随着Linux企業應用的擴展，有(yǒu)大(dà)量的網絡服務器(qì)使用Linux操作(zuò)系統。Linux服務器(qì)的安全性能受到越來(lái)越多(duō)的關注，這裏根據Linux服務器(qì)受到攻擊的深度以級别形式列出，并提出不同的解決方案。

　　随着Linux企業應用的擴展，有(yǒu)大(dà)量的網絡服務器(qì)使用Linux操作(zuò)系統。Linux服務器(qì)的安全性能受到越來(lái)越多(duō)的關注，這裏根據Linux服務器(qì)受到攻擊的深度以級别形式列出，并提出不同的解決方案。

　　對Linux服務器(qì)攻擊的定義是：攻擊是一種旨在妨礙、損害、削弱、破壞Linux服務器(qì)安全的未授權行(xíng)為(wèi)。攻擊的範圍可(kě)以從服務拒絕直至完全危害和(hé)破壞Linux服務器(qì)。對Linux服務器(qì)攻擊有(yǒu)許多(duō)種類,本文從攻擊深度的角度說明(míng)，我們把攻擊分為(wèi)四級。

　　攻擊級别一：服務拒絕攻擊(DoS)

　　由于DoS攻擊工具的泛濫，及所針對的協議層的缺陷短(duǎn)時(shí)無法改變的事實，DoS也就成為(wèi)了流傳最廣、最難防範的攻擊方式。

　　服務拒絕攻擊包括分布式拒絕服務攻擊、反射式分布拒絕服務攻擊、DNS分布拒絕服務攻擊、FTP攻擊等。大(dà)多(duō)數(shù)服務拒絕攻擊導緻相對低(dī)級的危險，即便是那(nà)些(xiē)可(kě)能導緻系統重啓的攻擊也僅僅是暫時(shí)性的問題。這類攻擊在很(hěn)大(dà)程度上(shàng)不同于那(nà)些(xiē)想獲取網絡控制(zhì)的攻擊，一般不會(huì)對數(shù)據安全有(yǒu)影(yǐng)響，但(dàn)是服務拒絕攻擊會(huì)持續很(hěn)長一段時(shí)間(jiān)，非常難纏。

　　到目前為(wèi)止，沒有(yǒu)一個(gè)絕對的方法可(kě)以制(zhì)止這類攻擊。但(dàn)這并不表明(míng)我們就應束手就擒，除了強調個(gè)人(rén)主機加強保護不被利用的重要性外，加強對服務器(qì)的管理(lǐ)是非常重要的一環。一定要安裝驗證軟件和(hé)過濾功能，檢驗該報文的源地址的真實地址。另外對于幾種服務拒絕可(kě)以采用以下措施：關閉不必要的服務、限制(zhì)同時(shí)打開(kāi)的Syn半連接數(shù)目、縮短(duǎn)Syn半連接的time out 時(shí)間(jiān)、及時(shí)更新系統補丁。

　　攻擊級别二：本地用戶獲取了他們非授權的文件的讀寫權限

　　本地用戶是指在本地網絡的任一台機器(qì)上(shàng)有(yǒu)口令、因而在某一驅動器(qì)上(shàng)有(yǒu)一個(gè)目錄的用戶。本地用戶獲取到了他們非授權的文件的讀寫權限的問題是否構成危險很(hěn)大(dà)程度上(shàng)要看被訪問文件的關鍵性。任何本地用戶随意訪問臨時(shí)文件目錄(/tmp)都具有(yǒu)危險性，它能夠潛在地鋪設一條通(tōng)向下一級别攻擊的路徑。

　　級别二的主要攻擊方法是：黑(hēi)客誘騙合法用戶告知其機密信息或執行(xíng)任務，有(yǒu)時(shí)黑(hēi)客會(huì)假裝網絡管理(lǐ)人(rén)員向用戶發送郵件，要求用戶給他系統升級的密碼。

　　由本地用戶啓動的攻擊幾乎都是從遠程登錄開(kāi)始。對于Linux服務器(qì)，最好的辦法是将所有(yǒu)shell賬号放置于一個(gè)單獨的機器(qì)上(shàng)，也就是說，隻在一台或多(duō)台分配有(yǒu)shell訪問的服務器(qì)上(shàng)接受注冊。這可(kě)以使日志(zhì)管理(lǐ)、訪問控制(zhì)管理(lǐ)、釋放協議和(hé)其他潛在的安全問題管理(lǐ)更容易些(xiē)。還(hái)應該将存放用戶CGI的系統區(qū)分出來(lái)。這些(xiē)機器(qì)應該隔離在特定的網絡區(qū)段，也就是說，根據網絡的配置情況，它們應該被路由器(qì)或網絡交換機包圍。其拓撲結構應該确保硬件地址欺騙也不能超出這個(gè)區(qū)段。

　　攻擊級别三：遠程用戶獲得(de)特權文件的讀寫權限

　　第三級别的攻擊能做(zuò)到的不隻是核實特定文件是否存在，而且還(hái)能讀寫這些(xiē)文件。造成這種情況的原因是：Linux服務器(qì)配置中出現這樣一些(xiē)弱點：即遠程用戶無需有(yǒu)效賬号就可(kě)以在服務器(qì)上(shàng)執行(xíng)有(yǒu)限數(shù)量的命令。

　　密碼攻擊法是第三級别中的主要攻擊法，損壞密碼是最常見的攻擊方法。密碼破解是用以描述在使用或不使用工具的情況下滲透網絡、系統或資源以解鎖用密碼保護的資源的一個(gè)術(shù)語。用戶常常忽略他們的密碼，密碼政策很(hěn)難得(de)到實施。黑(hēi)客有(yǒu)多(duō)種工具可(kě)以擊敗技(jì)術(shù)和(hé)社會(huì)所保護的密碼。主要包括：字典攻擊(Dictionary attack)、混合攻擊(Hybrid attack)、蠻力攻擊(Brute force attack)。一旦黑(hēi)客擁有(yǒu)了用戶的密碼，他就有(yǒu)很(hěn)多(duō)用戶的特權。密碼猜想是指手工進入普通(tōng)密碼或通(tōng)過編好程序的正本取得(de)密碼。一些(xiē)用戶選擇簡單的密碼—如生(shēng)日、紀念日和(hé)配偶名字，卻并不遵循應使用字母、數(shù)字混合使用的規則。對黑(hēi)客來(lái)說要猜出一串8個(gè)字生(shēng)日數(shù)據不用花(huā)多(duō)長時(shí)間(jiān)。

　　防範第三級别的攻擊的最好的防衛方法便是嚴格控制(zhì)進入特權，即使用有(yǒu)效的密碼。主要包括密碼應當遵循字母、數(shù)字、大(dà)小(xiǎo)寫(因為(wèi)Linux對大(dà)小(xiǎo)寫是有(yǒu)區(qū)分)混合使用的規則。使用象“#”或“%”或“$”這樣的特殊字符也會(huì)添加複雜性。例如采用"countbak"一詞，在它後面添加“#$”(countbak#$)，這樣您就擁有(yǒu)了一個(gè)相當有(yǒu)效的密碼。

　　攻擊級别四：遠程用戶獲得(de)根權限

　　第四攻擊級别是指那(nà)些(xiē)決不應該發生(shēng)的事發生(shēng)了，這是緻命的攻擊。表示攻擊者擁有(yǒu)Linux服務器(qì)的根、超級用戶或管理(lǐ)員許可(kě)權，可(kě)以讀、寫并執行(xíng)所有(yǒu)文件。換句話(huà)說，攻擊者具有(yǒu)對Linux服務器(qì)的全部控制(zhì)權，可(kě)以在任何時(shí)刻都能夠完全關閉甚至毀滅此網絡。

　　攻擊級别四主要攻擊形式是TCP/IP連續偷竊，被動通(tōng)道(dào)聽(tīng)取和(hé)信息包攔截。TCP/IP連續偷竊，被動通(tōng)道(dào)聽(tīng)取和(hé)信息包攔截，是為(wèi)進入網絡收集重要信息的方法，不像拒絕服務攻擊，這些(xiē)方法有(yǒu)更多(duō)類似偷竊的性質，比較隐蔽不易被發現。一次成功的TCP/IP攻擊能讓黑(hēi)客阻攔兩個(gè)團體(tǐ)之間(jiān)的交易，提供中間(jiān)人(rén)襲擊的良好機會(huì)，然後黑(hēi)客會(huì)在不被受害者注意的情況下控制(zhì)一方或雙方的交易。通(tōng)過被動竊聽(tīng)，黑(hēi)客會(huì)操縱和(hé)登記信息，把文件送達，也會(huì)從目标系統上(shàng)所有(yǒu)可(kě)通(tōng)過的通(tōng)道(dào)找到可(kě)通(tōng)過的緻命要害。黑(hēi)客會(huì)尋找聯機和(hé)密碼的結合點，認出申請(qǐng)合法的通(tōng)道(dào)。信息包攔截是指在目标系統約束一個(gè)活躍的聽(tīng)者程序以攔截和(hé)更改所有(yǒu)的或特别的信息的地址。信息可(kě)被改送到非法系統閱讀，然後不加改變地送回給黑(hēi)客。

　　TCP/IP連續偷竊實際就是網絡嗅探，注意如果您确信有(yǒu)人(rén)接了嗅探器(qì)到自己的網絡上(shàng)，可(kě)以去找一些(xiē)進行(xíng)驗證的工具。這種工具稱為(wèi)時(shí)域反射計(jì)量器(qì)(Time Domain Reflectometer，TDR)。TDR對電(diàn)磁波的傳播和(hé)變化進行(xíng)測量。将一個(gè)TDR連接到網絡上(shàng)，能夠檢測到未授權的獲取網絡數(shù)據的設備。不過很(hěn)多(duō)中小(xiǎo)公司沒有(yǒu)這種價格昂貴的工具。對于防範嗅探器(qì)的攻擊最好的方法是：

　　1、安全的拓撲結構。嗅探器(qì)隻能在當前網絡段上(shàng)進行(xíng)數(shù)據捕獲。這就意味着，将網絡分段工作(zuò)進行(xíng)得(de)越細，嗅探器(qì)能夠收集的信息就越少(shǎo)。

　　2、會(huì)話(huà)加密。不用特别地擔心數(shù)據被嗅探，而是要想辦法使得(de)嗅探器(qì)不認識嗅探到的數(shù)據。這種方法的優點是明(míng)顯的：即使攻擊者嗅探到了數(shù)據，這些(xiē)數(shù)據對他也是沒有(yǒu)用的。

　　特别提示：應對攻擊的反擊措施

　　對于超過第二級别的攻擊您就要特别注意了。因為(wèi)它們可(kě)以不斷的提升攻擊級别，以滲透Linux服務器(qì)。此時(shí)，我們可(kě)以采取的反擊措施有(yǒu)：

　　首先備份重要的企業關鍵數(shù)據。

　　改變系統中所有(yǒu)口令，通(tōng)知用戶找系統管理(lǐ)員得(de)到新口令。

　　隔離該網絡網段使攻擊行(xíng)為(wèi)僅出現在一個(gè)小(xiǎo)範圍內(nèi)。

　　允許行(xíng)為(wèi)繼續進行(xíng)。如有(yǒu)可(kě)能，不要急于把攻擊者趕出系統，為(wèi)下一步作(zuò)準備。

　　記錄所有(yǒu)行(xíng)為(wèi)，收集證據。這些(xiē)證據包括：系統登錄文件、應用登錄文件、AAA(Authentication、Authorization、 Accounting，認證、授權、計(jì)費)登錄文件，RADIUS(Remote Authentication Dial-In User Service) 登錄，網絡單元登錄(Network Element Logs)、防火(huǒ)牆登錄、HIDS(Host-base IDS，基于主機的入侵檢測系統) 事件、NIDS(網絡入侵檢測系統)事件、磁盤驅動器(qì)、隐含文件等。收集證據時(shí)要注意：在移動或拆卸任何設備之前都要拍照;在調查中要遵循兩人(rén)法則，在信息收集中要至少(shǎo)有(yǒu)兩個(gè)人(rén)，以防止篡改信息;應記錄所采取的所有(yǒu)步驟以及對配置設置的任何改變，要把這些(xiē)記錄保存在安全的地方。檢查系統所有(yǒu)目錄的存取許可(kě)，檢測Permslist是否被修改過。

　　進行(xíng)各種嘗試(使用網絡的不同部分)以識别出攻擊源。

　　為(wèi)了使用法律武器(qì)打擊犯罪行(xíng)為(wèi)，必須保留證據，而形成證據需要時(shí)間(jiān)。為(wèi)了做(zuò)到這一點，必須忍受攻擊的沖擊(雖然可(kě)以制(zhì)定一些(xiē)安全措施來(lái)确保攻擊不損害網絡)。對此情形，我們不但(dàn)要采取一些(xiē)法律手段，而且還(hái)要至少(shǎo)請(qǐng)一家(jiā)有(yǒu)權威的安全公司協助阻止這種犯罪。這類操作(zuò)的最重要特點就是取得(de)犯罪的證據、并查找犯罪者的地址，提供所擁有(yǒu)的日志(zhì)。對于所搜集到的證據，應進行(xíng)有(yǒu)效地保存。在開(kāi)始時(shí)制(zhì)作(zuò)兩份，一個(gè)用于評估證據，另一個(gè)用于法律驗證。

　　找到系統漏洞後設法堵住漏洞，并進行(xíng)自我攻擊測試。

　　網絡安全已經不僅僅是技(jì)術(shù)問題，而是一個(gè)社會(huì)問題。企業應當提高(gāo)對網絡安全重視(shì)，如果一味地隻依靠技(jì)術(shù)工具，那(nà)就會(huì)越來(lái)越被動;隻有(yǒu)發揮社會(huì)和(hé)法律方面打擊網絡犯罪，才能更加有(yǒu)效。我國對于打擊網絡犯罪已經有(yǒu)了明(míng)确的司法解釋，遺憾的是大(dà)多(duō)數(shù)企業隻重視(shì)技(jì)術(shù)環節的作(zuò)用而忽略法律、社會(huì)因素，這也是本文的寫作(zuò)目的。

　　拒絕服務攻擊(DoS)

　　DoS即Denial Of Service，拒絕服務的縮寫，可(kě)不能認為(wèi)是微軟的DOS操作(zuò)系統!DoS攻擊即讓目标機器(qì)停止提供服務或資源訪問，通(tōng)常是以消耗服務器(qì)端資源為(wèi)目标，通(tōng)過僞造超過服務器(qì)處理(lǐ)能力的請(qǐng)求數(shù)據造成服務器(qì)響應阻塞，使正常的用戶請(qǐng)求得(de)不到應答(dá)，以實現攻擊目的

重慶中技互聯網信息咨詢有限公司
重慶網站(zhàn)建設事業部官方網：www.zjcoo.com
電(diàn)子商務建站(zhàn)事業部咨詢電(diàn)話(huà)：023-67742189
門(mén)戶網站(zhàn)品牌加盟推廣電(diàn)話(huà)：023-67742189
7*24小(xiǎo)時(shí)服務電(diàn)話(huà)：023-67742189
媒體(tǐ)合作(zuò)電(diàn)話(huà)：13883323406
投資合作(zuò)電(diàn)話(huà)：13896068183
QQ及郵件地址：446515345@qq.com