服务器安全笔记
服务器安全
一、服务器安全核心:威胁与风险
服务器安全的核心是抵御针对服务器的各类攻击,包括非法访问、资源消耗、漏洞利用等,最终目标是保护服务器上的数据、服务及系统权限不被窃取或篡改。
二、服务器面临的主要威胁
1. 不必要的访问风险
- HTTP 协议风险:HTTP 协议通过明文传输数据,且缺乏安全校验机制,导致通信过程完全暴露在网络中。攻击者可通过抓包工具(如 Wireshark)直接截获服务器返回的 HTTP 报文,窃取敏感信息(如用户账号、表单数据)或篡改传输内容(如植入恶意代码)。
- 改进方向:强制使用 HTTPS 协议,通过 SSL/TLS 加密传输,避免明文泄露。
2. 网络层攻击
- 扫描与探测:攻击者从外网对服务器的 IP 或端口进行扫描,探测开放端口、服务版本等信息,为后续攻击寻找突破口。
- DoS/DDoS 攻击:
- DoS(拒绝服务攻击):通过单源发送大量无效请求,消耗服务器资源(带宽、CPU、内存),导致服务器无法响应正常请求。
- 典型类型:SYN 攻击(发送大量伪造的 TCP SYN 报文,服务器为每个请求分配资源但无法收到客户端确认,最终资源耗尽,无法发送 ACK 报文)。
- DDoS(分布式拒绝服务攻击):利用大量 “肉鸡”(被控制的设备)向服务器发送海量合法请求,瘫痪服务器,核心危害是消耗带宽和服务器性能。
- DoS(拒绝服务攻击):通过单源发送大量无效请求,消耗服务器资源(带宽、CPU、内存),导致服务器无法响应正常请求。
3. 漏洞利用攻击
攻击者通过扫描发现服务器漏洞后,利用漏洞窃取信息或获取权限,常见方式包括:
- Web 应用漏洞:暴力破解(尝试弱密码登录)、SQL 注入、XSS 跨站脚本、非法提权等。
- 系统漏洞:操作系统或应用软件的未修复漏洞(如缓冲区溢出、权限绕过)。
- 攻击后果:获取服务器系统权限后,可窃取敏感数据(如数据库信息)、篡改网站内容(如植入恶意页面),甚至完全控制服务器。
三、核心防护设备与技术
1. 防火墙:AF 与 WAF 的分工
| 类型 | 工作层次 | 防护对象 | 核心原理 | 典型场景 |
|---|---|---|---|---|
| AF(下一代防火墙) | 网络层(L3)、传输层(L4)及部分应用层(L7) | 整个网络边界的流量(支持 TCP、UDP、HTTP、FTP 等所有协议,覆盖 PC、服务器、IoT 设备等) | 基于 “网络五元组(源 IP、目的 IP、源端口、目的端口、协议)” 和 “威胁特征” 过滤,如拦截异常端口访问、检测网络层攻击(DDoS) | 部署在网络边界,控制内外网通信,防御 DDoS、端口扫描等网络层威胁 |
| WAF(Web 应用防火墙) | 仅应用层(L7) | 仅针对 Web 应用流量(HTTP/HTTPS 协议),保护 Web 服务器、网站、API 接口 | 基于 “HTTP/HTTPS 协议语义” 深度解析,识别 Web 攻击特征(如 SQL 注入关键词、XSS 脚本) | 部署在 Web 服务器前端,拦截 SQL 注入、XSS、爬虫攻击等应用层威胁 |
2. IDS 与 IPS:检测与防御的协同
IDS(入侵检测系统):
核心功能是 “检测与发现”,通过监控网络或系统状态,分析流量特征和行为模式,识别潜在攻击(如异常登录、漏洞利用尝试),并发出告警,但不主动阻断攻击。IPS(入侵防御系统):
核心功能是 “主动防御”,在攻击发生时实时监控并阻断威胁,兼具检测与防御能力。防护原理:
- 分层检测:检查帧头、IP 头、传输头(状态检测),并扫描数据部分的恶意代码(应用特征检测)。
- 状态检测:验证 TCP 报文的五元组一致性(同一源 / 目的、逻辑连贯),确保数据包合法性。
- 特征匹配:逐帧检查数据包,与攻击规则库对比,识别已知威胁。
防护方式:
- 保护客户端:防止客户端因自身漏洞被攻击。
- 保护服务器:阻止针对服务器漏洞的攻击(如暴力破解、漏洞利用)。
典型配置步骤:
- 新增 IPS 策略;
- 配置源区域(内网客户端区域)和源 IP 组(需防护的客户端);
- 配置目的区域(外网)和目的 IP 组(全部);
- 选择防护类型(如 “保护客户端”“恶意软件检测”);
- 设置动作(允许 / 拒绝)、联动封锁及日志记录。
四、典型攻击类型及防御
1. SQL 注入
- 原理:攻击者将 SQL 命令插入 Web 表单、URL 参数或页面请求,欺骗服务器执行恶意 SQL 操作(如查询 / 修改数据库、删除数据)。
- 防御:输入验证(过滤特殊字符)、参数化查询(避免直接拼接 SQL 语句)、使用 WAF 拦截注入特征。
2. 信息泄露攻击
- 原理:服务器因未正确处理特殊文件(如配置文件、源代码备份),导致攻击者可通过访问特定路径获取敏感信息(用户名、密码、服务器配置等)。
- 防御:限制敏感文件访问权限、删除冗余备份文件、通过 WAF 拦截对敏感路径的访问。
3. CSRF(跨站请求伪造)
- 原理:攻击者盗用用户身份,以用户名义向服务器发送恶意请求(如转账、修改密码),服务器因请求 “合法”(携带用户认证信息)而执行操作。
- 防御:使用 CSRF Token(每次请求附加随机令牌)、验证 Referer 字段(确认请求来源)、限制重要操作的会话时效。
4. 网页篡改攻击
- 防御机制:采用 “文件保护系统 + 下一代防火墙” 联动,通过文件实时监控(检测未授权修改)+ 二次认证(修改需额外验证),确保网站内容完整性。
五、补充:联动防护与蠕虫病毒
1. 联动封锁
多设备协同防护:IPS 负责检测攻击,发现威胁后通知防火墙(AF/WAF)封禁攻击者 IP,形成 “检测 - 响应 - 阻断” 闭环。
2. 蠕虫病毒
- 特性:无需宿主程序,可自我复制并自动传播(区别于传统病毒)。
- 传播机制:利用系统未修复的漏洞(如远程代码执行漏洞)进行远程感染。
- 危害:快速消耗网络带宽、占用服务器资源,甚至篡改 / 删除数据。
- 防御:及时修复系统漏洞、通过 IPS 拦截病毒传播流量、部署杀毒软件定期扫描。
3. IPS 防御的典型攻击手段
- 口令爆破:攻击者通过字典法(尝试常见密码)或规则破解(生成符合密码规则的组合),反复尝试登录服务器。IPS 可通过限制登录频率、检测异常登录行为(如短时间多次失败)进行阻断。