黑客攻击主要有哪些手段?
黑客主要运用手段和攻击方法
2004-12-02 来源: 责编: 滴滴 作者:
编者按:
不可否认,网络已经溶入到了我们的日常工作和生活中。因此,在我们使用电脑时就得时时考虑被网络攻击的防范工作。俗语说“知己知彼,百战不贻”,要想尽量的免遭黑客的攻击,当然就得对它的主要手段和攻击方法作一些了解。闲话少说,咱这就入正题!
戴尔笔记本本周限时优惠 免费咨询800-858-2336
来源:黑客基地
不可否认,网络已经溶入到了我们的日常工作和生活中。因此,在我们使用电脑时就得时时考虑被网络攻击的防范工作。俗语说“知己知彼,百战不贻”,要想尽量的免遭黑客的攻击,当然就得对它的主要手段和攻击方法作一些了解。闲话少说,咱这就入正题!
(一)黑客常用手段
1、网络扫描--在Internet上进行广泛搜索,以找出特定计算机或软件中的弱点。
2、网络嗅探程序--偷偷查看通过Internet的数据包,以捕获口令或全部内容。通过安装侦听器程序来监视网络数据流,从而获取连接网络系统时用户键入的用户名和口令。
3、拒绝服务 -通过反复向某个Web站点的设备发送过多的信息请求,黑客可以有效地堵塞该站点上的系统,导致无法完成应有的网络服务项目(例如电子邮件系统或联机功能),称为“拒绝服务”问题。
4、欺骗用户--伪造电子邮件地址或Web页地址,从用户处骗得口令、信用卡号码等。欺骗是用来骗取目标系统,使之认为信息是来自或发向其所相信的人的过程。欺骗可在IP层及之上发生(地址解析欺骗、IP源地址欺骗、电子邮件欺骗等)。当一台主机的IP地址假定为有效,并为Tcp和Udp服务所相信。利用IP地址的源路由,一个攻击者的主机可以被伪装成一个被信任的主机或客户。
5、特洛伊木马--一种用户察觉不到的程序,其中含有可利用一些软件中已知弱点的指令。
6、后门--为防原来的进入点被探测到,留几个隐藏的路径以方便再次进入。
7、恶意小程序--微型程序,修改硬盘上的文件,发送虚假电子邮件或窃取口令。
8、竞争拨号程序--能自动拨成千上万个电话号码以寻找进入调制解调器连接的路径。逻辑炸弹计算机程序中的一条指令,能触发恶意操作。
9、缓冲器溢出-- 向计算机内存缓冲器发送过多的数据,以摧毁计算机控制系统或获得计算机控制权。
10、口令破译--用软件猜出口令。通常的做法是通过监视通信信道上的口令数据包,破解口令的加密形式。
11、社交工程--与公司雇员谈话,套出有价值的信息。
12、垃圾桶潜水--仔细检查公司的垃圾,以发现能帮助进入公司计算机的信息。
(二)黑客攻击的方法:
1、隐藏黑客的位置
典型的黑客会使用如下技术隐藏他们真实的IP地址:
利用被侵入的主机作为跳板;
在安装Windows 的计算机内利用Wingate 软件作为跳板;利用配置不当的Proxy作为跳板。
更老练的黑客会使用电话转接技术隐蔽自己。他们常用的手法有:利用800 号电话的私人转接服务联接ISP, 然后再盗用他人的账号上网;通过电话联接一台主机,再经由主机进入Internet。
使用这种在电话网络上的"三级跳"方式进入Internet 特别难于跟踪。理论上,黑客可能来自世界任何一个角落。如果黑客使用800号拨号上网,他更不用担心上网费用。
2、网络探测和资料收集
黑客利用以下的手段得知位于内部网和外部网的主机名。
使用nslookup 程序的ls命令;
通过访问公司主页找到其他主机;
阅读FTP服务器上的文挡;
联接至mailserver 并发送 expn请求;
Finger 外部主机上的用户名。
在寻找漏洞之前,黑客会试图搜集足够的信息以勾勒出整个网络的布局。利用上述操作得到的信息,黑客很容易列出所有的主机,并猜测它们之间的关系。
3、找出被信任的主机
黑客总是寻找那些被信任的主机。这些主机可能是管理员使用的机器,或是一台被认为是很安全的服务器。
一步,他会检查所有运行nfsd或mountd的主机的NFS输出。往往这些主机的一些关键目录(如/usr/bin、/etc和/home)可以被那台被信任的主机mount。
Finger daemon 也可以被用来寻找被信任的主机和用户,因为用户经常从某台特定的主机上登录。
黑客还会检查其他方式的信任关系。比如,他可以利用CGI 的漏洞,读取/etc/hosts.allow 文件等等。
分析完上述的各种检查结果,就可以大致了解主机间的信任关系。下一步, 就是探测这些被信任的主机哪些存在漏洞,可以被远程侵入。
4、找出有漏洞的网络成员
当黑客得到公司内外部主机的清单后,他就可以用一些Linux 扫描器程序寻找这些主机的漏洞。黑客一般寻找网络速度很快的Linux 主机运行这些扫描程序。
所有这些扫描程序都会进行下列检查:
TCP 端口扫描;
RPC 服务列表;
NFS 输出列表;
共享(如samba、netbiox)列表;
缺省账号检查;
Sendmail、IMAP、POP3、RPC status 和RPC mountd 有缺陷版本检测。
进行完这些扫描,黑客对哪些主机有机可乘已胸有成竹了。
如果路由器兼容SNMP协议,有经验的黑客还会采用攻击性的SNMP 扫描程序进行尝试, 或者使用"蛮力式"程序去猜测这些设备的公共和私有community strings。
5、利用漏洞
现在,黑客找到了所有被信任的外部主机,也已经找到了外部主机所有可能存在的漏洞。下一步就该开始动手入侵主机了。
黑客会选择一台被信任的外部主机进行尝试。一旦成功侵入,黑客将从这里出发,设法进入公司内部的网络。但这种方法是否成功要看公司内部主机和外部主机间的过滤策略了。攻击外部主机时,黑客一般是运行某个程序,利用外部主机上运行的有漏洞的daemon窃取控制权。有漏洞的daemon包括Sendmail、IMAP、POP3各个漏洞的版本,以及RPC服务中诸如statd、mountd、pcnfsd等。有时,那些攻击程序必须在与被攻击主机相同的平台上进行编译。
6、获得控制权
黑客利用daemon的漏洞进入系统后会做两件事:清除记录和留下后门。
他会安装一些后门程序,以便以后可以不被察觉地再次进入系统。大多数后门程序是预先编译好的,只需要想办法修改时间和权限就可以使用,甚至于新文件的大小都和原有文件一样。黑客一般会使用rcp 传递这些文件,以便不留下FTP记录。
一旦确认自己是安全的,黑客就开始侵袭公司的整个内部网
7.窃取网络资源和特权
黑客找到攻击目标后,会继续下一步的攻击,步骤如下:
(1)下载敏感信息
如果黑客的目的是从某机构内部的FTP或WWW服务器上下载敏感信息,他可以利用已经被侵入的某台外部主机轻而易举地得到这些资料。
(2)攻击其他被信任的主机和网络
大多数的黑客仅仅为了探测内部网上的主机并取得控制权,只有那些"雄心勃勃"的黑客,为了控制整个网络才会安装特洛伊木马和后门程序,并清除记录。 那些希望从关键服务器上下载数据的黑客,常常不会满足于以一种方式进入关键服务器。他们会费尽心机找出被关键服务器信任的主机,安排好几条备用通道。
(3)安装sniffers
在内部网上,黑客要想迅速获得大量的账号(包括用户名和密码),最为有效的手段是使用"sniffer" 程序。
黑客会使用上面各节提到的方法,获得系统的控制权并留下再次侵入的后门,以保证sniffer能够执行。
(4)瘫痪网络
如果黑客已经侵入了运行数据库、网络操作系统等关键应用程序的服务器,使网络瘫痪一段时间是轻而易举的事。
如果黑客已经进入了公司的内部网,他可以利用许多路由器的弱点重新启动、甚至关闭路由器。如果他们能够找到最关键的几个路由器的漏洞,则可以使公司的网络彻底瘫痪一段时间
我是学信息安全专业的,请问那个渗透和逆向是什么呀?请大家解释一下,谢谢!
渗透就是模拟黑客攻击,好找寻漏洞修补加固安全系统。
逆向,有的人也叫反求工程。大意是根据已有的东西和结果,通过分析来推导出具体的实现方法。比如你看到别人写的某个exe程序能够做出某种漂亮的动画效果,你通过反汇编、反编译和动态跟踪等方法,分析出其动画效果的实现过程,这种行为就是逆向工程;不仅仅是反编译,而且还要推倒出设计,并且文档化,逆向软件工程的目的是使软件得以维护。
逆向工程是怎么实现的?能举例吗?
逆向工程(又名反向工程,Reverse Engineering-RE)是对产品设计过程的一种描述。在2007年初,我国相关的法律为逆向工程正名,承认了逆向技术用于学习研究的合法性。
在工程技术人员的一般概念中,产品设计过程是一个从设计到产品的过程,即设计人员首先在大脑中构思产品的外形、性能和大致的技术参数等,然后在详细设计阶段完成各类数据模型,最终将这个模型转入到研发流程中,完成产品的整个设计研发周期。这样的产品设计过程我们称为“正向设计”过程。逆向工程产品设计可以认为是一个从产品到设计的过程。简单地说,逆向工程产品设计就是根据已经存在的产品,反向推出产品设计数据(包括各类设计图或数据模型)的过程。从这个意义上说,逆向工程在工业设计中的应用已经很久了。比如早期的船舶工业中常用的船体放样设计就是逆向工程的很好实例。
随着计算机技术在各个领域的广泛应用,特别是软件开发技术的迅猛发展,基于某个软件,以反汇编阅读源码的方式去推断其数据结构、体系结构和程序设计信息成为软件逆向工程技术关注的主要对象。软件逆向技术的目的是用来研究和学习先进的技术,特别是当手里没有合适的文档资料,而你又很需要实现某个软件的功能的时候。也正因为这样,很多软件为了垄断技术,在软件安装之前,要求用户同意不去逆向研究。
逆向工程的实施过程是多领域、多学科的协同过程。
黑客与逆向工程师的Python编程之道的简介
python有很多逆向用的模块,pefile。
python有强大的开源爬虫,这是黑客必备。
而且还有强大的数据库漏洞扫描程序sqlmap。
建议你深入学习。
防黑客有什么好的方法?
据北斗教育介绍:加密“,是一种限制对网络上传输数据的访问权的技术。原始数据(也称为明文,plaintext)被加密设备(硬件或软件)和密钥加密而产生的经过编码的数据称为密文(ciphertext)。将密文还原为原始明文的过程称为解密,它是加密的反向处理,但解密者必须利用相同类型的加密设备和密钥对密文进行解密。
数据加密是确保计算机网络安全的一种重要机制,虽然由于成本、技术和管理上的复杂性等原因,目前尚未在网络中普及,但数据加密的确是实现分布式系统和网络环境下数据安全的重要手段之一。
加密的基本功能包括:
1. 防止不速之客查看机密的数据文件;
2. 防止机密数据被泄露或篡改;
3. 防止特权用户(如系统管理员)查看私人数据文件;
4. 使入侵者不能轻易地查找一个系统的文件。
当新的软件威胁被发现时,逆向工程师会深入到代码以找出检测攻击的方法,识别该代码及其作者,并发现恶意软件背后的目的。
逆向检测恶意程序的数字侦探与创建恶意软件的开发人员斗智斗勇,在这场猫捉老鼠的游戏中,逆向工程师可以很容易地找到恶意软件的副本来破解和分析,而攻击者则制造各种障碍来减慢分析师的工作。攻击者制造的主要障碍是加密和混淆。
网络安全公司Arbor Networks的研究分析师Jeff Edwards表示,在不太遥远的过去,恶意软件中的加密反映了程序作者的勃勃野心。而现在,几乎所有恶意软件都使用了某种加密,大约有三分之二的僵尸网络使用加密通信来混淆他们的活动。
“他们在提高其加密技术方面有一个渐进发展的趋势,”Edward表示,“这一切都取决于僵尸网络操作者和编写者是否感到需要往前发展的压力。”
在Rustock和Kelihos僵尸网络被撤除后,控制这些僵尸网络的地下操作者可能感觉到前所未有的压力,他们需要在更大程度上隐藏其活动。此外,随着恶意软件开发人员变得越来越有经验,他们经常采用更复杂和更好的加密技术。
例如,Black Energy僵尸软件最初使用一种基本的加密技术来使其可执行文件不被杀毒软件察觉,并使用Base64编码来扰乱其通信。这两个都很容易被逆向工程。然而,最新版本的Black Energy使用了更强大的RC4流加密的一个变种(事实证明存在一些缺陷)来编码其通信。
Arbor Networks对用于拒绝服务攻击的四个主要僵尸程序的加密进行了分析,分析发现了多种加密方法,从自定义替换算法到RC4流加密(安全套接字层使用的加密方法)等。在一个分析中,Arbor研究了Dark Comet远程访问木马,该木马使用RC4来加密其通信,并使用其他有趣的技术来混淆加密密钥。
“恶意软件从最开始的没有加密发展到现在强大的加密技术,”Edward表示,“RC4是目前最流行的一种加密方法,或者RC4的变种,它是一个标准,很好理解,而且很安全。”
卡巴斯基实验室高级安全研究员Kurt Baumgartner表示,僵尸网络的加密发展很缓慢,五年前,Sinowal或者Torpig木马使用XTEA区块密码的修改版本来加密其配置数据。自2008年年底以来,Waledac和Kelihos或者Hlux僵尸网络使用AES混合其他编码和压缩来混淆他们的代码和通信。
“在过去几年中,我们看到恶意软件陆陆续续开始使用加密技术,”Baumgartner表示,“这些家伙不会放弃的。”
奇怪的是,研究人员发现有时候恶意软件只是使用简单的混淆。虽然来自俄罗斯和欧洲的恶意软件逐渐开始采用更好的加密方法,而来自某些国家的网络犯罪分子仍然使用简单的方法,有时候甚至不采用混淆。很多被认为是高级持续性威胁的攻击避免使用加密方法,而是用其他类型的混淆。
“我们看到在他们的恶意软件工具包中有各种奇怪的经过修改的编码方法和压缩方法,并不是复杂的加密方法,”Baumgartner表示,“似乎他们是在努力保持在雷达下飞行。”
加密数据通常容易被检测,但不能被解密。自定义加密或者混淆隐藏数据可能不太安全,但是能够更有效地避开安全工具,例如防病毒检测。希望能够帮助到你。望采纳。
ZoneAlarm怎么 用
zonealarm设置全攻略
易于使用但功能强大的ZoneAlarm是一个集成5种安全服务技术的个人防火墙软件,它把防火墙、应用程序控制、Internet锁定、动态安全级别及域分配有机地整结在一起。
易于使用是ZoneAlarm一贯的特点,虽然对中国人来说英文界面看起来不舒服,但是,ZoneAlarm使用方法如此简单,即使是刚刚出道的新手也能够很容易得就掌握它的使用。功能强大是ZoneAlarm的另一个特点,ZoneAlarm不再是一个简单的网络防火墙,而是一款综合防火墙软件。除了防火墙外,它还包括一些个人隐私保护工具以及弹出广告屏蔽工具,同时还具有一个高级邮件监视器,它将会监视每一个有可能是由于病毒导致的可疑行为,如果你是家长不希望孩子浏览暴力网站,它具备网页过滤功能,另外,它还将会对网络入侵者的行动进行汇报。新版ZoneAlarm Pro 5.0.556.003 Beta增强了AlertAdvisor,具有自动的策略建议;更新了反病毒监测(Antivirus Monitoring); 全新的警报查看器功能。ZoneAlarm支持在线智能升级和人工升级。ZoneAlarm还有网关管理功能,通过专家级的规则制定,它能够让高级用户自由控制上网资源。专家级的规则制定功能也存在于其它防火墙中,但是,ZoneAlarm专家级的规则制定功能更强大,体现在可以对组操作(避免重复操作)、间控制和可以控制到MAC级别,这正是网管需要的功能,好戏在后面。
一、安装与界面
目前可以看到的ZoneAlarm版本有多个:ZoneAlarm Pro 、 ZoneAlarm Plus 、 ZoneAlarm 和ZoneAlarm with Antivirus等,笔者使用的是ZoneAlarm Pro with Web Filtering版。它们对系统的要求很低,Windows 98SE/Me/2000/XP, 233 MHz Pentium or higher, 10MB of available hard disk space, Internet access. Minimum system RAM: 48MB (98SE/ME), 64MB (2000 Pro), 128MB (XP)就足够了,无论全新安装还是升级安装都能轻松完成。与其它软件不同,ZoneAlarm Pro 4.5以后的版本为你提供了一项选择:你可以选择下载免费的ZoneAlarm 4.5,并且以后再也不会被产品购买提示所打扰,也可以选择ZoneAlarm Pro有效期为30天的免费试用版。在30天的免费试用期满后,如果你还是决定暂时不支付50美元来购买ZoneAlarm Pro,则该软件会自动转变成ZoneAlarm 4.5,无需任何重新安装的操作,你也不会看到任何变成灰色而无法使用的功能。无论你选择哪一个版本,在软件的安装过程中,ZoneAlarm都会提供有一个无需你做太多思考的向导,它会询问你几个简单的问题,并带领你完成所有的配置。对于大多数用户来说,最为适合的也许就是一路点击“下一步”,使用该软件的默认配置来为自己的计算机提供安全保护。而且,在任何时候你都可以对这些配置随意的进行修改。
ZoneAlarm的主界面是那种漂亮、同时对任何人来说都足够简单的外观。这种设计看起来和Windows XP极其相似,导航条标签位于屏幕的左侧,当你点击它们的时候会详细的显示出每一项设置的内容(如图1)。
图 1
导航条中包括ZoneAlarm的主要功能:
Overview .................常规状态
Firewall................. 防火墙保护网络安全
Program control.......... 应用程序控制
Antivirus monitoring..... 反病毒监测
E-mail protection ........高级邮件管理
Privacy ..................保护隐私信息
Web Filtering............ 网页过滤
ID Lock.................. 逆向追踪黑客的来源
Alerts and Logs.......... 警报和日志查看器
最小化窗口dashboard
点击“缩放”按纽可以将整个窗口最小化,只显示出“停止”和“锁定”键(图2),它们分别可以用来屏蔽一切网络连接和取消保护。“停止”是相对一切网络通讯而言的,比如遭网络(冲击波/高波病毒等)攻击时使用它屏蔽一切网络连接;“锁定”功能是对应用程序而言,被标记为信任的应用程序仍然可以通讯,而其它应用程序的通讯被中断,笔者使用VNC远程控制连接就要用到这个功能,把VNC标记为可信任服务就可以了,总的来说,这个软件的外观体现了简洁又漂亮的特点。 dashboard中间显示的是当前可用的网络连接,比如有2块网卡分别连接2个不同的网络,当鼠标指向网络仪表板上相应的网络参数就显示出来了。
二、强劲功能逐个数
ZoneAlarm Pro 的核心部分,还是它的个人防火墙,它能够确保任何入侵者都无法通过互联网进入到你的计算机中。同时还具有一个能够捕捉到可能会群发邮件的病毒或者蠕虫的电子邮件监视器、一个cookie管理器、一个弹出或者广告屏蔽器,以及一个ActiveX和JavaScript防御工具。
常规设置(Overview):
ZoneAlarm的Overview能够很快的让你了解到最近所遭受到的入侵攻击,包括一些常规详细和设置。
版本信息和自动升级
Overview中的product info显示当前的版本信息和版权信息,如果Licensing中显示还有XX天,你注意要及时注册呀,如果不是最新的版本可以通过Overview菜单-preference(参数)选项卡-check for updates(检查最新版本信息)来设置自动更新或手工更新。
开机自动运行
在安装中,ZoneAlarm 能够进行自我配置,以便能够与你默认的浏览器相兼容。默认设置下次开机时ZoneAlarm 自动运行,ZoneAlarm 占资源不大,这样的设置保证了计算机开机后立即得到保护,如果要关闭开机自动运行,在Overview菜单-preference(参数)选项卡-general(常规)中取消选择“Load Zone Labs security software at startup ”就可以了。
密码保护和参数备份
密码保护用来保护ZoneAlarm 不被意外停止和恶意修改参数,在Overview菜单-preference(参数)选项卡-password中点击set password设置保护密码(如图3)。
参数备份是备份系统自我配置和用户配置的参数,一般来说由于不同的计算机网络和应用环境差别很大,不同用户的参数设置不同,不能互用。备份时点击Overview菜单-preference(参数)选项卡-Backing up and restoring security settings 中的backup/Restore完成备份/恢复,是一个XML文件。
图 3
防火墙保护(Firewall)
功能介绍
ZoneAlarm 的防火墙(图4)具有三个安全级别(高、中和低),并将其安全分成三个区域(锁定、本地和 Internet)。ZoneAlarm创造了域的管理方式,使得用户管理更简单:把对象简单的分为3个域,可以信赖的对象组成的域---Trusted Zone 、绝对不可以信任的对象组成的域--Blocked Zone 和不能确定是否能信赖的对象组成的域--Internet Zone。域的对象可以是一个网段,一个主机,一个网址等。
图 4
对所有的 Internet 活动,Zone Lab 推荐使用“高”安全级别设置,这样的设置将锁定每一活动,直到您作出明确授权为止。这是 ZoneAlarm 仍未能用于批量安装的原因之一,因为每一安装都不得不这样做。ZoneAlarm 也使用秘密模式,这种模式对端口状态请求(如端口扫描期间遇到的请求)不做出响应,将已授权程序没有使用的所有端口隐藏起来。
安全设置“中”最好留给本地(Trusted Zone)使用,此设置实施用户设置的所有应用程序特权,但允许本地网络访问 Windows 服务、共享文件和驱动器。用户必须定义在本地区域中允许使用的资源。这些资源可以包括机器自己的适配器(用于循环回路和其他服务)以及其他计算机。幸运的是有了域的分配,您不必为每台计算机输入 IP 地址,因为 ZoneAlarm 允许您输入主机/网站名称、单一 IP 地址、范围或子网归于域。最后,如果您在网络内部运行服务器,则安全设置“低”为最好的选择(图5)。此情况下最有可能的安装将是基于硬件的防火墙后的文件和打印服务器的安装。
图 5
操作步骤:
在FireWall功能页面下,我们可以通过“add”按钮来将指定的计算机或者网络设置为信任主机或者受保护的区域(图6),例如将那些需要进行共享的计算机或者我们进行需要使用ping命令来测试的计算机设置为信任主机时,单击“add”按钮,然后再选择是通过“Add ip address”命令添加指定的主机IP地址还是通过“Add ip range”命令添加局域网中的ip地址范围,或者是添加子网掩码,让ZoneAlarm把局域网和Internet分开来管理。如果要取消信任主机或者受保护的网络区域,只要先在该界面的列表上选中指定目标,再单击一下“remove”按钮就可以了,如果要对这些内容进行编辑,只要单击edit按钮就行了,设置好后单击“apply”按钮就开始生效了。
图 6
用户要做的就是编辑域成员和设置域的安全级别,域成员角色的转换也很方便,域安全级别的设置对所有域成员都起作用,真是太方便了。 内外有别保护不同网段
ZoneAlarm其核心的个人防火墙可以保护您的电脑不受互联网上非法用户的入侵,同时还能够自动检测局域网络的设置,确保来自内部网络的通信不受影响。比如,你上互联网的同时还有一个办公网,内部需要交流文件或打印共享,可以把内部网络归为Trusted Zone域而把互联网归到Internet Zone域,ZoneAlarm对不同的域实施不同的防火墙规则,这样上网办公两不误,而且都受到防火墙的保护。
用域对付恶意网站
把恶意网站的网址输入Blocked Zone就可以达到不能访问恶意网站的目的(图7),网上关于恶意网站的网址很多,都归于Blocked Zone域,你感染恶意网页的机会就小多了,如果已经感染恶意网页,也可以把它归于Blocked Zone域,隔离断了它的后路,然后清除。用域封已经感染的恶意网页的方法是:
Firewall|Zones|Add|Host/Site(...)|Blocked|OK。增添对话框设置如图8,其中ZONE(域类型)、Host name(恶意网址)、Description(描述)。
图 8
拒绝内部恶意网络攻击
如今的病毒太可恶,如果内部网络有一台计算机感染病毒,其它计算机就有被感染的可能,防火墙虽然可以阻挡已知的网络攻击,但是对新病毒的攻击未必有效,通过分析ZoneAlarm的日志可以确定是谁攻击你,把它的IP(或者它所在的IP段)指定为Blocked Zone域,接上网线,你的正常工作可以继续做而不用担心被感染了。
应用程序控制(Program control)
应用程序控制包括应用程序管理、自动的策略建议和自动锁定功能。
功能介绍
对应用程序控制有4个安全级别,分别对应应用程序(Program)和组件(components) 的进行管理,设置为“低”级别时应用程序和组件可以直接访问网络;“中”级别适合应用程序需要确认才能访问网络,组件可以直接访问网络的情况;而“高”级别对应用程序和组件都需要确认才可以访问网络。自动的策略建议也是很实用的功能,用应用程图访问网络时,它会给出策略建议。如果您选中“Automatic Lock”(自动锁定)中的ON选项,那么你可以在指定时间或屏幕保护时锁定网络。
操作方法
如果Zone Alarm 在运行过程中碰到一个新程序需要和网络连接的话,它就会跳出一个确认对话框,问你是否允许该程序访问网络。选择允许或不允许后可以到Program control-Program 中设权限(图9)。应用程序的权限包括访问权限和服务权限,访问权限和服务权限含义是不同的,对外而言,访问权限(Access Permissions)是控制是否可以主动访问外部对象,服务权限(Server Permissions)是控制是否允许开启服务端口提供外人连接,区别是发起连接的对象个别是自己和对方。
该设置界面列出了所有可能访问Internet 的程序,并且提供程序名、是否允许连接、是否允许使用服务器、是否允许通过锁定应用程序控制功能等控制信息;其中是否允许连接又分为对本地和Internet 的两种连接方式,绿色的“√”为允许连接而无须询问;红色的“×”为禁止连接;问号则是在每次出现连接企图时都会先提出询问。另外应用程序控制功能允许你决定哪个软件可以或者不能使用Internet ,可以确保欺骗程序(或者说是盗贼程序)不能发送你的敏感信息给那些不法分子。在这里,我们可以通过鼠标的右键功能,来选择是允许程序和网络连接、禁止和网络连接、询问后再连接等3种状态(图10)。
如果选中“Automatic Lock”(自动锁定)中的ON选项,弹出自动锁定对话框,其中第一个选项是用来设置在停止操作以后多长时间启动锁定功能,程序默认为10分钟;第二个选项确定是否在运行屏幕保护程序的时候启动锁定功能。下面还有两项设置内容;其中第一项是在锁定状态下是否允许一些仍然处于激活状态下的程序如Email程序保持与INTERNET的联系,例如检查是否有新的邮件到来;第二项是停止所有的与INTERNET相关的操作,单击“Stop”按纽可以在锁定和解锁状态之间切换。
图 10
PASS LOCK(激活)的设置方法(图11):
图 11
组件控制可能是其它防火墙所没有的功能(图12),它将禁止一个程序去控制另外一个应用程序的能力。因为某个程序可能利用了了一个称为DLL(动态链结库)的程序的可再度使用部分,使得因特网浏览器让程序发送数据。只有在高级安全模式才启用组件控制功能。
图 12
其它功能介绍
反病毒监测(Antivirus monitoring) 不是网络防火墙的强项,但是病毒和防火墙的关系越来越亲密,有了用户的需要,ZoneAlarm就有了反病毒功能,如果安装的是ZoneAlarm with Antivirus 那么就具备了反病毒功能(图13),笔者安装的是Norton Antivirus 2004,ZoneAlarm 依然可以实现反病毒监测功能。
高级邮件管理(E-mail protection) 通过电子邮件传播病毒已经是一个严重的网络问题,ZoneAlarm包含一个邮件监视器,它能够对所有接受的和发出的电子邮件都进行监控,以便于能够及时制止那些群发邮件病毒的可疑行为(以前的版本只能够对所受到的邮件进行监控)。在侦测到有病毒在进行自我复制后开始向外群发邮件时,它会自动关闭掉你的电子邮件客户端。MailSafe功能扫描所有电子邮件中出现的 Visual Basic 脚本附件(如臭名昭著的 ILOVEYOU“我爱您”病毒)。如果发现此类附件,MailSafe 会将其隔离,并在您试图运行该附件时发出警告。尽管在默认情况下MailSafe 处于活动状态,但可以通过安全面板禁用它(图14)。
保护隐私信息(Privacy protection) ZoneAlarm具备智能管理Cookie能力,Cookie是网站保存到用户硬盘,记录用户冲浪和购买习惯的文本文件。这些数据一般用于根据您的网上习惯有针对性地给您发广告,通常是无害的。但是这些数据可能会落入不怀好意的人之手,因此,您也许要考虑一下使用Cookie管理工具了。 像Cookie Crushera这样的程序能让您自己控制哪个网站可保存Cookie。
图 14
ZoneAlarm广告拦(AD BLOCKING)截能力也是很强的,启用AD BLOCKING后,网站的广告基本上都被成功拦截了,而在安装防火墙以前只有使用第三方软件才能达到广告拦截效果
图 15
ZoneAlarm具备拦截Java和ActiveX的能力(MobileCode)(图16)。具备破坏性的代码通过网页和电子邮件不断的被下载,而ZoneAlarm具备拦截Java和ActiveX的分析和拦截能力,保护的上网更安全。
图 16
一个缓冲区清理工具(CacheClean)(图17),它能够将保存在你计算机上的网络临时文件、浏览器历史纪录,以及cookie全都删掉,平时需要多个步骤才能完成的功能,现在点击鼠标就可以轻松完成了
图 17
逆向追踪黑客的来源(ID Lock) 在遭到攻击后,可以逆向追踪黑客的来源,另外,ZoneAlarm还新增加了一个汇报工具。以前,Hacker ID功能只能够在受到攻击后向你报告那些入侵者的地址(IP地址或者物理方位)(不用担心,在追踪任何可疑的入侵者的时候,ZoneAlarm会自动遮蔽掉你的IP地址)。不过现在,Zone Labs公司会自动收集这些追踪报告,并将它们发给相应的ISP厂商。不过好像用不上。
警报和日志查看器(Alerts and Logs)
弹出警报是用户和ZoneAlarm交流的方式,比如有新的应用程序需要访问网络就弹出警报(图18),如果关闭了警报功能,ZoneAlarm使用智能策略实施权限配置,以避免分散用户的注意力,简化用户配置难度。日志记录的是网络通信和应用程序通讯的过程,通过分析日志可以发现木马或受到的攻击极其来源以及应用程序访问网络的情况,而是否记录到日志可以通过面板设置。
图 18
网页过滤(Web Filtering) 网页中包括暴力色情等内容时(图19),Web Filtering过滤这些不健康的内容,用户要做的就是选择过滤哪些敏感内容,然后启动Web Filtering功能。
图19
专家级的规则设定
防火墙自定义规则并不是ZoneAlarm的“专利”,但是新版本中专家级的规则设定具有独特的功能(图20),突出特点表现在3个方面:定义组、时间控制和控制到数据链路层。到目前为止,控制到数据链路层只有ZoneAlarm可以作到。而且,ZoneAlarm可以工作在ICS/NAT的网关计算机上,针对内部计算机,ZoneAlarm根据设置决定是否对NAT数据包进行过滤,默认设置对所有本地数据包进行过滤,而对NAT转发的数据不做过滤,自定义规则可以针对外部和内部发起的通讯分别控制。
图 20
组的对象可以按照主机、协议和时间分类。主机类可以是HOST/SITE(网址)、IP(地址)、IP RANG(地址段)、SUBNET(子网)、TRUST ZONE(信赖域)、INTERNET ZONE(INTERNET域)、ANY(任意)、GATEWAY(物理地址)等,协议类对象包括TCP、UDP、TCPUDP、ICMP、IGMP、CUSTOM定制等,而对有相同时间要求的对象归于同一个时间组。把类功能要求相同的对象归与一组,显然减少了重复劳动,管理也更有条理。
时间控制功能对需要精确控制通讯时间的用户非常有用,比如所有IM是一个组,而这个组不能在上班时间使用IM及时通讯软件。而小朋友可以在星期天上网游戏或看动画片,其它时间禁止上网,这都可以用时间控制功能来实现。
对MAC的识别意味着可以捆绑IP和MAC,而MAC是网卡的身份证,允许或限制某台计算机使用上网资源也就不难了,这是其它防火墙不具备的功能,而这正是网管可能需要的东西(图21)。严厉的网管可以这样设置,屏蔽所有内部网络访问互联网的权限但允许使用内网资源,而对要求上网的用户设置IP和MAC捆绑并赋予访问外网的权限,即使有用户擅自修改IP或MAC也没用,而在一个LAN内部相同IP会报告IP冲突。
图 21
三、对比NIS(Norton Internet Security 2004)
ZoneAlarm可以在网络OSI模型中的上6层中工作,控制功能强大但是操作容易,充分体现了出一个优秀软件的特色。占用资源少也是NIS不能比拟的,特别是在配置较底的计算机上ZoneAlarm更显优势。
就专家级设定方式而言,NIS更早推出自定义规则功能,但是,ZoneAlarm软件十分体贴用户,独特的组的概念、时间控制和控制到数据链路层都体现了开发者的独具匠心,可以通过安全级别的选择简单配置防火墙规则,也可以通过高级选项详细设置各项功能。
ZoneAlarm 对应用程序的控制要比 NIS(Norton Internet Security) 更安全。对于 NIS 来说,如果一个网络访问匹配了系统范围的策略配置,将不再进行应用程序扫描和检查,如果配置了非常宽松的访问策略,恶意应用程序入木马将不能被发现;对于 ZoneAlarm 来说,也是先检查系统范围的策略配置,如果被策略拒绝,可以选择弹出警告或者忽略,如果策略允许通过,也要检查应用程序设置,如果没有相应的应用程序访问控制,则弹出配置对话框。显然ZoneAlarm的这种工作模式更加安全,当然也需要更多次的交互。
除了没有中文版本外,ZoneAlarm Pro没有多少毛病可挑。 ZoneAlarm已经注意到不同国家用户的使用需要,目前已经推出了德文、法语和日语的版本,说不定哪天就有中文的ZoneAlarm下载。
计算机被黑客攻击,如何反向追踪IP原始攻击地址?
如果在受攻击前,安装了网络侦测软件,那么在遭到攻击时可以直接显示黑客IP。除此之外,基本上就只能依靠防火墙了。
购买一个硬件防火墙并安装,如果遭到攻击,硬件防火墙不但会自动拦截,还可以查看连接日志找出对方IP。
软件防火墙现在大多也提供了在检测到遭到攻击时自动屏蔽网络连接、自动“隐身”的功能,并且自动给出对方IP。
不过需要注意的一点是,现在很多黑客都采用了动态/伪装IP来逃避追踪,因此追踪到IP之后一定要及时利用,可能片刻之后就会失效了。
黑客用肉鸡-肉鸡-再代理IP入侵,这样能追踪到真实IP吗?
这个问题的答案市多样性的 如果追踪那个黑客的人是个高手的话 不管多少肉鸡作为跳板 只要及时的逆向追踪还是可以查到的 。当然如果发起攻击的那个黑客技术很高 而追踪的那个人技术不行那就不行了 聪明的黑客不容易被抓到 因为他们可以在智商上面压制你 。。。