一、服務器安全風險
主要威脅:
不必要的服務暴露(如僅需HTTP卻開放多余端口)。
外網掃描(IP/端口掃描)、DDoS攻擊。
系統漏洞攻擊(操作系統、軟件版本已知漏洞)。
Web攻擊(SQL注入、XSS、CSRF、暴力破解)。
弱密碼和敏感信息泄露。
網站內容篡改。
防護體系:
防火墻、IPS(入侵防御系統)、服務器保護、風險分析、網頁防篡改技術。
二、DoS/DDoS攻擊防護
攻擊類型與原理
| 類型 | 攻擊特征 |
|---|---|
| 帶寬消耗型 | ICMP/UDP/DNS洪水攻擊:發送海量數據包耗盡帶寬。 |
| 資源耗盡型 | SYN洪水攻擊:利用TCP三次握手占用連接資源。 |
| 畸形包攻擊 | 發送異常數據包(如Ping of Death)導致系統崩潰。 |
| 應用層攻擊 | CC攻擊:高頻請求耗盡服務器資源;慢速攻擊:低速發包占滿連接池。 |
防御技術
SYN代理:防火墻代理TCP握手,驗證客戶端合法性后再與服務器通信。
配置關鍵:
啟用掃描防護(IP/端口掃描檢測)。
設置閾值:激活閾值觸發代理防護,丟包閾值超限直接丟棄SYN包。
日志監控:通過內置數據中心分析攻擊日志(類型、源IP、嚴重等級)。
三、IPS入侵防護
IDS vs IPS
| 對比項 | IDS(入侵檢測) | IPS(入侵防御) |
|---|---|---|
| 工作原理 | 記錄攻擊行為,被動審計 | 實時攔截攻擊數據包 |
| 部署方式 | 旁路鏡像 | 串聯部署(路由/透明模式) |
| 阻斷能力 | 弱 | 強 |
| 響應速度 | 滯后 | 實時 |
常見攻擊手段
蠕蟲病毒(如WannaCry):利用漏洞(SMB漏洞MS17-010)傳播勒索軟件。
暴力破解:字典攻擊(常見密碼組合)、規則攻擊(基于用戶信息猜測)。
后門木馬:通過漏洞植入惡意軟件(如安卓“心臟滴血”漏洞)。
配置與優化
策略分類:
保護客戶端:防御系統漏洞、惡意軟件(源:內網;目的:外網)。
保護服務器:防漏洞利用、暴力破解(源:外網;目的:服務器IP)。
誤判處理:
修改漏洞特征庫動作(放行/禁用特定規則)。
添加例外:根據日志排除誤判IP或規則。
聯動封鎖:IPS阻斷后通知防火墻封鎖攻擊源IP。
四、Web攻擊防護
主要攻擊類型
| 攻擊 | 原理 |
|---|---|
| SQL注入 | 注入惡意SQL命令竊取/篡改數據庫(分弱/工具/強特征)。 |
| XSS/CSRF | 跨站腳本偽造用戶請求(如盜取會話、轉賬)。 |
| 信息泄露 | 錯誤配置暴露敏感文件(備份、默認頁面、目錄遍歷)。 |
WAF配置
策略設置:
源區域:外網;目的區域:服務器IP組;端口:80。
防護類型:全選(SQL注入、XSS、文件包含等)。
誤判處置:
URL參數排除:跳過特定參數的攻擊檢測(如正常業務攜帶的特征串)。
日志添加例外:直接標記誤判日志為可信。
五、網頁防篡改
雙重防護機制
文件監控(驅動層):
在服務器安裝客戶端,監控網站目錄修改行為,僅允許授權進程操作。
二次認證:
訪問后臺時強制郵箱驗證碼認證,防止未授權篡改。
配置要點
防篡改客戶端:從AF下載安裝,配置受保護目錄和合法進程。
后臺防護:
設置管理URL和訪問端口。
選擇認證方式:IP白名單或郵件驗證碼。
注意事項:
殘留Webshell會導致防護失效,需徹底清理。
Linux需重啟服務生效,Windows卸載需專用工具(tamper.exe)。
六、總結
分層防御:結合網絡層(防火墻)、應用層(IPS/WAF)、文件層(防篡改)構建縱深防護。
關鍵能力:
實時阻斷(IPS/WAF聯動)、閾值自調節(DDoS防護)、誤判快速處置。
最佳實踐:
定期更新漏洞庫、啟用聯動封鎖、強化后臺認證、清除殘留惡意文件。
)
)
![[go] 橋接模式](http://pic.xiahunao.cn/[go] 橋接模式)
模擬實現)
,110. 字符串接龍(卡碼網),105. 有向圖的完全聯通(卡碼網))
詳解)
