服务器安全检测和防御技术

一、服务器安全风险

二、DOS攻击检测和防御技术

（一）需求背景

2016年10月21日，美国提供动态DNS服务的DynDNS报告遭到DDoS攻击，攻击导致许多使用DynDNS服务的网站遭遇访问问题，其中包括BBC、华尔街日报、CNN、纽约时报等一大批新闻网站集体宕机，Twitter甚至出现了近24小时0访问的局面！此次事件中，黑客就是运用了DNS洪水攻击手段。

（二）DOS攻击介绍

DoS攻击------Denial of Service, 是一种拒绝服务攻击，常用来使服务器或网络痪。
DDoS攻击------Distributed Denial of Service, 分布式拒绝服务攻击。

（三）DOS目的

①、消耗带宽
②、消耗服务器性能
③、引发服务器宕机

（四）DOS类型

DOS 类型	攻击特征及影响
ICMP 洪水攻击	攻击者通过发送大量所属协议的数据包到达占据服务端带宽，堵塞线路从而造成服务端无法正常提供服务。
UDP 洪水攻击	攻击者通过发送大量所属协议的数据包到达占据服务端带宽，堵塞线路从而造成服务端无法正常提供服务。
DNS 洪水攻击	攻击者通过发送大量所属协议的数据包到达占据服务端带宽，堵塞线路从而造成服务端无法正常提供服务。
SYN 洪水攻击	攻击者利用 TCP 协议三次握手的特性，攻击方大量发起的请求包最终将占用服务端的资源，使其服务器资源耗尽或为 TCP 请求分配的资源耗尽，从而使服务端无法正常提供服务。
畸形数据包攻击	攻击者发送畸形的攻击数据引发系统错误的分配大量系统资源，使主机处于挂起状态甚至宕机，如 PingofDeath、TearDrop。
CC 攻击	攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽，一直到宕机崩溃。CC 主要是用来攻击页面的。
慢速攻击	慢速攻击是 CC 攻击的一个变种，对任何一个开放了 HTTP 访问的服务器 HTTP 服务器，先建立了一个连接，指定一个比较大的 content - length，然后以非常低的速度发包，比如 1 - 10s 发一个字节，然后维持住这个连接不断开。如果客户端持续建立这样的连接，那么服务器上可用的连接将一点一点被占满，从而导致拒绝服务。

（五）SYN攻击

1.SYN Flood攻击

2.解决方法：SYN代理

开启SYN代理需要达到"每目的IP激活阈值"，当到达"每目的IP丢包阈值"则不再启用SYN代理，直接丢弃SYN包

每目的IP激活阈值，指当针对策略设置的目的IP组内某IP发起的syn请求速率数据包超过设定值，则触发AF的syn代理功能。
每目的IP丢包阈值，指当针对策略设置的目的IP组内某IP发起的syn请求速率数据包超过设定值，则AF不再启用syn代理，直接丢弃syn包。

三、IPS入侵检测和防御技术

（一）需求背景

2017年5月12日，WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发，感染了大量的计算机，该蠕虫感染计算机后会向计算机中植入勒索病毒，导致电脑大量文件被加密。受害者电脑被黑客锁定后，病毒会提示支付价值相当于300美元（约合人民币2069元）的比特币才可解锁。

（二）IDS/IPS介绍

IDS------Intrusion Detection Systems，即入侵检测系统，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果。
IPS------Intrusion Prevention Systems，即入侵防御系统，可对网络、系统的运行状况进行监视，并可发现阻止各种攻击企图、攻击行为。

（三）IDS/IPS对比

对比项	IDS	IPS
工作原理	特征识别，记录攻击行为，以备审计	特征识别，丢弃实时的攻击数据
部署方式	并联（旁路镜像）	串联（路由、透明）+ 并联
安全属性	被动检测	主动检测
阻断攻击能力	弱	强
安全响应速度	滞后性	实时性
攻击数据能否到达目标	能	否

（四）IPS能防御的常见入侵手段

1.worm 蠕虫

2.网络设备、服务器漏洞

3.后门、木马、间谍软件等

4.口令暴力破解

常见的暴力破解方法：

➢字典法：黑客通过各种手段所获取一些网络用户所经常使用的密码，集合在一起的的一个文本文件
➢规则破解：规则法是通过和账号或者用户的个人信息进行破解，如生日、电话等信息

（五）IPS防护原理

IPS通过对数据包应用层里的数据内容进行威胁特征检查，并与IPS规则库进行比对，如果匹配则拒绝该数据包，从而实现应用层IPS的防护。

（六）IPS防护方式

1.IPS的保护对象

保护客户端：用于保护客户端机器及其应用软件系统不因本身的漏洞而受到攻击。
保护服务器：用于保护服务器及其应用软件系统不因服务器或者软件本身存在的漏洞而受到攻击；还用于阻止用户频繁登录指定协议服务器，防止暴力破解攻击。

2.IPS的规则识别分类

（1）保护服务器和客户端（一般是病毒、木马等）

防止包括操作系统本身的漏洞，后门、木马、间谍、蠕虫软件以及恶意代码的攻击。

（2）保护服务器软件（如应用服务器提供的应用）

防止针对web、dns、ftp、tftp、telnet、邮件、数据库、媒体服务器应用本身的漏洞以及网络设备进行的攻击和暴力破解。

（3）保护客户端软件（如OA、IE等）

防止针对web activex 控件漏洞、web浏览器、文件格式、应用软件进行的攻击。

（七）配置思路

（八）联动封锁

1.防火墙规则联动封锁:

IPS/WAF阻断一个高危入侵后，即通知防火墙模块阻止此源IP通讯一段时间，使入侵源IP无法继续攻击，有效降低入侵强度，保护服务器安全。

2.特点

IPS/WAF/DOS/僵尸网络模块可以配置联动封锁

IPS/WAF/DOS/僵尸网络中仅"阻断"事件会触发联动封锁

联动封锁针对的是该源IP通过防火墙的任何通信

被联动封锁的主机可访问AF控制台，无法访问数据中心

临时防火墙容量为1000条

被联动封锁的拒绝记录在应用控制日志中查询

（九）注意事项

1、配置IPS保护客户端和服务器时，源区域为数据连接发起的区域。
保护客户端------外网区域（源区域）；保护服务器------任何有威胁区域（源区域）
2、IPS保护客户端与保护服务器中的客户端漏洞和服务器漏洞规则是不同的，因为攻击者针对服务器和客户端会使用不同的攻击手段。

四、WEB攻击检测和防御技术

（一）需求背景

2015年04月22日，超30个省市卫生和社保系统爆出漏洞，黑客通过sql注入，完成数千万用户的社保信息的拖库批量下载。社保系统里的信息包括了居民身份证、社保、薪酬等敏感信息
top10 :web应用程序安全风险

（二）WAF定义

WAF------Web Application Firewall，即Web应用防护，主要用于保护Web服务器不受攻击，而导致软件服务中断或被远程控制。

（三）WAF常见攻击手段

1、SQL注入

2、XSS攻击

3、网页木马

4、网站扫描

5、WEBSHELL

6、跨站请求伪造

7、系统命令注入

8、文件包含攻击

9、目录遍历攻击

10、信息泄漏攻击等等

（四）SQL注入

SQL注入------就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。

1.攻击数据出现在哪里

Web提交数据一般有两种形式，一种是get，一种是post。

1、Get的特点，提交的内容经过URI编码直接在url栏中显示
2、Post的特点，提交的内容不会直接显示在url部分，会在post包的data字段中

2.什么内容才是SQL注入攻击

SQL注入攻击可以根据其特点分为弱特征、注入工具特征、强特征三种。

（1）弱攻击

类似这种select * from test，这个sql语句中，有两个关键字select和from执行了一个查询语句，其危险性相对强攻击较低；

（2）注入工具特征

利用一些专业的SQL注入工具进行攻击，这些工具的攻击都是具有固定数据流特征的。

（3）强攻击

强攻击：如insert into test values（lmj，123）这个语句中有三个SQL关键字insert、into、values，并且这个语句操作可能导致在test表中添加lmj这个用户，这种语句被认为是危险的；

强攻击大致具备如下特征：
- 1、包含三个及以上的SQL关键字，并且这三个关键字组合起来能够成为一条合法的SQL语句。
- 2、包含任何的SQL关键字连词，这些连词包括union. ";", and, or等，并且采取了常用的sql注入方法来运用这些连词，如数据包中存在 and 1=1 会被认为是强特征。

（五）CSRF攻击

CSRF------Cross Site Request Forgery，即跨站点请求伪造，攻击者盗用了你的身份，以你的名义发送恶意请求，对服务器来说这个请求是完全合法的，但是却完成了攻击者所期望的一个操作，比如以你的名义发送邮件、发消息，盗取你的账号，添加系统管理员，甚至于购买商品、虚拟货币转账等。

（六）信息泄露攻击

信息泄露漏洞是由于在没有正确处理一些特殊文件，通过访问这些文件或者路径，可以泄露web服务器的一些敏感信息，如用户名、密码、源代码、服务器信息、配置信息。

1.常见的信息泄漏有：

1、应用错误信息泄露；

2、备份文件信息泄露；

3、web服务器缺省页面信息泄露；

4、敏感文件信息泄露；

5、目录信息泄露。

2.信息泄露的几种原因：

1、web服务器配置存在问题

2、web服务器本身存在漏洞

3、web网站的脚本编写存在问题

（七）配置思路

五、网页防篡改技术

（一）需求背景

随着Web应用的发展，使Web系统发挥了越来越重要的作用，与此同时，越来越多的Web系统也因为存在安全隐患而频繁遭受到各种攻击，导致Web系统敏感数据、页面被篡改、甚至成为传播木马的傀儡，最终会给更多访问者造成伤害，带来严重损失

（二）关键技术：文件监控+二次认证

1.文件监控

在服务端上安装驱动级的文件监控软件，监控服务器上的程序进程对网站目录文件进行的操作，不允许的程序无法修改网站目录内的内容（服务器上）

2.二次认证

（三）注意事项

1、防篡改客户端必须连接防火墙并匹配防篡改策略后才会生效，防篡改客户端生效后，即使防火墙不在线，功能依然生效。

2、若网站本身有webshell未删除，则防篡改客户端无法拦截webshell的文件篡改行为。

3、Windows系统中，防篡改客户端无法通过控制面板-卸载程序进行卸载，需要使用安装目录中的tamper.exe进行卸载，卸载需要输入客户端密码。

4、Linux系统中，在防篡改功能开启前已经建立的会话或者连接，防篡改功能不会生效。新的会话或者连接才生效。

5、 Linux系统中，已经被防篡改保护的会话或者连接，在防篡改进程停止的情况依然会生效，如果要关闭防篡改功能，请通过配置开关停掉防篡改功能。

6、 Linux系统中，开启防篡改的服务器，如果需要完全消除防篡改的影响，先卸载防篡改程序后重启所有服务或者直接重启服务器。

7、 Linux系统中， Agent自身的bypass机制，当服务器内存系统资源超过70%时，功能不生效。