一、保護(hù)WEB服務(wù)器的關(guān)鍵是什么
WEB服務(wù)器自身脆弱性:Web服務(wù)器軟件自身存在安全問題,如Web服務(wù)器軟件缺省安裝提供了過(guò)多的不必要功能,密碼過(guò)于簡(jiǎn)單遭到破解���,當(dāng)服務(wù)器管理員使用了不安全協(xié)議的軟件(如telnet)進(jìn)行管理時(shí),被監(jiān)聽而導(dǎo)致信息外泄�。
Web應(yīng)用程序安全性差:主要是指CGI程序和ASP、PHP腳本等等程序的安全性����。這些程序大大擴(kuò)展了Web服務(wù)器的功能,但它們往往只重功能而忽視了安全性�。
保護(hù)WEB服務(wù)的方法:1、用防火墻保護(hù)網(wǎng)站�����,可以有效地對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾,是網(wǎng)站的第一道防線���;2���、用入侵監(jiān)測(cè)系統(tǒng)監(jiān)測(cè)網(wǎng)絡(luò)數(shù)據(jù)包,可以捕捉危險(xiǎn)或有惡意的訪問動(dòng)作��,并能按指定的規(guī)則����,以記錄�����、阻斷��、發(fā)警報(bào)等等多種方式進(jìn)行響應(yīng)����,既可以實(shí)時(shí)阻止入侵行為,又能夠記錄入侵行為以追查攻擊者��;3���、正確配置Web服務(wù)器�,跟蹤并安裝服務(wù)器軟件的最新補(bǔ)丁�����;4����、服務(wù)器軟件只保留必要的功能,關(guān)閉不必要的諸如FTP�、SMTP等公共服務(wù),修改系統(tǒng)安裝時(shí)設(shè)置的默認(rèn)口令��,使用足夠安全的口令�����;5���、遠(yuǎn)程管理服務(wù)器使用安全的方法如SSH�,避免運(yùn)行使用明文傳輸口令的telnet���、ftp等程序��;6�����、謹(jǐn)慎使用CGI程序和ASP�����、PHP腳本程序7����、使用網(wǎng)絡(luò)安全檢測(cè)產(chǎn)品對(duì)安全情況進(jìn)行檢測(cè),發(fā)現(xiàn)并彌補(bǔ)安全隱患�����。
二�����、如何防范CGI腳本漏洞
CGI(COMMOM GATE INTERFACE)是外部應(yīng)用程序與WEB服務(wù)器交互的一個(gè)標(biāo)準(zhǔn)接口���,它可以完成客戶端與服務(wù)器的交互操作。CGI帶來(lái)了動(dòng)態(tài)的網(wǎng)頁(yè)服務(wù)���, CGI 腳本是主頁(yè)安全漏洞的主要來(lái)源����,這主要是由于CGI程序設(shè)計(jì)不當(dāng),暴露了未經(jīng)授權(quán)的數(shù)據(jù)����。通過(guò)構(gòu)造特殊字符串給CGI程序就可能得到這種權(quán)限。
防范CGI腳本漏洞主要是:1�����、使用最新版本的Web服務(wù)器���,安裝最新的補(bǔ)丁程序�����,正確配置服務(wù)器�����;2�����、按照幫助文件正確安裝CGI程序��,刪除不必要的安裝文件和臨時(shí)文件�����;3����、使用C編寫CGI程序時(shí),使用安全的函數(shù)��;4�、使用安全有效的驗(yàn)證用戶身份的方法;5�、驗(yàn)證用戶的來(lái)源,防止用戶短時(shí)間內(nèi)過(guò)多動(dòng)作�����;6�����、推薦過(guò)濾“& ; ` ' \ ” | * ? ~ < > ^ ( ) [ ] { } $ \n \r \t \0 # ../�����;7���、在設(shè)計(jì)CGI腳本時(shí)�,其對(duì)輸入數(shù)據(jù)的長(zhǎng)度有嚴(yán)格限制��;8��、實(shí)現(xiàn)功能時(shí)制定安全合理的策略�,CGI程序還應(yīng)具有檢查異常情況的功能,在檢查出陌生數(shù)據(jù)后CGI應(yīng)能及時(shí)處理這些情況�����。
三���、如何保護(hù)FTP服務(wù)器
1�、禁止匿名登錄��。在Windows 2000中����,最初安置的ftp服務(wù)默認(rèn)允許匿名登陸��,它是一種可以讓沒有用戶帳戶的人登陸你的ftp服務(wù)器的方法����。允許匿名訪問有時(shí)會(huì)導(dǎo)致被利用傳送非法文件���! ∪∠涿卿洠辉试S被預(yù)定義的用戶帳號(hào)登錄���, 配置被定義在FTP 主目錄的ACLs [ 訪問控制列表] 來(lái)進(jìn)行訪問控制���,并使用NTFS 許可證。
2����、設(shè)置訪問日志。通過(guò)訪問日志可以準(zhǔn)確得到哪些IP 地址和用戶訪問的準(zhǔn)確紀(jì)錄���。定期維護(hù)日志能估計(jì)站點(diǎn)訪問量和找出安全威脅和漏洞�。
3����、強(qiáng)化訪問控制列表。采用NTFS 訪問許可�����,運(yùn)用ACL[訪問控制列表] 控制對(duì)您的FTP 目錄的的訪問��。
4���、設(shè)置站點(diǎn)為不可視���。如您只需要用戶傳送文件到服務(wù)器而不是從服務(wù)器下載文件,可以考慮配置站點(diǎn)為不可視�。 這意味著用戶被允許從FTP 目錄寫入文件不能讀取。 這樣可以阻止未授權(quán)用戶訪問站點(diǎn)����。要配置站點(diǎn)為不可視,應(yīng)當(dāng)在“站點(diǎn)”和“主目錄”設(shè)置訪問許可����。
5、使用磁盤配額�����。磁盤配額可能有效地限制每個(gè)用戶所使用的磁盤空間。授予用戶對(duì)自己上傳的文件的完全控制權(quán)��。使用磁盤配額可以檢查用戶是否超出了使用空間��,能有效地限制站點(diǎn)被攻破所帶來(lái)的破壞�����。并且�����,限制用戶能擁有的磁盤空間��,站點(diǎn)將不會(huì)成為那些尋找空間共享媒體文件的黑客的目標(biāo)�。
6、使用訪問時(shí)間限制��。Windows2000 訪問時(shí)間限制是從nt4.0繼承而來(lái)����。 這個(gè)選項(xiàng)限制用戶只能在指定的日期的時(shí)間內(nèi)才能登陸訪問站點(diǎn)。這可以限制在唯一被批準(zhǔn)的時(shí)間才能訪問服務(wù)器��。如果站點(diǎn)在企業(yè)環(huán)境中使用,可以限制只有在工作時(shí)間才能訪問服務(wù)請(qǐng)��。 下班以后就禁止登錄以保障安全�����。
7�����、基于IP策略的訪問控制��。Windows2000的 FTP 可以限制具體IP 地址的訪問��。限制只能由特定的個(gè)體才能訪問站點(diǎn)�����,可以減少未批準(zhǔn)者登錄訪問的危險(xiǎn)���。
8、審計(jì)登陸事件�����。審計(jì)帳戶登錄事件,能在安全日志察看器里查看企圖登陸站點(diǎn)的(成功/失�。┦录跃X一名惡意用戶設(shè)法入侵的可疑活動(dòng)���。 它也作為歷史記錄用于站點(diǎn)入侵檢測(cè)����。
9���、使用安全密碼策略���。復(fù)雜的密碼是采用終端用戶認(rèn)證的安全方式。這是鞏固站點(diǎn)安全的一個(gè)關(guān)鍵部分����,F(xiàn)TP 用戶帳號(hào)選擇密碼時(shí)必須遵守以下規(guī)則:不包含用戶帳號(hào)名字的全部或部份;必須是至少6 個(gè)字符長(zhǎng)����;包含英文大、小寫字符�����、數(shù)字和特殊字符等多個(gè)類別。
10��、限制登錄次數(shù)�。 Windows2000 安全策略允許管理員當(dāng)帳戶在規(guī)定的次數(shù)內(nèi)未登入的情況下將帳戶鎖定。
四�����、郵件服務(wù)器易受哪些攻擊�����,如何保護(hù)郵件服務(wù)器
目前互連網(wǎng)上的郵件服務(wù)器所受攻擊有兩類:一類就是中繼利用(Relay)���,即遠(yuǎn)程機(jī)器通過(guò)你的服務(wù)器來(lái)發(fā)信,這樣任何人都可以利用你的服務(wù)器向任何地址發(fā)郵件��,久而久之��,你的機(jī)器不僅成為發(fā)送垃圾郵件的幫兇�,也會(huì)使你的網(wǎng)絡(luò)流量激增,同時(shí)將可能被網(wǎng)上的很多郵件服務(wù)器所拒絕����;另一類攻擊稱為垃圾郵件(Spam)����,即人們常說(shuō)的郵件炸彈����,是指在很短時(shí)間內(nèi)服務(wù)器可能接收大量無(wú)用的郵件,從而使郵件服務(wù)器不堪負(fù)載而出現(xiàn)癱瘓�。這兩種攻擊都可能使郵件服務(wù)器無(wú)法正常工作。
防止郵件服務(wù)器被攻擊的方法有三種:一種是升級(jí)高版本的服務(wù)器軟件��,利用軟件自身的安全功能限制垃圾郵件的大量轉(zhuǎn)發(fā)或訂閱反垃圾郵件服務(wù)�;第二種就是采用第三方軟件利用諸如動(dòng)態(tài)中繼驗(yàn)證控制功能來(lái)實(shí)現(xiàn),從而確保接受郵件的正確性����;第三種是配置病毒網(wǎng)關(guān)、病毒過(guò)濾等功能���,從網(wǎng)絡(luò)的入口開始��,阻止來(lái)自互聯(lián)網(wǎng)的郵件病毒入侵��,同時(shí)還要防止它們?cè)谶M(jìn)出公司內(nèi)部網(wǎng)絡(luò)時(shí)的傳播�����。
五�、DNS服務(wù)器易受哪些攻擊,如何保護(hù)DNS服務(wù)器
由于DNS服務(wù)使用UDP協(xié)議�,因此對(duì)于攻擊者而言,更容易把攻擊焦點(diǎn)集中在DNS服務(wù)上�����。DNS服務(wù)面臨的威脅包括:
緩存區(qū)中毒:這種攻擊是指黑客在主DNS服務(wù)器向輔DNS服務(wù)器進(jìn)行區(qū)域傳輸時(shí)插入錯(cuò)誤的DNS信息��,一旦成功�,攻擊者便可使輔DNS服務(wù)器提供錯(cuò)誤的名稱到IP地址的解析信息����;如果使用DNS緩存?zhèn)卧煨畔⒌脑挘粽呖梢愿淖儼l(fā)向合法站點(diǎn)的傳輸流方向�,使它傳送到攻擊者控制的站點(diǎn)上;
拒絕服務(wù):對(duì)某些域名服務(wù)器的大規(guī)模拒絕服務(wù)攻擊會(huì)造成互聯(lián)網(wǎng)速度普遍下降或停止運(yùn)行���;
域劫持:通過(guò)利用客戶升級(jí)自己的域注冊(cè)信息所使用的不安全機(jī)制���,攻擊者可以接管域注冊(cè)過(guò)程來(lái)控制合法的域;
泄漏網(wǎng)絡(luò)拓樸結(jié)構(gòu):設(shè)置不當(dāng)?shù)腄NS將泄漏過(guò)多的網(wǎng)絡(luò)拓樸結(jié)構(gòu):如果你的DNS服務(wù)器允許對(duì)任何人都進(jìn)行區(qū)域傳輸?shù)脑挘敲茨愕恼麄(gè)網(wǎng)絡(luò)架構(gòu)中的主機(jī)名�����、主機(jī)IP列表��、路由器名����、路由器IP列表,甚至包括你的機(jī)器所在的位置等信息都會(huì)不知不覺的泄露出去����。
為了保護(hù)DNS服務(wù)器不受攻擊,首先應(yīng)當(dāng)保護(hù)DNS服務(wù)器所存儲(chǔ)的信息���,而且此信息應(yīng)當(dāng)由創(chuàng)建和設(shè)計(jì)者才能修改��。部分注冊(cè)信息的登錄方式仍然采用一些比較過(guò)時(shí)的方法����,如采用電子郵件的方式就可以升級(jí)DNS注冊(cè)信息�,這些過(guò)時(shí)的方法需要添加安全措施,例如采用加密的口令�,或者采用安全的瀏覽器平臺(tái)工具來(lái)提供管理域代碼記錄的方式;其次是正確配置區(qū)域傳輸,即只允許相互信任的DNS服務(wù)器之間才允許傳輸解析數(shù)據(jù)�����;還要應(yīng)用防火墻配合使用��,使得DNS服務(wù)器位于防火墻的保護(hù)之內(nèi)��,只開放相應(yīng)的服務(wù)端口和協(xié)議�;還有一點(diǎn)需要注意的是使用那些較新的DNS軟件,因?yàn)樗麄冎杏行┛梢灾С挚刂圃L問方式記錄DNS信息����,因此域名解析服務(wù)器只對(duì)那些合法的請(qǐng)求作出響應(yīng)。內(nèi)部的請(qǐng)求可以不受限制的訪問區(qū)域信息���,外部的請(qǐng)求僅能訪問那些公開的信息;最后系統(tǒng)管理員也可以采用分離DNS的方式���,內(nèi)部的系統(tǒng)與外部系統(tǒng)分別訪問不同的DNS系統(tǒng)���,外部的計(jì)算機(jī)僅能訪問公共的記錄。
六�、路由器面臨有哪些威脅,如何保護(hù)路由器的安全
路由器作為互聯(lián)網(wǎng)上重要的地址信息路由設(shè)備,直接暴露于網(wǎng)絡(luò)之中����。攻擊路由器會(huì)浪費(fèi)CPU周期,誤導(dǎo)信息流量���,使網(wǎng)絡(luò)陷于癱瘓�����。路由器面臨的威脅有:
將路由器作為攻擊平臺(tái):入侵者利用不安全的路由器作為生成對(duì)其他站點(diǎn)掃描或偵察的平臺(tái)�����;
拒絕服務(wù):盡管路由器在設(shè)計(jì)上可以傳送大量的數(shù)據(jù)流��,但是它同樣不能處理傳送給大于它傳輸能力的流量��。入侵者利用這種特性攻擊連接到網(wǎng)絡(luò)上的路由器��,而不是直接攻擊網(wǎng)絡(luò)上的系統(tǒng)�,從而造成對(duì)路由器的拒絕服務(wù)攻擊����;
明文傳輸配置信息:許多網(wǎng)絡(luò)管理員未關(guān)閉或加密Telnet會(huì)話��,因此若明文傳輸?shù)目诹畋唤厝���,黑客就可以任意配置路由器?/SPAN>
好的路由器本身會(huì)采取一個(gè)好的安全機(jī)制來(lái)保護(hù)自己,但是僅此一點(diǎn)是遠(yuǎn)遠(yuǎn)不夠的�。保護(hù) 路由器安全還需要網(wǎng)管員在配置和管理路由器過(guò)程中采取相應(yīng)的安全措施:
限制系統(tǒng)物理訪問:限制系統(tǒng)物理訪問是確保路由器安全的最有效方法之一,即將控制臺(tái)和終端會(huì)話配置成在較短閑置時(shí)間后自動(dòng)退出系統(tǒng)�����;避免將調(diào)制解調(diào)器連接至路由器的輔助端口也很重要�����。一旦限制了路由器的物理訪問�,用戶一定要確保路由器的安全補(bǔ)丁是最新的。因?yàn)槁┒闯3J窃诠⿷?yīng)商發(fā)行補(bǔ)丁之前被披露���,這就使得黑客搶在供應(yīng)商發(fā)行補(bǔ)丁之前利用受影響的系統(tǒng)��,這需要引起用戶的關(guān)注。
加強(qiáng)口令安全:黑客常常利用弱口令或默認(rèn)口令進(jìn)行攻擊��。加長(zhǎng)口令����、選用30到60天的口令有效期等措施有助于防止這類漏洞���。另外,一旦重要的網(wǎng)管員工辭職��,用戶應(yīng)該立即更換口令���。用戶應(yīng)該啟用路由器上的口令加密功能��,實(shí)施合理的驗(yàn)證控制以便路由器安全地傳輸數(shù)據(jù)�����。
應(yīng)用身份驗(yàn)證功能:在大多數(shù)路由器上��,用戶可以配置一些加密和認(rèn)證協(xié)議��,如遠(yuǎn)程驗(yàn)證撥入用戶服務(wù)�。驗(yàn)證控制可以將用戶的驗(yàn)證請(qǐng)求轉(zhuǎn)發(fā)給通常在后端網(wǎng)絡(luò)上的驗(yàn)證服務(wù)器�����,驗(yàn)證服務(wù)器還可以要求用戶使用雙因素驗(yàn)證��,以此加強(qiáng)驗(yàn)證系統(tǒng)。
禁用不必要服務(wù):擁有眾多路由服務(wù)是件好事�,但近來(lái)許多安全事件都凸顯了禁用不需要本地服務(wù)的重要性,如禁止CDP服務(wù)����;需要注意的是,禁用路由器上的CDP可能會(huì)影響路由器的性能���。定時(shí)對(duì)有效操作網(wǎng)絡(luò)是必不可少的���,即使用戶確保了部署期間時(shí)間同步,經(jīng)過(guò)一段時(shí)間后��,時(shí)鐘仍有可能逐漸失去同步�����。由此����,用戶可以利用名為網(wǎng)絡(luò)時(shí)間協(xié)議(NTP)的服務(wù),對(duì)照有效準(zhǔn)確的時(shí)間源以確保網(wǎng)絡(luò)上的設(shè)備時(shí)針同步��;不過(guò)��,確保網(wǎng)絡(luò)設(shè)備時(shí)鐘同步的最佳方式不是通過(guò)路由器���,而是在防火墻保護(hù)的網(wǎng)絡(luò)區(qū)段放一臺(tái)NTP服務(wù)器�,將該服務(wù)器配置成僅允許向外面的可信公共時(shí)間源提出時(shí)間請(qǐng)求�����。另外��,在路由器上��,對(duì)于SNMP�����、DHCP以及WEB管理服務(wù)等�,只有絕對(duì)必要的時(shí)候才可使用這些服務(wù)。
限制邏輯訪問:限制邏輯訪問主要是借助于合理處置訪問控制列表����,限制遠(yuǎn)程終端會(huì)話有助于防止黑客獲得系統(tǒng)邏輯訪問。其中SSH是優(yōu)先的邏輯訪問方法����,還可以使用終端訪問控制���,以限制只能訪問可信主機(jī)。因此����,用戶需要給Telnet在路由器上使用的虛擬終端端口添加一份訪問列表。
有限使用ICMP消息類型:控制消息協(xié)議(ICMP)有助于排除故障����,但也為攻擊者提供了用來(lái)瀏覽網(wǎng)絡(luò)設(shè)備、確定本地時(shí)間戳和網(wǎng)絡(luò)掩碼以及對(duì)OS修正版本作出推測(cè)的信息�。因此,為了防止黑客搜集上述信息��,只允許以下類型的ICMP流量進(jìn)入用戶網(wǎng)絡(luò):主機(jī)無(wú)法到達(dá)的�、端口無(wú)法到達(dá)的、源抑制的以及超出生存時(shí)間(TTL)的�����。此外�����,還應(yīng)禁止ICMP流量以外的所有流量,以防止拒絕服務(wù)攻擊���。
控制流量有限進(jìn)入網(wǎng)絡(luò):為了避免路由器成為DoS攻擊目標(biāo)����,用戶應(yīng)該拒絕以下流量進(jìn)入:沒有IP地址的包��、采用本地主機(jī)地址�、廣播地址���、多播地址以及任何假冒的內(nèi)部地址的包���。雖然用戶無(wú)法杜絕DoS攻擊,但用戶可以限制DoS的危害���;另外��,用戶還可以采取增加SYN ACK隊(duì)列長(zhǎng)度����、縮短ACK超時(shí)等措施來(lái)保護(hù)路由器免受TCP SYN的攻擊���。
安全使用SNMP/TELNET:如果用戶使用SNMP���,那么一定要選擇功能強(qiáng)大的共用字符串�����,最好是使用提供消息加密功能的SNMP V3����。如果不通過(guò)SNMP管理對(duì)設(shè)備進(jìn)行遠(yuǎn)程配置���,用戶最好將SNMP設(shè)備配置成只讀���;拒絕對(duì)這些設(shè)備進(jìn)行寫操作,用戶就能防止黑客改動(dòng)或關(guān)閉接口����。為進(jìn)一步確保安全管理,用戶可以使用SSH等加密機(jī)制�����,利用SSH與路由器建立加密的遠(yuǎn)程會(huì)話���;為了加強(qiáng)保護(hù)�����,用戶還應(yīng)該限制SSH會(huì)話協(xié)商�,只允許會(huì)話用于同用戶經(jīng)常使用的幾個(gè)可信系統(tǒng)進(jìn)行通信。
七��、防范緩沖區(qū)溢出攻擊
緩沖區(qū)溢出(又稱堆棧溢出)攻擊是最常用的黑客技術(shù)之一����。這種攻擊之所以泛濫�����,是由于開放源代碼程序的本質(zhì)決定的��。Unix本身以及其上的許多應(yīng)用程序都是用C語(yǔ)言編寫的�,而C語(yǔ)言不檢查緩沖區(qū)的邊界。在某些情況下�,如果用戶輸入的數(shù)據(jù)長(zhǎng)度超過(guò)應(yīng)用程序給定的緩沖區(qū),就會(huì)覆蓋其他數(shù)據(jù)區(qū)�,這就稱作”緩沖區(qū)溢出”。 一般情況下�,覆蓋其他數(shù)據(jù)區(qū)的數(shù)據(jù)是沒有意義的���,最多造成應(yīng)用程序錯(cuò)誤;但是��,如果輸入的數(shù)據(jù)是經(jīng)過(guò)“黑客”精心設(shè)計(jì)的��,覆蓋緩沖區(qū)的數(shù)據(jù)恰恰是黑客的入侵程序代碼�����,黑客就獲取了程序的控制權(quán)�。盡管這項(xiàng)攻擊的技術(shù)要求非常高,而一旦執(zhí)行這項(xiàng)攻擊的程序被設(shè)計(jì)出來(lái)卻是非常簡(jiǎn)單的���。
由于緩沖區(qū)溢出是一個(gè)編程問題���,所以他們只能通過(guò)修復(fù)被破壞的程序代碼來(lái)解決問題。從“緩沖區(qū)溢出攻擊”的原理可以看出��,要防止此類攻擊�����,我們可以在開放程序時(shí)仔細(xì)檢查溢出情況���,不允許數(shù)據(jù)溢出緩沖區(qū)�。經(jīng)常檢查操作系統(tǒng)和應(yīng)用程序提供商的站點(diǎn),一旦發(fā)現(xiàn)補(bǔ)丁程序就馬上下載是最好的方法��。
八�����、防范IP欺騙攻擊
IP欺騙技術(shù)就是偽造某臺(tái)主機(jī)的IP地址的技術(shù)�����。通過(guò)IP地址的偽裝使得某臺(tái)主機(jī)能夠偽裝另外的一臺(tái)主機(jī)����,而這臺(tái)主機(jī)往往具有某種特權(quán)或者被另外的主機(jī)所信任����。假設(shè)現(xiàn)在有一個(gè)合法用戶(1.1.1.1)已經(jīng)同服務(wù)器建立了正常的連接,攻擊者構(gòu)造攻擊的TCP數(shù)據(jù)�,偽裝自己的IP為1.1.1.1,并向服務(wù)器發(fā)送一個(gè)帶有RST位的TCP數(shù)據(jù)段�����。服務(wù)器接收到這樣的數(shù)據(jù)后,認(rèn)為從1.1.1.1發(fā)送的連接有錯(cuò)誤����,就會(huì)清空緩沖區(qū)中建立好的連接。這時(shí)���,如果合法用戶1.1.1.1再發(fā)送合法數(shù)據(jù)��,服務(wù)器就已經(jīng)沒有這樣的連接了��,該用戶就必須從新開始建立連接��。攻擊時(shí)��,偽造大量的IP地址�,向目標(biāo)發(fā)送RST數(shù)據(jù)���,使服務(wù)器不對(duì)合法用戶服務(wù)���。
雖然IP欺騙攻擊有著相當(dāng)難度,但我們應(yīng)該清醒地意識(shí)到����,這種攻擊非常廣泛��,入侵往往由這里開始�����。預(yù)防這種攻擊還是比較容易的����,比如刪除UNIX中所有的/etc/hosts.equiv��、$HOME/.rhosts文件��,修改/etc/inetd.conf文件�����,使得RPC機(jī)制無(wú)法應(yīng)用��。另外���,還可以通過(guò)設(shè)置防火墻過(guò)濾來(lái)自外部而信源地址卻是內(nèi)部IP的報(bào)文。
九����、防范Syn Flood攻擊
SYN Food攻擊是利用特殊的程序�����,設(shè)置TCP的Header���,向服務(wù)器端不斷地成倍發(fā)送只有SYN標(biāo)志的TCP連接請(qǐng)求。當(dāng)服務(wù)器接收的時(shí)候����,都認(rèn)為是沒有建立起來(lái)的連接請(qǐng)求,于是為這些請(qǐng)求建立會(huì)話��,排到緩沖區(qū)隊(duì)列中����。如果你的SYN請(qǐng)求超過(guò)了服務(wù)器能容納的限度,緩沖區(qū)隊(duì)列滿�����,那么服務(wù)器就不再接收新的請(qǐng)求了����。其他合法用戶的連接都被拒絕掉。此時(shí),服務(wù)器已經(jīng)無(wú)法再提供正常的服務(wù)了�����,所以SYN Food攻擊是拒絕服務(wù)攻擊����。
對(duì)于SYN Flood攻擊,目前尚沒有很好的監(jiān)測(cè)和防御方法�,不過(guò)如果系統(tǒng)管理員熟悉攻擊方法和系統(tǒng)架構(gòu),通過(guò)一系列的設(shè)定�����,也能從一定程度上降低被攻擊系統(tǒng)的負(fù)荷���,減輕負(fù)面的影響���。
對(duì)于WindowsNT/2000而言,它的SYN攻擊保護(hù)機(jī)制可以這樣考慮:正常情況下��,OS對(duì)TCP連接的一些重要參數(shù)有一個(gè)常規(guī)的設(shè)置:SYN Timeout時(shí)間��、SYN-ACK的重試次數(shù)��、SYN報(bào)文從路由器到系統(tǒng)再到Winsock的延時(shí)等等����。這個(gè)常規(guī)設(shè)置針對(duì)系統(tǒng)優(yōu)化,可以給用戶提供方便快捷的服務(wù)���;一旦服務(wù)器受到攻擊�,SYN Half link 的數(shù)量超過(guò)系統(tǒng)中TCP活動(dòng) Half Connction最大連接數(shù)的設(shè)置�����,系統(tǒng)將會(huì)認(rèn)為自己受到了SYN Flood攻擊��,并將根據(jù)攻擊的判斷情況作出反應(yīng):減短SYN Timeout時(shí)間�����、減少SYN-ACK的重試次數(shù)��、自動(dòng)對(duì)緩沖區(qū)中的報(bào)文進(jìn)行延時(shí)等等措施�,力圖將攻擊危害減到最低。如果攻擊繼續(xù)�,超過(guò)了系統(tǒng)允許的最大Half Connection 值,系統(tǒng)已經(jīng)不能提供正常的服務(wù)了����,為了保證系統(tǒng)不崩潰����,可以將任何超出最大Half Connection 值范圍的SYN報(bào)文隨機(jī)丟棄��,保證系統(tǒng)的穩(wěn)定性��。
十���、防范Smurf攻擊
Smurf攻擊是利用Ping程序中使用的ICMP協(xié)議���。攻擊者首先制造出源地址是受攻擊主機(jī)的IP地址的包;然后攻擊者將這些包發(fā)送給不知情的第三方�����,使它們成為幫兇����;如果攻擊者發(fā)送足夠的ICMP包,回應(yīng)會(huì)超過(guò)受攻主機(jī)的承受能力�����;因此,Smurf攻擊實(shí)際上是一種IP欺騙式的攻擊�,將導(dǎo)致拒絕服務(wù)攻擊的結(jié)果��。
十一����、防范Fraggle攻擊
Fraggle攻擊與Smurf攻擊類似,只是利用UDP協(xié)議�;雖然標(biāo)準(zhǔn)的端口是7,但是大多數(shù)使用Fraggle攻擊的程序允許你指定其它的端口���。
最好的防止系統(tǒng)受到Smurf和Fraggle攻擊的方法是在防火墻上過(guò)濾掉ICMP報(bào)文�,或者在服務(wù)器上禁止Ping�����,并且只在必要時(shí)才打開ping服務(wù)�����。
十二�、防范Ping of Death攻擊
這種攻擊通過(guò)發(fā)送大于65536字節(jié)的ICMP包使操作系統(tǒng)崩潰;通常不可能發(fā)送大于65536個(gè)字節(jié)的ICMP包��,但可以把報(bào)文分割成片段,然后在目標(biāo)主機(jī)上重組�����;最終會(huì)導(dǎo)致被攻擊目標(biāo)緩沖區(qū)溢出�����。
防止系統(tǒng)受到Ping of Death攻擊的方法與防范Smurf和Fraggle攻擊是相同得����,可以在防火墻上過(guò)濾掉ICMP報(bào)文,或者在服務(wù)器上禁止Ping�,并且只在必要時(shí)才打開ping服務(wù)。
十三���、防范Tear Drop攻擊
Teardrop類的攻擊利用UDP包重組時(shí)重疊偏移(假設(shè)數(shù)據(jù)包中第二片IP包的偏移量小于第一片結(jié)束的位移��,而且算上第二片IP包的Data����,也未超過(guò)第一片的尾部���,這就是重疊現(xiàn)象����。)的漏洞對(duì)系統(tǒng)主機(jī)發(fā)動(dòng)拒絕服務(wù)攻擊,最終導(dǎo)致主機(jī)菪掉��;對(duì)于Windows系統(tǒng)會(huì)導(dǎo)致藍(lán)屏死機(jī)��,并顯示STOP 0x0000000A錯(cuò)誤���。
對(duì)付這種類型得攻擊最好的方法就是要及時(shí)為操作系統(tǒng)打補(bǔ)丁了,但是Teardrop攻擊仍然會(huì)耗費(fèi)處理器的資源和主機(jī)帶寬�。
十四、防范拒絕服務(wù)攻擊
盡管目前沒有哪個(gè)網(wǎng)絡(luò)可以免受拒絕服務(wù)(DoS)攻擊�����,但如果采取以下幾項(xiàng)措施���,能起到一定的預(yù)防作用��。
1.確保所有服務(wù)器采用最新系統(tǒng)���,并打上安全補(bǔ)丁。根據(jù)計(jì)算機(jī)緊急響應(yīng)協(xié)調(diào)中心的發(fā)現(xiàn)����,幾乎每個(gè)受到DoS攻擊的系統(tǒng)都沒有及時(shí)打上補(bǔ)丁�����。
2.確保管理員對(duì)所有主機(jī)進(jìn)行檢查��,而不僅針對(duì)關(guān)鍵主機(jī)���。這是為了確保管理員知道每個(gè)主機(jī)系統(tǒng)在運(yùn)行什么?誰(shuí)在使用主機(jī)���?哪些人可以訪問主機(jī)�����?否則�,即使黑客侵犯了系統(tǒng)���,也很難查明���。
3.確保從服務(wù)器相應(yīng)的目錄或文件數(shù)據(jù)庫(kù)中刪除未使用的服務(wù),如FTP或NFS�����。
4.禁止內(nèi)部網(wǎng)通過(guò)Modem連接至PSTN系統(tǒng)。否則��,黑客能通過(guò)電話線發(fā)現(xiàn)未受保護(hù)的主機(jī)��,立刻就能訪問極為機(jī)密的數(shù)據(jù)��。
5.禁止使用網(wǎng)絡(luò)訪問程序如Telnet�����、Ftp����、Rsh�����、Rlogin和Rcp�,使用加密的訪問程序(如SSH)取代。SSH不會(huì)在網(wǎng)上以明文格式傳送口令�,而Telnet和Rlogin則正好相反,黑客能搜尋到這些口令�����,從而立即訪問網(wǎng)絡(luò)上的重要服務(wù)器。此外�����,若沒有必要使用Rlogin登錄���,則最好在Unix上應(yīng)該將.rhost和hosts.equiv文件刪除���,因?yàn)椴挥貌驴诹睿@些文件就會(huì)提供登錄訪問��。
6.限制在防火墻外的網(wǎng)絡(luò)文件共享����。否則的話會(huì)使黑客有機(jī)會(huì)截獲系統(tǒng)文件,并以特洛伊木馬替換它�����,文件傳輸功能無(wú)異將陷入癱瘓����。
7.確保手頭有一張最新的網(wǎng)絡(luò)拓?fù)鋱D��。這張圖應(yīng)該詳細(xì)標(biāo)明TCP/IP地址��、主機(jī)���、路由器及其他網(wǎng)絡(luò)設(shè)備,還應(yīng)該包括網(wǎng)絡(luò)邊界���、安全服務(wù)器區(qū)(SSN)及內(nèi)部網(wǎng)部分�。
8.應(yīng)用防火墻系統(tǒng)���,在防火墻上運(yùn)行端口映射程序或端口掃描程序�����。大多數(shù)事件是由于防火墻配置不當(dāng)造成的,使DoS/DDoS攻擊成功率很高���,所以定要認(rèn)真檢查特權(quán)端口和非特權(quán)端口���。
9.檢查所有網(wǎng)絡(luò)設(shè)備、主機(jī)和服務(wù)器系統(tǒng)的日志。只要日志出現(xiàn)漏洞或時(shí)間出現(xiàn)變更�,幾乎可以肯定:相關(guān)的主機(jī)安全受到了危脅。
來(lái)源:巨靈鳥 歡迎分享本文
