【拯救赵明】全面防护网络攻击

一、情景
      “赵明！网站怎么又被攻击了？！”
      “赵明！你到底怎么搞的？！怎么又断线了？！”
      “赵明！你知道我们又损失多少吗？！”
       做为网站维护人员，你是否也经历了与赵明一样的无奈呢？
攻击对网站的影响有这么大，那么我们只有了解各种攻击才能做出相应的防护手段；减少不必要的损失，最大程度的减小损失。

       情景链接http://51ctoblog.blog.51cto.com/26414/300667
二、攻击原因
       首先我们要了解服务受攻击的原因，黑客为什么会采取多种形式进行不间断或间歇性的攻击致使你的服务无法正常使用呢？
第一种是商业恶性竞争。同行之间的商业竞争由原来的价格战、质量战、售前、售中及售后服务之战，发展到现在新增了互联网信息安全之战。对手利用攻击的手段使你的网站及其他服务无法正常使用，致使一些需要从网络上寻求采购或合作的客户转到你对手的业务上去。严重的直接入侵到你的数据库，窃得所有客户资料，让你损失惨重。如果是更改了与公司帐款有关的数据库，那损失将无法估量。
       第二种是黑客利益驱动。现实生活中一些小混混好吃懒做，为了不劳而获，于是组成一个团伙去收保护费。在虚拟的网络中也一样，一些具有黑客技术，而得不到重用的人，利用技术手段向网站、视频、游戏等服务提供者索取保护费，否则就会采取攻击破坏等。
       第三种是窃取型，他们每天24小时不间断利用工具扫描各种系统（网络设备、安全设备、操作系统、应用软件、数据库等）的漏洞或最易攻破的地方下手。窃取及修改数据，在无交易的情况下，黑客们改成有了交易，从而非法获利。
三、攻击类型
3.1  DDOS攻击
       DDOS是英文Distributed Denial of Service的缩写，意即“分布式拒绝服务”，那么什么又是拒绝服务（Denial of Service）呢？可以这么理解，凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确，就是要阻止合法用户对正常网络资源的访问，从而达成攻击者不可告人的目的。虽然同样是拒绝服务攻击，但是DDOS和DOS还是有所不同，DDOS的攻击策略侧重于通过很多“僵尸主机”（被攻击者入侵过或可间接利用的主机）向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务，分布式拒绝服务攻击一旦被实施，攻击网络包就会犹如洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的网络资源，因此，拒绝服务攻击又被称之为“洪水式攻击”，常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood 、FRAG、 NonIP、 NewTCP、NewUDP等；而DOS则侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能，从而造成拒绝服务，常见的DOS攻击手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就这两种拒绝服务攻击而言，危害较大的主要是DDOS攻击。由于DDOS攻击都带有大流量，容易造成网络阻塞直至断网。
3.2  CC攻击
       利用大量代理服务器对目标计算机发起大量连接，导致目标服务器资源枯竭造成拒绝服务。
       CC攻击不在是针对具体的80端口的一种方式，各端口和服务都是CC攻击的目标，有时一个端口就有上百万个非法连接，造成服务器资源即刻枯竭，甚至整个网络中断。
       新型的CC攻击不仅是连接数的资源耗尽，发展到现在的连接数和带宽同时攻击的情况也时有发生。这种攻击类型的防护也是很头痛的事。
3.3  漏洞入侵
       不管是什么操作系统，都会有它的系统漏洞，漏洞为黑客们留下了很好的入门口，让黑客们出入自如。
应用软件的漏洞一直以来有很大一部分人不会重视，这其实更是黑客下手的好地方。
       数据库的漏洞那更是可怕至极，黑客们会感谢你为他保留了这个后门。
3.4  网络设备入侵
       网络设备的安全在一些小企业里也是常常被遗忘的，如果一个网络设备都被入侵了，那么你的任何信息都是向入侵者公开的。他想获得你们企业网络内的资料就像在自家腰包里取钱一样方便，要是没有利用价值了，他可以随时毁灭你的网络等。
3.5  网页挂马
       黑客们经常利用各种手段，使你的网页挂马，轻则被插入非法广告，重则整个网站被破坏。
3.6  arp、IP欺骗
       由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以伪造出来的网关或主机的MAC地址，可以使正常的数据被欺骗到被植入了arp木马主机上，致使合法的数据被非法接收等，直接导致合法主机网络无法正常使用及各种帐号密码安全得不到保障。伪造网关MAC、伪造主机的ip及MAC等。
3.7  内部管理不规范
       内部员工的网络行为管理在很多企业往往都被忽视，网络行为的不规范很容易为企业网络带来毁灭性的打击。
四、网络架构
       了解了攻击者的目的和手段、方式，那么接下来我们就应该来布防了，首先来布置网络结构。根据以上情况，我们作如下网络布置。
                                   网络架构A（适合较大型网络）
 

       网络架构A布置原因：本架构适合较大型企业，由于较大型企业的网站访问量较大，为保证网络的畅通性、可用性、稳定性，如果与互联网连接的设备采用PC架构加三块网卡，其稳定性和可用性等无法满足使用要求，如果换成带三块以上网卡且稳定性好的服务器，其性价比不如专业的硬件防火墙；所以在此选择硬件防火墙。硬件防火墙具有自动检测攻击和阻断攻击，加上监控机的流量监控、流量异常报警、上网行为管理等功能，完全满足大型企业网络安全。
                                    网络结构B（适合小型网络）
 

       网络架构B布置原因：本架构适合小型企业，由于小型企业的网站访问量较小，与互联网连接的设备采用PC架构加三块网卡，其稳定性和可用性等基本满足使用要求，PC采用RouterOS网络操作系统。
五、全方位防护
       根据网络架构，下面分别分析。
网络架构A完全防护
5.1  硬件防火墙设置
       硬件防火墙选购具有成熟防ddos、cc攻击的专业防火墙。知名品牌都提供防火墙的详细操作培训和及时的售后服务。
       a. 建立访问控制列表，只允许指定的IP可以telnet、snmp、web连接。
       b. 制定严格的攻击防御策略，实时调整TCP、UDP等协议的防护规则。
       c. 设置防火墙报警器的报警触发条件、阀值及报警方式，这样能及时的得到故障信息。
       WEB的管理界面，让你轻松操作和管理网络，下面是某防火墙的设置界面：
       攻击防御策略：

       可根据实际使用开启防护规则设置：

　　TCP端口保护，让你的服务得到保障：

　　UDP端口保护让你的视频、FTP等服务完美服务：

　　灵活的报警接收方式，让你随时随地掌握网络情况：

5.2  交换机安全
       a. 建立访问控制列表，只允许指定的IP可以telnet连接、snmp设置为只读，关闭web服务。
H3C、华为设备：
       先做访问控制列表指定具体IP可以访问
       [H3C]acl number 2200
       [H3C-acl-basic-2200] rule 1 permit source 221.15.77.3 0
       [H3C-acl-basic-2200]rule 2 permit source 221.16.68.40 0
       [H3C-acl-basic-2200]rule 50 deny
       应用访问控制列表共同体名为kkk并只有只读的权限
       [H3C]snmp-agent community read kkk acl 2200
       关闭web服务
       [H3C] undo ip http enable 或ip http shutdown
思科设备：
       指定可读snmp 的IP
       C3524(config)#snmp-server host 221.15.77.3 version 2c kkk
       关闭web服务
       C3524(config)#no ip http server
       b. 建立访问日志服务器，定期或不定期的巡检，及时发现非法用户的登陆。
       指定日志服务器：
       [H3C] info-center loghost 221.15.77.3 
       C3524(config)#logging 221.15.77.3
       c. MAC、端口、IP绑定，使用arp伪装无法影响你的网络。
H3C设备：
       绑定IP、MAC、端口、VLAN2000
       [H3C] arp static 221.15.77.3 001f-d089-7518 2000 GigabitEthernet 1/0/20
思科设备：
       绑定IP、MAC、VLAN2000
       C3524(config)#arp 221.15.77.3 000f.e267.af22 snap vlan 2000
       d. 关闭不必要的服务（如dhcp）。
H3C设备：
       [H3C] undo dhcp enable
5.3  服务器安全
       服务器安全其实也很重要，首先我们要经常打好系统漏洞补丁，不要认为打好一次补丁就万事大吉，无任是Windows操作系统还是Linux系统都会随时有新的漏洞出现，所以作为一个网管员，任何时候都马虎不得。
然后我们要关闭不使用的端口，对于系统保留的端口则利用安全策略组防止内、外网对系统的135、139等一些端口的扫描。
       除了服务器系统的漏洞补丁要及时安装外，可别小看应用软件的漏洞哦，有很多黑客就是利用人们不会注意的软件漏洞，采取入侵的。所以及时的更新应用软件与系统的安全一样重要。
       当然别忘了装上杀毒软件，可千万要装网络版的哦，因为病毒在不断的产生，你的杀毒软件的病毒库如果跟不上新的病毒特征，那么你的系统是无法保证安全的。
       对于Linux系统来说相对Windows系统要安全些，但我们也不能大意，利用Linux系统的iptables 可以有效的保护好系统的安全。
5.4  web安全
       1. 不要将IIS安装在系统分区上。2. 修改IIS的安装默认路径。 3. 打上IIS的最新补丁。
删除不必要的虚拟目录 IIS安装完成后在wwwroot下默认生成了一些目录，包括IISHelp、IISAdmin、IISSamples、MSADC等，这些目录都没有什么实际的作用，可直接删除。
       删除危险的IIS组件默认安装后的有些IIS组件可能会造成安全威胁为IIS中的文件分类设置权限 除了在操作系统里为IIS的文件设置必要的权限外，还要在IIS管理器中为它们设置权限。一个好的设置策略是：为Web 站点上不同类型的文件都建立目录，然后给它们分配适当权限。例如：静态文件文件夹允许读、拒绝写，ASP脚本文件夹允许执行、拒绝写和读取，EXE等可执行程序允许执行、拒绝读写。

       限制单位时间内同一请求IP的并发连接数也不失为一种好的办法。
5.5  数据库安全
       1、使用安全的密码策略。
       2、使用安全的帐号策略。
       做好日志记录，对于管理员的帐号和密码要保管好。

5.6 上网行为管理
       企业内部上网行为必须制订严格管理制度并认真执行。要求员工不打开陌生邮件，不浏览不熟习的网页，不随意拷贝数据到移动介质上。不可用即时通讯工具传送资料。
5.7  物理安全及备份
       对于任何设备都要做好帐号及密码的管理、物理安全的管理、UPS电源的使用，以保证网络的可用性、持续性。
数据的备份是必须的，当网络或服务中断时多少时间能恢复、损失会有多大，这些都要有个统一的计划和方法。
5.8  监控机设置
       监控机可以架设日志服务器、上网行为管理、流量管理、流量异常报警等。
网络架构B完全防护
       网络架构B大部分的设置与A架构相同，只有负载均衡服务器设置采用RouterOS网络操作系统，本系统的优点是可以灵活多样的设置：防火墙、路由、NAT、负载均衡达到企业应用的要求。由于本架构只适用于小规模的网络，在此不一一详解。
 
       

   

本文出自 “联通IDC” 博客，转载请与作者联系！