1. 服務器安全風險
1.1 不必要的訪問(如只提供HTTP服務)
? ? ? ?若服務器僅需提供 HTTP 服務,卻開放了其他不必要的訪問途徑,會增加風險。
? ? ? ?通過應用識別、控制,可精準識別應用類型,限制非必要訪問,保障服務安全。
1.2?外網發起IP或端口掃描、DDOS攻擊等
? ? ? ?外網可能通過掃描 IP 和端口尋找服務器漏洞,或發動分布式拒絕服務(DDOS)攻擊,使服務器無法正常提供服務。
? ? ? ?防火墻能對進出網絡的流量進行監控和過濾,阻擋此類惡意攻擊流量。
1.3?漏洞攻擊(針對服務器操作系統等)
? ? ? ?服務器操作系統等存在漏洞時,易被攻擊者利用。
? ? ? ?入侵防御系統(IPS)可主動檢測并阻止針對這些漏洞的攻擊行為。
1.4?根據軟件版本的已知漏洞進行攻擊,口令暴力破解,獲取用戶權限;SQL注入、XSS跨站腳本攻擊、跨站請求偽造等等
? ? ? ?利用軟件已知漏洞、暴力破解口令獲取權限,以及 SQL 注入、XSS 等 Web 攻擊手段,會危害服務器數據和用戶信息安全。
? ? ? ?服務器保護措施涵蓋對軟件漏洞的修復、增強口令安全策略以及對 Web 攻擊的防范等,全方位保障服務器安全。
1.5?掃描網站開放的端口以及弱密碼
? ? ? ?攻擊者掃描網站開放端口和弱密碼,試圖非法進入系統。
? ? ? ?風險分析能提前識別這種掃描行為帶來的風險,以便采取應對措施。
1.6?網站被攻擊者篡改
? ? ? ?網站內容被惡意篡改會損害企業形象和用戶信任。
? ? ? ?網站篡改防護可實時監測網站內容,在發現篡改時及時告警并恢復,確保網站內容的真實性和完整性。
2. DoS攻擊檢測和防御技術
2.1 DoS攻擊介紹
? ? ? ?DoS(Denial of Service,拒絕服務)攻擊,是通過各種手段讓服務器或網絡資源被大量無效請求占據,無法為合法用戶提供正常服務,進而使服務器或網絡癱瘓。
? ? ? ?DDoS(Distributed Denial of Service,分布式拒絕服務)攻擊,是 DoS 攻擊的一種特殊形式。它借助多臺分布在不同位置的計算機(常為被黑客控制的 “僵尸機”),同時向目標服務器或網絡發起大量攻擊請求,因其攻擊源分散且規模大,更難防范,能更有效地致使目標服務癱瘓。
DoS攻擊和DDoS攻擊的區別:
| 對比項 | DoS 攻擊(拒絕服務攻擊) | DDoS 攻擊(分布式拒絕服務攻擊) |
| 攻擊源 | 單一或少量攻擊源(如單臺計算機) | 分布式的大量攻擊源(由多臺被控制的 “僵尸機” 組成) |
| 攻擊規模 | 受單一攻擊源資源限制,規模相對較小 | 可匯聚大規模流量,攻擊規模大 |
| 防御難度 | 攻擊源集中,相對易通過屏蔽 IP 等方式防御 | 攻擊源分散且偽裝性強,防御需更復雜技術(如流量清洗) |
| 攻擊效果 | 可使目標服務部分或短暫癱瘓 | 更易造成目標服務長時間、徹底癱瘓 |
| 攻擊成本 | 成本較低,利用少量設備和簡單工具即可實施 | 成本較高,需構建和維護僵尸網絡,技術要求也更高 |
DoS的目的:
①消耗帶寬;②消耗服務器性能;③引發服務器宕機。
DoS的類型:
| DoS類型 | 攻擊特征及影響 |
ICMP洪水攻擊 | 攻擊者通過發送大量所屬協議的數據包到達占據服務端帶寬,堵塞線路從而造成服務端無法正常提供服務。 |
UDP洪水攻擊 | |
DNS洪水攻擊 | |
SYN洪水攻擊 | 攻擊者利用TCP協議三次握手的特性,攻擊方大量發起的請求包最終將占用服務端的資源,使其服務器資源耗盡或為TCP請求分配的資源耗盡,從而使服務端無法正常提供服務。 |
畸形數據包攻擊 | 攻擊者發送畸形的攻擊數據引發系統錯誤的分配大量系統資源,使主機處于掛起狀態甚至宕機,如PingofDeath、TearDrop。 |
CC攻擊 | 攻擊者控制某些主機不停地發大量數據包給對方服務器造成服務器資源耗盡,一直到宕機崩潰。CC主要是用來攻擊頁面的。 |
慢速攻擊 | 慢速攻擊是CC攻擊的一個變種,對任何一個開放了HTTP訪問的服務器HTTP服務器,先建立了一個連接,指定一個比較大的content-length,然后以非常低的速度發包,比如1-10s發一個字節,然后維持住這個連接不斷開。如果客戶端持續建立這樣的連接,那么服務器上可用的連接將一點一點被占滿,從而導致拒絕服務。 |
2.2 SYN Flood攻擊原理:
①正常的TCP三次握手:
TCP 協議建立連接需要經過 “三次握手”:
- 第一步:正常客戶端向服務端發送一個?
SYN(同步)報文,請求建立連接。- 第二步:服務端收到?
SYN?報文后,會分配一定的內存、CPU 等資源,然后回復一個?SYN + ACK(同步 + 確認)報文給客戶端。- 第三步:客戶端收到?
SYN + ACK?報文后,再發送一個?ACK(確認)報文給服務端。- 之后:三次握手完成,客戶端和服務端就可以正常進行數據包交互了。此時服務端還有空閑資源,能正常為客戶端提供服務。
②SYN Flood攻擊:
? ? ? ?SYN Flood 是一種常見的拒絕服務(DoS)攻擊,原理是通過大量偽造的連接請求,耗盡服務端資源:
- 攻擊行為:攻擊者向服務端發送大量偽造源地址、源端口的?
SYN?報文。這些?SYN?報文看起來像是正常的連接請求,但實際上來源是虛假的。- 服務端的反應:服務端收到這些偽造的?
SYN?報文后,會像處理正常連接請求一樣,分配內存、CPU 等資源,并回復?SYN + ACK?報文。- 攻擊的關鍵:由于?
SYN?報文的源地址是偽造的,真正的 “客戶端”(其實是攻擊源)不會收到服務端的?SYN + ACK?報文,也就不會回復?ACK?報文。- 資源耗盡:服務端會在 “
SYN_RECEIVED” 狀態下等待?ACK?報文一段時間(超時之前)。大量這樣的 “半連接”(只完成了前兩步握手,沒完成第三步)會持續占用服務端的資源。最終,服務端的內存、CPU 等資源被耗盡,合法客戶端的正常連接請求無法得到響應,服務就癱瘓了。
2.3 SYN代理(防御SYN Flood攻擊的手段):
①正常客戶端連接:
- 第一步:正常客戶端向?NGAF(可理解為具備 SYN 代理功能的防火墻)?發送?
SYN?報文,請求建立連接。- 第二步:NGAF 收到?
SYN?后,會生成帶 “Cookie(一種驗證標識)” 的?SYN + ACK?報文,回傳給客戶端。- 第三步:客戶端收到?
SYN + ACK(Cookie)?后,回復?ACK?報文給 NGAF。- 第四步:NGAF 驗證?
ACK?與 Cookie 匹配(確認是合法請求)后,會以自己的身份向服務端發?SYN?報文,后續服務端回復?SYN + ACK、NGAF 再回?ACK,完成與服務端的三次握手。之后,客戶端和服務端就能通過 NGAF 正常進行數據包交互,且通信的發送序號會由防火墻轉換處理。
②遭受SYN Flood攻擊:
- 攻擊發生:攻擊者發起 SYN Flood 攻擊,向 NGAF 發送大量偽造源地址的?
SYN?報文。- NGAF 攔截:NGAF 收到這些攻擊的?
SYN?后,同樣回復?SYN + ACK(Cookie)?給攻擊源,但由于攻擊源是偽造的,無法正確回復?ACK(或回復的?ACK?無法通過 Cookie 驗證)。- 保護服務端:因為攻擊的?
ACK?驗證不通過,NGAF 不會向服務端轉發這些無效的?SYN?請求,所以服務端完全收不到 SYN 攻擊包,避免了資源被大量半連接耗盡,從而抵御了攻擊,能正常為合法客戶端提供服務。
2.4 配置思路
2.5 思考總結
3. IPS入侵檢測和防御技術
3.1 IDS/IPS介紹
IDS(入侵檢測系統):主要對網絡、系統的運行狀況進行監視,盡可能去發現各類攻擊企圖、攻擊行為或者攻擊造成的結果,起到檢測預警的作用。
IPS(入侵防御系統):能監視網絡、系統的運行狀況,不僅可以發現攻擊企圖、攻擊行為,還能主動阻止這些攻擊,在檢測的基礎上具備防御攔截的能力。
IDS/IPS的區別:
| 對比項 | IDS | IPS |
| 工作原理 | 特征識別、記錄攻擊行為、以備審計 | 特征識別,丟棄實時的攻擊 數據 |
| 部署方式 | 并聯(旁路鏡像) | 串聯(路由、透明)+并聯 |
| 安全屬性 | 被動檢測 | 主動檢測 |
| 阻斷攻擊能力 | 弱 | 強 |
| 安全響應速度 | 滯后性 | 實時性 |
| 攻擊數據能否到達目標 | 能 | 否 |
3.2 IPS需要防御的常見入侵手段
蠕蟲的惡意行為:
- 掃描:蠕蟲會進行端口掃描、地址探測,還會嘗試密碼猜測、賬號猜測,以此尋找可入侵的目標和漏洞。
- 寄生:入侵成功后,會通過創建新文件、修改已有文件、修改注冊表、創建服務、建立后門等方式,在受感染系統中扎根留存。
- 攻擊:利用惡意郵件、自動安裝程序、已知后門或漏洞、Active X 控件等途徑發起攻擊。
- 傳播:借助郵件、web、FTP、文件共享等方式,向其他系統擴散。
- 發作:會造成修改或刪除文件、網絡癱瘓、拒絕服務等危害后果。
IPS入侵手段:
①利用系統漏洞入侵
? ? ? ?通過網絡設備、服務器等存在的漏洞實施攻擊,例如 WannaCry 勒索軟件改造 “永恒之藍” 攻擊程序,利用微軟 SMB 漏洞 MS17 - 010 發起網絡攻擊。
②借助惡意軟件入侵
? ? ? ?依靠后門、木馬、間諜軟件等惡意程序入侵,如安卓 “心臟滴血” 漏洞,黑客僅需手機號碼,通過彩信發送間諜軟件就能遠程操控安卓手機。
③口令暴力破解入侵
? ? ? ?采用暴力破解方式獲取口令,常見方法有字典法(收集常用密碼形成文本文件用于破解)和規則破解(結合賬號或用戶個人信息如生日、電話等進行破解)。
3.3 IPS工作原理
① 流量分析
? ? ? ?IPS設備使用深度數據包檢查來分析網絡流量。
? ? ? ?這包括檢查數據包的源IP地址、目標IP地址、端口號、協議和內容。
② 簽名檢測
? ? ? ?IPS設備使用簽名數據庫來比對已知的攻擊模式。
? ? ? ?這些簽名類似于病毒定義文件,可以識別已知的惡意代碼和攻擊。
③ 異常檢測
? ? ? ?除了簽名檢測,IPS還可以使用行為分析來檢測未知的、新型的攻擊。
? ? ? ?這種方法涉及監視流量的正常模式,以便識別不正常或異常的活動。
④ 漏洞利用檢測
? ? ? ?IPS設備可以檢測和阻止攻擊者嘗試利用已知的軟件漏洞入侵系統的行為。
? ? ? ?這是通過檢查流量中的特定模式和行為來實現的。
3.4?IPS防護原理
? ? ? ?IPS(入侵防御系統)實現應用層防護的原理是:對數據包應用層的數據內容進行威脅特征檢查,將其與 IPS 規則庫比對。若匹配,就拒絕該數據包。
? ? ? ?從數據包結構看,IPS 會開展深度內容檢測,涵蓋對 IP 頭、傳輸頭等的狀態檢測,以及對應用特征、應用威脅特征的檢測,以此精準識別并攔截惡意流量。
3.5 IPS防護方式
3.6 配置思路
3.7 聯動封鎖
? ? ? ?防火墻規則聯動封鎖是一種網絡安全防護機制,核心是當 IPS(入侵防御系統)、WAF(Web 應用防火墻)阻斷高危入侵后,通知防火墻模塊暫時阻止該源 IP 的通訊,削弱入侵強度以保護服務器安全。具體要點如下:
- 可配置聯動封鎖的模塊包括 IPS、WAF、DOS、僵尸網絡模塊。
- 只有這些模塊發生 “阻斷” 事件時,才會觸發聯動封鎖。
- 聯動封鎖針對的是該源 IP 通過防火墻的所有通信。
- 被封鎖的主機仍能訪問 AF 控制臺,但無法訪問數據中心。
- 臨時防火墻可支持的聯動封鎖規則容量為 1000 條。
- 被聯動封鎖的拒絕記錄可在應用控制日志中查詢。
3.8 誤判處置
? ? ? ?IPS 規則默認分致命、高、中、低、信息五個級別,可能出現正常通訊被誤判為入侵通訊而拒絕,或入侵被誤判為正常通訊而放行的情況,針對誤判有兩種處置方式:
- 方式一:
- 配置 IPS 規則時,勾選 IPS 日志的 “記錄” 選項。
- 根據數據中心的日志,查詢到誤判規則的漏洞 ID。
- 在對象設置 - 漏洞特征識別庫中,修改對應漏洞 ID 的動作,比如改成放行或禁用。
- 方式二:若正常通訊被誤判為入侵通訊并被設備拒絕,可直接查詢數據中心的拒絕日志,然后直接添加例外,讓該正常通訊能正常進行。
3.9 注意事項
4. WEB攻擊檢測和防御技術
4.1 WAF定義
4.2 SQL注入
4.2.1 攻擊數據出現在哪里(在哪里提交、如何提交)?
1、Get的特點,提交的內容經過URI編碼直接在url欄中顯示;2、Post的特點,提交的內容不會直接顯示在url部分,會在post包的data字段中。
4.2.2 什么內容才是SQL注入攻擊(提交什么內容才認為是SQL注入攻擊)?
? ? ? ?弱攻擊:類似這種select * from test,這個sql語句中,有兩個關鍵字select和from執行了一個查詢語句,其危險性相對強攻擊較低;? ? ? ?注入工具攻擊:利用一些專業的SQL注入工具進行攻擊,這些工具的攻擊都是具有固定數據流特征的;? ? ? ?強攻擊:如insert into test values(lmj,123) 這個語句中有三個SQL關鍵字insert、into、values,并且這個語句操作可能導致在test表中添加lmj這個用戶,這種語句被認為是危險的。
4.3 CSRF攻擊
4.3.1 定義
? ? ? ?CSRF(Cross - Site Request Forgery,跨站點請求偽造),指攻擊者盜用用戶身份,以用戶名義發送惡意請求。
4.3.2 攻擊效果
? ? ? ?對服務器來說,該請求完全合法,但會執行攻擊者期望的操作,例如:以用戶名義發送郵件、發消息;盜取用戶賬號;添加系統管理員;進行商品購買、虛擬貨幣轉賬等。
4.3.3 防范方法
① 二次認證:
? ? ? ?在關鍵操作(如轉賬、修改賬戶信息)時,要求用戶再次驗證身份(如輸入密碼、短信驗證碼)。
② 前端請求設置referer字段:
? ? ? ?通過驗證請求的來源頁面,判斷是否為合法發起的請求,若來源異常則攔截。
4.4 信息泄露攻擊
? ? ? ?信息泄露攻擊是指由于對特殊文件處理不當,攻擊者可通過訪問相關文件或路徑,竊取 Web 服務器的敏感信息(如用戶名、密碼、源代碼、服務器及配置信息等)。
4.4.1 常見信息泄露類型
- 應用錯誤信息泄露:應用程序報錯時,將包含數據庫連接、代碼邏輯等敏感內容的錯誤信息暴露出來。
- 備份文件信息泄露:服務器上留存的備份文件(如網站源碼備份、數據庫備份)未妥善保護,被攻擊者獲取。
- Web 服務器缺省頁面信息泄露:服務器默認頁面可能包含版本、配置等信息,易被利用。
- 敏感文件信息泄露:像包含用戶數據、密鑰的敏感文件,若訪問權限設置不當,會被非法訪問。
- 目錄信息泄露:服務器目錄結構可被遍歷,攻擊者能看到目錄下文件列表,進而尋找敏感文件。
4.4.2 信息泄露原因
- Web 服務器配置問題:如目錄瀏覽權限未關閉、敏感文件權限設置過松等。
- Web 服務器本身漏洞:服務器軟件存在漏洞,被攻擊者利用來獲取信息。
- Web 網站腳本編寫問題:腳本未對用戶輸入或文件訪問做嚴格驗證,導致攻擊者可非法訪問敏感文件或路徑。
4.5 配置思路
4.6 誤判處置
方法一:URL 參數排除
- 路徑:在【服務器保護】-【WEB 應用防護】-【排除列表】中新增 URL 參數排除。
- 作用:讓 WEB 應用防護的網站攻擊檢測跳過特定參數的檢查。適用于正常業務請求中,某些參數因攜帶特征串被誤判為攻擊的場景,可精準針對這些參數進行排除。
方法二:日志查詢添加例外
- 路徑:在【內置數據中心】-【日志查詢】-【WEB 應用防護】中查詢日志。
- 操作:找出誤判的日志后,點擊日志后面的 “添加例外”,從而對誤判的請求進行例外設置,避免后續被錯誤攔截。
取消誤判排除
- 場景:在數據中心完成排除操作后,若需取消該排除。
- 路徑:可到【服務器保護】-【WEB 應用防護】相關界面(如 “排除列表 ->WAF 規則排除”)進行編輯,取消之前的排除操作。
5. 網頁防篡改技術
5.1 需求背景
5.2 網頁防篡改
? ? ? ?深信服網頁防篡改解決方案,核心是將文件保護系統與下一代防火墻(AF)深度融合,通過文件監控和二次認證兩大功能的緊密聯動,構建全方位的網站內容保護體系,防止非法篡改。其中,文件保護系統運用了業界領先的文件過濾驅動技術,從底層保障文件的安全性。
5.2.1 文件監控機制(從驅動層保障文件安全)
- 部署前提:在 Web 服務器端安裝驅動級的文件監控軟件,這一軟件能深入到 Windows 文件驅動層進行操作監控。
- 配置環節
- 防火墻 IP 地址配置:將防火墻(AF)的 IP 地址進行設置,建立與 AF 的關聯,以便后續日志同步等操作。
- 網站目錄配置:明確需要保護的網站目錄范圍,這樣監控軟件就能針對性地對這些目錄下的文件進行保護。
- 合法應用程序配置:指定哪些應用程序是被允許對網站目錄文件進行修改的,只有這些合法程序的操作才會被認可。
- 攔截邏輯
- 當有程序進程對網站目錄文件進行操作時,首先過濾操作目標,判斷是否屬于配置好的網站目錄。如果不是,不做特殊限制;如果是,則進入下一步過濾。
- 接著過濾操作主體,判斷發起操作的應用程序是否為合法應用程序。
- 若檢測到是非法程序試圖修改網站文件,監控軟件會立即攔截該操作,同時將相關日志上報給 NGAF(下一代防火墻),NGAF 的 UI 界面會實時顯示這些日志,并且通過關聯 NGAF 的防篡改策略,激活文件監控軟件的防護功能,形成完整的防護閉環。
5.2.2 二次認證機制(強化后臺訪問安全)
(1)管理員認證流程(規范合法管理員的后臺訪問)
- 管理員首先訪問網站后臺,例如訪問地址為
http://www.xxx.com/dede/的后臺頁面。 - 下一代防火墻(AF)會將管理員的訪問請求重定向到一個用于提交管理員郵箱地址的認證頁面。
- 管理員在該認證頁面提交用于接收驗證碼的管理員郵箱,比如
wangboxkillman@sina.com。 - 系統接收到郵箱信息后,會自動發送帶有驗證碼的郵件到該管理員郵箱
wangboxkillman@sina.com。 - 管理員登錄自己的郵箱,從中獲取系統發送的驗證碼。
- 管理員將獲取到的驗證碼提交到認證頁面,通過系統的認證。
- 認證通過后,系統會自動將管理員跳轉到網站后臺頁面,使其能夠進行正常的后臺操作。
(2)黑客認證流程(增加非法訪問難度)
? ? ? ?當黑客試圖訪問網站后臺時,在上述第 3 步,由于黑客無法獲取并提交正確的管理員郵箱地址,所以無法正常進入后續的驗證碼獲取與提交流程,也就無法登錄網站后臺。如果黑客想要破解這一認證,就必須通過社會工程學手段(如釣魚、信息竊取等)獲取管理員的郵箱地址,并且還要破解該管理員的郵箱,只有完成這一系列高難度操作后,才有可能破解后臺登錄,大大提高了非法訪問的門檻。
5.3 配置思路
5.4 注意事項
![[QtADS]解析ads.pro](http://pic.xiahunao.cn/[QtADS]解析ads.pro)
)
