抵御黑客攻击的七大策略

 
　★策略一：主机的服务端口关上 
　　主机大部分都提供WWW、Mail、FTP、BBS等日常网络服务，每一台网络主机原则上可以同时提供几种服务， 一台主机为何能够提供如此多的服务呢？因为，Unix/Windows系统是一种多用户、多任务的系统，将网络 服务划分为许多不同的端口，每一个端口提供一种不同服务，一个服务会有一个程序时刻监视端口活动， 并且给予应有的应答。并且，端口的解释已经成为了准则 ，例如：FTP服务的端口是21，Telnet服务的端口 是23，WWW服务的端口是80等。
　　黑客经常运用一些像Portscan这样的工具软件，对目标主机一定范围的端口执行 扫描。这样可以全部掌握 目标主机的端口情况。有一个好工具Haktek，这是一个非常实用的工具软件，它将许多使用集成在一起， 其中包括： Ping、IP地址范围扫描、目标主机端口扫描、邮件炸弹、过滤邮件、Finger主机等都是非常实 用的工具。完成目标主机扫描任务，首先告诉Haktek目标主机的位置，即域名或IP地址。然后挑选端口扫 描，输入扫描范围，开始扫描，屏幕很快返回激活的端口号以及对应的服务。对资料的收集非常快速完整 。因此，如果怀疑或确认主机遭到黑客攻击，首先要立即关上主机上可能被黑客运用 的服务端口，以阻断 黑客入侵的渠道。
　　★策略二：终止可疑进程，防止运用危险进程
　　对于Windows操作系统，按Ctrl + Alt + Del打开任务管理器，终止可疑的进程。发觉可疑进程后，运用 Windows的查找功能，查找该进程所在的细致 路径，通过路径可以知晓该进程能无法 正当，譬如由路径 “C:\Program Files\3721\assistse.exe”知晓该程序是3721的进程，是正当的。如果在对进程能无法 正当 进程拿不定主意时，可以复制该进程的全名，如：“xxx.exe”到www.baidu.com这样的全球搜查引擎上进 行搜索。确定了该进程是黑客进程，首先应该杀掉该进程，对于Windows 9x系统，选中该进程后，点击下 面的“结束任务”按钮，Windows 2000、Windows xp 、Windows 2003系统则在进程上单击右键在弹出菜单 上挑选 “结束任务”。终止进程后找到该进程的路径删除掉即可，完成后最好再执行 一次杀毒，这样就万 无一失了。一次运用 进程管理器杀可疑进程的细致 流程是这样的：“通过进程名及路径判断能无法 可疑——杀掉进程——删除进程程序”。在遭到黑客入侵后，除了杀掉系统中的可疑进程外，还应该防止运用危险的可能被黑客运用 的进程。
　　★策略三：主机账号和密码的修改
　　根据平时的体会，一些系统总有一些习惯性的常用账号，这些账号都是系统中因为某种使用而配置的。例 如：Windows操作系统的administrator账号，打造 WWW站点的账号可能是html、www、web等，安装Oracle数 据库的可能有Oracle的账号，用户培训或教程而配置的user1、user2、student1、student2、client1、 client2等账户，一些常用的英文名字也经常会运用，例如：tom、john等，因此黑客可以根据系统所提供 的服务和在其主页得到的工作人员的名字信息执行 猜测。
　　结束进程示意图对很多黑客入侵系统实例的剖析表明，由于普通用户对系统安全没有细致 的识别，因此其密码很容易被猜测出来，一般用户的原始密码大部分和其账号相同，这根本没有一点安全性，在得到其账号信息后就得到了它的密码；另外一部分运用的密码比较基本，例如：将账号的第一个字母大写、后面加一个数字，或者运用基本数字0、1等作为密码。还有一些成对的账号和密码，例如：账号是admin，那么密码可能是manager等。在对普通用户执行 测试密码时，实际上也可以对目标主机系统的主要账号执行 猜测，例如：一些系统管理员将root的密码定为主机的名字，像Sun、Digital、sparc20、alpha2100等，Oracle数据库的账号密码为oracle7、oracle8等，因此经常发生系统安全的事故。

　因此，在遭到黑客入侵后，应及时修改主机的账号和密码，以防止黑客再次通过这些账号和密码侵入您的 主机。
　　★策略四：主机系统日志的检查与备份
　　主机系统的日志记录提供了对系统活动的细致审计，这些日志用于评估、审查系统的运行环境和各种操作 。对于一般情况 ，日志记录包括记录用户登录时间、登录地点、执行 什么操作等内容，如果运用得当，日 志记录能向系统管理员提供相关危害安全的侵害或入侵试图等非常有用的信息。
　　以Unix系统为例，提供了细致的各种日志记录，以及相关日志的大量工具和实用程序。这些审计记录通常 由程序自动产生，是缺省配置的一部分，能够帮助Unix管理员来寻找系统中存在的疑问，对系统维护十分 有用。还有另一些日志记录，须要管理员执行 配置才能生效。大部分日志记录文件被保存在/var/log目录 中，在这个目录中除了保存系统生成日志之外，还包括一些使用软件的日志文件。当然/var目录下的其他 子目录中也会记录下一些其他种类的日志记录文件，这依赖于细致 的使用程序的配置。系统登录日志会保 存每个用户的登录记录，这些信息包括这个用户的名字、登录起始结束时间以及从何处登录入系统的等等 。
　　当遭到黑客入侵之后，应当及时检查和备份主机系统日志，对黑客所破坏的系统执行 及时的还原。
　　★策略五：关键数据的备份
　　数据备份就是将数据以某种形式加以保存，以便在系统遭受破坏或其他特定情况下，重新加以运用 的一个 流程。数据备份的根本目的是重新运用 ，这也就是说，备份工作的核心是还原。数据备份作为存储领域的 一个主要组成部分，其在存储系统中的位置和作用都是不容忽视的。对一个完整的企业IT系统而言，备份 工作是其中必不可少的组成部分。其意义不仅在于防备意外事件的破坏，而且还是历史数据保存归档的最 佳形式。换言之，即便系统正常工作，没有任何数据丢失或破坏发生，备份工作仍然具有非常大的意义— —为我们执行 历史数据查询、统计和剖析，以及主要信息归档保存提供了可能。
　　如果您的主机不幸遭到黑客的入侵，那么你首先要做的就是备份主机中幸存的关键数据，以便在系统重新 还原正常运转后及时地还原系统数据。
　　★策略六：查询防火墙日志细致记录、修改防火墙安全策略
　　随着网络攻击手段和信息安全技能的发展，新一代的功能更强大、安全性更强的防火墙已经问世，这个阶 段的防火墙已超出了原来传统意义上防火墙的范畴，已经演变成一个全方位的安全技能集成系统，我们称 之为第四代防火墙，它可以抵御目前多见的网络攻击手段，如IP地址欺骗、特洛伊木马攻击、Internet蠕 虫、口令探寻攻击、邮件攻击等等。
　　但是，俗话说“道高一尺，魔高一丈”，功能再强大的防火墙也须要人工配置一些安全策略，由于运用者 网络安全水平的不同，黑客还是可以运用 防火墙安全策略的漏洞绕过防火墙实现对主机的攻击。防火墙的 日志会细致记录黑客入侵的手段和流程，所以在遭到黑客攻击之后，我们应当根据防火墙的日志细致记录 ，有的放矢地修改防火墙的安全策略，使它能够应对新出现的攻击形式，使防火墙的安全策略日臻完备。
　　★策略七：运用 DiskRecovery技能对硬盘数据执行 还原 
　　在最坏的情况下，黑客可能会破坏甚至删除硬盘上的所有主要数据。在遇到这种情况时，首先要保持冷静 ，当数据无法 读取或硬盘被格式化后，往往可以还原，不必紧张。
　　那数据为什么能还原呢？这主要取决于硬盘数据的存储原理。硬盘中由一组金属材料为基层的盘片组成， 盘片上附着磁性涂层，靠硬盘本身转动和磁头的移动来读写数据的。其中，最外面的一圈称为“0”磁道。 上面记录了硬盘的规格、型号、主引导记录、目录结构等一系列最主要的信息。我们存放在硬盘上的每一 个文件都在这里有记录。在读取文件时，首先要寻找0磁道的相关文件的原始扇区，然后按图索骥，才能找 到文件的位置。删除就不一样了，系统仅仅对0磁道的文件信息打上删除标志，但这个文件本身并没有被清 除。只是文件占用的空间在系统中被显示为释放，而且，当你下次往硬盘上存储文件时，系统将会优先考 虑真实的空白区，只有这些区域被用完以后，才会覆盖上述被删文件实际占有的空间。另外，即使硬盘格 式化后（如Format），只要及时抢救，还是有很大希望的。我们可以挑选一些专业的数据还原软件来还原 被黑客破坏的数据，譬如EasyRecovery，这是一个威力非常强大的硬盘数据还原工具，能够帮你还原丢失 的数据以及重建文件系统。

　如果您不具备硬盘数据还原的知识，目前有许多专业的数据还原公司也提供硬盘数据还原服务。如果我们 要还原的数据涉及一些商业机密，那么，我们所要做的是准备新的空白硬盘作为数据还原后的载体，不要 将数据还原到别人的机器上，不要因为他们已删除而感到放心，因为他们既然能还原您硬盘上的数据，就 一定也可以还原您暂存在他们的硬盘上的数据。而且还原数据的流程最好也要有人全程监控，以防止泄密。