黑客攻击的三个阶段(2) 15 2.系统安全弱点的探测 黑客可能使用下列方式自动扫描驻留在网络上的每台主机, 以寻求该系统的安全漏洞或安全弱点。 (1)自编程序。黑客发现“补丁”程序的接口后会自己编写 程序,通过该接口进入目标系统。 (2)利用公开工具,对整个网络或子网进行扫描,寻找安全 漏洞。 3.网络攻击 ()毁掉攻击入侵的痕迹, 并在受害系统上建立新的安全漏 洞或后门,以便在先前的攻击点被发现之后,继续访问该系统。 (2)在目标系统中安装探测器软件,包括特洛伊木马程序, 用来窥探所在系统的活动,收集黑客感兴趣的一切信息。 (3)进一步发现受损系统在网络中的信任等级,通过该系统 信任级展开对整个系统的攻击。 2022/10/9 现代密码学理论与实践-18入侵者 7148
2022/10/9 现代密码学理论与实践-18 入侵者 7/48 黑客攻击的三个阶段(2) 2.系统安全弱点的探测 黑客可能使用下列方式自动扫描驻留在网络上的每台主机, 以寻求该系统的安全漏洞或安全弱点。 (1)自编程序。黑客发现“补丁”程序的接口后会自己编写 程序,通过该接口进入目标系统。 (2)利用公开工具,对整个网络或子网进行扫描,寻找安全 漏洞。 3.网络攻击 (1)毁掉攻击入侵的痕迹,并在受害系统上建立新的安全漏 洞或后门, 以便在先前的攻击点被发现之后, 继续访问该系统。 (2)在目标系统中安装探测器软件,包括特洛伊木马程序, 用来窥探所在系统的活动,收集黑客感兴趣的一切信息。 (3)进一步发现受损系统在网络中的信任等级,通过该系统 信任级展开对整个系统的攻击
对付黑客入侵 15 “被入侵”指的是网络遭受到非法闯入的情况,分为 不同的程度: (1)入侵者只获得访问权(一个登录名和口令); (2)入侵者获得访问权,并毁坏、侵蚀或改变数据; (3)入侵者获得访问权,并获得系统一部分或整个系统 控制权,拒绝拥有特权用户的访问; (4)入侵者没有获得访问权,而是用不良程序,引起网 络持久性或暂时性的运行失败、重新启动、挂起或其它 无法操作的状态。 1.发现黑客 可以在Unix平台检查系统命令,如rm,login,bin/sh 及perl等的使用情况。在Windows上,可以定期检查 Event Log中的Security Log,以寻找可疑行为。 2022/10/9 现代密码学理论与实践-18入侵者 8/48
2022/10/9 现代密码学理论与实践-18 入侵者 8/48 对付黑客入侵 ⚫ “被入侵”指的是网络遭受到非法闯入的情况, 分为 不同的程度: (1)入侵者只获得访问权(一个登录名和口令); (2)入侵者获得访问权,并毁坏、侵蚀或改变数据; (3)入侵者获得访问权,并获得系统一部分或整个系统 控制权,拒绝拥有特权用户的访问; (4)入侵者没有获得访问权,而是用不良程序,引起网 络持久性或暂时性的运行失败、重新启动、挂起或其它 无法操作的状态。 1.发现黑客 可以在Unix平台检查系统命令, 如rm, login, /bin/sh 及perl等的使用情况。在Windows上,可以定期检查 Event Log中的Security Log,以寻找可疑行为
★冷不 对付黑客入侵(2) 105 2.应急操作 ()估计形势 ①黑客是否已成功闯入站点? ②黑客是否还滞留在系统中? ③可以关闭系统或停止有影响的服务(FTP,Gopher, Telnet等),甚至可能需要关闭因特网连接。 ④入侵是否有来自内部威胁的可能? ⑤是否了解入侵者身份?可预先留出一些空间给入侵 者,从中了解一些入侵者的信息。 2022/10/9 现代密码学理论与实践-18入侵者 9/48
2022/10/9 现代密码学理论与实践-18 入侵者 9/48 对付黑客入侵(2) 2.应急操作 (l)估计形势 ①黑客是否已成功闯入站点? ②黑客是否还滞留在系统中? ③可以关闭系统或停止有影响的服务(FTP, Gopher, Telnet等),甚至可能需要关闭因特网连接。 ④入侵是否有来自内部威胁的可能? ⑤是否了解入侵者身份?可预先留出一些空间给入侵 者,从中了解一些入侵者的信息
对付黑客入侵(3) 15 (2)切断连接 首先应切断连接,具体操作要看环境。 ①能否关闭服务器?若有需要,可以关闭一些服务。 ②是否关心追踪黑客?若是,则不要关闭因特网连接,因 为这会失去入侵者的踪迹。 ③若关闭服务器,是否能承受得起失去一些必须的有用系 统信息的损失? (3)分析问题 当已识别安全漏洞并将进行修补时,要保证修补不会引 起其他安全漏洞问题。 (4)采取合适的行动 2022/10/9 现代密码学理论与实践-18入侵者 10/48
2022/10/9 现代密码学理论与实践-18 入侵者 10/48 对付黑客入侵(3) (2)切断连接 首先应切断连接,具体操作要看环境。 ①能否关闭服务器?若有需要, 可以关闭一些服务。 ②是否关心追踪黑客?若是,则不要关闭因特网连接,因 为这会失去入侵者的踪迹。 ③若关闭服务器,是否能承受得起失去一些必须的有用系 统信息的损失? (3)分析问题 当已识别安全漏洞并将进行修补时,要保证修补不会引 起其他安全漏洞问题。 (4)采取合适的行动
海冷线不 15 抓住入侵者 。遵循如下原则对抓住入侵者会大有帮助 ()注意经常定期检查登录文件,特别是那些由系统 登录服务和wtmp文件生成的内容。 (2)注意不寻常的主机连接及连接次数,通知用户。 (3)注意那些原不经常使用却突然变得活跃的账户, 应该禁止或干脆删去这些不用的账户。 (4)预计黑客经常光顾的时段里,每隔10分钟运行一 次shell script文件,记录所有的过程及网络联接。 2022/10/9 现代密码学理论与实践-18入侵者 11/48
2022/10/9 现代密码学理论与实践-18 入侵者 11/48 抓住入侵者 ⚫ 遵循如下原则对抓住入侵者会大有帮助 (1)注意经常定期检查登录文件,特别是那些由系统 登录服务和wtmp文件生成的内容。 (2)注意不寻常的主机连接及连接次数, 通知用户。 (3)注意那些原不经常使用却突然变得活跃的账户, 应该禁止或干脆删去这些不用的账户。 (4)预计黑客经常光顾的时段里,每隔10分钟运行一 次shell script文件,记录所有的过程及网络联接