本文目录一览：

• 1、黑客常用攻击手段及其预防措施有那些?
• 2、电脑被黑客入侵后怎么办？
• 3、发生网络突发事件的应急预案
• 4、防范黑客攻击的措施有哪些？
• 5、《网络安全法》对网络安全应急预案有哪些要求
• 6、电脑被黑客攻击了。怎么处理

黑客常用攻击手段及其预防措施有那些?

黑客常用攻击手段揭秘及其预防措施介绍

目前造成网络不安全的主要因素是系统、协议及数据库等的设计上存在缺陷。由于当今的计算机网络操作系统在本身结构设计和代码设计时偏重考虑系统使用时的方便性，导致了系统在远程访问、权限控制和口令管理等许多方面存在安全漏洞。网络互连一般采用TCP/IP协议，它是一个工业标准的协议簇，但该协议簇在制订之初，对安全问题考虑不多，协议中有很多的安全漏洞。同样，数据库管理系统(DBMS)也存在数据的安全性、权限管理及远程访问等方面问题，在DBMS或应用程序中可以预先安置从事情报收集、受控激发、定时发作等破坏程序。

由此可见，针对系统、网络协议及数据库等，无论是其自身的设计缺陷，还是由于人为的因素产生的各种安全漏洞，都可能被一些另有图谋的黑客所利用并发起攻击。因此若要保证网络安全、可靠，则必须熟知黑客网络攻击的一般过程。只有这样方可在黒客攻击前做好必要的防备，从而确保网络运行的安全和可靠。

一、黑客攻击网络的一般过程

1、信息的收集

信息的收集并不对目标产生危害，只是为进一步的入侵提供有用信息。黑客可能会利用下列的公开协议或工具，收集驻留在网络系统中的各个主机系统的相关信息:

(1)TraceRoute程序 能够用该程序获得到达目标主机所要经过的网络数和路由器数。

(2)SNMP协议 用来查阅网络系统路由器的路由表，从而了解目标主机所在网络的拓扑结构及其内部细节。

(3)DNS服务器 该服务器提供了系统中可以访问的主机IP地址表和它们所对应的主机名。

(4)Whois协议 该协议的服务信息能提供所有有关的DNS域和相关的管理参数。

(5)Ping实用程序 可以用来确定一个指定的主机的位置或网线是否连通。

2、系统安全弱点的探测

在收集到一些准备要攻击目标的信息后，黑客们会探测目标网络上的每台主机，来寻求系统内部的安全漏洞，主要探测的方式如下:

(1)自编程序 对某些系统，互联网上已发布了其安全漏洞所在，但用户由于不懂或一时疏忽未打上网上发布的该系统的“补丁”程序，那么黒客就可以自己编写一段程序进入到该系统进行破坏。

(2)慢速扫描 由于一般扫描侦测器的实现是通过监视某个时间段里一台特定主机发起的连接的数目来决定是否在被扫描，这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。

(3)体系结构探测 黑客利用一些特殊的数据包传送给目标主机，使其作出相对应的响应。由于每种操作系统的响应时间和方式都是不一样的，黒客利用这种特征把得到的结果与准备好的数据库中的资料相对照，从中便可轻而易举地判断出目标主机操作系统所用的版本及其他相关信息。

二、协议欺骗攻击及其防范措施

1、源IP地址欺骗攻击

许多应用程序认为若数据包可以使其自身沿着路由到达目的地，并且应答包也可回到源地，那么源IP地址一定是有效的，而这正是使源IP地址欺骗攻击成为可能的一个重要前提。

假设同一网段内有两台主机A和B，另一网段内有主机X。B 授予A某些特权。X 为获得与A相同的特权，所做欺骗攻击如下:首先，X冒充A，向主机 B发送一个带有随机序列号的SYN包。主机B响应，回送一个应答包给A，该应答号等于原序列号加1。然而，此时主机A已被主机X利用拒绝服务攻击 “淹没”了，导致主机A服务失效。结果，主机A将B发来的包丢弃。为了完成三次握手，X还需要向B回送一个应答包，其应答号等于B向A发送数据包的序列号加1。此时主机X 并不能检测到主机B的数据包(因为不在同一网段)，只有利用TCP顺序号估算法来预测应答包的顺序号并将其发送给目标机B。如果猜测正确，B则认为收到的ACK是来自内部主机A。此时，X即获得了主机A在主机B上所享有的特权，并开始对这些服务实施攻击。

要防止源IP地址欺骗行为，可以采取以下措施来尽可能地保护系统免受这类攻击:

(1)抛弃基于地址的信任策略 阻止这类攻击的一种十分容易的办法就是放弃以地址为基础的验证。不允许r类远程调用命令的使用;删除.rhosts 文件;清空/etc/hosts.equiv 文件。这将迫使所有用户使用其它远程通信手段，如telnet、ssh、skey等等。

(2)使用加密方法 在包发送到 网络上之前，我们可以对它进行加密。虽然加密过程要求适当改变目前的网络环境，但它将保证数据的完整性、真实性和保密性。

(3)进行包过滤 可以配置路由器使其能够拒绝网络外部与本网内具有相同IP地址的连接请求。而且，当包的IP地址不在本网内时，路由器不应该把本网主机的包发送出去。有一点要注意，路由器虽然可以封锁试图到达内部网络的特定类型的包。但它们也是通过分析测试源地址来实现操作的。因此，它们仅能对声

电脑被黑客入侵后怎么办？

1、立即通过备份恢复被修改的网页。

2、建立被入侵系统当前完整系统快照，或只保存被修改部分的快照，以便事后分析和留作证据。

3、通过分析系统日志文件，或者通过弱点检测工具来了解黑客入侵系统所利用的漏洞。如果黑客是利用系统或网络应用程序的漏洞来入侵系统的，那么，就应当寻找相应的系统或应用程序漏洞补丁来修补它，如果目前还没有这些漏洞的相关补丁，我们就应当使用其它的手段来暂时防范再次利用这些漏洞的入侵活动。

4、修复系统或应用程序漏洞后，还应当添加相应的防火墙规则来防止此类事件的再次发生，如果安装有IDS/IPS和杀毒软件，还应当升级它们的特征库。

5、最后，使用系统或相应的应用程序检测软件对系统或服务进行一次彻底的弱点检测，在检测之前要确保其检测特征库是最新的。所有工作完成后，还应当在后续的一段时间内，安排专人对此系统进行实时监控，以确信系统已经不会再次被此类入侵事件攻击。

发生网络突发事件的应急预案

发生网络突发事件的应急预案1

为确保校园网安全有序平稳运行，保证校园网络信息安全和网络安全，更好的服务于学校的教育教学，为及时处置校园网信息网络安全事件，保障校园网作用的正常发挥，特制定本预案。

一、信息网络安全事件定义

1、校园网内网站主页被恶意纂改、交互式栏目里发表反政府、分裂国家和色情内容的信息及损害国家、学校声誉的谣言。

2、校园网内网络被非法入侵，应用计算机上的数据被非法拷贝、修改、删除。

3、在网站上发布的内容违反国家的法律法规、侵犯知识版权，已经造成严重后果。

二、网络安全事件应急处理机构及职责

1、设立信息网络安全事件应急处理领导小组，负责信息网络安全事件的组织指挥和应急处置工作。

2、学校网格安全领导小组职责任务

(1)、监督检查各教研组处室网络信息安全措施的落实情况。

(2)、加强网上信息监控巡查，重点监控可能出现有害信息的网站、网页。

(3)、及时组织有关部门和专业技术人员对校园网上出现的突发事件进行处理并根据情况的严重程度上报有关部门。

(4)、与市公安局网络安全监察部门保持热线联系，协调市公安局网监处安装网络信息监控软件，并保存相关资料日志在三个月以上。确保反应迅速，做好有关案件的调查、取证等工作。

三、网络安全事件报告与处置

事件发生并得到确认后，网络中心或相关科室人员应立即将情况报告有关领导，由领导(组长)决定是否启动该预案，一旦启动该预案，有关人员应及时到位。

网络中心在事件发生后24小时内写出事件书面报告。报告应包括以下内容：事件发生时间、地点、单位、事件内容，涉及计算机的IP地址、管理人、操作系统、应用服务，损失，事件性质及发生原因，事件处理情况及采取的措施;事故报告人、报告时间等。

学校网格安全领导小组成员承担校内外的工作联系，防止事态通过网络在国内蔓延。

网络中心人员进入应急处置工作状态，阻断网络连接，进行现场保护，协助调查取证和系统恢复等工作。对相关事件进行跟踪，密切关注事件动向，协助调查取证。

有关违法事件移交公安机关处理。

四、一般性安全隐患处理：

学校网络信息中心配备了正版-防火墙软件和瑞星防病毒软件，及时升级，及时清除杀灭网络病毒，检测入侵事件，将向管理员发出警报，管理员将在第一时间处理入侵事件，并报有关部门。对来往电子邮件及网络下载文件用防病毒软件软件过滤，确保不被木马类病毒侵入并在无意中协助传播病毒。

管理员对定期检查设备的运转情况，做好设备维护记录，保证设备高效稳定的运行。学校重要计算机出现硬件设备故障，管理员将在第一时间启用数据备份，保证数据不丢失，保证网络的正常运行。

发生网络突发事件的应急预案2

1、总则

为加强网络与信息安全管理，提高应急防范能力，保障基础信息网络和重要信息系统安全，维护校园安全社会稳定，制定本预案。

1.1编制目的

确保基础网络、电子政务、教务系统与其他重要信息系统的日常业务能够持续运行；确保信息的保密性、完整性、可靠性；保证学校突发公共事件信息传输的畅通。

1.2编制依据

（1）中华人民共和国计算机信息系统安全保护的相关法律法规。以及上级有关部门的文件规定。

（2）网络与信息安全主要威胁及隐患现象。当前我校网络与信息安全保障工作仍存在一些亟待解决的问题：病毒入侵和网络攻击日趋严重，网络失泄密事件屡有发生，网络与信息系统的防护水平不高，应急能力不强；信息安全管理和技术人才缺乏；信息安全法律法规和标准不完善；全社会信息安全意识不强，信息安全管理薄弱；随着我校信息化的逐步推进，特别是互联网的广泛应用，信息安全还将面临更多新的挑战。

1.3工作原则

（1）坚持积极防御，综合防范的方针。

（2）坚持统一领导、分级负责和“谁主管谁负责”的原则。

（3）坚持条块结合、以块为主的原则。

（4）坚持依法管理、规范有序的原则。

1.4适用范围

校园网络与信息系统，重点是信息基础设施、重要业务系统。

2、预警级别

网络与信息安全重大突发事件是指由于自然灾害、设备软硬件故障、内部人为失误或破坏、利用计算机病毒进行破坏，境内外敌对势力、敌对分子利用信息网络进行有组织的大规模宣传、煽动和渗透活动，以及对校内信息网络或设施、重点网站进行大规模的破坏活动等原因，严重影响到我校网络与信息系统的正常运行，出现业务中断、系统破坏、数据破坏、信息失窃密或泄密等，形成不良影响并造成一定程度直接或间接经济损失的事件。

根据上级的要求，我校网络与信息安全突发事件划分为五个等级：

第一级为自主保护级 。是单一地点及冲击或损害相对较小的事件。指一般的信息和信息网络系统，其受到破坏后，会对学校的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益。

　 　第二级为指导保护级。 是对运行造成严重损害的单一地方安全事件。指一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害。

　 　第三级为监督保护级。 是两个或两个以上地点的安全事件，但只造成较小的`冲击或损害。指涉及国家安全、社会秩序、经济建设和公共利益的信息，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害。

第四级为强制保护级。 是对多地点造成特大冲击或损害的安全事件。指涉及国家安全、社会秩序、经济建设和公共利益的重要信息，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成严重损害。

　 　第五级为专控保护级。 是对多点系统造成巨大冲击或严重损害的安全事件。指涉及国家安全、社会秩序、经济建设和公共利益的核心信息，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。

全校网络与信息安全突发事件实行分等级响应、处置的制度。对第一、第二级别的网络与信息安全突发事件由事件发生部门自行作应急处理；对第三、四级别的网络与信息安全突发事件由相应主管部门信息安全突发事件应急机构处理；对第五级别的网络与信息安全突发事件启动报告上级处理应急预案。

3、应急组织领导体系及职责任务

3.1应急组织领导体系

全校网络与信息安全突发事件防范及应急处置工作由校网络与信息安全协调小组统一领导、指挥、协调。

（1）丰海中学网络与信息安全协调小组组成：

组长：

副组长：

成员：校长室党支部校长办公室会计室教导处总务处团支部工会学校网络中心的全体成员

（2）丰海中学网络与信息安全突发事件应急办公室

设立丰海中学网络与信息安全突发事件应急办公室，设在校网络中心办公室，其组成：

主任：

副主任：

成员：

3.2职责及任务

（1）校网络与信息安全协调小组承担网络与信息安全方面突发应急事件的主要职责及任务：

①审查批准学校信息与网络安全突发事件应急方案。决定五级突发事件应急预案的启动，督促检查三级和四级突发事件处置工作；

②对各部门贯彻执行有关法律法规、制定应急处置预案、应急处置准备情况进行督促检查；

③对各部门在突发事件处置工作中履行职责情况进行督促检查，开展表彰奖励活动；

④向上级部门报告突发事件以及应急处置情况；

⑤按照上级网络与信息安全协调小组的要求开展处置工作。

（2）学校网络与信息安全突发事件应急办公室承担突发应急事件的日常工作。其主要职责及任务：

①组织制定网络与信息安全突发事件应急方案；

②统筹规划建立应急处理技术平台，会同其他成员制定相关应急措施；

③提出启动预案，加强或撤销控制措施的建议和意见；

④协调各部门共同做好网络与信息安全突发事件的处置工作；

⑤督促、检查应急措施的落实情况；

⑥配合校内外各部门基础设施的安全应急保障工作，确保信息传输通畅。

⑦负责电子政务、校务网络应急指挥系统的建设与管理。

⑧负责及时收集、上报和通报应急事件的有关情况，向学校及上级部门报告有关工作情况。

（3）学校网络中心：负责学校网络信息监控及网络运行安全监测，实施网络信息、网络安全报警处置平台建设；负责对网上有害信息传播的处置；负责对影响社会稳定的网上热点问题恶意炒作事件的处置；负责对重大敏感时期、重要活动、重要会议期间重点网站发生信息安全事件的处置；负责计算机病毒疫情和大规模网络攻击事件的处置；会同有关部门提出信息网络安全突发事件的具体等级标准。

（4）校长办公室：负责处置利用信息网络危害国家安全的违法犯罪活动等。

（5）校长室：负责组织协调有关部门查处利用计算机网络泄露国家秘密的违法行为。

（6）总务处：负责校园网络等基础设施的安全应急保障工作，确保信息传输通畅。

（7）会计室：负责建立学校网络与信息安全突发事件应急处置经费保障机制，保证应急处理体系建设和突发事件应急处置所需经费。

（8）网络与信息安全小组主要负责网络与信息安全技术方面重大问题的咨询和处理。

（10）各有关部门负责各自范围内的网络与信息安全管理和突发事件应急处置工作，应参照本预案，建立本部门应急处置机制。对基础网络设施、重要业务系统坚持“谁主管谁负责”的原则。

4、应急处理程序

4.1突发事件报告

(1)发生信息安全突发事件的部门应当在事件被发现时，应立即向校网络与信息安全突发事件应急办公室报告。

(2)发生信息安全突发事件的部门应当立即对发生的事件进行调查核实、保存相关证据，确定事件等级，上报相关材料或提出预案申请。

4.2预案启动

(1)各部门应当及时作出是否启动本级预案的决定，并报校网络与信息安全突发事件应急办公室备案，或向学校网络与信息安全突发事件应急办公室提出启动预案的申请。

(2)校网络与信息安全突发事件应急办公室接到申请后，应立即上报上级网络与信息安全协调小组的领导，并会同成员部门尽快组织对突发事件时间、性质、级别及启动预案的时机进行评估，提出启动预案的意见，报校网络与信息安全协调小组批准。

(3)学校网络与信息安全协调小组在作出是否启动市级预案的决定后，立即通知与应急处理相关的各部门。

4.3现场应急处理

发生信息安全突发事件的部门按各部门作出启动本级预案的决定，或报经学校网络与信息安全协调小组批准启动预案，须作好现场应急处理。

(1)尽最大可能收集事件相关信息，正确定位威胁和安全事件的来源，缩短响应时间。

(2)检查威胁造成的结果：如检查系统、服务、数据的完整性、保密性或可用性，检查攻击者是否侵入了系统，再次侵入的可能性，损失的程度，确定暴露出的主要危险等。

(3)抑制事件的影响进一步扩大，限制潜在的损失与破坏。可能的抑制策略一般包括：关闭服务或关闭所有的系统，从网络上断开相关系统，修改防火墙和路由器的过滤规则，封锁或删除被攻破的登录帐号，阻断可疑用户得以进入网络的通路，提高系统或网络行为的监控级别，设置陷阱，启用紧急事件下的接管系统，实行特殊防卫状态安全警戒，反击攻击者的系统等。

(4)根除。在事件被抑制之后，通过对有关恶意代码或行为的分析结果，找出事件根源，明确响应的补救措施并彻底清除。与此同时，对攻击源进行定位并采取合适的措施将其中断。

(5)恢复信息。恢复数据、程序、服务、系统。清理系统，把所有被攻击的系统和网络设备彻底还原到它们正常的任务状态。恢复中涉及机密数据，需要严格遵照机密系统的恢复要求。

4.4应急预案终止

(1)发生信息安全突发事件的部门根据信息安全事件的处置进展情况，及时向学校应急办提出终止应急预案建议。

(2)学校网络与信息安全突发事件应急办公室接到终止应急预案建议后，组织相关部门对信息安全事件的处置情况进行综合评估，按预案级别做出决定，并报网络与信息安全协调小组备案。

(3)总结。回顾并整理发生事件的各种相关信息，详细记录所有情况，认真总结经验教训，提出改进措施，逐级上报调查报告。

5、保障措施

各部门要在学校网络与信息安全协调小组的统一领导下，认真履行各自职责，落实任务，密切配合，确保应急预案有效实施，并做好各项保障措施。

(1)高度重视网络与信息安全突发事件应急预案工作。各部门要充分认识到网络与信息安全突发事件应急预案工作的重要性，落实工作责任，加强安全应急的宣传教育和技术培训，确保此项工作落到实处。

(2)积极推行信息安全等级保护，逐步实行信息安全风险评估。各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复。制定并不断完善信息安全应急处置预案。针对基础信息网络的突发性、大规模安全事件，各相关部门要建立科学化、制度化的处理流程。

(3)建立健全指挥调度机制和信息安全通报制度，进一步完善信息安全应急协调机制。

(4)建立应急处理技术平台，进一步提高安全事件的发现和分析能力，从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。

(5)加强信息安全人才的培养，强化信息安全宣传教育，尽快建设一支高素质、高技术的信息安全核心人才及管理队伍，提高全社会网络与信息安全防御意识。

(6)加强对攻击网络与信息的分析和预警，进一步提高网络与信息安全监测能力，加大对计算机犯罪的防范力度。

(7)大力发展网络与信息安全服务，增强社会应急支援能力。

(8)提供必要的交通运输保障和经费保障，优化信息安全应急处理工作的物资保障条件。

(9)明确监督主体和责任，对预案实施的全过程进行监督检查，保障应急措施到位，预案实施有效。

6、附则

(1)本预案自批准之日起执行。

(2)各有关部门应参照本预案，制定各自的网络与信息安全突发事件应急预案。

(3)本预案由学校校长办公室负责解释。

防范黑客攻击的措施有哪些？

-- 如何防范黑客

1、屏蔽可以IP地址：

这种方式见效最快，一旦网络管理员发现了可疑的IP地址申请，可以通过防火墙屏蔽相对应的IP地址，这样黑客就无法在连接到服务器上了。但是这种方法有很多缺点，例如很多黑客都使用的动态IP，也就是说他们的IP地址会变化，一个地址被屏蔽，只要更换其他IP仍然可以进攻服务器，而且高级黑客有可能会伪造IP地址，屏蔽的也许是正常用户的地址。

2、过滤信息包：

通过编写防火墙规则，可以让系统知道什么样的信息包可以进入、什么样的应该放弃，如此一来，当黑客发送有攻击性信息包的时候，在经过防火墙时，信息就会被丢弃掉，从而防止了黑客的进攻。但是这种做法仍然有它不足的地方，例如黑客可以改变攻击性代码的形态，让防火墙分辨不出信息包的真假；或者黑客干脆无休止的、大量的发送信息包，知道服务器不堪重负而造成系统崩溃。

3、修改系统协议：

对于漏洞扫描，系统管理员可以修改服务器的相应协议，例如漏洞扫描是根据对文件的申请返回值对文件存在进行判断的，这个数值如果是200则表示文件存在于服务器上，如果是404则表明服务器没有找到相应的文件，但是管理员如果修改了返回数值、或者屏蔽404数值，那么漏洞扫描器就毫无用处了。

4、经常升级系统版本：

任何一个版本的系统发布之后，在短时间内都不会受到攻击，一旦其中的问题暴露出来，黑客就会蜂拥而致。因此管理员在维护系统的时候，可以经常浏览著名的安全站点，找到系统的新版本或者补丁程序进行安装，这样就可以保证系统中的漏洞在没有被黑客发现之前，就已经修补上了，从而保证了服务器的安全。

5、及时备份重要数据：

亡羊补牢，如果数据备份及时，即便系统遭到黑客进攻，也可以在短时间内修复，挽回不必要的经济损失。想国外很多商务网站，都会在每天晚上对系统数据进行备份，在第二天清晨，无论系统是否收到攻击，都会重新恢复数据，保证每天系统中的数据库都不会出现损坏。数据的备份最好放在其他电脑或者驱动器上，这样黑客进入服务器之后，破坏的数据只是一部分，因为无法找到数据的备份，对于服务器的损失也不会太严重。

然而一旦受到黑客攻击，管理员不要只设法恢复损坏的数据，还要及时分析黑客的来源和攻击方法，尽快修补被黑客利用的漏洞，然后检查系统中是否被黑客安装了木马、蠕虫或者被黑客开放了某些管理员账号，尽量将黑客留下的各种蛛丝马迹和后门分析清除、清除干净，防止黑客的下一次攻击。

6、使用加密机制传输数据：

对于个人信用卡、密码等重要数据，在客户端与服务器之间的传送，应该仙经过加密处理在进行发送，这样做的目的是防止黑客监听、截获。对于现在网络上流行的各种加密机制，都已经出现了不同的破解方法，因此在加密的选择上应该寻找破解困难的，例如DES加密方法，这是一套没有逆向破解的加密算法，因此黑客的到了这种加密处理后的文件时，只能采取暴力破解法。个人用户只要选择了一个优秀的密码，那么黑客的破解工作将会在无休止的尝试后终止。

《网络安全法》对网络安全应急预案有哪些要求

《网络安全法》第25条规定：网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病 毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

《网络安全法》第53条规定：国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制，制定网络安全事件应急预案，并定期组织演练。

负责关键基础信息设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案，并定期组织演练。网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级，并规定相应的应急处置措施。

网络安全应急预案应立足安全防护，加强预警，重点保护重要信息网络和关系社会稳定的重要信息系统， 在预防、监控、应急处理、应急保障等方面采取多种措施，构筑网络与信息安全保障体系。加强计算机信息网 络安全的宣传和教育，提高工作人员的信息安全意识。 要对机房、网络设备、服务器等设施定期开展安全检查, 密切关注互联网信息动态，及时获取充分而准确的信息， 跟踪研判，果断决策，迅速处置，最大限度地减少危害和影响。

希望可以帮到您，谢谢！

电脑被黑客攻击了。怎么处理

黑客入侵电脑的方式主要有如下: 1、隐藏黑客的位置 : 典型的黑客会使用如下技术隐藏他们真实的IP地址:

利用被侵入的主机作为跳板;

在安装Windows 的计算机内利用Wingate 软件作为跳板;利用配置不当的Proxy作为跳板。 更老练的黑客会使用电话转接技术隐蔽自己。他们常用的手法有:利用800 号电话的私人转接服务联接ISP, 然后再盗用他人的账号上网;通过电话联接一台主机,再经由主机进入Internet。 使用这种在电话网络上的"三级跳"方式进入Internet 特别难于跟踪。理论上,黑客可能来自世界任何一个角落。如果黑客使用800号拨号上网,他更不用担心上网费用。 2、网络探测和资料收集: 黑客利用以下的手段得知位于内部网和外部网的主机名。 使用nslookup 程序的ls命令;

通过访问公司主页找到其他主机;

阅读FTP服务器上的文挡;

联接至mailserver 并发送 expn请求;

Finger 外部主机上的用户名。 在寻找漏洞之前,黑客会试图搜集足够的信息以勾勒出整个网络的布局。利用上述操作得到的信息,黑客很容易列出所有的主机,并猜测它们之间的关系。 3、找出被信任的主机: 黑客总是寻找那些被信任的主机。这些主机可能是管理员使用的机器,或是一台被认为是很安全的服务器。 下一步,他会检查所有运行nfsd或mountd的主机的NFS输出。往往这些主机的一些关键目录(如/usr/bin、/etc和/home)可以被那台被信任的主机mount。

Finger daemon 也可以被用来寻找被信任的主机和用户,因为用户经常从某台特定的主机上登录。 黑客还会检查其他方式的信任关系。比如,他可以利用CGI 的漏洞,读取/etc/hosts.allow 文件等等。 分析完上述的各种检查结果,就可以大致了解主机间的信任关系。下一步, 就是探测这些被信任的主机哪些存在漏洞,可以被远程侵入。 4、找出有漏洞的网络成员: 当黑客得到公司内外部主机的清单后,他就可以用一些Linux 扫描器程序寻找这些主机的漏洞。黑客一般寻找网络速度很快的Linux 主机运行这些扫描程序。 所有这些扫描程序都会进行下列检查:

TCP 端口扫描;

RPC 服务列表;

NFS 输出列表;

共享(如samba、netbiox)列表;

缺省账号检查;

Sendmail、IMAP、POP3、RPC status 和RPC mountd 有缺陷版本检测。 进行完这些扫描,黑客对哪些主机有机可乘已胸有成竹了。

如果路由器兼容SNMP协议,有经验的黑客还会采用攻击性的SNMP 扫描程序进行尝试, 或者使用"蛮力式"程序去猜测这些设备的公共和私有community strings。

5、利用漏洞: 现在,黑客找到了所有被信任的外部主机,也已经找到了外部主机所有可能存在的漏洞。下一步就该开始动手入侵主机了。 黑客会选择一台被信任的外部主机进行尝试。一旦成功侵入,黑客将从这里出发,设法进入公司内部的网络。但这种方法是否成功要看公司内部主机和外部主机间的过滤策略了。攻击外部主机时,黑客一般是运行某个程序,利用外部主机上运行的有漏洞的daemon窃取控制权。有漏洞的daemon包括Sendmail、IMAP、POP3各个漏洞的版本,以及RPC服务中诸如statd、mountd、pcnfsd等。有时,那些攻击程序必须在与被攻击主机相同的平台上进行编译。 6、获得控制权: 黑客利用daemon的漏洞进入系统后会做两件事:清除记录和留下后门。 他会安装一些后门程序,以便以后可以不被察觉地再次进入系统。大多数后门程序是预先编译好的,只需要想办法修改时间和权限就可以使用,甚至于新文件的大小都和原有文件一样。黑客一般会使用rcp 传递这些文件,以便不留下FTP记录。一旦确认自己是安全的,黑客就开始侵袭公司的整个内部网。 7.窃取网络资源和特权: 黑客找到攻击目标后,会继续下一步的攻击,步骤如下:

(1)下载敏感信息 (2)攻击其他被信任的主机和网络 (3)安装sniffers (4)瘫痪网络