入侵的渠道。
二、終止可疑進程,避免使用危險進程
對于Windows操作系統,按Ctrl + Alt + Del打開任務管理器,終止可疑的進程。發現可疑進程后,利用 Windows的查找功能,查找該進程所在的具體路徑,通過路徑可以知道該進程是否合法,譬如由路徑 “C:\Program Files\3721\assistse.exe”知道該程序是3721的進程,是合法的。如果在對進程是否合法 進程拿不定主意時,可以復制該進程的全名,如:“xxx.exe”到www.baidu.com這樣的全球搜查引擎上進行搜索。確定了該進程是黑客進程,此時想要防御黑客,應該立即殺掉該進程,對于Windows 9x系統,選中該進程后,點擊下面的“結束任務”按鈕,Windows 2000、Windows XP、Windows 2003系統則在進程上單擊右鍵在彈出菜單 上選擇“結束任務”。終止進程后找到該進程的路徑刪除掉即可,完成后最好再進行一次殺毒,這樣就萬 無一失了。一次利用進程管理器殺可疑進程的具體過程是這樣的:“通過進程名及路徑判斷是否可疑——殺掉進程——刪除進程程序”。在防御黑客入侵后,除了殺掉系統中的可疑進程外,還應該避免使用危險的可能被黑客利用的進程。
三、主機賬號和密碼的修改
根據平時的經驗,一些系統總有一些習慣性的常用賬號,這些賬號都是系統中因為某種應用而設置的。例 如:Windows操作系統的administrator賬號,制作WWW網站的賬號可能是html、www、web等,安裝Oracle數 據庫的可能有Oracle的賬號,用戶培訓或教學而設置的user1、user2、student1、student2、client1、client2等賬戶,一些常用的英文名字也經常會使用,例如:tom、john等,因此想要防御黑客可以根據系統所提供的服務和在其主頁得到的工作人員的名字信息進行猜測。
結束進程示意圖對很多黑客入侵系統實例的分析表明,由于普通用戶對系統安全沒有具體的認識,因此其密碼很容易被猜測出來,一般用戶的初始密碼大部分和其賬號相同,這根本沒有一點安全性,在得到其賬號信息后就得到了它的密碼;另外一部分使用的密碼比較簡單,例如:將賬號的第一個字母大寫、后面加一個數字,或者使用簡單數字0、1等作為密碼。還有一些成對的賬號和密碼,例如:賬號是admin,那么密碼可能是manager等。在對普通用戶進行測試密碼時,實際上也可以對目標主機系統的重要賬號進行猜測,例如:一些系統管理員將root的密碼定為主機的名字,像Sun、Digital、sparc20、alpha2100等,Oracle數據庫的賬號密碼為oracle7、oracle8等,因此經常發生系統安全的事故。因此,在防御黑客入侵后,應及時修改主機的賬號和密碼,以避免黑客再次通過這些賬號和密碼侵入您的主機。#p#
四、主機系統日志的檢查與備份
主機系統的日志記錄提供了對系統活動的詳細審計,這些日志用于評估、審查系統的運行環境和各種操作 。對于一般情況 ,日志記錄包括記錄用戶登錄時間、登錄地點、進行什么操作等內容,如果使用得當,日 志記錄能向系統管理員提供有關危害安全的侵害或入侵試圖等非常有用的信息。
以Unix系統為例,提供了詳細的各種日志記錄,以及有關日志的大量工具和實用程序。這些審計記錄通常 由程序自動產生,是缺省設置的一部分,能夠幫助Unix管理員來尋找系統中存在的問題,對系統維護十分 有用。還有另一些日志記錄,需要管理員進行設置才能生效。大部分日志記錄文件被保存在/var/log目錄 中,在這個目錄中除了保存系統生成日志之外,還包括一些應用軟件的日志文件。當然/var目錄下的其他 子目錄中也會記錄下一些其他種類的日志記錄文件,這依賴于具體的應用程序的設置。系統登錄日志會保存每個用戶的登錄記錄,這些信息包括這個用戶的名字、登錄起始結束時間以及從何處登錄入系統的等等 。
當防御黑客入侵之后,應當及時檢查和備份主機系統日志,對黑客所破壞的系統進行及時的恢復。
五、關鍵數據的備份
數據備份就是將數據以某種方式加以保留,以便在系統遭受破壞或其他特定情況下,重新加以利用的一個 過程。數據備份的根本目的是重新利用,這也就是說,備份工作的核心是恢復。數據備份作為存儲領域的 一個重要組成部分,其在存儲系統中的地位和作用都是不容忽視的。對一個完整的企業IT系統而言,備份 工作是其中必不可少的組成部分。其意義不僅在于防范意外事件的破壞,而且還是歷史數據保存歸檔的最 佳方式。換言之,即便系統正常工作,沒有任何數據丟失或破壞發生,備份工作仍然具有非常大的意義— —為我們進行歷史數據查詢、統計和分析,以及重要信息歸檔保存提供了可能。
如果您的主機不幸防御黑客的入侵不夠及時,或已經被入侵,那么你首先要做的就是備份主機中幸存的關鍵數據,以便在系統重新恢復正常運轉后及時地恢復系統數據。
六、查詢防火墻日志詳細記錄、修改防火墻安全策略
隨著網絡攻擊手段和信息安全技術的發展,新一代的功能更強大、安全性更強的防火墻已經問世,這個階 段的防火墻已超出了原來傳統意義上防火墻的范疇,已經演變成一個全方位的安全技術集成系統,我們稱 之為第四代防火墻,它可以抵御目前常見的網絡攻擊手段,如IP地址欺騙、特洛伊木馬攻擊、Internet蠕蟲、口令探尋攻擊、郵件攻擊等等。
但是,俗話說“道高一尺,魔高一丈”,功能再強大的防火墻也需要人工配置一些安全策略,由于使用者網絡安全水平的不同,即便想要防御黑客,他們還是可以利用防火墻安全策略的漏洞繞過防火墻實現對主機的攻擊。防火墻的日志會詳細記錄黑客入侵的手段和過程,所以在遭到黑客攻擊之后,我們應當根據防火墻的日志詳細記錄 ,有的放矢地修改防火墻的安全策略,使它能夠應對新出現的攻擊方式,使防火墻的安全策略日臻完善。
七、利用DiskRecovery技術對硬盤數據進行恢復
在最壞的情況下,防御黑客失敗,可能會導致硬盤上的所有重要數據被破壞甚至刪除。在遇到這種情況時,首先要保持冷靜 ,當數據無法讀取或硬盤被格式化后,往往可以恢復,不必緊張。
那數據為什么能恢復呢?這主要取決于硬盤數據的存儲原理。硬盤中由一組金屬材料為基層的盤片組成, 盤片上附著磁性涂層,靠硬盤本身轉動和磁頭的移動來讀寫數據的。其中,最外面的一圈稱為“0”磁道。 上面記錄了硬盤的規格、型號、主引導記錄、目錄結構等一系列最重要的信息。我們存放在硬盤上的每一 個文件都在這里有記錄。在讀取文件時,首先要尋找0磁道的有關文件的初始扇區,然后按圖索驥,才能找 到文件的位置。刪除就不一樣了,系統僅僅對0磁道的文件信息打上刪除標志,但這個文件本身并沒有被清 除。只是文件占用的空間在系統中被顯示為釋放,而且,當你下次往硬盤上存儲文件時,系統將會優先考 慮真正的空白區,只有這些區域被用完以后,才會覆蓋上述被刪文件實際占有的空間。另外,即使硬盤格 式化后(如Format),只要及時搶救,還是有很大希望的。我們可以選擇一些專業的數據恢復軟件來恢復被黑客破壞的數據,譬如EasyRecovery,這是一個威力非常強大的硬盤數據恢復工具,能夠幫你恢復丟失的數據以及重建文件系統。
如果您不具備硬盤數據恢復的知識,目前有許多專業的數據恢復公司也提供硬盤數據恢復服務。如果我們 要恢復的數據涉及一些商業機密,那么,我們所要做的是準備新的空白硬盤作為數據恢復后的載體,不要 將數據恢復到別人的機器上,不要因為他們已刪除而感到放心,因為他們既然能恢復您硬盤上的數據,就 一定也能恢復您暫存在他們的硬盤上的數據。而且恢復數據的過程最好也要有人全程監控,以避免泄密。
【編輯推薦】
