我公司邮件服务器总是被攻击,应该怎么防范?
服务器被攻击了怎么办?如何避免服务器被攻击,是很多人关注的问题,常见的服务器攻击类型有3种,一种是服务器拒绝攻击,第二种是利用型攻击,第三种是信息收集型攻击,如果处理避免这三种攻击呢?
1、如何避免服务器拒绝式攻击
服务拒绝攻击企图通过使你的服务计算机崩溃或把它压跨来阻止你提供服务,服务拒绝攻击是最容易实施攻击行为,也就是突然大流量的访问,导致你的服务器,无法负荷,直至出现服务器宕机,或者带宽塞满,拖慢正常用户的访问速度,甚至让正常访问的用户无法进行访问。
关于这类型的攻击,处理方法有以下方法:
(1)购置防火墙,限定路由器最大尺寸,阻断ICMP以及任何未知的协议;
(2)即使更新服务器数据,根据数据库的形态,在防火墙做出特殊的访问限定;
(3)关掉不必要的服务器,或者协议,阻止临时大流量的访问;
(4)配置邮件服务器,自动设置一台机器不断的大量的接受统一主机的重复消息。
2、如何避免利用型攻击
利用型攻击,是一直直接尝试多种途径黑掉您的服务器,包括口令猜测,木马,达到100%的控制权,然后利用对主机的控制权,在主机里面,安装病毒软体,或者直接下载掉您的重要数据,或者利用您的主机,做一些非正常行为,例如攻击别人等等!
关于此类型的攻击,处理方法有以下几种:
(1)选用复杂口令
(2)利用防护软件保护系统,不停检查服务器更新提示,确认没有其他服务
3、信息收集型攻击,主要表现为80端口收集,ip地址扫描,木马信息植入等等,一般这种情况来说,都是恶意瞄准的,这种情况能避免的方式很多,但是要一对一做出对应措施。建议选用以下方式避免:
(1)不适用常见端口,例如8080端口等等;
(2)避免使用常见密码,数字等等,最好是大小写字母加数字;
华普在线专业从事海内外服务器租用 需要租用高防服务器可以联系华普在线-小李
当企业上了垃圾邮件黑名单
垃圾邮件降低企业员工工作生产力,然而如果因为大家要一起防堵垃圾邮件,导致自己无法正常发信给别人,原本的善心美意就变成层出不穷的灾难。
举例来说,如果企业域名不幸被列入rbl黑名单,当天公司所有员工所寄出的信件,无人敢百分之百保证一定到达收件人信箱,因为你不知道邮件在转发(Relay)过程中,有哪些邮件服务器因为你的信件来源列入黑名单而拒收。遇到这种情况,一般会建议先换邮件服务器IP地址,或找公共邮箱如qq、163、gmail等发送。由于要解除黑名单需花好几天,所有人赖以对外沟通的电子邮件,企业却不能忍受停摆一整天。
rbl黑名单杀伤力很强,经常因误拦合法信件频率过高,遭致批评。因为大部分邮件服务器软件都支持RBL,当企业拥有的邮件服务器IP或域名被列入DNS的黑名单,企业寄送的任何信件,甚至SMTP连接,都可能被视为垃圾信行为,导致收件人无法收到信件。收到垃圾信,处理起来固然令人困扰,但是收件人无法顺利接到信件,使得整个邮件系统形同停摆。你可以知道被哪些黑名单通缉,却无法得知有多少邮件服务器已经参考了这些黑名单,因此你只能回归源头,从维护RBL list的组织开始着手。
在rbl黑名单榜上有名,除了归咎于企业刻意主动发出大量信件,造成网络使用者的困扰外,被列入黑名单有时也可能是因为IT人员未注意服务器的不当配置,例如Open Relay、Open Proxy,或是遭遇电脑病毒感染、网络入侵,在不知情的情况下发出大量垃圾信所致。
如果只看邮件服务器设定不当、病毒感染或遭入侵等状况,任何行业都有可能受影响,其中网络媒体业比一般企业更容易成为被利用的目标,因知名度或提供更多类型网络服务,同时业者行销时,不一定能了解哪些用户是心甘情愿订阅的,也会导致民怨。
被列入黑名单与行业别关系不大,但电脑化、网络化程度高的企业,或提供/经营电子商务的组织,相对风险会提高。例如利用网络招募会员、进行交易、作为彼此沟通管道等。传统企业的邮件则不须过度担心,因为信件数量少,而且都寄给明确客户。
Open Relay
不限制信件转发的来源就是Open Relay。发送垃圾邮件的人能利用网际网络上这些服务器的Open Relay来传送大批的讯息,以便伪装真实的邮件来源进而隐藏自己的身分,让无辜的企业成为「免费」、「匿名」传送大量邮件的资源,增加无谓的邮件处理工作。
Open Proxy
代理服务器(Proxy Server)可透过HTTP连接任意的TCP埠,如果不限制连线来源的TCP埠或服务对象范围,可能会被滥用,例如连至邮件服务器的25埠作为中继站,建立SMTP或Telnet等服务传送特定指令,即可发出大量垃圾信,甚至攻击内部网络。
感染病虫/恶意程式
为了逃避侦测并隐藏的真实身分,有些垃圾邮件业者会藉由病毒、木马或恶意程式,在受感染的电脑内植入Spam Relay转信引擎,透过受害者电脑作为跳板,然后自动启用SMTP服务四处寄送病毒信,使电脑被列为广告信主机。
网络遭入侵盗用
有些企业的邮件服务器被骇客入侵,并设定转寄垃圾信,因此被RBL盯上。企业加装无线网络AP如缺乏适当防护,同样会造成内部电脑受入侵而作为跳板,提供新的垃圾邮件传送管道。
不肖员工
员工利用公司本身的网络资源,以寄发垃圾邮件牟利。这种方式很容易被查出真实身分,除非故意,否则多半是因为操作电脑时,不小心遭植入病毒、木马等恶意程式跳板。
发送会员电子报或eDM
如果未经收件端个人用户同意,直接发送大量不请自来的会员电子报或eDM,使用者易心生反感,视为垃圾信,并向RBL组织举报。
邻近网段
ISP固接ADSL线路用户,因为同处Class C的其他用户发垃圾信,使得RBL组织决心阻挡邻近网段,而惨遭池鱼之殃。
先前IP承租者问题
有些ISP线路用户的IP先前在其他用户租用时,即因发垃圾信被ISP停权,甚至列入rbl黑名单,用户退租后,若无人处理,IP仍名列RBL,等到日后下一个用户使用时,会发现寄出的邮件都被挡掉。
当企业知道自己的IP和网域名称被列入黑名单,假设不立即处理,随着时间累积,将会被卷入更多组织的黑名单中,因为这些组织平时就会彼此参考管理的rbl黑名单,纵使你停止寄发广告信的行为,如不去函这些组织,请他们检查你的邮件服务器环境是否合格,然后解除禁令,否则黑名单阻断邮件流通的状况将会越来越严重。
当客户或往来厂商无法收到企业所寄的邮件时,向往来单位调查无法收件的原因是首要步骤。如果起因是企业被列入垃圾邮件黑名单,相关负责人可透过黑名单提供的组织检查,并提出申请,对症下药修正对方在意的邮件管理疏失,消除黑名单入列原因,再经过对方检查过关后,请求还个清白。
你可以连上常见的黑名单收集网站,例如查询ISP或企业掌管的IP或网域名称本身是否被列入黑名单内。一般来说,假如收信端的邮件服务器采用某一组黑名单,使得信被拒收时,邮件服务器的收发记录会说明被RBL列入黑名单的IP。
全世界范围内存在大大小小数百家rbl黑名单组织,侧重和影响范围都各不一样,但作为邮箱维护者,只需要关注主流的几十家即可。通过以下两个工具可以轻松检查你的IP地址是否在各大主流rbl黑名单中:
HeloHub-黑名单检查 (查询较快)
MxToolBox-黑名单检查 (查询较慢)
修正黑名单组织要求的条件
经过查询取得对方希望修正补强的部分,然后再让他们检测。测试是免费的,你可以写一封信寄到对方一个自动回覆的电子邮件信箱,信的格式可能要包括一些他们制式规定的格式和资讯,系统就会自动检测申请IP的电脑状况。当检测通过,他们就会将IP从黑名单移除,你再从原先查询的网站重新查询,确认该IP的锁定已经解除。
捐款给RBL组织,花钱消灾
请他们帮你把企业的网域名称或IP从移掉。这些RBL组织会帮你移除,但不要求你一定要修好Open Relay的问题,假如你不想处理,或不知道该怎么修正,只要花钱就可以解决这个问题,不过日后还是会被这些RBL组织列入黑名单,充其量只能治标无法治本。假设一次捐钱给数个RBL网站,可能很快在一天内就会被移掉,但还是同样问题仍会重复发生。
请协力厂商帮忙
网络安全厂商或系统整合厂商并没有正式提供这种服务,但他们都很愿意提供建议,避免状况发生。有的厂商会依照现行服务方式处理,分别以一次性顾问或到场处理时数计费。
既然企业已经登上rbl黑名单,首先我们应该确认目前RBL已经流通至哪些RBL主机,你可以到Open RBL组织查询目前多重封锁的规模,依照每个封锁的RBL方法,逐一进行移除名单动作。你也会发现有些网站不提供移除方法,最终只有撤换IP一途。
各种rbl黑名单组织各自采取不同封锁立场和做法,例如Spamhaus提供2种黑名单,SBL分别针对垃圾邮件来源和已知垃圾邮件运作记录的发信人,XBL专攻非法用途,包括Proxy、蠕虫和木马等;而Composite Blocking List不收集Open Relay名单,站方立场不提供支援资料或证据档案,你无法询问被列入的原因。
解除封锁最简单的方法是从网页上直接解除,但大部分都需要写信通知RBL管理者。 Spamhaus的移除程序中提到,他们希望用户主动联系SBL的工作人员,解释企业解决垃圾邮件滥发的方法,如果处理完成,他们才会从SBL里移除。
各RBL组织定时发布名单,而且彼此自动同步交换,然后由各系统接收、汇入系统内,封锁、侦测或送信立即回覆等功能,这些都是由电脑产生的,不是人工处理,因此他们会要求申请者发信时遵守格式或规则,例如在申请审核的邮件主旨输入IP,系统会自动针对栏位内容侦测。
有些公司拥有百万电子报会员,却不会被黑名单组织钉上,他们的电子报/eDM派发具有几项特色:
采用最近更新的正确名单发信,寄送名单都经过验证,发信时不用旧名单寄信。假如使用旧名单,很可能这些名单也会被某些垃圾邮件防治组织当做陷阱信箱,因此被列入黑名单。
使用者意愿很重要,由他本人登记,而非透过其他管道较可靠。例如Yahoo! 、Hotmail会员,当这些网站寄广告信时,被抱怨的机率较低,因为使用者自愿登记,即使收到不相干的邮件讯息,他们能够体谅免费服务的代价,认同这属于整体服务。如订专业领域电子报,附带收到相关领域讯息,用户仍愿意接受。强化会员倾向调查,提升发报准确率,能降低用户反感。
在电子报加入退订功能,并提供中英文标示,使用户知道如何退订电子报。这套措施展现网站或电子报经营者的诚意。有些人虽然会利用退订,趁机验证与收集使用者资料。不过在国外如果电子报如不具备退订服务,或功能敷衍假造,业者或网站必然被列入rbl黑名单,法律也会强制规定。
发送电子报或eDM应尽可能分散寄信量。假如要寄给忠实会员外的其他用户,而内容介于电子报与广告信之间,不可一次寄送太多。如果分散寄送的话,比较不会到达各侦测垃圾邮件组织的临界值,降低被举发的机率。在寄送内容方面,业者应将eDM包装成更接近服务用户的需求,让使用者获益,而业者才能拥有充分的理由申诉。
发展至今,垃圾邮件过滤软硬体技术与产品日趋成熟,网络安全厂商和厂商ISP业者也纷纷投入市场,透过商业化的机制来协调仲裁,允许用户端拥有更多自订过滤等级的权利,在集中化管理与个人化的黑白名单取得平衡点。
而RBL组织也会逐渐退出对抗垃圾邮件的洪流,当初市面上有效的反垃圾邮件解决方案不足,所以才会形成这些RBL组织。 RBL在发布清单的立场经常为人诟病,而且组织本身的维运、资料库的管理相当吃力不讨好,需要社会大众捐款维系组织运作,因为目前还有人依赖这个阻挡机制,所以组织还会继续存在,RBL是一种社会自发的现象,萧朝文认为RBL并不是防治垃圾信的好方法,逐渐变成参考性做法,在很多垃圾邮件过滤软体,RBL被列为非预设选项,一些大型的垃圾邮件过滤厂商都会建立自己的RBL,反而不信任这些组织的RBL,因人力不足这些RBL组织的清单更新的频率不如专业厂商维护速度。日后企业如果被列入黑名单,侦测、联系、答辩、处理等申诉过程,透过商业机制的运作,处理速度预计比现在更有效率
公司邮件服务器是用的是 postfix 在用foxmail发送邮件的时候报下面的错误。
估计是有帐号被人当垃圾邮件发送跳板了,好好查下邮件日志排查下吧
服务器被攻击怎么处理?
目前来说解决服务器被DDOS攻击最常见的办法就是使用硬件防火墙了,也就是我们常说的高防服务器,高防服务器都会带有一定量的硬防,或大或小。
1、定期扫描
要定期扫描现有的网络主节点,清查可能存在的安全漏洞,对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽,是黑客利用的最佳位置,因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机,所以定期扫描漏洞就变得更加重要了。
2、在骨干节点配置防火墙
防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候,可以将攻击导向一些牺牲主机,这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的,或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。
3、用足够的机器承受黑客攻击
这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击,在它不断访问用户、夺取用户资源之时,自己的能量也在逐渐耗失,或许未等用户被攻死,黑客已无力支招儿了。不过此方法需要投入的资金比较多,平时大多数设备处于空闲状态,和目前中小企业网络实际运行情况不相符。
4、充分利用网络设备保护网络资源
所谓网络设备是指路由器、防火墙等负载均衡设备,它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器,但其他机器没有死。死掉的路由器经重启后会恢复正常,而且启动起来还很快,没有什么损失。若其他服务器死掉,其中的数据会丢失,而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备,这样当一台路由器被攻击死机时,另一台将马上工作。从而最大程度的削减了DdoS的攻击。
5、过滤不必要的服务和端口
过滤不必要的服务和端口,即在路由器上过滤假IP……只开放服务端口成为目前很多服务器的流行做法,例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。
6、检查访问者的来源
使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真,如果是假的,它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户,很难查出它来自何处。因此,利用Unicast Reverse Path Forwarding可减少假IP地址的出现,有助于提高网络安全性。
7、过滤所有RFC1918 IP地址
RFC1918 IP地址是内部网的IP地址,像10.0.0.0、192.168.0.0 和172.16.0.0,它们不是某个网段的固定的IP地址,而是Internet内部保留的区域性IP地址,应该把它们过滤掉。此方法并不是过滤内部员工的访问,而是将攻击时伪造的大量虚假内部IP过滤,这样也可以减轻DdoS的攻击。
8、限制SYN/ICMP流量
用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽,这样,当出现大量的超过所限定的SYN/ICMP流量时,说明不是正常的网络访问,而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法,虽然目前该方法对于DdoS效果不太明显了,不过仍然能够起到一定的作用。
遭到病毒攻击后如何反击
使用蜜罐。
把病毒与一个视频文件绑定,放在共享文件夹里,要取个好听的的名字。当黑客入侵时,黑客很有可能打开它,这样黑客就被你黑了!
蜜罐的制作方法如下:
蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对贵公司服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。
设置蜜罐并不难,只要在外部因特网上有一台计算机运行没有打上补丁的微软Windows或者Red Hat Linux即行。因为黑客可能会设陷阱,以获取计算机的日志和审查功能,你就要在计算机和因特网连接之间安置一套网络监控系统,以便悄悄记录下进出计算机的所有流量。然后只要坐下来,等待攻击者自投罗网。
不过,设置蜜罐并不是说没有风险。这是因为,大部分安全遭到危及的系统会被黑客用来攻击其它系统。这就是下游责任(downstream liability),由此引出了蜜网(honeynet)这一话题。
蜜网是指另外采用了技术的蜜罐,从而以合理方式记录下黑客的行动,同时尽量减小或排除对因特网上其它系统造成的风险。建立在反向防火墙后面的蜜罐就是一个例子。防火墙的目的不是防止入站连接,而是防止蜜罐建立出站连接。不过,虽然这种方法使蜜罐不会破坏其它系统,但同时很容易被黑客发现。
数据收集是设置蜜罐的另一项技术挑战。蜜罐监控者只要记录下进出系统的每个数据包,就能够对黑客的所作所为一清二楚。蜜罐本身上面的日志文件也是很好的数据来源。但日志文件很容易被攻击者删除,所以通常的办法就是让蜜罐向在同一网络上但防御机制较完善的远程系统日志服务器发送日志备份。(务必同时监控日志服务器。如果攻击者用新手法闯入了服务器,那么蜜罐无疑会证明其价值。)
近年来,由于黑帽子群体越来越多地使用加密技术,数据收集任务的难度大大增强。如今,他们接受了众多计算机安全专业人士的建议,改而采用SSH等密码协议,确保网络监控对自己的通讯无能为力。蜜网对付密码的计算就是修改目标计算机的操作系统,以便所有敲入的字符、传输的文件及其它信息都记录到另一个监控系统的日志里面。因为攻击者可能会发现这类日志,蜜网计划采用了一种隐蔽技术。譬如说,把敲入字符隐藏到NetBIOS广播数据包里面。
蜜罐技术的优势
蜜罐系统的优点之一就是它们大大减少了所要分析的数据。对于通常的网站或邮件服务器,攻击流量通常会被合法流量所淹没。而蜜罐进出的数据大部分是攻击流量。因而,浏览数据、查明攻击者的实际行为也就容易多了。
自1999年启动以来,蜜网计划已经收集到了大量信息,你可以在上找到。部分发现结果包括:攻击率在过去一年增加了一倍;攻击者越来越多地使用能够堵住漏洞的自动点击工具(如果发现新漏洞,工具很容易更新);尽管虚张声势,但很少有黑客采用新的攻击手法。
蜜罐主要是一种研究工具,但同样有着真正的商业应用。把蜜罐设置在与公司的Web或邮件服务器相邻的IP地址上,你就可以了解它所遭受到的攻击。
当然,蜜罐和蜜网不是什么“射后不理”(fire and forget)的安全设备。据蜜网计划声称,要真正弄清楚攻击者在短短30分钟内造成的破坏,通常需要分析30到40个小时。系统还需要认真维护及测试。有了蜜罐,你要不断与黑客斗智斗勇。可以这么说:你选择的是战场,而对手选择的是较量时机。因而,你必须时时保持警惕。
蜜罐领域最让人兴奋的发展成果之一就是出现了虚拟蜜网。虚拟计算机网络运行在使用VMware或User-Mode Linux等虚拟计算机系统的单一机器之上。虚拟系统使你可以在单一主机系统上运行几台虚拟计算机(通常是4到10台)。虚拟蜜网大大降低了成本、机器占用空间以及管理蜜罐的难度。此外,虚拟系统通常支持“悬挂”和“恢复”功能,这样你就可以冻结安全受危及的计算机,分析攻击方法,然后打开TCP/IP连接及系统上面的其它服务。
对大组织的首席安全官(CSO)来说,运行蜜网最充分的理由之一就是可以发现内部不怀好意的人。
蜜罐技术的法律问题
出乎意料的是,监控蜜罐也要承担相应的法律后果,譬如说,有可能违反《反窃听法》。虽然目前没有判例法,但熟悉这方面法律的人士大多数认为,双方同意的标语是出路所在。也就是说,给每个蜜罐打上这样的标语:“使用该系统的任何人同意自己的行为受到监控,并透露给其他人,包括执法人员。”
蜜罐技术解析
一、从影片特技到蜜罐技术
《特洛伊》里庞大的希腊舰队、《终结者2》里随意改变形体的“液体金属”、《侏罗纪公园》里满地乱跑的恐龙们、《黑客帝国》里的“子弹时间”……随着计算机技术的不断发展,越来越多的电脑特技被应用在电影领域,不需要工资的虚拟演员不知辛劳地日夜工作,这些电脑技术使得导演可以构思现实中不可能存在的情节环境,也减少了影片开支。但是,在计算机的信息安全领域里,网络管理员要面对的是黑客真枪实干的入侵破坏,难道在电脑技术大量应用的今天,安全领域却得不到一点援助?答案是有的,它就是在安全领域里代替网络管理员上阵的“虚拟演员”——蜜罐技术。
蜜罐,或称Honeypot,与应用于电影的特技相比,它并不神秘——所谓蜜罐,就是一台不作任何安全防范措施而且连接网络的计算机,但是与一般计算机不同,它内部运行着多种多样的数据记录程序和特殊用途的“自我暴露程序”——要诱惑贪嘴的黑熊上钩,蜂蜜自然是不可少的。在入侵者的角度来看,入侵到蜜罐会使他们的心情大起大落——从一开始偷着乐骂管理员傻帽到最后明白自己被傻帽当成猴子耍的过程。
二、为什么要使用蜜罐
《终结者2》里阿诺让约翰把自己放入熔炉,《特洛伊》里Achilles被王子射杀,战争片里的机枪扫射,甚至《黑衣人》里外星人发射的核弹毁灭了北极!如果这一切是真实的话,我们的明星已经成为墙上的照片了,拍一部片要死多少人?况且,我们只有一个地球,值得为了一部影片炸掉某个地区?所以人们必须采用电脑特技完成这些不能真实发生的剧情。同样,管理员也不会为了记录入侵情况而让入侵者肆意进入服务器搞破坏,所以蜜罐出现了。
前面说过了,蜜罐是一台存在多种漏洞的计算机,而且管理员清楚它身上有多少个漏洞,这就像狙击手为了试探敌方狙击手的实力而用枪支撑起的钢盔,蜜罐被入侵而记录下入侵者的一举一动,是为了管理员能更好的分析广大入侵者都喜欢往哪个洞里钻,今后才能加强防御。
另一方面是因为防火墙的局限性和脆弱性,因为防火墙必须建立在基于已知危险的规则体系上进行防御,如果入侵者发动新形式的攻击,防火墙没有相对应的规则去处理,这个防火墙就形同虚设了,防火墙保护的系统也会遭到破坏,因此技术员需要蜜罐来记录入侵者的行动和入侵数据,必要时给防火墙添加新规则或者手工防御。
三、深入蜜罐
既然使用蜜罐能有那么多好处,那么大家都在自己家里做个蜜罐,岂不是能最大程度防范黑客?有这个想法的读者请就此打住!蜜罐虽然在一定程度上能帮管理员解决分析问题,但它并不是防火墙,相反地,它是个危险的入侵记录系统。蜜罐被狡猾的入侵者反利用来攻击别人的例子也屡见不鲜,只要管理员在某个设置上出现错误,蜜罐就成了打狗的肉包子。而一般的家庭用户电脑水平不可能达到专业水平,让他们做蜜罐反而会引火烧身——蜜罐看似简单,实际却很复杂。虽然蜜罐要做好随时牺牲的准备,可是如果它到最后都没能记录到入侵数据,那么这台蜜罐根本就是纯粹等着挨宰的肉鸡了,蜜罐就复杂在此,它自身需要提供让入侵者乐意停留的漏洞,又要确保后台记录能正常而且隐蔽的运行,这些都需要专业技术,如果蜜罐能随便做出来,我们在家里也能拍摄《黑客帝国》了——故意开着漏洞却没有完善的记录处理环境的服务器不能称为蜜罐,它只能是肉鸡。
所以,我们必须了解蜜罐,它到底是什么样的?
1.蜜罐的定义
首先我们要弄清楚一台蜜罐和一台没有任何防范措施的计算机的区别,虽然这两者都有可能被入侵破坏,但是本质却完全不同,蜜罐是网络管理员经过周密布置而设下的“黑匣子”,看似漏洞百出却尽在掌握之中,它收集的入侵数据十分有价值;而后者,根本就是送给入侵者的礼物,即使被入侵也不一定查得到痕迹……因此,蜜罐的定义是:“蜜罐是一个安全资源,它的价值在于被探测、攻击和损害。”
设计蜜罐的初衷就是让黑客入侵,借此收集证据,同时隐藏真实的服务器地址,因此我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。另外一个功能由管理员去完成,那就是在必要时候根据蜜罐收集的证据来起诉入侵者。
2.涉及的法律问题
蜜罐是用来给黑客入侵的,它必须提供一定的漏洞,但是我们也知道,很多漏洞都属于“高危”级别,稍有不慎就会导致系统被渗透,一旦蜜罐被破坏,入侵者要做的事情是管理员无法预料的,例如,一个入侵者成功进入了一台蜜罐,并且用它做“跳板”(指入侵者远程控制一台或多台被入侵的计算机对别的计算机进行入侵行为)去攻击别人,那么这个损失由谁来负责?设置一台蜜罐必须面对三个问题:设陷技术、隐私、责任。
设陷技术关系到设置这台蜜罐的管理员的技术,一台设置不周全或者隐蔽性不够的蜜罐会被入侵者轻易识破或者破坏,由此导致的后果将十分严重。
由于蜜罐属于记录设备,所以它有可能会牵涉到隐私权问题,如果一个企业的管理员恶意设计一台蜜罐用于收集公司员工的活动数据,或者偷偷拦截记录公司网络通讯信息,这样的蜜罐就已经涉及法律问题了。
对于管理员而言,最倒霉的事情就是蜜罐被入侵者成功破坏了。有人也许会认为,既然蜜罐是故意设计来“牺牲”的,那么它被破坏当然合情合理,用不着小题大做吧。对,蜜罐的确是用来“受虐”的,但是它同时也是一台连接网络的计算机,如果你做的一台蜜罐被入侵者攻破并“借”来对某大学服务器进行攻击,因此引发的损失恐怕只能由你来承担了。还有一些责任是谁也说不清的,例如,你做的一台蜜罐不幸引来了Slammer、Sasser、Blaster等大名鼎鼎的“爬虫类”病毒而成了传播源之一,那么这个责任谁来负担?
3.蜜罐的类型
世界上不会有非常全面的事物,蜜罐也一样。根据管理员的需要,蜜罐的系统和漏洞设置要求也不尽相同,蜜罐是有针对性的,而不是盲目设置来无聊的,因此,就产生了多种多样的蜜罐……
3.1.实系统蜜罐
实系统蜜罐是最真实的蜜罐,它运行着真实的系统,并且带着真实可入侵的漏洞,属于最危险的漏洞,但是它记录下的入侵信息往往是最真实的。这种蜜罐安装的系统一般都是最初的,没有任何SP补丁,或者打了低版本SP补丁,根据管理员需要,也可能补上了一些漏洞,只要值得研究的漏洞还存在即可。然后把蜜罐连接上网络,根据目前的网络扫描频繁度来看,这样的蜜罐很快就能吸引到目标并接受攻击,系统运行着的记录程序会记下入侵者的一举一动,但同时它也是最危险的,因为入侵者每一个入侵都会引起系统真实的反应,例如被溢出、渗透、夺取权限等。
3.2.伪系统蜜罐
什么叫伪系统呢?不要误解成“假的系统”,它也是建立在真实系统基础上的,但是它最大的特点就是“平台与漏洞非对称性”。
大家应该都知道,世界上操作系统不是只有Windows一家而已,在这个领域,还有Linux、Unix、OS2、BeOS等,它们的核心不同,因此会产生的漏洞缺陷也就不尽相同,简单的说,就是很少有能同时攻击几种系统的漏洞代码,也许你用LSASS溢出漏洞能拿到Windows的权限,但是用同样的手法去溢出Linux只能徒劳。根据这种特性,就产生了“伪系统蜜罐”,它利用一些工具程序强大的模仿能力,伪造出不属于自己平台的“漏洞”,入侵这样的“漏洞”,只能是在一个程序框架里打转,即使成功“渗透”,也仍然是程序制造的梦境——系统本来就没有让这种漏洞成立的条件,谈何“渗透”?实现一个“伪系统”并不困难,Windows平台下的一些虚拟机程序、Linux自身的脚本功能加上第三方工具就能轻松实现,甚至在Linux/Unix下还能实时由管理员产生一些根本不存在的“漏洞”,让入侵者自以为得逞的在里面瞎忙。实现跟踪记录也很容易,只要在后台开着相应的记录程序即可。
这种蜜罐的好处在于,它可以最大程度防止被入侵者破坏,也能模拟不存在的漏洞,甚至可以让一些Windows蠕虫攻击Linux——只要你模拟出符合条件的Windows特征!但是它也存在坏处,因为一个聪明的入侵者只要经过几个回合就会识破伪装,另者,编写脚本不是很简便的事情,除非那个管理员很有耐心或者十分悠闲。
4.使用你的蜜罐
既然蜜罐不是随随便便做来玩的,管理员自然就不会做个蜜罐然后让它赋闲在家,那么蜜罐做来到底怎么用呢?
4.1.迷惑入侵者,保护服务器
一般的客户/服务器模式里,浏览者是直接与网站服务器连接的,换句话说,整个网站服务器都暴露在入侵者面前,如果服务器安全措施不够,那么整个网站数据都有可能被入侵者轻易毁灭。但是如果在客户/服务器模式里嵌入蜜罐,让蜜罐作为服务器角色,真正的网站服务器作为一个内部网络在蜜罐上做网络端口映射,这样可以把网站的安全系数提高,入侵者即使渗透了位于外部的“服务器”,他也得不到任何有价值的资料,因为他入侵的是蜜罐而已。虽然入侵者可以在蜜罐的基础上跳进内部网络,但那要比直接攻下一台外部服务器复杂得多,许多水平不足的入侵者只能望而却步。蜜罐也许会被破坏,可是不要忘记了,蜜罐本来就是被破坏的角色。
在这种用途上,蜜罐不能再设计得漏洞百出了。蜜罐既然成了内部服务器的保护层,就必须要求它自身足够坚固,否则,整个网站都要拱手送人了。
4.2.抵御入侵者,加固服务器
入侵与防范一直都是热点问题,而在其间插入一个蜜罐环节将会使防范变得有趣,这台蜜罐被设置得与内部网络服务器一样,当一个入侵者费尽力气入侵了这台蜜罐的时候,管理员已经收集到足够的攻击数据来加固真实的服务器。
采用这个策略去布置蜜罐,需要管理员配合监视,否则入侵者攻破了第一台,就有第二台接着承受攻击了……
4.3.诱捕网络罪犯
这是一个相当有趣的应用,当管理员发现一个普通的客户/服务器模式网站服务器已经牺牲成肉鸡的时候,如果技术能力允许,管理员会迅速修复服务器。那么下次呢?既然入侵者已经确信自己把该服务器做成了肉鸡,他下次必然还会来查看战果,难道就这样任由他放肆?一些企业的管理员不会罢休,他们会设置一个蜜罐模拟出已经被入侵的状态,做起了姜太公。同样,一些企业为了查找恶意入侵者,也会故意设置一些有不明显漏洞的蜜罐,让入侵者在不起疑心的情况下乖乖被记录下一切行动证据,有些人把此戏称为“监狱机”,通过与电信局的配合,可以轻易揪出IP源头的那双黑手。
四、结语
随着网络入侵类型的多样化发展,蜜罐也必须进行多样化的演绎,否则它有一天将无法面对入侵者的肆虐。这也对网络管理员的技术能力有了更高的要求,因为蜜罐——这个活跃在安全领域的虚拟演员,它的一举一动,都是通过你来设计的,我们无法让蜜罐像T-X那样变化无常,但是,至少要防止我们设计的阿诺再次被T-X踏断脖子注入反叛指令。
回答补充:防火墙是不能还击的。
什么是跳板机
如果控制机与受害机直接相连,设想,如果这时受害机已经查出是是哪一台机子发出的Dos时,就会把黑客自己的身份暴露。那如果在受害机察觉以前把控制机的“脚印”全部删除不就可以了?如果你只想攻击受害机一次,那么有无跳板机都可,但如果你想多次攻击受害机,那么你每次都要把自己控制机上的“脚印”删除的干净(包括相关的原代码),这样当你下次要想再攻击受害机时,等于是要重新再建立攻击过程。如果中间有一个跳板机,那么你只需要如在跳板机上的“脚印”删除即可,这样受害机当查到跳板机时,线索就断开了。所以有一个跳板机的作用会使黑客自己本身更加安全。通常DOS攻击是作为入侵者入侵他人系统的一种方法,很少单独使用。入侵的思路就是:目标机发送大量无用的数据,使目标机疲于对付这些无用数据,而造成系统的迟钝缓慢,这就犹如“一心不能两用”一样,这样,入侵者就可以在潮水般的攻击中混骗过入侵检测系统。入侵的方法由以下几种:1、SYN 洪水攻击 利用服务器的连接缓冲区(Backlog Queue),利用特殊的程序,设置TCP的Header,向服务器端不断地成倍发送只有SYN标志的TCP连接请求。当服务器接收的时候,都认为是没有建立起来的连接请求,于是为这些请求建立会话,排到缓冲区队列中。 如果你的SYN请求超过了服务器能容纳的限度,缓冲区队列满,那么服务器就不再接收新的请求了。其他合法用户的连接都被拒绝掉。可以持续你的SYN请求发送,直到缓冲区中都是你的只有SYN标记的请求。 这种方法的好处就在于,不用事先去探测别人的IP,直截了当的去占领缓冲区,方法比较简单,但是由于利用的是自己的IP,所以身份比较容易暴露,在使用这种攻击思路时,对自己的主机的隐蔽性一定要做好,最简单的方法就是多使用几台傀儡机,但是在入侵后,对傀儡机的痕迹清扫也随之变得复杂而麻锁。2、IP欺骗DOS攻击 这种攻击利用RST位来实现。假设现在有一个合法用户(1.1.1.1)已经同服务器建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为1.1.1.1,并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后,认为从1.1.1.1发送的连接有错误,就会清空缓冲区中建立好的连接。这时,如果合法用户1.1.1.1再发送合法数据,服务器就已经没有这样的连接了,该用户就必须从新开始建立连接。攻击时,伪造大量的IP地址,向目标发送RST数据,使服务器不对合法用户服务。这种方法的好像就是不易被主机发现,但是缺点就在于要事先知道该主机的一个合法用户的IP地址,有时还要知道IP地址对应的端口号。而在大部分的合法客户的IP地址都是随机的,所以如果每次都想用同一个用户的IP很难做到,所以每次都要进行IP合法用户探询。 3、 带宽DOS攻击 如果你的连接带宽足够大而服务器又不是很大,你可以发送请求,来消耗服务器的缓冲区消耗服务器的带宽。这种攻击就是人多力量大了,配合上SYN一起实施DOS,威力巨大。 这种方法是比较初级DOS攻击,显然并不试用于攻击大型的服务器。随着宽带的不断提高,与计算机的越来越好,使得计算机有足够的能力来对付这种攻击,这种方法已经开始不试用了。4、自身消耗的DOS攻击 这种DOS攻击就是把请求客户端IP和端口弄成主机的IP端口相同,发送给主机。使得主机给自己发送TCP请求和连接。这种主机的漏洞会很快把资源消耗光。直接导致死机。这中伪装对一些身份认证系统还是威胁巨大的。这种攻击的方式,它的伪装比较好,俗话说“最危险的地方就是最安全的地方”,也正是因为入侵者利用的服务机自身的IP,使得服务器自身很难找到入侵者是谁,这种攻击的方法最终都是因为“死锁”而造成死机的。上面这些实施DOS攻击的手段最主要的就是构造需要的TCP数据,充分利用TCP协议。这些攻击方法都是建立在TCP基础上的。还有其他的DOS攻击手段。 5、塞满服务器的硬盘 通常,如果服务器可以没有限制地执行写操作,那么都能成为塞满硬盘造成DOS攻击的途径,比如: 发送垃圾邮件。一般公司的服务器可能把邮件服务器和WEB服务器都放在一起。破坏者可以发送大量的垃圾邮件,这些邮件可能都塞在一个邮件队列中或者就是坏邮件队列中,直到邮箱被撑破或者把硬盘塞满。 让日志记录满。入侵者可以构造大量的错误信息发送出来,服务器记录这些错误,可能就造成日志文件非常庞大,甚至会塞满硬盘。同时会让管理员痛苦地面对大量的日志,甚至就不能发现入侵者真正的入侵途径。 向匿名FTP塞垃圾文件。这样也可以塞满硬盘空间。总之,拒绝服务一般都是通过过载而导致服务器死机的,而过载一般是因为请求到达了极限。TCP是一种面向连接的协议,所以它采用了多种服务机制来保证连接的可靠性,如:流量控制、拥塞控制,一旦出现数据流量过大所产生的拥塞就会使服务器拒绝客户提出的连接请求。正是因为TCP的这种拒绝机制,给Dos有了可乘之机。试想,如果有客户大量的向服务器扔送无用的数据报文段,使服务器因为数据流的过多,而拒绝了超过了它上限值的以外的数据。从而导致其它真正的想使用服务器的客户被拒之门外,就会造成不必要的浪费。这也就是Dos的核心内容了。步骤A:首先,攻击者利用自己的控制机找到一个跳板机,向跳板机发出受害机的命令参数。至于发了哪些命令参数将在Dos的编辑过程做解释。步骤B:跳板机收到控制机的命令后,向受害机大量发送无用数据报文段,使得受害机疲于应付那些无数数据
0条大神的评论