張 鵬

(1.同濟(jì)大學(xué) 上海200092；2.天津廣播電視臺(tái) 天津300221)

淺議計(jì)算機(jī)網(wǎng)絡(luò)防黑

張 鵬1,2

(1.同濟(jì)大學(xué) 上海200092；2.天津廣播電視臺(tái) 天津300221)

隨著網(wǎng)絡(luò)在人們工作、生活、學(xué)習(xí)中的廣泛應(yīng)用，互聯(lián)網(wǎng)黑客技術(shù)也在飛速發(fā)展，網(wǎng)絡(luò)世界的安全性不斷受到挑戰(zhàn)。對(duì)黑客的攻擊和防黑手段進(jìn)行了概述，并從安全意識(shí)的建立、服務(wù)器物理安全的保障、系統(tǒng)賬戶的管理、系統(tǒng)及程序的定期開(kāi)放、文件權(quán)限的設(shè)置等方面，提出了防黑手段。

黑客 防黑 網(wǎng)絡(luò)

如今，網(wǎng)絡(luò)已成為人們?nèi)粘９ぷ?、生活、學(xué)習(xí)中不可或缺的一部分。保證網(wǎng)絡(luò)安全是各單位信息工作者的重要責(zé)任。隨著黑客技術(shù)的發(fā)展以及功能強(qiáng)大且易用的黑客軟件在網(wǎng)上的泛濫，“菜鳥(niǎo)”轉(zhuǎn)眼間就能成為“神秘黑客”。網(wǎng)絡(luò)防黑也就成為人們關(guān)注的焦點(diǎn)。本文將就軟件安全問(wèn)題進(jìn)行以下探討。

1 攻擊過(guò)程

黑客攻擊一個(gè)網(wǎng)絡(luò)，其過(guò)程一般是先獲取服務(wù)器的 IP地址以及服務(wù)器操作系統(tǒng)的類型，再利用服務(wù)器及應(yīng)用程序的漏洞取得或建立系統(tǒng)賬戶，這樣就可以達(dá)到控制主機(jī)的目的。為了方便控制，入侵后黑客一般會(huì)在已控主機(jī)(也稱“肉雞”)上安裝木馬或開(kāi)啟服務(wù)器的正常服務(wù)(如終端服務(wù))，最后清除腳印，將入侵痕跡清除(如刪除日志)。

下面例舉一個(gè)簡(jiǎn)單的入侵實(shí)例，其網(wǎng)絡(luò)環(huán)境是在局域網(wǎng)中虛擬的，服務(wù)器及域名并不存在。黑客首先利用 PING命令得到網(wǎng)站www.zhangze.com的IP地址為192.168.101.69 (見(jiàn)圖1)；得到IP后，再利用掃描軟件(這里用的是shadow security scanner)發(fā)現(xiàn)服務(wù)器系統(tǒng)賬戶存在的弱口令漏洞(見(jiàn)圖2)；最后就是利用漏洞安裝遠(yuǎn)程控制軟件(DameWare m ini Remote Control)控制網(wǎng)站服務(wù)器(見(jiàn)圖3)。

圖1 “PING”的截圖Fig.1 Screenshot of“PING”

圖2 掃描服務(wù)器的截圖Fig.2 Screenshot of server scanning

圖3 遠(yuǎn)程控制的截圖Fig.3 Screenshot of remote control

2 防黑手段

針對(duì)黑客的攻擊過(guò)程，我們可以采取相應(yīng)的措施達(dá)到防黑目的。從被攻擊的網(wǎng)站綜合分析來(lái)看，80%以上的網(wǎng)站采用的操作平臺(tái)為 Windows 2000、NT。所以，我們主要討論Windows系列操作系統(tǒng)的防黑手段。

2.1 網(wǎng)絡(luò)的安全意識(shí)

近年來(lái)，國(guó)與國(guó)之間的“黑客”大戰(zhàn)日益頻繁，從幾次“黑客”大戰(zhàn)中反映出我國(guó)的大多數(shù)網(wǎng)站不注重安全措施，尚未建立起完善的安全防御體系，安全意識(shí)淡薄，對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)還停留在較低的階段，對(duì)網(wǎng)絡(luò)安全造成的嚴(yán)重后果沒(méi)有充分的思想準(zhǔn)備，在安全防護(hù)方面缺少專業(yè)技術(shù)人員。因而，提高相關(guān)部門領(lǐng)導(dǎo)及“網(wǎng)管”人員的安全意識(shí)是保證網(wǎng)絡(luò)安全的基礎(chǔ)。

2.2 服務(wù)器的物理安全

機(jī)房?jī)?nèi)的服務(wù)器只能由“授權(quán)人員”接觸，無(wú)關(guān)人員在未經(jīng)允許的條件下不得進(jìn)入機(jī)房，尤其是網(wǎng)絡(luò)中心機(jī)房，以防止服務(wù)器遭到人為的蓄意破壞。

2.3 系統(tǒng)賬戶的管理

由于 Adm inistrator賬戶具有對(duì)服務(wù)器的完全控制權(quán)，并可以根據(jù)需要分配用戶權(quán)利和訪問(wèn)控制權(quán)限，因此保護(hù)好“管理員”賬號(hào)是網(wǎng)管的首要任務(wù)。建議在設(shè)置“管理員”賬戶密碼時(shí)使用強(qiáng)密碼。重命名或禁用此賬戶將使惡意用戶嘗試并訪問(wèn)該賬戶變得更為困難。同時(shí)還應(yīng)禁用 GUEST賬號(hào)，刪除不必要的賬號(hào)。各服務(wù)器間的密碼應(yīng)不一樣，并做到定期更換。

2.4 補(bǔ)丁升級(jí)

補(bǔ)丁升級(jí)包括操作系統(tǒng)的補(bǔ)丁升級(jí)以及應(yīng)用程序的補(bǔ)丁升級(jí)。由于 Windows本身的先天缺陷，打補(bǔ)丁已經(jīng)成為“網(wǎng)管”的口頭語(yǔ)。為了加強(qiáng)免疫，要密切關(guān)注新發(fā)布的補(bǔ)丁程序，并盡可能在第一時(shí)間下載安裝最新的補(bǔ)丁，及時(shí)堵住系統(tǒng)漏洞。還應(yīng)用微軟的“MBSA”(M icrosoft Baseline Security Analyzer)對(duì)整個(gè)操作系統(tǒng)進(jìn)行檢測(cè)，達(dá)到補(bǔ)缺的作用。應(yīng)用程序的補(bǔ)丁升級(jí)也是必不可少的，如現(xiàn)在 50%以上的虛擬網(wǎng)站服務(wù)器的ftp軟件都采用SERV-U，而SERV-U的4.0、5.0版本都存在嚴(yán)重的安全漏洞，入侵者通過(guò)這些漏洞可取得完全控制主機(jī)的權(quán)限，因此應(yīng)用程序也必須及時(shí)升級(jí)。

2.5 關(guān)閉不需要的服務(wù)和端口

服務(wù)器操作系統(tǒng)在安裝時(shí)，會(huì)啟用一些不需要的服務(wù)，多一種服務(wù)不僅占用系統(tǒng)資源，也會(huì)增加安全隱患，建議關(guān)閉所有不需要的服務(wù)。黑客對(duì)計(jì)算機(jī)發(fā)起攻擊必須通過(guò)計(jì)算機(jī)開(kāi)放的相應(yīng)端口，關(guān)閉無(wú)用的端口也就相應(yīng)減少了風(fēng)險(xiǎn)。

2.6 設(shè)置文件權(quán)限

將硬盤做成 NTFS格式，并給各盤及文件夾設(shè)定權(quán)限，通過(guò)分配適宜的權(quán)限，能夠控制訪問(wèn)資源的權(quán)限和訪問(wèn)資源的方式，這樣即使黑客取得了一般權(quán)限的賬號(hào)，也不會(huì)給系統(tǒng)帶來(lái)太大的危害，從而極大地增加了系統(tǒng)安全性。

2.7 防火墻以及殺毒軟件

安裝防火墻及殺毒軟件也是防黑的有效手段。目前的防火墻軟件很多，比如天網(wǎng)防火墻等，它們不僅可以防 PING、防止惡意連接，而且在遇到惡意攻擊時(shí)還會(huì)發(fā)出警告信息，并且把所有的入侵信息記錄下來(lái)，做到有案可查。但即使安裝了防火墻也不是萬(wàn)無(wú)一失，防火墻有其自身的缺陷?，F(xiàn)在的病毒往往帶有后門，同時(shí)木馬程序也成為殺毒軟件的查殺對(duì)象，所以安裝殺毒軟件也不失為一種很好的防黑手段。但需要注意的是，不管防火墻還是殺毒軟件，必須及時(shí)升級(jí)，只有這樣才能充分發(fā)揮它們的功效，否則只能成為擺設(shè)。

2.8 監(jiān)測(cè)系統(tǒng)日志和端口

入侵必然會(huì)留下蹤跡，所以定期查看日志就能夠得知是否有人對(duì)系統(tǒng)嘗試攻擊以及攻擊的結(jié)果，便于采取相應(yīng)的措施，同時(shí)也可以采用命令和軟件(如 NETSTAT、fport、portreporter)的方式對(duì)端口進(jìn)行監(jiān)測(cè)，以達(dá)到防黑的目的。

2.9 定期對(duì)服務(wù)器進(jìn)行備份

由于系統(tǒng)的漏洞永遠(yuǎn)出現(xiàn)在補(bǔ)丁之前，同時(shí)由于各種原因，有些漏洞未被公開(kāi)，所以從理論上講，世上沒(méi)有絕對(duì)安全的主機(jī)，為防止攻擊事件以及管理人員的誤操作，必須對(duì)系統(tǒng)進(jìn)行安全備份。如此可在系統(tǒng)崩潰時(shí)，及時(shí)地將系統(tǒng)恢復(fù)到正常狀態(tài)。

3 結(jié) 語(yǔ)

上述防黑手段只是網(wǎng)絡(luò)安全的一部分。安全是個(gè)相對(duì)的概念，安全防御永遠(yuǎn)是個(gè)動(dòng)態(tài)的過(guò)程，沒(méi)有永遠(yuǎn)和絕對(duì)的安全，需要網(wǎng)絡(luò)安全人員長(zhǎng)期保持安全意識(shí)，并在實(shí)際工作中不斷提高防黑技能，這樣才能達(dá)到防黑的目的。入侵與防黑本身就是此消彼漲的關(guān)系，但不可否認(rèn)的是，正是有黑客的存在才使我們對(duì)網(wǎng)絡(luò)安全有了更深的認(rèn)識(shí)?！?/p>

［1］ 杜雷，馬春華，王儉. 圖書(shū)館網(wǎng)站服務(wù)器的安全維護(hù)技巧[J]. 電子世界，2013(21)：162.

［2］ 李新宇. 電工進(jìn)網(wǎng)作業(yè)許可證檔案管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D]. 沈陽(yáng)：東北大學(xué)，2008.

［3］ 吉俊虎，李月麗. 對(duì)中美黑客大戰(zhàn)的思考[J]. 中國(guó)信息導(dǎo)報(bào)，2001(7)：29，33.

On Hacking Prevention for Computer Networks

ZHANG Peng1,2
(1. Tongji University，Shanghai 200092，China；2. Tianjin Broadcasting and TV Station，Tianjin 300221，China)

A long w ith the w ide application of internet in our daily work，study and life，hacking technology has been rapidly grow ing and as a result，network security has been under continuous challenges. This paper gives a summarization of hacking attacks and hacking prevention methods and presents hacking prevention means from the perspectives of establishing safety awareness，safeguarding physical safety of servers，management of system accounts，periodically patching and setting up file perm issions etc.

hacker；hacking prevention；network

TP393.0

：A

：1006-8945(2015)03-0047-02

2015-02-11