怎么发现黑客入侵_美国如何跟踪黑客入侵
文字日记:
如何进行入侵追踪?
谈到入侵检测系统的响应模块,人们经常会提出一个有趣的问题,那就是入侵的追踪。攻击者为了避免身份的暴露,惯用的手法是首先攻破一个系统,然后使用 *** 跳转(HOP)的办法利用它作为平台来攻击另一个系统,很多情况下甚至经过多次跳转才到达真正的攻击目标。这种情况下,无论是目标系统的安全管理员,还是 *** 的安全部门,都希望能够追查到攻击者的真实来源,为入侵行为责任的判定提供保证。
给定一系列的主机H1,H2,…,Hn(n2),当攻击者顺序从Hi连接到Hi+1(i=1,2,…,n-1),我们称 H1,H2,…,Hn 为一个连接链(connection chain),追踪的任务就是给定Hn,要找出Hn-1,…,H1的部分或全部。追踪入侵者是一项艰巨的任务,由于目前Internet所采用的协议本身(IPv4)没有考虑到身份认证等问题,并且在实际工作中不同的 *** 处在不同的管理之下,要做到及时的追踪是很困难的。从技术上讲目前还没有很好的解决这个问题,但是已经有了若干研究成果。
作为一种 *** 安全机制,入侵追踪应该建立在 *** 资源的相互信任的基础上,应该具有抵抗攻击的健壮性。由于 *** 的特点,追踪必然是一个分布式的,需要多节点的有效协调的体系。现在的 *** 入侵是发生在 *** 上,入侵过程需要的时间可能非常短,这就要求追踪必须是高效的和准确的。并且,追踪系统应该能够以最小的代价提供一个快速的响应机制。
一般的说,目前的追踪 *** 可以分为两个大的种类,基于主机的和基于 *** 的,其中每一种又可以分为主动式的和被动式的,下表根据这种分类给出了一些追踪系统的例子:
DIDS是UC Davis开发的一种分布式入侵检测系统,这种系统提供了一种基于主机的追踪机制,凡是在DIDS监测下的主机都能够记录用户的活动,并且将记录发往一个中心计算节点进行分析,因此DIDS具有在自己监测 *** 下的入侵追踪能力,但是在Internet范围内大规模的部署这样的检测系统是不现实的,尤其是这套系统需要一个中心控制节点。
CIS(Caller Identification System)是另一种基于主机的追踪系统,它使用了真正的分布模型来代替DIDS的中心控制机制,每一个主机都保留了一个连接链的记录,例如当用户从n-1个节点要登录到第n个节点的时候,第n个节点要向节点n-1 询问该用户的连接链,然后向n-2,…,1节点询问连接链,只有当所有的信息都匹配的时候,用户才能登录到主机n,很显然这种追踪方式大大加重了 *** 和系统的负担。
Caller ID是一种很有趣的基于主机的追踪方式,据说这种方式是美国空军采用的,这种 *** 其实就是采用黑客手段沿着连接链对各个主机进行攻击,如果攻击者沿着H0,H1,…,Hn这样的连接链最终登录到Hn,那么H1,…,Hn-1这些主机很可能都具有某种安全漏洞,这样高级安全专家也有很大的机会可以攻击这些系统,最终回溯到H0。当然这种方式只能被军方这样拥有强大技术力量和法律授权的单位采用。
基于主机的追踪体系更大的问题是它的信任模型,它必须信任追踪系统中的每一个节点,如果其中某个节点被成功的攻击而向别的节点提供错误的信息,那么整个系统都会失效,并且可能产生戏剧性的效果。由于这种 *** 要求大规模的部署追踪系统,在Internet上是无法实现的。
基于 *** 的追踪既不要求每一个被监视节点的参与,也不基于对每个节点的信任,因此具有某些很好的特性。这种 *** 基于 *** 本身的特性,例如当数据在连接链中流动的时候,应用层的数据基本是不变的。利用这种特性thumbprint技术对应用层数据进行摘要,摘要可能采用了某种Hash算法,算法保证了这样的摘要可以唯一的区分不同的连接,并且可以根据摘要有效的进行追踪。但是当应用层数据发生微小的变动时就可能使这种 *** 失效。
为了克服这个缺点产生了其他一些 *** ,例如Time-based系统使用连接的时间特性来区分各个连接,deviation-based *** 定义两次TCP连接之间最小的延迟作为“deviation”,这些 *** 都有其优点,但是都难以在Internet上大规模部署。上面的 *** 都属于被动式的追踪 *** ,这一类 *** 有一个共同的缺点就是计算复杂,不管采用其中哪种办法都涉及到大量的计算,考虑到现在 *** 的速度,大规模的采用其中任何一种 *** 都是不可能的。
目前看来,对于Internet环境来说,主动式的追踪 *** 具有很好的特点,它并不需要对每一个包计算,然后进行比较。这方面的研究很多都要涉及到信息隐藏技术。例如针对http协议,在返回的http报文中加入用户不易察觉,并且具有特殊标记的内容,在 *** 中检测这些特殊标记,还可以利用java,cookie等技术在用户机器上留下某种标记,目前主动式的追踪技术在国外已经有了一些实用化的工具,但是基本上还处于保密研究的阶段。
美国监听是监听哪些信息?都通过哪些技术手段监听呢??
五花八门对美国有用的信息都在内,最重要的就是军事机密,政策方针,国家机密,还有就是恐怖主义!
根据中国互联网新闻研究中心发布的《美国全球监听行动纪录》,美国在互联网时代监听项目多、投入大、范围广、时间长,情报机构、 *** 和私营企业间在监控上“无缝合作”。美国情报机构设立的与互联网监控直接相关的项目近十个,实施互联网信息监控和信息获取的主要手段和 *** 有以下三种:
之一,从光缆获取世界范围内的数据。全球的通信流量大部分经过美国,目标数据流可以很容易流入或流经美国。美国国家安全局与国防部等机构在2003年与美国环球电讯公司签署《 *** 安全协议》,此后的10年间,又与更多的电信公司签署了类似协议。这些协议规定,电信企业要在美国本土建立“ *** 运行中心”,美国 *** 官员可以在发出警告半小时内进入查访。美国国家安全局通过至少3种手段窃听别国光缆:之一种是对光纤进行弯曲,通过弯曲部泄露的光能信号进行窃听;第二种是利用更细的光纤插入现有的光缆光纤中,光束会被部分引入窃听装置;第三种是中继站窃听,即通过打开光缆中继器加装窃听装置实现窃听。
第二,直接进入互联网公司的服务器和数据库获取数据。“棱镜”项目相继与微软、雅虎、谷歌、脸谱、PalTalk、YouTube、Skype、AOL和苹果等9家互联网公司合作,情报人员可以直接进入上述公司的服务器和数据库获取数据,内容包括电子邮件、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间和社交 *** 资料等10类信息,甚至可以直接监控用户 *** 搜索内容。美国互联网主要软硬件供应商还都提供了核心技术支持,特别是微软最早与美国国家安全局合作,开放outlook、hotmail内部接口,甚至在outlook.com的加密系统正式发布之前就已将其提供给美国情报部门。曾声称其加密技术和P2P架构无法被 *** “搭线接听”的Skype,在被微软收购后,便主动为“搭线窃听”打开“后门”。
第三,美国国家安全局的特别机构主动、秘密、远程入侵获取。美国国家安全局早在1997年就下设“获取特定情报行动办公室”,其主要任务是通过秘密入侵目标计算机和电信系统、破译密码、攻破受保护目标计算机的安全系统等,窃取存储在目标计算机中的数据,然后复制目标邮件系统中的所有信息和通过的数据流量,来获取境外目标的情报。美国国家安全局描述这一系列行动的技术术语是“计算机 *** 漏洞利用侦察”,其实质就是 *** 攻击窃密。美国已经在全球超过5万台计算机中植入了窃取敏感信息的恶意软件,主要目标为中国、俄罗斯、巴西、埃及、印度、墨西哥、沙特 *** 及东欧部分地区。
此外,美国也一直对通信卫星进行窃听、监控。在地面,美国在本土和盟国建有众多监听站,其中一个重要用途就是监听别国的卫星通信。美国还专门研发在空中进行信号拦截的卫星,这类卫星运行于地球上方3.6万公里的轨道上,与通信卫星相距不远,通过设定特定的轨道参数、监听频率专门针对别国通信卫星。
如何跟踪发现黑客的举动
如果当你受到黑客攻击之后,都很想搞清楚自哪里,是什么人在攻击自己,这样我们就可以有针对性的进行黑客的防范工作。那么如何才能作到这一点呢?这就需要我们对黑客进行追踪,并把黑客的老底给“掏”出来,这其中有很多门道,实现起来也有一定的难度。本章针对普通用户的防黑需求介绍了从发现黑客入侵到追踪黑客的各种 *** ,目的是让读者读完本章之后对追踪黑客的技术有个大致的了解,读完本章之后,你会发现追踪黑客是很吸引人的事情。
如何发现黑客入侵
及时发现黑客入侵对于能否成功地进行追踪是至关重要的,但很多的黑客入侵事件并不为人们所知,因为黑客入侵有时持续的时间很短,在人们还没有发觉的时候攻击就已经结束了。而且比较高明的黑客在入侵完成后还要隐藏或删除自己入侵的痕迹,所以如果发现得晚,黑客可能把一些日志等相关的文档删掉了,给追踪带来很大的难度。
本文中首先以CA的eTrust Intrusion Detection(入侵检测系统)为例,介绍关于专业入侵检测系统的知识,然后再介绍没有入侵检测系统的时候如何来发现黑客入侵。
