服务器安全检测和防御技术

Posted 坏坏-5

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了服务器安全检测和防御技术相关的知识,希望对你有一定的参考价值。

服务器安全风险

  • 不必要的访问–应用识别和控制
    • 如只提供HTTP服务,就关闭其他的服务,提供的服务越多,越容易遭受攻击
  • 外网发起IP或端口扫描、DDoS攻击等–防火墙
    • 发起攻击之前,会进行IP或端口扫描,收集漏洞信息
  • 漏洞攻击–IPS
    • 针对服务器操作系统等
  • 根据软件版本的已知漏洞进行攻击,口令暴力破解,获取用户权限–服务器保护
    • SQL注入、XSS跨站脚本攻击、跨站请求伪造等等
  • 扫描网站开放的端口以及弱密码–风险分析
  • 网站被攻击者篡改–Web防篡改防护

DoS攻击检测和防御技术

  • DoS攻击
    • 拒绝服务攻击,用来使服务器或网络瘫痪
    • 最基本的DoS攻击就是利用合理的请求来占用过多的服务器资源,导致合法的用户无法得到服务器的响应
  • DDoS攻击
    • 分布式拒绝服务攻击
    • 攻击方利用网络中已经被攻陷的电脑,作为僵尸机,向某一个特定的目标设备发动密集式的拒绝服务攻击,使目标设备的网络资源和系统资源耗尽,导致无法向真正的正常请求用户提供服务
  • DoS攻击目的
    • 消耗目标设备的带宽
      • 以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求无法通过
    • 消耗服务器的性能
      • 用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求
    • 引发服务器宕机
      • 攻击者发送畸形的攻击数据引发系统错误的分配大量系统资源,使主机处于挂起状态甚至宕机
  • DoS攻击类型
DOS类型攻击特征及影响
ICMP洪水攻击攻击者通过发送大量所属协议的数据包到达占据服务端带宽,堵塞线路从而造成服务端无法正常提供服务。
UDP洪水攻击
DNS洪水攻击
SYN洪水攻击攻击者利用TCP协议三次握手的特性,攻击方大量发起的请求包最终将占用服务端的资源,使其服务器资源耗尽或为TCP请求分配的资源耗尽,从而使服务端无法正常提供服务。
畸形数据包攻击攻击者发送畸形的攻击数据引发系统错误的分配大量系统资源,使主机处于挂起状态甚至宕机,如PingofDeath、TearDrop。
CC攻击攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。CC主要是用来攻击页面的。
慢速攻击慢速攻击是CC攻击的一个变种,对任何一个开放了HTTP访问的服务器HTTP服务器,先建立了一个连接,指定一个比较大的content-length,然后以非常低的速度发包,比如1-10s发一个字节,然后维持住这个连接不断开。如果客户端持续建立这样的连接,那么服务器上可用的连接将一点一点被占满,从而导致拒绝服务。
IP Smurf攻击通过伪造成被攻击者的IP,向第三台主机发送大量的Ping包,目标主机会把回应包发送给真正的被攻击者
  • Ping Of Death即死亡之Ping,原理是攻击者向目标主机发送超大尺寸的ICMP报文,导致目标主机系统崩溃
  • TearDrop即落泪攻击,原理是攻击者恶意修改分片报文的偏移量字段,导致目标主机在重组报文时,发生系统崩溃
  • CC攻击主要针对对象是HTTP网站,通过发送大量的HTTP请求包,导致目标主机系统资源耗尽
  • 慢速攻击是CC攻击的变种,原理是将正常的数据包,恶意分片为多个数据包,然后再服务器连接响应的极限时间内,再次发送一个数据包,通过极小的带宽和时间,占用服务器的一个连接数,最后导致正常合法用户无法连接服务器

SYN Flood攻击

  • 攻击原理
    • 攻击者针对服务器提供的TCP端口发送大量的TCP SYN请求,服务器根据TCP协议,对请求进行回应TCP SYN+Ack,然后调用资源保护,等待客户端响应Ack的确认
    • 此时,攻击者不会回应Ack确认报文,服务器就会一直等待,直至超时。以此达到消耗服务器性能的目的

  • 解决方案:SYN代理
    • 通过NGAF来接管客户端与服务器的TCP三次握手请求,当收到SYN Flood攻击时,服务器不会收到影响
    • 如果攻击者的数量远超过AF所能处理的最大连接数,也会导致AF系统资源耗尽,造成服务器无法访问

  • DoS攻击是无法完全防御的,只要能被客户端进行访问,就可能存在DoS攻击的风险。只能从一定程度上防御DoS攻击
  • 配置注意事项
    • 在防御选项中,IP数据块分片传输防护不建议勾选,如果勾选,那么所有被分片的数据包都会被丢弃
    • **每目的IP激活阈值:**是指当针对策略设置的目的IP组内某IP发送的SYN请求超过阈值后,将会触发AF的SYN代理,接管服务器与客户端进行三次握手连接
    • **每目的IP丢包阈值:**是指当针对策略设置的目的IP组内某IP发送的SYN请求超过阈值后,AF不会再处理SYN的请求,直接丢弃SYN请求

IPS入侵检测和防御技术

  • 入侵是在用户毫无感知的情况下,获得主机或服务器的最高控制权
  • 攻击是为了使目标主机或服务器崩溃或宕机
  • IDS
    • Intrusion Detection Systems,即入侵检测系统,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果
    • 只检测入侵行为并记录日志,不会做出阻断动作
  • IPS
    • Intrusion Prevention Systems,即入侵防御系统,可对网络、系统的运行状况进行监视,并可发现阻止各种攻击企图、攻击行为
    • 检测入侵行为并记录日志,还会做出阻断动作


IPS常见入侵手段

  • 蠕虫(worm)
    • 是一种可以自我复制的恶意程序,可以通过网络进行传播,消耗网络和系统资源
    • 常见入侵手段:扫描、攻击、寄生、发作、传播

  • 网络设备、服务器漏洞
    • 网络设备或服务器系统存在可被恶意利用并入侵的漏洞
  • 后门、木马、间谍软件
    • 可以收集获取被攻击电脑的数据并远程控制
  • 口令暴力破解
    • 使用穷举法对密码进行逐个猜解,一般使用字典来提高破解效率
    • 字典法:通过一些手段,获取网络用户经常使用的一些密码,写入在一个文本文件中
    • 规则破解:通过与账号或者用户个人信息进行破解

IPS防护原理

  • 通过对数据包应用层里的数据内容进行威胁特征检查,并与IPS规则库进行比对,如果匹配则拒绝该数据包,从而实现应用层IPS的防护

  • 与传统防火墙的差别是:传统防火墙只会检查网络层和传输层,不会对应用层进行解析

IPS防护方式

  • IPS保护对象
    • 保护客户端
      • 保护客户端机器及其应用软件系统不因本身的漏洞而受到攻击
    • 保护服务器
      • 保护服务器及其应用软件系统不因服务器或者软件本身存在的漏洞而受到攻击
      • 还用于阻止用户频繁登录指定协议服务器,防止暴力破解攻击
  • IPS的规则识别分类
    • 保护服务器和客户端(一般是病毒、木马等)
      • 防止包括操作系统本身的漏洞,后门、木马、间谍、蠕虫软件以及恶意代码的攻击
    • 保护服务器软件(如应用服务器提供的应用)
      • 防止针对web、dns、ftp、tftp、telnet、邮件、数据库、媒体服务器应用本身的漏洞以及网络设备进行的攻击和暴力破解
    • 保护客户端软件(如OA、IE等)
      • 防止针对web activex 控件漏洞、web浏览器、文件格式、应用软件进行的攻击
  • 配置保护客户端时,IPS策略的源区域是内网客户端所在区域,源IP是需要防护的客户端IP组
  • 配置保护服务器时,IPS策略的源区域是外网区域,源IP组选择全部
  • 联动封锁
    • 即当收到一个IP的攻击后,AF会组织此源IP通讯一段时间,使源IP无法继续攻击
    • 只有IPS、WAF、DoS、僵尸网络模块中的阻断事件才会触发联动封锁
    • 联动封锁的IP的任何通信都无法通过防火墙,被封锁的主机可以访问AF的控制台,但是无法访问数据中心

【AF 服务器安全防护实验】

WEB攻击检测和防御技术

  • WAF(Web Application Firewall),即Web应用防护,主要用于保护Web服务器不受攻击,而导致软件服务中断或被远程控制
  • WAF攻击常见攻击手段
    • SQL注入
      • 在Web应用程序开发中,没有对用户输入数据的合法性进行判断
      • 攻击者利用特殊结构的SQL语句,提交一段数据库查询代码,操纵获得本不为用户所知的数据
      • 防护措施就是对用户输入的内容进行过滤检测
    • XSS攻击
      • 跨站脚本攻击,在Web应用程序开发中,没有对用户提交的语句和变量进行过滤或控制
      • 攻击者通过Web页面向数据库或html页面提交恶意的HTML代码
      • 防护措施就是检查Web请求的Referer字段,使用随机的 Token令牌
    • 网页木马
      • 当用户访问该HTML页面时,嵌入该网页的脚本利用浏览器漏洞,自动下载并运行木马程序
    • 网站扫描
      • 对Web站点的结构漏洞进行扫描
    • WEBSHELL
      • Web入侵的脚本工具,一般是一个ASP、php或JSP程序页面
      • 在入侵网站后,将木马放置在Web目录中,通过WebShell长期操作和控制受害者网站
    • 跨站请求伪造
      • CSRF,通过伪装来自受信任用户的请求来利用受信任的网站
    • 系统命令注入
      • 攻击者提交特殊字符或操作系统命令,Web程序没有检测或绕过Web程序过滤,将用户提交的请求作为指令进行解析,达到操作系统命令执行
    • 文件包含漏洞
      • 针对PHP站点特有的恶意攻击
      • 通过指定远程主机上的文件作为参数来提交给变量执行,文件如果是PHP木马,则会以Web权限成功执行
    • 目录遍历攻击
      • 通过向服务器任意目录或特殊意义的目录附加../,来达到访问Web服务器根目录之外的目录
    • 信息漏洞攻击
      • 由于Web服务器配置或本身存在安全漏洞,导致一些系统或配置文件暴露,致使泄露Web服务器的一些敏感信息

【AF WAF 实验】

网页防篡改技术

  • 网页篡改带来的后果
    • 经济损失
    • 名誉损失
    • 政治风险
  • 防篡改的主流技术
    • 定时循环扫描技术
      • 按用户设定的间隔,对网站目录进行定时扫描比对,如果发现篡改,就用备份进行恢复
      • 缺点是网站的文件多,定时扫描耗费时间成本大,并且在下次扫描到该文件之前,文件一直处于被篡改的状态
      • 耗费服务器性能,事后检测存在盲区,容易被卸载,而且对动态网页存在局限性
    • 事件触发技术
      • 对网站目录进行实时监控,只要有改变就立马检查是否时非法篡改
      • 缺点也是在发生网页篡改后才检测,并且存在盲区,容易被卸载
    • 核心内嵌技术
      • 也叫数字水印技术,在用户请求访问网页之后,在系统正式提交网页内容给用户之前,对网页进行完整性检查
      • 缺点是算法被破解或者文件大场景会收到局限,一样容易被卸载
  • 深信服网页防篡改技术
    • 使用文件保护系统和下一代防火墙紧密结合,文件监控和二次认证紧密结合
    • 文件监控
      • 在服务端安装文件监控软件,监控服务器上的程序进程对网站目录文件进行的操作,禁止程序修改网站目录中的内容

  • 二次认证
    • 如果需要访问网站的管理后台页面,AF会重定向提交管理员邮箱地址的认证页面
    • 提交管理员邮箱后,还需要填写邮箱验证码,提交验证码通过后,才会跳转到后台页面
    • 二次认证中还包括IP认证方式,它可以杜绝不合法的IP登录设备
  • 防篡改客户端必须连接防火墙并匹配防篡改策略后才会生效,防篡改客户端生效后,即使防火墙不在线,功能依然生效
  • 如果网站本身有WebShell未删除,则防篡改客户端无法拦截WebShell的文件篡改行为
  • Linux系统中,在防篡改功能开启前已经建立的会话或者连接,防篡改功能不会生效,只有新的会话或者连接才生效

【AF Web 防篡改 2.0 实验】


以上内容均属原创,如有不详或错误,敬请指出。
本文作者: 坏坏 本文链接: http://t.csdn.cn/kbHFO 版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请联系作者注明出处并附带本文链接!

以上是关于服务器安全检测和防御技术的主要内容,如果未能解决你的问题,请参考以下文章

windows服务器的DDOS防御,

掌控安全:安全领域知识图谱

DDoS攻击与防御

常见的DoS攻击的原理和防御

DDoS攻击与防御

服务器安全检测和防御技术