微软黑客入侵电子邮件_微软黑客入侵电子邮件怎么办
目录:
- 1、微软捕获的第一个中国黑客-刘蝶雨
- 2、黑客的入侵手段~~
- 3、抵御电子邮箱入侵措施中,不正确的是()
- 4、黑客入侵了我的邮箱,然后用我的邮箱发给了我自己一封勒索邮件。求助!!!!!
- 5、公司邮箱收到如下比特币勒索的邮件,可能是家里电脑被黑客入侵了,有什么好的处理办法?
- 6、邮箱被黑客攻击怎么办
微软捕获的第一个中国黑客-刘蝶雨
《成长》:微软捕获中国黑客刘蝶雨大约在5年前,即1998年夏天,李开复第一次来到北京组建研究院的时候,口袋里揣着微软公司雄心勃勃的计划:6年投资8000万美元,寻找到100个最杰出的研究人员。那时候他的身边只有两个人。他们在北京中关村希格玛大厦落了脚。
从那时到今天,积聚在北京微软研究院里的这些年轻人,渐渐让全世界感到惊讶。微软中国研究院已经改名为微软亚洲研究院。聚集在希格玛大厦第五层里的年轻人已经有400多人。如今世界上第一流的5种杂志上发表的论文,每100篇中有5篇是从这个研究院出去的。而这些人中的大部分来自中国的大学校园。
2003年初,微软公司全球副总裁李开复博士与畅销书作家凌志军一起探讨微软亚洲研究院的一群“微软小子”的成功之路,即他们如何从普通人成长为天才和大师的。这正是本书的主题。
发现了一个黑客,在中国!
“我们发现了一个黑客,在中国。”
2003年1月的一个早上,张亚勤来到办公室,打开电子邮箱,这一行字立即弹出来。
邮件来自微软公司总部的安全小组。该小组的职责之一是监视因特网浏览器在全球的运行情况,专门寻找“臭虫”,然后弥补,同时还要监视网络上面神出鬼没的“黑客”行踪。
对于微软公司来说,网上“黑客”的性质是不同的。有些“黑客”的确对微软抱着敌意,专门寻找微软软件产品中的“臭虫”,利用软件本身存在的漏洞,去攻击那些软件使用者。这种攻击带有极大的破坏性,还让微软公司难堪。另外一些“黑客”则纯粹属于“技术狂”,他们专找大公司产品的毛病。
“可以肯定他是一个中国的学生,”他们告诉张亚勤,“在湘潭大学读书,名叫刘蝶雨。”
湖南·湘潭大学·刘蝶雨
刘蝶雨坐在他的拥挤不堪的房间里,盯着电脑屏幕,目不转睛,已经好几个小时一动不动。那上面是微软公司最得意的产品之一“因特网浏览器”。他知道他想找的东西就在那里面,他已经清晰地感觉到它的存在,可它为什么还不出来呢?……
他一边想,一边用手指敲击键盘。就在那一瞬间,“因特网浏览器”出了麻烦。
他咧开一嘴大板牙,嘿嘿笑了:“我破坏了它的规则,是不是?”
他身边有不少恨微软的人,看了他做的事情,不免大快人心。开心完了,又在猜测微软那边的动向。“真奇怪,”有个同学对他说,“微软还没有对你采取行动啊?”
正说笑着,电话铃声响了。他拿起来,就听那边有个声音说:“我是微软的。”
刘蝶雨当即目瞪口呆。
“也许你愿意和我们合作”
电话这边真是微软的,叫林斌,是微软亚洲研究院新技术开发部的经理。他接到张亚勤转发的邮件,按图索骥,很容易地找到了刘蝶雨。
“我们找你,没有什么特别的。”林斌感觉到对方的紧张,希望缓解气氛。
对方“啊”了一声,还是不说话。
林斌似乎想起了什么,赶忙自我介绍。说自己在北京,在微软亚洲研究院负责一个工程师小组。
“啊,啊。”
“我只是微软的一个技术人员。”
“啊,啊。”
“我们的院长是张亚勤。他是世界一流的计算机科学家。”
“啊,啊。”
“我曾经参加了视窗2000的制作。”
“那很酷。”对方终于说话了。
“我们对你的工作非常感兴趣。”
“啊。”刘蝶雨又不说话了。
“我们很想请你到北京来看看。也许你愿意和我们合作。”
“啊……”
“你寒假如果没有事的话就来吧。坐飞机坐火车都行。我们负责你的旅行费。”
“我很愿意。”刘蝶雨说,“也许吧。”
“他们是微软的吗?”
蝶雨放下电话,心里还在咚咚跳。他的第一个念头是:“这年头骗子太多啦。他们是微软的吗?”接着又一个念头:“就算他们是真的,到底为什么找我呢?该不是要把我关起来吧?”
蝶雨这样想着,第一次感觉到“黑客帝国”的惊险离奇。
实际上他不喜欢别人叫他“黑客”。“我没见过黑客。”有一次他这样说,“有的人把人家的网站都弄垮,叫黑客;有的人技术很好,也叫黑客。黑客的意思太多了,如果你认为黑客也是好人,那我就是黑客。”
说老实话,他完全是在不经意中走上这条路的,只是带着几分好奇、几分兴趣,还有几分想要证明自己能力的欲望。
事情是从2002年6月30日开始的。那一天,他偶然看到一篇文章,是一个外国人写的,举了不少例子说明怎样发现一个程序中的错误。很多在刘蝶雨看来非常困难的事情,顿时变得简单了,就像文章作者说的,“并不需要你有多么高深的知识和多高明的技巧,你只要从特殊的角度去看它。”
“我也一定能做到。”刘蝶雨这样想。
他的思路屡试不爽,他在微软的“浏览器”上到处找,不停地找到“臭虫”,但是微软也在找他。现在,微软终于找到他了。
北京·微软亚洲研究院
林斌放下电话,就去找研究院人力资源部的经理王谨,请她安排刘蝶雨在寒假期间到微软亚洲研究院来实习。
“这些都可以是假的。我只认电子邮件。”王谨觉得自己似乎不能说服刘蝶雨,只好转回头来找林斌:“这个孩子怎么这么有意思啊?他问你是不是微软的?”
林斌的电话再次来到湘潭:“你相信电子邮件,那很好,我们的电子邮件地址有‘微软’字样,这不会有假吧?”
春节过后,蝶雨终于来到希格玛大厦。
林斌致电微软总部,说他们要找到的“黑客”现在就在他身边。
“太棒了。”对方兴奋地说,“我们在一起开个会吧。”
“你们想要我做什么?”
林斌对他说:“你想做什么,就做什么。你如果想继续在‘浏览器’上找‘臭虫’。我们总部的产品组可以和你合作。你找到漏洞,他们马上弥补,打包,然后再给你。你能得到最新的程序,还没有公布的。”
两个人正在说着,蝶雨的手机响了。那是他父亲从湘潭打来的。
“没问题,我很安全。”蝶雨对着听筒说,又抬起头看着林斌:“我觉得你们微软和外面说的不大一样。”
总部佩服得一塌糊涂
蝶雨开始工作了。连续7天,他在“因特网浏览器”上找到7个“臭虫”,一天一个,而且都是很难找到的。他自己很兴奋,微软总部的人更兴奋,惊叹“这个人怎么这么厉害”。
“他的工作简直太好了。”林斌说。
第八天,林斌给了蝶雨一本书,是专门讲怎样编写安全代码的。作者是微软公司产品部门的一个经理,在书中列举了程序员常犯的错误,极为精致周到,所以这本书成为微软程序员的必读书。
林斌说:“读读这本书,你能更好地发现程序员的弱点在哪里。”
蝶雨大喜,拿回去看了第一章,脑子里面马上有了新主意。他试图以其人之道治其人之身,直接深入到书的作者领导的那个小组中去。
林斌听了他的想法,觉得不会有结果:“书是他自己写的,他不会在他领导的小组里犯错误。”
但是蝶雨更相信自己的直觉。
接下来的事情,让所有人都感到意外。蝶雨在“浏览器”的地址栏里发起了他的“战役”。当他使用一种方式来表达一个字母的时候,“浏览器”没有任何问题。他继续扩张到第二种方式,仍然没有问题。他一口气做下去,不断扩张出新的表达方式,字符串延伸到第81次,系统的毛病显示出来,他笑了,再接再厉,扩张出至少两百种变化,字符串形成前所未有的长度。结果发现,从第81种变化开始,一直到第100种,系统都会出现问题,最后他莫名其妙地进入一个银行的网页。
“真是太绝了。”林斌说,“别人的测试,只变化十几次、二十次,已经不得了。实际上他的变化是从0到200多次。就是在中间一个短暂的阶段,他发现了问题。问题报告总部,那边的人佩服得一塌糊涂。”
“这种测试,我们根本想像不到。”微软总部的安全小组回电说。
作者简介
凌志军:人民日报社主任编辑、著名记者和畅销书作家、法学硕士。主要著作有《变化:1990年-2002年中国实录》、《交锋:当代中国三次思想解放实录》、《追随智慧:中国人在微软》。
“微软小子”的成长模型
1.他们的成长与优越的家庭背景没有任何关系。
2.严格的家庭教育与宽松的家庭教育都能使孩子成才,当然,这些微软小子无一例外希望有一个宽松的教育环境。
3.考试的“第一名”与后来的成就之间没有必然联系。事实上,在学生时期?他们更多地处在第三到第十名的位置上。他们的座右铭是“不必在意名次”。
4.80%的人在中学和大学时期拥有广泛的兴趣,而不只是满足教学大纲的要求。他们用在背课本和做习题上的时间,大大低于同学中的平均值。
5.他们并没具有超越常人的智商,事实是,在任何一个学习阶段,情商都显示出比智商更重要。他们之所以与众不同,是因为他们拥有健康的性格、良好的学习态度和学习习惯。
6.他们全都在关键的时候遇到了优秀的老师,而这些老师之所以让他们难以忘怀,奥秘全在课堂之外。例如:教他们如何做人,教他们如何学习,告诉他们朝哪个方向发展。
7.作者还将“微软小子”称为E学生,即他们具有高情商(EQ),将学习视为乐趣(Enjoy),追求卓越(Excellence)。这显然与传统应试教育只注重开发学生智力,而忽视开发学生情商相悖。
黑客的入侵手段~~
死亡之ping (ping of death)
概览:由于在早期的阶段,路由器对包的最大尺寸都有限制,许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区,当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方当机。
防御:现在所有的标准TCP/IP实现都已实现对付超大尺寸的包,并且大多数防火墙能够自动过滤这些攻击,包括:从windows98之后的windows,NT(service pack 3之后),linux、Solaris、和Mac OS都具有抵抗一般ping ofdeath攻击的能力。此外,对防火墙进行配置,阻断ICMP以及任何未知协议,都讲防止此类攻击。
泪滴(teardrop)
概览:泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息,某些TCP/IP(包括servicepack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。
防御:服务器应用最新的服务包,或者在设置防火墙时对分段进行重组,而不是转发它们。
UDP洪水(UDP flood)
概览:各种各样的假冒攻击利用简单的TCP/IP服务,如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就生成在两台主机之间的足够多的无用数据流,如果足够多的数据流就会导致带宽的服务攻击。
防御:关掉不必要的TCP/IP服务,或者对防火墙进行配置阻断来自Internet的请求这些服务的UDP请求。
SYN洪水(SYN flood)
概览:一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息,因为他们只有有限的内存缓冲区用于创建连接,如果这一缓冲区充满了虚假连接的初始信息,该服务器就会对接下来的连接停止响应,直到缓冲区里的连接企图超时。在一些创建连接不受限制的实现里,SYN洪水具有类似的影响。
防御:在防火墙上过滤来自同一主机的后续连接。
未来的SYN洪水令人担忧,由于释放洪水的并不寻求响应,所以无法从一个简单高容量的传输中鉴别出来。
Land攻击
概览:在Land攻击中,一个特别打造的SYN包它的原地址和目标地址都被设置成某一个服务器地址,此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉,对Land攻击反应不同,许多UNIX实现将崩溃,NT变的极其缓慢(大约持续五分钟)。
防御:打最新的补丁,或者在防火墙进行配置,将那些在外部接口上入站的含有内部源地址滤掉。(包括10域、127域、192.168域、172.16到172.31域)
Smurf攻击
概览:一个简单的smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包来淹没受害主机的方式进行,最终导致该网络的所有主机都对此ICMP应答请求作出答复,导致网络阻塞,比pingof death洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者,最终导致第三方雪崩。
防御:为了防止黑客利用你的网络攻击他人,关闭外部路由器或防火墙的广播地址特性。为防止被攻击,在防火墙上设置规则,丢弃掉ICMP包。
Fraggle攻击
概览:Fraggle攻击对Smurf攻击作了简单的修改,使用的是UDP应答消息而非ICMP
防御:在防火墙上过滤掉UDP应答消息
电子邮件炸弹
概览:电子邮件炸弹是最古老的匿名攻击之一,通过设置一台机器不断的大量的向同一地址发送电子邮,攻击者能够耗尽接受者网络的带宽。
防御:对邮件地址进行配置,自动删除来自同一主机的过量或重复的消息。
畸形消息攻击
概览:各类操作系统上的许多服务都存在此类问题,由于这些服务在处理信息之前没有进行适当正确的错误校验,在收到畸形的信息可能会崩溃。
防御:打最新的服务补丁。
利用型攻击
利用型攻击是一类试图直接对你的机器进行控制的攻击,最常见的有三种:
口令猜测
概览:一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的用户帐号,成功的口令猜测能提供对机器控制。
防御:要选用难以猜测的口令,比如词和标点符号的组合。确保像NFS、NetBIOS和Telnet这样可利用的服务不暴露在公共范围。如果该服务支持锁定策略,就进行锁定。
特洛伊木马
概览:特洛伊木马是一种或是直接由一个黑客,或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限,安装此程序的人就可以直接远程控制目标系统。
最有效的一种叫做后门程序,恶意程序包括:NetBus、BackOrifice和BO2k,用于控制系统的良性程序如:netcat、VNC、pcAnywhere。理想的后门程序透明运行。
防御:避免下载可疑程序并拒绝执行,运用网络扫描软件定期监视内部主机上的监听TCP服务。
缓冲区溢出
概览:由于在很多的服务程序中大意的程序员使用象strcpy(),strcat()类似的不进行有效位检查的函数,最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾,这样当发生缓冲区溢出时,返回指针指向恶意代码,这样系统的控制权就会被夺取。
防御:利用SafeLib、tripwire这样的程序保护系统,或者浏览最新的安全公告不断更新操作系统。
信息收集型攻击
信息收集型攻击并不对目标本身造成危害,如名所示这类攻击被用来为进一步入侵提供有用的信息。主要包括:扫描技术、体系结构刺探、利用信息服务
扫描技术
地址扫描
概览:运用ping这样的程序探测目标地址,对此作出响应的表示其存在。
防御:在防火墙上过滤掉ICMP应答消息。
端口扫描
概览:通常使用一些软件,向大范围的主机连接一系列的TCP端口,扫描软件报告它成功的建立了连接的主机所开的端口。
防御:许多防火墙能检测到是否被扫描,并自动阻断扫描企图。
反响映射
概览:黑客向主机发送虚假消息,然后根据返回“hostunreachable”这一消息特征判断出哪些主机是存在的。目前由于正常的扫描活动容易被防火墙侦测到,黑客转而使用不会触发防火墙规则的常见消息类型,这些类型包括:RESET消息、SYN-ACK消息、DNS响应包。
防御:NAT和非路由代理服务器能够自动抵御此类攻击,也可以在防火墙上过滤“hostunreachable”ICMP应答?.
慢速扫描
概览:由于一般扫描侦测器的实现是通过监视某个时间桢里一台特定主机发起的连接的数目(例如每秒10次)来决定是否在被扫描,这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。
防御:通过引诱服务来对慢速扫描进行侦测。
体系结构探测
概览:黑客使用具有已知响应类型的数据库的自动工具,对来自目标主机的、对坏数据包传送所作出的响应进行检查。由于每种操作系统都有其独特的响应方法(例NT和Solaris的TCP/IP堆栈具体实现有所不同),通过将此独特的响应与数据库中的已知响应进行对比,黑客经常能够确定出目标主机所运行的操作系统。
防御:去掉或修改各种Banner,包括操作系统和各种应用服务的,阻断用于识别的端口扰乱对方的攻击计划。
利用信息服务
DNS域转换
概览:DNS协议不对转换或信息性的更新进行身份认证,这使得该协议被人以一些不同的方式加以利用。如果你维护着一台公共的DNS服务器,黑客只需实施一次域转换操作就能得到你所有主机的名称以及内部IP地址。
防御:在防火墙处过滤掉域转换请求。
Finger服务
概览:黑客使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。
防御:关闭finger服务并记录尝试连接该服务的对方IP地址,或者在防火墙上进行过滤。
LDAP服务
概览:黑客使用LDAP协议窥探网络内部的系统和它们的用户的信息。
防御:对于刺探内部网络的LDAP进行阻断并记录,如果在公共机器上提供LDAP服务,那么应把LDAP服务器放入DMZ。
假消息攻击
用于攻击目标配置不正确的消息,主要包括:DNS高速缓存污染、伪造电子邮件。
DNS高速缓存污染
概览:由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证,这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。
防御:在防火墙上过滤入站的DNS更新,外部DNS服务器不应能更改你的内部服务器对内部机器的认识。
伪造电子邮件
概览:由于SMTP并不对邮件的发送者的身份进行鉴定,因此黑客可以对你的内部客户伪造电子邮件,声称是来自某个客户认识并相信的人,并附带上可安装的特洛伊木马程序,或者是一个引向恶意网站的连接。
防御:使用PGP等安全工具并安装电子邮件证书。
漏洞攻击
对微软(Microsoft)而言,最具讽刺的是总被黑客先发现漏洞,待Windows们倒下后,微软才站出来补充两句:“最新的补丁已经发布,如果客户没有及时下载补丁程序而造成的后果,我们将不承担责任!”
攻击:
细细盘查,漏洞攻击主要集中在系统的两个部分:1.系统的对外服务上,如“冲击波”病毒针对系统的“远程协助”服务;“尼姆达”病毒由系统的“IPC漏洞”(资源共享)感染。2. 集成的应用软件上, IE、OutLook Express、MSN Messager、Media Player这些集成的应用程序,都可能成为漏洞攻击的桥梁。
那黑客又是如何利用这些漏洞,实施攻击的呢?首先利用扫描技术,了解对方计算机存在哪些漏洞,然后有针对性地选择攻击方式。以IE的IFRAME漏洞为例,黑客能利用网页恶意代码(恶意代码可以采用手工编写或者工具软件来协助完成),制作带毒网页,然后引诱对方观看该网页,未打补丁的IE将会帮助病毒进入计算机,感染后的系统利用IE通讯簿,向外发送大量带毒邮件,最终堵塞用户网络。
防范:
漏洞的防御,升级自然是首选。有两种方式可以很好的升级:
1. Update
系统的“开始”菜单上,会有“Windows Update”的链接,选择后,进入Microsoft的升级主页,网站上的程序会自动扫描当前系统存在哪些漏洞,哪些需要升级,根据“向导”即可完成,如图所示(笔者推崇这种方式)。
漏洞攻击
对微软(Microsoft)而言,最具讽刺的是总被黑客先发现漏洞,待Windows们倒下后,微软才站出来补充两句:“最新的补丁已经发布,如果客户没有及时下载补丁程序而造成的后果,我们将不承担责任!”
攻击:
细细盘查,漏洞攻击主要集中在系统的两个部分:1.系统的对外服务上,如“冲击波”病毒针对系统的“远程协助”服务;“尼姆达”病毒由系统的“IPC漏洞”(资源共享)感染。2. 集成的应用软件上, IE、OutLook Express、MSN Messager、Media Player这些集成的应用程序,都可能成为漏洞攻击的桥梁。
那黑客又是如何利用这些漏洞,实施攻击的呢?首先利用扫描技术,了解对方计算机存在哪些漏洞,然后有针对性地选择攻击方式。以IE的IFRAME漏洞为例,黑客能利用网页恶意代码(恶意代码可以采用手工编写或者工具软件来协助完成),制作带毒网页,然后引诱对方观看该网页,未打补丁的IE将会帮助病毒进入计算机,感染后的系统利用IE通讯簿,向外发送大量带毒邮件,最终堵塞用户网络。
防范:
漏洞的防御,升级自然是首选。有两种方式可以很好的升级:
1. Update
系统的“开始”菜单上,会有“Windows Update”的链接,选择后,进入Microsoft的升级主页,网站上的程序会自动扫描当前系统存在哪些漏洞,哪些需要升级,根据“向导”即可完成,如图所示(笔者推崇这种方式)。
2. 使用升级程序
使用Update虽然比较准确、全面。但它所有的升级组件都需要在Microsoft的网站上下载,“窄带”的情况下显然不现实;“宽带”也需要很长的时间。Microsoft提供升级程序的打包下载,或者一些工具光盘上也带有这些升级包。常说的“Service Pack 1”、“Service Pack 2”就是指这些升级包。
除了升级,使用一些工具软件,也能够达到效果,如3721的“上网助手”,它能够很好填补IE漏洞。这些软件一般定向保护系统的应用程序,针对“对外服务”漏洞的较少。
DDOS攻击
DDOS(分布式拒绝服务攻击)的本质是:利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。它实现简单,是目前黑客常用的一种方式。
攻击:
DDOS的实现方式较多,如多人同时向主机提出Web请求;多人同时Ping主机……这里介绍一种“先进”的“伪装IP地址的洪水Ping攻击”。
Ping指令是用来探测网络通讯状况和对方主机状况的网络指令,先前有过一些资料介绍不断的Ping对方主机,可能会造成该主机无法承受的情况,但随着Windows XP等新系统的普及,网络带宽的升级、计算机硬件的升级,单纯的大量Ping包基本上没有效果了。
Ping指令的工作流程是这样的:先由使用Ping命令的主机A发送ICMP报文给主机B;再由主机B回送ICMP报文给主机A。
网络通讯中有一种被称为“广播”(Broadcast)的方式,所谓广播的意思是说有一个地址,任何局域网内的主机都会接收发往这个地址的报文(就像电台广播一样),以此类推。如果往一个局域网的广播地址(利用一些“局域网嗅探软件”就可以查找它的广播地址)发送一个ICMP报文(就是一下Ping广播地址),会得到非常多的ICMP报文回应。把当前计算机的地址伪装成被攻击主机的(SOCK_RAW就可以实现伪装IP),向一个广播地址发送Ping请求的时候,所有这个广播地址内的主机都会回应这个Ping请求,被攻击主机被迫接受大量的Ping包。这就形成了伪装IP地址的洪水Ping攻击形式。
防范:
对于DDOS而言,目前网络上还没有找到什么有效的防御方法,对于一种使用Ping包的攻击方式,虽然可以使用一些防火墙拒绝Ping包,但如果DDOS采用了另一种载体——合法的Web请求(打开该主机上的网页)时,依然无法防范。现在对付DDOS的普遍方法是由管理员,手工屏蔽DDOS的来源和服务器形式,如有一段IP对主机进行DDOS,就屏蔽该段IP的访问;DDOS使用的是FTP、HTTP服务,就暂时停止这些服务。
最后还要提醒一下大家,高明的黑客在攻击后都会做一些扫尾工作,扫尾工作就是要清除一些能够发现自己的残留信息。对于用户而言一般只能通过日志来捕捉这些残留信息,如防火墙的日志;Web服务器的日志(IIS、Server_U都具有日志查看功能)。能否通过日志找到这些残留信息只能靠运气了,真正够厉害的黑客会悄然无声地离去,而不留下一片“云彩”。
六、ICMP Flood能防吗?
先反问你一个问题:洪水迅猛的冲来时,你能否拿着一个脸盆来抵挡?(坐上脸盆做现代鲁宾逊倒是个不错的主意,没准能漂到MM身边呢)
软件的网络防火墙能对付一些漏洞、溢出、OOB、IGMP攻击,但是对于洪水类型的攻击,它们根本无能为力,我通常对此的解释是“倾倒垃圾”:“有蟑螂或老鼠在你家门前逗留,你可以把它们赶走,但如果有人把一车垃圾倾倒在你家门口呢?”前几天看到mikespook大哥对此有更体面的解释,转载过来——“香蕉皮原理:如果有人给你一个香蕉和一个香蕉皮你能区分,并把没有用的香蕉皮扔掉。(一般软件防火墙就是这么判断并丢弃数据包的。)但是如果有人在同一时间内在你身上倒一车香蕉皮,你再能区分有用没用也没啥作用了~~因为你被香蕉皮淹没了~~~~(所以就算防火墙能区分是DoS的攻击数据包,也只能识别,根本来不及丢弃~~死了,死了,死了~~)”
所以,洪水没法防!能做的只有提高自己的带宽和预防洪水的发生(虽然硬件防火墙和分流技术能做到,但那价格是太昂贵的,而且一般人也没必要这样做)。
如果你正在被攻击,最好的方法是抓取攻击者IP(除非对方用第一种,否则抓了没用——假的IP)后,立即下线换IP!(什么?你是固定IP?没辙了,打电话找警察叔叔吧)
七、被ICMP Flood攻击的特征
如何发现ICMP Flood?
当你出现以下症状时,就要注意是否正被洪水攻击:
1.传输状态里,代表远程数据接收的计算机图标一直亮着,而你没有浏览网页或下载
2.防火墙一直提示有人试图ping你
3.网络速度奇慢无比
4.严重时系统几乎失去响应,鼠标呈跳跃状行走
如果出现这些情况,先不要慌张,冷静观察防火墙报警的频率及IP来确认是否普通的Ping或是洪水,做出相应措施(其实大多数情况也只能换IP了)。
1.普通ping
这种“攻击”一般是对方扫描网络或用ping -t发起的,没多大杀伤力(这个时候,防火墙起的作用就是延迟攻击者的数据报发送间隔时间,请别关闭防火墙!否则后果是严重的!),通常表现如下:
==============================================================
[13:09:20] 61.151.252.106 尝试用Ping 来探测本机,
该操作被拒绝。
[13:09:24] 61.151.252.106 尝试用Ping 来探测本机,
该操作被拒绝。
[13:09:26] 61.151.252.106 尝试用Ping 来探测本机,
该操作被拒绝。
[13:09:30] 61.151.252.106 尝试用Ping 来探测本机,
该操作被拒绝。
=============================================================
这么慢的速度,很明显是由ping.exe或IcmpSendEcho发出的,如果对方一直不停的让你的防火墙吵闹,你可以给他个真正的ICMP Flood问候。
2.直接Flood
这是比较够劲的真正意义洪水了,防火墙的报警密度会提高一个数量级:
==============================================================
[13:09:20] 61.151.252.106 尝试用Ping 来探测本机,
该操作被拒绝。
[13:09:20] 61.151.252.106 尝试用Ping 来探测本机,
该操作被拒绝。
[13:09:20] 61.151.252.106 尝试用Ping 来探测本机,
该操作被拒绝。
[13:09:20] 61.151.252.106 尝试用Ping 来探测本机,
该操作被拒绝。
[13:09:20] 61.151.252.106 尝试用Ping 来探测本机,
该操作被拒绝。
[13:09:20] 61.151.252.106 尝试用Ping 来探测本机,
该操作被拒绝。
[13:09:20] 61.151.252.106 尝试用Ping 来探测本机,
该操作被拒绝。
[13:09:20] 61.151.252.106 尝试用Ping 来探测本机,
该操作被拒绝。
[13:09:20] 61.151.252.106 尝试用Ping 来探测本机,
该操作被拒绝。
[13:09:20] 61.151.252.106 尝试用Ping 来探测本机,
该操作被拒绝。
[13:09:20] 61.151.252.106 尝试用Ping 来探测本机,
该操作被拒绝。
[13:09:20] 61.151.252.106 尝试用Ping 来探测本机,
该操作被拒绝。
[13:09:20] 61.151.252.106 尝试用Ping 来探测本机,
该操作被拒绝。
[13:09:20] 61.151.252.106 尝试用Ping 来探测本机,
该操作被拒绝。
[13:09:20] 61.151.252.106 尝试用Ping 来探测本机,
该操作被拒绝。
[13:09:21] 61.151.252.106 尝试用Ping 来探测本机,
该操作被拒绝。
[13:09:21] 61.151.252.106 尝试用Ping 来探测本机,
该操作被拒绝。
[13:09:21] 61.151.252.106 尝试用Ping 来探测本机,
该操作被拒绝。
[13:09:21] 61.151.252.106 尝试用Ping 来探测本机,
该操作被拒绝。
[13:09:21] 61.151.252.106 尝试用Ping 来探测本机,
该操作被拒绝。
[13:09:21] 61.151.252.106 尝试用Ping 来探测本机,
该操作被拒绝。
[13:09:21] 61.151.252.106 尝试用Ping 来探测本机,
该操作被拒绝。
[13:09:21] 61.151.252.106 尝试用Ping 来探测本机,
该操作被拒绝。
=============================================================
这时候你的防火墙实际上已经废了,换个IP吧。
3.伪造IP的Flood
比较厉害的ICMP Flood,使用的是伪造的IP而且一样大密度,下面是the0crat用56K拨号对我的一次攻击测试的部分数据(看看时间,真晕了,这可是56K小猫而已啊)
=============================================================
[18:52:12] 1.1.1.1 尝试用Ping 来探测本机,
该操作被拒绝。
[18:52:12] 1.1.1.1 尝试用Ping 来探测本机,
该操作被拒绝。
[18:52:12] 1.1.1.1 尝试用Ping 来探测本机,
该操作被拒绝。
[18:52:12] 1.1.1.1 尝试用Ping 来探测本机,
该操作被拒绝。
[18:52:12] 1.1.1.1 尝试用Ping 来探测本机,
该操作被拒绝。
[18:52:12] 1.1.1.1 尝试用Ping 来探测本机,
该操作被拒绝。
[18:52:12] 1.1.1.1 尝试用Ping 来探测本机,
该操作被拒绝。
[18:52:12] 1.1.1.1 尝试用Ping 来探测本机,
该操作被拒绝。
[18:52:12] 1.1.1.1 尝试用Ping 来探测本机,
该操作被拒绝。
[18:52:12] 1.1.1.1 尝试用Ping 来探测本机,
该操作被拒绝。
[18:52:12] 1.1.1.1 尝试用Ping 来探测本机,
该操作被拒绝。
[18:52:12] 1.1.1.1 尝试用Ping 来探测本机,
该操作被拒绝。
[18:52:12] 1.1.1.1 尝试用Ping 来探测本机,
该操作被拒绝。
[18:52:12] 1.1.1.1 尝试用Ping 来探测本机,
该操作被拒绝。
[18:52:12] 1.1.1.1 尝试用Ping 来探测本机,
该操作被拒绝。
[18:52:13] 1.1.1.1 尝试用Ping 来探测本机,
该操作被拒绝。
=============================================================
无言…………
4、反射ICMP Flood
估计现在Smurf攻击还没有多少人会用(R-Series的RSS.EXE就是做这事的,RSA.EXE和RSC.EXE分别用作SYN反射和UDP反射),所以这种方法还没有大规模出现,但Smurf是存在的!而且这个攻击方法比前面几种更恐怖,因为攻击你的是大网站(或一些受苦受难的服务器)!
我正在被网易、万网和新浪网站攻击中(懒得修改天网策略,直接用其他工具抓的。实际攻击中,反射的IP会多几倍!)
=======================================================================
[15:26:32] RECV:ICMP Packet from 202.108.37.36 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 202.108.36.206 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 210.192.103.30 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 202.108.37.36 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 210.192.103.30 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 202.108.36.206 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 202.108.37.36 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet fro
抵御电子邮箱入侵措施中,不正确的是()
抵御电子邮箱入侵措施中,不正确的是自己做服务器。
抵御电子邮箱入侵措施有:不用生日做密码;不要使用少于5位的密码;不要使用纯数字。
客最常运用的三大邮件攻击手法为:Office漏洞入侵、离线钓鱼攻击(Offline Phishing),以及恶意VBA攻击。事实上这三种攻击入侵手法都是老把戏,虽然运用的技术各有不同,但是搭配战术都是透过精心设计的社交工程邮件对使用者设下骗局;并且在三个之中就有两个是利用微软的Office发动的攻击。
扩展资料:
黑客透过电子邮件递送特制的Word或RTF格式附件,搭配社交工程手法诱骗使用者开启。只要使用者开启附件,便会触发OLE漏洞或方程式漏洞,自动执行内嵌的恶意指令从远方下载并植入恶意程序,使攻击者可取得受感染电脑的控制权,借以发动其他恶意攻击。
虽然最常用的攻击工具能够了解,然而黑客搭配运用的社交工程手法千变万化,瞄准人性弱点透过各种佯装与欺骗技俩,诱导使用者配合执行动作或提供帐号密码及其他机敏数据。
黑客入侵了我的邮箱,然后用我的邮箱发给了我自己一封勒索邮件。求助!!!!!
假的。邮箱根本就没有被黑客入侵。用任意邮箱(包括用你的邮箱)发信给你是没什么难度的。这个可以用软件实现的。发该邮件的人就是在撒网,谁信谁上钩。。。收到这类邮件,不用管他。我也隔三差五收到这样的邮件。都是说最后两天,我一直没有理睬他。我把自己的邮箱拉黑了。。。
公司邮箱收到如下比特币勒索的邮件,可能是家里电脑被黑客入侵了,有什么好的处理办法?
遇到此类问题,除了删除邮件外还需要有网络安全意识,提高网络安全防护。
这一系列敲诈邮件,事实上是敲诈者或者黑客通过伪造邮件信头数据,让受害者收到一封“来自自己的邮件”,以此让被敲诈者相信其信箱被入侵了。但实际上,用户的邮箱账号和机器并未受到诈骗者的入侵和控制,切不可私下给诈骗者汇款以防上当受骗。
邮件内容基本包含以下几个方面:
1、声称自己是来自“暗网”的黑客(如waite23/kurtis09/hugibert19/murry02等虚假ID),警告受害者邮箱账号已被盗取,不相信的话请查看收信人是否来自于受害者自己。
2、表示受害者的机器已感染了自己注入的木马且遭受了长期监控,用户上网记录和本地数据能够被随意访问,受害者修改密码也不再管用等。
3、只要在48小时内向指定比特币地址里汇入指定金额(例如2000美金),就会删除木马并停止攻击行为。
4、有的还会继续发送邮件并提高金额。
做好电脑安全措施
建议广大用户及时更新Windows已发布的安全补丁,同时在网络边界、内部网络区域、主机资产、数据备份方面做好如下工作:
1、关闭445等端口(其他关联端口如:135、137、139)的外部网络访问权限,在服务器上关闭不必要的上述服务端口。
2、加强对445等端口(其他关联端口如:135、137、139)的内部网络区域访问审计,及时发现非授权行为或潜在的攻击行为。
3、由于微软对部分操作系统停止安全更新,建议对Window XP和Windows server 2003主机进行排查(MS17-010更新已不支持),使用替代操作系统。
4、做好信息系统业务和个人数据的备份。
CNCERT后续将密切监测和关注该勒索软件对境内党政机关和重要行业单位以及高等院校的攻击情况,同时联合安全业界对有可能出现的新的攻击传播手段、恶意样本变种进行跟踪防范。
以上内容参考中国经济网-勒索软件攻击电脑怎么处理? 官方发布应急处置指南
邮箱被黑客攻击怎么办
企业网站遭受黑客攻击后的处理步骤:
1、修改网站后台登录密码。
2、将被黑客修改的页面进行修复。
3、如果黑客的攻击造成企业亏损的选择报警,由公安局立案调查。
如果没啥损失,改下密码就好了,要是损失了,肯定要立马报警的,毕竟这种事,不是专业人员,很难自己处理好。
上一篇:黑客游戏大盘点_黑客网络游戏
