攻防有道 剖析对Linux服务器的攻击 （2）

特别提示：应对攻击的反击措施

对于超过第二级别的攻击您就要特别注意了。因为它们可以不断的提升攻击级别，以渗透Linux服务器。此时，我们可以采取的反击措施有：

首先备份重要的企业关键数据。

改变系统中所有口令，通知用户找系统管理员得到新口令。

隔离该网络网段使攻击行为仅出现在一个小范围内。

允许行为继续进行。如有可能，不要急于把攻击者赶出系统，为下一步作准备。

记录所有行为，收集证据。这些证据包括：系统登录文件、应用登录文件、AAA（Authentication、Authorization、 Accounting，认证、授权、计费）登录文件，RADIUS（Remote Authentication Dial-In User Service） 登录，网络单元登录（Network Element Logs）、防火墙登录、HIDS（Host-base IDS，基于主机的入侵检测系统） 事件、NIDS（网络入侵检测系统）事件、磁盘驱动器、隐含文件等。收集证据时要注意：在移动或拆卸任何设备之前都要拍照；在调查中要遵循两人法则，在信息收集中要至少有两个人，以防止篡改信息；应记录所采取的所有步骤以及对配置设置的任何改变，要把这些记录保存在安全的地方。检查系统所有目录的存取许可，检测Permslist是否被修改过。

进行各种尝试(使用网络的不同部分)以识别出攻击源。

为了使用法律武器打击犯罪行为，必须保留证据，而形成证据需要时间。为了做到这一点，必须忍受攻击的冲击(虽然可以制定一些安全措施来确保攻击不损害网络)。对此情形，我们不但要采取一些法律手段，而且还要至少请一家有权威的安全公司协助阻止这种犯罪。这类操作的最重要特点就是取得犯罪的证据、并查找犯罪者的地址，提供所拥有的日志。对于所搜集到的证据，应进行有效地保存。在开始时制作两份，一个用于评估证据，另一个用于法律验证。

找到系统漏洞后设法堵住漏洞，并进行自我攻击测试。

网络安全已经不仅仅是技术问题，而是一个社会问题。企业应当提高对网络安全重视，如果一味地只依靠技术工具，那就会越来越被动；只有发挥社会和法律方面打击网络犯罪，才能更加有效。我国对于打击网络犯罪已经有了明确的司法解释，遗憾的是大多数企业只重视技术环节的作用而忽略法律、社会因素，这也是本文的写作目的。

拒绝服务攻击（DoS）

DoS即Denial Of Service，拒绝服务的缩写，可不能认为是微软的DOS操作系统！DoS攻击即让目标机器停止提供服务或资源访问，通常是以消耗服务器端资源为目标，通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞，使正常的用户请求得不到应答，以实现攻击目的。