作为网络管理员,了解计算机安全潜在攻击的本质非常重要。我们将简要描述最重要的攻击类型,以便您更好地理解 Linux IP 防火墙将保护您免受哪些攻击。您应该进行额外的阅读,以确保您能够保护您的网络免受其他类型的攻击。以下是一些更重要的攻击方法以及保护自己免受攻击的方式。
这仅仅意味着不应该使用您的计算机服务的人员能够连接并使用它们。例如,您公司外部的人员可能会尝试连接到您公司的会计机器或 NFS 服务器。
有多种方法可以避免这种攻击,方法是仔细指定谁可以通过这些服务获得访问权限。您可以阻止除预期用户之外的所有人的网络访问。
一些程序和网络服务最初在设计时并未考虑到强大的安全性,并且天生容易受到攻击。BSD 远程服务(rlogin、rexec 等)就是一个例子。
保护自己免受此类攻击的最佳方法是禁用任何易受攻击的服务或寻找替代方案。使用开源软件,有时可以修复软件中的弱点。
拒绝服务攻击会导致服务或程序停止运行,或阻止其他人使用该服务或程序。这些攻击可能在网络层执行,方法是发送精心制作的恶意数据报,从而导致网络连接失败。它们也可能在应用层执行,方法是向程序发出精心制作的应用程序命令,从而导致程序变得非常繁忙或停止运行。
阻止可疑的网络流量到达您的主机,并阻止可疑的程序命令和请求是最大限度降低拒绝服务攻击风险的最佳方法。了解攻击方法的详细信息很有用,因此您应该了解每个新发布的攻击。
这种类型的攻击会导致主机或应用程序模仿另一个主机的行为。通常,攻击者通过跟踪网络数据包中的 IP 地址来伪装成无辜的主机。例如,BSD rlogin 服务的一个有据可查的漏洞利用可以利用这种方法,通过猜测 TCP 序列号来模仿来自另一个主机的 TCP 连接。
为了防止此类攻击,请验证数据报和命令的真实性。阻止使用无效源地址的数据报路由。在连接控制机制中引入不可预测性,例如 TCP 序列号和动态端口地址的分配。
这是最简单的攻击类型。主机配置为“监听”和捕获不属于它的数据。精心编写的窃听程序可以从用户登录网络连接中获取用户名和密码。像以太网这样的广播网络尤其容易受到这种类型的攻击。
为了防止这种类型的威胁,请避免使用广播网络技术并强制使用数据加密。
IP 防火墙在预防或减少未授权访问、网络层拒绝服务和 IP 欺骗攻击方面非常有用。它在避免利用网络服务或程序中的弱点以及窃听方面不是很有用。