1、如何防止黑客的攻擊如何防止黑客的攻擊現在攻擊個人電腦的木馬軟件很多， 功能比以前 多了，使用也比以前方便多了， 所以危害也比以前大 了，很多人中了木馬自己還不知道， 要想使自己的電 腦安全， 就好扎好自己的籬笆， 看好自己的門， 電腦 也有自己的門，我們叫它端口。端口你在網絡上沖浪，別人和你聊天，你發電子郵件， 必須要有共同的協議，這個協議就是 TCP/IP 協議， 任何網絡軟件的通訊都基于 TCP/IP 協議。如果把互 聯網比作公路網， 電腦就是路邊的房屋， 房屋要有門 你才可以進出， TCP/IP 協議規定，電腦可以有 256 乘以256扇門，即從0到65535號“門”，TCP/IP協 議

2、把它叫作“端口” 。當你發電子郵件的時候， E-mail 軟件把信件送到了郵件服務器的 25 號端口，當你收 信的時候， E-mail 軟件是從郵件服務器的 110號端 口這扇門進去取信的， 你現在看到的我寫的東西， 是 進入服務器的 80端口。新安裝好的個人電腦打開的 端口號是 139 端口，你上網的時候， 就是通過這個端 口與外界聯系的。 黑客不是神仙， 他也是通過端口進 入你的電腦。通過端口進入你的電腦黑客是怎么樣進入你的電腦的呢？當然也是基于 TCP/IP 協議通過某個端口進入你的個人電腦的 如果你的電腦設置了共享目錄， 那么黑客就可以通過 139端口進入你的電腦，注意！ WINDOW

3、有個缺陷， 就算你的共享目錄設置了多少長的密碼， 幾秒鐘時間 就可以進入你的電腦， 所以，你最好不要設置共享目 錄，不允許別人瀏覽你的電腦上的資料。除了 139 端口以外，如果沒有別的端口是開放的， 黑客就不能 入侵你的個人電腦。那么黑客是怎么樣才會進到你的 電腦中來的呢？答案是通過特洛伊木馬進入你的電 腦。如果你不小心運行了特洛伊木馬， 你的電腦的某 個端口就會開放，黑客就通過這個端口進入你的電 腦。舉個例子，有一種典型的木馬軟件，叫做 netspy.exe 。如果你不小心運行了 netspy.exe ，那 么它就會告訴WINDOWS后每次開電腦的時候都要 運行它，然后， netspy.ex

4、e 又在你的電腦上開了一 扇“門”，“門”的編號是 7306端口，如果黑客知道 你的 7306端口是開放的話，就可以用軟件偷偷進入 到你的電腦中來了。特洛伊木馬本身就是為了入侵個 人電腦而做的，藏在電腦中和工作的時候是很隱蔽 的，它的運行和黑客的入侵， 不會在電腦的屏幕上顯 示出任何痕跡。WINDOWS身沒有監視網絡的軟件， 所以不借助軟件，是不知道特洛伊木馬的存在和黑客 的入侵。接下來，就來說利用軟件如何發現自己電腦 中的木馬。如何發現自己電腦中的木馬再以 netspy.exe 為例，現在知道 netspy.exe 打開了電腦的 7306 端口，要想知道自己的電腦是不 是中 netspy.e

5、xe ，只要敲敲 7306 這扇“門”就可以 了。你先打開 C:WINDOWSWINIPCFG.ex程序，找 到自己的 IP 地址（比如你的 IP 地址是 10。 10。 10。 10），然后打開瀏覽器，在瀏覽器的地址欄中輸入 http:/10 。 10。 10。 10:7306/ ，如果瀏。 查找木馬。進一步查找木馬讓我們做一個試驗： netspy.exe 開放的是 7306 端口，用工具把它的端口修改了， 經過修改的木馬開 放的是 7777端口了，現在再用老辦法是找不到 netspy.exe 木馬了。我們可以用掃描自己的電腦的 辦法看看電腦有多少端口開放著， 并且再分析這些開 放的端口。前

6、面講了電腦的端口是從 0到 65535為止，其中 139 端口是正常的，首先找個端口掃描器，推薦“代 理獵手”，你上網以后， 找到自己的 IP 地址，現在請 關閉正在運行的網絡軟件， 因為可能開放的端口會被 誤認為是木馬的端口， 然后讓代理獵手對 0到 65535 端口掃描，如果除了 139 端口以外還有其他的端口開 放，那么很可能是木馬造成的。排除了 139 端口以外的端口， 你可以進一步分析 了，用瀏覽器進入這個端口看看， 它會做出什么樣的 反映，你可以根據情況再判斷了。掃描這么多端口是不是很累，需要半個多小時， Tcpview.exe 可以看電腦有什么端口是開放的， 除了 139端口以外

7、，還有別的端口開放， 你就可以分析了， 如果判定自己的電腦中了木馬， 那么，你就得在硬盤 上刪除木馬。在硬盤上刪除木馬 最簡單的辦法當然是用殺毒軟件刪除木馬了， Netvrv 病毒防護墻可以幫你刪除 netspy.exe 和 bo.exe 木馬，但是不能刪除 netbus 木馬。下面就 netbus 木馬為例講講刪除的經過。簡單介紹一下netbus木馬，netbus木馬的客戶 端有兩種，開放的都是 12345端口，一種以 Mring.exe 為代表（ 472,576 字節），一種以 SysEdit.exe 為代 表（ 494,592 字節）。Mring.exe 一旦被運行以后， Mring.e

8、xe 就告訴WINDOW，每次啟動就將它運行，WINDOWS它放在 了注冊表中，你可以打開 C:WINDOWSREGEDIT.exe 進入HKEY_LOCAL_MACHINESoftwareMicrosoftWindow sCurrentVersionRun 找到 Mring.exe 然后刪除這 個健值，你再到 WINDOWS找到Mring.exe刪除。 注意了，Mring.exe可能會被黑客改變名字，字節長 度也被改變了， 但是在注冊表中的位置不會改變， 你 可以到注冊表的這個位置去找。另外， 你可以找包含有 “ n etbus ”字符的可執行 文件，再看字節的長度，我查過了， WINDOW

9、S其他 的一些應用軟件沒有包含 “ n etbus ”字符的， 被你找 到的文件多半就是 Mring.exe 的變種。SysEdit.exe被運行以后，并不加到WINDOWS 注冊表中， 也不會自動掛到其他程序中， 于是有人認 為這是無害的木馬， 其實這是最可惡、最陰險的木馬。 別的木馬被加到了注冊表中， 你就有痕跡可查了， 就 連專家們認為最兇惡的BO木馬也可以輕而易舉地被 我們從注冊表中刪除。而 SysEdit.exe 要是掛在其他的軟件中，只要 SysEdit.exe你不碰這個軟件， SysEdit.exe 也就不發作， 一旦運 行了被安裝 SysEdit.exe 的程序， SysEdi

10、t.exe 也同時啟動了。我們再來作做這樣一個實驗，將和 C:WINDOWSSYSTEMAbcwin.e捆綁起來，Abcwin.exe是智能ABC輸入法，當我開啟 電腦到上網，只要沒有打開智能 ABC俞入法打字聊天， SysEdit.exe 也就沒有被運行， 你就不能進入我 的 12345 端口，如果我什么時候想打字了， 一旦啟動 智能ABC輸入法(Abcwin.exe ),那么捆綁在Abcwin.exe 上的 SysEdit.exe 也同時被運行了，我的 12345端口被打開，別人就可以黑到我的電腦中來了。同樣道理， SysEdit.exe 可以被捆綁到網絡傳呼 機、信箱工具等網絡工具上，

11、甚至可以捆綁到撥號工 具上，電腦中的幾百的程序中， 你知道會在什么地方 發現它嗎？所以我說這是最最陰險的木馬， 讓人防不 勝防。有的時候知道自己中了 netbus 木馬，特別是 SysEdit.exe ，能發現 12345 端口被開放，并且可以 用 netbus 客戶端軟件進入自己的電腦，卻不知道木 馬在什么地方。這時候，你可以檢視內存，請打開 C:WINDOWSDRWATSON.eX然后對內存拍照，查看 “高級視圖”中的“任務”標簽， “程序”欄中列出 的就是正在運行的程序， 要是發現可疑的程序， 再看 “路徑” 欄，找到這個程序， 分析它，你就知道是不 是木馬了。 SysEdit.exe

12、雖然可以隱藏在其他的程序 后面，但是在C:WINDOWSDRWATSON.中還是暴 露了。好了，來回顧一下， 要知道自己的電腦中有沒有 木馬，只要看看有沒有可疑端口被開放， 用代理獵手、 Tcpview.exe 都可以知道。 要查找木馬， 一是可以到 注冊表的指定位置去找， 二是可以查找包含相應的可 執行程序，比如，被開放的端口是 7306，就找包含 “ne tspy ”的可執行程序， 三是檢視內存， 看有沒有 可以的程序在內存中。你的電腦上的木馬， 來源有兩種， 一種是你自己 不小心，運行了包含有木馬的程序，另一種情況是， “網友”送給你“好玩”的程序。所以，你以后要小 心了，要弄清楚了是什

13、么程序再運行， 安裝容易排除 難呀。排除了木馬以后， 你就可以監視端口， - 悄悄等待黑客的來臨如何防范黑客 黑客對服務器進行掃描是輕而易舉的， 一旦找到 了服務器存在的問題， 那么后果將是嚴重的。 這就是 說作為網絡管理員應該采取不要的手段防止黑客對服務器進行掃描，本節我將談談如何才能讓自己的服 務器免遭黑客掃描。一、防范黑客心得體會：1、屏蔽可以 IP 地址： 這種方式見效最快，一旦網絡管理員發現了可疑 的 IP 地址申請，可以通過防火墻屏蔽相對應的 IP 地址，這樣黑客就無法在連接到服務器上了。 但是這 種方法有很多缺點， 例如很多黑客都使用的動態 IP ， 也就是說他們的 IP 地址會

14、變化，一個地址被屏蔽， 只要更換其他 IP 仍然可以進攻服務器，而且高級黑 客有可能會偽造 IP 地址，屏蔽的也許是正常用戶的 地址。2、過濾信息包： 通過編寫防火墻規則， 可以讓系統知道什么樣的 信息包可以進入、 什么樣的應該放棄， 如此一來， 當 黑客發送有攻擊性信息包的時候，在經過防火墻時， 信息就會被丟棄掉， 從而防止了黑客的進攻。 但是這 種做法仍然有它不足的地方， 例如黑客可以改變攻擊 性代碼的形態， 讓防火墻分辨不出信息包的真假； 或 者黑客干脆無休止的、 大量的發送信息包， 知道服務 器不堪重負而造成系統崩潰。3、修改系統協議：對于漏洞掃描，系統管理員可以修改服務器的相 應協議

15、，例如漏洞掃描是根據對文件的申請返回值對 文件存在進行判斷的， 這個數值如果是 200則表示文 件存在于服務器上，如果是 404 則表明服務器沒有找 到相應的文件， 但是管理員如果修改了返回數值、 或 者屏蔽 404 數值，那么漏洞掃描器就毫無用處了。4、經常升級系統版本： 任何一個版本的系統發布之后， 在短時間內都不 會受到攻擊， 一旦其中的問題暴露出來， 黑客就會蜂 擁而致。因此管理員在維護系統的時候， 可以經常瀏 覽著名的安全站點，找到系統的新版本或者補丁程序 進行安裝，這樣就可以保證系統中的漏洞在沒有被黑 客發現之前，就已經修補上了， 從而保證了服務器的 安全。5、及時備份重要數據：亡

16、羊補牢， 如果數據備份及時， 即便系統遭到黑 客進攻，也可以在短時間內修復， 挽回不必要的經濟 損失。想國外很多商務網站， 都會在每天晚上對系統 數據進行備份， 在第二天清晨， 無論系統是否收到攻 擊，都會重新恢復數據， 保證每天系統中的數據庫都 不會出現損壞。數據的備份最好放在其他電腦或者驅 動器上，這樣黑客進入服務器之后， 破壞的數據只是 一部分，因為無法找到數據的備份， 對于服務器的損 失也不會太嚴重。然而一旦受到黑客攻擊， 管理員不要只設法恢復 損壞的數據，還要及時分析黑客的來源和攻擊方法， 盡快修補被黑客利用的漏洞， 然后檢查系統中是否被 黑客安裝了木馬、蠕蟲或者被黑客開放了某些管理

17、員 賬號，盡量將黑客留下的各種蛛絲馬跡和后門分析清 除、清除干凈，防止黑客的下一次攻擊。6、使用加密機制傳輸數據： 對于個人信用卡、 密碼等重要數據， 在客戶端與 服務器之間的傳送，應該仙經過加密處理在進行發 送，這樣做的目的是防止黑客監聽、 截獲。對于現在 網絡上流行的各種加密機制， 都已經出現了不同的破 解方法，因此在加密的選擇上應該尋找破解困難的， 例如DES加密方法，這是一套沒有逆向破解的加密算 法，因此黑客的到了這種加密處理后的文件時， 只能 采取暴力破解法。個人用戶只要選擇了一個優秀的密 碼，那么黑客的破解工作將會在無休止的嘗試后終 止。二、防火墻使用說明： 1什么是防火墻？ 防火

18、墻的英文叫做 firewall ，它能夠在網絡與 電腦之間建立一道監控屏障， 保護在防火墻內部的系 統不受網絡黑客的攻擊。 邏輯上講，防火墻既是信息 分離器、 限制器， 也是信息分析器， 它可以有效地對 局域網和 Internet 之間的任何活動進行監控，從而 保證局域網內部的安全。網絡上最著名的軟件防火墻是 LockDown2000， 這套軟件需要經過注冊才能獲得完整版本， 它的功能 強大，小到保護個人上網用戶、 大到維護商務網站的 運作，它都能出色的做出驚人的表現。 但因為軟件的 注冊需要一定費用，所以對個人用戶來說還是選擇一 款免費的防火墻更現實。 天網防火墻在這里就更加適 合個人用戶的

19、需要了， 天網防火墻個人版是一套給個 人電腦使用的網絡安全程序， 它能夠抵擋網絡入侵和 攻擊，防止信息泄露。2、天網防火墻的基本功能： 天網防火墻個人版把網絡分為本地網和互聯網， 可以針對來自不同網絡的信息， 來設置不同的安全方 案，以下所述的問題都是針對互聯網而言的， 故所有 的設置都是在互聯網安全級別中完成的。 怎樣防止 信息泄露？ 如果把文件共享向互聯網開放，而且又 不設定密碼，那么別人就可以輕松的通過互聯網看到 您機器中的文件， 如果您還允許共享可寫， 那別人甚 至可以刪除文件。 你可以在個人防火墻的互聯網安 全級別設置中，將NETBIOS關閉，這樣別人就不能 通過INTERNE訪問你

20、的共享資源了（這種設置不會 影響你在局域網中的資源共享） 。當撥號用戶上網獲得了分配到的 IP 地址之后， 可以通過天網防火墻將ICMP關閉，這樣黑客用PING 的方法就無法確定使用者的的系統是否處于上網狀 態，無法直接通過 IP 地址獲得使用者系統的信息了。需要指出的是：防火墻攔截的信息并不完全是攻 擊信息，它記錄的只是系統在安全設置中所拒絕接收 的數據包。在某些情況下， 系統可能會收到一些正常 但又被攔截的數據包， 例如某些路由器會定時發出一 些IGMP包等；或有些主機會定時PING出數據到本 地系統確認連接仍在維持著， 這個時候如果利用防火 墻將ICMP和 IGMP屏蔽了，就會在安全記錄

21、中見到 這些被攔截的數據包， 因此這些攔截下來的數據包并 不一定是黑客對系統進行攻擊造成的。3、使用防火墻的益處： 使用防火墻可以保護脆弱的服務， 通過過濾不安 全的服務， Firewall 可以極大地提高網絡安全和減 少子網中主機的風險。 例如， Firewall 可以禁止 NIS、 NFS服務通過，同時可以拒絕源路由和ICMP重定向封包。另外防火墻可以控制對系統的訪問權限， 例如某 些企業允許從外部訪問企業內部的某些系統， 而禁止 訪問另外的系統，通過防火墻對這些允許共享的系統 進行設置，還可以設定內部的系統只訪問外部特定的 Mail Server 和 Web Server ，保護企業內部信息的 安全。4、防火墻的種類： 防火墻總體上分為包過濾、 應用級網關和代理服 務器等三種類型：(1)數據包過濾數據包過濾 (Packet Filtering)技術是在網絡層對數據包進行選擇， 選擇的依據是系統內設置的過 濾邏輯，被稱為訪問控制表 (Access Control Table) 。通過檢查數據流中每個數據包的源地址、 目 的地址、 所用的端口號、 協議狀態等因素， 或它們的 組合來確定是否允許該數據包通過。 數據包過濾防 火墻邏輯簡單， 價格便宜， 易于安裝和使用， 網絡性 能和透明性好， 它通常安裝在路由器上。 路由器是內 部網絡與 In