抵御黑客攻擊的七大策略

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

隨著互聯(lián)網(wǎng)走入人們的生活，黑客這個(gè)名詞也愈來(lái)愈為大家所熟悉。在這黑客日益猖獗的年代，我們不僅要掌握如何防范黑客入侵的手段，而且還要學(xué)會(huì)在遭到黑客入侵后應(yīng)該采取哪些措施。筆者在總結(jié)實(shí)踐經(jīng)驗(yàn)的基礎(chǔ)上，向大家介紹抵御黑客攻擊的七大策略

★策略一：主機(jī)的服務(wù)端口關(guān)閉

主機(jī)大部分都提供WWW、Mail、FTP、BBS等日常網(wǎng)絡(luò)服務(wù)，每一臺(tái)網(wǎng)絡(luò)主機(jī)原則上可以同時(shí)提供幾種服務(wù)，一臺(tái)主機(jī)為何能夠提供如此多的服務(wù)呢？因?yàn)?，Unix/Windows系統(tǒng)是一種多用戶、多任務(wù)的系統(tǒng)，將網(wǎng)絡(luò)服務(wù)劃分為許多不同的端口，每一個(gè)端口提供一種不同服務(wù)，一個(gè)服務(wù)會(huì)有一個(gè)程序時(shí)刻監(jiān)視端口活動(dòng)，并且給予應(yīng)有的應(yīng)答。并且，端口的定義已經(jīng)成為了標(biāo)準(zhǔn)，例如：FTP服務(wù)的端口是21，Telnet服務(wù)的端口是23，WWW服務(wù)的端口是80等。

黑客經(jīng)常使用一些像Portscan這樣的工具軟件，對(duì)目標(biāo)主機(jī)一定范圍的端口進(jìn)行掃描。這樣可以全部掌握目標(biāo)主機(jī)的端口情況。有一個(gè)好工具Haktek，這是一個(gè)非常實(shí)用的工具軟件，它將許多應(yīng)用集成在一起，其中包括： Ping、IP地址范圍掃描、目標(biāo)主機(jī)端口掃描、郵件炸彈、過(guò)濾郵件、Finger主機(jī)等都是非常實(shí)用的工具。完成目標(biāo)主機(jī)掃描任務(wù)，首先告訴Haktek目標(biāo)主機(jī)的位置，即域名或IP地址。然后選擇端口掃描，輸入掃描范圍，開始掃描，屏幕很快返回激活的端口號(hào)以及對(duì)應(yīng)的服務(wù)。對(duì)資料的收集非常迅速完整。

因此，如果懷疑或確認(rèn)主機(jī)遭到黑客攻擊，首先要立即關(guān)閉主機(jī)上可能被黑客利用的服務(wù)端口，以阻斷黑客入侵的渠道。

★策略二：終止可疑進(jìn)程，避免使用危險(xiǎn)進(jìn)程

對(duì)于Windows操作系統(tǒng)，按Ctrl + Alt + Del打開任務(wù)管理器，終止可疑的進(jìn)程。發(fā)現(xiàn)可疑進(jìn)程后，利用Windows的查找功能，查找該進(jìn)程所在的具體路徑，通過(guò)路徑可以知道該進(jìn)程是否合法，譬如由路徑“C:Program Files3721assistse.exe”知道該程序是3721的進(jìn)程，是合法的。如果在對(duì)進(jìn)程是否合法進(jìn)程拿不定主意時(shí)，可以復(fù)制該進(jìn)程的全名，如：“xxx.exe”到www.baidu.com這樣的全球搜查引擎上進(jìn)行搜索。確定了該進(jìn)程是黑客進(jìn)程，首先應(yīng)該殺掉該進(jìn)程，對(duì)于Windows 9x系統(tǒng)，選中該進(jìn)程后，點(diǎn)擊下面的“結(jié)束任務(wù)”按鈕，Windows 2000、Windows XP、Windows 2003系統(tǒng)則在進(jìn)程上單擊右鍵在彈出菜單上選擇“結(jié)束任務(wù)”。終止進(jìn)程后找到該進(jìn)程的路徑刪除掉即可，完成后最好再進(jìn)行一次殺毒，這樣就萬(wàn)無(wú)一失了，如右上圖所示。

一次利用進(jìn)程管理器殺可疑進(jìn)程的具體過(guò)程是這樣的：“通過(guò)進(jìn)程名及路徑判斷是否可疑——?dú)⒌暨M(jìn)程——?jiǎng)h除進(jìn)程程序”。

在遭到黑客入侵后，除了殺掉系統(tǒng)中的可疑進(jìn)程外，還應(yīng)該避免使用危險(xiǎn)的可能被黑客利用的進(jìn)程。

★策略三：主機(jī)賬號(hào)和密碼的修改

根據(jù)平時(shí)的經(jīng)驗(yàn)，一些系統(tǒng)總有一些習(xí)慣性的常用賬號(hào)，這些賬號(hào)都是系統(tǒng)中因?yàn)槟撤N應(yīng)用而設(shè)置的。例如：Windows操作系統(tǒng)的administrator賬號(hào)，制作WWW網(wǎng)站的賬號(hào)可能是html、www、web等，安裝Oracle數(shù)據(jù)庫(kù)的可能有Oracle的賬號(hào)，用戶培訓(xùn)或教學(xué)而設(shè)置的user1、user2、student1、student2、client1、client2等賬戶，一些常用的英文名字也經(jīng)常會(huì)使用，例如：tom、john等，因此黑客可以根據(jù)系統(tǒng)所提供的服務(wù)和在其主頁(yè)得到的工作人員的名字信息進(jìn)行猜測(cè)。

對(duì)很多黑客入侵系統(tǒng)實(shí)例的分析表明，由于普通用戶對(duì)系統(tǒng)安全沒(méi)有具體的認(rèn)識(shí)，因此其密碼很容易被猜測(cè)出來(lái)，一般用戶的初始密碼大部分和其賬號(hào)相同，這根本沒(méi)有一點(diǎn)安全性，在得到其賬號(hào)信息后就得到了它的密碼；另外一部分使用的密碼比較簡(jiǎn)單，例如：將賬號(hào)的第一個(gè)字母大寫、后面加一個(gè)數(shù)字，或者使用簡(jiǎn)單數(shù)字0、1等作為密碼。還有一些成對(duì)的賬號(hào)和密碼，例如：賬號(hào)是admin，那么密碼可能是manager等。在對(duì)普通用戶進(jìn)行測(cè)試密碼時(shí)，實(shí)際上也可以對(duì)目標(biāo)主機(jī)系統(tǒng)的重要賬號(hào)進(jìn)行猜測(cè)，例如：一些系統(tǒng)管理員將root的密碼定為主機(jī)的名字，像Sun、Digital、sparc20、alpha2100等，Oracle數(shù)據(jù)庫(kù)的賬號(hào)密碼為oracle7、oracle8等，因此經(jīng)常發(fā)生系統(tǒng)安全的事故。

因此，在遭到黑客入侵后，應(yīng)及時(shí)修改主機(jī)的賬號(hào)和密碼，以避免黑客再次通過(guò)這些賬號(hào)和密碼侵入您的主機(jī)。

★策略四：主機(jī)系統(tǒng)日志的檢查與備份

主機(jī)系統(tǒng)的日志記錄提供了對(duì)系統(tǒng)活動(dòng)的詳細(xì)審計(jì)，這些日志用于評(píng)估、審查系統(tǒng)的運(yùn)行環(huán)境和各種操作。對(duì)于一般情況 ，日志記錄包括記錄用戶登錄時(shí)間、登錄地點(diǎn)、進(jìn)行什么操作等內(nèi)容，如果使用得當(dāng)，日志記錄能向系統(tǒng)管理員提供有關(guān)危害安全的侵害或入侵試圖等非常有用的信息。

以Unix系統(tǒng)為例，提供了詳細(xì)的各種日志記錄，以及有關(guān)日志的大量工具和實(shí)用程序。這些審計(jì)記錄通常由程序自動(dòng)產(chǎn)生，是缺省設(shè)置的一部分，能夠幫助Unix管理員來(lái)尋找系統(tǒng)中存在的問(wèn)題，對(duì)系統(tǒng)維護(hù)十分有用。還有另一些日志記錄，需要管理員進(jìn)行設(shè)置才能生效。大部分日志記錄文件被保存在/var/log目錄中，在這個(gè)目錄中除了保存系統(tǒng)生成日志之外，還包括一些應(yīng)用軟件的日志文件。當(dāng)然/var目錄下的其他子目錄中也會(huì)記錄下一些其他種類的日志記錄文件，這依賴于具體的應(yīng)用程序的設(shè)置。系統(tǒng)登錄日志會(huì)保存每個(gè)用戶的登錄記錄，這些信息包括這個(gè)用戶的名字、登錄起始結(jié)束時(shí)間以及從何處登錄入系統(tǒng)的等等。

當(dāng)遭到黑客入侵之后，應(yīng)當(dāng)及時(shí)檢查和備份主機(jī)系統(tǒng)日志，對(duì)黑客所破壞的系統(tǒng)進(jìn)行及時(shí)的恢復(fù)。

★策略五：關(guān)鍵數(shù)據(jù)的備份

數(shù)據(jù)備份就是將數(shù)據(jù)以某種方式加以保留，以便在系統(tǒng)遭受破壞或其他特定情況下，重新加以利用的一個(gè)過(guò)程。數(shù)據(jù)備份的根本目的是重新利用，這也就是說(shuō)，備份工作的核心是恢復(fù)。數(shù)據(jù)備份作為存儲(chǔ)領(lǐng)域的一個(gè)重要組成部分，其在存儲(chǔ)系統(tǒng)中的地位和作用都是不容忽視的。對(duì)一個(gè)完整的企業(yè)IT系統(tǒng)而言，備份工作是其中必不可少的組成部分。其意義不僅在于防范意外事件的破壞，而且還是歷史數(shù)據(jù)保存歸檔的最佳方式。換言之，即便系統(tǒng)正常工作，沒(méi)有任何數(shù)據(jù)丟失或破壞發(fā)生，備份工作仍然具有非常大的意義——為我們進(jìn)行歷史數(shù)據(jù)查詢、統(tǒng)計(jì)和分析，以及重要信息歸檔保存提供了可能。

如果您的主機(jī)不幸遭到黑客的入侵，那么你首先要做的就是備份主機(jī)中幸存的關(guān)鍵數(shù)據(jù)，以便在系統(tǒng)重新恢復(fù)正常運(yùn)轉(zhuǎn)后及時(shí)地恢復(fù)系統(tǒng)數(shù)據(jù)。

★策略六：查詢防火墻日志詳細(xì)記錄、修改防火墻安全策略

隨著網(wǎng)絡(luò)攻擊手段和信息安全技術(shù)的發(fā)展，新一代的功能更強(qiáng)大、安全性更強(qiáng)的防火墻已經(jīng)問(wèn)世，這個(gè)階段的防火墻已超出了原來(lái)傳統(tǒng)意義上防火墻的范疇，已經(jīng)演變成一個(gè)全方位的安全技術(shù)集成系統(tǒng)，我們稱之為第四代防火墻，它可以抵御目前常見(jiàn)的網(wǎng)絡(luò)攻擊手段，如IP地址欺騙、特洛伊木馬攻擊、Internet蠕蟲、口令探尋攻擊、郵件攻擊等等。

但是，俗話說(shuō)“道高一尺，魔高一丈”，功能再?gòu)?qiáng)大的防火墻也需要人工配置一些安全策略，由于使用者網(wǎng)絡(luò)安全水平的不同，黑客還是可以利用防火墻安全策略的漏洞繞過(guò)防火墻實(shí)現(xiàn)對(duì)主機(jī)的攻擊。防火墻的日志會(huì)詳細(xì)記錄黑客入侵的手段和過(guò)程，所以在遭到黑客攻擊之后，我們應(yīng)當(dāng)根據(jù)防火墻的日志詳細(xì)記錄，有的放矢地修改防火墻的安全策略，使它能夠應(yīng)對(duì)新出現(xiàn)的攻擊方式，使防火墻的安全策略日臻完善。

★策略七：利用DiskRecovery技術(shù)對(duì)硬盤數(shù)據(jù)進(jìn)行恢復(fù)

在最壞的情況下，黑客可能會(huì)破壞甚至刪除硬盤上的所有重要數(shù)據(jù)。在遇到這種情況時(shí)，首先要保持冷靜，當(dāng)數(shù)據(jù)無(wú)法讀取或硬盤被格式化后，往往可以恢復(fù)，不必緊張。

那數(shù)據(jù)為什么能恢復(fù)呢？這主要取決于硬盤數(shù)據(jù)的存儲(chǔ)原理。硬盤中由一組金屬材料為基層的盤片組成，盤片上附著磁性涂層，靠硬盤本身轉(zhuǎn)動(dòng)和磁頭的移動(dòng)來(lái)讀寫數(shù)據(jù)的。其中，最外面的一圈稱為“0”磁道。上面記錄了硬盤的規(guī)格、型號(hào)、主引導(dǎo)記錄、目錄結(jié)構(gòu)等一系列最重要的信息。我們存放在硬盤上的每一個(gè)文件都在這里有記錄。在讀取文件時(shí)，首先要尋找0磁道的有關(guān)文件的初始扇區(qū)，然后按圖索驥，才能找到文件的位置。刪除就不一樣了，系統(tǒng)僅僅對(duì)0磁道的文件信息打上刪除標(biāo)志，但這個(gè)文件本身并沒(méi)有被清除。只是文件占用的空間在系統(tǒng)中被顯示為釋放，而且，當(dāng)你下次往硬盤上存儲(chǔ)文件時(shí)，系統(tǒng)將會(huì)優(yōu)先考慮真正的空白區(qū)，只有這些區(qū)域被用完以后，才會(huì)覆蓋上述被刪文件實(shí)際占有的空間。另外，即使硬盤格式化后（如Format），只要及時(shí)搶救，還是有很大希望的。我們可以選擇一些專業(yè)的數(shù)據(jù)恢復(fù)軟件來(lái)恢復(fù)被黑客破壞的數(shù)據(jù)，譬如EasyRecovery，這是一個(gè)威力非常強(qiáng)大的硬盤數(shù)據(jù)恢復(fù)工具，能夠幫你恢復(fù)丟失的數(shù)據(jù)以及重建文件系統(tǒng)。

如果您不具備硬盤數(shù)據(jù)恢復(fù)的知識(shí)，目前有許多專業(yè)的數(shù)據(jù)恢復(fù)公司也提供硬盤數(shù)據(jù)恢復(fù)服務(wù)。如果我們要恢復(fù)的數(shù)據(jù)涉及一些商業(yè)機(jī)密，那么，我們所要做的是準(zhǔn)備新的空白硬盤作為數(shù)據(jù)恢復(fù)后的載體，不要將數(shù)據(jù)恢復(fù)到別人的機(jī)器上，不要因?yàn)樗麄円褎h除而感到放心，因?yàn)樗麄兗热荒芑謴?fù)您硬盤上的數(shù)據(jù)，就一定也能恢復(fù)您暫存在他們的硬盤上的數(shù)據(jù)。而且恢復(fù)數(shù)據(jù)的過(guò)程最好也要有人全程監(jiān)控，以避免泄密。 (ccw)