在網絡科技時代,SOHO(Small Office Home Office)或遠程辦公(Tele-Office)作為一種新的工作和生活方式,已經慢慢地被一些公司和個人所接受。借助無所不在的網絡,很多人呆在自己的空間裡工作,這是一種更加自由也更環保的生活,SOHO一方面可以讓員工避免上下班擁擠的交通,另一方面也減少了公司昂貴的辦公室房租支出,同時也給員工更多的自由空間以激發他們的創意,所以許多大型的企業機構也開始允許和和鼓勵職員成為"SOHO族"。SOHO族們通過網絡在公司FTP服務器上傳或下載文件,通過QQ和Email與同事或領導、業務上的合作伙伴進行工作交流,通過IE浏覽器在互聯網上查找各種資料等過程中,應該注意哪些安全問題呢?作為與員工進行交流的橋梁的公司FTP服務器,管理員又該如何保障其安全呢?
今天在這裡我們主要講如何保證上傳FTP的安全,下期的內容我們將講如何保障本機的安全。
作為員工上傳和下載文件的公司FTP服務器必須與Internet相連,而且必須有一個公共的IP地址,才能方便員工正常訪問。正是這固定的IP地址,方便了成天游蕩於網絡上不甘寂寞的黑客們,他們時時刻刻在尋找攻擊的目標,哪怕這種攻擊與破壞對他們沒有絲毫的好處,但這些人仍樂此不彼,把攻擊的機器多少作為炫耀他們黑客本事高低的標准。那麼對於FTP服務器來說,可能面臨哪些種類的攻擊呢?
一、FTP服務器可能受到的攻擊 雖然Windows 操作系統類服務器,操作簡單,配置方便,但是微軟操作系統的漏洞層出不窮,如果服務器以Windows作為操作系統,管理員永遠沒有空閒的時候,要時刻關注微軟是否又發布了什麼新補丁,公布了什麼新漏洞,然後在最快的時間內打上補丁,睹上漏洞,而且網上針對Windows的黑客工具也很多,稍微懂點計算機知識的人都可以操作,所以對於稍微重要的服務器,為了保證服務器的安全,管理員都不再願意使用Windows系統了,而是采用Unix服務器。Unix操作系統的操作要比Windows操作系統要復雜得多,至少可以擋住那些只會使用Windows系統的一類人,而且它的安全性也要高得多。對unix服務器的攻擊相對來說也就難些,但是這並不代表就沒有攻擊,對於這類服務器,可能受到下面兩大類型的攻擊。
1.拒絕服務攻擊 DoS(Denial of Service,拒絕服務),是一種利用合理的服務請求占用過多的服務資源,從而使合法用戶無法得到服務響應的網絡攻擊行為。由於典型的DOS攻擊就是資源耗盡和資源過載,因此當一個對資源的合理請求大大超過資源的支付能力時,合法的訪問者將無法享用合理的服務。
遭到DOS攻擊時,會有大量服務請求發向同一台服務器的服務守護進程,這時就會產生服務過載。這些請求通過各種方式發出,而且許多都是故意的。在分時機制中,計算機需要處理這些潮水般湧來的請求,十分忙碌,以至無法處理常規任務,就會丟棄許多新請求。如果攻擊的對象是一個基於TCP協議的服務,這些請求還會被重發,進一步加重網絡的負擔。
大致說來,有以下幾種類型的攻擊:
(1)消息流
消息流經常發生在用戶向網絡中的目標主機大量發送數據包之時,消息流會造成目標主機的處理速度緩慢,難以正常處理任務。這些請求以請求文件服務、要求登錄或者要求響應的形式,不斷湧向目標主機,加重了目標主機的處理器負載,使目標主機消耗大量資源來響應這些請求。在極端的情況下,消息流可以使目標主機因沒有內存空間做緩沖或發生其他錯誤而死機。
(2)"粘住"攻擊
在Unix系統中,TCP連接通過三次握手來建立一個連接。如果攻擊者發出多個連接請求,初步建立了連接,但又沒有完成其後的連接步驟,接收者便會保留許多這種半連接,占用很多資源。通常,這些連接請求使用偽造的源地址,系統就沒有辦法去跟蹤這個連接,只有等待這個連接因為超時而釋放。
(3)SYN-Flooding攻擊
攻擊者使用偽裝地址向目標計算機盡可能多地發送請求,以達到多占用目標計算機資源的目的。當目標計算機收到這樣的請求後,就會使用系統資源來為新的連接提供服務,接著回復一個肯定答復SYN-ACK。由於SYN-ACK被返回到一個偽裝的地址,因此沒有任何響應,於是目標計算機將繼續設法發送SYN-ACK。一些系統都有缺省的回復次數和超時時間,只有回復一定的次數,或者超時時,占用的資源才會被釋放,而且每次重新發送後,等待時間翻番,最終耗盡系統資源,無法為新連接提供服務。實施這種攻擊的黑客雖然無法取得系統中的任何訪問權,但是卻可以讓服務器接受其他服務時速度變慢,甚至無法接受其他服務。
2.弱口令漏洞攻擊 由於Unix操作系統本身的漏洞很少,不容易被利用,所以黑客們要想入侵,很多都是從帳號和密碼上打主意。