服务器的安全检测和防御技术
1. 服务器安全风险
1.1 不必要的访问(如只提供HTTP服务)
若服务器仅需提供 HTTP 服务,却开放了其他不必要的访问途径,会增加风险。
通过应用识别、控制,可精准识别应用类型,限制非必要访问,保障服务安全。
1.2 外网发起IP或端口扫描、DDOS攻击等
外网可能通过扫描 IP 和端口寻找服务器漏洞,或发动分布式拒绝服务(DDOS)攻击,使服务器无法正常提供服务。
防火墙能对进出网络的流量进行监控和过滤,阻挡此类恶意攻击流量。
1.3 漏洞攻击(针对服务器操作系统等)
服务器操作系统等存在漏洞时,易被攻击者利用。
入侵防御系统(IPS)可主动检测并阻止针对这些漏洞的攻击行为。
1.4 根据软件版本的已知漏洞进行攻击,口令暴力破解,获取用户权限;SQL注入、XSS跨站脚本攻击、跨站请求伪造等等
利用软件已知漏洞、暴力破解口令获取权限,以及 SQL 注入、XSS 等 Web 攻击手段,会危害服务器数据和用户信息安全。
服务器保护措施涵盖对软件漏洞的修复、增强口令安全策略以及对 Web 攻击的防范等,全方位保障服务器安全。
1.5 扫描网站开放的端口以及弱密码
攻击者扫描网站开放端口和弱密码,试图非法进入系统。
风险分析能提前识别这种扫描行为带来的风险,以便采取应对措施。
1.6 网站被攻击者篡改
网站内容被恶意篡改会损害企业形象和用户信任。
网站篡改防护可实时监测网站内容,在发现篡改时及时告警并恢复,确保网站内容的真实性和完整性。
2. DoS攻击检测和防御技术
2.1 DoS攻击介绍
DoS(Denial of Service,拒绝服务)攻击,是通过各种手段让服务器或网络资源被大量无效请求占据,无法为合法用户提供正常服务,进而使服务器或网络瘫痪。
DDoS(Distributed Denial of Service,分布式拒绝服务)攻击,是 DoS 攻击的一种特殊形式。它借助多台分布在不同位置的计算机(常为被黑客控制的 “僵尸机”),同时向目标服务器或网络发起大量攻击请求,因其攻击源分散且规模大,更难防范,能更有效地致使目标服务瘫痪。
DoS攻击和DDoS攻击的区别:
| 对比项 | DoS 攻击(拒绝服务攻击) | DDoS 攻击(分布式拒绝服务攻击) |
| 攻击源 | 单一或少量攻击源(如单台计算机) | 分布式的大量攻击源(由多台被控制的 “僵尸机” 组成) |
| 攻击规模 | 受单一攻击源资源限制,规模相对较小 | 可汇聚大规模流量,攻击规模大 |
| 防御难度 | 攻击源集中,相对易通过屏蔽 IP 等方式防御 | 攻击源分散且伪装性强,防御需更复杂技术(如流量清洗) |
| 攻击效果 | 可使目标服务部分或短暂瘫痪 | 更易造成目标服务长时间、彻底瘫痪 |
| 攻击成本 | 成本较低,利用少量设备和简单工具即可实施 | 成本较高,需构建和维护僵尸网络,技术要求也更高 |
DoS的目的:
①消耗带宽;②消耗服务器性能;③引发服务器宕机。
DoS的类型:
| DoS类型 | 攻击特征及影响 |
ICMP洪水攻击 | 攻击者通过发送大量所属协议的数据包到达占据服务端带宽,堵塞线路从而造成服务端无法正常提供服务。 |
UDP洪水攻击 | |
DNS洪水攻击 | |
SYN洪水攻击 | 攻击者利用TCP协议三次握手的特性,攻击方大量发起的请求包最终将占用服务端的资源,使其服务器资源耗尽或为TCP请求分配的资源耗尽,从而使服务端无法正常提供服务。 |
畸形数据包攻击 | 攻击者发送畸形的攻击数据引发系统错误的分配大量系统资源,使主机处于挂起状态甚至宕机,如PingofDeath、TearDrop。 |
CC攻击 | 攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。CC主要是用来攻击页面的。 |
慢速攻击 | 慢速攻击是CC攻击的一个变种,对任何一个开放了HTTP访问的服务器HTTP服务器,先建立了一个连接,指定一个比较大的content-length,然后以非常低的速度发包,比如1-10s发一个字节,然后维持住这个连接不断开。如果客户端持续建立这样的连接,那么服务器上可用的连接将一点一点被占满,从而导致拒绝服务。 |
2.2 SYN Flood攻击原理:
①正常的TCP三次握手:
TCP 协议建立连接需要经过 “三次握手”:
- 第一步:正常客户端向服务端发送一个
SYN(同步)报文,请求建立连接。- 第二步:服务端收到
SYN报文后,会分配一定的内存、CPU 等资源,然后回复一个SYN + ACK(同步 + 确认)报文给客户端。- 第三步:客户端收到
SYN + ACK报文后,再发送一个ACK(确认)报文给服务端。- 之后:三次握手完成,客户端和服务端就可以正常进行数据包交互了。此时服务端还有空闲资源,能正常为客户端提供服务。
②SYN Flood攻击:
SYN Flood 是一种常见的拒绝服务(DoS)攻击,原理是通过大量伪造的连接请求,耗尽服务端资源:
- 攻击行为:攻击者向服务端发送大量伪造源地址、源端口的
SYN报文。这些SYN报文看起来像是正常的连接请求,但实际上来源是虚假的。- 服务端的反应:服务端收到这些伪造的
SYN报文后,会像处理正常连接请求一样,分配内存、CPU 等资源,并回复SYN + ACK报文。- 攻击的关键:由于
SYN报文的源地址是伪造的,真正的 “客户端”(其实是攻击源)不会收到服务端的SYN + ACK报文,也就不会回复ACK报文。- 资源耗尽:服务端会在 “
SYN_RECEIVED” 状态下等待ACK报文一段时间(超时之前)。大量这样的 “半连接”(只完成了前两步握手,没完成第三步)会持续占用服务端的资源。最终,服务端的内存、CPU 等资源被耗尽,合法客户端的正常连接请求无法得到响应,服务就瘫痪了。
2.3 SYN代理(防御SYN Flood攻击的手段):
①正常客户端连接:
- 第一步:正常客户端向 NGAF(可理解为具备 SYN 代理功能的防火墙) 发送
SYN报文,请求建立连接。- 第二步:NGAF 收到
SYN后,会生成带 “Cookie(一种验证标识)” 的SYN + ACK报文,回传给客户端。- 第三步:客户端收到
SYN + ACK(Cookie)后,回复ACK报文给 NGAF。- 第四步:NGAF 验证
ACK与 Cookie 匹配(确认是合法请求)后,会以自己的身份向服务端发SYN报文,后续服务端回复SYN + ACK、NGAF 再回ACK,完成与服务端的三次握手。之后,客户端和服务端就能通过 NGAF 正常进行数据包交互,且通信的发送序号会由防火墙转换处理。
②遭受SYN Flood攻击:
- 攻击发生:攻击者发起 SYN Flood 攻击,向 NGAF 发送大量伪造源地址的
SYN报文。- NGAF 拦截:NGAF 收到这些攻击的
SYN后,同样回复SYN + ACK(Cookie)给攻击源,但由于攻击源是伪造的,无法正确回复ACK(或回复的ACK无法通过 Cookie 验证)。- 保护服务端:因为攻击的
ACK验证不通过,NGAF 不会向服务端转发这些无效的SYN请求,所以服务端完全收不到 SYN 攻击包,避免了资源被大量半连接耗尽,从而抵御了攻击,能正常为合法客户端提供服务。
2.4 配置思路
2.5 思考总结
3. IPS入侵检测和防御技术
3.1 IDS/IPS介绍
IDS(入侵检测系统):主要对网络、系统的运行状况进行监视,尽可能去发现各类攻击企图、攻击行为或者攻击造成的结果,起到检测预警的作用。
IPS(入侵防御系统):能监视网络、系统的运行状况,不仅可以发现攻击企图、攻击行为,还能主动阻止这些攻击,在检测的基础上具备防御拦截的能力。
IDS/IPS的区别:
| 对比项 | IDS | IPS |
| 工作原理 | 特征识别、记录攻击行为、以备审计 | 特征识别,丢弃实时的攻击 数据 |
| 部署方式 | 并联(旁路镜像) | 串联(路由、透明)+并联 |
| 安全属性 | 被动检测 | 主动检测 |
| 阻断攻击能力 | 弱 | 强 |
| 安全响应速度 | 滞后性 | 实时性 |
| 攻击数据能否到达目标 | 能 | 否 |
3.2 IPS需要防御的常见入侵手段
蠕虫的恶意行为:
- 扫描:蠕虫会进行端口扫描、地址探测,还会尝试密码猜测、账号猜测,以此寻找可入侵的目标和漏洞。
- 寄生:入侵成功后,会通过创建新文件、修改已有文件、修改注册表、创建服务、建立后门等方式,在受感染系统中扎根留存。
- 攻击:利用恶意邮件、自动安装程序、已知后门或漏洞、Active X 控件等途径发起攻击。
- 传播:借助邮件、web、FTP、文件共享等方式,向其他系统扩散。
- 发作:会造成修改或删除文件、网络瘫痪、拒绝服务等危害后果。
IPS入侵手段:
①利用系统漏洞入侵
通过网络设备、服务器等存在的漏洞实施攻击,例如 WannaCry 勒索软件改造 “永恒之蓝” 攻击程序,利用微软 SMB 漏洞 MS17 - 010 发起网络攻击。
②借助恶意软件入侵
依靠后门、木马、间谍软件等恶意程序入侵,如安卓 “心脏滴血” 漏洞,黑客仅需手机号码,通过彩信发送间谍软件就能远程操控安卓手机。
③口令暴力破解入侵
采用暴力破解方式获取口令,常见方法有字典法(收集常用密码形成文本文件用于破解)和规则破解(结合账号或用户个人信息如生日、电话等进行破解)。
3.3 IPS工作原理
① 流量分析
IPS设备使用深度数据包检查来分析网络流量。
这包括检查数据包的源IP地址、目标IP地址、端口号、协议和内容。
② 签名检测
IPS设备使用签名数据库来比对已知的攻击模式。
这些签名类似于病毒定义文件,可以识别已知的恶意代码和攻击。
③ 异常检测
除了签名检测,IPS还可以使用行为分析来检测未知的、新型的攻击。
这种方法涉及监视流量的正常模式,以便识别不正常或异常的活动。
④ 漏洞利用检测
IPS设备可以检测和阻止攻击者尝试利用已知的软件漏洞入侵系统的行为。
这是通过检查流量中的特定模式和行为来实现的。
3.4 IPS防护原理
IPS(入侵防御系统)实现应用层防护的原理是:对数据包应用层的数据内容进行威胁特征检查,将其与 IPS 规则库比对。若匹配,就拒绝该数据包。
从数据包结构看,IPS 会开展深度内容检测,涵盖对 IP 头、传输头等的状态检测,以及对应用特征、应用威胁特征的检测,以此精准识别并拦截恶意流量。
3.5 IPS防护方式
3.6 配置思路
3.7 联动封锁
防火墙规则联动封锁是一种网络安全防护机制,核心是当 IPS(入侵防御系统)、WAF(Web 应用防火墙)阻断高危入侵后,通知防火墙模块暂时阻止该源 IP 的通讯,削弱入侵强度以保护服务器安全。具体要点如下:
- 可配置联动封锁的模块包括 IPS、WAF、DOS、僵尸网络模块。
- 只有这些模块发生 “阻断” 事件时,才会触发联动封锁。
- 联动封锁针对的是该源 IP 通过防火墙的所有通信。
- 被封锁的主机仍能访问 AF 控制台,但无法访问数据中心。
- 临时防火墙可支持的联动封锁规则容量为 1000 条。
- 被联动封锁的拒绝记录可在应用控制日志中查询。
3.8 误判处置
IPS 规则默认分致命、高、中、低、信息五个级别,可能出现正常通讯被误判为入侵通讯而拒绝,或入侵被误判为正常通讯而放行的情况,针对误判有两种处置方式:
- 方式一:
- 配置 IPS 规则时,勾选 IPS 日志的 “记录” 选项。
- 根据数据中心的日志,查询到误判规则的漏洞 ID。
- 在对象设置 - 漏洞特征识别库中,修改对应漏洞 ID 的动作,比如改成放行或禁用。
- 方式二:若正常通讯被误判为入侵通讯并被设备拒绝,可直接查询数据中心的拒绝日志,然后直接添加例外,让该正常通讯能正常进行。
3.9 注意事项
4. WEB攻击检测和防御技术
4.1 WAF定义
4.2 SQL注入
4.2.1 攻击数据出现在哪里(在哪里提交、如何提交)?
1、Get的特点,提交的内容经过URI编码直接在url栏中显示;2、Post的特点,提交的内容不会直接显示在url部分,会在post包的data字段中。
4.2.2 什么内容才是SQL注入攻击(提交什么内容才认为是SQL注入攻击)?
弱攻击:类似这种select * from test,这个sql语句中,有两个关键字select和from执行了一个查询语句,其危险性相对强攻击较低;注入工具攻击:利用一些专业的SQL注入工具进行攻击,这些工具的攻击都是具有固定数据流特征的;强攻击:如insert into test values(lmj,123) 这个语句中有三个SQL关键字insert、into、values,并且这个语句操作可能导致在test表中添加lmj这个用户,这种语句被认为是危险的。
4.3 CSRF攻击
4.3.1 定义
CSRF(Cross - Site Request Forgery,跨站点请求伪造),指攻击者盗用用户身份,以用户名义发送恶意请求。
4.3.2 攻击效果
对服务器来说,该请求完全合法,但会执行攻击者期望的操作,例如:以用户名义发送邮件、发消息;盗取用户账号;添加系统管理员;进行商品购买、虚拟货币转账等。
4.3.3 防范方法
① 二次认证:
在关键操作(如转账、修改账户信息)时,要求用户再次验证身份(如输入密码、短信验证码)。
② 前端请求设置referer字段:
通过验证请求的来源页面,判断是否为合法发起的请求,若来源异常则拦截。
4.4 信息泄露攻击
信息泄露攻击是指由于对特殊文件处理不当,攻击者可通过访问相关文件或路径,窃取 Web 服务器的敏感信息(如用户名、密码、源代码、服务器及配置信息等)。
4.4.1 常见信息泄露类型
- 应用错误信息泄露:应用程序报错时,将包含数据库连接、代码逻辑等敏感内容的错误信息暴露出来。
- 备份文件信息泄露:服务器上留存的备份文件(如网站源码备份、数据库备份)未妥善保护,被攻击者获取。
- Web 服务器缺省页面信息泄露:服务器默认页面可能包含版本、配置等信息,易被利用。
- 敏感文件信息泄露:像包含用户数据、密钥的敏感文件,若访问权限设置不当,会被非法访问。
- 目录信息泄露:服务器目录结构可被遍历,攻击者能看到目录下文件列表,进而寻找敏感文件。
4.4.2 信息泄露原因
- Web 服务器配置问题:如目录浏览权限未关闭、敏感文件权限设置过松等。
- Web 服务器本身漏洞:服务器软件存在漏洞,被攻击者利用来获取信息。
- Web 网站脚本编写问题:脚本未对用户输入或文件访问做严格验证,导致攻击者可非法访问敏感文件或路径。
4.5 配置思路
4.6 误判处置
方法一:URL 参数排除
- 路径:在【服务器保护】-【WEB 应用防护】-【排除列表】中新增 URL 参数排除。
- 作用:让 WEB 应用防护的网站攻击检测跳过特定参数的检查。适用于正常业务请求中,某些参数因携带特征串被误判为攻击的场景,可精准针对这些参数进行排除。
方法二:日志查询添加例外
- 路径:在【内置数据中心】-【日志查询】-【WEB 应用防护】中查询日志。
- 操作:找出误判的日志后,点击日志后面的 “添加例外”,从而对误判的请求进行例外设置,避免后续被错误拦截。
取消误判排除
- 场景:在数据中心完成排除操作后,若需取消该排除。
- 路径:可到【服务器保护】-【WEB 应用防护】相关界面(如 “排除列表 ->WAF 规则排除”)进行编辑,取消之前的排除操作。
5. 网页防篡改技术
5.1 需求背景
5.2 网页防篡改
深信服网页防篡改解决方案,核心是将文件保护系统与下一代防火墙(AF)深度融合,通过文件监控和二次认证两大功能的紧密联动,构建全方位的网站内容保护体系,防止非法篡改。其中,文件保护系统运用了业界领先的文件过滤驱动技术,从底层保障文件的安全性。
5.2.1 文件监控机制(从驱动层保障文件安全)
- 部署前提:在 Web 服务器端安装驱动级的文件监控软件,这一软件能深入到 Windows 文件驱动层进行操作监控。
- 配置环节
- 防火墙 IP 地址配置:将防火墙(AF)的 IP 地址进行设置,建立与 AF 的关联,以便后续日志同步等操作。
- 网站目录配置:明确需要保护的网站目录范围,这样监控软件就能针对性地对这些目录下的文件进行保护。
- 合法应用程序配置:指定哪些应用程序是被允许对网站目录文件进行修改的,只有这些合法程序的操作才会被认可。
- 拦截逻辑
- 当有程序进程对网站目录文件进行操作时,首先过滤操作目标,判断是否属于配置好的网站目录。如果不是,不做特殊限制;如果是,则进入下一步过滤。
- 接着过滤操作主体,判断发起操作的应用程序是否为合法应用程序。
- 若检测到是非法程序试图修改网站文件,监控软件会立即拦截该操作,同时将相关日志上报给 NGAF(下一代防火墙),NGAF 的 UI 界面会实时显示这些日志,并且通过关联 NGAF 的防篡改策略,激活文件监控软件的防护功能,形成完整的防护闭环。
5.2.2 二次认证机制(强化后台访问安全)
(1)管理员认证流程(规范合法管理员的后台访问)
- 管理员首先访问网站后台,例如访问地址为
http://www.xxx.com/dede/的后台页面。 - 下一代防火墙(AF)会将管理员的访问请求重定向到一个用于提交管理员邮箱地址的认证页面。
- 管理员在该认证页面提交用于接收验证码的管理员邮箱,比如
wangboxkillman@sina.com。 - 系统接收到邮箱信息后,会自动发送带有验证码的邮件到该管理员邮箱
wangboxkillman@sina.com。 - 管理员登录自己的邮箱,从中获取系统发送的验证码。
- 管理员将获取到的验证码提交到认证页面,通过系统的认证。
- 认证通过后,系统会自动将管理员跳转到网站后台页面,使其能够进行正常的后台操作。
(2)黑客认证流程(增加非法访问难度)
当黑客试图访问网站后台时,在上述第 3 步,由于黑客无法获取并提交正确的管理员邮箱地址,所以无法正常进入后续的验证码获取与提交流程,也就无法登录网站后台。如果黑客想要破解这一认证,就必须通过社会工程学手段(如钓鱼、信息窃取等)获取管理员的邮箱地址,并且还要破解该管理员的邮箱,只有完成这一系列高难度操作后,才有可能破解后台登录,大大提高了非法访问的门槛。
5.3 配置思路
5.4 注意事项
