駭客對伺服器進行掃描是輕而易舉的,一旦找到了伺服器存在的問題,那麼後果將是嚴重的。這就是說作為網路管理員應該採取不要的手段防止駭客對伺服器進行掃描,本節我將談談如何才能讓自己的伺服器免遭駭客掃描。
一、防範駭客心得體會:
1、遮蔽可以IP地址:
這種方式見效最快,一旦網路管理員發現了可疑的IP地址申請,可以透過防火牆遮蔽相對應的IP地址,這樣駭客就無法在連線到伺服器上了。但是這種方法有很多缺點,例如很多駭客都使用的動態IP,也就是說他們的IP地址會變化,一個地址被遮蔽,只要更換其他IP仍然可以進攻伺服器,而且高階駭客有可能會偽造IP地址,遮蔽的也許是正常使用者的地址。
2、過濾資訊包:
透過編寫防火牆規則,可以讓系統知道什麼樣的資訊包可以進入、什麼樣的應該放棄,如此一來,當駭客傳送有攻擊性資訊包的時候,在經過防火牆時,資訊就會被丟棄掉,從而防止了駭客的進攻。但是這種做法仍然有它不足的地方,例如駭客可以改變攻擊性程式碼的形態,讓防火牆分辨不出資訊包的真假;或者駭客乾脆無休止的、大量的傳送資訊包,知道伺服器不堪重負而造成系統崩潰。
3、修改系統協議:
對於漏洞掃描,系統管理員可以修改伺服器的相應協議,例如漏洞掃描是根據對檔案的申請返回值對檔案存在進行判斷的,這個數值如果是200則表示檔案存在於伺服器上,如果是404則表明伺服器沒有找到相應的檔案,但是管理員如果修改了返回數值、或者遮蔽404數值,那麼漏洞掃描器就毫無用處了。
4、經常升級系統版本:
任何一個版本的系統釋出之後,在短時間內都不會受到攻擊,一旦其中的問題暴露出來,駭客就會蜂擁而致。因此管理員在維護系統的時候,可以經常瀏覽著名的安全站點,找到系統的新版本或者補丁程式進行安裝,這樣就可以保證系統中的漏洞在沒有被駭客發現之前,就已經修補上了,從而保證了伺服器的安全。
5、及時備份重要資料:
亡羊補牢,如果資料備份及時,即便系統遭到駭客進攻,也可以在短時間內修復,挽回不必要的經濟損失。想國外很多商務網站,都會在每天晚上對系統資料進行備份,在第二天清晨,無論系統是否收到攻擊,都會重新恢復資料,保證每天系統中的資料庫都不會出現損壞。資料的備份最好放在其他電腦或者驅動器上,這樣駭客進入伺服器之後,破壞的資料只是一部分,因為無法找到資料的備份,對於伺服器的損失也不會太嚴重。
然而一旦受到駭客攻擊,管理員不要只設法恢復損壞的資料,還要及時分析駭客的來源和攻擊方法,儘快修補被駭客利用的漏洞,然後檢查系統中是否被駭客安裝了木馬、蠕蟲或者被駭客開放了某些管理員賬號,儘量將駭客留下的各種蛛絲馬跡和後門分析清除、清除乾淨,防止駭客的下一次攻擊。
6、使用加密機制傳輸資料:
對於個人信用卡、密碼等重要資料,在客戶端與伺服器之間的傳送,應該仙經過加密處理在進行傳送,這樣做的目的是防止駭客監聽、截獲。對於現在網路上流行的各種加密機制,都已經出現了不同的破解方法,因此在加密的選擇上應該尋找破解困難的,例如DES加密方法,這是一套沒有逆向破解的加密演算法,因此駭客的到了這種加密處理後的檔案時,只能採取暴力破解法。個人使用者只要選擇了一個優秀的密碼,那麼駭客的破解工作將會在無休止的嘗試後終止。
二、防火牆使用說明:
1.什麼是防火牆?
防火牆的英文叫做firewall,它能夠在網路與電腦之間建立一道監控屏障,保護在防火牆內部的系統不受網路駭客的攻擊。邏輯上講,防火牆既是資訊分離器、限制器,也是資訊分析器,它可以有效地對區域網和Internet之間的任何活動進行監控,從而保證區域網內部的安全。
網路上最著名的軟體防火牆是LockDown2000,這套軟體需要經過註冊才能獲得完整版本,它的功能強大,小到保護個人上網使用者、大到維護商務網站的運作,它都能出色的做出驚人的表現。但因為軟體的註冊需要一定費用,所以對個人使用者來說還是選擇一款免費的防火牆更現實。天網防火牆在這裡就更加適合個人使用者的需要了,天網防火牆個人版是一套給個人電腦使用的網路安全程式,它能夠抵擋網路入侵和攻擊,防止資訊洩露。
2、天網防火牆的基本功能:
天網防火牆個人版把網路分為本地網和網際網路,可以針對來自不同網路的資訊,來設定不同的安全方案,以下所述的問題都是針對網際網路而言的,故所有的設定都是在網際網路安全級別中完成的。怎樣防止資訊洩露?如果把檔案共享向網際網路開放,而且又不設定密碼,那麼別人就可以輕鬆的透過網際網路看到您機器中的檔案,如果您還允許共享可寫,那別人甚至可以刪除檔案。你可以在個人防火牆的網際網路安全級別設定中,將NETBIOS關閉,這樣別人就不能透過INTERNET訪問你的共享資源了(這種設定不會影響你在區域網中的資源共享)。
當撥號使用者上網獲得了分配到的IP地址之後,可以透過天網防火牆將ICMP關閉,這樣駭客用PING的方法就無法確定使用者的的系統是否處於上網狀態,無法直接透過IP地址獲得使用者系統的資訊了。
需要指出的是:防火牆攔截的資訊並不完全是攻擊資訊,它記錄的只是系統在安全設定中所拒絕接收的資料包。在某些情況下,系統可能會收到一些正常但又被攔截的資料包,例如某些路由器會定時發出一些IGMP包等;或有些主機會定時PING出資料到本地系統確認連線仍在維持著,這個時候如果利用防火牆將ICMP和IGMP遮蔽了,就會在安全記錄中見到這些被攔截的資料包,因此這些攔截下來的資料包並不一定是駭客對系統進行攻擊造成的。
3、使用防火牆的益處:
使用防火牆可以保護脆弱的服務,透過過濾不安全的服務,Firewall可以極大地提高網路安全和減少子網中主機的風險。例如,Firewall可以禁止NIS、NFS服務透過,同時可以拒絕源路由和ICMP重定向封包。
另外防火牆可以控制對系統的訪問許可權,例如某些企業允許從外部訪問企業內部的某些系統,而禁止訪問另外的系統,透過防火牆對這些允許共享的系統進行設定,還可以設定內部的系統只訪問外部特定的MailServer和WebServer,保護企業內部資訊的安全。
4、防火牆的種類:
防火牆總體上分為包過濾、應用級閘道器和代理伺服器等三種類型:
(1)資料包過濾
資料包過濾(PacketFiltering)技術是在網路層對資料包進行選擇,選擇的依據是系統內設定的過濾邏輯,被稱為訪問控制表(AccessControlTable)。透過檢查資料流中每個資料包的源地址、目的地址、所用的埠號、協議狀態等因素,或它們的組合來確定是否允許該資料包透過。資料包過濾防火牆邏輯簡單,價格便宜,易於安裝和使用,網路效能和透明性好,它通常安裝在路由器上。路由器是內部網路與Internet連線必不可少的裝置,因此在原有網路上增加這樣的防火牆幾乎不需要任何額外的費用。
資料包過濾防火牆的缺點有二:一是非法訪問一旦突破防火牆,即可對主機上的軟體和配置漏洞進行攻擊;二是資料包的源地址、目的地址以及IP的埠號都在資料包的頭部,很有可能被竊聽或假冒。
(2)應用級閘道器
應用級閘道器(ApplicationLevelGateways)是在網路應用層上建立協議過濾和轉發功能。它針對特定的網路應用服務協議使用指定的資料過濾邏輯,並在過濾的同時,對資料包進行必要的分析、登記和統計,形成報告。實際中的應用閘道器通常安裝在專用工作站系統上。
資料包過濾和應用閘道器防火牆有一個共同的特點,就是它們僅僅依靠特定的邏輯判定是否允許資料包透過。一旦滿足邏輯,則防火牆內外的計算機系統建立直接聯絡,防火牆外部的使用者便有可能直接瞭解防火牆內部的網路結構和執行狀態,這有利於實施非法訪問和攻擊。
(3)代理服務
代理服務(ProxyService)也稱鏈路級閘道器或TCP通道(CircuitLevelGatewaysorTCPTunnels),也有人將它歸於應用級閘道器一類。它是針對資料包過濾和應用閘道器技術存在的缺點而引入的防火牆技術,其特點是將所有跨越防火牆的網路通訊鏈路分為兩段。防火牆內外計算機系統間應用層的"連結",由兩個終止代理伺服器上的"連結"來實現,外部計算機的網路鏈路只能到達代理伺服器,從而起到了隔離防火牆內外計算機系統的作用。此外,代理服務也對過往的資料包進行分析、註冊登記,形成報告,同時當發現被攻擊跡象時會向網路管理員發出警報,並保留攻擊痕跡。
駭客對伺服器進行掃描是輕而易舉的,一旦找到了伺服器存在的問題,那麼後果將是嚴重的。這就是說作為網路管理員應該採取不要的手段防止駭客對伺服器進行掃描,本節我將談談如何才能讓自己的伺服器免遭駭客掃描。
一、防範駭客心得體會:
1、遮蔽可以IP地址:
這種方式見效最快,一旦網路管理員發現了可疑的IP地址申請,可以透過防火牆遮蔽相對應的IP地址,這樣駭客就無法在連線到伺服器上了。但是這種方法有很多缺點,例如很多駭客都使用的動態IP,也就是說他們的IP地址會變化,一個地址被遮蔽,只要更換其他IP仍然可以進攻伺服器,而且高階駭客有可能會偽造IP地址,遮蔽的也許是正常使用者的地址。
2、過濾資訊包:
透過編寫防火牆規則,可以讓系統知道什麼樣的資訊包可以進入、什麼樣的應該放棄,如此一來,當駭客傳送有攻擊性資訊包的時候,在經過防火牆時,資訊就會被丟棄掉,從而防止了駭客的進攻。但是這種做法仍然有它不足的地方,例如駭客可以改變攻擊性程式碼的形態,讓防火牆分辨不出資訊包的真假;或者駭客乾脆無休止的、大量的傳送資訊包,知道伺服器不堪重負而造成系統崩潰。
3、修改系統協議:
對於漏洞掃描,系統管理員可以修改伺服器的相應協議,例如漏洞掃描是根據對檔案的申請返回值對檔案存在進行判斷的,這個數值如果是200則表示檔案存在於伺服器上,如果是404則表明伺服器沒有找到相應的檔案,但是管理員如果修改了返回數值、或者遮蔽404數值,那麼漏洞掃描器就毫無用處了。
4、經常升級系統版本:
任何一個版本的系統釋出之後,在短時間內都不會受到攻擊,一旦其中的問題暴露出來,駭客就會蜂擁而致。因此管理員在維護系統的時候,可以經常瀏覽著名的安全站點,找到系統的新版本或者補丁程式進行安裝,這樣就可以保證系統中的漏洞在沒有被駭客發現之前,就已經修補上了,從而保證了伺服器的安全。
5、及時備份重要資料:
亡羊補牢,如果資料備份及時,即便系統遭到駭客進攻,也可以在短時間內修復,挽回不必要的經濟損失。想國外很多商務網站,都會在每天晚上對系統資料進行備份,在第二天清晨,無論系統是否收到攻擊,都會重新恢復資料,保證每天系統中的資料庫都不會出現損壞。資料的備份最好放在其他電腦或者驅動器上,這樣駭客進入伺服器之後,破壞的資料只是一部分,因為無法找到資料的備份,對於伺服器的損失也不會太嚴重。
然而一旦受到駭客攻擊,管理員不要只設法恢復損壞的資料,還要及時分析駭客的來源和攻擊方法,儘快修補被駭客利用的漏洞,然後檢查系統中是否被駭客安裝了木馬、蠕蟲或者被駭客開放了某些管理員賬號,儘量將駭客留下的各種蛛絲馬跡和後門分析清除、清除乾淨,防止駭客的下一次攻擊。
6、使用加密機制傳輸資料:
對於個人信用卡、密碼等重要資料,在客戶端與伺服器之間的傳送,應該仙經過加密處理在進行傳送,這樣做的目的是防止駭客監聽、截獲。對於現在網路上流行的各種加密機制,都已經出現了不同的破解方法,因此在加密的選擇上應該尋找破解困難的,例如DES加密方法,這是一套沒有逆向破解的加密演算法,因此駭客的到了這種加密處理後的檔案時,只能採取暴力破解法。個人使用者只要選擇了一個優秀的密碼,那麼駭客的破解工作將會在無休止的嘗試後終止。
二、防火牆使用說明:
1.什麼是防火牆?
防火牆的英文叫做firewall,它能夠在網路與電腦之間建立一道監控屏障,保護在防火牆內部的系統不受網路駭客的攻擊。邏輯上講,防火牆既是資訊分離器、限制器,也是資訊分析器,它可以有效地對區域網和Internet之間的任何活動進行監控,從而保證區域網內部的安全。
網路上最著名的軟體防火牆是LockDown2000,這套軟體需要經過註冊才能獲得完整版本,它的功能強大,小到保護個人上網使用者、大到維護商務網站的運作,它都能出色的做出驚人的表現。但因為軟體的註冊需要一定費用,所以對個人使用者來說還是選擇一款免費的防火牆更現實。天網防火牆在這裡就更加適合個人使用者的需要了,天網防火牆個人版是一套給個人電腦使用的網路安全程式,它能夠抵擋網路入侵和攻擊,防止資訊洩露。
2、天網防火牆的基本功能:
天網防火牆個人版把網路分為本地網和網際網路,可以針對來自不同網路的資訊,來設定不同的安全方案,以下所述的問題都是針對網際網路而言的,故所有的設定都是在網際網路安全級別中完成的。怎樣防止資訊洩露?如果把檔案共享向網際網路開放,而且又不設定密碼,那麼別人就可以輕鬆的透過網際網路看到您機器中的檔案,如果您還允許共享可寫,那別人甚至可以刪除檔案。你可以在個人防火牆的網際網路安全級別設定中,將NETBIOS關閉,這樣別人就不能透過INTERNET訪問你的共享資源了(這種設定不會影響你在區域網中的資源共享)。
當撥號使用者上網獲得了分配到的IP地址之後,可以透過天網防火牆將ICMP關閉,這樣駭客用PING的方法就無法確定使用者的的系統是否處於上網狀態,無法直接透過IP地址獲得使用者系統的資訊了。
需要指出的是:防火牆攔截的資訊並不完全是攻擊資訊,它記錄的只是系統在安全設定中所拒絕接收的資料包。在某些情況下,系統可能會收到一些正常但又被攔截的資料包,例如某些路由器會定時發出一些IGMP包等;或有些主機會定時PING出資料到本地系統確認連線仍在維持著,這個時候如果利用防火牆將ICMP和IGMP遮蔽了,就會在安全記錄中見到這些被攔截的資料包,因此這些攔截下來的資料包並不一定是駭客對系統進行攻擊造成的。
3、使用防火牆的益處:
使用防火牆可以保護脆弱的服務,透過過濾不安全的服務,Firewall可以極大地提高網路安全和減少子網中主機的風險。例如,Firewall可以禁止NIS、NFS服務透過,同時可以拒絕源路由和ICMP重定向封包。
另外防火牆可以控制對系統的訪問許可權,例如某些企業允許從外部訪問企業內部的某些系統,而禁止訪問另外的系統,透過防火牆對這些允許共享的系統進行設定,還可以設定內部的系統只訪問外部特定的MailServer和WebServer,保護企業內部資訊的安全。
4、防火牆的種類:
防火牆總體上分為包過濾、應用級閘道器和代理伺服器等三種類型:
(1)資料包過濾
資料包過濾(PacketFiltering)技術是在網路層對資料包進行選擇,選擇的依據是系統內設定的過濾邏輯,被稱為訪問控制表(AccessControlTable)。透過檢查資料流中每個資料包的源地址、目的地址、所用的埠號、協議狀態等因素,或它們的組合來確定是否允許該資料包透過。資料包過濾防火牆邏輯簡單,價格便宜,易於安裝和使用,網路效能和透明性好,它通常安裝在路由器上。路由器是內部網路與Internet連線必不可少的裝置,因此在原有網路上增加這樣的防火牆幾乎不需要任何額外的費用。
資料包過濾防火牆的缺點有二:一是非法訪問一旦突破防火牆,即可對主機上的軟體和配置漏洞進行攻擊;二是資料包的源地址、目的地址以及IP的埠號都在資料包的頭部,很有可能被竊聽或假冒。
(2)應用級閘道器
應用級閘道器(ApplicationLevelGateways)是在網路應用層上建立協議過濾和轉發功能。它針對特定的網路應用服務協議使用指定的資料過濾邏輯,並在過濾的同時,對資料包進行必要的分析、登記和統計,形成報告。實際中的應用閘道器通常安裝在專用工作站系統上。
資料包過濾和應用閘道器防火牆有一個共同的特點,就是它們僅僅依靠特定的邏輯判定是否允許資料包透過。一旦滿足邏輯,則防火牆內外的計算機系統建立直接聯絡,防火牆外部的使用者便有可能直接瞭解防火牆內部的網路結構和執行狀態,這有利於實施非法訪問和攻擊。
(3)代理服務
代理服務(ProxyService)也稱鏈路級閘道器或TCP通道(CircuitLevelGatewaysorTCPTunnels),也有人將它歸於應用級閘道器一類。它是針對資料包過濾和應用閘道器技術存在的缺點而引入的防火牆技術,其特點是將所有跨越防火牆的網路通訊鏈路分為兩段。防火牆內外計算機系統間應用層的"連結",由兩個終止代理伺服器上的"連結"來實現,外部計算機的網路鏈路只能到達代理伺服器,從而起到了隔離防火牆內外計算機系統的作用。此外,代理服務也對過往的資料包進行分析、註冊登記,形成報告,同時當發現被攻擊跡象時會向網路管理員發出警報,並保留攻擊痕跡。