IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機(jī)版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置: 首頁(yè)網(wǎng)絡(luò)安全安全防護(hù) → 避免遭受攻擊保證上傳FTP服務(wù)器的安全

避免遭受攻擊保證上傳FTP服務(wù)器的安全

時(shí)間:2015-06-28 00:00:00 來(lái)源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評(píng)論(0)

??? 在網(wǎng)絡(luò)科技時(shí)代,SOHO(Small OfficeHome Office)或遠(yuǎn)程辦公(Tele-office)作為一種新的工作和生活方式,已經(jīng)慢慢地被一些公司和個(gè)人所接受。

??? 借助無(wú)所不在的網(wǎng)絡(luò),很多人呆在自己的空間里工作,這是一種更加自由也更環(huán)保的生活,SOHO一方面可以讓員工避免上下班擁擠的交通,另一方面也減少了公司昂貴的辦公室房租支出,同時(shí)也給員工更多的自由空間以激發(fā)他們的創(chuàng)意,所以許多大型的企業(yè)機(jī)構(gòu)也開(kāi)始允許和和鼓勵(lì)職員成為"SOHO族". SOHO族們通過(guò)網(wǎng)絡(luò)在公司FTP服務(wù)器上傳或下載文件,通過(guò)QQ和Email與同事或領(lǐng)導(dǎo)、業(yè)務(wù)上的合作伙伴進(jìn)行工作交流,通過(guò)IE瀏覽器在互聯(lián)網(wǎng)上查找各種資料等過(guò)程中,應(yīng)該注意哪些安全問(wèn)題呢?作為與員工進(jìn)行交流的橋梁的公司FTP服務(wù)器,管理員又該如何保障其安全呢?

??? 作為員工上傳和下載文件的公司FTP服務(wù)器必須與Internet相連,而且必須有一個(gè)公共的IP地址,才能方便員工正常訪問(wèn)。正是這固定的 IP地址,方便了成天游蕩于網(wǎng)絡(luò)上不甘寂寞的黑客們,他們時(shí)時(shí)刻刻在尋找攻擊的目標(biāo),哪怕這種攻擊與破壞對(duì)他們沒(méi)有絲毫的好處,但這些人仍樂(lè)此不彼,把攻擊的機(jī)器多少作為炫耀他們黑客本事高低的標(biāo)準(zhǔn)。那么對(duì)于FTP服務(wù)器來(lái)說(shuō),可能面臨哪些種類的攻擊呢?

??? 一、FTP服務(wù)器可能受到的攻擊

??? 雖然Windows操作系統(tǒng)類服務(wù)器,操作簡(jiǎn)單,配置方便,但是微軟操作系統(tǒng)的漏洞層出不窮,如果服務(wù)器以Windows作為操作系統(tǒng),管理員永遠(yuǎn)沒(méi)有空閑的時(shí)候,要時(shí)刻關(guān)注微軟是否又發(fā)布了什么新補(bǔ)丁,公布了什么新漏洞,然后在最快的時(shí)間內(nèi)打上補(bǔ)丁,睹上漏洞,而且網(wǎng)上針對(duì)Windows的黑客工具也很多,稍微懂點(diǎn)計(jì)算機(jī)知識(shí)的人都可以操作,所以對(duì)于稍微重要的服務(wù)器,為了保證服務(wù)器的安全,管理員都不再愿意使用Windows系統(tǒng)了,而是采用Unix服務(wù)器。Unix操作系統(tǒng)的操作要比Windows操作系統(tǒng)要復(fù)雜得多,至少可以擋住那些只會(huì)使用Windows系統(tǒng)的一類人,而且它的安全性也要高得多。對(duì)unix服務(wù)器的攻擊相對(duì)來(lái)說(shuō)也就難些,但是這并不代表就沒(méi)有攻擊,對(duì)于這類服務(wù)器,可能受到下面兩大類型的攻擊。

??? 1.拒絕服務(wù)攻擊

??? DoS(Denial of Service,拒絕服務(wù)),是一種利用合理的服務(wù)請(qǐng)求占用過(guò)多的服務(wù)資源,從而使合法用戶無(wú)法得到服務(wù)響應(yīng)的網(wǎng)絡(luò)攻擊行為。由于典型的DoS攻擊就是資源耗盡和資源過(guò)載,因此當(dāng)一個(gè)對(duì)資源的合理請(qǐng)求大大超過(guò)資源的支付能力時(shí),合法的訪問(wèn)者將無(wú)法享用合理的服務(wù)。

??? 遭到DoS攻擊時(shí),會(huì)有大量服務(wù)請(qǐng)求發(fā)向同一臺(tái)服務(wù)器的服務(wù)守護(hù)進(jìn)程,這時(shí)就會(huì)產(chǎn)生服務(wù)過(guò)載。這些請(qǐng)求通過(guò)各種方式發(fā)出,而且許多都是故意的。在分時(shí)機(jī)制中,計(jì)算機(jī)需要處理這些潮水般涌來(lái)的請(qǐng)求,十分忙碌,以至無(wú)法處理常規(guī)任務(wù),就會(huì)丟棄許多新請(qǐng)求。如果攻擊的對(duì)象是一個(gè)基于TCP協(xié)議的服務(wù),這些請(qǐng)求還會(huì)被重發(fā),進(jìn)一步加重網(wǎng)絡(luò)的負(fù)擔(dān)。

??? 2.弱口令漏洞攻擊

??? 由于Unix操作系統(tǒng)本身的漏洞很少,不容易被利用,所以黑客們要想入侵,很多都是從帳號(hào)和密碼上打主意。而用戶的ID很容易通過(guò)一些現(xiàn)成的掃描器獲得,所以口令就成為第一層和唯一的防御線。可是有些管理員為了方便,將有些服務(wù)器的一些帳號(hào)采用易猜的口令,甚至有的帳號(hào)根本沒(méi)有口令,這無(wú)疑是虛掩房門等黑客進(jìn)來(lái)。另外,很多系統(tǒng)有內(nèi)置的或缺省的帳號(hào)也沒(méi)有更改口令,這些都給黑客帶來(lái)很多可乘之機(jī),攻擊者通常查找這些帳號(hào)。只要攻擊者能夠確定一個(gè)帳號(hào)名和密碼,他(或她)就能夠進(jìn)入目標(biāo)計(jì)算機(jī)。

??? 二、防范拒絕服務(wù)攻擊

??? 1.加固操作系統(tǒng)

??? 加固操作系統(tǒng),即對(duì)操作系統(tǒng)參數(shù)進(jìn)行配置以加強(qiáng)系統(tǒng)的穩(wěn)固性,重新編譯或設(shè)置 BSD系統(tǒng)等操作系統(tǒng)內(nèi)核中的某些參數(shù),提高系統(tǒng)的抗攻擊能力。例如,DoS攻擊的典型種類——SYN Flood,利用TCP/IP協(xié)議漏洞發(fā)送大量偽造的TCP連接請(qǐng)求,以造成網(wǎng)絡(luò)無(wú)法連接用戶服務(wù)或使操作系統(tǒng)癱瘓。該攻擊過(guò)程涉及到系統(tǒng)的一些參數(shù):可等待的數(shù)據(jù)包的鏈接數(shù)和超時(shí)等待數(shù)據(jù)包的時(shí)間長(zhǎng)度。用戶可以將數(shù)據(jù)包的鏈接數(shù)從缺省值128或512修改為2048或更大,加長(zhǎng)每次處理數(shù)據(jù)包隊(duì)列的長(zhǎng)度,以緩解和消化更多數(shù)據(jù)包的攻擊;此外,用戶還可將超時(shí)時(shí)間設(shè)置得較短,以保證正常數(shù)據(jù)包的連接,屏蔽非法攻擊包。但通常這些方法的防攻擊能力非常有限。

??? 2.增設(shè)防火墻

??? 我們可以在公司網(wǎng)絡(luò)服務(wù)器和外部網(wǎng)絡(luò)之間的增設(shè)一道屏障,以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入,那就是增設(shè)一個(gè)防火墻。防火墻利用一組形成防火墻"墻磚"的軟件或硬件將外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)隔開(kāi),它可以保護(hù)內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的非授權(quán)訪問(wèn),因此利用防火墻來(lái)阻止DoS攻擊能有效地保護(hù)內(nèi)部的服務(wù)器。我們可以把FTP服務(wù)器放在防火墻的DMZ區(qū),讓其既可以接受來(lái)自Internet的訪問(wèn),又可以受到防火墻的安全保護(hù)。針對(duì)SYN Flood,防火墻通常有三種防護(hù)方式:SYN網(wǎng)關(guān)、被動(dòng)式SYN網(wǎng)關(guān)和SYN中繼。

??? (1)SYN網(wǎng)關(guān)

??? 防火墻收到客戶端的SYN包時(shí),直接轉(zhuǎn)發(fā)給服務(wù)器;防火墻收到服務(wù)器的SYN/ACK包后,一方面將SYN/ACK包轉(zhuǎn)發(fā)給客戶端,另一方面以客戶端的名義給服務(wù)器回送一個(gè)ACK包,完成TCP的三次握手,讓服務(wù)器端由半連接狀態(tài)進(jìn)入連接狀態(tài)。當(dāng)客戶端真正的ACK包到達(dá)時(shí),有數(shù)據(jù)則轉(zhuǎn)發(fā)給服務(wù)器,否則丟棄該包。由于服務(wù)器能承受連接狀態(tài)要比半連接狀態(tài)高得多,所以這種方法能有效地減輕對(duì)服務(wù)器的攻擊。

??? (2)被動(dòng)式SYN網(wǎng)關(guān)

??? 設(shè)置防火墻的SYN請(qǐng)求超時(shí)參數(shù),讓它遠(yuǎn)小于服務(wù)器的超時(shí)期限。防火墻負(fù)責(zé)轉(zhuǎn)發(fā)客戶端發(fā)往服務(wù)器的SYN包,服務(wù)器發(fā)往客戶端的SYN/ACK 包、以及客戶端發(fā)往服務(wù)器的ACK包。這樣,如果客戶端在防火墻計(jì)時(shí)器到期時(shí)還沒(méi)發(fā)送ACK包,防火墻則往服務(wù)器發(fā)送RST包,以使服務(wù)器從隊(duì)列中刪去該半連接。由于防火墻的超時(shí)參數(shù)遠(yuǎn)小于服務(wù)器的超時(shí)期限,因此這樣能有效防止SYN Flood攻擊。

??? (3)SYN中繼

??? 防火墻在收到客戶端的SYN包后,并不向服務(wù)器轉(zhuǎn)發(fā)而是記錄該狀態(tài)信息然后主動(dòng)給客戶端回送SYN/ACK包,如果收到客戶端的ACK包,表明是正常訪問(wèn),由防火墻向服務(wù)器發(fā)送SYN包并完成三次握手。

??? 這樣由防火墻做為代理來(lái)實(shí)現(xiàn)客戶端和服務(wù)器端的連接,可以完全過(guò)濾不可用連接發(fā)往服務(wù)器。

??? 各企業(yè)在選擇防火墻時(shí),除了根據(jù)以上幾種保護(hù)方式進(jìn)行選擇以外,還需要根據(jù)企業(yè)本身的業(yè)務(wù)量來(lái)決定選擇的防火墻的性能。性能越好,當(dāng)然價(jià)格也就越高,而且防火墻的性能和資源的占用是相關(guān)的,性能越高,占用資源也就越多,占用帶寬比例也就越高。另外一般企業(yè)如果不想在安全產(chǎn)品上投入過(guò)多,則會(huì)要求防火墻同時(shí)具有入侵檢測(cè)、VPN等功能,甚至防病毒功能。

關(guān)鍵詞標(biāo)簽:FTP服務(wù)器

相關(guān)閱讀

文章評(píng)論
發(fā)表評(píng)論

熱門文章 火絨安全軟件開(kāi)啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速 火絨安全軟件開(kāi)啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速 火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法 火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法 網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程 網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程 騰訊QQ密碼防盜十大建議 騰訊QQ密碼防盜十大建議

相關(guān)下載

    人氣排行 火絨安全軟件開(kāi)啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速 火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法 網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程 xp系統(tǒng)關(guān)閉445端口方法_ 教你如何關(guān)閉xp系統(tǒng)445端口 什么是IPS(入侵防御系統(tǒng)) 企業(yè)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)方案 ARP協(xié)議的反向和代理 Windows Server 2008利用組策略的安全設(shè)置