張 鵬

(1.同濟大學 上海200092；2.天津廣播電視臺 天津300221)

淺議計算機網(wǎng)絡防黑

張 鵬1,2

(1.同濟大學 上海200092；2.天津廣播電視臺 天津300221)

隨著網(wǎng)絡在人們工作、生活、學習中的廣泛應用，互聯(lián)網(wǎng)黑客技術也在飛速發(fā)展，網(wǎng)絡世界的安全性不斷受到挑戰(zhàn)。對黑客的攻擊和防黑手段進行了概述，并從安全意識的建立、服務器物理安全的保障、系統(tǒng)賬戶的管理、系統(tǒng)及程序的定期開放、文件權限的設置等方面，提出了防黑手段。

黑客 防黑 網(wǎng)絡

如今，網(wǎng)絡已成為人們?nèi)粘９ぷ?、生活、學習中不可或缺的一部分。保證網(wǎng)絡安全是各單位信息工作者的重要責任。隨著黑客技術的發(fā)展以及功能強大且易用的黑客軟件在網(wǎng)上的泛濫，“菜鳥”轉(zhuǎn)眼間就能成為“神秘黑客”。網(wǎng)絡防黑也就成為人們關注的焦點。本文將就軟件安全問題進行以下探討。

1 攻擊過程

黑客攻擊一個網(wǎng)絡，其過程一般是先獲取服務器的 IP地址以及服務器操作系統(tǒng)的類型，再利用服務器及應用程序的漏洞取得或建立系統(tǒng)賬戶，這樣就可以達到控制主機的目的。為了方便控制，入侵后黑客一般會在已控主機(也稱“肉雞”)上安裝木馬或開啟服務器的正常服務(如終端服務)，最后清除腳印，將入侵痕跡清除(如刪除日志)。

下面例舉一個簡單的入侵實例，其網(wǎng)絡環(huán)境是在局域網(wǎng)中虛擬的，服務器及域名并不存在。黑客首先利用 PING命令得到網(wǎng)站www.zhangze.com的IP地址為192.168.101.69 (見圖1)；得到IP后，再利用掃描軟件(這里用的是shadow security scanner)發(fā)現(xiàn)服務器系統(tǒng)賬戶存在的弱口令漏洞(見圖2)；最后就是利用漏洞安裝遠程控制軟件(DameWare m ini Remote Control)控制網(wǎng)站服務器(見圖3)。

圖1 “PING”的截圖Fig.1 Screenshot of“PING”

圖2 掃描服務器的截圖Fig.2 Screenshot of server scanning

圖3 遠程控制的截圖Fig.3 Screenshot of remote control

2 防黑手段

針對黑客的攻擊過程，我們可以采取相應的措施達到防黑目的。從被攻擊的網(wǎng)站綜合分析來看，80%以上的網(wǎng)站采用的操作平臺為 Windows 2000、NT。所以，我們主要討論Windows系列操作系統(tǒng)的防黑手段。

2.1 網(wǎng)絡的安全意識

近年來，國與國之間的“黑客”大戰(zhàn)日益頻繁，從幾次“黑客”大戰(zhàn)中反映出我國的大多數(shù)網(wǎng)站不注重安全措施，尚未建立起完善的安全防御體系，安全意識淡薄，對網(wǎng)絡安全的認識還停留在較低的階段，對網(wǎng)絡安全造成的嚴重后果沒有充分的思想準備，在安全防護方面缺少專業(yè)技術人員。因而，提高相關部門領導及“網(wǎng)管”人員的安全意識是保證網(wǎng)絡安全的基礎。

2.2 服務器的物理安全

機房內(nèi)的服務器只能由“授權人員”接觸，無關人員在未經(jīng)允許的條件下不得進入機房，尤其是網(wǎng)絡中心機房，以防止服務器遭到人為的蓄意破壞。

2.3 系統(tǒng)賬戶的管理

由于 Adm inistrator賬戶具有對服務器的完全控制權，并可以根據(jù)需要分配用戶權利和訪問控制權限，因此保護好“管理員”賬號是網(wǎng)管的首要任務。建議在設置“管理員”賬戶密碼時使用強密碼。重命名或禁用此賬戶將使惡意用戶嘗試并訪問該賬戶變得更為困難。同時還應禁用 GUEST賬號，刪除不必要的賬號。各服務器間的密碼應不一樣，并做到定期更換。

2.4 補丁升級

補丁升級包括操作系統(tǒng)的補丁升級以及應用程序的補丁升級。由于 Windows本身的先天缺陷，打補丁已經(jīng)成為“網(wǎng)管”的口頭語。為了加強免疫，要密切關注新發(fā)布的補丁程序，并盡可能在第一時間下載安裝最新的補丁，及時堵住系統(tǒng)漏洞。還應用微軟的“MBSA”(M icrosoft Baseline Security Analyzer)對整個操作系統(tǒng)進行檢測，達到補缺的作用。應用程序的補丁升級也是必不可少的，如現(xiàn)在 50%以上的虛擬網(wǎng)站服務器的ftp軟件都采用SERV-U，而SERV-U的4.0、5.0版本都存在嚴重的安全漏洞，入侵者通過這些漏洞可取得完全控制主機的權限，因此應用程序也必須及時升級。

2.5 關閉不需要的服務和端口

服務器操作系統(tǒng)在安裝時，會啟用一些不需要的服務，多一種服務不僅占用系統(tǒng)資源，也會增加安全隱患，建議關閉所有不需要的服務。黑客對計算機發(fā)起攻擊必須通過計算機開放的相應端口，關閉無用的端口也就相應減少了風險。

2.6 設置文件權限

將硬盤做成 NTFS格式，并給各盤及文件夾設定權限，通過分配適宜的權限，能夠控制訪問資源的權限和訪問資源的方式，這樣即使黑客取得了一般權限的賬號，也不會給系統(tǒng)帶來太大的危害，從而極大地增加了系統(tǒng)安全性。

2.7 防火墻以及殺毒軟件

安裝防火墻及殺毒軟件也是防黑的有效手段。目前的防火墻軟件很多，比如天網(wǎng)防火墻等，它們不僅可以防 PING、防止惡意連接，而且在遇到惡意攻擊時還會發(fā)出警告信息，并且把所有的入侵信息記錄下來，做到有案可查。但即使安裝了防火墻也不是萬無一失，防火墻有其自身的缺陷?，F(xiàn)在的病毒往往帶有后門，同時木馬程序也成為殺毒軟件的查殺對象，所以安裝殺毒軟件也不失為一種很好的防黑手段。但需要注意的是，不管防火墻還是殺毒軟件，必須及時升級，只有這樣才能充分發(fā)揮它們的功效，否則只能成為擺設。

2.8 監(jiān)測系統(tǒng)日志和端口

入侵必然會留下蹤跡，所以定期查看日志就能夠得知是否有人對系統(tǒng)嘗試攻擊以及攻擊的結果，便于采取相應的措施，同時也可以采用命令和軟件(如 NETSTAT、fport、portreporter)的方式對端口進行監(jiān)測，以達到防黑的目的。

2.9 定期對服務器進行備份

由于系統(tǒng)的漏洞永遠出現(xiàn)在補丁之前，同時由于各種原因，有些漏洞未被公開，所以從理論上講，世上沒有絕對安全的主機，為防止攻擊事件以及管理人員的誤操作，必須對系統(tǒng)進行安全備份。如此可在系統(tǒng)崩潰時，及時地將系統(tǒng)恢復到正常狀態(tài)。

3 結 語

上述防黑手段只是網(wǎng)絡安全的一部分。安全是個相對的概念，安全防御永遠是個動態(tài)的過程，沒有永遠和絕對的安全，需要網(wǎng)絡安全人員長期保持安全意識，并在實際工作中不斷提高防黑技能，這樣才能達到防黑的目的。入侵與防黑本身就是此消彼漲的關系，但不可否認的是，正是有黑客的存在才使我們對網(wǎng)絡安全有了更深的認識?！?/p>

［1］ 杜雷，馬春華，王儉. 圖書館網(wǎng)站服務器的安全維護技巧[J]. 電子世界，2013(21)：162.

［2］ 李新宇. 電工進網(wǎng)作業(yè)許可證檔案管理系統(tǒng)的設計與實現(xiàn)[D]. 沈陽：東北大學，2008.

［3］ 吉俊虎，李月麗. 對中美黑客大戰(zhàn)的思考[J]. 中國信息導報，2001(7)：29，33.

On Hacking Prevention for Computer Networks

ZHANG Peng1,2
(1. Tongji University，Shanghai 200092，China；2. Tianjin Broadcasting and TV Station，Tianjin 300221，China)

A long w ith the w ide application of internet in our daily work，study and life，hacking technology has been rapidly grow ing and as a result，network security has been under continuous challenges. This paper gives a summarization of hacking attacks and hacking prevention methods and presents hacking prevention means from the perspectives of establishing safety awareness，safeguarding physical safety of servers，management of system accounts，periodically patching and setting up file perm issions etc.

hacker；hacking prevention；network

TP393.0

：A

：1006-8945(2015)03-0047-02

2015-02-11