亚洲成精品动漫久久精久,九九在线精品视频播放,黄色成人免费观看,三级成人影院,久碰久,四虎成人欧美精品在永久在线

掃一掃
關(guān)注微信公眾號(hào)

Solaris安全加強(qiáng)
2007-10-08   網(wǎng)絡(luò)

本文首先介紹Solaris的基本安全設(shè)置。

1.物理安全

首先要進(jìn)行Solaris的OpenBoot安全設(shè)置。

通過(guò)OpenBoot,幾乎可以從任何連接SCSI設(shè)備上引導(dǎo)。也可以修改OpenBoot變量,而這些影響到整個(gè)Unix的引導(dǎo)。

OpenBoot的三種安全級(jí)別如下:

(1)None:可以執(zhí)行任何命令。

(2)Command:除boot和go之外的命令執(zhí)行需要口令,可以從默認(rèn)設(shè)備上引導(dǎo)。

(3)Full:除go之外的命令執(zhí)行需要口令。

注意在full模式下,如果遺忘了OpenBoot口令,只有用root登錄后用eeprom才能修改口令。

如果root口令也遺忘了,只能更換EPROM了。

推薦至少將OpenBoot設(shè)為Command模式。在嚴(yán)格限制安全條件時(shí)規(guī)定Full模式,但在這時(shí)需要牢記OpenBoot口令,否則會(huì)造成很大的麻煩。

2.文件系統(tǒng)安全

(1)文件和目錄的權(quán)限。

UNIX系統(tǒng)中的文件權(quán)限,是指對(duì)文件(或者目錄)的訪問(wèn)權(quán)限,包括對(duì)文件和目錄的讀、寫(xiě)和執(zhí)行。我們要注意這三種權(quán)限在文件與目錄上的不同作用。

請(qǐng)檢查自己的Solads服務(wù)器的下列文件權(quán)限是否正確:

●/etc下的所有文件:/etc中的文件不需要可寫(xiě),應(yīng)設(shè)為只讀,chmodg-w/etc/*。

●/etc/inetd.conf:所有者為root,訪問(wèn)權(quán)限是可讀寫(xiě)。其他用戶無(wú)任何權(quán)限。

●/etc/services:確保文件所有者是root,可讀寫(xiě)。其他人可讀。

對(duì)于root用戶新創(chuàng)建的文件與目錄,注意在沒(méi)有必要的情況下,一定要使任何一個(gè)用戶沒(méi)有訪問(wèn)的權(quán)限。超級(jí)用戶的權(quán)限最好設(shè)置為077。如果某些文件或者目錄需要被別人訪問(wèn),生成后再修改權(quán)限就行了。麻煩一點(diǎn)總比被攻擊好。

(2)SetUID與SetGID權(quán)限。

在Solaris中,文件除了讀、寫(xiě)和執(zhí)行權(quán)限外,還有一些特殊權(quán)限,SetUID和SetGID是其中的一類。它與Solaris系統(tǒng)的安全關(guān)系緊密。SetUID是指設(shè)置程序的有效的執(zhí)行用戶身份(UID)為該文件的主人,而不是調(diào)用該程序的進(jìn)程的uid。SetGID與之類似。SetUID和 SetGID存在于主人和屬組的執(zhí)行權(quán)限的位置上。

這種權(quán)限怎么用?舉個(gè)例子來(lái)說(shuō),假如某一命令(程序)的主人是root用戶,并且該文件有SetUID屬性,但是該文件的讀、寫(xiě)、執(zhí)行權(quán)限的屬性表明普通用戶userl可以執(zhí)行該命令,那么就表示:當(dāng)userl執(zhí)行該命令時(shí),他具有root的執(zhí)行身份,并獲得相應(yīng)的權(quán)限。一旦該命令執(zhí)行完成,root身份也隨之消失。

有些文件是不能有SetUID權(quán)限的,比如cat、mole、vi、tail等可以起顯示和編輯作用的命令。如果有的話會(huì)產(chǎn)生什么效果?就會(huì)讓普通用戶看到他本不應(yīng)該看到的文件,如/etc/shadow,這里存放著所有用戶加密后的口令,一旦黑客得到root的口令加密串,然后利用一臺(tái)性能好的計(jì)算機(jī)可以在幾天時(shí)間內(nèi)就把root口令算出來(lái),從而非法提升權(quán)限。

如果/Bin/ksh這樣的外殼程序有SetUID權(quán)限就更不得了,普通用戶執(zhí)行后就馬上成為超級(jí)用戶了。

(3)查找特定權(quán)限的文件。

在黑客攻擊了系統(tǒng)之后,往往會(huì)修改一些文件與目錄的屬性,來(lái)達(dá)到留后門(mén)和其他的目的,我們可以通過(guò)下列的手段來(lái)找出這些文件,消除隱患。

在當(dāng)前目錄及其子目錄查找所有的SetUID文件:

#find/ -perm -4000 -prin

在當(dāng)前目錄及其子目錄查找SetGID的文件:

#find/ -perm -2000 -print

在當(dāng)前目錄及其子目錄查找所有用戶都可寫(xiě)的文件:

#find/ -perm -O+W -print

查找屬于某個(gè)用戶的文件,這在確定一個(gè)賬戶被非法使用后是很有用的:

#find/ -user xyd -print

使用這個(gè)命令可以列出系統(tǒng)中所有屬主是用戶xyd的文件。

(4)賬號(hào)與密碼。

黑客要非法地訪問(wèn)一臺(tái)計(jì)算機(jī),最簡(jiǎn)單的辦法是盜取一個(gè)合法的賬號(hào),這樣就可以令人不易察覺(jué)地使用系統(tǒng)。在Solaris系統(tǒng)中默認(rèn)有不少賬號(hào)安裝,也會(huì)建立新的個(gè)人用戶賬號(hào),系統(tǒng)管理員應(yīng)對(duì)所有的賬號(hào)進(jìn)行安全保護(hù),而不能只防護(hù)那些重要的賬號(hào),如root。

無(wú)用和長(zhǎng)期不用的賬號(hào)對(duì)系統(tǒng)來(lái)說(shuō)是一種負(fù)擔(dān),也容易為黑客提供入侵的途徑。為了整體的安全,應(yīng)關(guān)閉這些賬號(hào),直接在/etc/passwd和/etc/group中把相應(yīng)的行注釋掉就可以了。在默認(rèn)設(shè)置下,系統(tǒng)中有這些用戶與組需要關(guān)閉:

需要關(guān)閉的用戶:

daemon、bin、sys、adm、lp、uucp、nuucp、listen、nobody、nobody4、noaccess。

需要關(guān)閉的組:

sysadmin(14)、sys(3)。

在Solaris中可以使用/etc/default/passwd文件來(lái)保護(hù)賬號(hào)的安全,下面給出了一些推薦值:

●MINWEEKS=1    #最短改變口令時(shí)間為1周之后;

●MAXWEEKS=4    #最長(zhǎng)改變口令時(shí)間為4周之內(nèi);

●WARNWEEKS=3   #3周的時(shí)間給出密碼過(guò)時(shí)警告:

●PASSLENGTH=6  #最短口令長(zhǎng)度為6。

密碼的設(shè)置應(yīng)按照一定的規(guī)則。在Solaris系統(tǒng)中,為了強(qiáng)制用戶使用合格的口令,用戶修改口令時(shí)默認(rèn)要求必須最少有6個(gè)字符,而且至少包括一個(gè)數(shù)字或者特殊字符。不過(guò)要注意在以root的身份進(jìn)行密碼修改時(shí)是不受這個(gè)限制的。

下面是在進(jìn)行密碼設(shè)置時(shí)推薦的一些注意事項(xiàng):

●密碼至少應(yīng)有6個(gè)字符(在/etc/default/passwd中定義);

●密碼至少應(yīng)該包含2個(gè)英文字母及一個(gè)數(shù)字或特殊符號(hào);

●密碼應(yīng)與用戶名完全不同,且不能使用原有名稱的變化(如反序、位移等,因?yàn)橄到y(tǒng)在做比較時(shí)忽略大小寫(xiě));

●新舊密碼至少有3個(gè)字符不相同(因?yàn)橄到y(tǒng)在做比較時(shí)忽略大小寫(xiě))。

(5)用passwd命令設(shè)置賬號(hào)。

利用passwd命令,除了可以修改口令外,還可以進(jìn)行一些口令方面的參數(shù)設(shè)置:

●-s:列出口令的參數(shù);

●-1:root鎖定一個(gè)用戶;

●-d:root刪除一個(gè)用戶的口令;

●-n:root設(shè)置一個(gè)用戶的最短修改密碼時(shí)間;

●-x:root設(shè)置一個(gè)用戶的最長(zhǎng)修改密碼時(shí)間;

●-w:root設(shè)置一個(gè)用戶的修改密碼警告時(shí)間。

(6)設(shè)置賬號(hào)組信息。

在Solaris中,用戶在/etc,passwd文件中規(guī)定的組是主組,他還可以同時(shí)屬于其他組。這個(gè)屬性在/etc/group中可以查到。下面是有關(guān)用戶組的一些命令:

●newgrp:切換成新的用戶組;

●groups:顯示所屬的用戶組;

●id:顯示用戶的身份,包括UID、GID、用戶組等信息。

(7)su命令。

切換用戶的命令su可以使一個(gè)用戶切換為另一個(gè)用戶而不必退出。在使用時(shí),系統(tǒng)會(huì)提示輸入將要切換為的用戶密碼。按“Ctrl”+D或exit返回。

可以使用/etc/default/su文件管理su的參數(shù):

●SULOG=/var/adm/sulog#10g文件記錄:

●PATH=/usr/bin:#新用戶默認(rèn)PATH:

●SUPATH=/usr/sbin:/usr/bin;

●SYSLOG=YES#記錄log。

如果可能的話,使用sudo代替su命令,這樣可以減少特權(quán)命令被濫用的情況。

3.root賬號(hào)的安全

root賬號(hào)是黑客攻擊的最終目標(biāo),有了root賬號(hào),黑客可以不受限制地訪問(wèn)系統(tǒng)中的所有文件和資源,也可以成為任何一個(gè)用戶。

在/etc/default/login中添加Console=/dev/console即可限制root只能在控制臺(tái)上直接登錄。

4.cron安全

系統(tǒng)中,在很多時(shí)候都需要不斷重復(fù)一些命令,例如某公司每周一自動(dòng)向員工報(bào)告上一周公司的活動(dòng)情況,這時(shí)就需要使用cron命令來(lái)完成任務(wù)。cron常有的安全問(wèn)題有:

(1)沒(méi)有充分屏蔽cron運(yùn)行的程序。root用戶的cron中運(yùn)行的腳本和程序不應(yīng)被其他用戶讀到,更不能被修改。

(2)cron的PATH不安全。存在不安全和不確定的PATH。在/etc/default/cron中和程序本身的PATH都不應(yīng)該有不安全的PATH,這會(huì)導(dǎo)致黑客在這些PATH中添加自己的程序,與cron所要執(zhí)行的命令名稱相同;同樣地,如果cron的PATH中存在著”~”、“.”等不確定的PATH,也可以為類似的攻擊手段留下可能。要檢查crontab,不使其中留下這樣的路徑。

(3)用戶的crontab放在其他用戶可以看到的目錄。這會(huì)使其他用戶查看并分析這些 cron的條目,進(jìn)行對(duì)相應(yīng)漏洞的攻擊。

(4)cron.a(chǎn)llow與cron.deny。在進(jìn)行cron設(shè)置的時(shí)候,應(yīng)該使用root權(quán)限對(duì)/etc/cr- on.d/cron.a(chǎn)llow/etc/cron.d/cron.deny進(jìn)行限制,允許和禁止相應(yīng)的用戶使用crontab命令。

5.文件與進(jìn)程檢查工具fuser與lsof

fuser是系統(tǒng)中自帶的命令,它可以查找出哪個(gè)進(jìn)程在使用文件。它可以用來(lái)在刪除或者重命名文件之前檢查是否有某個(gè)進(jìn)程打開(kāi)了這個(gè)文件,并且在不能卸載一個(gè)文件系統(tǒng)的時(shí)候,作為查找故障的工具查看是哪些進(jìn)程打開(kāi)了這個(gè)文件。

fuser的模式:

進(jìn)程的當(dāng)前工作目錄;

進(jìn)程的根目錄(裝入點(diǎn)目錄);

打開(kāi)的普通文件;

內(nèi)存映射文件;

程序的代碼;

程序的控制終端;

lsof列出系統(tǒng)中所有打開(kāi)的文件及其被哪些進(jìn)程所打開(kāi),由此查出被可疑進(jìn)程打開(kāi)的文件。

lsof可以列出UNIX系統(tǒng)中的所有打開(kāi)的文件,并且顯示它們是被哪些進(jìn)程打開(kāi)的。這個(gè)工具可以用來(lái)幫助確定黑客或者他們的進(jìn)程是否在讀寫(xiě)他們本不應(yīng)該訪問(wèn)的文件。使用“l(fā)sof”命令管理員可以查看進(jìn)程、進(jìn)程UID(包括sniffer、IRC、login shell)、網(wǎng)絡(luò)連接和所有當(dāng)前被打開(kāi)的文件(如顯示sniffer的log文件、工作目錄等信息)。

6.安全檢查工具COPS

COPS是一個(gè)安全性的軟件包,它可以在系統(tǒng)上檢查一些已知的缺陷,并且向系統(tǒng)管理員報(bào)告這些缺陷。COPS包含如下這樣一些在系統(tǒng)中檢查已知缺陷的工具包:

●dir.chk、file.chk:掃描所有用戶可寫(xiě)的系統(tǒng)文件和目錄;

●dev.chk:掃描系統(tǒng)設(shè)備目錄;

●home.chk、user.chk:檢查所有用戶可寫(xiě)的用戶主目錄;

●root.chk:掃描所有用戶可寫(xiě)的root的登錄文件、路徑、umask和hosts.equiv;

●suid.chk:掃描系統(tǒng)中的新的SetUID程序;

在使用COPS時(shí),最好是定期運(yùn)行它。至少一周運(yùn)行一次,在重要的服務(wù)器和經(jīng)常改變配置的服務(wù)器上最好每天都運(yùn)行它,甚至每天運(yùn)行兩次。COPS可以檢查到兩次運(yùn)行之間文件和目錄權(quán)限發(fā)生的變化。了解到這些變化以后,系統(tǒng)管理員就可以有的放矢地找出漏洞。

7.安全檢查工具,Tiger

類似于COPS,Tiger也是一個(gè)系統(tǒng)安全性的檢查工具。它可以檢查系統(tǒng)內(nèi)一些已經(jīng)存在的漏洞并向系統(tǒng)管理員報(bào)告。它使用時(shí)比較簡(jiǎn)單,只要解壓縮包后運(yùn)行就可以了。

下面介紹Solaris的網(wǎng)絡(luò)安全設(shè)置。

UNIX系統(tǒng)的網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)接口是用來(lái)與其他計(jì)算機(jī)進(jìn)行通信,訪問(wèn)網(wǎng)絡(luò)的途徑。如果對(duì)網(wǎng)絡(luò)服務(wù)與接口的配置不當(dāng),會(huì)造成系統(tǒng)的安全性受到損害。

UNIX系統(tǒng)在安裝時(shí)會(huì)激活所有的網(wǎng)絡(luò)服務(wù)(如Telnet、FTP、rlogin等),并處在隨時(shí)可以運(yùn)行的狀態(tài)。每一個(gè)開(kāi)放的網(wǎng)絡(luò)服務(wù)就像一扇開(kāi)著的門(mén),為黑客提供了攻擊的可能。在進(jìn)行網(wǎng)絡(luò)安全設(shè)置的時(shí)候,有一個(gè)原則就是禁用不需要的服務(wù)。在系統(tǒng)不需要Telnet時(shí)(可以用ssh來(lái)進(jìn)行遠(yuǎn)程管理)禁止它,如果不需要其他rlogin或rsh等服務(wù),也禁止它。

8.停止/etc中不必要的服務(wù)

系統(tǒng)在啟動(dòng)時(shí)會(huì)在/etc/rc2.d和/etc/rc3.d目錄下尋找以“S”開(kāi)頭的文件并執(zhí)行,在關(guān)閉時(shí)會(huì)查找“K”開(kāi)頭的文件關(guān)閉相應(yīng)進(jìn)程。如果需要停止某些程序在啟動(dòng)時(shí)運(yùn)行,只要把開(kāi)頭的“S”改為其他字母即可,如“s”,也要把相應(yīng)的“K”改為“k”。下面推薦關(guān)閉的一些程序和它們所對(duì)應(yīng)的啟動(dòng)文件。

(1)使電源管理無(wú)效:/etc/rc2.d/S85power。

(2)停止DMI Service./etc/rc2.d/K77dmi:/etc/rc3.d/S77dmi;

(3)使Asynchronous PPP無(wú)效:/etc/rc2.d/S47asppp。

(4)停止BD Stream配置:/etc/rc2.d/S89bdconfig。

(5)使UUCP臨時(shí)文件清除無(wú)效:/etc/rc2.d/S70uucp。

(6)停止AutoFS/MountD:/etc/rc2.d/S74autofs。

(7)停止系統(tǒng)重配置:/etc/rc2.d/S30sysid。Net及/etc/rc2.d/S71sysid。Sys。

8)停止JumpStart/AutInstaU。/etc/rc2.d/S72autoinstall。

(9)使Cache File System無(wú)效:/etc/rc2.d/S93cacheos。Finish及/etc/rc2.d/S73cachefs。 Daemon。

(10)使Preserve Service無(wú)效:/etc/rc2.d/S80PRESERVE。

(11)使Network Time Protocol無(wú)效:/etc/rc2.d/S74xntpd。

(12)使CDE程序無(wú)效(除非要使用圖形控制臺(tái)):/etc/rc2.d/S99dtlogin。(恢復(fù)時(shí)使用命令“/usr/dt/bin/dtconfig-e”)

(13)停止名字服務(wù)緩沖守護(hù)程序服務(wù):/etc/rc2.d/S76nscd。

(14)使打印服務(wù)無(wú)效(除非有本地打印機(jī)):/etc/rc2.d/S80lp及/etc/rc2.d/S80spc。

(15)使SNMP無(wú)效(不使用網(wǎng)管時(shí)):/etc/rc2.d/K76snmpdx及/etc/rc3.d/S76snmodx。

(16)停止NFS服務(wù):/etc/rc2.d/S73nfs,Client:/etc/rc2.d/K60nfs,server;/etc/rc3.d/S15nfs, server。

(17)使Sendmail守護(hù)程序無(wú)效(非E-mail服務(wù)器):/etc/rc2.d/S88sendmail。

(18)停止其他不必要的服務(wù):在root的crontab中加入,用以處理系統(tǒng)郵件隊(duì)列:

0****/usr/lib/sendmail-q

只保留/etc/inetd.conf中需要服務(wù),只須把不需要的服務(wù)前加“#”號(hào)注釋即可。
9.網(wǎng)絡(luò)監(jiān)聽(tīng)與snoop

網(wǎng)絡(luò)監(jiān)聽(tīng)是黑客們常用的一種方法。當(dāng)成功地登錄進(jìn)一臺(tái)網(wǎng)絡(luò)上的主機(jī),并取得了這臺(tái)主機(jī)的超級(jí)用戶的權(quán)限之后,往往要擴(kuò)大戰(zhàn)果,嘗試登錄或者奪取網(wǎng)絡(luò)中其他主機(jī)的控制權(quán)。而網(wǎng)絡(luò)監(jiān)聽(tīng)則是一種最簡(jiǎn)單,而且最有效的方法,它常常能輕易地獲得用其他方法很難獲得的信息。

在網(wǎng)絡(luò)上,監(jiān)聽(tīng)效果最好的地方是在網(wǎng)關(guān)、路由器、防火墻一類的設(shè)備處,通常由網(wǎng)管員來(lái)操作。使用最方便的是在一個(gè)以太網(wǎng)中的任何一臺(tái)上網(wǎng)的主機(jī)上,這是大多數(shù)黑客的做法。snoop是Solaris中特有的程序,可以實(shí)現(xiàn)監(jiān)聽(tīng)的功能。它是一個(gè)很有用的診斷工具,只有root才能使用它。下面是snoop使用時(shí)的一些參數(shù):

*snoop直接監(jiān)聽(tīng)所有的數(shù)據(jù)包;

#snoop host bjserver捕獲所有與bjserver計(jì)算機(jī)有關(guān)的數(shù)據(jù)包;

#snoop-v host bjserver port 23捕獲所有與bjserver有關(guān)的Telnet包。

r*命令存在一些安全問(wèn)題。我們常說(shuō)的r水命令包括rlogin,rsh,rcp和rdist,以r開(kāi)頭表示遠(yuǎn)程。這幾個(gè)命令都必須在遠(yuǎn)程系統(tǒng)上運(yùn)行shell。r命令是為了方便運(yùn)行和使用遠(yuǎn)程系統(tǒng)而創(chuàng)建的。通過(guò)使用rhost文件,用戶就可以在遠(yuǎn)程系統(tǒng)上登錄或者運(yùn)行命令,而不用提供口令。

r*命令的弱點(diǎn)如下:

(1)使用.rhosts文件易造成對(duì)不合適計(jì)算機(jī)的錯(cuò)誤信任,導(dǎo)致被黑客利用。

(2)在沒(méi)有.rhosts文件的情況下,用戶通過(guò)r*命令來(lái)訪問(wèn)遠(yuǎn)程系統(tǒng)時(shí)會(huì)需要輸入口令,整個(gè)過(guò)程沒(méi)有加密,在網(wǎng)絡(luò)上會(huì)被監(jiān)聽(tīng)而泄露密碼。

3)所有的r*命令的全部會(huì)話過(guò)程都是加密的,同樣面臨被監(jiān)聽(tīng)的問(wèn)題。

強(qiáng)烈建議不使用r*命令,它們的功能可以由ssh等程序替代。

10.Telnet命令的安全問(wèn)題

Telnet雖然不像r*命令采用信任模式,但是它傳遞信息采用明文方式容易造成信息泄漏。同樣建議采用ssh來(lái)替代Telnet。

11.Ndd

ndd系列命令是Solaris系統(tǒng)中獨(dú)有的,可以檢測(cè)或者設(shè)置網(wǎng)絡(luò)設(shè)備驅(qū)動(dòng)程序的特性。在這些可以更改的設(shè)置中有不少是與安全性有關(guān)的,管理員可以通過(guò)ndd設(shè)置IP和TCP,以及其他網(wǎng)絡(luò)設(shè)備的特性來(lái)提高系統(tǒng)安全性和性能。

(1)ndd:禁止IP轉(zhuǎn)發(fā)。#ndd-set/dev/ip ip_forwarding 0。

對(duì)于多宿主主機(jī),存在可能的安全問(wèn)題是,攻擊者可能通過(guò)II)轉(zhuǎn)發(fā)的方式訪問(wèn)到私有網(wǎng)絡(luò)。在Solaisr系統(tǒng)中,也可以簡(jiǎn)單地生成一個(gè)文件/etc/notrouter,就能在下次啟動(dòng)的時(shí)候關(guān)閉IP轉(zhuǎn)發(fā)。

(2)ndd:不轉(zhuǎn)發(fā)定向廣播。#ndd -set/dev/ip ip_forward_directed_broadcasts 0。

由于在轉(zhuǎn)發(fā)狀態(tài)下默認(rèn)是允許的,為了防止被用來(lái)實(shí)施smurf攻擊,關(guān)閉這一特性。一個(gè)簡(jiǎn)單的smurf攻擊通過(guò)使用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的ICMP應(yīng)答請(qǐng)求(ping)數(shù)據(jù)包來(lái)淹沒(méi)受害主機(jī)的方式進(jìn)行,最終導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對(duì)此ICMP應(yīng)答請(qǐng)求做出答復(fù),導(dǎo)致網(wǎng)絡(luò)阻塞,比ping of death洪水的流量高出一或兩個(gè)數(shù)量級(jí)。更加復(fù)雜的smurf將源地址改為第三方的受害者,最終導(dǎo)致第三方雪崩。防御方法:為了防止黑客利用用戶的網(wǎng)絡(luò)攻擊他人,關(guān)閉外部路由器或防火墻的廣播地址特性。為防止被攻擊,在防火墻上設(shè)置規(guī)則,丟棄掉ICMP包。

(3)ndd:限定多宿主機(jī)。#ndd-set/dev/ip ip_strict_dst_multihoming 1。

如果是多宿主主機(jī),為了防止IP spoof的攻擊,關(guān)閉這一特性。

(4)ndd:忽略重定向包。#ndd -set/dev/ip ip_ignore_redirect 1。

一個(gè)攻擊者能偽造重定向錯(cuò)誤的報(bào)文從而給目標(biāo)主機(jī)裝載一個(gè)新的路由,而這個(gè)路由也許根本就是錯(cuò)誤的,這樣主機(jī)就不會(huì)和一些特定的主機(jī)或網(wǎng)絡(luò)通信,這是一種DDoS攻擊(Solairs默認(rèn)是不忽略的)。雖然重定向報(bào)文本身有一些校驗(yàn)規(guī)則,但是這些規(guī)則能很容易地被欺騙,而且目前存在大量的工具來(lái)達(dá)到這個(gè)目的。大多數(shù)只有一條默認(rèn)路由的主機(jī)系統(tǒng)是不需要理會(huì)這種報(bào)文的。

(5)ndd:不發(fā)送重定向包。#ndd -set/dev/ip ip_send_redirects 0。

只有路由器才需要重定向錯(cuò)誤,任何主機(jī)即使是多宿主主機(jī)也不需要發(fā)送這種報(bào)文。

(6)ndd.關(guān)閉時(shí)間戳響應(yīng)。#ndd -set/dev/ip ip_respond to_timestamp 0。

時(shí)間戳廣播報(bào)文在大多數(shù)環(huán)境下是不需要的。關(guān)閉這個(gè)特性以后,有些使用rdate系統(tǒng)命令的UNIX主機(jī)將不能再同步時(shí)鐘。但是Solaris 2.6和7使用更好的時(shí)鐘同步方式:NTP(網(wǎng)絡(luò)時(shí)間協(xié)議)。

(7)ndd:不響應(yīng)Echo廣播。#ndd -set/dev/ip ip_respond_to_echo_boadcast 0。

echo廣播通常用來(lái)診斷網(wǎng)絡(luò)主機(jī)的存活情況,一旦主機(jī)收到一個(gè)對(duì)廣播地址的echo請(qǐng)求,默認(rèn)情況下所有系統(tǒng)會(huì)回復(fù)這個(gè)廣播要求。當(dāng)有人惡意定制過(guò)量的echo包,系統(tǒng)中的流量將大為增加。

(8)ndd:不響應(yīng)地址掩碼廣播。#ndd -set/dev/ip ip_respond_to_address_mask_br- oadcast  0。

地址掩碼請(qǐng)求被用來(lái)確定本地掩碼,通常是網(wǎng)絡(luò)中無(wú)盤(pán)工作站在啟動(dòng)的時(shí)候發(fā)送。

(9)ndd:不轉(zhuǎn)發(fā)設(shè)置源路由包。#ndd -set/dev/ipip_forward src routed 0。

源路由包中包含了指定數(shù)據(jù)如何路由的信息。因此攻擊者可能使用源路由包繞過(guò)某些特定的路由器和防火墻設(shè)備,也可能用來(lái)避開(kāi)一個(gè)已知的IDS系統(tǒng)的監(jiān)控范圍。Solairs在打開(kāi)IP轉(zhuǎn)發(fā)以后默認(rèn)支持源路由轉(zhuǎn)發(fā),在大多數(shù)Solairs的應(yīng)用系統(tǒng)上,是不需要這個(gè)特性的。

(10)ndd:加快ARP表過(guò)期時(shí)間。#ndd -set/dev/ip_ip_ire_flush_interval 60000;#n-ddset/dev/arp arp_cleanup_interval 60000。

加快過(guò)期時(shí)間,并不能避免攻擊,但是使得攻擊更加困難,帶來(lái)的影響是在網(wǎng)絡(luò)中會(huì)大量出現(xiàn)ARP請(qǐng)求和回復(fù),請(qǐng)不要在繁忙的網(wǎng)絡(luò)上使用。或者使用靜態(tài)ARP表,禁止ARP。

(11)ndd:提高未連接隊(duì)列的大小。#ndd -set/dev/tcp tcp_conn_req_max_q0 4096。

TCP-SYN flood又稱半開(kāi)式連接攻擊,提高這個(gè)隊(duì)列的大小可以減輕TCP-SYN flood的攻擊。

對(duì)于繁忙的服務(wù)器也應(yīng)該提高這個(gè)隊(duì)列。

(12)ndd:提高已連接隊(duì)列的大小。#ndd -set/dev/tcp tcp_conn_req_max_q 1024。

提高隊(duì)列的大小和減短連接時(shí)間可以減緩連接耗盡攻擊。連接耗盡攻擊和SYN flood攻擊不同,連接耗盡攻擊不太常見(jiàn)。因?yàn)檫@種攻擊必須使用真實(shí)IP,攻擊的目標(biāo)是已連接隊(duì)列。許多系統(tǒng)有一個(gè)同時(shí)連接的上限,取決于核心參數(shù)和系統(tǒng)內(nèi)存情況。

我們可以通過(guò)優(yōu)化系統(tǒng)核心和增加內(nèi)存來(lái)緩解,但這些不是根本的方法。因?yàn)楣粽呖赡芡瑫r(shí)調(diào)動(dòng)多臺(tái)機(jī)器發(fā)起攻擊。當(dāng)然,我們可以在發(fā)現(xiàn)攻擊后,在防火墻或路由器上拒絕這些IP來(lái)源的連接。

如果不通過(guò)網(wǎng)絡(luò)設(shè)備,僅僅通過(guò)調(diào)節(jié)系統(tǒng)參數(shù)來(lái)緩解攻擊,一方面,可以調(diào)節(jié)Web

Server,如apache的timeout參數(shù),減短連接保持時(shí)間,另一方面,我們可以將核心以連接隊(duì)列參數(shù)增大(默認(rèn)是128)。作為通常的Web服務(wù)器,這個(gè)上限值很難達(dá)到,因?yàn)閔ttp的連接是典型的短時(shí)連接。但是一個(gè)攻擊者可能快速發(fā)送大量的連接請(qǐng)求,同時(shí)保持連接,這樣正常訪問(wèn)者的連接就可能被服務(wù)器拒絕。

以上的方法能阻止大多數(shù)連接耗盡的攻擊企圖,除非攻擊者調(diào)動(dòng)更多的資源,發(fā)動(dòng)大規(guī)模的DDoS,但這樣會(huì)使攻擊者更容易暴露。

熱詞搜索:

上一篇:DDoS攻防演示
下一篇:小心共享蠕蟲(chóng)入侵局域網(wǎng)(上)

分享到: 收藏