对Linux服务器四级攻击的深度解读

Linux服务器攻击的定义是,攻击是一种未经授权的行为,其目的是阻止、破坏、削弱和破坏Linux服务器的安全性。本文从攻击深度的角度出发,将攻击分为四个层次。



攻击级别一:服务拒绝攻击(DoS)



由于dos攻击工具的泛滥和协议层在短时间内不能改变的事实,DoS已成为最广泛、最困难的防御方式。



拒绝服务攻击包括分布式拒绝服务攻击,分布式拒绝服务攻击反射,DNS分布式拒绝服务攻击,和FTP攻击。大多数拒绝服务攻击导致的风险相对较低的水平,即使攻击,可能导致系统重新启动,只是一个暂时性的问题,在很大程度上,这样的攻击不同于那些想获得网络控制。一般来说,它们不会影响数据安全,但服务拒绝攻击将持续很长时间,这是非常困难的。



到目前为止,没有绝对的方法来阻止这种攻击。但这并不意味着我们应该打击,除了强调加强个人电脑的保护是没有用的,要加强对服务器的管理是非常重要的。要安装验证软件和过滤功能检查消息的源地址的真实地址。此外,可以采取以下措施对几种服务拒绝:关闭不必要的服务,同时限制SYN半连接的数量,缩短了SYN半连接的时间,并及时更新系统补丁。



攻击级别二:本地用户可以访问未经授权的文件的读写权限



本地用户是一个用户,在本地网络上的任何机器密码从而驱动器上的目录。无论是本地用户获得未经授权的文件的读写权限是一个风险很大程度上的关键词来访问文件。任何本地用户的随机接入临时文件目录( / tmp)是危险的,它可能在路径攻击的下一级。



第二级的主要攻击方法是黑客欺骗合法用户,告知其机密信息或执行任务。有时黑客会假装网络管理员向用户发送邮件,要求用户将密码升级到用户。



几乎所有的攻击开始由本地用户从远程登录开始。对于Linux服务器,最好的办法是将所有shell帐号在一台机器上,也就是说,他们只登记在一个或多个服务器的访问,这可以使它更容易为日志管理、访问控制管理、发布协议,并其他潜在的安全问题,也应该区别于存储用户的CGI系统。这些机器应该被隔离在一个特定的网络部分,那就是,他们应该被路由器或网络交换机,根据网络的配置,其拓扑结构应确保硬件地址欺骗不能超越本节。



攻击级别三:远程用户获取特权文件的读写权限



第三级攻击不仅仅是验证某个文件是否存在,还可以读取和写入文件。原因是Linux服务器配置有这样的弱点:远程用户可以在服务器上执行有限数量的命令,而没有有效的帐户。



口令攻击是在第三水平的主要攻击方法,最常见的攻击方法是破坏密码。密码破解是一个用于描述一个网络词语系统或资源在使用或不使用工具的情况下打开受密码保护的资源。用户往往忽视了他们的密码,和密码策略难以实施。黑客有多种工具来击败密码是由技术和社会保护。它包括字典攻击(字典攻击),混合攻击(混合攻击),蛮力攻击(强力攻击)。一旦黑客获得用户密码,他有很多用户权限密码猜想是指手工输入到一个共同的密码或密码了通过方案的原件。一些用户选择简单的密码——,如生日,纪念日,和配偶的名字,但不应使用字母和数字组合的规则。它并不需要很多的时间去想一堆的黑客8字的生日数据。



防止第三级攻击的最好方法是严格控制输入特权,即使用有效密码。



它主要包括密码遵循字母、数字和case的规则(因为Linux具有区分case和case)的规则。



使用像# 或% 或$ 这样的特殊字符更复杂。例如,使用单词countbak



攻击级别四:远程用户获得root权限



第四攻击水平指的是那些不应该发生的,这是一个致命的打击。这表明,攻击者有根、超级用户或管理员权限,Linux服务器的读、写、执行的所有文件。换句话说,攻击者已经在Linux服务器的完全控制,可以完全关闭,甚至破坏网络在任何时间。



攻击级别的四个主要攻击级别是TCP/IP连续窃取、被动信道侦听和分组侦听,TCP/IP连续窃取、被动信道监听和信息包截获是收集重要信息进入网络的重要途径。与拒绝服务攻击不同,这些方法具有更相似的偷窃性质,相对隐蔽,不易查找,成功的TCP/IP攻击可以防止黑客阻止两组之间的交易,为中间商提供良好的攻击机会。然后,黑客将控制一方或双方之间的交易而不被受害者发现。通过被动窃听,黑客会操纵和登记信息,把文件给他们,并从目标系统的所有可通行的通道找到致命点。黑客会发现在线和密码的组合,并认识到法律渠道。截包是一个积极的倾听者,拦截并改变一切或特殊的目标系统中的信息的地址信息可以改变非法系统阅读,然后发送到黑客没有变化。



TCP/IP连续盗窃实际上是网络嗅探。如果你确信有人拿起自己的网络嗅探器,可以验证发现一些工具。这种工具称为时域反射(TDR)。TDR措施和电磁波的变化传播。TDR连接网络获取网络数据检测未经授权的设备。但许多小中小企业没有这样的昂贵的工具。防范嗅探攻击的最好办法是:



1。一个安全的拓扑结构,嗅探器只能捕获当前网段上的数据,这意味着网段工作越小,嗅探器收集的信息就越少。



2,会话加密。您不必特别担心被嗅探的数据,但如何使嗅探者不知道嗅探的数据。这种方法的优点是显而易见的:即使攻击者嗅探数据,对他也没有用处。



特别提示:反击攻击的反击措施



你必须特别注意二级以上的攻击,因为他们可以不断提高攻击水平渗透到Linux服务器:



首先,备份关键企业密钥数据。



更改系统中的所有密码,并通知用户为系统管理员找到新密码。



隔离网段使得攻击只在很小的范围内。



允许行为继续。如果可能的话,不要急于将攻击者从系统中赶出来,为下一步做好准备。



记录所有的行动和收集证据,这些证据包括:系统日志文件,日志文件,应用AAA(认证、授权、计费、认证、授权和计费)的日志文件,RADIUS(远程认证拨号用户服务)网络登录,登录单元(网元日志),主机(主机底座IDS入侵检测系统登录、防火墙、主机入侵检测系统)事件(入侵检测系统),磁盘驱动器,隐藏文件,等。应注意收集证据:在移动或拆卸任何设备拍照;在调查时应遵循两个原则,在信息收集到至少两人,以防止篡改信息应记录;所有E步骤和配置设置的任何改变,要把这些记录在安全的地方。检查所有的系统目录,检查是否permslist已经修改访问许可。



进行各种尝试(使用网络的不同部分)来识别攻击的来源。



为了使用法律武器打击犯罪,证据必须保留,证据是需要时间的。为了做到这一点,就要承受攻击的冲击(虽然一些安全措施可以保证攻击不损害网络)。在这种情况下,我们不仅要采取法律手段,但也要求至少有一个权威的证券公司帮助防止这种犯罪。这种操作的最重要的特征是获取犯罪证据、发现犯罪人的地址,并提供他们的日志收集的证据应有效地保存两份。在一开始,一个是用来评估证据,而另一个是用于合法的验证。



找到系统漏洞后,试着堵塞漏洞并进行自我攻击测试。



网络安全不仅是一个技术问题,更是一个社会问题,企业应该更加重视网络安全。如果仅仅依靠技术手段,他们就会变得越来越被动。只有发挥社会和法律方面的打击网络犯罪可以变得更加有效。中国已经为打击网络犯罪的一个明确的司法解释。遗憾的是,大多数企业只重视技术环节的作用,忽视法律和社会因素,这也是本文的目的。



名词解释:拒绝服务攻击(DoS)



拒绝服务,拒绝服务的缩写,不能被认为是微软的DOS操作系统!让DoS攻击目标机器停止提供服务或访问资源,通常以消耗服务器资源为目的,通过多个服务器的请求量,造成服务器数据响应的阻塞,使正常用户请求无响应,以达到攻击的目的。