當(dāng)前位置:工程項(xiàng)目OA系統(tǒng) > OA系統(tǒng)企業(yè)版 > 相關(guān)軟件 > 上網(wǎng)行為管理軟件
IT運(yùn)維管理經(jīng)驗(yàn):如何防止黑客入侵之攻擊
考慮到和口令/密碼相關(guān)的內(nèi)容較多,本文分兩部分來說:今天首先揭露攻擊者的種種伎倆;以后的文章再詳述應(yīng)對的措施。
★使用密碼的場合(密碼的類型)
為了便于后面的敘述,俺有必要先總結(jié)一下,使用口令的幾種場合。
針對這幾種不同的場合,攻擊者會采取不同的攻擊手法;因此,大伙兒也要采取針對性的防范手法。
◇操作系統(tǒng)用戶的口令
這種場合應(yīng)該好理解。目前主流的操作系統(tǒng)都具有口令驗(yàn)證的用戶登錄機(jī)制。
◇各種網(wǎng)絡(luò)應(yīng)用的口令
隨著網(wǎng)絡(luò)(尤其是Web)的普及,這種場合越來越多。比如:Email、即時通訊(IM)、BBS、上網(wǎng)炒股等,都需要有用戶口令認(rèn)證。
◇各種本地應(yīng)用程序的口令
此種場合可能不如網(wǎng)絡(luò)應(yīng)用的口令那么常見。比如:用口令加密的壓縮文件、用口令加密的Office文檔、PGP密鑰的口令、Outlook設(shè)置的啟動口令等。
◇其它
除了上述3種類型,其它那些比較少見、雜七雜八的,統(tǒng)統(tǒng)歸為其它。比如:BIOS的開機(jī)口令。
★攻擊者如何通過技術(shù)手段搞定的你的密碼?
前面列舉了密碼的不同使用場合。接著咱要介紹一下:攻擊者會利用哪些技術(shù)手段,攻破你的密碼。
◇木馬盜取
如果你的電腦已經(jīng)被攻擊者安裝了木馬,那你的一舉一動有可能都會被監(jiān)視。在這種情況下,你在這臺電腦上輸入的任何密碼,都將會被攻擊者獲取。所以,這種情況是很危險(xiǎn)滴——不管是哪種類型的密碼,都可能被盜。
至于如何防止自己的計(jì)算機(jī)被植入木馬,不是本文的重點(diǎn)。在本系列后續(xù)的文章中將會專門介紹木馬的防范。
◇弱密碼猜解
所謂的“弱密碼猜解”,就是說:如果你的密碼比較弱,攻擊者可以猜出來。這種攻擊手法,對于操作系統(tǒng)用戶口令、網(wǎng)絡(luò)應(yīng)用口令、本地應(yīng)用口令,都適用。而且攻擊者在盜取口令的時候,通常會先嘗試進(jìn)行弱口令猜測。為什么?因?yàn)榇蟛糠钟脩舳疾惶哂邪踩庾R,口令都會比較簡單(比較弱)。并且,根據(jù)二八原理 ,絕大多數(shù)的傻瓜用戶會使用極少數(shù)的弱口令。所以,攻擊者先把最流行的那些個弱口令挨個試驗(yàn)一遍,沒準(zhǔn)就已經(jīng)成功了。
為了讓大伙明白弱口令的嚴(yán)重程度,來看看2009年底的“一個案例 ”。
話說國外一個小有名氣的交友網(wǎng)站(RockYou)被黑客攻破。里面大約3260萬用戶數(shù)據(jù)被盜。更加杯具的是,RockYou采用明文方式存儲用戶的口令。因此,這3260萬用戶的口令也統(tǒng)統(tǒng)暴露鳥。后來有好事者把被盜的用戶口令拿來分析一番。結(jié)果發(fā)現(xiàn),有相當(dāng)多的用戶在使用一些極其弱智的口令。
用的最多的TOP 10分別是:
1、123456
2、12345
3、123456789
4、password
5、iloveyou
6、princess
7、rockyou
8、1234567
9、12345678
10、abc123
據(jù)說名列第一的口令(123456)有30萬人使用,真是不看不知道,一看嚇一跳啊!
◇暴力破解
除了對弱密碼進(jìn)行猜解,攻擊者還可以通過窮舉的的方式,破解中等強(qiáng)度的密碼。所謂的窮舉法,就是把所有可能的字母/數(shù)字的組合都試驗(yàn)一遍,直到找到正確的密碼。
現(xiàn)在CPU的計(jì)算能力日新月異,尤其是多核CPU普及之后,暴力破解的效果會越來越好。除非你的密碼很強(qiáng),才能徹底消除暴力的風(fēng)險(xiǎn)。
由于這種攻擊手法,需要進(jìn)行成千上萬次的試錯,所以比較適合針對本地應(yīng)用的口令(比如破解加密的壓縮文件),而不太適合對網(wǎng)絡(luò)應(yīng)用進(jìn)行在線口令破解。
在下一個帖子,俺會介紹,如何構(gòu)造強(qiáng)度較高的密碼。
◇網(wǎng)絡(luò)傳輸截獲(嗅探)
在這種方式下,攻擊者會通過嗅探 的方式,分析你的上網(wǎng)數(shù)據(jù)。如果你在上網(wǎng)過程中,存在明文傳輸?shù)目诹?,就會被截獲。
非安全專業(yè)的網(wǎng)友,可能不太明白什么是“嗅探”,俺來稍微解釋一下。攻擊者會利用某些嗅探軟件,收集網(wǎng)絡(luò)上傳輸?shù)乃袛?shù)據(jù)。這個過程好比電話竊聽。嗅探軟件類似于竊聽器;你的上網(wǎng)數(shù)據(jù)類似于電話的通話內(nèi)容。
這幾年,隨著現(xiàn)在上網(wǎng)行為管理系統(tǒng)(Wi-Fi)的普及,網(wǎng)絡(luò)嗅探的風(fēng)險(xiǎn)大大增加,列位看官切不可掉以輕心哦。
◇客戶端截獲
所謂“客戶端截獲”,通常是針對網(wǎng)絡(luò)應(yīng)用的口令而言。舉幾個例子。
例1:
很多網(wǎng)友上網(wǎng)時,為了免去輸入口令的麻煩,會讓瀏覽器幫忙記住口令。通常瀏覽器會把這些口令保存在某個文件中(可能以明文方式,也可能以密文方式)。如果某天你的電腦中了木馬,那么木馬程序有可能會盜走這個保存口令的文件。然后攻擊者就可以通過分析該文件,破解出你保存過的所有網(wǎng)絡(luò)應(yīng)用的口令。
例2:
如果你是軟件公司的開發(fā)人員,多半你會使用某種源代碼版本管理工具(比如SVN、CVS、等)。為了免去每次操作時輸入口令的麻煩。通常開發(fā)人員會讓這些客戶端軟件記住用戶名和口令。如果哪天你中了木馬或者電腦被盜,那么攻擊者同樣可以破解你保存下來的口令,進(jìn)而用你的身份盜取源代碼。
◇服務(wù)端截獲
和“客戶端截獲”方式相對的,還有“服務(wù)端截獲”。具體是啥意思捏?俺來解釋一下。
凡是利用口令進(jìn)行驗(yàn)證的軟件系統(tǒng),都需要存儲和口令相關(guān)的信息。否則的話,軟件系統(tǒng)就無法驗(yàn)證用戶輸入的口令,到底是不是正確的。如果攻擊者能夠拿到這些口令的關(guān)聯(lián)信息,那他/她就有可能分析出口令是啥。
(如果你不是搞上網(wǎng)行為專業(yè)的,下面這段可能看不太明白)
通常用三種方式來存儲口令的關(guān)聯(lián)信息:1、存儲口令的明文;2、存儲口令經(jīng)過加密后的密文;3、存儲口令的散列值。第一種方式是最土鱉的,稍微先進(jìn)一些的系統(tǒng),都不會用了。后面兩種方式,雖然看不到明文,但是攻擊者還是有辦法通過相應(yīng)的算法,反推出口令的明文。具體細(xì)節(jié),本文就不再多說了。
那攻擊者如何獲得存儲在軟件系統(tǒng)的口令關(guān)聯(lián)信息捏?其實(shí)前面提到的RockYou網(wǎng)站的杯具,就是一個很好的例子。俺再舉另一個例子。
比如:某個Linux/Unix服務(wù)器存在安全漏洞,攻擊者利用此漏洞搞到了“/etc/shadow”文件。那么攻擊者就可以采用上述提到的暴力破解的招數(shù),攻破該服務(wù)器上所有強(qiáng)度較弱的口令。
★攻擊者如何通過“非技術(shù)”手段搞定的你的密碼?
說完了技術(shù)手段,自然就得再說說非 技術(shù)手段。所謂的非技術(shù)手法,也就是社會工程學(xué)手法 。用于盜取密碼的社會工程學(xué)手法,大概有如下幾種。
◇偷窺
偷窺是最簡單的一種社會工程學(xué)攻擊手法。雖然簡單,但是有效。比如很多盜取銀行卡的家伙,就是偷窺的手法,得到被害人的銀行卡密碼。
◇釣魚
另外一個騙取口令的方式,就是通過網(wǎng)絡(luò)釣魚。比如某些攻擊者,會偽造一個銀行的網(wǎng)站。其界面和真實(shí)的網(wǎng)站一模一樣。然后通過某種方式(比如:虛假鏈接、欺詐郵件、DNS欺騙、等),引誘你到這個網(wǎng)站上。由于假網(wǎng)站和真網(wǎng)站的界面很像,你可能信以為真,然后在假網(wǎng)站中輸入你的用戶名和密碼。
有些高明的釣魚網(wǎng)站,會采用類似Web代理的技巧:把你的所有輸入操作,轉(zhuǎn)而提交給真網(wǎng)站;然后把真網(wǎng)站輸出的界面,再轉(zhuǎn)回給受害者看。這樣的話,受害者就跟在真實(shí)網(wǎng)站進(jìn)行插作,沒啥區(qū)別,不易看出破綻。
◇分析
如果攻擊者對你比較了解,那么他有可能通過深入的分析,攻破你的口令防護(hù)。是不是覺得很神奇?很匪夷所思?其實(shí)這種招數(shù)很常見,且不算太難。俺來舉個例子。
相信很多網(wǎng)友都用過電子郵箱的找回口令功能。當(dāng)你口令遺忘之后,可以通過回答事先預(yù)設(shè)的問題,來找回口令。很多不太專業(yè)的用戶,預(yù)設(shè)的問題都很簡單(比如:你的手機(jī)號是多少?比如:你的生日是哪天?)。對于這類過于簡單的問題,攻擊者可以很容易地找到答案,從而竊取到你的郵箱口令。
◇欺騙
最近幾年,通過電話詐騙,騙取銀行卡密碼的案例越來越多。這種作案手法,就屬于社會工程學(xué)中,“欺騙”的范疇。其實(shí)在上網(wǎng)行為領(lǐng)域,某些黑客也會利用這種手法來獲取口令。
★結(jié)尾
介紹到這里,列位看官對黑客盜取口令的手法,應(yīng)該有一個初步的認(rèn)識了。本系列以后的文章將會具體介紹如何構(gòu)造安全的口令/密碼 。
【推薦閱讀】
◆網(wǎng)管軟件專區(qū)
◆網(wǎng)絡(luò)管理維護(hù)技巧:實(shí)現(xiàn)VLAN環(huán)境下DHCP服務(wù)
◆網(wǎng)管員技巧:學(xué)會限制路由器多臺電腦上網(wǎng)
◆網(wǎng)絡(luò)管理維護(hù)技巧:路由器故障排除技巧
◆上網(wǎng)行為運(yùn)維管理專區(qū)
本文來自互聯(lián)網(wǎng),僅供參考- 1店鋪管理軟件
- 2工廠管理軟件
- 3服裝庫存管理軟件
- 4銷售管理軟件
- 5電腦銷售管理軟件
- 6預(yù)算管理軟件
- 7人員管理軟件
- 8檔案管理軟件
- 9公司管理軟件
- 10企業(yè)管理軟件
- 11中小企業(yè)管理軟件
- 12日程管理軟件
- 1IT系統(tǒng)管理的終極規(guī)章化
- 2網(wǎng)絡(luò)管理員知識:服務(wù)器機(jī)房維護(hù)與管理詳談
- 3IT運(yùn)維管理的發(fā)展趨勢之自動化運(yùn)維
- 4上網(wǎng)行為管理系統(tǒng):超六類網(wǎng)線的四種阻燃等級
- 5上網(wǎng)行為管理系統(tǒng):PPTP、L2TP、IPSec、VPN的區(qū)別
- 6網(wǎng)絡(luò)管理基本知識:無線撥號路由器和無線路由器區(qū)別
- 7網(wǎng)絡(luò)運(yùn)維管理的好幫手:IIS日志
- 82013年網(wǎng)絡(luò)技術(shù)趨勢:網(wǎng)絡(luò)管理如何應(yīng)對云資源
- 9企業(yè)如何保證IT運(yùn)維安全
- 10EFF:開放無線路由器將解決安全短板
- 11IT運(yùn)維管理之妥善存儲大數(shù)據(jù)難題如何解決
- 122015年IT行業(yè)預(yù)測:網(wǎng)絡(luò)安全領(lǐng)軍五大“金主”
- 13網(wǎng)絡(luò)管理維護(hù)經(jīng)驗(yàn):建網(wǎng)是選擇服務(wù)器托管還是虛擬主機(jī)
- 14IT 運(yùn)維管理主要包括八個方面的管理內(nèi)容
- 152013年IT招聘市場10大趨勢 整體樂觀
- 16節(jié)能交換機(jī)和服務(wù)器真的是趨勢嗎?
- 17上網(wǎng)行為管理系統(tǒng):HTTP中Get與Post的區(qū)別
- 18IT運(yùn)維管理為何陷入人力成本困境?
- 19企業(yè)網(wǎng)絡(luò)管理技巧:五步管好局域網(wǎng)帶寬管理
- 20網(wǎng)管經(jīng)驗(yàn):寬帶路由器死機(jī)掉線原因分析
- 21網(wǎng)管必知:IP協(xié)議、ARP協(xié)議和RARP協(xié)議
- 22IT運(yùn)維管理維護(hù)技巧:門戶網(wǎng)站如何運(yùn)維
- 23IT運(yùn)維管理經(jīng)驗(yàn):如何防止黑客入侵之攻擊
- 24網(wǎng)管員經(jīng)驗(yàn):網(wǎng)管軟件常見漏洞
- 25IT運(yùn)維工作師需要什么樣的技能及素質(zhì)
- 26如何選擇數(shù)據(jù)中心基礎(chǔ)架構(gòu)管理工具?
- 27選擇ERP管理軟件的標(biāo)準(zhǔn)有哪些
- 28新興數(shù)據(jù)中心用什么樣的網(wǎng)絡(luò)結(jié)構(gòu)?
- 29教你優(yōu)化網(wǎng)絡(luò)連接技巧
- 30IT運(yùn)維管理者如何在DT時代玩轉(zhuǎn)數(shù)據(jù)分析
成都公司:成都市成華區(qū)建設(shè)南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓