运维面临的主要安全威胁介绍

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　作者：尹正杰

版权声明：原创作品，谢绝转载！否则将追究法律责任。

一.运维面临的主要安全威胁介绍

1.DOS/DDOS
　　DOS是Denial of Service的简称，即拒绝服务，造成Dos的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。最常见的攻击类型如："SYN Flood","HTTP Flood"。DOS/DDOS攻击是最常见的一种攻击方式。
解决方法：调整kernel参数，应用优化，增加网络宽带，集群，CDN等等。

2.系统及软件漏洞
　　DOS/DDOS并不是一种入侵的操作，而系统及软件漏洞才是赤裸裸的攻击，通过攻击可以操作你的服务器获取相应的权限等等。典型的案例如：心血漏洞（ssh服务），redies漏洞，bash漏洞等等，这些漏洞都会导致你的服务器被黑客入侵。
解决方法：多关注redhat，乌云等官网，这些网站会时不时暴露出安全事件。当然他们有时候会给出相应的解决方案，你可以根据他们出的方案去做相应的操作，如果持续没有给出解决方案就得考虑是否要换产品了。

3.缓冲区溢出攻击
　　缓冲区溢出是指当计算机向缓冲区内填充数据位数是超过了缓冲区本身的容量，溢出的数据覆盖在合法数据上，理想的情况是：程序会检查数据长度，而且并不允许超过缓冲区长度的字符。但是绝大多数程序都会假设数据长度总是与所分配的存储空间相匹配，这就为缓冲区溢出埋下隐患。操作系统所使用的缓冲区，又被成为”堆栈“，在各个操作系统进程之间，指令会被临时存储在”堆栈“当中，”堆栈“也会出现缓冲区溢出。

4.扫描
　　端口扫描攻击是一种常用的嗅探技术，攻击者可将它用于寻找他们能够成功攻击的服务。连接在网络中所有计算机都会运行许多使用TCP或UDP端口的服务，而所提供的已定义端口达6000个以上。通常，端口扫描仅利用对端口所进行的扫描不会造成直接的损失。然而，端口扫描可让攻击者找到可用于发动各种攻击的端口。在国外扫描是违法的，但在国内就不好说啦。

5.木马
　　如果你的服务器存在木马的话，那么说明你的服务器已经被入侵了。木马（Trojan）这个名字来源于古希腊传说（荷马史诗中木马计的故事，Trojan一词的特洛伊木马本意是特洛伊的，即代指特洛伊木马，也就是木马计的故事）。”木马“程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不”刻意“地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马提供打开被种主机的门户，使施种者可以任意毁坏，窃取被种者的文件，甚至远程操控被种主机。木马病毒的产生严重危害着现代网络的安全运行。

6.IP欺骗
　　IP地址欺骗是指行动产生的IP数据包为伪造的源IP地址，以便冒充其他系统或发件人的身份。这是一种黑客的攻击形式，黑客使用一台计算机上网,而借用另外一台机器的IP地址,从而冒充另外一台机器与服务器打交道。

7.ARP欺骗
　　由于局域网的网络流通不是根据IP地址进行，而是根据MAC地址进行传输。所以，MAC地址在A上被伪造成一个不存在的MAC地址，这样就会导致网络不通，A不能Ping通C！这就是一个简单的ARP欺骗。

8.跨站攻击
　　跨站攻击，即Cross Site Script Execution(通常简写为XSS)是指攻击者利用网站程序对用户输入过滤不足，输入可以显示在页面上对其他用户造成影响的HTML代码，从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。

9.SQL注入攻击
　　SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。

10.中间人攻击
　　中间人攻击（Man-in-the-MiddleAttack，简称“MITM攻击”）是一种“间接”的入侵攻击，这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间，这台计算机就称为“中间人”。

11.密码攻击
　　密码攻击是在不知道密匙的情况下，恢复出明文。常用的密码分析攻击有惟密文攻击(Ciphertext Only Attack)、选择明文攻击(Chosen Plaintext Attack)、选择密文攻击(Chosen Ciphertext Attack) 和相关键值攻击(Related Key Attack) 四大类。

12.0day攻击
　　在计算机领域中，0day通常是指还没有补丁的漏洞，而0day攻击则是指利用这种漏洞进行的攻击。

13.社会工程学攻击
　　社会工程攻击，是一种利用"社会工程学" 来实施的网络攻击行为。在计算机科学中，社会工程学指的是通过与他人的合法地交流，来使其心理受到影响，做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。在英美普通法系中，这一行为一般是被认作侵犯隐私权的。历史上，社会工程学是隶属于社会学，不过其影响他人心理的效果引起了计算机安全专家的注意。

二.运维安全技术概览
1.物理安全
　　我们可以把服务器托管到高级的IDC机房，这样你的服务器就不会被轻易的被别人触碰到，你可能在公司一台服务器都么有，但是你可以操作上万台服务器这都是有可能的。当你要去看某台服务器时，你得带上你的身份证，需要安检，而且只要你进入IDC机房之后每一个角落都有视频监控。相对来说可以保证物理安全。

2.系统安全
　　可以从以下四个方向进行考虑，如文件系统，系统进程，用户安全，日志管理等等。

3.网络安全
　　我们可以购买硬件的防火墙或VPN，当然你也可以利用软件来代替，但是性能和稳定性就大大的不如花钱的好使啦。

4.应用安全
　　说白了香葱应用软件做安全几乎是很难的，只可以做个优化处理，比如网站服务器我们可以将web 的软件版本隐藏起来，自己搭建内外的DNS等等，将ssh服务的root远程登录给禁用掉或者是给予源IP地址访问等等。

5.IDS/IPS
　　即入侵检测和入侵防御系统。

　　如果你的服务器被攻击了，建议拔掉网线，让你的服务器下线。然后自己接上显示器来查看你的服务器到底是被谁攻击啦，再采取相应的解决方案。