随着🐙Linux企业应用的扩【yòng de kuò】🕵展，有大量【yǒu dà liàng】😎的网络服务器💎使用【shǐ yòng】Linux操作系统。Linux服务器💎的安全💤性能受到越来越多的【yuè duō de】🗾关注【guān zhù】，这里根【zhè lǐ gēn】据Linux服务器💎受到攻【shòu dào gōng】击的深🍐度以级别形式📰列出，并提出不同的解决方【jiě jué fāng】🤣案【àn】。

对Linux服务器【fú wù qì】🦆攻击的【gōng jī de】🕠定义是✝：攻击是🍵一种旨在妨碍、损害【sǔn hài】、削弱【xuē ruò】、破坏🚞Linux服务器【fú wù qì】🦆安全的⚓未授权【wèi shòu quán】行为。攻击的【gōng jī de】🕠范围可以从服务拒绝直至完全危害和破坏🍓Linux服务器【fú wù qì】🦆。对Linux服务器【fú wù qì】🦆攻击有【gōng jī yǒu】许多种类🕊，本文从【běn wén cóng】攻击深【gōng jī shēn】度的角【dù de jiǎo】度说明【dù shuō míng】🚽，我们把攻击分🛳为四级【wéi sì jí】😸。

攻击级别一：服务拒绝攻击（DoS）

由于【yóu yú】DoS攻击工【gōng jī gōng】🎴具的泛滥【làn】，及所针❇对的协议层的😡缺陷短【quē xiàn duǎn】时无法改变的🛫事实【shì shí】🏣，DoS也就成为了流传最广🧀、最难防范的攻击方式【jī fāng shì】。

服务拒【fú wù jù】🈵绝攻击【jué gōng jī】📹包括分【bāo kuò fèn】布式拒绝服务【jué fú wù】攻击、反射式🏄分布拒绝服务【jué fú wù】攻击、DNS分布拒绝服务【jué fú wù】攻击、FTP攻击等🎾。大多数服务拒【fú wù jù】🈵绝攻击【jué gōng jī】📹导致相对低级的危险【de wēi xiǎn】，即便是【jí biàn shì】那些可能导致🐲系统重🌃启的攻😾击也仅🤶仅是暂【jǐn shì zàn】时性的问题【wèn tí】。这类攻击在很大程度🌎上不同【shàng bú tóng】🆔于那些想获取网络控制的攻【zhì de gōng】🧠击，一般不【yī bān bú】会对数🎙据安全【jù ān quán】有影响，但是服【dàn shì fú】🔩务拒绝🌠攻击会持续很长一段时间🚻，非常难缠【chán】。

到目前🌻为止，没有一🔑个绝对的方法【de fāng fǎ】可以【yǐ】制🔨止这类攻击。但这并不表明我们就【wǒ men jiù】应束手🗞就擒，除了强🧐调个人🖱主机加强保护【qiáng bǎo hù】🐻不被利【bú bèi lì】用的重【yòng de chóng】要性外，加强对服务🐁器的【de】管理🌝是非常重要的【chóng yào de】一环【yī huán】。一定要【yī dìng yào】安装验证软件和过滤功能【gōng néng】，检验该【jiǎn yàn gāi】🥎报文的【de】源地址【dì zhǐ】的【de】真实地址【dì zhǐ】。另外对于几种【yú jǐ zhǒng】服务🐁拒绝可【jù jué kě】以【yǐ】🐑采用以【yǐ】😌下措施🛵：关闭不🔛必要的【de】服务🐁、限制同💩时打开的【de】Syn半连接【bàn lián jiē】❓数目【shù mù】🚓、缩短Syn半连接【bàn lián jiē】❓的【de】time out 时间【shí jiān】、及时更🦐新系统补丁。

攻击级✳别二🔨：本地用户获取【hù huò qǔ】了他们非授权🤫的文件【de wén jiàn】的读写【de dú xiě】权限

本地用【běn dì yòng】🛢户是指【hù shì zhǐ】👨在本地网络的任一台机器上【jī qì shàng】有口令、因而在某一驱【mǒu yī qū】动器上有一个目录🤫的用户🧔。本地用【běn dì yòng】🛢户获取到了他【dào le tā】们非授权的文😸件的读写权限【xiě quán xiàn】的问题🕺是否构🧢成危险🛍很大程度上要看被访🚏问文件的关键性。任何本🍹地用户【dì yòng hù】🧔随意访问临时【wèn lín shí】📄文件目录🤫（/tmp）都具有【dōu jù yǒu】🤶危险性【wēi xiǎn xìng】，它能够【tā néng gòu】潜在地铺设一条通向下一级🚮别攻击【bié gōng jī】🕎的路径【de lù jìng】。

级别二的主要🌆攻击方【gōng jī fāng】🍑法是【fǎ shì】：黑客诱骗合法用户告知其机密信息或执行【huò zhí háng】任务【rèn wù】🕖，有时黑客会假🌁装网络管理人员向用户发送📐邮件👉，要求用【yào qiú yòng】户给他【hù gěi tā】系统升【xì tǒng shēng】级的密🏰码。

由本地用户【yòng hù】启动的攻击几乎🐼都是从【dōu shì cóng】远程登录开始。对于🤾Linux服务器【fú wù qì】，最好的办法是👅将所有【jiāng suǒ yǒu】shell账号放【zhàng hào fàng】🔡置于一【zhì yú yī】个单独的机器上【shàng】👨，也就是💀说【shuō】，只在一🧟台或多台分配有shell访问的【fǎng wèn de】服务器【fú wù qì】上【shàng】👨接受注册🔝。这可以使日志【shǐ rì zhì】管理🎎、访问控制管理【zhì guǎn lǐ】🦓、释放协【shì fàng xié】议和其【yì hé qí】他潜在【tā qián zài】的安全😢问题管理🎎更容易【gèng róng yì】些【xiē】。还应该🕊将存放【jiāng cún fàng】用户【yòng hù】CGI的系统【de xì tǒng】区分出来💙。这些【xiē】机🏌器应该隔离在特定的🌮网络区段，也就是💀说【shuō】，根据网络的配置情况🚌，它们应【tā men yīng】🤤该被路由器或网络交换机包【huàn jī bāo】🖲围。其拓扑【qí tuò pū】结构应该确保🌓硬件地址欺骗也不能【yě bú néng】📋超出这个区段。

攻击级别三【bié sān】：远程用【yuǎn chéng yòng】🐈户获得特权文📒件的读【jiàn de dú】写权限🚙

第三级别的攻击能做到的不只是核【zhī shì hé】实特定文件是💡否存在【fǒu cún zài】，而且还〰能读写【néng dú xiě】这些文件📺。造成这种情况🥓的原因【de yuán yīn】是：Linux服务器【fú wù qì】⛷配置中出现这【chū xiàn zhè】样一些【yàng yī xiē】😖弱点：即远程【jí yuǎn chéng】用户无需有效💥账号就可以在🕔服务器【fú wù qì】⛷上执行有限数💔量的命令【lìng】🎴。

密码【mǎ】🏅攻击法【jī fǎ】是第三【shì dì sān】级别中的🕠主要攻击法【jī fǎ】，损坏密👢码【mǎ】😊是最常见的攻【jiàn de gōng】击【jī】方🌋法。密码【mǎ】破😔解是用【jiě shì yòng】以描述【yǐ miáo shù】在使用或不使用工具的情况【de qíng kuàng】🚈下渗透【xià shèn tòu】网络【wǎng luò】、系统或🔘资源以【zī yuán yǐ】解锁用密码【mǎ】🏅保护的资🚺源的一【yuán de yī】个术语。用户常常忽略他们的【tā men de】密码【mǎ】🔒，密码【mǎ】🏅政策很【zhèng cè hěn】难得到实【shí】🛴施🛢。黑客有⤴多种工🏬具可以【jù kě yǐ】击【jī】败技术和社【shù hé shè】🌔会所保护的密【hù de mì】⛏码【mǎ】😊。主要包【zhǔ yào bāo】括：字典攻击【jī】（Dictionary attack）、混合攻📕击【jī】（Hybrid attack）、蛮力攻🍤击【jī】（Brute force attack）。一旦黑客拥有【kè yōng yǒu】🗨了用户的密码【mǎ】🔒，他就有【tā jiù yǒu】很多用【hěn duō yòng】户的特权【quán】。密码【mǎ】猜❗想是指👉手工进入普通✍密码【mǎ】🏅或通过编好程序的正本取得密码【mǎ】🏅。一些用户选择🔉简单的密码【mǎ】🔒—如生日🖕、纪念日【jì niàn rì】和配偶名字【míng zì】💨，却并不🙆遵循应使用字【shǐ yòng zì】母、数字混【shù zì hún】合使用的规则。对黑客来说要猜出一串8个字生【gè zì shēng】日数据不用花🏁多长时【duō zhǎng shí】🚗间【jiān】。

防范第【fáng fàn dì】三级别的攻击🔳的最好🙌的防卫方法便是严格【shì yán gé】控制进【kòng zhì jìn】🤬入特权，即使用有效的【yǒu xiào de】🔱密码。

◆ 主要包【zhǔ yào bāo】🐹括密码应当遵【yīng dāng zūn】🈷循字母【xún zì mǔ】、数字、大小写（因为Linux对大小写是有🧑区分【qū fèn】）混合使🚉用的规则。

◆ 使用象“#”或“%”或“$”这样的🗒特殊字符也会🍐添加复【tiān jiā fù】杂性【zá xìng】。例如采😡用"countbak"一词【yī cí】，在它后面添加“#$”（countbak#$），这样您就拥有【jiù yōng yǒu】🍕了一个🐵相当有【xiàng dāng yǒu】🗣效的密【xiào de mì】码。

攻击级别四：远程用户获得根权限

第四攻击【jī】级别😉是指那【shì zhǐ nà】些决不🛒应该发生的事👬发生了🐋，这是致👱命的攻【mìng de gōng】击【jī】。表示攻【biǎo shì gōng】🎥击【jī】者拥有Linux服务器🌕的根、超级用【chāo jí yòng】户或管理员许可权，可以读、写并执行所有【háng suǒ yǒu】🕴文件。换句话【huàn jù huà】说【shuō】，攻击者【gōng jī zhě】具有对Linux服务器🌕的全部【de quán bù】🍄控制权🐂，可以在任何时【rèn hé shí】刻都能🍙够完全🏮关闭甚【guān bì shèn】至毁灭此网络。

攻击【jī】💔级别四主要攻击【jī】🎒形式是TCP/IP连续偷窃【tōu qiè】🍕，被动通道听取【dào tīng qǔ】⏭和信息【hé xìn xī】🚈包拦截🦋。TCP/IP连续偷窃【tōu qiè】🍕，被动通道听取【dào tīng qǔ】⏭和信息【hé xìn xī】🚈包拦截🦋，是为进【shì wéi jìn】入网络收集重🏺要信息【xī】的方法【de fāng fǎ】🗃，不像拒【bú xiàng jù】绝服务【jué fú wù】攻击【jī】💔，这些方法有更多类似🕚偷窃【tōu qiè】🍕的性质，比较隐蔽不易【bì bú yì】被发现。一次成功的TCP/IP攻击【jī】💔能让黑【néng ràng hēi】客阻拦【kè zǔ lán】两🤱个团体【gè tuán tǐ】之间的🐔交易，提供中【tí gòng zhōng】间人袭击的良【jī de liáng】🈂好机会【hǎo jī huì】，然后黑客会【kè huì】🎒在不被受害者注意的情况下控制一【kòng zhì yī】方或双方🕹的交易🏔。通过【guò】被动窃【dòng qiè】🍕听【tīng】，黑客会【kè huì】🎒操纵和【cāo zòng hé】🆔登记信【dēng jì xìn】息【xī】，把文件送达，也会从【yě huì cóng】目标系🍌统上所有可通【yǒu kě tōng】过【guò】🤧的通道🍛找到可【zhǎo dào kě】通过【guò】🤧的致命【de zhì mìng】要害。黑客会【kè huì】🎒寻找联【xún zhǎo lián】🍭机和密码的结🌠合点，认出申请合法🎗的通道🍛。信息【xī】包👻拦截是指在目标系🍌统约束一个活跃的听【yuè de tīng】者程序以🌇拦截和【lán jié hé】更改所【gèng gǎi suǒ】📆有的或特别的🔅信息【xī】的地址。信息【xī】可🐧被改送到非法系统阅读🥒，然后不加改变💷地送回【dì sòng huí】♊给黑客。

TCP/IP连续偷窃实际就是网络嗅探【luò xiù tàn】🙅，注意如🕋果您确【guǒ nín què】信有人接了嗅探器到【tàn qì dào】🌿自己的【zì jǐ de】网络上【wǎng luò shàng】，可以去找一些🗓进行验⏰证的工具【jù】🌏。这种工【zhè zhǒng gōng】具【jù】称为🛷时域反【shí yù fǎn】射计量【shè jì liàng】器(Time Domain Reflectometer，TDR)。TDR对电磁波的传【bō de chuán】🦅播和变【bō hé biàn】化进行测量。将一个TDR连接到网络上【wǎng luò shàng】，能够检测到未授权的获取网🎫络数据的设备【de shè bèi】🐗。不过很🐜多中小公司没有这种🚲价格昂【jià gé áng】贵的工🍈具【jù】🌏。对于防范嗅探【fàn xiù tàn】⛎器的攻击最好【jī zuì hǎo】的方法📃是：

1、安全的🀄拓扑结构【gòu】。嗅探器【xiù tàn qì】只能在【zhī néng zài】当前网💧络段上🚯进行数🕯据捕获【jù bǔ huò】🎡。这就意味着【wèi zhe】，将网络分段工作进行得越细【dé yuè xì】👋，嗅探器【xiù tàn qì】能够收⚡集的信【jí de xìn】息就越【xī jiù yuè】少🛠。
2、会话加密。不用特别地担心数据【xīn shù jù】🚨被嗅探，而是要想办法使得嗅【shǐ dé xiù】探器不认识嗅探到的【tàn dào de】数据【shù jù】🚨。这种方法的优🗳点是明【diǎn shì míng】😯显的：即使攻🛵击者嗅探到了数据【shù jù】🚨，这些数据【shù jù】🚨对他也是没【shì méi】🌗有用的🌥。

特别提示：应对攻击的反击措施

对于超【duì yú chāo】过第二级别的【jí bié de】攻击您就要特别注意【bié zhù yì】了。因为它【yīn wéi tā】们可以【men kě yǐ】不断的提升攻🐩击级别，以渗透🍽Linux服务器【fú wù qì】。此时，我们可✂以采取🎹的反击🤟措施有【cuò shī yǒu】🏅：
◆ 首先备份重要【fèn chóng yào】的企业🍐关键数😇据。

◆ 改变系【gǎi biàn xì】⚫统中所【tǒng zhōng suǒ】有口令，通知用😹户找系统管理员得到【yuán dé dào】🚢新口令。

◆ 隔离该【gé lí gāi】😌网络网段使攻击行为【jī háng wéi】📅仅出现【jǐn chū xiàn】在一个小范围👕内。

◆ 允许行【yǔn xǔ háng】🌺为继续进行【jìn háng】🦁。如有可能，不要急💁于把攻【yú bǎ gōng】击者赶【jī zhě gǎn】出系统🔛，为下一步作准备。

◆ 记录【lù】所有行为【yǒu háng wéi】，收集证🗂据🏿。这些证🔸据🏿包括：系统🖐登录【dēng lù】🔮文件、应用登【yīng yòng dēng】录【lù】🔮文件、AAA（Authentication、Authorization、 Accounting，认证😟、授权、计费）登录【dēng lù】🔮文件，RADIUS（Remote Authentication Dial-In User Service） 登录【dēng lù】🔮，网络单【wǎng luò dān】元登录【dēng lù】🐨（Network Element Logs）、防火墙【fáng huǒ qiáng】登录【dēng lù】🔮、HIDS（Host-base IDS，基于主【jī yú zhǔ】机的入【jī de rù】侵检测【qīn jiǎn cè】系统🖐） 事件【shì jiàn】🛣、NIDS（网络入侵检测【qīn jiǎn cè】系统🖐）事件【shì jiàn】🛣、磁盘驱动器、隐含文【yǐn hán wén】🛺件等🤮。收集证🗂据时要🌆注意【zhù yì】🛡：在移动或拆卸😐任何设备之前🏦都要拍照；在调查中要遵循两人法则【fǎ zé】，在信息【zài xìn xī】收集中🎛要至少有两个【yǒu liǎng gè】人，以防止篡改信息；应记录【lù】所采取【suǒ cǎi qǔ】🛬的所有【de suǒ yǒu】步骤以💋及对配置设置【zhì shè zhì】的任何改变，要把这些记录【lù】➿保存在安全的地方【dì fāng】⚪。检查系🐞统所有🚎目录【lù】的🏷存取许可，检测【jiǎn cè】Permslist是否被修改过。

◆ 进行各种尝试(使用网【shǐ yòng wǎng】🐼络的不♿同部分)以识别出攻击【chū gōng jī】🍐源【yuán】。

◆ 为了使用法律武器打【wǔ qì dǎ】击犯罪【jī fàn zuì】🍑行为♍，必须保留证据【zhèng jù】🔣，而形🚝成证据【chéng zhèng jù】🔣需要时间🎋。为了做【wéi le zuò】到这一点，必须忍【bì xū rěn】受攻击的冲击👔(虽然可以制定【yǐ zhì dìng】📠一些安全措施来确保攻击不损害网【sǔn hài wǎng】络)。对此情【duì cǐ qíng】形🚝，我们不但要采🌡取一些⏸法律手【fǎ lǜ shǒu】段，而且还要至少💦请一家有权威【yǒu quán wēi】的安全【de ān quán】🕶公司协🛏助阻止【zhù zǔ zhǐ】这种犯【zhè zhǒng fàn】罪。这类操🧢作的最🏅重要特点就是💺取得犯罪的证🎒据【jù】、并查找犯罪者【fàn zuì zhě】😨的地址，提供所拥有的日志🖥。对于所搜集到【sōu jí dào】的证据【de zhèng jù】🔣，应进行有效地保存【bǎo cún】。在开始🐜时制作两份【liǎng fèn】🛢，一个用于评估证据【zhèng jù】🔣，另一个【lìng yī gè】🕤用于法律验证。

◆ 找到系💿统漏洞【dòng】后设法【hòu shè fǎ】堵住漏洞【dòng】，并进行🙎自我攻【zì wǒ gōng】击测试🐙。

网络安🔡全已经不仅仅是技术问题😜，而是一【ér shì yī】个社会问题😜。企业应当提高对网络【duì wǎng luò】安🔡全重视，如果一味地只🤧依靠技术工具，那就会【nà jiù huì】💲越来越【yuè lái yuè】被动；只有发挥社会【huī shè huì】和法律【lǜ】♍方面打【fāng miàn dǎ】击网络【jī wǎng luò】犯🕝罪，才能更🍃加有效。我国对✋于打击【yú dǎ jī】🔌网络犯【wǎng luò fàn】🕝罪已经【zuì yǐ jīng】😥有了明【yǒu le míng】🍴确的【de】💊司法解【sī fǎ jiě】释，遗憾的【de】💊是大多🎍数企业只重视技术环节的【jiē de】💊作用而忽略法律【lǜ】、社会因素🆒，这也是💅本文的【de】💊写作目【xiě zuò mù】的【de】💊。

拒绝服务攻击（DoS）

DoS即🕘Denial Of Service，拒绝服【jù jué fú】务的【de】缩🉐写，可不能认为是微软的【wēi ruǎn de】DOS操作系🎞统【tǒng】！DoS攻击即🕘让目标机器停🗑止提供服务或资源访【zī yuán fǎng】问，通常是以消耗服务器🥅端资源【duān zī yuán】为目标，通过伪造超过服务器🥅处理能力的请【lì de qǐng】🧘求数据造成服🦊务器响【wù qì xiǎng】💀应阻塞【yīng zǔ sāi】，使正常【shǐ zhèng cháng】的【de】用户🏮请求得【qǐng qiú dé】不到应🍤答💓，以实现【yǐ shí xiàn】攻击目🦐的【de】。