黑客如何查找互聯網網絡安全漏洞

　　電腦黑客們總是希望知道盡可能多的信息，比如:是否聯網、內部網絡的架構以及安全防范措施的狀態。一旦那些有經驗的黑客盯上了你的網絡系統，他們首先會對你的系統進行分析。這就是為什麼我們說運用黑客的“游戲規則是對付黑客的最好辦法的原因。以黑客的眼光來審視網絡安全性，往往可以發現很多潛在的安全漏洞。這樣做不僅提供了審視你網絡系統的不同視角，而且讓你能夠從你的敵人，即黑客的角度來指導你采取最有效的網絡安全措施。下面，我們來看一下網絡系統分析的過程。這個過程要用到開源工具和相關技術。

　　用開源工具收集信息

　　首先，登錄Whois.com網站查找你企業的域名，檢索結果將會顯示出你的網絡系統所使用的DNS服務器。然後再使用一些軟件工具，如:nslookup，來進一步挖掘DNS服務器的詳細信息。

　　接下來，需要將目標轉向於企業的公眾Web站點和你能找到的匿名FTP服務器。注意，你現在需要關注的信息主要是:域名、這些域名的IP地址、入侵檢測系統的所有信息、用戶名、電話號碼、電子郵件地址、物理位置、已發布的安全策略、業務合作伙伴的資料、以及新並購企業的信息。

　　此外，在你的上述搜索操作中，一定要特別注意這些網站上已顯示的和沒有顯示的信息。最好，把這些網頁存入你的電腦中，然後用記事本程序打開，查看網頁的源代碼。一般而言，查看網頁的源代碼可以大量的信息，這也就是某些站點有意對浏覽者屏蔽源代碼的原因。在源代碼文件中，你也許能夠了解到網站開發者建站的方式:他們所使用的軟 件類型及軟件版本、網站以及網頁的架構，有時候甚至能夠發現一些網站管理員的個人資料。

　　業務合作伙伴的站點或一些新的並購企業的站點往往是黑客入侵的關鍵點。這些站點是間接入侵目標站點的最佳突破口，容易被網站管理員所忽視，給黑客攻擊者制造了大量的機會。如果你在這方面沒有足夠的警惕性，疏忽大意，很草率地新某個新的業務合作者的網站和你自己的站點聯接起來，往往會造成很嚴重的後果，給你的站點帶來極大的安全威脅。在這樣的情況下，安全問題比經營問題更加重要，一定要確保安全操作。

　　從外部審視網絡

　　有了上述信息收集，你可以開始審視你的網絡了。你可以運用路徑追蹤命令來查看你的網絡拓撲結構圖和訪問控制的相關設置。你會獲得大量交換機的特征信息，用來旁路訪問控制設備。

　　注意，命令的反饋結果會因為所使用操作系統的不同而有所差別。Unix操作系統使用UDP，也可以選擇使用ICMP;而Windows操作系統默認用ICMP來響應請求（Ping）。

　　你也可以用開源工具管理大量ping sweep、執行TCP/UDP協議掃描、操作系統探測。這樣做的目的就是要了解，在那些外部訪問者的眼中，你的網絡系統的運行狀況和一些基本的面 貌、特征。因此，你需要檢驗你的網絡系統，哪些端口和服務對外部訪問者是開放的或可用的，外部訪問者是否可以了解到你所使用的操作系統和一些程序，極其版本信息。簡言 之，就是要了解到你的網絡系統究竟對那些外部訪問者開放了哪些端口或服務，洩露了哪些站點的基本信息。

　　在你開始上述工作之前，你必須要先獲得足夠的授權，才能進入整個網絡系統並對其進行考察、分析。千萬不要將你了解到信息告知那些不懷好意的人。記住:安全防護是一個實 施過程，而不僅僅是一種技術。

　　網絡安全是一個綜合的、復雜的工程，任何網絡安全措施都不能保證萬無一失。因此，對於一些重要的部門，一旦網絡遭到攻擊，如何追蹤網絡攻擊，追查到攻擊者並將其繩之以法，是十分必要的。

　　追蹤網絡攻擊就是找到事件發生的源頭。它有兩個方面意義：一是指發現IP地址、Mac地址或是認證的主機名；二是指確定攻擊者的身份。網絡攻擊者在實施攻擊之時或之後，必然會留下一些蛛絲馬跡，如登錄的紀錄，文件權限的改變等虛擬證據，如何正確處理虛擬證據是追蹤網絡攻擊的最大挑戰。

　　在追蹤網絡攻擊中另一需要考慮的問題是：IP地址是一個虛擬地址而不是一個物理地址，IP地址很容易被偽造，大部分網絡攻擊者采用IP地址欺騙技術。這樣追蹤到的攻擊源是不正確的。使得以IP地址為基礎去發現攻擊者變得更加困難。因此，必須采用一些方法，識破攻擊者的欺騙，找到攻擊源的真正IP地址。

　　一、netstat命令——實時察看文擊者

　　使用netstat命令可以獲得所有聯接被測主機的網絡用戶的IP地址。Windows系列、Unix系列、Linux等常用網絡操作系統都可以使用“netstat命令。

　　使用“netstat命令的缺點是只能顯示當前的連接，如果使用“netstat命令時攻擊者沒有聯接，則無法發現攻擊者的蹤跡。為此，可以使用Scheduler建立一個日程安排，安排系統每隔一定的時間使用一次“netstat命令，並使用netstat〉〉textfile格式把每次檢查時得到的數據寫入一個文本文件中，以便需要追蹤網絡攻擊時使用。

　　二、日志數據——最詳細的攻擊記錄

　　系統的日志數據提供了詳細的用戶登錄信息。在追蹤網絡攻擊時，這些數據是最直接的、有效的證據。但是有些系統的日志數據不完善，網絡攻擊者也常會把自己的活動從系統日志中刪除。因此，需要采取補救措施，以保證日志數據的完整性。

　　Unix和Linux的日志

　　Unix和Linux的日志文件較詳細的記錄了用戶的各種活動，如登錄的ID的用戶名、用戶IP地址、端口號、登錄和退出時間、每個ID最近一次登錄時間、登錄的終端、執行的命令，用戶ID的賬號信息等。通過這些信息可以提供ttyname（終端號）和源地址，是追蹤網絡攻擊的最重要的數據。

　　大部分網絡攻擊者會把自己的活動記錄從日記中刪去，而且UOP和基於X Windows的活動往往不被記錄，給追蹤者帶來困難。為了解決這個問題，可以在系統中運行wrapper工具，這個工具記錄用戶的服務請求和所有的活動，且不易被網絡攻擊者發覺，可以有效的防止網絡攻擊者消除其活動紀錄。

　　Windows NT和Windows 2000的日志

　　Windows NT和Windows 2000有系統日志、安全日志和應用程序日志等三個日志，而與安全相關的數據包含在安全日志中。安全日志記錄了登錄用戶的相關信息。安全日志中的數據是由配置所決定的。因此，應該根據安全需要合理進行配置，以便獲得保證系統安全所必需的數據。

　　但是，Windows NT和Windows 2000的安全日志存在重大缺陷，它不記錄事件的源，不可能根據安全日志中的數據追蹤攻擊者的源地址。為了解決這個問題，可以安裝一個第三方的能夠完整記錄審計數據的工具。

　　防火牆日志

　　作為網絡系統中的“堡壘主機，防火牆被網絡攻擊者攻陷的可能性要小得多。因此，相對而言防火牆日志數據不太容易被修改，它的日志數據提供最理想的攻擊源的源地址信息。

　　但是，防火牆也不是不可能被攻破的，它的日志也可能被刪除和修改。攻擊者也可向防火牆發動拒絕服務攻擊，使防火牆癱瘓或至少降低其速度使其難以對事件做出及時響應，從而破壞防火牆日志的完整性。因此，在使用防火牆日志之前，應該運行專用工具檢查防火牆日志的完整性，以防得到不完整的數據，贻誤追蹤時機。

　　網絡服務器的惡意網絡行為包括兩個方面：一是惡意的攻擊行為，如拒絕服務攻擊，網絡病毒等等，這些行為旨在消耗服務器資源，影響服務器的正常運作，甚至服務器所在網絡的癱瘓;另外一個就是惡意的入侵行為，這種行為更是會導致服務器敏感信息洩露，入侵者更是可以為所欲為，肆意破壞服務器。所以我們要保證網絡服務器的安全可以說就是盡量減少網絡服務器受這兩種行為的影響。

　　基於Windows做操作系統的服務器在中國市場的份額以及國人對該操作系統的了解程度，我在這裡談談個人對維護windows網絡服務器安全的一些個人意見。

　　如何避免網絡服務器受網上那些惡意的攻擊行為：

　　一、構建好你的硬件安全防御系統

　　選用一套好的安全系統模型。一套完善的安全模型應該包括以下一些必要的組件：防火牆、入侵檢測系統、路由系統等。

　　防火牆在安全系統中扮演一個保安的角色，可以很大程度上保證來自網絡的非法訪問以及數據流量攻擊，如拒絕服務攻擊等;入侵檢測系統則是扮演一個監視器的角色，監視你的服務器出入口，非常智能地過濾掉那些帶有入侵和攻擊性質的訪問。

　　二、選用英文的操作系統

　　要知道，windows畢竟美國微軟的東西，而微軟的東西一向都是以Bug 和 Patch多而著稱，中文版的Bug遠遠要比英文版多，而中文版的補丁向來是比英文版出的晚，也就是說，如果你的服務器上裝的是中文版的windows系統，微軟漏洞公布之後你還需要等上一段時間才能打好補丁，也許黑客、病毒就利用這段時間入侵了你的系統。

　　如何防止網絡服務器不被黑客入侵：

　　首先，作為一個黑客崇拜者，我想說一句，世界上沒有絕對安全的系統。我們只可以盡量避免被入侵，最大的程度上減少傷亡。

　　一、采用NTFS文件系統格式

　　大家都知道，我們通常采用的文件系統是FAT或者FAT32，NTFS是微軟Windows NT內核的系列操作系統支持的、一個特別為網絡和磁盤配額、文件加密等管理安全特性設計的磁盤格式。NTFS