什么是跳板机

如果控制机与受害机直接相连，设想，如果这时受害机已经查出是是哪一台机子发出的Dos时，就会把黑客自己的身份暴露。那如果在受害机察觉以前把控制机的“脚印”全部删除不就可以了？如果你只想攻击受害机一次，那么有无跳板机都可，但如果你想多次攻击受害机，那么你每次都要把自己控制机上的“脚印”删除的干净（包括相关的原代码），这样当你下次要想再攻击受害机时，等于是要重新再建立攻击过程。如果中间有一个跳板机，那么你只需要如在跳板机上的“脚印”删除即可，这样受害机当查到跳板机时，线索就断开了。所以有一个跳板机的作用会使黑客自己本身更加安全。通常DOS攻击是作为入侵者入侵他人系统的一种方法，很少单独使用。入侵的思路就是：目标机发送大量无用的数据，使目标机疲于对付这些无用数据，而造成系统的迟钝缓慢，这就犹如“一心不能两用”一样，这样，入侵者就可以在潮水般的攻击中混骗过入侵检测系统。入侵的方法由以下几种：1、SYN 洪水攻击 利用服务器的连接缓冲区（Backlog Queue），利用特殊的程序，设置TCP的Header，向服务器端不断地成倍发送只有SYN标志的TCP连接请求。当服务器接收的时候，都认为是没有建立起来的连接请求，于是为这些请求建立会话，排到缓冲区队列中。 如果你的SYN请求超过了服务器能容纳的限度，缓冲区队列满，那么服务器就不再接收新的请求了。其他合法用户的连接都被拒绝掉。可以持续你的SYN请求发送，直到缓冲区中都是你的只有SYN标记的请求。 这种方法的好处就在于，不用事先去探测别人的IP，直截了当的去占领缓冲区，方法比较简单，但是由于利用的是自己的IP，所以身份比较容易暴露，在使用这种攻击思路时，对自己的主机的隐蔽性一定要做好，最简单的方法就是多使用几台傀儡机，但是在入侵后，对傀儡机的痕迹清扫也随之变得复杂而麻锁。2、IP欺骗DOS攻击 这种攻击利用RST位来实现。假设现在有一个合法用户(1.1.1.1)已经同服务器建立了正常的连接，攻击者构造攻击的TCP数据，伪装自己的IP为1.1.1.1，并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后，认为从1.1.1.1发送的连接有错误，就会清空缓冲区中建立好的连接。这时，如果合法用户1.1.1.1再发送合法数据，服务器就已经没有这样的连接了，该用户就必须从新开始建立连接。攻击时，伪造大量的IP地址，向目标发送RST数据，使服务器不对合法用户服务。这种方法的好像就是不易被主机发现，但是缺点就在于要事先知道该主机的一个合法用户的IP地址，有时还要知道IP地址对应的端口号。而在大部分的合法客户的IP地址都是随机的，所以如果每次都想用同一个用户的IP很难做到，所以每次都要进行IP合法用户探询。 3、 带宽DOS攻击 如果你的连接带宽足够大而服务器又不是很大，你可以发送请求，来消耗服务器的缓冲区消耗服务器的带宽。这种攻击就是人多力量大了，配合上SYN一起实施DOS，威力巨大。 这种方法是比较初级DOS攻击，显然并不试用于攻击大型的服务器。随着宽带的不断提高，与计算机的越来越好，使得计算机有足够的能力来对付这种攻击，这种方法已经开始不试用了。4、自身消耗的DOS攻击 这种DOS攻击就是把请求客户端IP和端口弄成主机的IP端口相同，发送给主机。使得主机给自己发送TCP请求和连接。这种主机的漏洞会很快把资源消耗光。直接导致死机。这中伪装对一些身份认证系统还是威胁巨大的。这种攻击的方式，它的伪装比较好，俗话说“最危险的地方就是最安全的地方”，也正是因为入侵者利用的服务机自身的IP，使得服务器自身很难找到入侵者是谁，这种攻击的方法最终都是因为“死锁”而造成死机的。上面这些实施DOS攻击的手段最主要的就是构造需要的TCP数据，充分利用TCP协议。这些攻击方法都是建立在TCP基础上的。还有其他的DOS攻击手段。 5、塞满服务器的硬盘 通常，如果服务器可以没有限制地执行写 *** 作，那么都能成为塞满硬盘造成DOS攻击的途径，比如： 发送垃圾邮件。一般公司的服务器可能把邮件服务器和WEB服务器都放在一起。破坏者可以发送大量的垃圾邮件，这些邮件可能都塞在一个邮件队列中或者就是坏邮件队列中，直到邮箱被撑破或者把硬盘塞满。 让日志记录满。入侵者可以构造大量的错误信息发送出来，服务器记录这些错误，可能就造成日志文件非常庞大，甚至会塞满硬盘。同时会让管理员痛苦地面对大量的日志，甚至就不能发现入侵者真正的入侵途径。 向匿名FTP塞垃圾文件。这样也可以塞满硬盘空间。总之，拒绝服务一般都是通过过载而导致服务器死机的，而过载一般是因为请求到达了极限。TCP是一种面向连接的协议，所以它采用了多种服务机制来保证连接的可靠性，如：流量控制、拥塞控制，一旦出现数据流量过大所产生的拥塞就会使服务器拒绝客户提出的连接请求。正是因为TCP的这种拒绝机制，给Dos有了可乘之机。试想，如果有客户大量的向服务器扔送无用的数据报文段，使服务器因为数据流的过多，而拒绝了超过了它上限值的以外的数据。从而导致其它真正的想使用服务器的客户被拒之门外，就会造成不必要的浪费。这也就是Dos的核心内容了。步骤A：首先，攻击者利用自己的控制机找到一个跳板机，向跳板机发出受害机的命令参数。至于发了哪些命令参数将在Dos的编辑过程做解释。步骤B：跳板机收到控制机的命令后，向受害机大量发送无用数据报文段，使得受害机疲于应付那些无数数据

回答转自知乎：

有不少朋友让我分享一些堡垒机的选取经验，这是由于他们知道我从07年开始先后在多个公司任职IT运维部门的负责人，并为公司选取并部署过从传统堡垒机到云堡垒机的多款产品，积累了不少的经验。

我们知道，堡垒机的主要功能是做一个IT系统的看门人，任何人都只能通过堡垒机作为门户单点登录系统。堡垒机不仅集中管理和分配全部账号，更重要的是能对运维人员的运维 *** 作进行严格审计和权限控制，确保运维的安全合规和运维人士的最小化权限管理，堡垒机出现可以解决许多切实的问题。

在没有部署堡垒机以前，很多公司都会遇到不少安全运维问题，比如：

a)登录账号管理混乱，多个用户使用一个账号或者一个用户使用多个账号

b)运维权限划分不明，越权 *** 作频频发生

c)认证方式过于简单，无双因子认证账号容易丢失被盗

d)对运维过程没有监控措施，出现网络安全故障难以排查原因和准确追责。

而以上这些问题都可以通过堡垒机来解决，作为看门人的堡垒机其严格管控能力十分强大，能在很大程度上的拦截非法访问，和恶意攻击，对不合法命令进行命令阻断，过滤掉所有对目标设备的非法访问行为，并对内部人员误 *** 作和非法 *** 作进行审计监控，以便事后责任追踪。

市面上门门类类的堡垒机很多，那么该如何选购呢?我主要根据自己的经验，从几个要点进行分析和比较，分享给大家参考。

首先说下传统的堡垒机，多为软硬件结合且价格昂贵，其管控能力十分强大，是银行、国营大型企业IT运维团队的首要选项。传统堡垒机的缺点是，价格很高动辄数十上百万，而且部署起来困难，需要专业的团队统筹部署，维护成本高。同时对现有网络结构侵入大，软件和硬件升级都不方便，并不怎么适合中小型企业、一般创业企业。

随着云服务技术的广泛普及，堡垒机的形态也在随之演变，在传统堡垒机的基础上又出现了云堡垒机。云堡垒机相对灵活的多，其价格便宜、维护成本低(甚至不用维护)，多为旁路部署，不改变现有网络结构，扩展能力强。基于这些优点云堡垒机近两年开始大受欢迎，是许多企业IT运维团队的选购重点。目前市面上比较流行的云堡垒机像安恒、行云管家、碉堡、云匣子等等，他们的主要功能基本相似，但优势和侧重点各有不同。

如果你的团队规模不是超大型，服务器的数量不是过万台级别，那么我主要建议大家选购云堡垒机即可。在选购合适的云堡垒级之前，首先分解一下云堡垒机的主要选购指标。

1、侵入性：如果要每台主机安装Agent，安全性不好保障，工作量也大。对于局域网主机而言，最好是只需要在网络内安装一个代理软件即可，保持其它主机的纯净和安全。如果是公有云主机，最好是支持API导入，方便快捷

2、审计方式：这点要特别注意，目前很多堡垒机只有录像审计，事实上如果真要回溯追责，光靠录像可是不够的，谁会有那么多时间去逐帧看录像呢!所以最好是要有指令审计，比如追查是谁删除了某个文件，只需输入文件名即可检索。还有一些堡垒机是不支持Windows指令审计的，如果您的主机包含了Windows，可一定要求具备Windows指令审计功能哦

Windows服务器指令检索

3、安全性：要支持身份授权、访问控制、双因子认证等安全策略。同时还要有高危命令阻断功能，要能够设置命令的黑白名单，主动拦截高危命令

双因子验证登录

4、配套功能考虑：是否具备其它运维相关功能，比如主机监控、远程协同、自动化运维。需要注意的是，堡垒机对于自动化运维的影响，如果堡垒机成为自动化运维的羁绊，那么可就得不偿失了

5、部署难度：部署难度是否大，一般SaaS模式是无需部署的，免维护，这对于小团队来说非常适用，能够减少很大的人力成本

6、产品更新频率：既然是云堡垒机，那么产品的更新迭代频率应该要快，不能像传统堡垒机一样几年不更新，毕竟产业发展的速度是很快的

7、价格：选择云堡垒机的用户一般来说对价格较敏感，在能够满足需求的前提下，自然是越便宜越好。

以上这些指标基本涵盖的云堡垒机的主要选购点，您可以根据所在公司和自己团队的实际需求情况来标示要点，根据这些要点对不同的云堡垒机品牌进行比较，选出最合适的即可。

目前市场上的云堡垒机品牌也较多，这里想以安恒云堡垒机、行云管家、碉堡云三个产品来介绍，之所以选择这三款产品，是因为它们属于云堡垒机领域做得不错的产品，同时在很多方面又比较相似。

安恒堡垒机和碉堡云其实都应该算是阿里系的产品，而行云管家是一个完全第三方的产品，三者对现有网络体系和主机的侵入性都比较低，其中安恒只支持私有部署，不提供SaaS模式，价格也相对较高。

在审计方式层面，三者都支持指令审计，但只有行云管家能够支持全系列Windows的指令审计，碉堡云只支持Linux，安恒无法支持Windows2012和2016。

安全性层面，行云管家和安恒堡垒机能够提供较丰富的安全策略，例如双因子认证。

在产品定位上，安恒和碉堡云专注做安全审计一点，没有提供额外的其它功能，而行云管家提供的是一个一站式的IT运维管理平台，除了堡垒机，还有主机监控、自动化运维、混合云管理等相对较丰富的功能，基本上你想的到的功能都有。

另外值得一提的是，行云管家产品更新频率较快，大概一个月左右一个新版本，经常会推出一些新功能，其它两款产品更新较少。

至于价格嘛，云堡垒机应该都属于大家能接受的范围，相对传统堡垒机来讲，真的是非常实惠的。

总的来说，选购堡垒机并非越贵的就越好，而是要综合考量各项指标与运维团队本身的契合度，以及在实际应用中的真实需求。如果您所在的团队是金融、政府等对安全性要求极高的组织，建议您考虑传统堡垒机。但是对于一些互联网企业、创业企业而言，我比较倾向于向大家推荐使用云堡垒机，无论是从价格还是灵活性来说他都具备优势。况且随着云计算市场的发展，上云成为主流，未来的堡垒机发展趋势也必然是偏向于云堡垒机。

    在局域网中的Linux服务器集群，为了保障运维安全，只能从堡垒机登录到各个Linux服务器。那么需要对Linux服务器集群进行安全加固，限制访问权限。在堡垒机上可以部署脚本来记录用户 *** 作的审计日志（详情参考笔者的文章），那么整个局域网的Linux服务器集群的安全性就可以大大提高。     堡垒机作用明显，其提供运维统一入口和安全审计功能，切断直接访问和事后审计定责，解决“运维混乱”变得“运维有序” 。    下面是三种方法总结。分别从服务端，系统端、防火墙端来完成只允许堡垒机SSH登录的功能。 1、/etc/ssh/sshd_config     修改添加AllowUsers到ssh配置文件/etc/ssh/sshd_config  ：     AllowUsers myuser@20.132.4.*     然后重启 sshd服务：systemctl restart sshd 2、hosts.allow与hosts.deny     修改/etc/hosts.deny中添加设置 sshd : ALL ，拒绝所有的访问；     修改/etc/hosts.allow，添加设置sshd : 20.132.4.* ，单独开启某个IP地址 。     这两个文件优先级为先检查hosts.deny，再检查hosts.allow。     更加详细信息参考笔者的文章-Linux中hosts.allow与hosts.deny  。 3、iptables防火墙     tcp协议中，禁止所有的ip访问本机的22端口。     iptables -I INPUT -p tcp--dport 22 -j DROP     只允许20.132.4.* 访问本机的22端口     iptables  -I  INPUT  -s  20.132.4.*   -ptcp  --dport  22  -j   ACCEPT     另外/etc/pam.d/sshd也可以提供访问控制功能，调用的pam_access.so模块是根据主机名、IP地址和用户实现全面的访问控制，pam_access.so模块的具体工作行为根据配置文件/etc/security/access.conf来决定。但是囿于资料过少，待以后遇到再解决把。

---