黑客通过什么技术追踪(黑客追踪器)
本文目录一览:
如何跟踪发现黑客的举动
如果当你受到黑客攻击之后,都很想搞清楚自哪里,是什么人在攻击自己,这样我们就可以有针对性的进行黑客的防范工作。那么如何才能作到这一点呢?这就需要我们对黑客进行追踪,并把黑客的老底给“掏”出来,这其中有很多门道,实现起来也有一定的难度。本章针对普通用户的防黑需求介绍了从发现黑客入侵到追踪黑客的各种方法,目的是让读者读完本章之后对追踪黑客的技术有个大致的了解,读完本章之后,你会发现追踪黑客是很吸引人的事情。
如何发现黑客入侵
及时发现黑客入侵对于能否成功地进行追踪是至关重要的,但很多的黑客入侵事件并不为人们所知,因为黑客入侵有时持续的时间很短,在人们还没有发觉的时候攻击就已经结束了。而且比较高明的黑客在入侵完成后还要隐藏或删除自己入侵的痕迹,所以如果发现得晚,黑客可能把一些日志等相关的文档删掉了,给追踪带来很大的难度。
本文中首先以CA的eTrust Intrusion Detection(入侵检测系统)为例,介绍关于专业入侵检测系统的知识,然后再介绍没有入侵检测系统的时候如何来发现黑客入侵。
网络安全警察是怎样查处黑客的,是通过查找其IP地址么
网络安全警察是通过查找其IP地址的。
网警抓黑客的主要技术是计算机取证技术,又称为数字取证或电子取证。它是一门计算机科学与法学的交叉科学,是对计算机犯罪的证据进行获取、保存、分析和出示的一个过程。而黑客与网警较量的技术自然就叫计算机反取证技术,即删除或者隐藏证据从而使网警的取证工作无效。
扩展资料:
分析数据常用的手段有:
1.用搜索工具搜索所有的逻辑文件Slack磁盘空间、自由空间、未分配的空间中所有特定的数据。打个比方说:在上午10点的时候发生了入侵事件,那么在使用搜索工具时肯定是首先搜索记录时间为10点左右的文件 。
2.由于黑客在入侵时会删除数据,所以我们还要用数据恢复工具对没有覆盖的文件进行恢复 。
3.对系统中所有加密的文件进行解密 。
4.用MD5对原始证据上的数据进行摘要,然后把原始证据和摘要信息保存。
上面的就是网警在取证时所要进行技术处理的地方,然后根据分析的结果(如IP地址等等)来抓人。
黑客追踪系统是怎么回事?
黑客追踪系统可以有效地提高计算机网络体系的抗黑客攻击能力,保护投资者和保证用户服务的正常运行,并能够为日后的追查证据。本系统采用分布式结构,分为防护代理、地址提取代理和黑客追踪三个子系统,分别运行在被保护主机、统一后台管理系统的中心服务器和HTS服务器上,主要实时监测网络黑客的远程攻击以防黑客利用网络协议漏洞和主机上运行的网络服务程序漏洞进入系统或造成服务瘫痪,并且追踪黑客来源,生成安全日志和向安全管理提出报警。楼上的胡说八道呢
黑客攻击主要有哪些手段?
攻击手段
黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行,并不盗窃系统资料,通常采用拒绝服务攻击或信息炸弹;破坏性攻击是以侵入他人电脑系
统、盗窃系统保密信息、破坏目标系统的数据为目的。下面为大家介绍4种黑客常用的攻击手段
1、后门程序
由于程序员设计一些功能复杂的程序时,一般采用模块化的程序设计思想,将整个项目分割为多个功能模块,分别进行设计、调试,这时的后门就是一个模块的秘密入口。在程序开发阶段,后门便于测试、更改和增强模块功能。正常情况下,完成设计之后需要去掉各个模块的后门,不过有时由于疏忽或者其他原因(如将其留在程序中,便于日后访问、测试或维护)后门没有去掉,一些别有用心的人会利用穷举搜索法发现并利用这些后门,然后进入系统并发动攻击。
2、信息炸弹
信息炸弹是指使用一些特殊工具软件,短时间内向目标服务器发送大量超出系统负荷的信息,造成目标服务器超负荷、网络堵塞、系统崩溃的攻击手段。比如向未打补丁的 Windows 95系统发送特定组合的 UDP 数据包,会导致目标系统死机或重启;向某型号的路由器发送特定数据包致使路由器死机;向某人的电子邮件发送大量的垃圾邮件将此邮箱“撑爆”等。目前常见的信息炸弹有邮件炸弹、逻辑炸弹等。
3、拒绝服务
拒绝服务又叫分布式D.O.S攻击,它是使用超出被攻击目标处理能力的大量数据包消耗系统可用系统、带宽资源,最后致使网络服务瘫痪的一种攻击手段。作为攻击者,首先需要通过常规的黑客手段侵入并控制某个网站,然后在服务器上安装并启动一个可由攻击者发出的特殊指令来控制进程,攻击者把攻击对象的IP地址作为指令下达给进程的时候,这些进程就开始对目标主机发起攻击。这种方式可以集中大量的网络服务器带宽,对某个特定目标实施攻击,因而威力巨大,顷刻之间就可以使被攻击目标带宽资源耗尽,导致服务器瘫痪。比如1999年美国明尼苏达大学遭到的黑客攻击就属于这种方式。
4、网络监听
网络监听是一种监视网络状态、数据流以及网络上传输信息的管理工具,它可以将网络接口设置在监听模式,并且可以截获网上传输的信息,也就是说,当黑客登录网络主机并取得超级用户权限后,若要登录其他主机,使用网络监听可以有效地截获网上的数据,这是黑客使用最多的方法,但是,网络监听只能应用于物理上连接于同一网段的主机,通常被用做获取用户口令。
5、DDOS
黑客进入计算条件,一个磁盘操作系统(拒绝服务)或DDoS攻击(分布式拒绝服务)攻击包括努力中断某一网络资源的服务,使其暂时无法使用。
这些攻击通常是为了停止一个互联网连接的主机,然而一些尝试可能的目标一定机以及服务。
2014年的DDoS攻击已经达28 /小时的频率。这些攻击的主要目标企业或网站的大流量。
DDOS没有固定的地方,这些攻击随时都有可能发生;他们的目标行业全世界。分布式拒绝服务攻击大多出现在服务器被大量来自攻击者或僵尸网络通信的要求。
服务器无法控制超文本传输协议要求任何进一步的,最终关闭,使其服务的合法用户的一致好评。这些攻击通常不会引起任何的网站或服务器损坏,但请暂时关闭。
这种方法的应用已经扩大了很多,现在用于更恶意的目的;喜欢掩盖欺诈和威慑安防面板等。
6、密码破解当然也是黑客常用的攻击手段之一。
如何进行入侵追踪?
谈到入侵检测系统的响应模块,人们经常会提出一个有趣的问题,那就是入侵的追踪。攻击者为了避免身份的暴露,惯用的手法是首先攻破一个系统,然后使用网络跳转(HOP)的办法利用它作为平台来攻击另一个系统,很多情况下甚至经过多次跳转才到达真正的攻击目标。这种情况下,无论是目标系统的安全管理员,还是政府的安全部门,都希望能够追查到攻击者的真实来源,为入侵行为责任的判定提供保证。
给定一系列的主机H1,H2,…,Hn(n2),当攻击者顺序从Hi连接到Hi+1(i=1,2,…,n-1),我们称 H1,H2,…,Hn 为一个连接链(connection chain),追踪的任务就是给定Hn,要找出Hn-1,…,H1的部分或全部。追踪入侵者是一项艰巨的任务,由于目前Internet所采用的协议本身(IPv4)没有考虑到身份认证等问题,并且在实际工作中不同的网络处在不同的管理之下,要做到及时的追踪是很困难的。从技术上讲目前还没有很好的解决这个问题,但是已经有了若干研究成果。
作为一种网络安全机制,入侵追踪应该建立在网络资源的相互信任的基础上,应该具有抵抗攻击的健壮性。由于网络的特点,追踪必然是一个分布式的,需要多节点的有效协调的体系。现在的网络入侵是发生在网络上,入侵过程需要的时间可能非常短,这就要求追踪必须是高效的和准确的。并且,追踪系统应该能够以最小的代价提供一个快速的响应机制。
一般的说,目前的追踪方法可以分为两个大的种类,基于主机的和基于网络的,其中每一种又可以分为主动式的和被动式的,下表根据这种分类给出了一些追踪系统的例子:
DIDS是UC Davis开发的一种分布式入侵检测系统,这种系统提供了一种基于主机的追踪机制,凡是在DIDS监测下的主机都能够记录用户的活动,并且将记录发往一个中心计算节点进行分析,因此DIDS具有在自己监测网络下的入侵追踪能力,但是在Internet范围内大规模的部署这样的检测系统是不现实的,尤其是这套系统需要一个中心控制节点。
CIS(Caller Identification System)是另一种基于主机的追踪系统,它使用了真正的分布模型来代替DIDS的中心控制机制,每一个主机都保留了一个连接链的记录,例如当用户从n-1个节点要登录到第n个节点的时候,第n个节点要向节点n-1 询问该用户的连接链,然后向n-2,…,1节点询问连接链,只有当所有的信息都匹配的时候,用户才能登录到主机n,很显然这种追踪方式大大加重了网络和系统的负担。
Caller ID是一种很有趣的基于主机的追踪方式,据说这种方式是美国空军采用的,这种方法其实就是采用黑客手段沿着连接链对各个主机进行攻击,如果攻击者沿着H0,H1,…,Hn这样的连接链最终登录到Hn,那么H1,…,Hn-1这些主机很可能都具有某种安全漏洞,这样高级安全专家也有很大的机会可以攻击这些系统,最终回溯到H0。当然这种方式只能被军方这样拥有强大技术力量和法律授权的单位采用。
基于主机的追踪体系最大的问题是它的信任模型,它必须信任追踪系统中的每一个节点,如果其中某个节点被成功的攻击而向别的节点提供错误的信息,那么整个系统都会失效,并且可能产生戏剧性的效果。由于这种方法要求大规模的部署追踪系统,在Internet上是无法实现的。
基于网络的追踪既不要求每一个被监视节点的参与,也不基于对每个节点的信任,因此具有某些很好的特性。这种方法基于网络本身的特性,例如当数据在连接链中流动的时候,应用层的数据基本是不变的。利用这种特性thumbprint技术对应用层数据进行摘要,摘要可能采用了某种Hash算法,算法保证了这样的摘要可以唯一的区分不同的连接,并且可以根据摘要有效的进行追踪。但是当应用层数据发生微小的变动时就可能使这种方法失效。
为了克服这个缺点产生了其他一些方法,例如Time-based系统使用连接的时间特性来区分各个连接,deviation-based方法定义两次TCP连接之间最小的延迟作为“deviation”,这些方法都有其优点,但是都难以在Internet上大规模部署。上面的方法都属于被动式的追踪方法,这一类方法有一个共同的缺点就是计算复杂,不管采用其中哪种办法都涉及到大量的计算,考虑到现在网络的速度,大规模的采用其中任何一种方法都是不可能的。
目前看来,对于Internet环境来说,主动式的追踪方法具有很好的特点,它并不需要对每一个包计算,然后进行比较。这方面的研究很多都要涉及到信息隐藏技术。例如针对http协议,在返回的http报文中加入用户不易察觉,并且具有特殊标记的内容,在网络中检测这些特殊标记,还可以利用java,cookie等技术在用户机器上留下某种标记,目前主动式的追踪技术在国外已经有了一些实用化的工具,但是基本上还处于保密研究的阶段。
