抵御黑客攻擊的七大策略

申請免費試用、咨詢電話：400-8352-114

隨著互聯(lián)網(wǎng)走入人們的生活，黑客這個名詞也愈來愈為大家所熟悉。在這黑客日益猖獗的年代，我們不僅要掌握如何防范黑客入侵的手段，而且還要學會在遭到黑客入侵后應(yīng)該采取哪些措施。筆者在總結(jié)實踐經(jīng)驗的基礎(chǔ)上，向大家介紹抵御黑客攻擊的七大策略

★策略一：主機的服務(wù)端口關(guān)閉

主機大部分都提供WWW、Mail、FTP、BBS等日常網(wǎng)絡(luò)服務(wù)，每一臺網(wǎng)絡(luò)主機原則上可以同時提供幾種服務(wù)，一臺主機為何能夠提供如此多的服務(wù)呢？因為，Unix/Windows系統(tǒng)是一種多用戶、多任務(wù)的系統(tǒng)，將網(wǎng)絡(luò)服務(wù)劃分為許多不同的端口，每一個端口提供一種不同服務(wù)，一個服務(wù)會有一個程序時刻監(jiān)視端口活動，并且給予應(yīng)有的應(yīng)答。并且，端口的定義已經(jīng)成為了標準，例如：FTP服務(wù)的端口是21，Telnet服務(wù)的端口是23，WWW服務(wù)的端口是80等。

黑客經(jīng)常使用一些像Portscan這樣的工具軟件，對目標主機一定范圍的端口進行掃描。這樣可以全部掌握目標主機的端口情況。有一個好工具Haktek，這是一個非常實用的工具軟件，它將許多應(yīng)用集成在一起，其中包括： Ping、IP地址范圍掃描、目標主機端口掃描、郵件炸彈、過濾郵件、Finger主機等都是非常實用的工具。完成目標主機掃描任務(wù)，首先告訴Haktek目標主機的位置，即域名或IP地址。然后選擇端口掃描，輸入掃描范圍，開始掃描，屏幕很快返回激活的端口號以及對應(yīng)的服務(wù)。對資料的收集非常迅速完整。

因此，如果懷疑或確認主機遭到黑客攻擊，首先要立即關(guān)閉主機上可能被黑客利用的服務(wù)端口，以阻斷黑客入侵的渠道。

★策略二：終止可疑進程，避免使用危險進程

對于Windows操作系統(tǒng)，按Ctrl + Alt + Del打開任務(wù)管理器，終止可疑的進程。發(fā)現(xiàn)可疑進程后，利用Windows的查找功能，查找該進程所在的具體路徑，通過路徑可以知道該進程是否合法，譬如由路徑“C:Program Files3721assistse.exe”知道該程序是3721的進程，是合法的。如果在對進程是否合法進程拿不定主意時，可以復制該進程的全名，如：“xxx.exe”到www.baidu.com這樣的全球搜查引擎上進行搜索。確定了該進程是黑客進程，首先應(yīng)該殺掉該進程，對于Windows 9x系統(tǒng)，選中該進程后，點擊下面的“結(jié)束任務(wù)”按鈕，Windows 2000、Windows XP、Windows 2003系統(tǒng)則在進程上單擊右鍵在彈出菜單上選擇“結(jié)束任務(wù)”。終止進程后找到該進程的路徑刪除掉即可，完成后最好再進行一次殺毒，這樣就萬無一失了，如右上圖所示。

一次利用進程管理器殺可疑進程的具體過程是這樣的：“通過進程名及路徑判斷是否可疑——殺掉進程——刪除進程程序”。

在遭到黑客入侵后，除了殺掉系統(tǒng)中的可疑進程外，還應(yīng)該避免使用危險的可能被黑客利用的進程。

★策略三：主機賬號和密碼的修改

根據(jù)平時的經(jīng)驗，一些系統(tǒng)總有一些習慣性的常用賬號，這些賬號都是系統(tǒng)中因為某種應(yīng)用而設(shè)置的。例如：Windows操作系統(tǒng)的administrator賬號，制作WWW網(wǎng)站的賬號可能是html、www、web等，安裝Oracle數(shù)據(jù)庫的可能有Oracle的賬號，用戶培訓或教學而設(shè)置的user1、user2、student1、student2、client1、client2等賬戶，一些常用的英文名字也經(jīng)常會使用，例如：tom、john等，因此黑客可以根據(jù)系統(tǒng)所提供的服務(wù)和在其主頁得到的工作人員的名字信息進行猜測。

對很多黑客入侵系統(tǒng)實例的分析表明，由于普通用戶對系統(tǒng)安全沒有具體的認識，因此其密碼很容易被猜測出來，一般用戶的初始密碼大部分和其賬號相同，這根本沒有一點安全性，在得到其賬號信息后就得到了它的密碼；另外一部分使用的密碼比較簡單，例如：將賬號的第一個字母大寫、后面加一個數(shù)字，或者使用簡單數(shù)字0、1等作為密碼。還有一些成對的賬號和密碼，例如：賬號是admin，那么密碼可能是manager等。在對普通用戶進行測試密碼時，實際上也可以對目標主機系統(tǒng)的重要賬號進行猜測，例如：一些系統(tǒng)管理員將root的密碼定為主機的名字，像Sun、Digital、sparc20、alpha2100等，Oracle數(shù)據(jù)庫的賬號密碼為oracle7、oracle8等，因此經(jīng)常發(fā)生系統(tǒng)安全的事故。

因此，在遭到黑客入侵后，應(yīng)及時修改主機的賬號和密碼，以避免黑客再次通過這些賬號和密碼侵入您的主機。

★策略四：主機系統(tǒng)日志的檢查與備份

主機系統(tǒng)的日志記錄提供了對系統(tǒng)活動的詳細審計，這些日志用于評估、審查系統(tǒng)的運行環(huán)境和各種操作。對于一般情況 ，日志記錄包括記錄用戶登錄時間、登錄地點、進行什么操作等內(nèi)容，如果使用得當，日志記錄能向系統(tǒng)管理員提供有關(guān)危害安全的侵害或入侵試圖等非常有用的信息。

以Unix系統(tǒng)為例，提供了詳細的各種日志記錄，以及有關(guān)日志的大量工具和實用程序。這些審計記錄通常由程序自動產(chǎn)生，是缺省設(shè)置的一部分，能夠幫助Unix管理員來尋找系統(tǒng)中存在的問題，對系統(tǒng)維護十分有用。還有另一些日志記錄，需要管理員進行設(shè)置才能生效。大部分日志記錄文件被保存在/var/log目錄中，在這個目錄中除了保存系統(tǒng)生成日志之外，還包括一些應(yīng)用軟件的日志文件。當然/var目錄下的其他子目錄中也會記錄下一些其他種類的日志記錄文件，這依賴于具體的應(yīng)用程序的設(shè)置。系統(tǒng)登錄日志會保存每個用戶的登錄記錄，這些信息包括這個用戶的名字、登錄起始結(jié)束時間以及從何處登錄入系統(tǒng)的等等。

當遭到黑客入侵之后，應(yīng)當及時檢查和備份主機系統(tǒng)日志，對黑客所破壞的系統(tǒng)進行及時的恢復。

★策略五：關(guān)鍵數(shù)據(jù)的備份

數(shù)據(jù)備份就是將數(shù)據(jù)以某種方式加以保留，以便在系統(tǒng)遭受破壞或其他特定情況下，重新加以利用的一個過程。數(shù)據(jù)備份的根本目的是重新利用，這也就是說，備份工作的核心是恢復。數(shù)據(jù)備份作為存儲領(lǐng)域的一個重要組成部分，其在存儲系統(tǒng)中的地位和作用都是不容忽視的。對一個完整的企業(yè)IT系統(tǒng)而言，備份工作是其中必不可少的組成部分。其意義不僅在于防范意外事件的破壞，而且還是歷史數(shù)據(jù)保存歸檔的最佳方式。換言之，即便系統(tǒng)正常工作，沒有任何數(shù)據(jù)丟失或破壞發(fā)生，備份工作仍然具有非常大的意義——為我們進行歷史數(shù)據(jù)查詢、統(tǒng)計和分析，以及重要信息歸檔保存提供了可能。

如果您的主機不幸遭到黑客的入侵，那么你首先要做的就是備份主機中幸存的關(guān)鍵數(shù)據(jù)，以便在系統(tǒng)重新恢復正常運轉(zhuǎn)后及時地恢復系統(tǒng)數(shù)據(jù)。

★策略六：查詢防火墻日志詳細記錄、修改防火墻安全策略

隨著網(wǎng)絡(luò)攻擊手段和信息安全技術(shù)的發(fā)展，新一代的功能更強大、安全性更強的防火墻已經(jīng)問世，這個階段的防火墻已超出了原來傳統(tǒng)意義上防火墻的范疇，已經(jīng)演變成一個全方位的安全技術(shù)集成系統(tǒng)，我們稱之為第四代防火墻，它可以抵御目前常見的網(wǎng)絡(luò)攻擊手段，如IP地址欺騙、特洛伊木馬攻擊、Internet蠕蟲、口令探尋攻擊、郵件攻擊等等。

但是，俗話說“道高一尺，魔高一丈”，功能再強大的防火墻也需要人工配置一些安全策略，由于使用者網(wǎng)絡(luò)安全水平的不同，黑客還是可以利用防火墻安全策略的漏洞繞過防火墻實現(xiàn)對主機的攻擊。防火墻的日志會詳細記錄黑客入侵的手段和過程，所以在遭到黑客攻擊之后，我們應(yīng)當根據(jù)防火墻的日志詳細記錄，有的放矢地修改防火墻的安全策略，使它能夠應(yīng)對新出現(xiàn)的攻擊方式，使防火墻的安全策略日臻完善。

★策略七：利用DiskRecovery技術(shù)對硬盤數(shù)據(jù)進行恢復

在最壞的情況下，黑客可能會破壞甚至刪除硬盤上的所有重要數(shù)據(jù)。在遇到這種情況時，首先要保持冷靜，當數(shù)據(jù)無法讀取或硬盤被格式化后，往往可以恢復，不必緊張。

那數(shù)據(jù)為什么能恢復呢？這主要取決于硬盤數(shù)據(jù)的存儲原理。硬盤中由一組金屬材料為基層的盤片組成，盤片上附著磁性涂層，靠硬盤本身轉(zhuǎn)動和磁頭的移動來讀寫數(shù)據(jù)的。其中，最外面的一圈稱為“0”磁道。上面記錄了硬盤的規(guī)格、型號、主引導記錄、目錄結(jié)構(gòu)等一系列最重要的信息。我們存放在硬盤上的每一個文件都在這里有記錄。在讀取文件時，首先要尋找0磁道的有關(guān)文件的初始扇區(qū)，然后按圖索驥，才能找到文件的位置。刪除就不一樣了，系統(tǒng)僅僅對0磁道的文件信息打上刪除標志，但這個文件本身并沒有被清除。只是文件占用的空間在系統(tǒng)中被顯示為釋放，而且，當你下次往硬盤上存儲文件時，系統(tǒng)將會優(yōu)先考慮真正的空白區(qū)，只有這些區(qū)域被用完以后，才會覆蓋上述被刪文件實際占有的空間。另外，即使硬盤格式化后（如Format），只要及時搶救，還是有很大希望的。我們可以選擇一些專業(yè)的數(shù)據(jù)恢復軟件來恢復被黑客破壞的數(shù)據(jù)，譬如EasyRecovery，這是一個威力非常強大的硬盤數(shù)據(jù)恢復工具，能夠幫你恢復丟失的數(shù)據(jù)以及重建文件系統(tǒng)。

如果您不具備硬盤數(shù)據(jù)恢復的知識，目前有許多專業(yè)的數(shù)據(jù)恢復公司也提供硬盤數(shù)據(jù)恢復服務(wù)。如果我們要恢復的數(shù)據(jù)涉及一些商業(yè)機密，那么，我們所要做的是準備新的空白硬盤作為數(shù)據(jù)恢復后的載體，不要將數(shù)據(jù)恢復到別人的機器上，不要因為他們已刪除而感到放心，因為他們既然能恢復您硬盤上的數(shù)據(jù)，就一定也能恢復您暫存在他們的硬盤上的數(shù)據(jù)。而且恢復數(shù)據(jù)的過程最好也要有人全程監(jiān)控，以避免泄密。 (ccw)