最近的《传奇》黑客入侵事件闹得沸沸扬扬，使“黑客”一词又热度大增。对应目前国内网络存在严重安全问题，其实根本原因多在于企业、单位、组织对安全问题的认识程度和管理员的技术水平，而不是因为国内“黑客”、“红客”泛滥。绝大多数的入侵者只是使用一些漏洞扫描工具然后配合入侵工具而进行的，根本无技术可言，这些工具也仅仅是利用已公布的常见漏洞。如果安全维护得力就可以根本不在乎这些“工具黑客”了。

首先认识一下黑客的入侵手段和过程，“知己知彼，百战百胜”。黑客们首先确定目标并且收集相关信息（包括邮件地址、相关IP地址、漏洞等等）；然后根据得到的信息可能进行渗透，这就是所说的入侵，这里过程和内容很多，总的说来入侵者就是要尽可能获得足够的权限；接着就做他们愿意做的事情，获得机密、进行破坏等等；然后“尽可能”地清除自己留下的痕迹，修改删除系统日志等；最后按照他们的期望（是否再来），安装后门（木马、添加帐号等等）方便以后进入，有更深度入侵打算的入侵者，还会安装网络嗅探器，以便捕获到更多可用的帐号密码等。

对于懒惰的、水平低的系统管理员来说，所有的这些事件都会显得静悄悄。所以在日常管理和维护中就应该时刻注意入侵问题，及时发现可疑事件，一个疏忽就可能带来不可估量的损失。这里需要提醒广大的管理员的是，不要过于信赖你们的高价防火墙或者入侵检测系统，能够绕过这些机械的程序的方法简直太多了。因此也要求管理员需要保持高度的警觉，入侵者是不会主动告诉你“狼来了”的。除了通常的安全配置之外，有两点是管理员还需要做到的：详细的事件记录和例行的系统维护，这将让我们能够及时地发现入侵并找到足够的线索。

如何发现是否被入侵呢？例行的检查可以从这些方面进行，以WINDOWS系统为例，当然其他操作系统或者设备的检查也基本相似：

1、首先要查看的就是系统正在使用的端口列表。在命令行中输入：netstat -a 看看自己打开了些什么端口，是否有可疑的地方，你最好能够有一个类似fport这样的端口查看工具，能够同时查看使用端口的进程，大多数木马或者后门都会打开一个自己的端口单独使用。但是，这并不能对付所有的木马，而且一些打开系统后门的方法也不能这样来检查。正如《传奇》的那些安装木马的服务器一样，后门是入侵者宣告下次还要来的最明显的标志。

2、打开任务管理器，查看进程列表，及时发现可疑进程，这是一个经验的较量，不要被一些kernel，internet这样的进程所迷惑，入侵者命名的进程往往很接近系统的进程名。

3、打开计算机管理，查看用户和用户组管理，是否有可疑用户出现，是否在各个用户组里面存在不该有的帐号，特别是象administrators这样的管理员组，按照一些黑客教程，通常把Guest、TsInternetUser 这样的系统提供的帐户添加到管理员组里面去。查看共享文件夹，是否出现不该有的共享，正常的配置情况下应该取消所有的共享，但是黑客们为了传送文件等等的方便，会再次打开一些共享，当然，大多数被入侵者打开的共享往往被他们忘记关闭了。顺便再看看会话，说不定入侵者也正好在呢。还需要查看的是，服务，因为把程序启动成为服务能够给入侵者相当多的好处，国内“黑客爱好者”使用最广泛的是小榕的“RemoteNC”这样的后门，它就会在系统中启动一个自己的服务，当然，这个启动的服务名称一定具有相当的欺骗性。

4、对照文件列表。你需要一个类似Regsnap这样的工具，通常一些后门都是被安装到系统目录下的，而且“黑客”们也喜欢将自己的文件放置在系统目录里面，因为那里实在是很少人去检查。比较你的备份文件列表和当前文件列表有什么不同，不要以为一些新增加的类似系统文件名的程序。通常这是最直接的检测方式，如果入侵者安装后门等等，肯定需要放置他们的程序，或者需要清除他们的脚印，“工具黑客”往往也会再上传一个工具用来完成这项任务，但是他们往往忘记删除它。

5、查看各种系统日志。除了系统的日志以外，还需要查看的是你所开服务的日志，比如FTP、IIS等等的日志。这个工作量比较大，而且需要非常有经验。可以从这些方面来查看，以减少工作量：是否出现日记记录断裂（入侵者希望消除他们的痕迹）；是否有可疑的帐号登录（使用帐号登录是最直接的入侵手段）；是否在不该出现的时间段内发生了不该有的事件，比如晚上12点大家下班后仍有管理员登录（深更半夜网速快，当然你遇到的是另一个半球的就不是这样了）。各种服务的日志记录是发现入侵手段的最有效途径，比如IIS日志能够详细记录下来一个入侵者扫描80端口的全过程，以及他能够获得的有用信息。这里需要提醒管理员的是，日志记录不光是进行审记，还应该作到一定程度上的跟踪记录。

不要以为上面的检测内容非常复杂，如果每天都象上面这样作一次检查的话，也花不了多少时间。而且即使被入侵了，这也能够尽量使损失减到最小。请你相信，不管入侵者怎么掩盖自己的行为，在系统中仍然能够找到各种各样的痕迹，让你能够发现是否被入侵过。比如大多数入侵者可能想尽办法对付系统日志，但是却往往“兴奋”得忘记删除一些他们临时使用的文件。

当发现被入侵的时候应该怎么办呢？当然对付入侵的应急处理需要根据实际情况进行，我们这里不讨论公司单位对被入侵的认识和态度问题，只从技术的角度来分析和看待入侵应急处理问题。现在，大多数管理员除了熟悉一些安全配置，基本没有接受比较系统的应急训练，也根本没有任何应急处理的能力和经验，这也是让很多入侵者逍遥在外的一个原因。很多管理员可能隐瞒被入侵的事实，或者按照很多入侵修补处理“教程”那样，匆匆忙忙地安装补丁，删除后门，进行更仔细的安全配置等等。其实，这样作反而破坏了线索和证据，也使得根本就抓不到入侵者了。管理员和其领导应该明白，一旦被入侵了，即使最快的补救措施也不会补救已泄露的信息。

漏洞补救只是应急处理的一部分，当然也是必须要作的，不过，如果需要抓获和警告入侵者，至少需要留下足够的证据（为报案等保留证据），然后进行漏洞的有效控制，接着进行非常有意思的事情，就是设置陷阱，等待捕获，以便“当场抓获”入侵者。设置陷阱来捕获入侵者，就不能大张旗鼓，如果都 进行炒作的话，恐怕再厉害的人也不会再次出现了。

对漏洞的有效控制是配合陷阱同时进行的。对于入侵者来说，获取机密是很有成就感的，他们中的多数也会再来，而且一般和第一次入侵时间相隔不长，这几乎是“工具黑客”的惯例。如果一个入侵者再次光临，他可能利用的有这些途径：

1、以前安置的后门、木马等;
2、通过获得的帐号直接进入;
3、再次利用上次使用的漏洞闯入。

在系统补救的同时，我们可以利用这些途径进行陷阱的设置。准备好一些工具，最好配置一台陷阱机器，使用重定向来代替原先被入侵的主机，或者用一台机器来监视被入侵主机的状态，使用嗅探器和其他工具来捕获入侵者。能让所有管理员放心的是，伪装自己捕获入侵者比入侵者发现你方便容易多了。
制作陷阱来捕获入侵者，需要作好详细的准备工作，比如：安排好嗅探工具、设置好日志记录和跟踪等等，保证你能够有足够的能力来控制局面并掌握主动。

对于入侵者设置的后门，我们大可设计一个程序来模拟他们设置的后门，监听后门使用的端口，等待入侵者再次连接该端口，用我们安排的嗅探器来捕获。唯一担心的是一些反弹式木马，因为我们不好作伪装程序，但是，只要他利用这些木马继续工作，我们的嗅探器同样能够抓获。
 如果入侵者利用先前获得的帐号再次入侵，我们可以保留这个被入侵者使用的帐号，但是对其设置较低权限，保证即使入侵者再次进入也不至于有什么作为，当然，这个大可在伪装机器上来模拟。
如果知道入侵者利用的系统漏洞，这些我们同样可以在伪装的机器上再重现这个漏洞。使用上面的捕获方式来对付他们。

利用嗅探器，我们能够捕获到闯入者的来源。当然，第二次入侵可能是这个入侵者也作好准备，比如他使用一个跳板，使用代理服务器，以便隐藏他本身的IP。对于这种情况，我们在作入侵分析的时候，应该首先假设的就是入侵者使用了跳板，用我们分析得到的源头来作判断。当然，入侵者使用假地址，会给我们捕获真实地址带来很多麻烦。不过，多数“工具黑客”使用的跳板并不那么完美，而且他们也并没有认识到一点，还有就是多数人认为使用拨号来入侵是非常安全的。这给我们“当场抓获”他们提供很多便利。
设置陷阱来捕获入侵者既是体力劳动，同时也是智力较量。只要熟悉这些“黑客”的手段，捕获他们并不是什么不可能的事情。其实，即便陷阱设置得多完美，多么惊心动魄地抓获“黑客”，但是，毕竟已经造成了损失。所以，管理员还是应该在平时多进行安全维护，让自己的领域尽量安全。杜绝任何可能发生的网络入侵才是每个管理员的首要职责。

入侵检测产品功能指标说明 

入侵检测系统的产品形式一般有两种：纯软件形式和硬件集成形式。
（1） 纯软件形式
绝大多数的入侵检测产品都是以纯软件的形式出售，很明显在性能可以满足要求的情况下，这样使产品的成本能够降低，更有利于用户的接受。如：RealSecure、CyberCop Monitor、eTrust、Snort、NFR、Centrax等等。
（2） 硬件集成形式
为了达到性能非常好的，往往需要对安装的系统进行最优化的调整。这样，把产品做成“黑盒子”的形式可以达到目的。如金诺网安的KIDS就是采用了软件集成在硬件中的形式直接出售给用户。
部署方式一般有两种，基于网络和基于主机。

 基于网络的入侵检测产品放置在比较重要的网段内，不停地监视网段中的各种数据包。对每一个数据包或可疑的数据包进行特征分析。如果数据包与产品内置的某些规则吻合，入侵检测系统就会发出警报甚至直接切断网络连接。目前，基于网络的入侵检测产品是主流。 

基于主机的入侵检测产品通常是安装在被重点检测的主机之上，主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑(特征或违反统计规律)，入侵检测系统就会采取相应措施。 

此外一个入侵检测产品通常由两部分组成：传感器(Sensor)与控制台(Console)。

文章转载地址:http://www.365master.com/kt_article_show.php?article_id=904&categ_code=10151002