服务器安全检测和防御技术
目录
- 1.服务器安全风险
- 2.DOS攻击检测和防御技术
- 2.1 需求背景
- 2.2 DOS攻击介绍
- 2.3 DOS目的
- 2.4 DOS类型
- 2.5 SYN Flood 攻击及解决办法
- (1)SYN Flood攻击原理
- (2)SYN攻击的解决方案原理
- 2.6 检测防御DOS攻击的配置思路
- 2.6.1 配置完成的效果显示
- 2.7 思考总结
- 3.IPS入侵检测和防御技术
- 3.1需求背景
- 3.2 IDS和IPS
- (1)IDS
- (2)IPS
- (3)IDS和IPS对比
- 3.3 IPS常见入侵手段
- 蠕虫 worm
- 3.4 IPS 入侵手段
- 3.5 IPS防护
- 3.5.1 IPS防护原理
- 3.5.2 IPS防护方式
- (1)IPS的保护对象
- (2)IPS的规则识别分类
- 3.6 防御配置
- (1)保护客户端
- (2)保护服务器
- (3) 效果显示
- 3.7 联动封锁
- 3.8 误判处置
- 3.9 注意事项
- 4.WEB攻击检测和防御技术
- 4.1需求背景
- 4.2 WAF
- 4.2.1 WAF定义
- 4.2.2 WAF常见攻击手段
- 4.2.3 SQL注入
- 4.2.4 CSRF攻击
- 4.2.5 信息泄露攻击
- (1)常见的信息泄露
- (2)信息泄露的几种原因
- 4.3 配置思路
- 4.3.1 效果展示
- 4.4 误判处理
- (1)方法一
- (2)方法二
- 5.网页防篡改技术
- 5.1 需求背景
- 5.1.1网站篡改带来的后果
- 5.2 网页防篡改
- 5.2.1 文件监控
- 5.2.2 二次认证
- (1)管理员认证流程
- (2)黑客认证流程
- 5.3 配置思路
- 5.3.1配置防篡改客户端
- 5.3.2配置二次认证
- 5.3.3 效果显示
- 5.4 注意事项
1.服务器安全风险
| 风险 | 应对策略 |
|---|---|
| 不必要的访问(如只提供HTTP服务) | 应用识别、控制 |
| 外网发起IP或端口扫描、DDOS攻击等 | 防火墙 |
| 漏洞攻击(针对服务器操作系统等) | IPS |
| 根据软件版本的已知漏洞进行攻击,口令暴力破解,获取用户权限;SQL注入、 XSS跨站脚本攻击、跨站请求伪造等等 | 服务器保护 |
| 扫描网站开放的端口以及弱密码 | 风险分析 |
| 网站被攻击者篡改 | 网络篡改防护 |
2.DOS攻击检测和防御技术
2.1 需求背景
2016年10月21日,美国提供动态DNS服务的DynDNS报告遭到 DDoS攻击,攻击导致许多使用DynDNS服务的网站遭遇访问问题,其中包括 BBC、华尔街日报、CNN、纽约时报等一大批新闻网站集体宕机,Twitter甚至出现了近24小时0访问的局面!此次事件中,黑客就是运用了DNS洪水攻击手段。
2.2 DOS攻击介绍
DoS攻击——Denial of Service, 是一种拒绝服务攻击,常用来使服务器或网络瘫痪。
DDoS攻击——Distributed Denial of Service, 分布式拒绝服务攻击
2.3 DOS目的
①、消耗带宽
②、消耗服务器性能
③、引发服务器宕机
2.4 DOS类型
2.5 SYN Flood 攻击及解决办法
(1)SYN Flood攻击原理
(2)SYN攻击的解决方案原理
SYN代理
2.6 检测防御DOS攻击的配置思路
1、【防火墙】-【DOS/DDOS防护】-新增【外网对内网攻击防护策略】。
2、【源区域】选择外网区域。
3、【扫描防护】勾选【IP地址扫描防护】、【端口扫描防护】。
4、【内网IP组】选择需要保护的服务器IP组。
5、【DoS/DDoS攻击类型】-勾选所有类型,一般按照默认即可,为体现测试 效果可适当调低封锁阈值。
6、【高级防御选项】-可勾选除【IP数据块分片传输防护】之外的其他选项,
一般不建议勾选【IP数据块分片传输防护】,勾选了分片数据包都将被丢弃。
2.6.1 配置完成的效果显示
【内置数据中心】-【日志查询】- 【Dos攻击】查看具体日志。
2.7 思考总结
SYN洪水攻击防护的【每目的IP激活阈值】、【每目的IP丢包阈值】 指的是什么?
每目的IP激活阀值
1、每目的IP激活阈值,指当针对策略设置的目的IP组内某IP发起的syn请求速 率数据包超过设定值,则触发AF的syn代理功能
每目的IP丢包阀值
2、每目的IP丢包阈值,指当针对策略设置的目的IP组内某IP发起的syn请求速 率数据包超过设定值,则AF不再启用syn代理,直接丢弃syn包。
3.IPS入侵检测和防御技术
3.1需求背景
2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入勒索病毒 ,导致电脑大量文件被加密。受害者电脑被黑客锁定后,病毒会提示支付价值相当于300美元(约合人民币2069元)的比特币才可解锁。
3.2 IDS和IPS
(1)IDS
IDS——Intrusion Detection Systems,即入侵检测系统,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果。
(2)IPS
IPS——Intrusion Prevention Systems,即入侵防御系统,可对网络、系统的运行状况进行监视,并可发现阻止各种攻击企图、攻击行为。
(3)IDS和IPS对比
3.3 IPS常见入侵手段
蠕虫 worm
3.4 IPS 入侵手段
(1)网络设备、服务器漏洞
(2)后门、木马、间谍软件等
例子:2015年7月27日,安卓被爆“ 心脏滴血”漏洞,黑客只需知道手机号码,通过彩信向用户发送间谍软件,便可远程操控安卓手机。(3)口令暴力破解
常见的暴力破解方法:
a 字典法:黑客通过各种手段所获取一些网络用户所经常使用的密码,集合在 一起的的一个文本文件
b 规则破解:规则法是通过和账号或者用户的个人信息进行破解,如生日、电话等信息
3.5 IPS防护
3.5.1 IPS防护原理
IPS通过对数据包应用层里的数据内容进行威胁特征检查,并与IPS规则库进行比对,如果匹配则拒绝该数据包,从而实现应用层IPS的防护
3.5.2 IPS防护方式
(1)IPS的保护对象
保护客户端:用于保护客户端机器及其应用软件系统不因本身的漏洞而受到攻击。
保护服务器:用于保护服务器及其应用软件系统不因服务器或者软件本身存在的漏洞而受到攻击;还用于阻止用户频繁登录指定协议服务器,防止暴力破解攻击。
(2)IPS的规则识别分类
◆保护服务器和客户端(一般是病毒、木马等) 防止包括操作系统本身的漏洞,后门、木马、间谍、蠕虫软件以及恶意代码的攻击。 ◆保护服务器软件(如应用服务器提供的应用) 防止针对web、dns、ftp、tftp、telnet、邮件、数据库、媒体服务器应用本身的漏洞以及网络设备进行的攻击和暴力破解。
◆保护客户端软件(如OA、IE等) 防止针对web activex 控件漏洞、web浏览器、文件格式、应用软件进行的攻击。
3.6 防御配置
(1)保护客户端
1、【IPS】-新增IPS策略
2、【源区域】选择内网客户端所在区域,源IP选择需要防护的客户端IP组
3、【目的区域】选择外网区域,目的IP组选择全部
4、【IPS选择】选择【保护客户端】及【恶意软件】
5、 选择允许或拒绝、是否联动封锁、是否日志记录,依具体情况而定
(2)保护服务器
1、【IPS】-新增IPS策略
2、【源区域】选择外网区域,源IP组选择全部
3、【目的区域】选择服务器所在区域,目的IP选择需要防护的服务器IP组
4、【IPS选择】选择【保护服务器】及【口令暴力破解】
5、 选择允许或拒绝、是否联动封锁、是否日志记录,依具体情况而定
(3) 效果显示
【内置数据中心】-【日志查询】- 【IPS】查看具体日志
3.7 联动封锁
防火墙规则联动封锁:
== IPS/WAF阻断一个高危入侵后,即通知防火墙模块阻止此源IP通讯一段时间,使入侵源IP无法继续攻击,有效降低入侵强度,保护服务器安全。==
1. IPS/WAF/DOS/僵尸网络模块可以配置联动封锁
2. IPS/WAF/DOS/僵尸网络中仅“阻断”事件会触发联动封锁
3. 联动封锁针对的是该源IP通过防火墙的任何通信
4. 被联动封锁的主机可访问AF控制台,无法访问数据中心
5. 临时防火墙容量为1000条
6. 被联动封锁的拒绝记录在应用控制日志中查询
3.8 误判处置
IPS规则默认有致命、高、中、低、信息五个级别,可能存在外网与内网之间的正常通讯被当成一种入侵通讯被设备给拒绝了或者是外网对内网的入侵被当成一种正常通讯给放通了,造成一定的误判,此时又该如何修改IPS防护规则?
(1)配置IPS规则时,对于IPS日志勾选上“记录”
(2)根据数据中心的日志,查询到误判规则的漏洞ID
(3)对象设置—漏洞特征识别库中,修改相应漏洞ID的动作,如改成放行或禁用。
如果正常通讯被当成一种入侵通讯被设备给拒绝了,也可直接查询数据中 心的拒绝日志,直接添加例外。
3.9 注意事项
1、配置IPS保护客户端和服务器时,源区域为数据连接发起的区域。
2、IPS保护客户端与保护服务器中的客户端漏洞和服务器漏洞规则是不同的, 因为攻击者针对服务器和客户端会使用不同的攻击手段。
4.WEB攻击检测和防御技术
4.1需求背景
2015年04月22日,超30个省市卫生和社保系统爆出漏洞,黑客通过sql注 入,完成数千万用户的社保信息的拖库批量下载。社保系统里的信息包括了居民身份证、社保、薪酬等敏感信息
以OWASP的top 10项目为例,其列出了对企业组织所面临的10项的最严 重的web应用程序安全风险,由下图可以看到,注入和XSS攻击由07年直至17 年始终位居前几位。
4.2 WAF
4.2.1 WAF定义
WAF——Web Application Firewall,即Web应用防护,主要用于保 护Web服务器不受攻击,而导致软件服务中断或被远程控制。
4.2.2 WAF常见攻击手段
WAF常见攻击手段有哪些?
1、SQL注入
2、XSS攻击
3、网页木马
4、网站扫描
5、WEBSHELL
6、跨站请求伪造
7、系统命令注入
8、文件包含攻击
9、目录遍历攻击
10、信息泄漏攻击
4.2.3 SQL注入
SQL注入——就是通过把SQL命令插入到Web表单递交或输入域名或页 面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
SQL注入的小视频 方便理解SQL注入
链接:https://pan.baidu.com/s/1lRtnTsnq-4Lwl-v9_Rn3og
提取码:1kuj
复制这段内容后打开百度网盘手机App,操作更方便哦
(1)、攻击数据出现在哪里(在哪里提交、如何提交)?
Web提交数据一般有两种形式,一种是get,一种是post。
1、Get的特点,提交的内容经过URI编码直接在url栏中显示
2、Post的特点,提交的内容不会直接显示在url部分,会在post包的data字段中
(2)、什么内容才是SQL注入攻击(提交 什么内容才认为是SQL注入攻击)?
SQL注入攻击可以根据其特点分为弱特征、注入工具特征、强特征三种。
a 弱攻击:类似这种select * from test,这个sql语句中,有两个关键字select和from执行了一个查询语句,其危险性相对强攻击较低;
b 注入工具攻击:利用一些专业的SQL注入工具进行攻击,这些工具的攻击都是具有固定数据流特征的。
c 强攻击:如insert into test values(lmj,123) 这个语句中有三个SQL 关键字insert、into、values,并且这个语句操作可能导致在test表中添加lmj 这个用户,这种语句被认为是危险的
强攻击大致具备如下特征:
1、包含三个及以上的SQL关键字,并且这三个关键字组合起来能够成为一条合法的SQL语句。
2、包含任何的SQL关键字连词,这些连词包括union. “;”, and, or等,并且采取了常用的sql注入方法来运用这些连词,如数据包中存在 and 1=1 会被认为是强特征。
4.2.4 CSRF攻击
CSRF——Cross Site Request Forgery,即跨站点请求伪造,攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、 虚拟货币转账等。
小视频 更好的理解CSRF攻击
链接:https://pan.baidu.com/s/19uaHBZe-laR2SjaFY9hvIw
提取码:kteb
复制这段内容后打开百度网盘手机App,操作更方便哦
4.2.5 信息泄露攻击
信息泄露漏洞是由于在没有正确处理一些特殊文件,通过访问这些文件或者路径,可以泄露web服务器的一些敏感信息,如用户名、密码、源代码、服务器信息、配置信息。
(1)常见的信息泄露
1、应用错误信息泄露;
2、备份文件信息泄露;
3、web服务器缺省页面信息泄露;
4、敏感文件信息泄露;
5、目录信息泄露
(2)信息泄露的几种原因
1、web服务器配置存在问题
2、web服务器本身存在漏洞
3、web网站的脚本编写存在问题
4.3 配置思路
1、【服务器保护】-【web应用防护】新增WAF策略
2、【源区域】选择外网区域,源IP组选择全部
3、【目的区域】选择服务器所在区域,目的IP选择需要防护的服务器IP组
4、【端口】选择默认,如web服务器使用的是非标准端口80,则将对应端口填至HTTP选项
5、【防护类型】 选择全部,其他选项默认即可 6、 允许或拒绝、是否联动封锁、是否日志记录,依具体情况而定
4.3.1 效果展示
【内置数据中心】-【日志查询】- 【web应用防护】查看具体日志。
4.4 误判处理
(1)方法一
在【服务器保护】-【WEB应用防护】-【排除列表】中新增URL参数排除后,WEB应用防护的网站攻击检测将跳过这些参数的检查。主要用于正常业务下某些请求参数因携带特征串而被检测为攻击的情况,可以只针对这些参数排除。
(2)方法二
在【内置数据中心】-【日志查询】-【WEB应用防护】中查询日 志,找出误判日志然后点击日志后面的“添加例外”
在数据中心排除之后,如需要取消误判排除可以到如下界面进行编辑, 取消排除操作。
5.网页防篡改技术
5.1 需求背景
随着Web应用的发展,使Web系统发挥了越来越重要的作用,与此同时,越来越多的Web系统也因为存在安全隐患而频繁遭受到各种攻击,导致Web系统敏感数据、页面被篡改、甚至成为传播木马的傀儡,最终会给更多访问者造成伤害,带来严重损失。
5.1.1网站篡改带来的后果
(1)经济损失
从媒体报道的事件中我们就能体会到,网站被篡改带来了非常大的经济损失 ,尤其对某些Web系统所有者来说可能是致命的。尤其对与银行、证券以及游戏类网站,不仅给用户带来直接的经济损失,而且会降低用户使用网站服务的信心,这对企业无疑是巨大打击,可能造成客户流失,形成间接经济损失。
(2)名誉损失
网站代表着企业、政府机构等组织在互联网用户中的形象,当首页被篡改, 甚至于留有一些侮辱性文字和图片,组织的声誉将因此会受到非常大的影响, 造成持续的名誉损失。
(3)政治风险
尤其对于政府机构的网站,一旦被反动势力入侵并利用网站散播反动言论, 不仅将会严重影响政府形象,而且会带来极大的政治风险,产生社会动荡,后 果十分严重。
5.2 网页防篡改
深信服网页防篡解决方案采用文件保护系统+下一代防火墙紧密结合,文件监控+二次认证功能紧密联动,保证网站内容不被篡改,其中文件保护系统采用 了业界防篡改技术中最先进的文件过滤驱动技术
5.2.1 文件监控
在服务端上安装驱动级的文件监控软件,监控服务器上的程序进程对网站目录文件进行的操作,不允许的程序无法修改网站目录内的内容
5.2.2 二次认证
(1)管理员认证流程
1.访问网站后台http://www.xxx.com/dede/
2. AF重定向提交管理员邮箱地址的认证页面
3. 提交接收验证码的管理员邮箱[email protected]
4. 发送带有验证码的邮件至[email protected]
5. 管理员登录邮箱获取验证码
6. 管理员提交验证码通过认证
7. 通过验证后自动跳转到后台页面
(2)黑客认证流程
第3步时,黑客无法提交正确的管理员邮箱 则无法正常登录网站后台,此过程除非黑客通过社工手段获取管理员邮箱地址,并且破解管理员邮箱后才可破解后台登录。
5.3 配置思路
5.3.1配置防篡改客户端
1、下载客户端——AF防篡改配置界面右上角有一个【安装防护客户端】下载链接,点击下载对应操作系统客户端即可,或者直接 http://sec.sangfor.com.cn/tamper/下载客户端。还可以在配置界面最底部有 一个默认勾选的服务器文件系统防护点击“安全防护客户端”即可下载 windows或者linux客户端软件。
2、安装客户端
3、设置客户端
5.3.2配置二次认证
1、【服务器保护】-【网站篡改防护2.0】新增防篡改策略。
2、【服务器IP】若DNAT是在AF上做的,填写DNAT之后的IP;若DNA不是在 AF上做的,则填写访问服务器数据经过AF时的目的IP。
3、【网站后台登录防护】需要填写访问端口及网站管理URL。
4、【管理员认证方式】IP认证即IP白名单,加入到这个IP认证列表的不需要二 次认证;邮件认证即需要通过邮件验证码形式发送邮件附件填写到页面上才能 访问管理员后台。如果两种认证方式都不勾选则默认全部拒绝。
5、如果使用了邮件认证则必须在【系统】-【邮件服务器】配置发件人
5.3.3 效果显示
5.4 注意事项
1、防篡改客户端必须连接防火墙并匹配防篡改策略后才会生效,防篡改客户端 生效后,即使防火墙不在线,功能依然生效。
2、若网站本身有webshell未删除,则防篡改客户端无法拦截webshell的文件 篡改行为。
3、Windows系统中,防篡改客户端无法通过控制面板-卸载程序进行卸载,需 要使用安装目录中的tamper.exe进行卸载,卸载需要输入客户端密码。
4、Linux系统中,在防篡改功能开启前已经建立的会话或者连接,防篡改功能 不会生效。新的会话或者连接才生效。
5、 Linux系统中,已经被防篡改保护的会话或者连接,在防篡改进程停止的情 况依然会生效,如果要关闭防篡改功能,请通过配置开关停掉防篡改功能。
6、 Linux系统中,开启防篡改的服务器,如果需要完全消除防篡改的影响,先 卸载防篡改程序后重启所有服务或者直接重启服务器。
7、 Linux系统中, Agent自身的bypass机制,当服务器内存系统资源超过 70%时,功能不生效。