香港服务器Linux系统常见4类攻击

攻击是一种未经授权的行为，旨在阻碍、损坏、削弱和破坏网络服务器的安全。攻击范围可以从拒绝服务到完全损坏网络服务器。尽管如此Linux比较系统Windows系统安全，但并不意味着不会受到攻击。租用香港服务器，选择Linux在系统中，应注意以下四种常见攻击.

攻击类型1：服务拒绝攻击（DoS）

由于DoS攻击工具的泛滥，以及短时间内无法改变的事实，DoS它已成为流传最广、最难防范的攻击方式。

服务拒绝攻击包括分布式拒绝服务攻击、反射式拒绝服务攻击DNS拒绝服务攻击分布，FTP攻击等。大多数服务拒绝攻击会导致相对较低的危险，即使是那些可能导致系统重启的攻击也只是暂时的问题。这种攻击在很大程度上不同于那些想要获得网络控制的攻击，一般不会影响数据安全，但服务拒绝攻击会持续很长时间，非常困难。

到目前为止，还没有绝对的方法来阻止这种攻击。但这并不意味着我们应该抓住它。除了强调加强个人主机保护的重要性外，加强服务器管理也是一个非常重要的环节。必须安装验证软件和过滤功能，以检查报纸源地址的真实地址。此外，可以采取以下措施拒绝几种服务:关闭不必要的服务，限制同时打开Syn半连接数，缩短Syn半连接的time out 及时更新系统补丁。

攻击类型2：本地用户获得了非授权文件的读写权

本地用户是指在本地网络的任何机器上都有密码，因此在某个驱动器上有目录的用户。本地用户获得非授权文件的读写权限是否危险，很大程度上取决于被访问文件的关键。任何本地用户可以随意访问临时文件目录(/tmp）都是危险的，它可以潜在地铺设一条通向下一级攻击的路径。

第二级的主要攻击方法是：黑客欺骗合法用户通知他们的秘密信息或执行任务，有时黑客假装网络管理人员向用户发送电子邮件，要求用户升级他的系统密码。

几乎所有由本地用户启动的攻击都始于远程登录Linux服务器，最好的办法就是把一切都做好shell账号放在单独的机器上，也就是说只分配一个或多个shell在访问服务器上注册。这使得日志管理、访问控制管理、释放协议和其他潜在的安全问题更容易管理。还应存储用户CGI区分系统。这些机器应该与特定的网络段隔离，也就是说，根据网络的配置，它们应该被路由器或网络交换机包围。其拓扑结构应确保硬件地址欺骗不超过该段。

攻击类型3：远程用户获得读写特权文件的权限

第三级攻击不仅可以验证特定文件是否存在，还可以。造成这种情况的原因是：Linux服务器配置中存在一些弱点：远程用户可以在服务器上执行有限数量的命令，而无需有效帐户。

密码攻击是第三级的主要攻击方法，损坏密码是最常见的攻击方法。密码破解是一个术语，用来描述在使用或不使用工具时渗透网络、系统或资源来解锁密码保护的资源。用户经常忽略他们的密码，密码政策很难实施。黑客有多种工具可以击败技术和社会保护的密码。主要包括：字典攻击（Dictionary attack）、混合攻击（Hybrid attack）、蛮力攻击（Brute force attack）。一旦黑客拥有用户的密码，他就有了很多用户的特权。密码猜测是指手动进入普通密码或通过编写程序的原始密码。有些用户选择简单的密码，如生日、周年纪念日和配偶名称，但他们不遵循字母和数字混合使用的规则。对于黑客来说，猜生日数据需要很长时间。

防止第三级攻击的最佳防御方法是严格控制进入特权，即使用有效密码。

主要包括遵循字母、数字、大小写的密码(因为Linux混合使用有区别的)混合规则。

使用象#或%$这样的特殊字符也会增加复杂性。例如使用"countbak"一个词，在后面加##$”（countbak#$），所以你有一个非常有效的密码。

攻击类型4：远程用户获得根权限

第四次攻击是指不应该发生的事情，这是致命的攻击。这意味着攻击者拥有它Linux服务器的根、超级用户或管理员可以阅读、写作和执行所有文件。换句话说，攻击者是对的Linux服务器的所有控制都可以在任何时候完全关闭甚至摧毁网络。

攻击级别四的主要攻击形式是TCP/IP连续盗窃、被动通道听取和信息包拦截。TCP/IP连续盗窃、被动通道听取和信息包拦截是进入网络收集重要信息的方法。与拒绝服务攻击不同，这些方法更类似于盗窃，更隐藏，更难找到。一次成功的TCP/IP攻击可以阻止两组之间的交易，并为中间人提供良好的攻击机会，然后黑客将控制一方或双方的交易，而不受受受害者的注意。通过被动窃听，黑客将操纵和登记信息，发送文件，并从目标系统中的所有可通过渠道找到致命的关键。黑客将寻找在线和密码的组合点，并识别合法的申请渠道。信息包拦截是指在目标系统中限制一个活跃的听众程序，以拦截和更改所有或特殊信息的地址。信息可以转移到非法系统中阅读，然后发送回黑客。

TCP/IP连续盗窃实际上是网络嗅探。请注意，如果您确信有人将嗅探器连接到您的网络，您可以找到一些验证工具。该工具称为时域反射计量器(Time Domain Reflectometer，TDR)。TDR测量电磁波的传播和变化TDR连接到网络上，可以检测到未经授权获取网络数据的设备。然而，许多中小企业没有这样昂贵的工具。攻击嗅探器的最佳方法是：

1.安全的拓扑结构。嗅探器只能在当前网络段捕获数据。这意味着网络分段工作越详细，嗅探器可以收集的信息就越少。

2.会话加密。不要特别担心数据被嗅探，要想办法让嗅探者不知道嗅探的数据。这种方法的优点很明显:即使攻击者嗅到了数据，对他也没用。

因此，在维护香港服务器时，不仅要设置服务器安全，防止各种攻击，还要采取相应的反击措施，如：

1.备份重要企业关键数据。

2.更改系统中的所有密码，并通知用户找到系统管理员获得新密码。

3.隔离网络网段只会在一个小范围内发生攻击。

4.允许继续行动。如有可能，不要急于将攻击者赶出系统，为下一步做准备。

记录所有行为，收集证据。这些证据包括：系统登录文件、应用登录文件AAA（Authentication、Authorization、 Accounting，登录文件进行认证、授权、计费，RADIUS（Remote Authentication Dial-In User Service）登录，登录网络单元（Network Element Logs）、登录防火墙，HIDS（Host-base IDS，事件，NIDS(网络入侵检测系统)事件、磁盘驱动器、隐含文件等。收集证据时，应注意在移动或拆卸任何设备前拍照；调查应遵循两个规则，信息收集至少两个人，防止篡改信息；记录配置设置的所有步骤和任何变化，并将记录保存在安全的地方。检查系统所有目录的访问许可证和测试Permslist是否修改过。

各种尝试(使用网络的不同部分)来识别攻击源。

为了利用法律武器打击犯罪行为，必须保留证据，形成证据需要时间。为此，我们必须忍受攻击的影响（尽管我们可以制定一些安全措施，以确保攻击不会损害网络）。在这种情况下，我们不仅应该采取一些法律手段，还应该邀请至少一家权威的安全公司来帮助预防此类犯罪。这种操作最重要的特点是获取犯罪证据，找到犯罪者的地址，并提供他们所拥有的日志。收集到的证据应有效保存。一开始，制作两份，一份用于评估证据，另一份用于法律验证。

找到系统漏洞后，尽量堵住漏洞，进行自攻测试。

网络安全不仅仅是一个技术问题，而是一个社会问题。企业应更加重视网络安全。如果他们只依靠技术工具，他们将变得越来越被动；只有充分发挥社会和法律打击网络犯罪，才能更加有效。