監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設(shè)計管理系統(tǒng) | 甲方項目管理系統(tǒng) | 簽約案例 | 客戶案例 | 在線試用
X 關(guān)閉

IT運維管理經(jīng)驗:如何防止黑客入侵之攻擊

申請免費試用、咨詢電話:400-8352-114

考慮到和口令/密碼相關(guān)的內(nèi)容較多,本文分兩部分來說:今天首先揭露攻擊者的種種伎倆;以后的文章再詳述應(yīng)對的措施。

★使用密碼的場合(密碼的類型)

為了便于后面的敘述,俺有必要先總結(jié)一下,使用口令的幾種場合。

針對這幾種不同的場合,攻擊者會采取不同的攻擊手法;因此,大伙兒也要采取針對性的防范手法。

◇操作系統(tǒng)用戶的口令

這種場合應(yīng)該好理解。目前主流的操作系統(tǒng)都具有口令驗證的用戶登錄機制。

◇各種網(wǎng)絡(luò)應(yīng)用的口令

隨著網(wǎng)絡(luò)(尤其是Web)的普及,這種場合越來越多。比如:Email、即時通訊(IM)、BBS、上網(wǎng)炒股等,都需要有用戶口令認(rèn)證。

◇各種本地應(yīng)用程序的口令

此種場合可能不如網(wǎng)絡(luò)應(yīng)用的口令那么常見。比如:用口令加密的壓縮文件、用口令加密的Office文檔、PGP密鑰的口令、Outlook設(shè)置的啟動口令等。

◇其它

除了上述3種類型,其它那些比較少見、雜七雜八的,統(tǒng)統(tǒng)歸為其它。比如:BIOS的開機口令。

★攻擊者如何通過技術(shù)手段搞定的你的密碼?

前面列舉了密碼的不同使用場合。接著咱要介紹一下:攻擊者會利用哪些技術(shù)手段,攻破你的密碼。

◇木馬盜取

如果你的電腦已經(jīng)被攻擊者安裝了木馬,那你的一舉一動有可能都會被監(jiān)視。在這種情況下,你在這臺電腦上輸入的任何密碼,都將會被攻擊者獲取。所以,這種情況是很危險滴——不管是哪種類型的密碼,都可能被盜。

至于如何防止自己的計算機被植入木馬,不是本文的重點。在本系列后續(xù)的文章中將會專門介紹木馬的防范。

◇弱密碼猜解

所謂的“弱密碼猜解”,就是說:如果你的密碼比較弱,攻擊者可以猜出來。這種攻擊手法,對于操作系統(tǒng)用戶口令、網(wǎng)絡(luò)應(yīng)用口令、本地應(yīng)用口令,都適用。而且攻擊者在盜取口令的時候,通常會先嘗試進行弱口令猜測。為什么?因為大部分用戶都不太具有安全意識,口令都會比較簡單(比較弱)。并且,根據(jù)二八原理 ,絕大多數(shù)的傻瓜用戶會使用極少數(shù)的弱口令。所以,攻擊者先把最流行的那些個弱口令挨個試驗一遍,沒準(zhǔn)就已經(jīng)成功了。

為了讓大伙明白弱口令的嚴(yán)重程度,來看看2009年底的“一個案例 ”。

話說國外一個小有名氣的交友網(wǎng)站(RockYou)被黑客攻破。里面大約3260萬用戶數(shù)據(jù)被盜。更加杯具的是,RockYou采用明文方式存儲用戶的口令。因此,這3260萬用戶的口令也統(tǒng)統(tǒng)暴露鳥。后來有好事者把被盜的用戶口令拿來分析一番。結(jié)果發(fā)現(xiàn),有相當(dāng)多的用戶在使用一些極其弱智的口令。

用的最多的TOP 10分別是:

1、123456

2、12345

3、123456789

4、password

5、iloveyou

6、princess

7、rockyou

8、1234567

9、12345678

10、abc123

據(jù)說名列第一的口令(123456)有30萬人使用,真是不看不知道,一看嚇一跳??!

◇暴力破解

除了對弱密碼進行猜解,攻擊者還可以通過窮舉的的方式,破解中等強度的密碼。所謂的窮舉法,就是把所有可能的字母/數(shù)字的組合都試驗一遍,直到找到正確的密碼。

現(xiàn)在CPU的計算能力日新月異,尤其是多核CPU普及之后,暴力破解的效果會越來越好。除非你的密碼很強,才能徹底消除暴力的風(fēng)險。

由于這種攻擊手法,需要進行成千上萬次的試錯,所以比較適合針對本地應(yīng)用的口令(比如破解加密的壓縮文件),而不太適合對網(wǎng)絡(luò)應(yīng)用進行在線口令破解。

在下一個帖子,俺會介紹,如何構(gòu)造強度較高的密碼。

◇網(wǎng)絡(luò)傳輸截獲(嗅探)

在這種方式下,攻擊者會通過嗅探 的方式,分析你的上網(wǎng)數(shù)據(jù)。如果你在上網(wǎng)過程中,存在明文傳輸?shù)目诹睿蜁唤孬@。

非安全專業(yè)的網(wǎng)友,可能不太明白什么是“嗅探”,俺來稍微解釋一下。攻擊者會利用某些嗅探軟件,收集網(wǎng)絡(luò)上傳輸?shù)乃袛?shù)據(jù)。這個過程好比電話竊聽。嗅探軟件類似于竊聽器;你的上網(wǎng)數(shù)據(jù)類似于電話的通話內(nèi)容。

這幾年,隨著現(xiàn)在上網(wǎng)行為管理系統(tǒng)(Wi-Fi)的普及,網(wǎng)絡(luò)嗅探的風(fēng)險大大增加,列位看官切不可掉以輕心哦。

◇客戶端截獲

所謂“客戶端截獲”,通常是針對網(wǎng)絡(luò)應(yīng)用的口令而言。舉幾個例子。

例1:

很多網(wǎng)友上網(wǎng)時,為了免去輸入口令的麻煩,會讓瀏覽器幫忙記住口令。通常瀏覽器會把這些口令保存在某個文件中(可能以明文方式,也可能以密文方式)。如果某天你的電腦中了木馬,那么木馬程序有可能會盜走這個保存口令的文件。然后攻擊者就可以通過分析該文件,破解出你保存過的所有網(wǎng)絡(luò)應(yīng)用的口令。

例2:

如果你是軟件公司的開發(fā)人員,多半你會使用某種源代碼版本管理工具(比如SVN、CVS、等)。為了免去每次操作時輸入口令的麻煩。通常開發(fā)人員會讓這些客戶端軟件記住用戶名和口令。如果哪天你中了木馬或者電腦被盜,那么攻擊者同樣可以破解你保存下來的口令,進而用你的身份盜取源代碼。

◇服務(wù)端截獲

和“客戶端截獲”方式相對的,還有“服務(wù)端截獲”。具體是啥意思捏?俺來解釋一下。

凡是利用口令進行驗證的軟件系統(tǒng),都需要存儲和口令相關(guān)的信息。否則的話,軟件系統(tǒng)就無法驗證用戶輸入的口令,到底是不是正確的。如果攻擊者能夠拿到這些口令的關(guān)聯(lián)信息,那他/她就有可能分析出口令是啥。

(如果你不是搞上網(wǎng)行為專業(yè)的,下面這段可能看不太明白)

通常用三種方式來存儲口令的關(guān)聯(lián)信息:1、存儲口令的明文;2、存儲口令經(jīng)過加密后的密文;3、存儲口令的散列值。第一種方式是最土鱉的,稍微先進一些的系統(tǒng),都不會用了。后面兩種方式,雖然看不到明文,但是攻擊者還是有辦法通過相應(yīng)的算法,反推出口令的明文。具體細(xì)節(jié),本文就不再多說了。

那攻擊者如何獲得存儲在軟件系統(tǒng)的口令關(guān)聯(lián)信息捏?其實前面提到的RockYou網(wǎng)站的杯具,就是一個很好的例子。俺再舉另一個例子。

比如:某個Linux/Unix服務(wù)器存在安全漏洞,攻擊者利用此漏洞搞到了“/etc/shadow”文件。那么攻擊者就可以采用上述提到的暴力破解的招數(shù),攻破該服務(wù)器上所有強度較弱的口令。

★攻擊者如何通過“非技術(shù)”手段搞定的你的密碼?

說完了技術(shù)手段,自然就得再說說非 技術(shù)手段。所謂的非技術(shù)手法,也就是社會工程學(xué)手法 。用于盜取密碼的社會工程學(xué)手法,大概有如下幾種。

◇偷窺

偷窺是最簡單的一種社會工程學(xué)攻擊手法。雖然簡單,但是有效。比如很多盜取銀行卡的家伙,就是偷窺的手法,得到被害人的銀行卡密碼。

◇釣魚

另外一個騙取口令的方式,就是通過網(wǎng)絡(luò)釣魚。比如某些攻擊者,會偽造一個銀行的網(wǎng)站。其界面和真實的網(wǎng)站一模一樣。然后通過某種方式(比如:虛假鏈接、欺詐郵件、DNS欺騙、等),引誘你到這個網(wǎng)站上。由于假網(wǎng)站和真網(wǎng)站的界面很像,你可能信以為真,然后在假網(wǎng)站中輸入你的用戶名和密碼。

有些高明的釣魚網(wǎng)站,會采用類似Web代理的技巧:把你的所有輸入操作,轉(zhuǎn)而提交給真網(wǎng)站;然后把真網(wǎng)站輸出的界面,再轉(zhuǎn)回給受害者看。這樣的話,受害者就跟在真實網(wǎng)站進行插作,沒啥區(qū)別,不易看出破綻。

◇分析

如果攻擊者對你比較了解,那么他有可能通過深入的分析,攻破你的口令防護。是不是覺得很神奇?很匪夷所思?其實這種招數(shù)很常見,且不算太難。俺來舉個例子。

相信很多網(wǎng)友都用過電子郵箱的找回口令功能。當(dāng)你口令遺忘之后,可以通過回答事先預(yù)設(shè)的問題,來找回口令。很多不太專業(yè)的用戶,預(yù)設(shè)的問題都很簡單(比如:你的手機號是多少?比如:你的生日是哪天?)。對于這類過于簡單的問題,攻擊者可以很容易地找到答案,從而竊取到你的郵箱口令。

◇欺騙

最近幾年,通過電話詐騙,騙取銀行卡密碼的案例越來越多。這種作案手法,就屬于社會工程學(xué)中,“欺騙”的范疇。其實在上網(wǎng)行為領(lǐng)域,某些黑客也會利用這種手法來獲取口令。

★結(jié)尾

介紹到這里,列位看官對黑客盜取口令的手法,應(yīng)該有一個初步的認(rèn)識了。本系列以后的文章將會具體介紹如何構(gòu)造安全的口令/密碼 。

【推薦閱讀】

網(wǎng)管軟件專區(qū)

 ◆網(wǎng)絡(luò)管理維護技巧:實現(xiàn)VLAN環(huán)境下DHCP服務(wù)

網(wǎng)管員技巧:學(xué)會限制路由器多臺電腦上網(wǎng)

網(wǎng)絡(luò)管理維護技巧:路由器故障排除技巧

上網(wǎng)行為運維管理專區(qū)

本文來自互聯(lián)網(wǎng),僅供參考
發(fā)布:2007-04-15 10:03    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:
相關(guān)軟件
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號1層9號

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費獲取試用系統(tǒng)

QQ在線咨詢