黑客攻擊手段

    可分為非破壞性攻擊和破壞性攻擊兩類(lèi)。非破壞性攻擊一般是為了擾亂系統(tǒng)的運(yùn)行，并不盜竊系統(tǒng)資料，通常采用拒絕服務(wù)攻擊或信息炸彈；破壞性攻擊是以侵入他人電腦系統(tǒng)、盜竊系統(tǒng)保密信息、破壞目標(biāo)系統(tǒng)的數(shù)據(jù)為目的。下面為大家介紹4種黑客常用的攻擊手段。

　　1、后門(mén)程序

　　由于程序員設(shè)計(jì)一些功能復(fù)雜的程序時(shí)，一般采用模塊化的程序設(shè)計(jì)思想，將整個(gè)項(xiàng)目分割為多個(gè)功能模塊，分別進(jìn)行設(shè)計(jì)、調(diào)試，這時(shí)的后門(mén)就是一個(gè)模塊的秘密入口。在程序開(kāi)發(fā)階段，后門(mén)便于測(cè)試、更改和增強(qiáng)模塊功能。正常情況下，完成設(shè)計(jì)之后需要去掉各個(gè)模塊的后門(mén)，不過(guò)有時(shí)由于疏忽或者其他原因（如將其留在程序中，便于日后訪(fǎng)問(wèn)、測(cè)試或維護(hù)）后門(mén)沒(méi)有去掉，一些別有用心的人會(huì)利用窮舉搜索法發(fā)現(xiàn)并利用這些后門(mén)，然后進(jìn)入系統(tǒng)并發(fā)動(dòng)攻擊。

　　2、信息炸彈

　　信息炸彈是指使用一些特殊工具軟件，短時(shí)間內(nèi)向目標(biāo)服務(wù)器發(fā)送大量超出系統(tǒng)負(fù)荷的信息，造成目標(biāo)服務(wù)器超負(fù)荷、網(wǎng)絡(luò)堵塞、系統(tǒng)崩潰的攻擊手段。比如向未打補(bǔ)丁的 Windows 95系統(tǒng)發(fā)送特定組合的 UDP 數(shù)據(jù)包，會(huì)導(dǎo)致目標(biāo)系統(tǒng)死機(jī)或重啟；向某型號(hào)的路由器發(fā)送特定數(shù)據(jù)包致使路由器死機(jī)；向某人的電子郵件發(fā)送大量的垃圾郵件將此郵箱“撐爆”等。目前常見(jiàn)的信息炸彈有郵件炸彈、邏輯炸彈等。

　　3、拒絕服務(wù)

　　拒絕服務(wù)又叫分布式D.O.S攻擊，它是使用超出被攻擊目標(biāo)處理能力的大量數(shù)據(jù)包消耗系統(tǒng)可用系統(tǒng)、帶寬資源，致使網(wǎng)絡(luò)服務(wù)癱瘓的一種攻擊手段。作為攻擊者，首先需要通過(guò)常規(guī)的黑客手段侵入并控制某個(gè)網(wǎng)站，然后在服務(wù)器上安裝并啟動(dòng)一個(gè)可由攻擊者發(fā)出的特殊指令來(lái)控制進(jìn)程，攻擊者把攻擊對(duì)象的IP地址作為指令下達(dá)給進(jìn)程的時(shí)候，這些進(jìn)程就開(kāi)始對(duì)目標(biāo)主機(jī)發(fā)起攻擊。這種方式可以集中大量的網(wǎng)絡(luò)服務(wù)器帶寬，對(duì)某個(gè)特定目標(biāo)實(shí)施攻擊，因而威力巨大，頃刻之間就可以使被攻擊目標(biāo)帶寬資源耗盡，導(dǎo)致服務(wù)器癱瘓。比如1999年美國(guó)明尼蘇達(dá)大學(xué)遭到的黑客攻擊就屬于這種方式。

　　4、網(wǎng)絡(luò)監(jiān)聽(tīng)

　　網(wǎng)絡(luò)監(jiān)聽(tīng)是一種監(jiān)視網(wǎng)絡(luò)狀態(tài)、數(shù)據(jù)流以及網(wǎng)絡(luò)上傳輸信息的管理工具，它可以將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽(tīng)模式，并且可以截獲網(wǎng)上傳輸?shù)男畔?，也就是說(shuō)，當(dāng)黑客登錄網(wǎng)絡(luò)主機(jī)并取得超級(jí)用戶(hù)權(quán)限后，若要登錄其他主機(jī)，使用網(wǎng)絡(luò)監(jiān)聽(tīng)可以有效地截獲網(wǎng)上的數(shù)據(jù)，這是黑客使用多的方法，但是，網(wǎng)絡(luò)監(jiān)聽(tīng)只能應(yīng)用于物理上連接于同一網(wǎng)段的主機(jī)，通常被用做獲取用戶(hù)口令。

　　5、密碼破解當(dāng)然也是黑客常用的攻擊手段之一。

　　一種新型的釣魚(yú)式攻擊給Twitter網(wǎng)站造成重創(chuàng)，這導(dǎo)致一些用戶(hù)無(wú)意中將敏感數(shù)據(jù)暴露在惡意黑客的視野里。同時(shí)也導(dǎo)致一些人開(kāi)始質(zhì)疑他們?cè)撊绾问褂蒙缃痪W(wǎng)絡(luò)并迫使許多公司再次猜測(cè)是否該對(duì)這種服務(wù)提供支持。

　　來(lái)自社交網(wǎng)絡(luò)的威脅是真實(shí)存在的。如果沒(méi)有部署適當(dāng)?shù)钠髽I(yè)協(xié)議和保障措施，敏感數(shù)據(jù)就可能通過(guò)社會(huì)網(wǎng)絡(luò)泄露出去。出于這種原因，企業(yè)需要采取適當(dāng)措施來(lái)確保企業(yè)數(shù)據(jù)的安全，在保障內(nèi)部敏感數(shù)據(jù)安全性的同時(shí)，也能讓員工有機(jī)會(huì)訪(fǎng)問(wèn)社交網(wǎng)絡(luò)。

　　方法如下：

　　1.制定企業(yè)內(nèi)部的社會(huì)媒體管理協(xié)議

　　社交網(wǎng)絡(luò)所采取的任何措施的步都是從制定社會(huì)媒體管理協(xié)議開(kāi)始的。員工如何才能有權(quán)訪(fǎng)問(wèn)他們的社交網(wǎng)絡(luò)？他們?cè)搶?duì)自己的網(wǎng)友如何描述他們的工作？是否對(duì)他們可以訪(fǎng)問(wèn)的內(nèi)容加以限制？所有這些問(wèn)題店鋪需要由企業(yè)自己進(jìn)行答復(fù)。詳細(xì)的協(xié)議能讓員工保持在正確的軌道范圍內(nèi)行使權(quán)利，并在必要時(shí)提供破壞規(guī)則的資源。

　　2.鼓勵(lì)社交網(wǎng)絡(luò)的使用

　　雖制定了必須設(shè)置的一套規(guī)則，但這只是重要的考慮因素之一，要確保社會(huì)媒體的安全還是鼓勵(lì)其使用。是的，禁止對(duì)社交網(wǎng)絡(luò)的適應(yīng)能夠乍一看似乎能限制安全隱患的爆發(fā)，但負(fù)面效果也是顯而易見(jiàn)的。員工會(huì)想方設(shè)法繞過(guò)公司的封鎖措施去訪(fǎng)問(wèn)社交網(wǎng)絡(luò)，在沒(méi)有企業(yè)正確指導(dǎo)的情況下依然我行我素。因此堵不如疏，鼓勵(lì)社交網(wǎng)絡(luò)的使用能讓一切光明磊落，也讓企業(yè)有機(jī)會(huì)去指導(dǎo)員工正確行事。

　　3.培訓(xùn)是關(guān)鍵

　　在鼓勵(lì)社交網(wǎng)絡(luò)的使用后，企業(yè)還必須培訓(xùn)員工。IT經(jīng)理可以檢查實(shí)踐中的做法并指導(dǎo)員工什么該做和什么不該做。步就是告知員工他們不應(yīng)該點(diǎn)擊不熟悉的鏈接。這也是一個(gè)好時(shí)機(jī)讓他們了解不要點(diǎn)擊釣魚(yú)電子郵件中自稱(chēng)來(lái)自某個(gè)社交網(wǎng)絡(luò)的鏈接。這看起來(lái)似乎比較簡(jiǎn)單，但通過(guò)這些簡(jiǎn)單的教訓(xùn)，大部分社交網(wǎng)絡(luò)對(duì)企業(yè)造成的安全隱患都能被剔除。

　　4.準(zhǔn)備好安全工具

　　如果企業(yè)將允許員工使用社交網(wǎng)絡(luò)，那么他應(yīng)該使用的重要的工具之一就是TinyURLPreview。簡(jiǎn)單的工具能允許員工在實(shí)際到達(dá)網(wǎng)站之前就查明偽裝的TinyURL鏈接的真正目的地。

　　公司還應(yīng)該考慮使用其他提供相同功能的類(lèi)似鏈接縮寫(xiě)工具。像這樣的簡(jiǎn)單工具和對(duì)員工的培訓(xùn)在減少安全問(wèn)題上還有很長(zhǎng)的路要走。

　　5.可限制社交網(wǎng)絡(luò)

　　雖然這聽(tīng)起來(lái)可能和企業(yè)鼓勵(lì)員工使用社交網(wǎng)站有些自相矛盾，實(shí)際上我們真正的意思是限制員工使用社交的數(shù)量，這也是一種必要。員工沒(méi)必要去更新在Identi.ca和開(kāi)源Twitter上的朋友。他們也沒(méi)必要使用FriendBinder。保持簡(jiǎn)單，只允許員工訪(fǎng)問(wèn)諸如Facebook，Twitter和MySpace這樣的主要社交網(wǎng)絡(luò)就夠了。如果員工要訪(fǎng)問(wèn)其他網(wǎng)絡(luò)，他們可以在家里去做。這樣的政策也讓社交網(wǎng)絡(luò)對(duì)于警察的工作變得簡(jiǎn)單了。

　　6.培訓(xùn)IT人員

　　任何公司要做的重要事情之一就是確保其IT人員事先了解可能影響社交網(wǎng)絡(luò)的所有問(wèn)題。公司內(nèi)部的IT人員每周應(yīng)花費(fèi)一些時(shí)間來(lái)了解與主要社交網(wǎng)絡(luò)有關(guān)的一些新聞話(huà)題，以確保萬(wàn)一出現(xiàn)安全問(wèn)題時(shí)，該公司知道這些問(wèn)題的來(lái)龍去脈并提醒他們的員工。

　　7.確保電腦打好補(bǔ)丁

　　近的一項(xiàng)研究發(fā)現(xiàn)，用戶(hù)在給存在安全隱患的軟件打補(bǔ)丁的數(shù)量?jī)H為操作系統(tǒng)補(bǔ)丁的一半。這可能是企業(yè)無(wú)力承擔(dān)的緣故。通過(guò)確保操作系統(tǒng)和軟件都同時(shí)打好補(bǔ)丁，影響安全的漏洞爆發(fā)對(duì)諸如Twitter和Facebook等網(wǎng)站所造成的影響就能得到控制。

　　8.共享隱私慣例

　　確保社交網(wǎng)絡(luò)用戶(hù)更加安全的一種有效方法是更改隱私設(shè)置。舉例來(lái)說(shuō)，Twitter網(wǎng)站能允許用戶(hù)阻止發(fā)送垃圾郵件的發(fā)件人。通過(guò)提醒員工這種選擇，企業(yè)在限制可能利用企業(yè)網(wǎng)絡(luò)的惡意用戶(hù)上會(huì)取得效果。

　　9.開(kāi)放通信線(xiàn)路

　　企業(yè)用戶(hù)所做的糟糕的事情就是對(duì)員工關(guān)于社交網(wǎng)絡(luò)存在的問(wèn)題置之不理。當(dāng)員工和他們的經(jīng)理或IT職員聯(lián)系詢(xún)問(wèn)他們關(guān)心的問(wèn)題時(shí)，這些問(wèn)題應(yīng)該更快更有效的得到解決。傾聽(tīng)問(wèn)題并解決這個(gè)問(wèn)題，才能讓它更加安全。

　　10.不要害怕它

　　雖然安全問(wèn)題令人擔(dān)憂(yōu)，但企業(yè)沒(méi)必要害怕社交網(wǎng)絡(luò)。也沒(méi)有理由害怕它。社交網(wǎng)絡(luò)是企業(yè)非常有用的營(yíng)銷(xiāo)工具，即使存在安全問(wèn)題也是如此。如果員工在他們的工作中能感到快樂(lè)，他們就會(huì)告訴他們的朋友。而終該公司就可能從中獲得回報(bào)。