服务器防攻击本领 （服务器防御什么意思）〔服务器防御是什么意思〕

择要 ：近来 的KRACK弊端 对准 了你的装备 和wifi接入点之间的链路 ，很大概 是你家里 、办公室或你最喜好 的咖啡馆的路由器，这些本领 可以资助 进步 你的链路的安全性。

KRACK攻击弊端 如今 已经高出 48小时，并在一些与技能 相干 的网站上具体 讨论过，以是 我不会在这里重复攻击的技能 细节 。汇总下:

WPA2无线握手协议的缺陷答应 攻击者嗅探或利用 装备 与WiFi接入点之间的流量。

这对Linux和Android装备 尤其倒霉 ，由于 在WPA2标准 中语言 含糊其词 ，大概 在实行 过程中产生了误解。实际 上，在底层操纵 体系 被修补之前 ，弊端 答应 攻击者逼迫 全部 的无线通讯 在没有加密的环境 下通讯。

这个弊端 可以在客户端修补，以是 天没有塌下来，WPA2无线加密标准 在WEP标准 的同一意义上并没有被废弃（不要通过切换到WEP来“修复”这个题目 ） 。

最受欢迎 的Linux发行版已经发送更新 ，以修复客户端上的此弊端 ，以是 请你尽快的更新。

Android很快就会为这个弊端 提供补丁。假如 你的装备 正在吸取 Android安全补丁，你将很快收到修复 。假如 你的装备 不再吸取 如许 的更新 ，那么这个特别 的弊端 仅仅是你应该克制 利用 旧的、不受支持的Android装备 的另一个缘故起因 。

也就是说，从我的角度来看，Wi-Fi只是不信托 底子 办法 链中的另一个环节 ，我们应该完全克制 将其视为信托 的通讯 渠道。

Wi-Fi是不可信托 的底子 办法

假如 你从你的条记 本电脑或移动装备 上阅读这篇文章，那么你的通讯过程大概是如许 的:

KRACK攻击的目标 是你的装备 和wifi接入点之间的链路，目标 大概 是你家里的路由器，你的办公室 ，你的社区图书馆，大概 你最喜好 的咖啡馆 。

实际 上，这个图应该是如许 的:

wifi仅仅是我们不应该信托 的一个长链沟通的第一个环节。假如 我猜的话 ，你利用 的wifi路由器大概 没有收到安全更新。更糟糕的是，它大概 是默认或易于推测 的暗码 ，从未改变过 。除非你本身 设置并设置 了路由器 ，你还记得前次 更新固件的时间 ，你应该假设它如今 由别人控制，不能信托 。

通过wifi路由器 ，我们进入了通常不信托 底子 办法 的地区 ——这一样平常 取决于你的偏执程度 。在这里，我们有上游的isp和供应商，他们中的很多 人都会监控、改变、分析和贩卖 我们的个人流量 ，试图从我们的欣赏 风俗 中赚取更多的钱 。他们本身 的安全补丁通常会留下很多 东西，终极 会让我们的流量袒露 在恶意的眼睛里。

HTTPS协议

值得光荣 的是，我们有一个办理 安全通讯 题目 的方法，我们每天 都利用 它——HTTPS协议加密我们的互联网通讯 点对点 ，并确保我们可以或许 信托 我们与之交换 的网站是他们所说的。

Linux基金会的办法 如“让我们加密 ”使环球 网站全部 者可以或许 轻松提供端到端的加密技能 ，从而确保我们个人装备 和我们试图访问的网站之间的任何受损装备 都不紧张 。

嗯…险些 无关紧急 。

DNS仍旧 是一个题目

纵然 我们经心 全意地利用 HTTPS创建可信托 的通讯 渠道，攻击者仍旧 有机遇 访问我们的WiFi路由器或可以改变Wi-Fi用户的流量 ，就像KRACK一样，可以诱骗 我们与错误的网站沟通。 他们可以通过利用 我们仍旧 非常依靠 DNS的究竟 来做到这一点，这是从20世纪80年代起的一个未加密的 ，轻易 被诱骗 的协议。

DNS是一种将“linux.com”等人友爱 的域名转换为IP地点 的体系 ，盘算 机可以用来相互通讯 。要将域名翻译成IP地点 ，盘算 机将查询分析 软件——通常是在wifi路由器上运行 ，大概 是在体系 本身 上运行。然后，分析 器将查询一个分布式的“root”域名服务器，以确定在Internet上的哪个体系 具有所谓的“权势巨子 ”信息 ，即IP地点 对应于“linux.com ”域名。

题目 是，全部 这些通讯 都发生在未经身份验证的 、轻易 诱骗 的、明文的协议上，而攻击者可以很轻易 地改变相应 ，使查询返回不精确 的数据 。假如 有人想法 诱骗 了DNS查询并返回错误的IP地点 ，他们就可以利用 我们的体系 终极 发送HTTP哀求 的地方。

荣幸 的是，HTTPS有很多 内置的掩护 功能，以确保用户不轻易 伪装成另一个站点。恶意服务器上的TLS证书必须与您所哀求 的DNS名称相匹配 ，并由您的欣赏 器辨认 的荣誉 精良 的证书颁发机构颁发 。假如 不是如许 ，欣赏 器将表现 一个很大的告诫 ，即您试图与之通讯 的主机并不是他们说的对象。假如 你看到如许 的告诫 ，在选择颠覆 它之前，请警惕 审慎 ，由于 你大概 会把你的机密 泄漏 给那些会用它们来对付你的人。

假如 攻击者完全控制了路由器 ，那么他们可以通过拦截服务器上的相应 来制止 您的毗连 ，从而克制 利用 HTTPS 。服务器指示您的欣赏 器创建 一个安全毗连 (这称为“SSL脱衣攻击”)。为了掩护 你免受攻击，网站大概 会添加一个特别 的相应 头 ，告诉你的欣赏 器在将来 与他们通讯 时总是利用 HTTPS，但这只在你第一次访问之后才有效 。对于一些非常受欢迎 的站点，欣赏 器如今 包罗 了一个硬编码的域名列表，纵然 在第一次访问时 ，它也应该始终通过HTTPS访问。

DNS诱骗 的办理 方案被称为DNSSEC，但由于紧张 的停滞 ——真实的和被感知的，它的采取 非常迟钝 。在广泛 利用 DNSSEC之前 ，我们必须假定我们吸取 的DNS信息不能完全信托 。

利用 VPN办理 末了 一里的安全题目

因此，假如 你不能信托 wifi，大概 地下室里的无线路由器（大概 比你的大多数宠物都要老） ，那么怎样 才华 确保“末了 一里”通讯 的完备 性呢？这是在你的装备 和互联网之间发生的事变 吗?

一个可担当 的办理 方案是利用 信誉精良 的VPN提供商，在体系 和底子 办法 之间创建 安全的通讯 链路。这里的盼望 是，他们比你的路由器供应商和你的即时互联网供应商更关注安全 ，以是 他们处于更好的位置，以确保你的流量不会受到恶意的攻击或诱骗 。在全部 的工作站和移动装备 上利用 VPN确保像KRACK攻击或不安全路由器如许 的弊端 不会影响您与外部天下 通讯 的完备 性。

这里必要 留意 的一点是，当选择一个VPN提供商时 ，你必须公道 地包管 他们的可信度;否则，您只是将一组恶意的参加 者换为另一组。阔别 任何提供“免费VPN ”的东西，由于 他们大概 是通过监督 你和将你的流量卖给营销公司来赢利 的 。

https://www.vpnmentor.com/bestvpns/overall/网站是一个很好的资源，可以让你比力 差别 的VPN供应商 ，看看他们是怎样 相互 堆栈的。

并不是全部 的装备 都必要 安装VPN，但你每天 利用 的都是你的私家 信息，尤其是那些有你的钱和你的身份(当局 、银行网站 、交际 网络等等)的东西。VPN并不是对付全部 网络级弊端 的全能 药 ，但当你在机场利用 无包管 的wifi时，它肯定会掩护 你，大概 下次发现雷同 kracka的弊端 时 。

https://www.linux.com/blog/2017/10/tips-secure-your-network-wake-krack

欢迎 参加 翻译小组 ，一起交换 技能 ，已经有二十几名业界大牛在云技能 社区翻译组等你，云技能 社区翻译组申请