国瑞办公自动化系统简介

黑客攻击与防范技术北京邮电大学信息安全中心报告内容背景介绍黑客攻击研究常见的攻击类型分析黑客攻击方法举例常见问题结束语网络中存在的安全威胁

网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道蠕虫什么是黑客黑客是那些检查（网络）系统完整性和安全性的人，他们通常非常精通计算机硬件和软件知识，并有能力通过创新的方法剖析系统。“黑客”通常会去寻找网络中漏洞，但是往往并不去破坏计算机系统。正是因为黑客的存在，人们才会不断了解计算机系统中存在的安全问题。入侵者（Cracker）只不过是那些利用网络漏洞破坏网络的人，他们往往会通过计算机系统漏洞来入侵，他们也具备广泛的电脑知识，但与黑客不同的是他们以破坏为目的。真正的黑客应该是一个负责任的人，他们认为破坏计算机系统是不正当的。现在hacker和Cracker已经混为一谈，人们通常将入侵计算机系统的人统称为黑客黑客守则不恶意破坏任何系统,这样做只会给你带来麻烦。恶意破坏它人的软件或系统将导致法律刑责,如果你只是使用电脑,那仅为非法使用绝不修改任何系统文件,除非你认为有绝对把握的文件，或者有绝对的必要。3不要将你已破解的任何信息与人分享，除非此人绝对可以信赖。4当你发送相关信息到BBS时，对于你当前所做的黑事尽可能说的含糊一些，以避免BBS受到警告。5在BBS上Post文章的时候不要使用真名和真实的电话号码。黑客守则6如果你黑了某个系统，绝对不要留下任何的蛛丝马迹。（绝对不要留下大名或者是绰号之类的，这时由于成功的兴奋所导致的个人过度表现欲望会害死你的。）7不要侵入或破坏政府机关的主机。8不在家庭电话中谈论你Hack的任何事情。9将你的黑客资料放在安全的地方。10想真正成为黑客，你必须真枪实弹去做黑客应该做的事情。你不能仅仅靠坐在家里读些黑客之类的文章或者从BBS中扒点东西，就能成为黑客，这不是黑客的真正含义。黑客在信息安全范畴内特指：对电脑系统的非法侵入者。黑客入侵和破坏的危险“黑客”在网上的攻击活动每年以十倍速增长。修改网页进行恶作剧、窃取网上信息兴风作浪。非法进入主机破坏程序、阻塞用户、窃取密码。串入银行网络转移金钱、进行电子邮件骚扰。黑客可能会试图攻击网络设备，使网络设备瘫痪。美国每年因黑客而造成的经济损失近百亿美元他们利用网络安全的脆弱性，无孔不入。我国信息安全事件统计年份事件报道数目19886198913219902521991406199277319931334199423401995241219962573199721341998373419999859200021756总数47711CERT有关安全事件的统计

被黑的WEB页面11/29/96CIAHOMEPAGEDOJHOMEPAGEUSAFHOMEPAGE针对我国的几次主要黑客攻击事件过去两年，我们国家的一些政府网站，遭受了四次大的黑客攻击事件第一次在99年1月份左右，美国黑客组织“美国地下军团”联合了波兰的、英国的黑客组织，世界上各个国家的一些黑客组织，有组织地对我们国家的政府网站进行了攻击。第二次，99年7月份，台湾李登辉提出了两国论。第三次是在2000年5月8号，美国轰炸我国驻南联盟大使馆后。第四次在2001年4月到5月，美机撞毁王伟战机侵入我海南机场INTERNET上有超过30,000个黑客站点来自于黑客站点主页上的一些目录...兴旺的一伙：为了兴趣和利益击破隐藏的口令保护发送EMAIL的漏洞列表如何成为一个UNIX黑客你曾经想成为特权用户吗？怎样隐藏你的痕迹G.MarkHardy报告内容题要黑客攻击研究如何成为一名黑客黑客的态度（黑客技术与网络安全书）做一名黑客有很多乐趣，但却是些要费很多气力方能得到的乐趣。这些努力需要动力。一个问题不应该被解决两次（共享信息）黑客们应该从来不会被愚蠢的重复性劳动所困扰黑客们是天生的反权威主义者。态度不能替代能力如何成为一名黑客对操作系统有深入的研究得到一个开放源码的Unix并学会使用、运行它熟悉网络协议，特别是精通TCP/IP协议学习如何编程Python,C,Perl,andLISP学会如何使用WWW和写HTML收集相关系统漏洞，对已知漏洞的分析能帮助发现新漏洞和提高防护能力攻击的目的获取控制权好奇、恶作剧、证明实力执行进程获取文件和传输中的数据获取超级用户权限、越权使用资源对系统进行非法访问进行不许可操作、越权使用拒绝服务涂改信息、暴露信息G.MarkHardy攻击的三个阶段寻找目标，收集信息(nessus)获得初始的访问控制权与特权攻击其他系统G.MarkHardy信息收集信息收集：突破网络系统的第一步是各种形式的信息收集。黑客可以使用下面几种工具来收集这些信息：SNMP协议，用来查阅非安全路由器的路由表，从而了解目标机构网络拓扑的内部细节。TraceRoute程序能够得出到达目标主机所要经过的网络数和路由器数。Whois协议是一种信息服务，能够提供有关所有DNS域和负责各个域的系统管理员数据。不过这些数据常常是过时的。DNS服务器可以访问主机的IP地址表和它们对应的主机名。Finger协议能够提供特定主机上用户们的详细信息（注册名、电话号码、最后一次注册的时间等）。Ping实用程序可以用来确定一个指定的主机的位置并确定其是否可达。把这个简单的工具用在扫描程序中，可以Ping网络上每个可能的主机地址，从而可以构造出实际驻留在网络上的主机的清单。安全弱点的探测系统收集到目标机构的网络信息之后，黑客会探测每个主机以寻求一个安全上的弱点。有几种工具可能被黑客用来自动扫描驻留在网络上的主机。由于已经知道的服务脆弱性较少，水平高的黑客能够写出短小的程序来试图连接到目标主机上特定的服务端口上。而程序的输出则是支持可攻击的服务的主机清单。有几种公开的工具，如ISS(InternetSecurityScanner,Internet安全扫描程序），SATAN(SecurityAnalysisToolforAuditingNetworks，审计网络用的安全分析工具），可以对整个域或子网进行扫描并寻找安全上的漏洞。这些程序能够针对不同系统的脆弱性确定其弱点。入侵者利用扫描收集来的信息去获得对目标系统的非法访问权。聪明的网络管理员能够在其网络内部使用这些工具来发现潜藏的安全弱点并确定那个主机需要用新的软件补丁（Patches）进行升级。黑客攻击一般过程端口扫描httpftptelnetsmtp黑客攻击一般过程口令暴力攻击用户名:john口令:john1234黑客攻击一般过程用john登录服务器利用漏洞获得超级用户权限留后门隐藏用户更改主页信息典型的网络攻击示意图选中攻击目标获取普通用户权限擦除入侵痕迹安装后门新建帐号获取超级用户权限攻击其它主机获取或修改信息从事其它非法活动扫描网络利用系统已知的漏洞、通过输入区向CGI发送特殊的命令、发送特别大的数据造成缓冲区溢出、猜测已知用户的口令，从而发现突破口。常用的扫描工具ping判断主机死活tcp/udpscan结合常规服务约定，根据端口判断提供服务os

indentify

发送奇怪的tcp包,不同的操作系统反应不同，queso,nmap(portscan)Accountscans利用Email，finger等工具获得系统账号消息（用户名、最后一次登陆时间）典型的入侵案例缺陷扫描Rootcompromise:pop3d停止

syslogd,修改/etc/inetd.conf,激活

telnet,ftp,替换以下程序/bin/login、/bin/ps

、/usr/bin/du

、/bin/ls

、/bin/netstat安装窃听程序

sniffer:/usr/.sniffit重新启动syslogd,关闭pop3d删除日志记录

wtmp、wtp、message、syslog报告内容题要常见的攻击类型分析常见的黑客攻击方法口令攻击网络监听缓冲区溢出路由攻击逻辑炸弹特洛伊木马蠕虫陷门、隐蔽通道计算机病毒拒绝服务攻击（DOS）口令攻击口令攻击软件－JohnTheRipper1.4这个软件由著名的黑客组织--UCF出的,它支持Unix,Dos,Windows,速度超快,可以说是目前同类中最杰出的作品。对于老式的passwd档(就是没shadow的那种,任何人能看的都可以把passwd

密文存下来),John可以直接读取并用字典穷举击破。对于现代的passwd+shadow的方式,John提供了UNSHADOW程序直接把两者合成出老式passwd文件。入侵者是如何得到密码的Clear-textsniffing大量的应用程序都是传送明文密码Encryptedsniffing窃听加密密码并解密Passwordfilestealing窃取密码文件，利用工具破解SocialEngineering社会诈骗密码设计原则不用中文拼音、英文单词不用生日、纪念日、有意义的字符串使用大小写字母、符号、数字的组合保持口令安全的要点*不要将口令写下来。*不要将口令存于电脑文件中。*不要让别人知道。*不要在不同系统上使用同一口令。*为防止眼明手快的人窃取口令,在输入口令时应确认无人在身边。定期改变口令,至少6个月要改变一次。网络监听网络监听的作用：可以截获用户口令；可以截获秘密的或专用的信息；可以用来攻击相邻的网络；可以对数据包进行详细的分析；可以分析出目标主机采用了哪些协议。常用网络监听工具工具名称操作系统功能简介SniffitSunOS,Solaris针对TCP/IP协议的不安全性进行监听TcpdumpUnix,FreeBSD可以从以太网上监听并截获数据包nfswatchHP/UX,SunOS监控在以太网上传输的NFS数据包ethermanSGIIrix监听以太网上的通信SnoopSunOS,Solaris用来侦听本网段数据包，常用作错误诊断NetstatUNIX、WinNT显示当前的TCP/IP连接和协议统计etherfindSunOS监听局域网上的通信的主机LanwatchDOS监听外部主机对本机的访问缓冲区溢出什么是缓冲区溢出简单地说，缓冲区溢出就是向堆栈中分配的局部数据块中写入了超出其实际分配大小的数据，导致数据越界，结果覆盖了原先的堆栈数据例如:voidfunction(char*str){

charbuffer[16];

strcpy(buffer,str);}路由攻击注入假的路由到路由选择系统重定向业务流到黑洞重定向业务流到慢的链接重定向业务流到可以分析与修改的地点逻辑炸弹

逻辑炸弹是一段潜伏的程序，它以某种逻辑状态为触发条件，可以用来释放病毒和蠕虫或完成其他攻击性功能，如破坏数据和烧毁芯片。它平时不起作用，只有当系统状态满足触发条件时才被激活。特洛伊木马木马的工作原理;木马的分类：远程访问型、密码发送型、键盘记录型、毁坏型；常见的几种木马：BO2000，冰河、SubSeven木马的清除：TheCleaner、杀毒软件、手动清除木马的防范：不要下载和执行来历不明的程序蠕虫蠕虫是一段独立的可执行程序，它可以通过计算机网络把自身的拷贝（复制品）传给其他的计算机。蠕虫可以修改、删除别的程序，但它也可以通过疯狂的自我复制来占尽网络资源，从而使网络瘫痪。后门与隐蔽通道调试后门：为方便调试而设置的机关，系统调试完成后未能及时消除。维护后门：为方便远程维护所设置的后门，被黑客恶意利用。恶意后门：由设计者故意设置的机关，用以监视用户的秘密乃至破坏用户的系统隐蔽通道：是一种允许违背合法的安全策略的方式进行操作系统进程间通信（IPC）的通道。隐蔽通道又分为隐蔽存储通道与隐蔽时间通道。隐蔽通道的重要参数是带宽。欺骗攻击IP欺骗攻击信任关系理论依据(TCP/IP建立连接之前的三次握手)第一步：BSYN1A第二步：BSYN2+ACK1A第三步：BACK2ASYN（数据序列）ACK（确认标识）ISN（连接初始值）ACK1=SYN1+1SYN2=ISN2ACK2=SYN2+1过程1、屏蔽主机B2、获得ISN2，发出ACK23、建立连接4、通过其它已知漏洞获得Root权限

5、安装后门6、清除Log网络攻击WinNuke攻击原理

当WindowsNT和Windows95系统的某些端口，如139号NetBIOS端口，接收到Out-of-Band数据时，系统不能正确地处理这些数据，造成系统的死机。LAND攻击原理

当对113或139号端口发送一个伪造的SYN报文时，如果报文中的源端主机的IP地址和端口与目的主机的IP地址和端口相同，例如从:139发送到:139，这时目标主机将会死机。UDP攻击UDP攻击原理

UDP攻击的原理是使两个或两个以上的系统之间产生巨大的UDP数据包。首先使这两种UDP服务都产生输出，然后让这两种UDP服务（例如chargen服务(UDP)和echo服务(UDP)）之间互相通信，使一方的输出成为另一方的输入。这样会形成很大的数据流量。当多个系统之间互相产生UDP数据包时，最终将导致整个网络瘫痪。如果涉及的主机数目少，那么只有这几台主机会瘫痪。PING、SMURF攻击ICMP/PING攻击原理

ICMP/PING攻击是利用一些系统不能接受超大的IP包或需要资源处理这一特性。如在Linux下输入Ping-t66510IP（未打补丁的Win95/98的机器），机器就会瘫痪。ICMP/SMURF攻击原理

ICMP/SMURF攻击利用的是网络广播的原理来发送大量的地址，而包的源地址就是要攻击的机器本身的地址。因而所有接收到此包的主机都将给发包的地址发送一个ICMP回复包。Smurf攻击检测：如果在网络内检测到目标地址为广播地址的icmp包。证明内部有人发起了这种攻击（或者是被用作攻击，或者是内部人员所为）；如果icmp包的数量在短时间内上升许多(正常的ping程序每隔一秒发一个ICMPecho请求)，证明有人在利用这种方法攻击系统。网络攻击举例Teardrop:许多系统在处理分片组装时存在漏洞，发送异常的分片包会使系统运行异常，teardrop便是一个经典的利用这个漏洞的攻击程序。其原理如下（以linux为例）：发送两个分片IP包，其中第二个IP包完全与第一在位置上重合。

在linux(2.0内核)中有以下处理:当发现有位置重合时（offset2<end1）,将offset向后调到end1（offset2=end1）,然后更改len2的值：len2=end2-offset2;注意此时len2变成了一个小于零的值，在以后处理时若不加注意便会出现溢出。检测：组装时检查len2的值便可，这样可以发现所有的变种（如newtear）。

网络攻击举例TARGA3攻击(IP堆栈突破)原理

TARGA3攻击的基本原理是发送TCP/UDP/ICMP的碎片包，其大小、标记、包数据等都是随机的。一些有漏洞的系统内核由于不能正确处理这些极端不规范数据包，便会使其TCP/IP堆栈出现崩溃，从而导致无法继续响应网络请求（即拒绝服务）。Jolt2:jolt2是2000年五月份出现的新的利用分片进行的攻击程序，几乎可以造成当前所有的windows平台（95,98,NT,2000）死机。原理是发送许多相同的分片包，且这些包的offset值(65520bytes)与总长度(48bytes)之和超出了单个IP包的长度限制（65536bytes）。检测：组装时检查这种超出IP包最长限度的情况。

CGI攻击有许多cgi脚本文件存在安全漏洞（包括众多的aspbug），如果系统中有这种程序，入侵者可以轻易获得重要的文件，或通过缓冲区溢出造成更大危害。已知的有漏洞的cgi程序非常多，如Count.cgi，phf,glimpse,handler,htmlscript,icat,info2www，

nph-test-cgi,pfdispaly,phf,php,php.cgitest-cgi,webdist,webgais,websendmail等。常见的asp漏洞有：showcode.asp，它通过追加小数点或用%20代替小数点等漏洞阅读ASP文件源代码等漏洞。检测：检查数据段中的字符串，可以对已知的漏洞进行察觉。OSdetection描述：在攻击发起之前，攻击者会尽可能的收集对方系统的信息,检测出对方操作系统的类型甚至版本尤为重要。nmap和queso等工具均可通过发送各种异常的数据包，并通过观察系统的不同反映来准确的鉴定远端的操作系统类型。检测：因为其发出的数据包本身比较特殊，通过观察此特征可检查此类行为。如queso利用了TCP中未定义的标志。nmap向端口发出只有FIN标记的TCP数据包.网络攻击举例攻击者通过某种方法（比如攻破DNS服务器，DNS欺骗，控制路由器）把目标机器域名的对应的IP路由到攻击者所控制的机器。所有外界对目标机器的请求将涌向攻击者的机器，这时攻击者可以转发所有的请求到目标机器，让目标机器进行处理，再把处理结果发回到发出请求的客户机。实际上，就是把攻击者的机器设成目标机器的代理服务器，这样，所有外界进入目标机器的数据流都在攻击者的监视之下了，攻击者可以任意窃听甚至修改数据流里的数据，收集到大量的信息。拒绝服务攻击DoS

攻击land,teardrop,SYNfloodICMP:smurf“拒绝服务”的例子:

LAND攻击攻击者InternetCode目标2欺骗性的IP包源地址

2Port139目的地址

2Port139TCPOpenG.MarkHardy“拒绝服务”的例子:LAND攻击攻击者InternetCode目标2

IP包欺骗源地址

2Port139目的地址

2Port139包被送回它自己崩溃G.MarkHardy“拒绝服务”的保护:代理类的防火墙攻击者InternetCode目标2IP包欺骗源地址2Port139目标地址2Port139TCPOpen防火墙防火墙把有危险的包阻隔在网络外G.MarkHardyTCP同步泛滥攻击者InternetCode目标欺骗性的IP包源地址不存在目标地址是TCPOpenG.MarkHardyTCPSYN泛滥攻击者InternetCode目标同步应答响应源地址目标地址不存在TCPACK崩溃G.MarkHardySYN攻击示意图Smuff攻击示意图第一步：攻击者向被利用网络A的广播地址发送一个ICMP协议的’echo’请求数据报，该数据报源地址被伪造成第二步：网络A上的所有主机都向该伪造的源地址返回一个‘echo’响应，造成该主机服务中断。分布式拒绝服务（DDOS）以破坏系统或网络的可用性为目标常用的工具：Trin00,TFN/TFN2K,Stacheldraht很难防范伪造源地址，流量加密，因此很难跟踪clienttargethandler...agent...DoSICMPFlood/SYNFlood/UDPFlood分布式拒绝服务攻击网络结构图

客户端客户端主控端主控端主控端主控端代理端代理端代理端代理端代理端代理端代理端代理端分布式拒绝服务攻击步骤1ScanningProgram不安全的计算机Hacker攻击者使用扫描工具探测扫描大量主机以寻找潜在入侵目标。1InternetHacker被控制的计算机(代理端)黑客设法入侵有安全漏洞的主机并获取控制权。这些主机将被用于放置后门、sniffer或守护程序甚至是客户程序。2分布式拒绝服务攻击步骤2InternetHacker

黑客在得到入侵计算机清单后，从中选出满足建立网络所需要的主机，放置已编译好的守护程序，并对被控制的计算机发送命令。3被控制计算机（代理端）MasterServer分布式拒绝服务攻击步骤3InternetHacker

UsingClientprogram,

黑客发送控制命令给主机，准备启动对目标系统的攻击4被控制计算机（代理端）TargetedSystemMasterServer分布式拒绝服务攻击步骤4InternetInternetHacker

主机发送攻击信号给被控制计算机开始对目标系统发起攻击。5MasterServer分布式拒绝服务攻击步骤5TargetedSystem被控制计算机（代理端）TargetedSystemHacker目标系统被无数的伪造的请求所淹没，从而无法对合法用户进行响应，DDOS攻击成功。6MasterServerUserRequestDenied分布式拒绝服务攻击步骤6Internet被控制计算机（代理端）（分布式）拒绝服务攻击DDOS攻击的效果

由于整个过程是自动化的，攻击者能够在5秒钟内入侵一台主机并安装攻击工具。也就是说，在短短的一小时内可以入侵数千台主机。并使某一台主机可能要遭受1000MB/S数据量的猛烈攻击，这一数据量相当于1.04亿人同时拨打某公司的一部电话号码。（分布式）拒绝服务攻击预防DDOS攻击的措施确保主机不被入侵且是安全的；周期性审核系统；检查文件完整性；优化路由和网络结构；优化对外开放访问的主机；在网络上建立一个过滤器（filter）或侦测器（sniffer），在攻击信息到达网站服务器之前阻挡攻击信息。（分布式）拒绝服务攻击分布式拒绝服务攻击的今后的发展趋势：如何增强自身的隐蔽性和攻击能力；采用加密通讯通道、ICMP协议等方法避开防火墙的检测；采用对自身进行数字签名等方法研究自毁机制，在被非攻击者自己使用时自行消毁拒绝服务攻击数据包，以消除证据。对付DDoS攻击的方法1．定期扫描现有的网络主节点，清查可能存在的安全漏洞。对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用最佳位置，因此对这些主机本身加强主机安全是非常重要的。2．在骨干节点上的防火墙的配置至关重要。防火墙本身能抵御DDOS攻击和其它一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样保护真正的主机不被瘫痪。3．用足够的机器承受黑客攻击。这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿。4．充分利用网络设备保护网络资源。所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。

对付DDoS攻击的方法5．使用Inexpress、ExpressForwarding过滤不必要的服务和端口，即在路由器上过滤假IP。比如Cisco公司的CEF（CiscoExpressForwarding）可以针对封包SourceIP和RoutingTable做比较，并加以过滤。6．使用UnicastReversePathForwarding检查访问者的来源。它通过反向路由表查询的方法检查访问者的IP地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户，很难查出它来自何处，因此，利用UnicastReversePathForwarding可减少假IP地址的出现，有助于提高网络安全性。7．过滤所有RFC1918IP地址。RFC1918IP地址是内部网的IP地址，像、和，它们不是某个网段的固定IP地址，而是Internet内部保留的区域性IP地址，应该把它们过滤掉。8．限制SYN/ICMP流量。用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量时，说明不是正常的网络访问，而是有黑客入侵。

怎样对付正在进行的DDOS攻击?

如果用户正在遭受攻击，他所能做的抵御工作非常有限。因为在原本没有准备好的情况下有大流量的灾难性攻击冲向用户，很可能用户在还没回过神之际，网络已经瘫痪。但是，用户还是可以抓住机会寻求一线希望的。首先，检查攻击来源，通常黑客会通过很多假的IP地址发起攻击，此时，用户若能够分辨出哪些是真IP地址，哪些是假IP地址，然后了解这些IP来自哪些网段，再找网段管理员把机器关掉，即可消除攻击。其次，找出攻击者所经过的路由，把攻击屏蔽掉。若黑客从某些端口发动攻击，用户可把这些端口屏蔽掉，以狙击入侵。最后一种比较折衷的方法是在路由器上滤掉ICMP。后门程序BO、netbusService/Daemon其他插入一个后门改变登录程序到一个后门程序后门象正常的登录程序一样的工作，但它捕获用户口令能使用与其它系统相类似的技术问题:由于后门象正常的登录程序一样的工作，因此用户不能辨别出来。解决方案:使用工具来主动监视关键文件以获取被纂改的迹象G.MarkHardy是登录屏还是特洛伊木马?G.MarkHardy吃惊吗!G.MarkHardyL0phtcrack实证攻击程序允许入侵者从整个系统中偷取口令!SpecifyacomputerTheintruderusesl0PHTCrack

todumpallpasswordsfromtheNTRegistryl0PHTCrackdumpsthepasswordfiles......Theintruderopensaworddictionary

(usuallyaprettycomprehensivelist)......Andrunsthecrack!Ouch!Somuchfornetworksecurity!G.MarkHardy入侵探测器捕获

L0phtcrack!G.MarkHardy怎样才能发现入侵者

1.在入侵者正在行动时，捉住入侵者。例如，当管理员正在工作时，发现有人使用超级用户的户头通过拨号终端登录。而超级用户口令只有管理员本人知道。

2.根据系统发生的一些改变推断系统已被入侵。例如，管理员可能发现在/etc/passwd文件中突然多出了一个户头，或者收到从入侵者那里发来的一封嘲弄的电子邮件。一些系统中，操作一些文件失败时，会有一封邮件通知该用户。如果入侵者取得了超级用户权限，又操作文件失败，那么，系统会自动将操作失败的补救办法用邮件通知该用户，在这种情况下就发给了系统管理员用户。因而管理员便会知道系统已被入侵。

3.从其他站点的管理员那里收到邮件，称从本站点有人对“他”的站点大肆活动。

4.系统中一些奇怪的现象，例如，系统崩溃，突然的磁盘存取活动，或者系统突然便得非常缓慢。

5.在系统中，有许多命令可以让人们发现系统是否被入侵。一些优秀的软件，例如Tiger，Tripwire可以帮助发现入侵。发现入侵后应遵循的原则一：不要惊慌思考以下问题：系统是否真的发生了安全事件？在一些时候看起来是一次入侵者的行为，其实是由于人的错误，或者软件的错误导致的。系统是否真的遭到了破坏？在许多入侵事件中，入侵者虽然进行了没有被许可的访问。但是并没有访问敏感信息，或者修改文件的内容。是否有必要保留一些证据，以备以后进行调查。使系统尽快回到正常状态是否很重要？是否准备检查文件已被改变或者移动？如果没有采取行动，是否能够入侵者修改了文件？如果这次入侵被本组织内部的人听到，会有什么的麻烦？如果被本单位以外的人听到又怎样？入侵是否会再次发生？发现入侵后应遵循的原则二：作好记录开始进行记录。在本子上记录下来所发现的一切，甚至包括日期和时间。如果是检查文本文件，将结果打印下来，然后写上相关信息和日期，如果系统中有足够的空间，对重要文件进行复制，这一点对以后的追踪和修复系统非常重要。发现入侵后应遵循的原则三：进