解析攻击者

核心提示： 通过被动窃听，黑客会操纵和登记信息，解析攻击者(7)，把文件送达，也会从目标系统上所有可通过的通道找到可通过的致命要害，我国对于打击网络犯罪已经有了明确的司法解释，遗憾的是还没有得到大多数企业重视，黑客会寻找联机和密码的结合点，认出申请合法的通道

通过被动窃听，黑客会操纵和登记信息，把文件送达，也会从目标系统上所有可通过的通道找到可通过的致命要害。黑客会寻找联机和密码的结合点，认出申请合法的通道。

信息包拦截是指在目标系统约束一个活跃的听者程序以拦截和更改所有的或特别的信息的地址。信息可被改送到非法系统阅读，然后不加改变地送回给黑客。

六、反击措施

级别 1 攻击的处理方法有很多，主要是：过滤进入地址并与攻击者的ISP联系。防范服务拒绝攻击的方法请查看，徐一丁先生的文章：分布式拒绝服务攻击(DDoS)原理及防范 http://www-900.ibm.com/developerWorks/cn/security/se-ddos/index.shtml ,这里不作详细的说明了。

级别 2 攻击可以在内部处理。根据有关调查表明，目前，70%的攻击仍然来自组织内部。基本做法就是冻结或清除该用户的帐号。级别2攻击者一般常常伴随使用内部嗅探器，防范方法可以参考：防范网络嗅探http:// http://www-900.ibm.com/developerWorks/cn/security/se-profromsniff/index.shtml。

对级别 3、级别 4 和级别 5、级别 6攻击的反应

如果经历过高于级别2攻击，问题就严重了。

首先备份重要的企业关键数据。

隔离该网络网段使攻击行为仅出现在一个小范围内。

允许行为继续进行。如有可能，不要急于把攻击者赶出系统，为下一步作准备。

记录所有行为，收集证据。这些证据包括：系统登录文件、应用登录文件、AAA（Authentication, Authorization, Accounting认证、授权、计费）登录文件，RADIUS（Remote Authentication Dial-In User Service） 登录，网络单元登录（Network Element Logs）、防火墙登录、HIDS（Host-base IDS，基于主机的入侵检测系统） 事件、NIDS（网络入侵检测系统）事件、磁盘驱动器、隐含文件等。收集证据时要注意：在移动或拆卸任何设备之前都要拍照；在调查中要遵循两人法则：在信息收集中要至少有两个人，以防止篡改信息；应记录所采取的所有步骤以及对配置设置的任何改变，要把这些记录保存在安全的地方。

进行各种尝试(使用网络的不同部分)以识别出攻击源。

为了使用法律武器打击犯罪行为，必须保留证据，而形成证据需要时间。为了做到这一点，必须忍受攻击的冲击(虽然可以制定一些安全措施来确保攻击不损害网络)。对此情形，我们不但要采取一些法律手段，而且还要至少请一家有权威的安全公司协助阻止这种犯罪。这类操作的最重要特点就是取得犯罪的证据、并查找犯罪者的地址，提供所拥有的日志。对于所搜集到的证据，应进行有效地保存。在开始时制作两份，一个用于评估证据，另一个用于法律验证。

总结：

本文不仅从技术的角度解析攻击，还从社会的角度分析攻击者特征、攻击原因、目标等，并根据攻击深度提出解决方案。企业网络安全防护不应只依靠技术手段，而且应积极依靠社会和法律的强大力量彻底消除网络犯罪。我国对于打击网络犯罪已经有了明确的司法解释，遗憾的是还没有得到大多数企业重视，这也是本文的写作目的。