IT運(yùn)維管理經(jīng)驗(yàn)：如何防止黑客入侵之攻擊

申請免費(fèi)試用、咨詢電話：400-8352-114

考慮到和口令/密碼相關(guān)的內(nèi)容較多，本文分兩部分來說：今天首先揭露攻擊者的種種伎倆；以后的文章再詳述應(yīng)對的措施。

★使用密碼的場合（密碼的類型）

為了便于后面的敘述，俺有必要先總結(jié)一下，使用口令的幾種場合。

針對這幾種不同的場合，攻擊者會采取不同的攻擊手法；因此，大伙兒也要采取針對性的防范手法。

◇操作系統(tǒng)用戶的口令

這種場合應(yīng)該好理解。目前主流的操作系統(tǒng)都具有口令驗(yàn)證的用戶登錄機(jī)制。

◇各種網(wǎng)絡(luò)應(yīng)用的口令

隨著網(wǎng)絡(luò)（尤其是Web）的普及，這種場合越來越多。比如：Email、即時通訊（IM）、BBS、上網(wǎng)炒股等，都需要有用戶口令認(rèn)證。

◇各種本地應(yīng)用程序的口令

此種場合可能不如網(wǎng)絡(luò)應(yīng)用的口令那么常見。比如：用口令加密的壓縮文件、用口令加密的Office文檔、PGP密鑰的口令、Outlook設(shè)置的啟動口令等。

◇其它

除了上述3種類型，其它那些比較少見、雜七雜八的，統(tǒng)統(tǒng)歸為其它。比如：BIOS的開機(jī)口令。

★攻擊者如何通過技術(shù)手段搞定的你的密碼？

前面列舉了密碼的不同使用場合。接著咱要介紹一下：攻擊者會利用哪些技術(shù)手段，攻破你的密碼。

◇木馬盜取

如果你的電腦已經(jīng)被攻擊者安裝了木馬，那你的一舉一動有可能都會被監(jiān)視。在這種情況下，你在這臺電腦上輸入的任何密碼，都將會被攻擊者獲取。所以，這種情況是很危險(xiǎn)滴——不管是哪種類型的密碼，都可能被盜。

至于如何防止自己的計(jì)算機(jī)被植入木馬，不是本文的重點(diǎn)。在本系列后續(xù)的文章中將會專門介紹木馬的防范。

◇弱密碼猜解

所謂的“弱密碼猜解”，就是說：如果你的密碼比較弱，攻擊者可以猜出來。這種攻擊手法，對于操作系統(tǒng)用戶口令、網(wǎng)絡(luò)應(yīng)用口令、本地應(yīng)用口令，都適用。而且攻擊者在盜取口令的時候，通常會先嘗試進(jìn)行弱口令猜測。為什么？因?yàn)榇蟛糠钟脩舳疾惶哂邪踩庾R，口令都會比較簡單（比較弱）。并且，根據(jù)二八原理 ，絕大多數(shù)的傻瓜用戶會使用極少數(shù)的弱口令。所以，攻擊者先把最流行的那些個弱口令挨個試驗(yàn)一遍，沒準(zhǔn)就已經(jīng)成功了。

為了讓大伙明白弱口令的嚴(yán)重程度，來看看2009年底的“一個案例 ”。

話說國外一個小有名氣的交友網(wǎng)站（RockYou）被黑客攻破。里面大約3260萬用戶數(shù)據(jù)被盜。更加杯具的是，RockYou采用明文方式存儲用戶的口令。因此，這3260萬用戶的口令也統(tǒng)統(tǒng)暴露鳥。后來有好事者把被盜的用戶口令拿來分析一番。結(jié)果發(fā)現(xiàn)，有相當(dāng)多的用戶在使用一些極其弱智的口令。

用的最多的TOP 10分別是：

1、123456

2、12345

3、123456789

4、password

5、iloveyou

6、princess

7、rockyou

8、1234567

9、12345678

10、abc123

據(jù)說名列第一的口令（123456）有30萬人使用，真是不看不知道，一看嚇一跳啊！

◇暴力破解

除了對弱密碼進(jìn)行猜解，攻擊者還可以通過窮舉的的方式，破解中等強(qiáng)度的密碼。所謂的窮舉法，就是把所有可能的字母/數(shù)字的組合都試驗(yàn)一遍，直到找到正確的密碼。

現(xiàn)在CPU的計(jì)算能力日新月異，尤其是多核CPU普及之后，暴力破解的效果會越來越好。除非你的密碼很強(qiáng)，才能徹底消除暴力的風(fēng)險(xiǎn)。

由于這種攻擊手法，需要進(jìn)行成千上萬次的試錯，所以比較適合針對本地應(yīng)用的口令（比如破解加密的壓縮文件），而不太適合對網(wǎng)絡(luò)應(yīng)用進(jìn)行在線口令破解。

在下一個帖子，俺會介紹，如何構(gòu)造強(qiáng)度較高的密碼。

◇網(wǎng)絡(luò)傳輸截獲（嗅探）

在這種方式下，攻擊者會通過嗅探 的方式，分析你的上網(wǎng)數(shù)據(jù)。如果你在上網(wǎng)過程中，存在明文傳輸?shù)目诹?，就會被截獲。

非安全專業(yè)的網(wǎng)友，可能不太明白什么是“嗅探”，俺來稍微解釋一下。攻擊者會利用某些嗅探軟件，收集網(wǎng)絡(luò)上傳輸?shù)乃袛?shù)據(jù)。這個過程好比電話竊聽。嗅探軟件類似于竊聽器；你的上網(wǎng)數(shù)據(jù)類似于電話的通話內(nèi)容。

這幾年，隨著現(xiàn)在上網(wǎng)行為管理系統(tǒng)（Wi-Fi）的普及，網(wǎng)絡(luò)嗅探的風(fēng)險(xiǎn)大大增加，列位看官切不可掉以輕心哦。

◇客戶端截獲

所謂“客戶端截獲”，通常是針對網(wǎng)絡(luò)應(yīng)用的口令而言。舉幾個例子。

例1：

很多網(wǎng)友上網(wǎng)時，為了免去輸入口令的麻煩，會讓瀏覽器幫忙記住口令。通常瀏覽器會把這些口令保存在某個文件中（可能以明文方式，也可能以密文方式）。如果某天你的電腦中了木馬，那么木馬程序有可能會盜走這個保存口令的文件。然后攻擊者就可以通過分析該文件，破解出你保存過的所有網(wǎng)絡(luò)應(yīng)用的口令。

例2：

如果你是軟件公司的開發(fā)人員，多半你會使用某種源代碼版本管理工具（比如SVN、CVS、等）。為了免去每次操作時輸入口令的麻煩。通常開發(fā)人員會讓這些客戶端軟件記住用戶名和口令。如果哪天你中了木馬或者電腦被盜，那么攻擊者同樣可以破解你保存下來的口令，進(jìn)而用你的身份盜取源代碼。

◇服務(wù)端截獲

和“客戶端截獲”方式相對的，還有“服務(wù)端截獲”。具體是啥意思捏？俺來解釋一下。

凡是利用口令進(jìn)行驗(yàn)證的軟件系統(tǒng)，都需要存儲和口令相關(guān)的信息。否則的話，軟件系統(tǒng)就無法驗(yàn)證用戶輸入的口令，到底是不是正確的。如果攻擊者能夠拿到這些口令的關(guān)聯(lián)信息，那他/她就有可能分析出口令是啥。

（如果你不是搞上網(wǎng)行為專業(yè)的，下面這段可能看不太明白）

通常用三種方式來存儲口令的關(guān)聯(lián)信息：1、存儲口令的明文；2、存儲口令經(jīng)過加密后的密文；3、存儲口令的散列值。第一種方式是最土鱉的，稍微先進(jìn)一些的系統(tǒng)，都不會用了。后面兩種方式，雖然看不到明文，但是攻擊者還是有辦法通過相應(yīng)的算法，反推出口令的明文。具體細(xì)節(jié)，本文就不再多說了。

那攻擊者如何獲得存儲在軟件系統(tǒng)的口令關(guān)聯(lián)信息捏？其實(shí)前面提到的RockYou網(wǎng)站的杯具，就是一個很好的例子。俺再舉另一個例子。

比如：某個Linux/Unix服務(wù)器存在安全漏洞，攻擊者利用此漏洞搞到了“/etc/shadow”文件。那么攻擊者就可以采用上述提到的暴力破解的招數(shù)，攻破該服務(wù)器上所有強(qiáng)度較弱的口令。

★攻擊者如何通過“非技術(shù)”手段搞定的你的密碼？

說完了技術(shù)手段，自然就得再說說非 技術(shù)手段。所謂的非技術(shù)手法，也就是社會工程學(xué)手法 。用于盜取密碼的社會工程學(xué)手法，大概有如下幾種。

◇偷窺

偷窺是最簡單的一種社會工程學(xué)攻擊手法。雖然簡單，但是有效。比如很多盜取銀行卡的家伙，就是偷窺的手法，得到被害人的銀行卡密碼。

◇釣魚

另外一個騙取口令的方式，就是通過網(wǎng)絡(luò)釣魚。比如某些攻擊者，會偽造一個銀行的網(wǎng)站。其界面和真實(shí)的網(wǎng)站一模一樣。然后通過某種方式（比如：虛假鏈接、欺詐郵件、DNS欺騙、等），引誘你到這個網(wǎng)站上。由于假網(wǎng)站和真網(wǎng)站的界面很像，你可能信以為真，然后在假網(wǎng)站中輸入你的用戶名和密碼。

有些高明的釣魚網(wǎng)站，會采用類似Web代理的技巧：把你的所有輸入操作，轉(zhuǎn)而提交給真網(wǎng)站；然后把真網(wǎng)站輸出的界面，再轉(zhuǎn)回給受害者看。這樣的話，受害者就跟在真實(shí)網(wǎng)站進(jìn)行插作，沒啥區(qū)別，不易看出破綻。

◇分析

如果攻擊者對你比較了解，那么他有可能通過深入的分析，攻破你的口令防護(hù)。是不是覺得很神奇？很匪夷所思？其實(shí)這種招數(shù)很常見，且不算太難。俺來舉個例子。

相信很多網(wǎng)友都用過電子郵箱的找回口令功能。當(dāng)你口令遺忘之后，可以通過回答事先預(yù)設(shè)的問題，來找回口令。很多不太專業(yè)的用戶，預(yù)設(shè)的問題都很簡單（比如：你的手機(jī)號是多少？比如：你的生日是哪天？）。對于這類過于簡單的問題，攻擊者可以很容易地找到答案，從而竊取到你的郵箱口令。

◇欺騙

最近幾年，通過電話詐騙，騙取銀行卡密碼的案例越來越多。這種作案手法，就屬于社會工程學(xué)中，“欺騙”的范疇。其實(shí)在上網(wǎng)行為領(lǐng)域，某些黑客也會利用這種手法來獲取口令。

★結(jié)尾

介紹到這里，列位看官對黑客盜取口令的手法，應(yīng)該有一個初步的認(rèn)識了。本系列以后的文章將會具體介紹如何構(gòu)造安全的口令/密碼 。

【推薦閱讀】

◆網(wǎng)管軟件專區(qū)

 ◆網(wǎng)絡(luò)管理維護(hù)技巧：實(shí)現(xiàn)VLAN環(huán)境下DHCP服務(wù)

◆網(wǎng)管員技巧：學(xué)會限制路由器多臺電腦上網(wǎng)

◆網(wǎng)絡(luò)管理維護(hù)技巧：路由器故障排除技巧

◆上網(wǎng)行為運(yùn)維管理專區(qū)