IT運(yùn)維管理經(jīng)驗(yàn)：如何防止黑客入侵之攻擊

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

考慮到和口令/密碼相關(guān)的內(nèi)容較多，本文分兩部分來(lái)說(shuō)：今天首先揭露攻擊者的種種伎倆；以后的文章再詳述應(yīng)對(duì)的措施。

★使用密碼的場(chǎng)合（密碼的類(lèi)型）

為了便于后面的敘述，俺有必要先總結(jié)一下，使用口令的幾種場(chǎng)合。

針對(duì)這幾種不同的場(chǎng)合，攻擊者會(huì)采取不同的攻擊手法；因此，大伙兒也要采取針對(duì)性的防范手法。

◇操作系統(tǒng)用戶的口令

這種場(chǎng)合應(yīng)該好理解。目前主流的操作系統(tǒng)都具有口令驗(yàn)證的用戶登錄機(jī)制。

◇各種網(wǎng)絡(luò)應(yīng)用的口令

隨著網(wǎng)絡(luò)（尤其是Web）的普及，這種場(chǎng)合越來(lái)越多。比如：Email、即時(shí)通訊（IM）、BBS、上網(wǎng)炒股等，都需要有用戶口令認(rèn)證。

◇各種本地應(yīng)用程序的口令

此種場(chǎng)合可能不如網(wǎng)絡(luò)應(yīng)用的口令那么常見(jiàn)。比如：用口令加密的壓縮文件、用口令加密的Office文檔、PGP密鑰的口令、Outlook設(shè)置的啟動(dòng)口令等。

◇其它

除了上述3種類(lèi)型，其它那些比較少見(jiàn)、雜七雜八的，統(tǒng)統(tǒng)歸為其它。比如：BIOS的開(kāi)機(jī)口令。

★攻擊者如何通過(guò)技術(shù)手段搞定的你的密碼？

前面列舉了密碼的不同使用場(chǎng)合。接著咱要介紹一下：攻擊者會(huì)利用哪些技術(shù)手段，攻破你的密碼。

◇木馬盜取

如果你的電腦已經(jīng)被攻擊者安裝了木馬，那你的一舉一動(dòng)有可能都會(huì)被監(jiān)視。在這種情況下，你在這臺(tái)電腦上輸入的任何密碼，都將會(huì)被攻擊者獲取。所以，這種情況是很危險(xiǎn)滴——不管是哪種類(lèi)型的密碼，都可能被盜。

至于如何防止自己的計(jì)算機(jī)被植入木馬，不是本文的重點(diǎn)。在本系列后續(xù)的文章中將會(huì)專(zhuān)門(mén)介紹木馬的防范。

◇弱密碼猜解

所謂的“弱密碼猜解”，就是說(shuō)：如果你的密碼比較弱，攻擊者可以猜出來(lái)。這種攻擊手法，對(duì)于操作系統(tǒng)用戶口令、網(wǎng)絡(luò)應(yīng)用口令、本地應(yīng)用口令，都適用。而且攻擊者在盜取口令的時(shí)候，通常會(huì)先嘗試進(jìn)行弱口令猜測(cè)。為什么？因?yàn)榇蟛糠钟脩舳疾惶哂邪踩庾R(shí)，口令都會(huì)比較簡(jiǎn)單（比較弱）。并且，根據(jù)二八原理 ，絕大多數(shù)的傻瓜用戶會(huì)使用極少數(shù)的弱口令。所以，攻擊者先把最流行的那些個(gè)弱口令挨個(gè)試驗(yàn)一遍，沒(méi)準(zhǔn)就已經(jīng)成功了。

為了讓大伙明白弱口令的嚴(yán)重程度，來(lái)看看2009年底的“一個(gè)案例 ”。

話說(shuō)國(guó)外一個(gè)小有名氣的交友網(wǎng)站（RockYou）被黑客攻破。里面大約3260萬(wàn)用戶數(shù)據(jù)被盜。更加杯具的是，RockYou采用明文方式存儲(chǔ)用戶的口令。因此，這3260萬(wàn)用戶的口令也統(tǒng)統(tǒng)暴露鳥(niǎo)。后來(lái)有好事者把被盜的用戶口令拿來(lái)分析一番。結(jié)果發(fā)現(xiàn)，有相當(dāng)多的用戶在使用一些極其弱智的口令。

用的最多的TOP 10分別是：

1、123456

2、12345

3、123456789

4、password

5、iloveyou

6、princess

7、rockyou

8、1234567

9、12345678

10、abc123

據(jù)說(shuō)名列第一的口令（123456）有30萬(wàn)人使用，真是不看不知道，一看嚇一跳啊！

◇暴力破解

除了對(duì)弱密碼進(jìn)行猜解，攻擊者還可以通過(guò)窮舉的的方式，破解中等強(qiáng)度的密碼。所謂的窮舉法，就是把所有可能的字母/數(shù)字的組合都試驗(yàn)一遍，直到找到正確的密碼。

現(xiàn)在CPU的計(jì)算能力日新月異，尤其是多核CPU普及之后，暴力破解的效果會(huì)越來(lái)越好。除非你的密碼很強(qiáng)，才能徹底消除暴力的風(fēng)險(xiǎn)。

由于這種攻擊手法，需要進(jìn)行成千上萬(wàn)次的試錯(cuò)，所以比較適合針對(duì)本地應(yīng)用的口令（比如破解加密的壓縮文件），而不太適合對(duì)網(wǎng)絡(luò)應(yīng)用進(jìn)行在線口令破解。

在下一個(gè)帖子，俺會(huì)介紹，如何構(gòu)造強(qiáng)度較高的密碼。

◇網(wǎng)絡(luò)傳輸截獲（嗅探）

在這種方式下，攻擊者會(huì)通過(guò)嗅探 的方式，分析你的上網(wǎng)數(shù)據(jù)。如果你在上網(wǎng)過(guò)程中，存在明文傳輸?shù)目诹?，就?huì)被截獲。

非安全專(zhuān)業(yè)的網(wǎng)友，可能不太明白什么是“嗅探”，俺來(lái)稍微解釋一下。攻擊者會(huì)利用某些嗅探軟件，收集網(wǎng)絡(luò)上傳輸?shù)乃袛?shù)據(jù)。這個(gè)過(guò)程好比電話竊聽(tīng)。嗅探軟件類(lèi)似于竊聽(tīng)器；你的上網(wǎng)數(shù)據(jù)類(lèi)似于電話的通話內(nèi)容。

這幾年，隨著現(xiàn)在上網(wǎng)行為管理系統(tǒng)（Wi-Fi）的普及，網(wǎng)絡(luò)嗅探的風(fēng)險(xiǎn)大大增加，列位看官切不可掉以輕心哦。

◇客戶端截獲

所謂“客戶端截獲”，通常是針對(duì)網(wǎng)絡(luò)應(yīng)用的口令而言。舉幾個(gè)例子。

例1：

很多網(wǎng)友上網(wǎng)時(shí)，為了免去輸入口令的麻煩，會(huì)讓瀏覽器幫忙記住口令。通常瀏覽器會(huì)把這些口令保存在某個(gè)文件中（可能以明文方式，也可能以密文方式）。如果某天你的電腦中了木馬，那么木馬程序有可能會(huì)盜走這個(gè)保存口令的文件。然后攻擊者就可以通過(guò)分析該文件，破解出你保存過(guò)的所有網(wǎng)絡(luò)應(yīng)用的口令。

例2：

如果你是軟件公司的開(kāi)發(fā)人員，多半你會(huì)使用某種源代碼版本管理工具（比如SVN、CVS、等）。為了免去每次操作時(shí)輸入口令的麻煩。通常開(kāi)發(fā)人員會(huì)讓這些客戶端軟件記住用戶名和口令。如果哪天你中了木馬或者電腦被盜，那么攻擊者同樣可以破解你保存下來(lái)的口令，進(jìn)而用你的身份盜取源代碼。

◇服務(wù)端截獲

和“客戶端截獲”方式相對(duì)的，還有“服務(wù)端截獲”。具體是啥意思捏？俺來(lái)解釋一下。

凡是利用口令進(jìn)行驗(yàn)證的軟件系統(tǒng)，都需要存儲(chǔ)和口令相關(guān)的信息。否則的話，軟件系統(tǒng)就無(wú)法驗(yàn)證用戶輸入的口令，到底是不是正確的。如果攻擊者能夠拿到這些口令的關(guān)聯(lián)信息，那他/她就有可能分析出口令是啥。

（如果你不是搞上網(wǎng)行為專(zhuān)業(yè)的，下面這段可能看不太明白）

通常用三種方式來(lái)存儲(chǔ)口令的關(guān)聯(lián)信息：1、存儲(chǔ)口令的明文；2、存儲(chǔ)口令經(jīng)過(guò)加密后的密文；3、存儲(chǔ)口令的散列值。第一種方式是最土鱉的，稍微先進(jìn)一些的系統(tǒng)，都不會(huì)用了。后面兩種方式，雖然看不到明文，但是攻擊者還是有辦法通過(guò)相應(yīng)的算法，反推出口令的明文。具體細(xì)節(jié)，本文就不再多說(shuō)了。

那攻擊者如何獲得存儲(chǔ)在軟件系統(tǒng)的口令關(guān)聯(lián)信息捏？其實(shí)前面提到的RockYou網(wǎng)站的杯具，就是一個(gè)很好的例子。俺再舉另一個(gè)例子。

比如：某個(gè)Linux/Unix服務(wù)器存在安全漏洞，攻擊者利用此漏洞搞到了“/etc/shadow”文件。那么攻擊者就可以采用上述提到的暴力破解的招數(shù)，攻破該服務(wù)器上所有強(qiáng)度較弱的口令。

★攻擊者如何通過(guò)“非技術(shù)”手段搞定的你的密碼？

說(shuō)完了技術(shù)手段，自然就得再說(shuō)說(shuō)非 技術(shù)手段。所謂的非技術(shù)手法，也就是社會(huì)工程學(xué)手法 。用于盜取密碼的社會(huì)工程學(xué)手法，大概有如下幾種。

◇偷窺

偷窺是最簡(jiǎn)單的一種社會(huì)工程學(xué)攻擊手法。雖然簡(jiǎn)單，但是有效。比如很多盜取銀行卡的家伙，就是偷窺的手法，得到被害人的銀行卡密碼。

◇釣魚(yú)

另外一個(gè)騙取口令的方式，就是通過(guò)網(wǎng)絡(luò)釣魚(yú)。比如某些攻擊者，會(huì)偽造一個(gè)銀行的網(wǎng)站。其界面和真實(shí)的網(wǎng)站一模一樣。然后通過(guò)某種方式（比如：虛假鏈接、欺詐郵件、DNS欺騙、等），引誘你到這個(gè)網(wǎng)站上。由于假網(wǎng)站和真網(wǎng)站的界面很像，你可能信以為真，然后在假網(wǎng)站中輸入你的用戶名和密碼。

有些高明的釣魚(yú)網(wǎng)站，會(huì)采用類(lèi)似Web代理的技巧：把你的所有輸入操作，轉(zhuǎn)而提交給真網(wǎng)站；然后把真網(wǎng)站輸出的界面，再轉(zhuǎn)回給受害者看。這樣的話，受害者就跟在真實(shí)網(wǎng)站進(jìn)行插作，沒(méi)啥區(qū)別，不易看出破綻。

◇分析

如果攻擊者對(duì)你比較了解，那么他有可能通過(guò)深入的分析，攻破你的口令防護(hù)。是不是覺(jué)得很神奇？很匪夷所思？其實(shí)這種招數(shù)很常見(jiàn)，且不算太難。俺來(lái)舉個(gè)例子。

相信很多網(wǎng)友都用過(guò)電子郵箱的找回口令功能。當(dāng)你口令遺忘之后，可以通過(guò)回答事先預(yù)設(shè)的問(wèn)題，來(lái)找回口令。很多不太專(zhuān)業(yè)的用戶，預(yù)設(shè)的問(wèn)題都很簡(jiǎn)單（比如：你的手機(jī)號(hào)是多少？比如：你的生日是哪天？）。對(duì)于這類(lèi)過(guò)于簡(jiǎn)單的問(wèn)題，攻擊者可以很容易地找到答案，從而竊取到你的郵箱口令。

◇欺騙

最近幾年，通過(guò)電話詐騙，騙取銀行卡密碼的案例越來(lái)越多。這種作案手法，就屬于社會(huì)工程學(xué)中，“欺騙”的范疇。其實(shí)在上網(wǎng)行為領(lǐng)域，某些黑客也會(huì)利用這種手法來(lái)獲取口令。

★結(jié)尾

介紹到這里，列位看官對(duì)黑客盜取口令的手法，應(yīng)該有一個(gè)初步的認(rèn)識(shí)了。本系列以后的文章將會(huì)具體介紹如何構(gòu)造安全的口令/密碼 。

【推薦閱讀】

◆網(wǎng)管軟件專(zhuān)區(qū)

 ◆網(wǎng)絡(luò)管理維護(hù)技巧：實(shí)現(xiàn)VLAN環(huán)境下DHCP服務(wù)

◆網(wǎng)管員技巧：學(xué)會(huì)限制路由器多臺(tái)電腦上網(wǎng)

◆網(wǎng)絡(luò)管理維護(hù)技巧：路由器故障排除技巧

◆上網(wǎng)行為運(yùn)維管理專(zhuān)區(qū)