中文摘要：

    随着网络应用的深入，网络安全问题日益突出。本文主要分析了黑客技术的基本原理与黑客的主要入侵手段，进而引出反黑客技术的实现方式。同时，结合个人计算机的使用，总结了个人反黑客的基本技巧。在最后，根据未来网络技术的发展方向，预测了未来黑客技术的存在方式，同时给出了在未来反黑客的可能技术措施。

关键字：

    黑客技术 反黑客技术 攻击 防范

正文：

    在网络安全问题日益深入人们生活的今天，如何掌握网络安全知识并应用这些知识来保护自己逐渐成为大众关心的话题。黑客问题已经成为网络安全问题中的重要部分，因而了解黑客技术与反黑客技术就成为增强人们网络安全意识的重要环节。这篇读书报告从介绍黑客入侵的基本原理与手段入手，阐明黑客技术对网络安全的危害，并结合个人在网络安全中的地位，介绍了个人防范黑客的基本技巧。在反黑客技术问题上，本文则从现在与未来两个方面进行了讨论，并提出了一些自己的观点。

    1、黑客技术产生的原因：

        （1）Internet的在安全上的固有弱点：ARPANet是Internet的前身，它是一个连接美国几个大学的网络，由于主要是一个学术网络，因而在安全问题上设计比较宽松。这就造成了Internet在内核上对安全性的考虑不足，虽经不断完善，但弱点依然存在。作者认为，当前网络安全中的许多问题正是由Internet的固有弱点引发的。

        （2）Internet所蕴藏的巨大利益：当今的Internet已经成为一个遍布地球的巨大网络。在它上面，承载着巨大的价值：电子商务、银行管理、股票交易……，也实现着许多人的梦想：网络创业、网络红人……，也展现着个人的价值。一个人如果能够对这个巨大网络上所流通的重要数据有哪怕一点点的控制权，他就可能获得巨大的利益，物质上的或者精神上的。例如，通过操纵他人银行帐户获利和通过入侵网站来证明个人能力或者发泄愤怒，都可以使个人得到相应的满足。作者认为，正是在这巨大利益的驱使下，黑客才如此繁盛，网络安全才显得如此脆弱。然而，这也从另一个角度为我们提供了解决或者缓解网络安全问题的方法：不是仅仅从网络技术上进行层层防御，而是从人们的价值取向上进行引导，从而淡化Internet的利益色彩。当然，管理人比管理机器更加复杂。虽然攻心为上，可是难以实现。于是，现阶段，我们对黑客的防御，仍然是主要在技术方面。

        （3）人均运算能力的日益增强：飞速发展的计算机技术正不断地将昔日超级计算机才具有的运算能力送至个人的手中。掌握了如此强大的运算能力，网络攻击容易了许多，于是黑客技术不断发展。

    2、黑客技术与反黑客技术的基本原理：

    黑客主要利用网络系统的脆弱性与操作系统的脆弱性来实现其攻击过程，而反黑客技术是在分析这些攻击过程的基础上，得出对网络系统的安全增强方式和操作系统的改进方法。

    3、黑客的组成人员：

    （1）以青少年为主体的“实力派”，他们以攻入计算机系统为挑战，并证明自己的技术。这些人经常被称为“偶然的破坏者”。

    （2）不满或者被解雇的雇员，他们熟知曾经工作过的公司计算机系统的弱点，因此比较容易实现成功攻击。他们通过属于“坚定的破坏者”。

    （3）极端危险的罪犯和工业间谍。

    4、黑客技术的主要实现方式：

    IP欺骗：

    在Internet上，存在许多“相互信任”的主机。“信任”是指从相互作用的一台主机登录到另一个主机上时，不需要进行口令验证。这种模式主要是为了管理主机的方便。IP欺骗的原理是入侵者首先使相互信任的主机中的一台不再接收到任何有效的网络数据，然后伪装成被屏蔽的主机，向信任它的另一台主机发送数据，从而获得对另一台主机的控制权。

        使其中一台主机被“屏蔽”的实现方式有多种，其中一种是“TCP SYN淹没”：在建立TCP连接时，服务器将向客户端发送SYN/ACK信号。但是，服务器可同时处理的SYN是有限的。一旦超过上限，服务器将停止响应新增请求，直至处理了已有的部分连接链路。黑客往往向被进攻目标的TCP端口发送大量SYN请求，这些请求的源地址是使用一个合法的但是虚假的IP地址。受攻击的主机往往是会向该IP地址发送响应，直至确信无法连接，而这个过程会使用大量的时间。在这段时间中，被攻击的主机就被“屏蔽”了。

       IP欺骗的防止：

            （1）抛弃基于地址的信任策略，迫使所有用户使用其它远程通信手段，如Telnet。

            （2）进行包过滤。如果主机所在网络是通过路由器接入Internet的，那么可以利用路由器来进行包过滤，使只有内部LAN可以使用信任关系，而内部LAN上的主机对于LAN以外的主机要慎重处理。

            （3）使用加密方法，在通信时要求加密传输和验证。

    网络监听：

    在Ethernet上，由于其基于总线的工作方式决定了每个数据包都可以被连接在同一总线上的所有网卡接收，因此，只需要在计算机中安装相应的软件，就可以实现监听。

       怎样阻止网络监听？

        网络监听无法阻止，但是我们可以采取方式来避免遭受重大损失。例如：

    （1）在传输敏感数据时使用加密。加密方式可以选用PGP、RSA、DES、IDEA、CAST、Skipjack、RC2/RC4、MD2/MD4/MD5。

    （2）使用安全拓扑结构。网络段应该考虑你的数据之间的信任关系上来设计，而不是硬件需要。当然，这通常会增加网络硬件成本。

    （3）作者认为，阻止Ethernet监听的另一可行方式是给网卡硬件加入安全规范，即网卡在处理总线数据时，将不属于自己应该接收的数据包直接丢弃，而不将其传给计算机内部总线，这样，单单通过在计算机上安装软件就无法实现监听了。

    端口扫描：

        对于黑客来说，端口就是入侵通道。端口扫描有手工与软件两种实现。手工实现可以综合运用Ping、Tracert、Rusers、Finger、Host等。软件实现则是使用扫描器，扫描器通过选用远程TCP/IP不同的端口的服务，可以搜集到许多关于目标主机的有用信息，从而为攻击提供参考。

        对于端口扫描的应对措施：作者认为，可以通过使用软件对计算机各个端口所接收数据包的行为进行分析，通过大量的分析得出总体判断，进而阻止所有有可疑行为的数据包，当然，这会占用不少的处理器时间。

    口令破解：

        用户在系统里有一个帐号，就是一个通入系统的门。

        （1）由于用户的密码的设置往往都是一些有意义的单词，或者干脆就是用户名本身，使得破解口令的尝试次数大为降低。

        （2）许多加密算法在选择密钥时，都是通过随机数算法产生的。但往往由于这个随机数算法并不是真正意义上的随机数，从而大大降低了这个随机性，从而为黑客解密提供了一些列的方便。

        （3）当前计算机的速度相当的快，而且，互联网的存在，使得协同进行解密的可能性大为增加。这样强的计算能力用到解密上，造成了破解的时间大为降低。

        防止口令被轻易破解的措施：尽量使用含有字母、数字的复杂口令，同时，尽量避免口令内容与用户相关。

    特洛伊木马：

        特洛伊木马是一个程序，它驻留在目标计算里。在目标计算机系统启动的时候，自动启动。然后在某一端口进行侦听。如果在该端口受到数据，对这些数据进行识别，然后按识别后的命令，在目标计算机上执行一些操作。比如窃取口令，拷贝或删除文件。特洛伊木马的一个特点是，它能巧妙地运行在目标计算机系统里，而不容易被发现。现在有许多这样的程序，如NetCat，Back Orifice，NetBus等等。

        木马的发现与清除：

        除了使用专用的木马清除软件外，我们还可以通过简单的方式尽早发现木马。例如，在Windows XP下，通过打开任务管理器，查看当前运行的进程，如果发现新增的不明进程，而自己又没有安装新的软件，这时，就应该好好地怀疑一下了。然而，高明的木马程序是不会这么容易被发现的。当然，还有其它手段，例如检查注册表。

        木马具体都做些什么呢？以NetBus为例，Netbus 1.6 版能实现一些相当危险的操作：黑客能够运行远程程序，进行屏幕抓图，在所侵入的计算机浏览器中打开URL，显示位图，进行服务器管理操作（如更改口令），甚至利用远端的麦克风录制一段声音。更可怕的是：它能在侵入的计算机上显示信息，向毫无戒心的用户提示输入口令，再把该口令返回到入侵者的屏幕上。Netbus还能关闭 Windows 系统，下载、上载或删除文件。

    缓冲区溢出及其攻击：

        缓冲区是内存中存放数据的地方。在程序试图将数据放到计算机内存中的某一位置，但没有足够空间时会发生缓冲区溢出。溢出的代码以汇编语言的形式放在计算机的内存当中，并有可能被执行。

        对策：造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数，而通常这些错误都是很难被发现的。作者认为，在编写程序的过程中谨慎考虑，细心安排，可以最大限度地减小造成缓冲区溢出的隐患。

    拒绝服务攻击：最早的拒绝服务攻击是电子邮件，一个用户在很短的时间内收到大量的电子邮件，从而造成该用户的电子邮件系统瘫痪。还有的拒绝服务攻击是使用大量主机同时访问目标主机，造成目标主机忙于应答，从而无法进行正常的服务。黑客实现这种攻击大多是首先在大量的主机上植入木马程序，并使这些程序在特定的时间同时运行，从而达到攻击目的。

        防范手段：通过防火墙等手段对木马程序进行检测和清除或阻止木马程序在未经授权的情况下访问网络。

    信息截取：黑客通过监视Internet流通的数据获取用户的敏感数据，如帐号、密码、电子邮件内容。

       为防范这些行为，加密被广泛应用。目前，有多种加密手段，来满足相应的应用。而作为最终用户，我们所要做的就是经常地使用加密手段来保护自己在Internet上传输的数据。

5、个人防范黑客的技巧：

    结合以上提到的黑客攻击的主要方式，再与个人计算机的使用相联系，我们不难得出个人防范黑客的技巧。下面仅仅就其中的几个细节加以介绍。

    系统管理员帐号的密码。

        系统管理员帐号是进入系统的一扇门。对于许多系统，例如Windows XP，在安装过程中会提示建立管理员帐户并设置密码。然而，许多用户为了方便，往往选择跳过，从而造成系统的一个管理员帐号无密码。而这个管理员帐号在通常状态下是看不到的。这无疑又给了黑客以可乘之机。给这个隐藏的帐号加上密码的一个直观方法是在系统启动时按住F8键，并选择进入安全模式，这时可看到原本隐藏的系统管理员帐号。给这个帐号加上密码，就又可以使自己的系统更加安全了。

    可移动磁盘的的自动运行常常给系统引入木马。

        当我们使用移动磁盘，如U盘去学校的打印部打印稿件后，U盘往往会被木马程序感染。感染的方式也很简单，无非是在U盘要目录下建立一个Autorun.inf文件，其内容指向一个木马程序。然而，这些文件往往是隐藏的，不易被发现。同时，由于我们使用的杀毒软件往往对木马程序不敏感，因此通常不会出现报警。这样，木马程序就十分轻易地进入了我们的系统。

    防范方法：取消系统的可移动磁盘自动运行选项。并经常将文件夹选项中的“显示所有文件”置于“开”和“隐藏受保护的操作系统文件”置于关状态来检查U盘的根目录下是否有不明程序与Autorun.inf文件，并确认Autorun.inf文件的内容，方法是通过双击打开。

    经常通过任务管理器来查看主机上当前运行的进程。

        对于不明进程，可以通过系统的“查找”程序来进行全盘搜索，并注意查找选项中的“搜索系统与隐藏文件”置于“开”，对于查到的相应文件，通过察看其生成日期等信息来判断是否为木马程序。

    使用优秀的杀毒软件与防火墙软件，并注意经常更新。

        使用恰当的防火墙软件是十分必要的。因为杀毒软件往往对木马不敏感，而防火墙软件则可以通过访问控制与警告来帮助用户区分正常程序与木马程序。

6、未来黑客技术的发展方向：

        计算机网络总是在不断的发展过程中，随着下一代互联网的大规模部署的临近，Internet技术将迈入一个新的阶段。然而即使是安全性大大提高的下一代互联网，安全形势也不容乐观。

    （1）下一代互联网采用的更加先进与强大的加密技术，可以更加有效的保证信息的安全。然而，作者认为，黑客们所掌握的运算能力也是快速的增长之中。由于联入Internet的计算机越来越多，使大规模的并行计算成为可能，黑客们可以通过操纵大量的计算机，来获得远远强于单台超级计算机的运算能力，从而可能使用强力破解加密算法。而这些行为可能是不为人知的。因此，我们就有必要不断更新加密算法，同时也利用当前计算机运算能力不断增强的特点，适当采用运算更加复杂的加密算法，来与黑客们进行斗争。

    （2）下一代互联网采用的地址空间将更加巨大，将有能力使极多的设备联入互联网。这将极大地促进网络技术的发展。不过，作者认为，巨大的地址空间将为黑客提供更多隐蔽之处，同时，众多的网络设备也可能使黑客们具有更多的攻击工具。如果我们疏于防范，那么，很可能连联入Internet的微波炉都会联合起来对目标发起网络攻击。因此，我们有必要将网络安全规范固化到网络设备的硬件系统中，使安全规则成为每一台网络设备“与生俱来”的特性，进而最大限度地减小网络攻击的范围与危害。

    结论：网络技术的发展极大地丰富了人们的生活，然而网络安全也越来越成为困扰人们的问题。为了减少黑客技术的危害，反黑客技术也在日新月异地发展着。作为Internet的使用者，我们应该了解网络安全的相应知识，并采取措施维护自己的信息安全。相信随着技术的发展与网络安全规范的普及，Internet将变得越来越安全。

参考文献与资源：

    《Introduction to Network Security》        Debabrata Dash

    《Network Security》        Pascal Meunier

     www.gaopeng.com

    《Internet专用安全教程》

    《新一代因特网安全标准》

    《密码攻与防》

    《标准数据加密算法》

    《防火墙与因特网安全》下载本文