在網(wǎng)絡(luò)科技時(shí)代，SOHO(Small Office Home Office)或遠(yuǎn)程辦公(Tele-office)作為一種新的工作和生活方式，已經(jīng)慢慢地被一些公司和個(gè)人所接受。借助無所不在的網(wǎng)絡(luò)，很多人呆在自己的空間里工作，這是一種更加自由也更環(huán)保的生活，SOHO一方面可以讓員工避免上下班擁擠的交通，另一方面也減少了公司昂貴的辦公室房租支出，同時(shí)也給員工更多的自由空間以激發(fā)他們的創(chuàng)意，所以許多大型的企業(yè)機(jī)構(gòu)也開始允許和和鼓勵(lì)職員成為"SOHO族"。SOHO族們通過網(wǎng)絡(luò)在公司FTP服務(wù)器上傳或下載文件，通過QQ和Email與同事或領(lǐng)導(dǎo)、業(yè)務(wù)上的合作伙伴進(jìn)行工作交流，通過IE瀏覽器在互聯(lián)網(wǎng)上查找各種資料等過程中，應(yīng)該注意哪些安全問題呢?作為與員工進(jìn)行交流的橋梁的公司FTP服務(wù)器，管理員又該如何保障其安全呢?
今天在這里我們主要講如何保證上傳FTP的安全，下期的內(nèi)容我們將講如何保障本機(jī)的安全。
作為員工上傳和下載文件的公司FTP服務(wù)器必須與Internet相連，而且必須有一個(gè)公共的IP地址，才能方便員工正常訪問。正是這固定的IP地址，方便了成天游蕩于網(wǎng)絡(luò)上不甘寂寞的黑客們，他們時(shí)時(shí)刻刻在尋找攻擊的目標(biāo)，哪怕這種攻擊與破壞對他們沒有絲毫的好處，但這些人仍樂此不彼，把攻擊的機(jī)器多少作為炫耀他們黑客本事高低的標(biāo)準(zhǔn)。那么對于FTP服務(wù)器來說，可能面臨哪些種類的攻擊呢?
一、FTP服務(wù)器可能受到的攻擊
雖然Windows 操作系統(tǒng)類服務(wù)器，操作簡單，配置方便，但是微軟操作系統(tǒng)的漏洞層出不窮，如果服務(wù)器以Windows作為操作系統(tǒng)，管理員永遠(yuǎn)沒有空閑的時(shí)候，要時(shí)刻關(guān)注微軟是否又發(fā)布了什么新補(bǔ)丁，公布了什么新漏洞，然后在最快的時(shí)間內(nèi)打上補(bǔ)丁，睹上漏洞，而且網(wǎng)上針對Windows的黑客工具也很多，稍微懂點(diǎn)計(jì)算機(jī)知識(shí)的人都可以操作，所以對于稍微重要的服務(wù)器，為了保證服務(wù)器的安全，管理員都不再愿意使用Windows系統(tǒng)了，而是采用Unix服務(wù)器。Unix操作系統(tǒng)的操作要比Windows操作系統(tǒng)要復(fù)雜得多，至少可以擋住那些只會(huì)使用Windows系統(tǒng)的一類人，而且它的安全性也要高得多。對unix服務(wù)器的攻擊相對來說也就難些，但是這并不代表就沒有攻擊，對于這類服務(wù)器，可能受到下面兩大類型的攻擊。

DoS(Denial of Service，拒絕服務(wù))，是一種利用合理的服務(wù)請求占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)響應(yīng)的網(wǎng)絡(luò)攻擊行為。由于典型的DoS攻擊就是資源耗盡和資源過載，因此當(dāng)一個(gè)對資源的合理請求大大超過資源的支付能力時(shí)，合法的訪問者將無法享用合理的服務(wù)。
遭到DoS攻擊時(shí)，會(huì)有大量服務(wù)請求發(fā)向同一臺(tái)服務(wù)器的服務(wù)守護(hù)進(jìn)程，這時(shí)就會(huì)產(chǎn)生服務(wù)過載。這些請求通過各種方式發(fā)出，而且許多都是故意的。在分時(shí)機(jī)制中，計(jì)算機(jī)需要處理這些潮水般涌來的請求，十分忙碌，以至無法處理常規(guī)任務(wù)，就會(huì)丟棄許多新請求。如果攻擊的對象是一個(gè)基于TCP協(xié)議的服務(wù)，這些請求還會(huì)被重發(fā)，進(jìn)一步加重網(wǎng)絡(luò)的負(fù)擔(dān)。
大致說來，有以下幾種類型的攻擊:
(1)消息流
消息流經(jīng)常發(fā)生在用戶向網(wǎng)絡(luò)中的目標(biāo)主機(jī)大量發(fā)送數(shù)據(jù)包之時(shí)，消息流會(huì)造成目標(biāo)主機(jī)的處理速度緩慢，難以正常處理任務(wù)。這些請求以請求文件服務(wù)、要求登錄或者要求響應(yīng)的形式，不斷涌向目標(biāo)主機(jī)，加重了目標(biāo)主機(jī)的處理器負(fù)載，使目標(biāo)主機(jī)消耗大量資源來響應(yīng)這些請求。在極端的情況下，消息流可以使目標(biāo)主機(jī)因沒有內(nèi)存空間做緩沖或發(fā)生其他錯(cuò)誤而死機(jī)。
(2)"粘住"攻擊
在Unix系統(tǒng)中，TCP連接通過三次握手來建立一個(gè)連接。如果攻擊者發(fā)出多個(gè)連接請求，初步建立了連接，但又沒有完成其后的連接步驟，接收者便會(huì)保留許多這種半連接，占用很多資源。通常，這些連接請求使用偽造的源地址，系統(tǒng)就沒有辦法去跟蹤這個(gè)連接，只有等待這個(gè)連接因?yàn)槌瑫r(shí)而釋放。
(3)SYN-Flooding攻擊
攻擊者使用偽裝地址向目標(biāo)計(jì)算機(jī)盡可能多地發(fā)送請求，以達(dá)到多占用目標(biāo)計(jì)算機(jī)資源的目的。當(dāng)目標(biāo)計(jì)算機(jī)收到這樣的請求后，就會(huì)使用系統(tǒng)資源來為新的連接提供服務(wù)，接著回復(fù)一個(gè)肯定答復(fù)SYN-ACK。由于SYN-ACK被返回到一個(gè)偽裝的地址，因此沒有任何響應(yīng)，于是目標(biāo)計(jì)算機(jī)將繼續(xù)設(shè)法發(fā)送SYN-ACK。一些系統(tǒng)都有缺省的回復(fù)次數(shù)和超時(shí)時(shí)間，只有回復(fù)一定的次數(shù)，或者超時(shí)時(shí)，占用的資源才會(huì)被釋放，而且每次重新發(fā)送后，等待時(shí)間翻番，最終耗盡系統(tǒng)資源，無法為新連接提供服務(wù)。實(shí)施這種攻擊的黑客雖然無法取得系統(tǒng)中的任何訪問權(quán)，但是卻可以讓服務(wù)器接受其他服務(wù)時(shí)速度變慢，甚至無法接受其他服務(wù)。

由于Unix操作系統(tǒng)本身的漏洞很少，不容易被利用，所以黑客們要想入侵，很多都是從帳號(hào)和密碼上打主意。而用戶的ID很容易通過一些現(xiàn)成的掃描器獲得，所以口令就成為第一層和唯一的防御線。可是有些管理員為了方便，將有些服務(wù)器的一些帳號(hào)采用易猜的口令，甚至有的帳號(hào)根本沒有口令，這無疑是虛掩房門等黑客進(jìn)來。另外，很多系統(tǒng)有內(nèi)置的或缺省的帳號(hào)也沒有更改口令，這些都給黑客帶來很多可乘之機(jī)，攻擊者通常查找這些帳號(hào)。只要攻擊者能夠確定一個(gè)帳號(hào)名和密碼，他(或她)就能夠進(jìn)入目標(biāo)計(jì)算機(jī)。
二、防范拒絕服務(wù)攻擊

加固操作系統(tǒng)，即對操作系統(tǒng)參數(shù)進(jìn)行配置以加強(qiáng)系統(tǒng)的穩(wěn)固性，重新編譯或設(shè)置 BSD系統(tǒng)等操作系統(tǒng)內(nèi)核中的某些參數(shù)，提高系統(tǒng)的抗攻擊能力。例如，DoS攻擊的典型種類--SYN Flood，利用TCP/IP協(xié)議漏洞發(fā)送大量偽造的TCP連接請求，以造成網(wǎng)絡(luò)無法連接用戶服務(wù)或使操作系統(tǒng)癱瘓。該攻擊過程涉及到系統(tǒng)的一些參數(shù):可等待的數(shù)據(jù)包的鏈接數(shù)和超時(shí)等待數(shù)據(jù)包的時(shí)間長度。用戶可以將數(shù)據(jù)包的鏈接數(shù)從缺省值128或512修改為2048或更大，加長每次處理數(shù)據(jù)包隊(duì)列的長度，以緩解和消化更多數(shù)據(jù)包的攻擊;此外，用戶還可將超時(shí)時(shí)間設(shè)置得較短，以保證正常數(shù)據(jù)包的連接，屏蔽非法攻擊包。但通常這些方法的防攻擊能力非常有限。

我們可以在公司網(wǎng)絡(luò)服務(wù)器和外部網(wǎng)絡(luò)之間的增設(shè)一道屏障，以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入，那就是增設(shè)一個(gè)防火墻。防火墻利用一組形成防火墻"墻磚"的軟件或硬件將外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)隔開，它可以保護(hù)內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的非授權(quán)訪問，因此利用防火墻來阻止DoS攻擊能有效地保護(hù)內(nèi)部的服務(wù)器。我們可以把FTP服務(wù)器放在防火墻的DMZ區(qū)，讓其既可以接受來自Internet的訪問，又可以受到防火墻的安全保護(hù)。針對SYN Flood，防火墻通常有三種防護(hù)方式:SYN網(wǎng)關(guān)、被動(dòng)式SYN網(wǎng)關(guān)和SYN中繼。
(1)SYN網(wǎng)關(guān)
防火墻收到客戶端的SYN包時(shí)，直接轉(zhuǎn)發(fā)給服務(wù)器;防火墻收到服務(wù)器的SYN/ACK包后，一方面將SYN/ACK包轉(zhuǎn)發(fā)給客戶端，另一方面以客戶端的名義給服務(wù)器回送一個(gè)ACK包，完成TCP的三次握手，讓服務(wù)器端由半連接狀態(tài)進(jìn)入連接狀態(tài)。當(dāng)客戶端真正的ACK包到達(dá)時(shí)，有數(shù)據(jù)則轉(zhuǎn)發(fā)給服務(wù)器，否則丟棄該包。由于服務(wù)器能承受連接狀態(tài)要比半連接狀態(tài)高得多，所以這種方法能有效地減輕對服務(wù)器的攻擊。
(2)被動(dòng)式SYN網(wǎng)關(guān)
設(shè)置防火墻的SYN請求超時(shí)參數(shù)，讓它遠(yuǎn)小于服務(wù)器的超時(shí)期限。防火墻負(fù)責(zé)轉(zhuǎn)發(fā)客戶端發(fā)往服務(wù)器的SYN包，服務(wù)器發(fā)往客戶端的SYN/ACK包、以及客戶端發(fā)往服務(wù)器的ACK包。這樣，如果客戶端在防火墻計(jì)時(shí)器到期時(shí)還沒發(fā)送ACK包，防火墻則往服務(wù)器發(fā)送RST包，以使服務(wù)器從隊(duì)列中刪去該半連接。由于防火墻的超時(shí)參數(shù)遠(yuǎn)小于服務(wù)器的超時(shí)期限，因此這樣能有效防止SYN Flood攻擊。
(3)SYN中繼
防火墻在收到客戶端的SYN包后，并不向服務(wù)器轉(zhuǎn)發(fā)而是記錄該狀態(tài)信息然后主動(dòng)給客戶端回送SYN/ACK包，如果收到客戶端的ACK包，表明是正常訪問，由防火墻向服務(wù)器發(fā)送SYN包并完成三次握手。這樣由防火墻做為代理來實(shí)現(xiàn)客戶端和服務(wù)器端的連接，可以完全過濾不可用連接發(fā)往服務(wù)器。
各企業(yè)在選擇防火墻時(shí)，除了根據(jù)以上幾種保護(hù)方式進(jìn)行選擇以外，還需要根據(jù)企業(yè)本身的業(yè)務(wù)量來決定選擇的防火墻的性能。性能越好，當(dāng)然價(jià)格也就越高，而且防火墻的性能和資源的占用是相關(guān)的，性能越高，占用資源也就越多，占用帶寬比例也就越高。另外一般企業(yè)如果不想在安全產(chǎn)品上投入過多，則會(huì)要求防火墻同時(shí)具有入侵檢測、VPN等功能，甚至防病毒功能。現(xiàn)在國內(nèi)外防火墻種類繁多，各企業(yè)可以根據(jù)自己單位的需求，選擇一款性價(jià)比高的產(chǎn)品。
還需要網(wǎng)絡(luò)管理員注意的是，防火墻設(shè)立后并非一勞永逸了，防火墻的默認(rèn)設(shè)置適合于大多數(shù)企業(yè)的要求，但可能并不安全，因?yàn)楦鱾€(gè)企業(yè)的提供的服務(wù)不一樣，所以管理員需要根據(jù)自己企業(yè)提供的服務(wù)可能遭受的攻擊來設(shè)置其安全策略，另外新的漏洞攻擊在不斷出現(xiàn)，還需要管理員隨時(shí)更新防火墻的漏洞代碼，以阻止可能出現(xiàn)的新的漏洞攻擊。

盡管防火墻可以阻擋很多種類的攻擊，但是對于DoS類的攻擊，卻只能阻擋有限的幾種。所以近幾年來，一種綜合多種算法、集多種網(wǎng)絡(luò)設(shè)備功能(如路由和防火墻技術(shù))的防范大流量DoS攻擊或多類型DoS攻擊的新技術(shù)產(chǎn)品──中聯(lián)綠盟生產(chǎn)的"黑洞"，逐漸應(yīng)用于各大型門戶網(wǎng)站，國外雖然也有類似產(chǎn)品，但并未引入國內(nèi)。
"黑洞"采用了被稱為反向檢測和指紋識(shí)別的新算法，可高效抵擋SYN Flood、UDP Flood、ICMP Flood和Stream Flood等DoS攻擊。這種算法的獨(dú)特之處在于可高效檢測所發(fā)數(shù)據(jù)包的真實(shí)性。一方面，通過判斷數(shù)據(jù)包是否來自網(wǎng)絡(luò)中的已有主機(jī)，決定是否丟棄它;另一方面，根據(jù)攻擊報(bào)文攜帶的特定“指紋”來判定其非法性（凡非法者均拋棄）。為了不影響正常網(wǎng)絡(luò)流量和消耗系統(tǒng)資源，該算法的一部分通過硬件芯片技術(shù)實(shí)現(xiàn)，大大提高了運(yùn)算速率，在一定程度上將攻擊流量分解，并對網(wǎng)絡(luò)負(fù)載進(jìn)行了均衡。

用戶在選配IDS模塊之后，能使黑洞提供IDS功能，防止Ping of Death、Land、Tear Drop和WinNuke等對應(yīng)用層的DoS攻擊。由于該技術(shù)的自動(dòng)化處理能力很強(qiáng)，面對不斷花樣翻新的DoS攻擊，可經(jīng)升級(jí)而及時(shí)更新系統(tǒng)代碼，并聯(lián)動(dòng)IDS技術(shù)，提升防范性能。

其實(shí)，無論是黑洞也好，還是CaptIO G-2、TrafficMaster也罷，都不是防范DoS的終極。中聯(lián)綠盟公司研發(fā)部總監(jiān)李群先生分析，這種專防DoS的產(chǎn)品和技術(shù)只是剛剛開始，盡管用戶市場還在不斷擴(kuò)大，但技術(shù)應(yīng)用的可靠性、可用性等方面尚待進(jìn)一步提高。未來的發(fā)展方向主要如下。

1．加強(qiáng)可靠性。鑒于這類產(chǎn)品所處的位置，如果出現(xiàn)因故障而宕機(jī)的現(xiàn)象，會(huì)影響整個(gè)網(wǎng)絡(luò)的運(yùn)行，因此，在未來它應(yīng)該具有雙機(jī)熱備能力，這對高可用環(huán)境尤為重要。

2．進(jìn)一步提高處理速率。當(dāng)前的特征模塊是基于軟件的，為提高處理速度，利用了一些硬件特性，例如借助芯片本身的功能。將來可能會(huì)把這些功能全部移植到芯片上，徹底提升效率。

3．與多種安全產(chǎn)品聯(lián)動(dòng)或集成。通過與各種防病毒、防火墻和IDS等安全技術(shù)的聯(lián)動(dòng)，在最大范圍或程度上防范DoS攻擊。

DoS（Denial of Service，拒絕服務(wù)），是一種利用合理的服務(wù)請求占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)響應(yīng)的網(wǎng)絡(luò)攻擊行為。由于典型的DoS攻擊就是資源耗盡和資源過載，因此當(dāng)一個(gè)對資源的合理請求大大超過資源的支付能力時(shí)，合法的訪問者將無法享用合理的服務(wù)。目前，比較常見的DoS攻擊主要有SYN Flood、Smurf、Trinoo、Tfn、Land-Based、Ping of Death、TearDrop、PingSweep和PingFlood等。