10.4 黑 客

 

10.4  黑    客

目前网络上的黑客软件数量之多、下载之方便，已经使得稍有计算机知识的网民都能完成基本的黑客攻击了。很多用户在不设防的情况下就可能成为黑客攻击的目标。掌握防黑反黑技术，能够帮助用户避免很多不必要的损失。

10.4.1  黑客入侵方法

正如先人所说的“师夷长技以制夷”，越是能够了解黑客如何对系统进行攻击，用户就越是能够更好地把握机会防范他们的入侵。下面就来研究一下黑客是如何找到用户计算机中的安全漏洞的，只有了解了他们的攻击手段，我们才能采取适当的对策应对这些黑客。

1．获取口令

获取口令有3种方法：一是通过网络监听非法得到用户口令，这类方法有一定的局限性，但危害性极大，监听者往往能够获得其所在网段的所有用户账号和口令，对局域网安全威胁巨大；二是在知道用户的账号后（如电子邮件@前面的部分）利用一些专门软件强行破解用户口令，这种方法不受网段限制，但黑客要有足够的耐心和时间；三是在获得一个服务器上的用户口令文件（此文件成为Shadow文件）后，用暴力破解程序破解用户口令，该方法的使用前提是黑客获得口令的Shadow文件。此方法在所有方法中危害最大，因为它不需要像第二种方法那样一遍又一遍地尝试登录服务器，而是在本地将加密后的口令与Shadow文件中的口令相比较就能非常容易地破获用户密码，尤其对那些初级用户（指口令安全系数极低的用户，如某用户账号为zys，其口令为zys666、666666或zys等）更是在短短的一两分钟内，甚至几十秒内就可以将其破解。

2．放置特洛伊木马程序

特洛伊木马程序可以直接入侵用户的计算机并进行破坏，它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就会像古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的计算机中，并在自己的计算机系统中隐藏一个可以在Windows启动时悄悄执行的程序。当用户连接到Internet时，这个程序就会通知黑客，来报告用户的IP地址及预先设置的端口。黑客在收到这些信息后，再利用这个潜伏在其中的程序，就可以任意地修改用户的计算机参数设置、复制文件、窥视用户整个硬盘中的内容等，从而达到控制用户计算机的目的。

3．寻找系统漏洞

许多系统都有这样那样的安全漏洞（Bugs），其中某些是操作系统或应用软件本身具有的，如Sendmail漏洞、Windows 98中的共享目录密码验证漏洞和IE5漏洞等，这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏，除非用户将网线拔掉，还有一些漏洞是由于系统管理员配置错误引起的，如在网络文件系统中，将目录和文件以可写的方式调出，将未加Shadow的用户密码文件以明码方式存放在某一目录下，这都会给黑客带来可乘之机，应及时加以修正。

有的黑客会利用操作系统提供的默认账户和密码进行攻击，例如，许多UNIX主机都有FTP和Guest等默认账户（其密码和账户名同名），有的甚至没有口令。黑客用UNIX操作系统提供的命令（如Finger和Ruser等）收集信息，不断提高自己的攻击能力。这类攻击只要系统管理员提高警惕，将系统提供的默认账户关掉或提醒无口令用户增加口令，一般都能防范。

4．电子邮件攻击

电子邮件攻击主要表现为两种方式：一是电子邮件轰炸和电子邮件“滚雪球”，也就是通常所说的邮件炸弹，指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件，致使受害人邮箱被“炸”，严重者可能会给电子邮件服务器操作系统带来危险，甚至瘫痪；二是电子邮件欺骗，攻击者佯称自己为系统管理员（邮件地址和系统管理员完全相同），给用户发送邮件要求用户修改口令（口令可能为指定字符串）或在貌似正常的附件中加载病毒或其他木马程序（某些单位的网络管理员有定期给用户免费发送防火墙升级程序的义务，这为黑客成功地利用该方法提供了可乘之机），这类欺骗只要用户提高警惕，一般危害性不是很大。

5．WWW的欺骗技术

在网上用户可以利用IE等浏览器进行各种各样的Web站点的访问，如阅读新闻组、咨询产品价格、订阅报纸和电子商务等。然而一般的用户恐怕不会想到有这些问题存在：正在访问的网页已经被黑客篡改过，网页上的信息是虚假的。例如，黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器，当用户浏览目标网页的时候，实际上是向黑客服务器发出请求，那么黑客就可以达到欺骗的目的了。

10.4.2  防御黑客攻击

介绍完常见的黑客攻击方法后，相信读者比较感兴趣的是如何防御这些攻击，下面就来进行一些说明。

微软公司的操作系统是目前世界个人计算机上使用最广泛的操作系统，从最初的DOS 1.0发展至目前的Windows 2003。然而随着用户越来越多地使用Windows，很多人发现Windows系统并非想象中的完美，蓝屏、死机、上网后资料遗失和服务器遭受攻击等问题层出不穷，这些即日常所说的“系统漏洞”。

目前主流操作系统的漏洞主要介绍以下几种。

1．Windows 9x/Me

Windows 9x/Me的漏洞主要有下列3种。

（1）IGMP漏洞。

漏洞描述：

IGMP漏洞是一个较有名且危险的系统漏洞，可使用户计算机中断网络连接或出现蓝屏和死机。

解释：

IGMP全称为Internet Group Management Protocol，即互联网组管理协议。目前有很多可发动IGMP攻击的工具，如Winnuke、Sping和Tardrop等，通过这些工具可向某个IP地址的100端口不断发送大量IGMP数据包，当被攻击的计算机收到数据包后，即无法对数据进行处理，从而导致TCP/IP崩溃，引起系统中断网络连接，出现蓝屏现象，重启系统才可解决该问题。此外如攻击者进行端口监听，还可对其他端口进行攻击。

对策：

·    下载相关的补丁程序。

Windows 98第1版网址：http://www.virusview.net/download/patch/oob/up98igmp.zip。

Windows 98第2版网址：http://www.virusview.net/download/patch/oob/up98oem2igmp. zip。

·    为计算机安装防火墙系统，屏蔽IGMP数据。

（2）共享密码校验漏洞。

漏洞描述：

用户可任意访问Windows 98系统中的共享文件，即使共享目录已受口令保护，攻击者仍不需获取真实口令即可访问。

解释：

Windows 9x系统提供的文件和打印共享服务可设置口令保护，以避免非法用户访问。但微软的NetBIOS协议的口令校验机制存在严重漏洞，使保护形同虚设。

由于服务器对客户端口令进行校验时以客户端发送的数据长度为依据，因此客户端在发送口令认证数据包时可设置长度域为1，同时发送一个字节的明文口令给服务器，服务器会将客户端发送的口令与服务器保存的共享口令的第一个字节进行明文比较，如匹配即认为通过验证。因此，攻击者仅需猜测共享口令的第一个字节即可。

Windows 98的远程管理也采用共享密码认证方式，因此也受该漏洞影响。

对策：

·    下载并安装补丁程序，网址如下。

http://download.microsoft.com/download/win98SE/Update/11958/W98/EN-US/273991USA8.EXE

·    在未获取并安装补丁程序前，建议暂时关闭文件共享服务。

（3）NetBIOS漏洞。

漏洞描述：

该漏洞可泄漏计算机和工作组的名称，从而使入侵者按这些信息获取IP地址。此外，该漏洞还可使对方访问计算机内的文件。

解释：

NetBIOS（Network Basic Input/Output System）是网络的基本输入/输出系统，是由IBM开发的网络标准，微软在此基础上继续开发，其客户机/服务器网络系统均基于NetBIOS，应用程序也通过标准的NetBIOS API调用，实现NetBIOS命令和数据在各种协议中传输，微软网络在Windows NT操作系统中利用NetBIOS完成大量的内部联网。

虽然NetBIOS API为局域网开发，但目前已发展成为标准接口，无论在面向连接或非连接的通信中，应用程序均可使用其访问传输层联网协议。

NetBIOS接口为NetBEUI、NWLink、TCP/IP及其他协议而开发，由于这些协议均支持NetBIOS API，因此均提供建立会话和启动广播的功能。网络上的每台计算机均需唯一地与NetBIOS名等同，在建立会话或发送广播时也需使用该名字。当通过该名字使用NetBIOS会话时，发送方必须将NetBIOS名转化为IP地址。由于IP地址和名字是必需的，因此在进行成功通信前，所有名字转换方法必须提供正确的IP地址。

NetBIOS是一个不可路由的协议，但可绑定至任意的协议中，因此其非常容易成为系统中的后门。

对策：

对于不需登录至Windows NT/2000局域网的拨号用户，只需在系统的网络属性中删除“Microsoft网络用户”，而仅使用“Microsoft友好登录”。

2．Windows 2000

Windows 2000的主要漏洞主要有以下两种。

（1）输入法漏洞。

漏洞描述：

通过该漏洞用户可浏览计算机上的所有文件，且可执行net.exe命令添加Administrator级别的管理员用户，从而完全控制计算机。

解释：

在Windows 2000的登录窗口中，按Ctrl+Shift组合键，切换至全拼输入法。在输入法状态条上右击，选择“帮助”的“输入指南”，然后选择“选项”，右击选择“跳转到URL”命令，随后即可输入各类命令。如使用系统的“net”命令，即可添加系统管理员用户，随后即可通过该账户登录。

对策：

·    卸载不用的输入法，并删除输入法的帮助文件。

·    安装Windows 2000的Service Pack 1以上的版本。

（2）Unicode漏洞。

漏洞描述：

攻击者可通过IE浏览器远程运行被攻击计算机的cmd.exe文件，从而使该计算机的文件暴露，且可随意执行和更改文件。

解释：

Unicode标准被很多软件开发者所采用，无论何种平台、程序或开发语言，Unicode均为每个字符提供独一无二的序号，如向IIS服务器发出包括非法Unicode UTF-8序列的URL，攻击者可使服务器逐字“进入或退出”目录并执行任意程序，该攻击即称为目录转换攻击。

Unicode用“%2f”和“%5c”分别代表“/”和“\”字符，但也可用“超长”序列来代替这些字符。“超长”序列是非法的Unicode表示符，如用“%c0%af”代表“/”字符。由于IIS不对超长序列进行检查，因此在URL中添加超长的Unicode序列后，可绕过微软的安全检查，如在一个标记为可执行的文件夹发出该请求，攻击者即可在服务器上运行可执行文件。

对策：

·    为避免该类攻击，建议下载最新补丁，网址：http://www.microsoft.com/technet/security/bulletin/MS00-078.asp。

·    安装IIS Lockdown和URL Scan来加固系统，从而避免该类攻击。

IIS Lockdown的下载地址：http://www.microsoft.com/technet/security/tools/locktool.asp。

URLScan的下载地址：http://www.microsoft.com/technet/security/URLScan.asp。

·    安装Windows 2000的Service Pack 2以上的版本。

安装Windows 2000的Service Pack可以修补大部分系统漏洞，同时还能解决系统的一些漏洞，提升硬件兼容性，建议用户升级。目前Windows 2000的Service Pack最高版本为4。Windows 2000的Service Pack 4下载页面如图10-9所示。

3．Windows XP

Windows XP与以前的各版本相比具有更加安全和更加保密的安全特性，它对系统安全性所做的改善，大大加强了用户建立安全、保密的系统环境系数。Windows XP还可以有效地提高用户对系统安全的管理能力，在专业版中用户充分利用Windows XP的内置安全特性，就可以有效提高系统的工作效率。

图10-9  Windows 2000的Service Pack 4下载页面

同时，Windows XP系统能被黑客攻击的地方也有不少，毕竟越复杂的软件设计，就越代表了具有更多的功能，这么多的功能说绝对安全是不可能的。例如，UPNP漏洞就可略窥“冰山一角”。Windows XP作为一种具有可扩展性能的系统，这种设计固然有它的优越之处，但恰恰是这种优越也极有可能带来巨大的安全隐患。

（1）UPNP服务漏洞。

漏洞描述：

允许攻击者执行任意指令。

解释：

Windows XP默认启动的UPNP服务存在严重安全漏洞。UPNP（Universal Plug and Play）体系面向无线设备、PC和智能应用，提供普遍的对等网络连接，在家用信息设备、办公用网络设备间提供TCP/IP连接和Web访问功能，该服务可用于检测和集成UPNP硬件。

UPNP 协议存在安全漏洞，使攻击者可非法获取任何Windows XP 的系统级访问并进行攻击，还可通过控制多台Windows XP系统的计算机发起分布式的攻击。

对策：

·    禁用UPNP服务。

·    下载补丁程序，网址http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ MS01-0511.asp。

以禁用UPNP服务为例，打开“服务”窗口，找到Universal Plug and Play Device Host这一项并双击，弹出该项目的属性对话框，在“启动类型”的下拉列表框中选择“已禁用”选项即可，如图10-10所示。

图10-10  禁用UPNP服务

（2）RPC漏洞。

漏洞描述：

黑客病毒利用IP扫描技术寻找网络上系统为Windows 2000或Windows XP的计算机，找到后就利用DCOM RPC缓冲区漏洞攻击该系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启，甚至导致系统崩溃。

解释：

远程过程调用（RPC）是Windows操作系统使用的一个协议。RPC 中处理通过TCP/IP 的消息交换的部分有一个漏洞。攻击者利用该漏洞能在受影响的系统上以本地系统权限运行代码，能执行任何操作，包括安装程序，查看、更改或者删除数据，或者建立系统管理员权限的账户。利用此漏洞的蠕虫病毒也应运而生。

对策：

·    检测是否已经感染病毒，方法是按Ctrl+Alt+Del组合键，在弹出的窗口中观察是否有Msblast.exe进程，如果有将其结束。

·    在http://www.yesky.com/SoftChannel/72356699939274752/20030813/1721055.shtml网站下载冲击波病毒专杀工具，注意选择对应自己操作系统的版本。

·    去微软网站下载补丁安装，否则还会有感染病毒的可能性。下载地址为http://www. microsoft.com/china/security/Bulletins/MS03-026.asp。

下载的补丁代号为KB823980，安装后可以在“添加或删除程序”窗口中看到相应的安装信息，如图10-11所示。

图10-11  完成安装RPC补丁

综上所述，利用微软官方网站的补丁或Service Pack升级程序可以修补大部分常见的系统漏洞。用户应当注意微软的新版本补丁或升级程序的发布消息。利用这些升级程序，不但可以提升操作系统的安全性，还可以提升操作系统的性能。