SOHO族安全建議-保證上傳服務器安全

    在網絡科技時代，SOHO(Small Office Home Office)或遠程辦公(Tele-office)作為一種新的工作和生活方式，已經慢慢地被一些公司和個人所接受。借助無所不在的網絡，很多人呆在自己的空間里工作，這是一種更加自由也更環保的生活，SOHO一方面可以讓員工避免上下班擁擠的交通，另一方面也減少了公司昂貴的辦公室房租支出，同時也給員工更多的自由空間以激發他們的創意，所以許多大型的企業機構也開始允許和和鼓勵職員成為"SOHO族"。SOHO族們通過網絡在公司FTP服務器上傳或下載文件，通過QQ和Email與同事或領導、業務上的合作伙伴進行工作交流，通過IE瀏覽器在互聯網上查找各種資料等過程中，應該注意哪些安全問題呢?作為與員工進行交流的橋梁的公司FTP服務器，管理員又該如何保障其安全呢?

    今天在這里我們主要講如何保證上傳FTP的安全，下期的內容我們將講如何保障本機的安全。

　　作為員工上傳和下載文件的公司FTP服務器必須與Inte.net相連，而且必須有一個公共的IP地址，才能方便員工正常訪問。正是這固定的IP地址，方便了成天游蕩于網絡上不甘寂寞的黑客們，他們時時刻刻在尋找攻擊的目標，哪怕這種攻擊與破壞對他們沒有絲毫的好處，但這些人仍樂此不彼，把攻擊的機器多少作為炫耀他們黑客本事高低的標準。那么對于FTP服務器來說，可能面臨哪些種類的攻擊呢?

　　一、FTP服務器可能受到的攻擊

　　雖然Windows 操作系統類服務器，操作簡單，配置方便，但是微軟操作系統的漏洞層出不窮，如果服務器以Windows作為操作系統，管理員永遠沒有空閑的時候，要時刻關注微軟是否又發布了什么新補丁，公布了什么新漏洞，然后在最快的時間內打上補丁，睹上漏洞，而且網上針對Windows的黑客工具也很多，稍微懂點計算機知識的人都可以操作，所以對于稍微重要的服務器，為了保證服務器的安全，管理員都不再愿意使用Windows系統了，而是采用Unix服務器。Unix操作系統的操作要比Windows操作系統要復雜得多，至少可以擋住那些只會使用Windows系統的一類人，而且它的安全性也要高得多。對unix服務器的攻擊相對來說也就難些，但是這并不代表就沒有攻擊，對于這類服務器，可能受到下面兩大類型的攻擊。

　　1.拒絕服務攻擊

　　DoS(Denial of Service，拒絕服務)，是一種利用合理的服務請求占用過多的服務資源，從而使合法用戶無法得到服務響應的網絡攻擊行為。由于典型的DoS攻擊就是資源耗盡和資源過載，因此當一個對資源的合理請求大大超過資源的支付能力時，合法的訪問者將無法享用合理的服務。

　　遭到DoS攻擊時，會有大量服務請求發向同一臺服務器的服務守護進程，這時就會產生服務過載。這些請求通過各種方式發出，而且許多都是故意的。在分時機制中，計算機需要處理這些潮水般涌來的請求，十分忙碌，以至無法處理常規任務，就會丟棄許多新請求。如果攻擊的對象是一個基于TCP協議的服務，這些請求還會被重發，進一步加重網絡的負擔。

　　大致說來，有以下幾種類型的攻擊:

　　(1)消息流

　　消息流經常發生在用戶向網絡中的目標主機大量發送數據包之時，消息流會造成目標主機的處理速度緩慢，難以正常處理任務。這些請求以請求文件服務、要求登錄或者要求響應的形式，不斷涌向目標主機，加重了目標主機的處理器負載，使目標主機消耗大量資源來響應這些請求。在極端的情況下，消息流可以使目標主機因沒有內存空間做緩沖或發生其他錯誤而死機。

　　(2)"粘住"攻擊

　　在Unix系統中，TCP連接通過三次握手來建立一個連接。如果攻擊者發出多個連接請求，初步建立了連接，但又沒有完成其后的連接步驟，接收者便會保留許多這種半連接，占用很多資源。通常，這些連接請求使用偽造的源地址，系統就沒有辦法去跟蹤這個連接，只有等待這個連接因為超時而釋放。

　　(3)SYN-Flooding攻擊

　　攻擊者使用偽裝地址向目標計算機盡可能多地發送請求，以達到多占用目標計算機資源的目的。當目標計算機收到這樣的請求后，就會使用系統資源來為新的連接提供服務，接著回復一個肯定答復SYN-ACK。由于SYN-ACK被返回到一個偽裝的地址，因此沒有任何響應，于是目標計算機將繼續設法發送SYN-ACK。一些系統都有缺省的回復次數和超時時間，只有回復一定的次數，或者超時時，占用的資源才會被釋放，而且每次重新發送后，等待時間翻番，最終耗盡系統資源，無法為新連接提供服務。實施這種攻擊的黑客雖然無法取得系統中的任何訪問權，但是卻可以讓服務器接受其他服務時速度變慢，甚至無法接受其他服務。

　　2.弱口令漏洞攻擊

　　由于Unix操作系統本身的漏洞很少，不容易被利用，所以黑客們要想入侵，很多都是從帳號和密碼上打主意。而用戶的ID很容易通過一些現成的掃描器獲得，所以口令就成為第一層和唯一的防御線?？墒怯行┕芾韱T為了方便，將有些服務器的一些帳號采用易猜的口令，甚至有的帳號根本沒有口令，這無疑是虛掩房門等黑客進來。另外，很多系統有內置的或缺省的帳號也沒有更改口令，這些都給黑客帶來很多可乘之機，攻擊者通常查找這些帳號。只要攻擊者能夠確定一個帳號名和密碼，他(或她)就能夠進入目標計算機。

    二、防范拒絕服務攻擊

　　1.加固操作系統

　　加固操作系統，即對操作系統參數進行配置以加強系統的穩固性，重新編譯或設置 BSD系統等操作系統內核中的某些參數，提高系統的抗攻擊能力。例如，DoS攻擊的典型種類--SYN Flood，利用TCP/IP協議漏洞發送大量偽造的TCP連接請求，以造成網絡無法連接用戶服務或使操作系統癱瘓。該攻擊過程涉及到系統的一些參數:可等待的數據包的鏈接數和超時等待數據包的時間長度。用戶可以將數據包的鏈接數從缺省值128或512修改為2048或更大，加長每次處理數據包隊列的長度，以緩解和消化更多數據包的攻擊;此外，用戶還可將超時時間設置得較短，以保證正常數據包的連接，屏蔽非法攻擊包。但通常這些方法的防攻擊能力非常有限。

　　2.增設防火墻

　　我們可以在公司網絡服務器和外部網絡之間的增設一道屏障，以防止發生不可預測的、潛在破壞性的侵入，那就是增設一個防火墻。防火墻利用一組形成防火墻"墻磚"的軟件或硬件將外部網絡與內部網絡隔開，它可以保護內部網絡不受外部網絡的非授權訪問，因此利用防火墻來阻止DoS攻擊能有效地保護內部的服務器。我們可以把FTP服務器放在防火墻的DMZ區，讓其既可以接受來自Internet的訪問，又可以受到防火墻的安全保護。針對SYN Flood，防火墻通常有三種防護方式:SYN網關、被動式SYN網關和SYN中繼。

　　(1)SYN網關

　　防火墻收到客戶端的SYN包時，直接轉發給服務器;防火墻收到服務器的SYN/ACK包后，一方面將SYN/ACK包轉發給客戶端，另一方面以客戶端的名義給服務器回送一個ACK包，完成TCP的三次握手，讓服務器端由半連接狀態進入連接狀態。當客戶端真正的ACK包到達時，有數據則轉發給服務器，否則丟棄該包。由于服務器能承受連接狀態要比半連接狀態高得多，所以這種方法能有效地減輕對服務器的攻擊。

　　(2)被動式SYN網關

　　設置防火墻的SYN請求超時參數，讓它遠小于服務器的超時期限。防火墻負責轉發客戶端發往服務器的SYN包，服務器發往客戶端的SYN/ACK包、以及客戶端發往服務器的ACK包。這樣，如果客戶端在防火墻計時器到期時還沒發送ACK包，防火墻則往服務器發送RST包，以使服務器從隊列中刪去該半連接。由于防火墻的超時參數遠小于服務器的超時期限，因此這樣能有效防止SYN Flood攻擊。

[1]    

原文轉自：http://www.kjueaiud.com