系統架構設計師筆記第11期：資訊安全的抗攻擊技術

拒絕服務攻擊

拒絕服務攻擊（Denial of Service，DoS）是一種旨在使目标系統無法提供正常服務的攻擊方式。攻擊者通過向目标系統發送大量的請求或占用系統資源，超過系統的承載能力，導緻系統過載或崩潰，進而使合法使用者無法正常通路系統。以下是關于拒絕服務攻擊的防禦措施：

1. 流量過濾和防火牆配置： 在網絡邊界設定流量過濾和防火牆規則，過濾掉異常或惡意流量，阻止潛在的攻擊流量進入系統。
2. 負載均衡和彈性擴充： 使用負載均衡技術将流量分散到多個伺服器上，以分擔單個伺服器的負載。同時，根據需求彈性地擴充伺服器資源，以适應高流量壓力。
3. 流量監測和入侵檢測系統（IDS/IPS）： 部署流量監測系統和入侵檢測/預防系統，實時監測和檢測異常流量或攻擊行為，并采取相應的防禦措施。
4. 限制資源消耗： 針對惡意請求或異常行為，實施限制政策，例如限制連接配接數、限制帶寬或限制通路頻率等，以防止資源被耗盡。
5. 内容分發網絡（CDN）： 使用CDN服務将流量分發到全球分布的緩存節點，以減輕原始伺服器的壓力，并提供更快的響應速度。
6. 網絡流量清洗： 利用專業的網絡流量清洗服務，對流量進行分析和清洗，過濾掉惡意流量，確定合法使用者的正常通路。
7. 合理配置系統和服務： 針對系統和服務，進行合理的配置和優化，確定系統資源的有效利用，提高系統的抗壓能力。
8. 入侵防禦和漏洞修複： 及時更新和修複系統和應用程式的漏洞，以防止攻擊者利用已知漏洞進行拒絕服務攻擊。
9. 流量限制和限制政策： 針對惡意請求或異常流量，使用限制政策，例如限制IP位址、使用者身份驗證、驗證碼等，以限制惡意行為。
10. 災備和備份方案： 實施災備和備份方案，以防止系統崩潰時造成的資料丢失和服務中斷。

以上措施綜合起來可以幫助減輕拒絕服務攻擊的影響，提高系統的可用性和安全性。然而，拒絕服務攻擊的形式和技術不斷演進，是以持續的監測、更新和改進是關鍵的防禦措施。

欺騙攻擊

欺騙攻擊是一種通過誤導、虛假資訊或社交工程等手段，欺騙目标使用者以達到非法目的的攻擊行為。以下是關于欺騙攻擊的防禦措施：

1. 教育和意識提升： 提高使用者的安全意識，教育他們有關欺騙攻擊的常見手法和風險。組織安全意識教育訓練，教導員工如何辨識和應對欺騙攻擊。
2. 謹慎相信資訊： 對于收到的資訊，特别是來自未知或不可信來源的資訊，要保持謹慎，并進行合理的驗證和核實。
3. 驗證身份和權限： 在處理涉及敏感資訊、财務交易或授權通路的請求時，要驗證對方的身份和權限，并采取适當的措施進行确認。
4. 保護個人資訊： 不輕易将個人敏感資訊提供給未經驗證的實體或在不安全的環境下使用。使用加密通信或安全通道來保護敏感資訊的傳輸。
5. 警惕社交工程： 對于使用社交工程手法進行的攻擊，要保持警惕。不輕易相信陌生人提供的資訊、請求或建議，避免受到欺騙。
6. 網絡過濾和防火牆： 在組織的網絡邊界設定過濾和防火牆規則，阻止來自惡意或欺騙性網站的通路，并減少惡意軟體的入侵。
7. 定期更新系統和應用程式： 及時更新個人裝置群組織的系統和應用程式，以修複已知漏洞和安全問題，減少受到欺騙攻擊的風險。
8. 多因素身份驗證： 對于涉及敏感資訊或重要操作的場景，使用多因素身份驗證可以提高安全性，防止欺騙者擷取未經授權的通路。
9. 網絡監測和日志記錄： 部署網絡監測工具和日志記錄系統，實時監測和記錄異常活動，以便及時檢測和應對欺騙攻擊。
10. 舉報和合作： 如果發現欺騙攻擊行為或成為受害者，應及時向相關機構報告，并積極與執法部門或安全專家合作。

綜上所述，通過教育、謹慎、驗證、保護個人資訊、使用安全通信和技術措施等多種方法，可以有效預防和應對欺騙攻擊。

端口掃描

端口掃描攻擊是指攻擊者通過掃描目标主機上的開放端口，以擷取目标系統的網絡服務和漏洞資訊，為進一步攻擊做準備。以下是關于端口掃描攻擊的防禦措施：

1. 防火牆配置： 在網絡邊界設定防火牆，僅開放必要的端口，并限制來自外部網絡的通路。防火牆規則應根據實際需求進行嚴格配置，阻止未經授權的端口掃描嘗試。
2. 端口過濾： 在目标主機上配置端口過濾規則，隻允許必要的服務監聽特定端口，并禁止其他未使用的端口。這樣可以減少暴露的攻擊面。
3. 頻率限制： 針對同一IP位址的連接配接請求進行頻率限制，防止攻擊者通過大量連接配接嘗試進行端口掃描。
4. IDS/IPS系統： 部署入侵檢測系統（IDS）或入侵預防系統（IPS），實時監測網絡流量，檢測并阻止異常的端口掃描行為。
5. 端口隐藏： 隐藏不必要的服務和開放端口，減少攻擊者發現目标系統的可能性。可以使用端口轉發或端口僞裝等技術隐藏真實的端口。
6. 系統和應用程式更新： 及時更新系統和應用程式，修複已知漏洞，以減少攻擊者利用漏洞進行端口掃描的機會。
7. 日志監控和分析： 配置系統日志監控，記錄和分析網絡流量、連接配接請求和端口掃描行為，及時發現異常活動。
8. 入侵響應： 在檢測到端口掃描攻擊時，及時采取響應措施，例如封禁攻擊源IP位址、通知網絡管理者或執法部門等。
9. 端口掃描檢測工具： 使用端口掃描檢測工具，主動掃描和檢測自己的系統，及時發現并修複潛在的安全漏洞。
10. 網絡隔離和安全政策： 将網絡劃分為不同的安全區域，并根據安全需求實施網絡隔離和通路控制政策，減少端口掃描攻擊對關鍵系統的影響。

綜上所述，通過合理的配置、監控和響應措施，可以減少端口掃描攻擊的風險，并保護系統的安全性。

強化TCP/IP 堆棧以抵禦拒絕服務攻擊

強化TCP/IP堆棧是一種提高系統的抵禦拒絕服務攻擊能力的方法。以下是一些常見的方法和技術：

1. 連接配接限制和排隊： 實施連接配接限制和排隊機制，限制每個用戶端的同時連接配接數，防止過多的連接配接請求導緻資源耗盡。可以使用防火牆、負載均衡器或專用裝置來實作這些功能。
2. SYN 攻擊防禦： 針對 SYN 攻擊（一種常見的拒絕服務攻擊類型），可以采取 SYN 防護機制，如 SYN Cookie 或 SYN Proxy。這些機制可以在建立 TCP 連接配接時進行驗證，防止僞造的 SYN 請求導緻資源耗盡。
3. 連接配接速率限制： 實施連接配接速率限制，限制每個用戶端機關時間内的連接配接數或請求速率。這可以防止惡意使用者通過大量連接配接請求耗盡系統資源。
4. 流量監測和過濾： 使用流量監測和過濾技術，實時檢測和過濾異常流量。可以使用入侵檢測系統（IDS）或入侵預防系統（IPS）來監測和過濾潛在的攻擊流量。
5. 資源配置設定和管理： 合理配置設定和管理系統資源，包括處理器、記憶體、帶寬等，以防止單個連接配接或請求占用過多資源，導緻其他合法請求無法得到響應。
6. 流量分流和負載均衡： 使用負載均衡器将流量分散到多個伺服器上，平衡負載和防止單一伺服器過載。這可以提高系統的可用性和抵禦拒絕服務攻擊的能力。
7. 異常流量檢測和自動屏蔽： 實施異常流量檢測機制，通過監測流量模式和行為分析來識别潛在的拒絕服務攻擊，并自動屏蔽或攔截惡意流量。
8. 更新和更新檔管理： 及時更新和應用作業系統、網絡裝置和應用程式的安全更新檔，修複已知漏洞，以減少攻擊者利用漏洞進行拒絕服務攻擊的機會。
9. 合理的系統配置： 配置和調整系統參數，包括最大連接配接數、逾時時間等，以适應預期的負載和流量，并提供合理的保護機制。
10. 實時監測和響應： 部署實時監測系統，及時檢測和響應拒絕服務攻擊，包括異常流量、連接配接請求和伺服器負載等方面的異常情況。

以上是一些常見的方法和技術，可以幫助強化TCP/IP堆棧，提高系統的抵禦拒絕服務攻擊的能力。然而，應該根據具體的環境和需求選擇合适的防禦措施，并持續跟蹤和更新防禦機制，以适應不斷演變的安全威脅。

系統漏洞掃描

系統漏洞掃描是一種通過自動化工具來檢測計算機系統中存在的安全漏洞和弱點的過程。以下是關于系統漏洞掃描的一般步驟和注意事項：

1. 确定掃描目标： 确定要掃描的目标系統或網絡範圍。這可以是單個主機、伺服器叢集、區域網路或網際網路上的整個子網。
2. 選擇漏洞掃描工具： 選擇适合你需求的漏洞掃描工具。有一些商業工具和開源工具可用，如Nessus、OpenVAS、NMAP等。確定選擇的工具能夠滿足你的掃描要求。
3. 配置掃描參數： 配置漏洞掃描工具的參數，包括目标位址、端口範圍、掃描類型（如全面掃描、快速掃描或定向掃描）、漏洞資料庫和規則集等。根據需要，可能需要進行身份驗證或授權以擷取更全面的掃描結果。
4. 執行漏洞掃描： 運作漏洞掃描工具，開始對目标系統進行掃描。工具将自動進行端口掃描、服務識别和漏洞檢測，并生成相應的掃描報告。
5. 分析掃描結果： 仔細分析漏洞掃描報告，檢查掃描結果中的漏洞和弱點。注意分類漏洞的嚴重程度，例如高危、中危或低危漏洞。
6. 優先級排序和修複： 根據漏洞的嚴重性和影響程度，确定修複漏洞的優先級。優先處理高風險和易受攻擊的漏洞，制定相應的修複計劃并及時執行修複措施。
7. 持續監測和更新： 漏洞掃描不應僅僅是一次性的活動，而應該是一個持續的過程。定期進行系統漏洞掃描，確定及時發現和修複新的漏洞，并随時更新漏洞掃描工具的漏洞庫和規則。

此外，還應注意以下事項：

• 確定在合法授權下進行漏洞掃描，遵守法律和道德規範。
• 在掃描之前，與系統所有者或管理者進行溝通，以避免對系統正常運作造成幹擾或風險。
• 了解漏洞掃描工具的局限性，它們無法檢測到所有類型的漏洞。是以，掃描結果應結合其他安全評估方法和手動審查進行綜合評估。
• 漏洞掃描隻是系統安全的一部分，其他安全層面（如通路控制、強密碼政策、防火牆配置等）也應得到充分關注。

通過系統漏洞掃描，可以及時發現系統中的漏洞，采取相應的措施加強系統安全，提高系統的抵禦能力。