网络安全-服务器安全检测和防御技术

服务器安全风险

1. 不必要的访问（如只提供HTTP服务）—应用识别、控制
2. 外网发起IP或端口扫描、DDOS攻击等----防火墙
3. 漏洞攻击（针对服务器操作系统等)------IPS
4. 弱口令、SQL注入、XSS攻击等Web漏洞

DOS攻击检测和防御技术

DOS：拒绝服务攻击
目的：让服务器无法提供正常服务（消耗服务器带宽和资源、让服务器宕机）
攻击类型：

ICMP洪水攻击、UDP洪水攻击、DNS洪水攻击：攻击者通过发送大量所属协议的数据包到达占据服务端带宽，堵塞线路从而造成服务端无法正常提供服务。

SYN洪水攻击： 利用TCP协议三次握手的特性，攻击方大量发起的请求包最终将占用服务端的资源，使其服务器资源耗尽或为TCP请求分配的资源耗尽，从而使服务端无法正常提供服务。
通过SYN代理可以防范

畸形数据包攻击：发送畸形的攻击数据引发系统错误的分配大量系统资源，使主机处于挂起状态甚至宕机，如PingofDeath、TearDrop。

CC攻击：控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽，一直到宕机崩溃。

慢速攻击：是CC攻击的一个变种，对任何一个开放了HTTP访问的服务器HTTP服务器，先建立了一个连接，指定一个比较大的content-length，然后以非常低的速度发包，比如1-10s发一个字节，然后维持住这个连接不断开。如果客户端持续建立这样的连接，那么服务器上可用的连接将一点一点被占满，从而导致拒绝服务。

应对措施：使用下一代防火墙给服务器充当代理，根据客户端访问服务器的报文数量进行检测

IPS入侵检测和防御技术

IDS

IDS入侵检测系统，可以发现针对系统和网络发起的攻击企图、行为、结果
安全性低，只能检测
仅支持并联部署
被动防御

IPS

IPS通过对数据包应用层里的数据内容进行威胁特征检查，并与IPS规则库进行比对，如果匹配则拒绝该数据包，从而实现应用层IPS的防护。

IPS入侵防御系统，可以发现并阻止针对系统和网络发起的攻击企图、行为、结果
支持串联（透明模式、路由模式）部署和并联部署（旁路模式）
安全性高，防护攻击
主动防御

防护威胁类型：

1. 木马、病毒、蠕虫恶意程序
2. 针对操作系统的漏洞
3. 弱口令破解

防护原理：深度检测、持续检测、行为特征匹配

Web攻击检测和防御技术

WAF（Web application firewall，针对web安全领域的设备）：对http请求和响应报文中的数据进行检测和过滤。主要用于保护Web服务器不受攻击而免于软件服务中断或被远程控制。

常见攻击手段：
SQL注入 XSS攻击
网页挂马 网站扫描
WebShell 跨站请求伪造CSRF
系统命令 文件包含等

网页防篡改技术

网站篡改后果：经济损失、名誉损失、政治风险等

防篡改技术：

1. 文件监控：监控系统发现并阻止非管理员对web内容的修改，并留下日志
2. 二次认证：管理员登录，要求管理员的账户口令和其他平台的动态口令