电脑黑客们总是希望知道尽可能多的信息，比如:是否联网、内部网络的架构以及安全防范措施的状态。一旦那些有经验的黑客盯上了你的网络系统，他们首先会对你的系统进行分析。这就是为什么我们说运用黑客的“游戏规则是对付黑客的最好办法的原因。以黑客的眼光来审视网络安全性，往往可以发现很多潜在的安全漏洞。这样做不仅提供了审视你网络系统的不同视角，而且让你能够从你的敌人，即黑客的角度来指导你采取最有效的网络安全措施。下面，我们来看一下网络系统分析的过程。这个过程要用到开源工具和相关技术。

　　用开源工具收集信息

　　首先，登录Whois.com网站查找你企业的域名，检索结果将会显示出你的网络系统所使用的DNS服务器。然后再使用一些软件工具，如:nslookup，来进一步挖掘DNS服务器的详细信息。

　　接下来，需要将目标转向于企业的公众Web站点和你能找到的匿名FTP服务器。注意，你现在需要关注的信息主要是:域名、这些域名的IP地址、入侵检测系统的所有信息、用户名、电话号码、电子邮件地址、物理位置、已发布的安全策略、业务合作伙伴的资料、以及新并购企业的信息。

　　此外，在你的上述搜索操作中，一定要特别注意这些网站上已显示的和没有显示的信息。最好，把这些网页存入你的电脑中，然后用记事本程序打开，查看网页的源代码。一般而言，查看网页的源代码可以大量的信息，这也就是某些站点有意对浏览者屏蔽源代码的原因。在源代码文件中，你也许能够了解到网站开发者建站的方式:他们所使用的软 件类型及软件版本、网站以及网页的架构，有时候甚至能够发现一些网站管理员的个人资料。

　　业务合作伙伴的站点或一些新的并购企业的站点往往是黑客入侵的关键点。这些站点是间接入侵目标站点的最佳突破口，容易被网站管理员所忽视，给黑客攻击者制造了大量的机会。如果你在这方面没有足够的警惕性，疏忽大意，很草率地新某个新的业务合作者的网站和你自己的站点联接起来，往往会造成很严重的后果，给你的站点带来极大的安全威胁。在这样的情况下，安全问题比经营问题更加重要，一定要确保安全操作。

　　从外部审视网络

　　有了上述信息收集，你可以开始审视你的网络了。你可以运用路径追踪命令来查看你的网络拓扑结构图和访问控制的相关设置。你会获得大量交换机的特征信息，用来旁路访问控制设备。

　　注意，命令的反馈结果会因为所使用操作系统的不同而有所差别。Unix操作系统使用UDP，也可以选择使用ICMP;而Windows操作系统默认用ICMP来响应请求（Ping）。

　　你也可以用开源工具管理大量ping sweep、执行TCP/UDP协议扫描、操作系统探测。这样做的目的就是要了解，在那些外部访问者的眼中，你的网络系统的运行状况和一些基本的面 貌、特征。因此，你需要检验你的网络系统，哪些端口和服务对外部访问者是开放的或可用的，外部访问者是否可以了解到你所使用的操作系统和一些程序，极其版本信息。简言 之，就是要了解到你的网络系统究竟对那些外部访问者开放了哪些端口或服务，泄露了哪些站点的基本信息。

　　在你开始上述工作之前，你必须要先获得足够的授权，才能进入整个网络系统并对其进行考察、分析。千万不要将你了解到信息告知那些不怀好意的人。记住:安全防护是一个实 施过程，而不仅仅是一种技术。

　　网络安全是一个综合的、复杂的工程，任何网络安全措施都不能保证万无一失。因此，对于一些重要的部门，一旦网络遭到攻击，如何追踪网络攻击，追查到攻击者并将其绳之以法，是十分必要的。

　　追踪网络攻击就是找到事件发生的源头。它有两个方面意义：一是指发现IP地址、Mac地址或是认证的主机名；二是指确定攻击者的身份。网络攻击者在实施攻击之时或之后，必然会留下一些蛛丝马迹，如登录的纪录，文件权限的改变等虚拟证据，如何正确处理虚拟证据是追踪网络攻击的最大挑战。

　　在追踪网络攻击中另一需要考虑的问题是：IP地址是一个虚拟地址而不是一个物理地址，IP地址很容易被伪造，大部分网络攻击者采用IP地址欺骗技术。这样追踪到的攻击源是不正确的。使得以IP地址为基础去发现攻击者变得更加困难。因此，必须采用一些方法，识破攻击者的欺骗，找到攻击源的真正IP地址。

　　一、netstat命令——实时察看文击者

　　使用netstat命令可以获得所有联接被测主机的网络用户的IP地址。Windows系列、Unix系列、Linux等常用网络操作系统都可以使用“netstat命令。

　　使用“netstat命令的缺点是只能显示当前的连接，如果使用“netstat命令时攻击者没有联接，则无法发现攻击者的踪迹。为此，可以使用Scheduler建立一个日程安排，安排系统每隔一定的时间使用一次“netstat命令，并使用netstat〉〉textfile格式把每次检查时得到的数据写入一个文本文件中，以便需要追踪网络攻击时使用。

　　二、日志数据——最详细的攻击记录

　　系统的日志数据提供了详细的用户登录信息。在追踪网络攻击时，这些数据是最直接的、有效的证据。但是有些系统的日志数据不完善，网络攻击者也常会把自己的活动从系统日志中删除。因此，需要采取补救措施，以保证日志数据的完整性。

　　Unix和Linux的日志

　　Unix和Linux的日志文件较详细的记录了用户的各种活动，如登录的ID的用户名、用户IP地址、端口号、登录和退出时间、每个ID最近一次登录时间、登录的终端、执行的命令，用户ID的账号信息等。通过这些信息可以提供ttyname（终端号）和源地址，是追踪网络攻击的最重要的数据。

　　大部分网络攻击者会把自己的活动记录从日记中删去，而且UOP和基于X Windows的活动往往不被记录，给追踪者带来困难。为了解决这个问题，可以在系统中运行wrapper工具，这个工具记录用户的服务请求和所有的活动，且不易被网络攻击者发觉，可以有效的防止网络攻击者消除其活动纪录。

　　Windows NT和Windows 2000的日志

　　Windows NT和Windows 2000有系统日志、安全日志和应用程序日志等三个日志，而与安全相关的数据包含在安全日志中。安全日志记录了登录用户的相关信息。安全日志中的数据是由配置所决定的。因此，应该根据安全需要合理进行配置，以便获得保证系统安全所必需的数据。

　　但是，Windows NT和Windows 2000的安全日志存在重大缺陷，它不记录事件的源，不可能根据安全日志中的数据追踪攻击者的源地址。为了解决这个问题，可以安装一个第三方的能够完整记录审计数据的工具。

　　防火墙日志

　　作为网络系统中的“堡垒主机，防火墙被网络攻击者攻陷的可能性要小得多。因此，相对而言防火墙日志数据不太容易被修改，它的日志数据提供最理想的攻击源的源地址信息。

　　但是，防火墙也不是不可能被攻破的，它的日志也可能被删除和修改。攻击者也可向防火墙发动拒绝服务攻击，使防火墙瘫痪或至少降低其速度使其难以对事件做出及时响应，从而破坏防火墙日志的完整性。因此，在使用防火墙日志之前，应该运行专用工具检查防火墙日志的完整性，以防得到不完整的数据，贻误追踪时机。

　　网络服务器的恶意网络行为包括两个方面：一是恶意的攻击行为，如拒绝服务攻击，网络病毒等等，这些行为旨在消耗服务器资源，影响服务器的正常运作，甚至服务器所在网络的瘫痪;另外一个就是恶意的入侵行为，这种行为更是会导致服务器敏感信息泄露，入侵者更是可以为所欲为，肆意破坏服务器。所以我们要保证网络服务器的安全可以说就是尽量减少网络服务器受这两种行为的影响。

　　基于Windows做操作系统的服务器在中国市场的份额以及国人对该操作系统的了解程度，我在这里谈谈个人对维护windows网络服务器安全的一些个人意见。

　　如何避免网络服务器受网上那些恶意的攻击行为：

　　一、构建好你的硬件安全防御系统

　　选用一套好的安全系统模型。一套完善的安全模型应该包括以下一些必要的组件：防火墙、入侵检测系统、路由系统等。

　　防火墙在安全系统中扮演一个保安的角色，可以很大程度上保证来自网络的非法访问以及数据流量攻击，如拒绝服务攻击等;入侵检测系统则是扮演一个监视器的角色，监视你的服务器出入口，非常智能地过滤掉那些带有入侵和攻击性质的访问。

　　二、选用英文的操作系统

　　要知道，windows毕竟美国微软的东西，而微软的东西一向都是以Bug 和 Patch多而著称，中文版的Bug远远要比英文版多，而中文版的补丁向来是比英文版出的晚，也就是说，如果你的服务器上装的是中文版的windows系统，微软漏洞公布之后你还需要等上一段时间才能打好补丁，也许黑客、病毒就利用这段时间入侵了你的系统。

　　如何防止网络服务器不被黑客入侵：

　　首先，作为一个黑客崇拜者，我想说一句，世界上没有绝对安全的系统。我们只可以尽量避免被入侵，最大的程度上减少伤亡。

　　一、采用NTFS文件系统格式

　　大家都知道，我们通常采用的文件系统是FAT或者FAT32，NTFS是微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。NTFS