电脑被黑客侵入后会出现哪些现象?
一、反攻击技术的核心问题
反攻击技术(入侵检测技术)的核心问题是如何截获所有的 *** 信息。目前主要是通过两种途径来获取信息,一种是通过 *** 侦听的途径(如Sniffer,Vpacket等程序)来获取所有的 *** 信息(数据包信息, *** 流量信息、 *** 状态信息、 *** 管理信息等),这既是黑客进行攻击的必然途径,也是进行反攻击的必要途径;另一种是通过对操作系统和应用程序的系统日志进行分析,来发现入侵行为和系统潜在的安全漏洞。
二、黑客攻击的主要方式
黑客对 *** 的攻击方式是多种多样的,一般来讲,攻击总是利用“系统配置的缺陷”,“操作系统的安全漏洞”或“通信协议的安全漏洞”来进行的。到目前为止,已经发现的攻击方式超过2000种,其中对绝大部分黑客攻击手段已经有相应的解决 *** ,这些攻击大概可以划分为以下六类:
1.拒绝服务攻击:一般情况下,拒绝服务攻击是通过使被攻击对象(通常是工作站或重要服务器)的系统关键资源过载,从而使被攻击对象停止部分或全部服务。目前已知的拒绝服务攻击就有几百种,它是最基本的入侵攻击手段,也是最难对付的入侵攻击之一,典型示例有SYN Flood攻击、Ping Flood攻击、Land攻击、WinNuke攻击等。
2.非授权访问尝试:是攻击者对被保护文件进行读、写或执行的尝试,也包括为获得被保护访问权限所做的尝试。
3.预探测攻击:在连续的非授权访问尝试过程中,攻击者为了获得 *** 内部的信息及 *** 周围的信息,通常使用这种攻击尝试,典型示例包括SATAN扫描、端口扫描和IP半途扫描等。
4.可疑活动:是通常定义的“标准” *** 通信范畴之外的活动,也可以指 *** 上不希望有的活动,如IP Unknown Protocol和Duplicate IP Address事件等。
5.协议解码:协议解码可用于以上任何一种非期望的 *** 中, *** 或安全管理员需要进行解码工作,并获得相应的结果,解码后的协议信息可能表明期望的活动,如FTU User和Portmapper Proxy等解码方式。
6.系统 *** 攻击:这种攻击通常是针对单个主机发起的,而并非整个 *** ,通过RealSecure系统 *** 可以对它们进行监视。
三、黑客攻击行为的特征分析与反攻击技术
入侵检测的最基本手段是采用模式匹配的 *** 来发现入侵攻击行为,要有效的进反攻击首先必须了解入侵的原理和工作机理,只有这样才能做到知己知彼,从而有效的防止入侵攻击行为的发生。下面我们针对几种典型的入侵攻击进行分析,并提出相应的对策。
1.Land攻击
攻击类型:Land攻击是一种拒绝服务攻击。
攻击特征:用于Land攻击的数据包中的源地址和目标地址是相同的,因为当操作系统接收到这类数据包时,不知道该如何处理堆栈中通信源地址和目的地址相同的这种情况,或者循环发送和接收该数据包,消耗大量的系统资源,从而有可能造成系统崩溃或死机等现象。
检测 *** :判断 *** 数据包的源地址和目标地址是否相同。
反攻击 *** :适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为(一般是丢弃该数据包),并对这种攻击进行审计(记录事件发生的时间,源主机和目标主机的MAC地址和IP地址)。
2.TCP SYN攻击
攻击类型:TCP SYN攻击是一种拒绝服务攻击。
攻击特征:它是利用TCP客户机与服务器之间三次握手过程的缺陷来进行的。攻击者通过伪造源IP地址向被攻击者发送大量的SYN数据包,当被攻击主机接收到大量的SYN数据包时,需要使用大量的缓存来处理这些连接,并将SYN ACK数据包发送回错误的IP地址,并一直等待ACK数据包的回应,最终导致缓存用完,不能再处理其它合法的SYN连接,即不能对外提供正常服务。
检测 *** :检查单位时间内收到的SYN连接否收超过系统设定的值。
反攻击 *** :当接收到大量的SYN数据包时,通知防火墙阻断连接请求或丢弃这些数据包,并进行系统审计。
3.Ping Of Death攻击
攻击类型:Ping Of Death攻击是一种拒绝服务攻击。
攻击特征:该攻击数据包大于65535个字节。由于部分操作系统接收到长度大于65535字节的数据包时,就会造成内存溢出、系统崩溃、重启、内核失败等后果,从而达到攻击的目的。
检测 *** :判断数据包的大小是否大于65535个字节。
反攻击 *** :使用新的补丁程序,当收到大于65535个字节的数据包时,丢弃该数据包,并进行系统审计。
4.WinNuke攻击
攻击类型:WinNuke攻击是一种拒绝服务攻击。
攻击特征:WinNuke攻击又称带外传输攻击,它的特征是攻击目标端口,被攻击的目标端口通常是139、138、137、113、53,而且URG位设为“1”,即紧急模式。
检测 *** :判断数据包目标端口是否为139、138、137等,并判断URG位是否为“1”。
反攻击 *** :适当配置防火墙设备或过滤路由器就可以防止这种攻击手段(丢弃该数据包),并对这种攻击进行审计(记录事件发生的时间,源主机和目标主机的MAC地址和IP地址MAC)。
5.Teardrop攻击
攻击类型:Teardrop攻击是一种拒绝服务攻击。
攻击特征:Teardrop是基于UDP的病态分片数据包的攻击 *** ,其工作原理是向被攻击者发送多个分片的IP包(IP分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位置等信息),某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。
检测 *** :对接收到的分片数据包进行分析,计算数据包的片偏移量(Offset)是否有误。
反攻击 *** :添加系统补丁程序,丢弃收到的病态分片数据包并对这种攻击进行审计。
6.TCP/UDP端口扫描
攻击类型:TCP/UDP端口扫描是一种预探测攻击。
攻击特征:对被攻击主机的不同端口发送TCP或UDP连接请求,探测被攻击对象运行的服务类型。
检测 *** :统计外界对系统端口的连接请求,特别是对21、23、25、53、80、8000、8080等以外的非常用端口的连接请求。
反攻击 *** :当收到多个TCP/UDP数据包对异常端口的连接请求时,通知防火墙阻断连接请求,并对攻击者的IP地址和MAC地址进行审计。
对于某些较复杂的入侵攻击行为(如分布式攻击、组合攻击)不但需要采用模式匹配的 *** ,还需要利用状态转移、 *** 拓扑结构等 *** 来进行入侵检测。
四、入侵检测系统的几点思考
从性能上讲,入侵检测系统面临的一个矛盾就是系统性能与功能的折衷,即对数据进行全面复杂的检验构成了对系统实时性要求很大的挑战。
从技术上讲,入侵检测系统存在一些亟待解决的问题,主要表现在以下几个方面:
1.如何识别“大规模的组合式、分布式的入侵攻击”目前还没有较好的 *** 和成熟的解决方案。从Yahoo等著名ICP的攻击事件中,我们了解到安全问题日渐突出,攻击者的水平在不断地提高,加上日趋成熟多样的攻击工具,以及越来越复杂的攻击手法,使入侵检测系统必须不断跟踪最新的安全技术。
2. *** 入侵检测系统通过匹配 *** 数据包发现攻击行为,入侵检测系统往往假设攻击信息是明文传输的,因此对信息的改变或重新编码就可能骗过入侵检测系统的检测,因此字符串匹配的 *** 对于加密过的数据包就显得无能为力。
3. *** 设备越来越复杂、越来越多样化就要求入侵检测系统能有所定制,以适应更多的环境的要求。
4.对入侵检测系统的评价还没有客观的标准,标准的不统一使得入侵检测系统之间不易互联。入侵检测系统是一项新兴技术,随着技术的发展和对新攻击识别的增加,入侵检测系统需要不断的升级才能保证 *** 的安全性。
5.采用不恰当的自动反应同样会给入侵检测系统造成风险。入侵检测系统通常可以与防火墙结合在一起工作,当入侵检测系统发现攻击行为时,过滤掉所有来自攻击者的IP数据包,当一个攻击者假冒大量不同的IP进行模拟攻击时,入侵检测系统自动配置防火墙将这些实际上并没有进行任何攻击的地址都过滤掉,于是造成新的拒绝服务访问。
6.对IDS自身的攻击。与其他系统一样,IDS本身也存在安全漏洞,若对IDS攻击成功,则导致报警失灵,入侵者在其后的行为将无法被记录,因此要求系统应该采取多种安全防护手段。
7.随着 *** 的带宽的不断增加,如何开发基于高速 *** 的检测器(事件分析器)仍然存在很多技术上的困难。
入侵检测系统作为 *** 安全关键性测防系统,具有很多值得进一步深入研究的方面,有待于我们进一步完善,为今后的 *** 发展提供有效的安全手段。
电脑给黑客入侵怎么办
黑客入侵电脑的方式主要有如下: 1、隐藏黑客的位置 : 典型的黑客会使用如下技术隐藏他们真实的IP地址:
利用被侵入的主机作为跳板;
在安装Windows 的计算机内利用Wingate 软件作为跳板;利用配置不当的Proxy作为跳板。 更老练的黑客会使用 *** 转接技术隐蔽自己。他们常用的手法有:利用800 号 *** 的私人转接服务联接ISP, 然后再盗用他人的账号上网;通过 *** 联接一台主机,再经由主机进入Internet。 使用这种在 *** *** 上的"三级跳"方式进入Internet 特别难于跟踪。理论上,黑客可能来自世界任何一个角落。如果黑客使用800号拨号上网,他更不用担心上网费用。 2、 *** 探测和资料收集: 黑客利用以下的手段得知位于内部网和外部网的主机名。 使用nslookup 程序的ls命令;
通过访问公司主页找到其他主机;
阅读FTP服务器上的文挡;
联接至mailserver 并发送 expn请求;
Finger 外部主机上的用户名。 在寻找漏洞之前,黑客会试图搜集足够的信息以勾勒出整个 *** 的布局。利用上述操作得到的信息,黑客很容易列出所有的主机,并猜测它们之间的关系。 3、找出被信任的主机: 黑客总是寻找那些被信任的主机。这些主机可能是管理员使用的机器,或是一台被认为是很安全的服务器。 下一步,他会检查所有运行nfsd或mountd的主机的NFS输出。往往这些主机的一些关键目录(如/usr/bin、/etc和/home)可以被那台被信任的主机mount。
Finger daemon 也可以被用来寻找被信任的主机和用户,因为用户经常从某台特定的主机上登录。 黑客还会检查其他方式的信任关系。比如,他可以利用CGI 的漏洞,读取/etc/hosts.allow 文件等等。 分析完上述的各种检查结果,就可以大致了解主机间的信任关系。下一步, 就是探测这些被信任的主机哪些存在漏洞,可以被远程侵入。 4、找出有漏洞的 *** 成员: 当黑客得到公司内外部主机的清单后,他就可以用一些Linux 扫描器程序寻找这些主机的漏洞。黑客一般寻找 *** 速度很快的Linux 主机运行这些扫描程序。 所有这些扫描程序都会进行下列检查:
TCP 端口扫描;
RPC 服务列表;
NFS 输出列表;
共享(如samba、netbiox)列表;
缺省账号检查;
Sendmail、IMAP、POP3、RPC status 和RPC mountd 有缺陷版本检测。 进行完这些扫描,黑客对哪些主机有机可乘已胸有成竹了。
如果路由器兼容SNMP协议,有经验的黑客还会采用攻击性的SNMP 扫描程序进行尝试, 或者使用"蛮力式"程序去猜测这些设备的公共和私有community strings。
5、利用漏洞: 现在,黑客找到了所有被信任的外部主机,也已经找到了外部主机所有可能存在的漏洞。下一步就该开始动手入侵主机了。 黑客会选择一台被信任的外部主机进行尝试。一旦成功侵入,黑客将从这里出发,设法进入公司内部的 *** 。但这种 *** 是否成功要看公司内部主机和外部主机间的过滤策略了。攻击外部主机时,黑客一般是运行某个程序,利用外部主机上运行的有漏洞的daemon窃取控制权。有漏洞的daemon包括Sendmail、IMAP、POP3各个漏洞的版本,以及RPC服务中诸如statd、mountd、pcnfsd等。有时,那些攻击程序必须在与被攻击主机相同的平台上进行编译。 6、获得控制权: 黑客利用daemon的漏洞进入系统后会做两件事:清除记录和留下后门。 他会安装一些后门程序,以便以后可以不被察觉地再次进入系统。大多数后门程序是预先编译好的,只需要想办法修改时间和权限就可以使用,甚至于新文件的大小都和原有文件一样。黑客一般会使用rcp 传递这些文件,以便不留下FTP记录。一旦确认自己是安全的,黑客就开始侵袭公司的整个内部网。 7.窃取 *** 资源和特权: 黑客找到攻击目标后,会继续下一步的攻击,步骤如下:
(1)下载敏感信息 (2)攻击其他被信任的主机和 *** (3)安装sniffers (4)瘫痪 ***
黑客入侵进入的电脑,只是浏览,没造成什么损失。这是否属于违法行为?会受到什么惩罚?
是违法的,你侵犯了他人隐私,但一般不会去特意查你因为没什么损失,一般发现不了
黑客入侵计算机原理
就好象人会生病一样,只要病原体有进入体内的途径并击败免疫系统。
计算机与外界联络,当然需要有端口,就是途径,计算机本身系统有不少缺陷,这就是为什么你需要不停的打补丁的原因,这些缺陷就好象皮肤上的口子细菌容易入侵一样,杀毒软件和防火墙就好象免疫系统,可以抵御进攻,但也不是百战百胜,因为免疫系统不认识所有的病原体,所以人需要疫苗,杀毒软件和防火墙则需要病毒特征和过滤规则,如果它们打不过新面孔的敌人,你的系统就中招了,就好象人得病了一样。
以上讲的是利用计算机方面的不足。
计算机使用者本身也是一个突破口,黑客会利用引诱和欺骗等手段直接获得进攻的办法,举个例子比如一个 *** 冒充你的同事或者上司就可以问到你的密码啦。
打个比方而已,其实我什么也不懂。
被限制入境的中国之一黑客,后来怎么样了
没有被限制的情况下,不会以没有出入境许可而拦截。
但是边检拦截的情况有很多种,例如,拒绝边防检查,有可能危害国内社会安全稳定,出境后会影响我国声誉或国家安全,以及根据检查系统临时弹出通知等。
还有,按照边防检查法,阻止出入境是不必告知原因的。
经国务院批准,《中华人民共和国出境入境边防检查条例》(以下简称《条例》于1995年9月1日起开始施行。现将贯彻实施《条例》的一些具体问题的处理办法通知如下:
一、对出境、入境人员的证件检查程序和要求
对出境入境人员的检查应当做到:人与护照、证件对照;护照、证件与入出境登记卡或旅游团名单(免填卡者除外)对照;查验护照、证件、签证和有关证明的真伪及有效期;核对在控人员名单。以上检查无误后,在护照或证件上加盖验讫章,留存入出境登记卡或旅游团名单。在正常情况下,检查一名旅客应在45秒内完成;遇有手续不符等问题,检查站最迟应在30分钟内做出决定。
二、验讫章、印章的种类和使用 ***
验讫章分为入境验讫章、出境验讫章和过境验讫章,印迹均为红色。入境、出境、过境验讫章及所需印油均由公安部边防局统一 *** ,任何单位或个人未经批准不得擅自 *** 。检查站使用的“临时入境许可章”、“入境、过境章”、“延期章”、“停留章”、“加签章”、“入、出境偕行人数章”、“未偕行儿童章”、“港澳同胞偕行儿童章”、“注销章”、“更正章”、“停留许可证”等印章的印迹为蓝色,“边防检查站证件专用章”为红色,由各单位按照统一样式(见附件一)自行刻制。验讫章及加签、加注印章的使用 *** 仍按现行规定执行。
三、对出境、入境人员的检查
1.出境、入境人员必须由本人交验有效护照或者其他旅行证件。外国国家元首、议会首脑、 *** 首脑、部长及其率领的代表团成员,我国党和国家领导人、 *** 中央、国务院各部(委)主要领导及其率领的代表团成员及上述部门接待的重要宾客,凭有关单位提供的名单,给予礼遇,可以集中交验护照或其他旅行证件。
2.中国公民持因公护照(含因公普通护照)出境,凭本人的有效护照和前往国签证放行。前往与中国有互免签证协议国家、需在境外办理签证、过境香港或前往澳门的,应按有关规定交验《出国(境)证明》。如前往国中既有互免签证国家又有需办签证国家,按规定办妥所需签证后,出境时无需交验《出国(境)证明》。
3.中国公民因私事首次出境,凭本人的有效护照、发照机关签发的两张出境卡及前往国签证或规定的入境许可函(证)件放行。需经第三国通行的,还应按照过境国的规定办妥过境签证。为防止非法出入境活动,中国公民因私事首次出境的,前往国入境及过境签证原则上应在前往国驻华使、领馆办理。前往国在华未设使、领馆或在华使、领馆不办理所需签证的,可以在境外办理签证。中国公民因私事再次出境,凭本人的有效护照、前往国签证或规定的入境许可函(证)件放行,需经第三国通行的,应按照规定办妥过境签证。
4.中国海员乘服务船舶以外的交通运输工具或从陆地口岸徒步出境执行公务,凭本人的有效海员证或其他有效出入境证件和前往国签证放行。前往与中国有互免签证协议国家、需在境外办理签证、过境香港或前往澳门,持用海员证的,应按有关规定交验《海员出境证明》;持用因公普通护照的,应按有关规定交验《出国(境)证明》。持用因公护照(含因公普通护照)需随船执行公务的人员,因无固定抵达口岸而不便办理前往国签证的,应办理《随船工作证》。
5、外国人入境、出境,应从对外国人开放的口岸或指定口岸通行。外国人凭本人有效护照或其他有效出入境证件及中国签证,在签证有效期内入境,并在签证或者中国居留证件准予的停留期限内出境。对同中国 *** 订有互免签证协议国家的人员的出入境检查,按照协议规定办理。对因公来华外国人持有本人有效护照,入境签证过期不超过10日,且有正当理由的,由检查站审核后,加盖“监时入境许可”章放行。因公来华人员签证过期10日以上或未持签证的,不准入境,对外国驻华外交代表机关、领事机关(含联合国组织驻华代表机构)常驻人员及其眷属再次入境时无签证的,如能证明其身份,检查站可指出错误,准予临时入境后补办签证。因公来华外国人携行儿童与签证不符的,由检查站办理加签加注放行。对未办妥入境签证因私来华的外国人不准入境。外国人乘火车入境、过境,事先未办妥相应签证而退回有困难、且不属于不准入境人员的,检查站可在其护照或其他有效出入境证件上加盖“临时入境许可”章,准其入境后补办签证。对准予临时入境的人员应令其入境后(一般为24小时以内,如从满洲里、二连、丹东、绥芬河入境可在72小时以内)到目的地向有关部门申请补办相应的签证。对出境时仍未补办签证的,原则上不准出境,或者以非法停留予以处罚后放行。
6.《条例》第八条第二项规定的“持用无效出境、入境证件的”是指:持用损坏、过期或被吊销的护照、证件的;持用过期或被吊销的签证、签注的;持用我不承认的护照、证件的和持用通过不正当渠道非法取得的护照、证件、签证的。
黑客基本
我认为黑客分两种,一种是工具类的,这类人应该不算什么黑客,他们只会用些工具,而不了解底层的东西。第二类就是实力类的,他们有着很强的理论知识和实战能力,这个实战能力指的是对底层了解,他们熟悉各种 *** 协议,具有极强的编程能力,他们喜欢自己动手编写自己需要的入侵软件。。。
之一类黑客很容易做到,只要会用电脑会用工具,熟悉工具的使用即可。
第二类黑客不是一朝一夕能够达到,在我看来,每一个程序员高手都可以很容易的变为黑客,只是他们并没有有意识的往这个方向发展。
必备知识:TCP/IP协议以及其它常见 *** 协议必须了解,熟悉 *** 布局,至少掌握C/C++,熟悉汇编,熟练运用常见的入侵工具
附:
什么是黑客?
黑客一词,源于英文Hacker,原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员。
但到了今天,黑客一词已被用于泛指那些专门利用电脑搞破坏或恶作剧的家伙。对这些人的正确英文叫法是Cracker,有人翻译成“骇客”。
黑客和骇客根本的区别是:黑客们建设,而骇客们破坏。
黑客守则
1. 不恶意破坏任何的系统, 这样作只会给你带来麻烦。恶意破坏它人的软件将导致法律责任, 如果你只是使用电脑, 那仅为非法使用。 注意:千万不要破坏别人的文件或数据。
2. 不修改任何系统文件, 如果你是为了要进入系统而修改它, 请在达到目的后将它还原。
3. 不要轻易的将你要 Hack 的站点告诉你不信任的朋友。
4. 不要在 bbs/论坛上谈论关于你 Hack 的任何事情。
5. 在 Post 文章的时候不要使用真名。
6. 入侵期间, 不要随意离开你的电脑。
7. 不要入侵或攻击电信/ *** 机关的主机。
8. 不在 *** 中谈论关于你 Hack 的任何事情。
9. 将你的笔记放在安全的地方。
10.读遍所有有关系统安全或系统漏洞的文件 (英文快点学好)!
11.已侵入电脑中的帐号不得删除或修改。
12.不得修改系统文件, 如果为了隐藏自己的侵入而作的修改则不在此限, 但仍须维持原来系统的安全性, 不得因得到系统的控制权而破坏原有的安全性。
13.不将你已破解的帐号分享与你的朋友。
14.不要侵入或破坏 *** 机关的主机。
黑客精神
1.这世上充满著等着被解决的迷人问题。
2.没有任何人必须一再的解决同一个问题。
3.无聊而单调的工作是有害的。
4.自由才好。
5.态度并非不等效于能力
6.写免费的软件。
7.帮忙test和debug免费的软件。
8.公布有用的资讯。
9.帮忙维持一些简单的工作。
10.为hacker文化而努力。
可怕的>无孔不入的[黑客]
动机不好说,因为可能性太多了,例如同行业恶性竞争,窃取网站用户信息等等,甚至1L提到的试一下自己的技术、无聊。。
损失嘛,被直接的攻击会造成被攻击的网站工作不正常,例如 *** 延迟,用户点一个标题,页面半天没反应,用户不高兴了,就可能会去其他的网站(例如攻击者自己的网站。。),造成用户流失,然后流量损失,以至于经济损失。还有一些秘密搞起的,攻击网站数据库,窃取文件和传输中的数据得到网站用户个人信息,例如支付宝得到帐号密码什么的。甚至获取超级用户的权限,改改数据什么的,例如改大学成绩。。
黑客入门的问题.
对!这句话很大一部分是正确的,只是有些不杀,只是列入了有危险的行列里了。
安全的黑软什么意思哦。黑软就是找漏洞搞侵入的嘛,软件的代码杀毒软件查出来时要杀的,或者报警,不过一般都只是列入危险软件报警,你下的时候不插读不就行了吗
解压密码一般都是下载网站的地址,你看压缩包属性的注释一般都有说明的
真正的黑客网站一般都不会这样的。