服务器安全防护 剖析对Linux的攻击(2)

第三级别的攻击能做到的不只是核实特定文件是否存在，而且还能读写这些文件。造成这种情况的原因是：Linux服务器配置中出现这样一些弱点：即远程用户无需有效账号就可以在服务器上执行有限数量的命令。
密码攻击法是第三级别中的主要攻击法，损坏密码是最常见的攻击方法。密码破解是用以描述在使用或不使用工具的情况下渗透网络、系统或资源以解锁用密码保护的资源的一个术语。用户常常忽略他们的密码，密码政策很难得到实施。黑客有多种工具可以击败技术和社会所保护的密码。主要包括：字典攻击（Dictionary attack）、混合攻击（Hybrid attack）、蛮力攻击（Brute force attack）。一旦黑客拥有了用户的密码，他就有很多用户的特权。密码猜想是指手工进入普通密码或通过编好程序的正本取得密码。一些用户选择简单的密码—如生日、纪念日和配偶名字，却并不遵循应使用字母、数字混合使用的规则。对黑客来说要猜出一串8个字生日数据不用花多长时间。
防范第三级别的攻击的最好的防卫方法便是严格控制进入特权，即使用有效的密码。
主要包括密码应当遵循字母、数字、大小写（因为Linux对大小写是有区分）混合使用的规则。
使用象“#”或“%”或“$”这样的特殊字符也会添加复杂性。例如采用"countbak"一词，在它后面添加“#$”（countbak#$），这样您就拥有了一个相当有效的密码。
攻击级别四：远程用户获得根权限
第四攻击级别是指那些决不应该发生的事发生了，这是致命的攻击。表示攻击者拥有Linux服务器的根、超级用户或管理员许可权，可以读、写并执行所有文件。换句话说，攻击者具有对Linux服务器的全部控制权，可以在任何时刻都能够完全关闭甚至毁灭此网络。
攻击级别四主要攻击形式是TCP/IP连续偷窃，被动通道听取和信息包拦截。TCP/IP连续偷窃，被动通道听取和信息包拦截，是为进入网络收集重要信息的方法，不像拒绝服务攻击，这些方法有更多类似偷窃的性质，比较隐蔽不易被发现。一次成功的TCP/IP攻击能让黑客阻拦两个团体之间的交易，提供中间人袭击的良好机会，然后黑客会在不被受害者注意的情况下控制一方或双方的交易。通过被动窃听，黑客会操纵和登记信息，把文件送达，也会从目标系统上所有可通过的通道找到可通过的致命要害。黑客会寻找联机和密码的结合点，认出申请合法的通道。信息包拦截是指在目标系统约束一个活跃的听者程序以拦截和更改所有的或特别的信息的地址。信息可被改送到非法系统阅读，然后不加改变地送回给黑客。
TCP/IP连续偷窃实际就是网络嗅探，注意如果您确信有人接了嗅探器到自己的网络上，可以去找一些进行验证的工具。这种工具称为时域反射计量器(Time Domain Reflectometer，TDR)。TDR对电磁波的传播和变化进行测量。将一个TDR连接到网络上，能够检测到未授权的获取网络数据的设备。不过很多中小公司没有这种价格昂贵的工具。对于防范嗅探器的攻击最好的方法是：
1、安全的拓扑结构。嗅探器只能在当前网络段上进行数据捕获。这就意味着，将网络分段工作进行得越细，嗅探器能够收集的信息就越少。
2、会话加密。不用特别地担心数据被嗅探，而是要想办法使得嗅探器不认识嗅探到的数据。这种方法的优点是明显的：即使攻击者嗅探到了数据，这些数据对他也是没有用的。