服務拒絕攻擊

通過網路攻擊的一種。向對方的計算機和路由器等傳送不正當的數據使其陷入不能使用，使之增大通信量對對方網路造成麻痹的攻擊。

拼音

fúwùjùjuégōngjī

英文

Denialofserviceattack

服務拒絕攻擊企圖通過使你的服務計算機崩潰或把它壓跨來阻止你提供服務，服務拒絕攻擊是最容易實施的攻擊行為，死亡之ping（pingofdeath），主要包括： 概覽由於在早期的階段，路由器對包的最大尺寸都有限制，許多作業系統對TCP/IP棧的實現在ICMP包上都是規定64KB，並且在對包的標題頭進行讀取之後，要根據該標題頭裡包含的信息來為有效載荷生成緩衝區，當產生畸形的，聲稱自己的尺寸超過ICMP上限的包也就是載入的尺寸超過64K上限時，就會出現記憶體分配錯誤，導致TCP/IP堆疊崩潰，致使接受方當機。 防禦 現在所有的標準TCP/IP實現都已實現對付超大尺寸的包，並且大多數防火牆能夠自動過濾這些攻擊，包括：從windows98之後的windows,NT(servicepack3之後)，linux、Solaris、和Mac OS都具有抵抗一般ping ofdeath攻擊的能力。此外，對防火牆進行配置，阻斷ICMP以及任何未知協定，都講防止此類攻擊。

淚滴（teardrop）

概覽 淚滴攻擊利用那些在TCP/IP堆疊實現中信任IP碎片中的包的標題頭所包含的信息來實現自己的攻擊。IP分段含有指示該分段所包含的是原包的哪一段的信息，某些TCP/IP（包括servicepack4以前的NT）在收到含有重疊偏移的偽造分段時將崩潰。

伺服器套用最新的服務包，或者在設定防火牆時對分段進行重組，而不是轉發它們。

隨著網際網路套用的不斷深入和企業內部網路環境的不斷完善，企業傳統的經營模式發生了很大的變化，企業網站已不僅僅是企業對外信息交流的視窗，同時也是進行正常商務活動的重要途徑。目前，企業生產對網路的依賴程度變得越來越高，企業信息系統所有的不安全因素都將直接對正常的生產經營活動造成影響，而且網站的資料庫伺服器、電子郵件伺服器、WWW伺服器、檔案伺服器、套用伺服器等每一個都是一個供人出入的“門戶”，只要有一個“門戶”沒有完全保護好——忘了上鎖或不很牢固，“黑客”就會通過這道門進入系統，竊取或破壞系統資源。因此在企業網站建設中採用功能強大的安全產品與完善的管理體制，將是確保企業內部網路安全的主要途徑，同時也是網站提供正常信息服務的前提。

從企業上網的方式來看，目前主要有兩種模式：一是建設專用的網際網路環境，與企業內部網路完全隔離。這種方式由於內外網單獨設定，網路安全相對較易實現，但投資較高，且容易形成投資浪費；二是企業網際網路用戶與企業內部網完全融合，內外網之間通過防火牆進行隔離。這種方式可以有效降低投資，但網路安全實現相對較複雜，目前該方式是大多數企業普遍採用的方式。在這種方式下，企業內部信息資源的安全對網站安全防護體系有著很大的依賴性。因此，在設計企業網站的安全防護體系時，應重點考慮以下幾個環節：

1）內部與外部網路的隔離，這主要靠合理的配置防火牆來實現；

2）採用網路安全防護手段，作為對防火牆的補充和防禦來自企業內部的安全威脅；

3）利用訪問控制保護重點資源（如郵件伺服器、資料庫伺服器）。

企業網站安全主要內容 結合上述考慮和企業網站建設中的經驗，企業網站的安全體系主要包括下面兩個方面的防護：

1、網路層安全防護

對網路進行安全保護是防治外部黑客入侵和內部網路濫用和誤用的第一道屏障。網路層的安全防護應包括監測和防禦網路入侵攻擊，制止非法信息傳輸，保護WEB系統，保證只有授權許可的通信才可以在客戶機和伺服器之間建立連線，而且正在傳輸當中的數據不能被讀取和改變。

從網路層進行安全防護主要應針對如下幾個方面：

網路訪問控制：在網路與外界連線處進行網路訪問控制，正確區分外部網路用戶的身份，區分其是進行查詢，修改還是管理維護，提供基於用戶的訪問規則，針對不同的用戶和用戶的不同存取要求授予其不同許可權，禁止非法用戶進入系統。

網路地址翻譯：使用網路地址翻譯技術，可以讓IP數據包的源地址和目的地址以及TCP或UDP的連線埠號在進出內部網時發生改變，這樣可以禁止網路內部細節，防止外部黑客利用IP探測技術發現內部網路結構和伺服器真實地址，進行攻擊。系統安全管理應該在網路與外界接口處實現數據包的網路地址翻譯。

網路入侵防禦：在企業內部網路上，會存在來自內部的一些惡意攻擊和網路誤用情況，甚至可能存在來自外部的惡意入侵。安全防護體系應該能夠監視內部關鍵的網段，掃描網路上的所有數據，檢測服務拒絕型襲擊、可疑活動、懷惡意的applets、病毒等各種網路進攻手段，及時報告管理人員並防止這些攻擊手段到達目標主機。

2、系統級安全防護

系統級安全防護主要是針對作業系統本身存在的安全漏洞和隱患，包括：

1)系統弱點掃描：能夠定期掃描作業系統以及資料庫系統的安全漏洞以及錯誤配置。

2)加強作業系統用戶認證授權管理。

3)增強訪問控制管理。

4)計算機病毒防護：保證企業內部網路抵禦網路外部的病毒入侵，從而保障系統的安全運行。

5)WEB伺服器的專門保護。Web伺服器是一個單位直接面對外界的大門，通常也是最先在網路傷害行為中受到威脅的環節，同時主頁是一個單位的形象。對於WEB的安全維護管理，特別是主頁的維護，修改主頁是一種典型的網路傷害行為，所以主頁的保護，及時恢復是對此行為的有效打擊。同時，需要對於Web訪問、監控/阻塞/報警、入侵探測、攻擊探測、惡意applets、惡意Email等在內的安全策略進行明確規劃，包括了解其網路利用情況、檢測入侵和可疑網路活動時需要的規則。

網站拓撲設計 在網路拓撲的設計中，應充分考慮網路的穩定和安全運行。在DNS的設定上，使用內外雙DNS，外部DNS用來解析外網用戶對企業網站的訪問，還可為小區接入用戶提供DNS域名解析。內外DNS可作為相互之間的備份。在企業內部網路優先使用內部DNS，因為內部DNS可以用作解析內部OA系統、內部FTP、內部Intranet網站，方便內部的網站的訪問，並可使內部的所有用戶（包括不能連線Internet的用戶）訪問企業網站及其郵件系統。

在網站整體安全上，採用三個網路區設計：即內部網路區、外部網路區、安全隔離（DMZ）區。將FTP、Email、WWW伺服器置於安全隔離區，既保證用戶訪問的方便性，又使其有一定的安全保護；將後台資料庫、身份認證和入侵檢測等伺服器置於防火牆區域網路，充分保證網路傳輸和數據的安全性。在防火牆內側，設定一個具有頻寬管理功能的網路交換機，使其能按對不同用戶進行網路頻寬管理，實現按需給用戶供給頻寬。在防火牆外側，部署一台具有頻寬管理功能的交換機，以實現小區和其它非辦公用戶的頻寬管理。

企業網路安全實現手段 在網站建設中，主要採用以下安全手段：

1、防火牆

防火牆處於網路安全體系中的最底層，是內部網路與外部公共網路之間的第一道屏障,能夠通過定製或限制對特定資源（如敏感檔案或Web瀏覽等）的訪問來幫助企業獲得安全保證。

為確保企業內部網的安全，一般採用兩道防火牆進行串接。兩個防火牆最好採用不同廠家的產品，且至少應有一個是國產。

在兩道防火牆的最內側防火牆內側級聯病毒防火牆，實現對通過HTTP、SMTP和FTP伺服器傳播的病毒進行防治；將內部網路、外部網路劃分成多個區域，設立區域病毒防治伺服器，實現對所屬區域的計算機的集中防毒控制以及軟體更新；在公司的各伺服器上安裝相應的網路防毒軟體，防止病毒的傳播；建立統一的防毒控制中心，實現全公司範圍的病毒查、殺及軟體更新。

網路防火牆主要採用了CiscoPIX525UR及網路衛士防火牆4000。

CiscoPIX525防火牆提供了完全防火牆保護以及IP安全（IPsec）虛擬專網（VPN）能力,實現了在Internet或所有IP網路上的安全保密通信。它集成了VPN的主要功能：隧道、數據加密、安全性和防火牆，是一種安全、可擴展的遠程訪問和辦公平台。該防火牆同時具有防止拒絕服務攻擊、URL過濾、郵件保護等功能。

網路衛士防火牆4000採用基於OS核心的會話檢測技術，在OS核心實現對套用層訪問控制。它支持TOPSEC技術體系的核心技術，可以實現防火牆、IDS、病毒防護系統、信息審計系統等的互通與聯動，支持多種身份認證，如OTP、RADIUS、S/KEY、SECUREID、TACACS/TACACS+、口令方式、數字證書（CA），更好地實現用戶鑑別和訪問控制,同時還支持多層次分散式頻寬管理。

2、安全評估和審計

一個完整有效的網路安全解決方案，是建立在對現有安全隱患進行充分評估之上的。通過部署相應的安全評估工具，可以發現、發掘和報告現有網路、系統和套用環境之下存在的漏洞和安全隱患。

在公司網際網路站中選用了CA公司的產品：ETRUSTPOLICYCOMPLIANCE作為安全評估和安全審計解決方案。

3、入侵檢測

作為防火牆系統的補充,在防火牆的內側部署基於網路的入侵檢測系統，以有效防止經過防火牆系統過濾後的數據包中的非法代碼對內部網路系統發動攻擊；在企業內部網路的重要網段安裝網路基於網路的入侵檢測系統、關鍵主機系統安裝基於主機上的入侵檢測系統，以保護整個網路和系統安全；在整個網路部署一套安全掃描系統，定期對網路、系統的安全狀況進行評估；建立網路安全控制中心，實現對防火牆、入侵檢測系統和安全掃描系統的集中管理。

4、內容過濾

通過設定內容過濾伺服器,如CA的EtrustContentnspcinteWay產品，採用相應的策略，對共公信息資源進行過濾，堵截危害信息的傳播，保證信息安全和防止惡性程式入侵。

配置內容過濾服務後，所有進入的基於HTTP的可下載對象均被網關攔截，它還可以對已簽名對象進行檢查並驗證其數字簽名，對壓縮檔案進行解壓縮操作，對每個執行檔進行分析並判定它是否符合企業的安全性策略。然後，可以相應地允許這些對象通過(即允許訪問網路)或阻擋這些對象(即拒絕訪問)。

5、VPN專用網路

VPN(VirtualPrivateNetwork)使得用戶能夠可以在公共網路上構建自己的“專有”網，從而能夠將自己的關鍵套用運行在這樣的一個“虛擬專有網”上。通過VPN數據隧道加密技術，保證通過公網的數據的安全。該技術涵蓋了用戶認證、私有性、用戶授權、完整性、易於管理、保護防火牆內外部的數據流等特徵。

VPN可以自動監控所有進出主機的TCP/IP和UDP數據流。當一個裝有VPN客戶端的主機試圖與另外一個同樣裝有VPN客戶端的主機進行通訊時，VPN開始安全握手，然後在這兩台主機之間的數據流被透明地、自動地進行加密。

6、郵件病毒網關

通過配置郵件防病毒軟體，使用戶能在接收電子郵件時，對帶有附屬檔案的郵件進行病毒掃描。使用戶在打開附屬檔案前，能看到病毒檢測結果。該防病毒軟體應能及時提供查、防毒的升級服務，病毒引擎每周自動更新，保障用戶“只收郵件，不收病毒”。通過上述安全手段的實施，為公司企業上網營造了一個較為安全的網路環境，各種企業套用也得以成功實現。如今，公司企業網站已成為公司對外交流的主要視窗和穩定的信息互動平台，在企業生產經營中扮演越來越重要的角色。

怎樣才能暢遊網際網路，獲取想要的東西。不被網路犯罪影響到。Linux伺服器的安全性能受到越來越多的關注，這裡根據Linux伺服器受到攻擊的深度以級別形式列出，並提出不同的解決方案。怎樣才能暢遊網際網路，獲取想要的東西。不被網路犯罪影響到。Linux受到廣大用戶的喜好，現在有大量的網路伺服器使用Linux作業系統。Linux伺服器的安全性能受到越來越多的關注，這裡根據Linux伺服器受到攻擊的深度以級別形式列出，並提出不同的解決方案。

對Linux伺服器攻擊的定義是：攻擊是一種旨在妨礙、損害、削弱、破壞Linux伺服器安全的未授權行為。攻擊的範圍可以從服務拒絕直至完全危害和破壞Linux伺服器。對Linux伺服器攻擊有許多種類，本文從攻擊深度的角度說明，我們把攻擊分為四級。

攻擊級別一 服務拒絕攻擊(DoS)

由於DoS攻擊工具的泛濫，及所針對的協定層的缺陷短時無法改變的事實，DoS也就成為了流傳最廣、最難防範的攻擊方式。

服務拒絕攻擊包括分散式拒絕服務攻擊、反射式分布拒絕服務攻擊、DNS分布拒絕服務攻擊、FTP攻擊等。大多數服務拒絕攻擊導致相對低級的危險，即便是那些可能導致系統重啟的攻擊也僅僅是暫時性的問題。這類攻擊在很大程度上不同於那些想獲取網路控制的攻擊，一般不會對數據安全有影響，但是服務拒絕攻擊會持續很長一段時間，非常難纏。

到目前為止，沒有一個絕對的方法可以制止這類攻擊。但這並不表明我們就應束手就擒，除了強調個人主機加強保護不被利用的重要性外，加強對伺服器的管理是非常重要的一環。一定要安裝驗證軟體和過濾功能，檢驗該報文的源地址的真實地址。另外對於幾種服務拒絕可以採用以下措施：關閉不必要的服務、限制同時打開的Syn半連線數目、縮短Syn半連線的timeout時間、及時更新系統補丁。

攻擊級別二 本地用戶獲取了他們非授權的檔案的讀寫許可權

本地用戶是指在本地網路的任一台機器上有口令、因而在某一驅動器上有一個目錄的用戶。本地用戶獲取到了他們非授權的檔案的讀寫許可權的問題是否構成危險很大程度上要看被訪問檔案的關鍵性。任何本地用戶隨意訪問臨時檔案目錄(/tmp)都具有危險性，它能夠潛在地鋪設一條通向下一級別攻擊的路徑。

級別二的主要攻擊方法是：黑客誘騙合法用戶告知其機密信息或執行任務，有時黑客會假裝網路管理人員向用戶傳送郵件，要求用戶給他系統升級的密碼。

由本地用戶啟動的攻擊幾乎都是從遠程登錄開始。對於Linux伺服器，最好的辦法是將所有shell賬號放置於一個單獨的機器上，也就是說，只在一台或多台分配有shell訪問的伺服器上接受註冊。這可以使日誌管理、訪問控制管理、釋放協定和其他潛在的安全問題管理更容易些。還應該將存放用戶CGI的系統區分出來。這些機器應該隔離在特定的網路區段，也就是說，根據網路的配置情況，它們應該被路由器或網路交換機包圍。其拓撲結構應該確保硬體地址欺騙也不能超出這個區段。

攻擊級別三 遠程用戶獲得特權檔案的讀寫許可權

第三級別的攻擊能做到的不只是核實特定檔案是否存在，而且還能讀寫這些檔案。造成這種情況的原因是：Linux伺服器配置中出現這樣一些弱點：即遠程用戶無需有效賬號就可以在伺服器上執行有限數量的命令。

密碼攻擊法是第三級別中的主要攻擊法，損壞密碼是最常見的攻擊方法。密碼破解是用以描述在使用或不使用工具的情況下滲透網路、系統或資源以解鎖用密碼保護的資源的一個術語。用戶常常忽略他們的密碼，密碼政策很難得到實施。黑客有多種工具可以擊敗技術和社會所保護的密碼。主要包括：字典攻擊(Dictionaryattack)、混合攻擊(Hybridattack)、蠻力攻擊(Bruteforceattack)。一旦黑客擁有了用戶的密碼，他就有很多用戶的特權。密碼猜想是指手工進入普通密碼或通過編好程式的正本取得密碼。一些用戶選擇簡單的密碼—如生日、紀念日和配偶名字，卻並不遵循應使用字母、數字混合使用的規則。對黑客來說要猜出一串8個字生日數據不用花多長時間。

防範第三級別的攻擊的最好的防衛方法便是嚴格控制進入特權，即使用有效的密碼。

主要包括密碼應當遵循字母、數字、大小寫(因為Linux對大小寫是有區分)混合使用的規則。

使用象“#”或“%”或“$”這樣的特殊字元也會添加複雜性。例如採用"countbak"一詞，在它後面添加“#$”(countbak#$)，這樣您就擁有了一個相當有效的密碼。

攻擊級別四 遠程用戶獲得根許可權

第四攻擊級別是指那些決不應該發生的事發生了，這是致命的攻擊。表示攻擊者擁有Linux伺服器的根、超級用戶或管理員許可權，可以讀、寫並執行所有檔案。換句話說，攻擊者具有對Linux伺服器的全部控制權，可以在任何時刻都能夠完全關閉甚至毀滅此網路。

攻擊級別四主要攻擊形式是TCP/IP連續偷竊，被動通道聽取和信息包攔截。TCP/IP連續偷竊，被動通道聽取和信息包攔截，是為進入網路收集重要信息的方法，不像拒絕服務攻擊，這些方法有更多類似偷竊的性質，比較隱蔽不易被發現。一次成功的TCP/IP攻擊能讓黑客阻攔兩個團體之間的交易，提供中間人襲擊的良好機會，然後黑客會在不被受害者注意的情況下控制一方或雙方的交易。通過被動竊聽，黑客會操縱和登記信息，把檔案送達，也會從目標系統上所有可通過的通道找到可通過的致命要害。黑客會尋找在線上和密碼的結合點，認出申請合法的通道。信息包攔截是指在目標系統約束一個活躍的聽者程式以攔截和更改所有的或特別的信息的地址。信息可被改送到非法系統閱讀，然後不加改變地送回給黑客。

TCP/IP連續偷竊實際就是網路嗅探，注意如果您確信有人接了嗅探器到自己的網路上，可以去找一些進行驗證的工具。這種工具稱為時域反射計量器(TimeDomainReflectometer，TDR)。TDR對電磁波的傳播和變化進行測量。將一個TDR連線到網路上，能夠檢測到未授權的獲取網路數據的設備。不過很多中小公司沒有這種價格昂貴的工具。對於防範嗅探器的攻擊最好的方法是：

1、安全的拓撲結構。嗅探器只能在當前網路段上進行數據捕獲。這就意味著，將網路分段工作進行得越細，嗅探器能夠收集的信息就越少。

2、會話加密。不用特別地擔心數據被嗅探，而是要想辦法使得嗅探器不認識嗅探到的數據。這種方法的優點是明顯的：即使攻擊者嗅探到了數據，這些數據對他也是沒有用的。

特別提示：應對攻擊的反擊措施

對於超過第二級別的攻擊您就要特別注意了。因為它們可以不斷的提升攻擊級別，以滲透Linux伺服器。此時，我們可以採取的反擊措施有：

首先備份重要的企業關鍵數據。

改變系統中所有口令，通知用戶找系統管理員得到新口令。

隔離該網路網段使攻擊行為僅出現在一個小範圍內。

允許行為繼續進行。如有可能，不要急於把攻擊者趕出系統，為下一步作準備。

記錄所有行為，收集證據。這些證據包括：系統登錄檔案、套用登錄檔案、AAA(Authentication、Authorization、Accounting，認證、授權、計費)登錄檔案，RADIUS(RemoteAuthenticationDial-InUserService)登錄，網路單元登錄(NetworkElementLogs)、防火牆登錄、HIDS(Host-baseIDS，基於主機的入侵檢測系統)事件、NIDS(網路入侵檢測系統)事件、磁碟驅動器、隱含檔案等。收集證據時要注意：在移動或拆卸任何設備之前都要拍照;在調查中要遵循兩人法則，在信息收集中要至少有兩個人，以防止篡改信息;應記錄所採取的所有步驟以及對配置設定的任何改變，要把這些記錄保存在安全的地方。檢查系統所有目錄的存取許可，檢測Permslist是否被修改過。

進行各種嘗試(使用網路的不同部分)以識別出攻擊源。

為了使用法律武器打擊犯罪行為，必須保留證據，而形成證據需要時間。為了做到這一點，必須忍受攻擊的衝擊(雖然可以制定一些安全措施來確保攻擊不損害網路)。對此情形，我們不但要採取一些法律手段，而且還要至少請一家有權威的安全公司協助阻止這種犯罪。這類操作的最重要特點就是取得犯罪的證據、並查找犯罪者的地址，提供所擁有的日誌。對於所蒐集到的證據，應進行有效地保存。在開始時製作兩份，一個用於評估證據，另一個用於法律驗證。

找到系統漏洞後設法堵住漏洞，並進行自我攻擊測試。

網路安全已經不僅僅是技術問題，而是一個社會問題。企業應當提高對網路安全重視，如果一味地只依靠技術工具，那就會越來越被動;只有發揮社會和法律方面打擊網路犯罪，才能更加有效。我國對於打擊網路犯罪已經有了明確的司法解釋，遺憾的是大多數企業只重視技術環節的作用而忽略法律、社會因素。

了解了對Linux伺服器的四種入侵級別，你才能更好的套用Linux去上網。