服務器安全討論

1、服務器安全討論Contents診斷方法及其解決辦法SQL注入式攻擊及預防DDOS攻擊及預防服務器攻擊手段服務器的配置服務器配置服務器配置基本配置：基本配置：安裝服務器補丁安裝服務器補丁安裝殺毒軟件安裝殺毒軟件設置端口保護和防火墻、刪除默認共享設置端口保護和防火墻、刪除默認共享權限設置權限設置NTFS權限設置，請記住分區(qū)的時候把所有的硬盤權限設置，請記住分區(qū)的時候把所有的硬盤都分為都分為NTFS分區(qū)，然后我們可以確定每個分區(qū)對分區(qū)，然后我們可以確定每個分區(qū)對每個用戶開放的權限每個用戶開放的權限 每個每個IIS站點或者虛擬目錄，都可以設置一個匿名站點或者虛擬目錄，都可以設置一個匿名訪問用戶訪問用戶

2、 禁用不必要的服務禁用不必要的服務 開始開始-運行運行-services.msc 修改注冊表，讓系統更強壯修改注冊表，讓系統更強壯 服務器攻擊手段服務器攻擊手段vDOS攻擊與攻擊與DDOS攻擊攻擊vDDOS是英文是英文Distributed Denial of Service的縮寫，意即的縮寫，意即“分布式拒絕服務分布式拒絕服務”， vDOS攻擊是攻擊是Denial of Service的簡稱，即的簡稱，即拒絕服務，造成拒絕服務，造成DoS的攻擊行為，其目的的攻擊行為，其目的是使計算機或網絡無法提供正常的服務。是使計算機或網絡無法提供正常的服務。最常見的最常見的DoS攻擊有計算機網絡帶寬攻擊攻

3、擊有計算機網絡帶寬攻擊和連通性攻擊。和連通性攻擊。 v區(qū)別：區(qū)別：DOS側重于系統漏洞的攻擊，側重于系統漏洞的攻擊，DDOS最常見的是洪水攻擊，就是阻塞系最常見的是洪水攻擊，就是阻塞系統與外面的正常通信統與外面的正常通信DDOS攻擊攻擊vSYN/ACK Flood攻擊：這種攻擊方法是經典最有攻擊：這種攻擊方法是經典最有效的效的DDOS方法，可通殺各種系統的網絡服務，方法，可通殺各種系統的網絡服務，主要是通過向受害主機發(fā)送大量偽造源主要是通過向受害主機發(fā)送大量偽造源IP和源端和源端口的口的SYN或或ACK包包 。v判斷方法：服務器無法訪問，會導致判斷方法：服務器無法訪問，會導致Ping失敗、失敗

4、、TCP/IP棧失效，不響應鍵盤和鼠標。棧失效，不響應鍵盤和鼠標。vTCP全連接攻擊：這種攻擊是為了繞過常規(guī)防火全連接攻擊：這種攻擊是為了繞過常規(guī)防火墻的檢查而設計的，墻的檢查而設計的， 導致服務器資源被耗盡。導致服務器資源被耗盡。vScript腳本攻擊腳本攻擊 ：服務器建立正常的：服務器建立正常的TCP連接，連接，并不斷的向腳本程序提交查詢、列表等大量耗費并不斷的向腳本程序提交查詢、列表等大量耗費數據庫資源的調用。輕松找一些數據庫資源的調用。輕松找一些Proxy代理就可代理就可實施攻擊。實施攻擊。 SQL注入式攻擊注入式攻擊v 注入式攻擊是指利用設計上的漏洞注入式攻擊是指利用設計上的漏洞,

5、,在目標服務器上運行在目標服務器上運行sqlsql命令以及進行其他方式的攻擊命令以及進行其他方式的攻擊, ,動態(tài)生成動態(tài)生成sqlsql命令是沒命令是沒有對用戶輸入的數據進行驗證有對用戶輸入的數據進行驗證, ,這是注入式攻擊原理這是注入式攻擊原理. . v 最常見的也就是在查詢字符串中直接輸入最常見的也就是在查詢字符串中直接輸入SQL攻擊字符串攻擊字符串 v 例如：例如：page.asp?id=Num and exists (select * from admin) v 其次就是在其次就是在FORM表單中提交的表單中提交的SQL注入攻擊字段。注入攻擊字段。 v 通過通過COOKIE繞過一些放注

6、入的腳本程序繞過一些放注入的腳本程序 例例如如:javascript:alert(document.cookie=id=+escape(這就是這就是asp? id=xx后面后面xx代表的數值代表的數值) and (這里是注入這里是注入攻擊代碼攻擊代碼); v 還有就是上面幾種的攻擊通過還有就是上面幾種的攻擊通過16進制編碼后，繞過進制編碼后，繞過SQL注注入檢測的腳本程序入檢測的腳本程序 SQL注入式預防注入式預防v 對于構造對于構造SQL查詢的技術，可以使用下面的技術：查詢的技術，可以使用下面的技術：v 替換單引號，即把所有單獨出現的單引號改成兩個單引號，替換單引號，即把所有單獨出現的單引號

7、改成兩個單引號，防止攻擊者修改防止攻擊者修改SQL命令的含義。命令的含義。 v 刪除用戶輸入內容中的所有連字符，防止攻擊者構造出類刪除用戶輸入內容中的所有連字符，防止攻擊者構造出類如如“SELECT * from Users WHERE login = mas AND password =”之類的查詢，因為這類查詢的后半部之類的查詢，因為這類查詢的后半部分已經被注釋掉，不再有效，攻擊者只要知道一個合法的分已經被注釋掉，不再有效，攻擊者只要知道一個合法的用戶登錄名稱，根本不需要知道用戶的密碼就可以順利獲用戶登錄名稱，根本不需要知道用戶的密碼就可以順利獲得訪問權限。得訪問權限。v 對于用來執(zhí)行查詢

8、的數據庫帳戶，限制其權限。用不同的對于用來執(zhí)行查詢的數據庫帳戶，限制其權限。用不同的用戶帳戶執(zhí)行查詢、插入、更新、刪除操作。由于隔離了用戶帳戶執(zhí)行查詢、插入、更新、刪除操作。由于隔離了不同帳戶可執(zhí)行的操作，因而也就防止了原本用于執(zhí)行不同帳戶可執(zhí)行的操作，因而也就防止了原本用于執(zhí)行SELECT命令的地方卻被用于執(zhí)行命令的地方卻被用于執(zhí)行INSERT、UPDATE或或DELETE命令命令 。預防預防SQL注入式攻擊注入式攻擊v 限制表單或查詢字符串輸入的長度限制表單或查詢字符串輸入的長度v 用存儲過程來執(zhí)行所有的查詢用存儲過程來執(zhí)行所有的查詢 。SQL參數的傳遞方式將防止攻擊者參數的傳遞方式將防止

9、攻擊者利用單引號和連字符實施攻擊。此外，它還使得數據庫權限可以限制利用單引號和連字符實施攻擊。此外，它還使得數據庫權限可以限制到只允許特定的存儲過程執(zhí)行，所有的用戶輸入必須遵從被調用的存到只允許特定的存儲過程執(zhí)行，所有的用戶輸入必須遵從被調用的存儲過程的安全上下文，這樣就很難再發(fā)生注入式攻擊了儲過程的安全上下文，這樣就很難再發(fā)生注入式攻擊了v 普通用戶與系統管理員用戶的權限要有嚴格的區(qū)分普通用戶與系統管理員用戶的權限要有嚴格的區(qū)分v 如果一個普通用戶在使用查詢語句中嵌入另一個如果一個普通用戶在使用查詢語句中嵌入另一個Drop Table語句，那語句，那么是否允許執(zhí)行呢？由于么是否允許執(zhí)行呢？由

10、于Drop語句關系到數據庫的基本對象，故要語句關系到數據庫的基本對象，故要操作這個語句用戶必須有相關的權限。在權限設計中，對于終端用戶，操作這個語句用戶必須有相關的權限。在權限設計中，對于終端用戶，即應用軟件的使用者，沒有必要給他們數據庫對象的建立、刪除等權即應用軟件的使用者，沒有必要給他們數據庫對象的建立、刪除等權限。那么即使在他們使用限。那么即使在他們使用SQL語句中帶有嵌入式的惡意代碼，由于其語句中帶有嵌入式的惡意代碼，由于其用戶權限的限制，這些代碼也將無法被執(zhí)行。故應用程序在設計的時用戶權限的限制，這些代碼也將無法被執(zhí)行。故應用程序在設計的時候，最好把系統管理員的用戶與普通用戶區(qū)分開來

11、。如此可以最大限候，最好把系統管理員的用戶與普通用戶區(qū)分開來。如此可以最大限度的減少注入式攻擊對數據庫帶來的危害度的減少注入式攻擊對數據庫帶來的危害 SQL注入式預防注入式預防v 強迫使用參數化語句強迫使用參數化語句v 在編寫在編寫SQL語句的時候，用戶輸入的變量不是直接嵌入到語句的時候，用戶輸入的變量不是直接嵌入到SQL語句。而是通過參數來傳遞這個變量的話，那么就可語句。而是通過參數來傳遞這個變量的話，那么就可以有效的防治以有效的防治SQL注入式攻擊。也就是說，用戶的輸入絕注入式攻擊。也就是說，用戶的輸入絕對不能夠直接被嵌入到對不能夠直接被嵌入到SQL語句中。與此相反，用戶的輸語句中。與此相

12、反，用戶的輸入的內容必須進行過濾，或者使用參數化的語句來傳遞用入的內容必須進行過濾，或者使用參數化的語句來傳遞用戶輸入的變量。參數化的語句使用參數而不是將用戶輸入戶輸入的變量。參數化的語句使用參數而不是將用戶輸入變量嵌入到變量嵌入到SQL語句中。采用這種措施，可以杜絕大部分語句中。采用這種措施，可以杜絕大部分的的SQL注入式攻擊。使用注入式攻擊。使用SQL的參數方式的參數方式.參數參數(Parameters)集合提供類型檢測和長度檢測集合提供類型檢測和長度檢測.如果你使用如果你使用參數集合參數集合,輸入的內容將被當作文本值來對待輸入的內容將被當作文本值來對待,數據庫不會數據庫不會執(zhí)行包含在其中

13、的代碼執(zhí)行包含在其中的代碼.使用參數集方式的一個額外的好使用參數集方式的一個額外的好處是處是,你可以嚴格限定輸入的類型和長度你可以嚴格限定輸入的類型和長度.如果輸入型超出如果輸入型超出范圍將會觸發(fā)異常范圍將會觸發(fā)異常.Webconfig文件配置文件配置v 驗證驗證ASP.NET的錯誤信息沒有被返回到客戶端的錯誤信息沒有被返回到客戶端 v 你可以使用你可以使用元素來配置客戶端元素來配置客戶端,一般的錯一般的錯誤信息應該被程序錯誤檢測機制返回到客戶端誤信息應該被程序錯誤檢測機制返回到客戶端.v 請確認已經更改請確認已經更改web.config中的中的mode屬性為屬性為remoteOnly,下面是

14、示例下面是示例.v v 安在裝了一個安在裝了一個ASP.NET 的程序之后，你可以按照如下設的程序之后，你可以按照如下設定指定客戶端的錯誤信息頁面。定指定客戶端的錯誤信息頁面。v v On指定啟用自定義錯誤。如果未指定指定啟用自定義錯誤。如果未指定 defaultRedirect，用戶將看到一般性錯誤。用戶將看到一般性錯誤。Off指定禁用自定義錯誤。這允指定禁用自定義錯誤。這允許顯示標準的詳細錯誤。許顯示標準的詳細錯誤。RemoteOnly指定僅向遠程客戶指定僅向遠程客戶端顯示自定義錯誤并且向本地主機顯示端顯示自定義錯誤并且向本地主機顯示 ASP.NET 錯誤。錯誤。win2003整體配置整理

15、整體配置整理v 1) 隱藏重要文件隱藏重要文件/目錄可以修改注冊表實現完全隱藏目錄可以修改注冊表實現完全隱藏 v HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL”，鼠標右擊鼠標右擊 “CheckedValue”，選擇修改，把數值由，選擇修改，把數值由1改為改為0 v 2) 防止防止SYN洪水攻擊洪水攻擊 v HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建新建DWORD

16、值，名為值，名為SynAttackProtect，值為，值為2 新建新建EnablePMTUDiscovery REG_DWORD 0 新建新建NoNameReleaseOnDemand REG_DWORD 1 新建新建EnableDeadGWDetect REG_DWORD 0 新建新建KeepAliveTime REG_DWORD 300,000 新建新建PerformRouterDiscovery REG_DWORD 0 新建新建EnableICMPRedirects REG_DWORD 0 win2003整體配置整理整體配置整理v 3) 禁止響應禁止響應ICMP路由通告報文路由通告報文

17、 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 新建新建DWORD值，名為值，名為PerformRouterDiscovery 值為值為0 v 4) 防止防止ICMP重定向報文的攻擊重定向報文的攻擊 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 將將EnableICMPRedirects 值設為值設為0 v 5) 不支持不支持IGMP協議協議 HKEY_LOCAL_MACHINESYSTEM

18、CurrentControlSetServicesTcpipParameters 新建新建DWORD值，名為值，名為IGMPLevel 值為值為0Win2003整體配置整理整體配置整理Your TextYour Textv 6) 禁止禁止IPC空連接：空連接：cracker可以利用可以利用net use命令建立空連接，進而入侵，還有命令建立空連接，進而入侵，還有net view，nbtstat這些都是基于空連接的，禁止空連接就好了。這些都是基于空連接的，禁止空連接就好了。Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymo

19、us 把這個值改成把這個值改成”1”即可。即可。v 7) 更改更改TTL值值cracker可以根據可以根據ping回的回的TTL值來大致判斷你的操作系統，如：值來大致判斷你的操作系統，如： TTL=107(WINNT); TTL=108(win2000); TTL=127或或128(win9x); TTL=240或或241(linux); TTL=252(solaris); TTL=240(Irix); v 8) 禁止建立空連接禁止建立空連接 默認情況下，任何用戶通過通過空連接連上服務器，進而枚舉出帳號，默認情況下，任何用戶通過通過空連接連上服務器，進而枚舉出帳號，猜測密碼。我們可以通過修改注

20、冊表來禁止建立空連接：猜測密碼。我們可以通過修改注冊表來禁止建立空連接： Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成的值改成”1”即可。即可。 杜絕基于杜絕基于Guest賬戶的入侵賬戶的入侵 v Guest賬戶即所謂的來賓賬戶，它可以訪問計算機，但受到限制。不賬戶即所謂的來賓賬戶，它可以訪問計算機，但受到限制。不幸的是，幸的是，Guest也為黑客入侵打開了方便之門！網上有很多文章中都也為黑客入侵打開了方便之門！網上有很多文章中都介紹過如何利用介紹過如何利用Guest用戶得到管理員權限的方法，所以要杜

21、絕基于用戶得到管理員權限的方法，所以要杜絕基于Guest賬戶的系統入侵。賬戶的系統入侵。 v 禁用或徹底刪除禁用或徹底刪除Guest賬戶是最好的辦法，但在某些必須使用到賬戶是最好的辦法，但在某些必須使用到Guest賬戶的情況下，就需要通過其它途徑來做好防御工作了。賬戶的情況下，就需要通過其它途徑來做好防御工作了。 v 首先首先 要給要給Guest設一個密碼，然后詳細設置設一個密碼，然后詳細設置Guest賬戶對物理路徑的賬戶對物理路徑的訪問權限。舉例來說，如果你要防止訪問權限。舉例來說，如果你要防止Guest用戶可以訪問用戶可以訪問tool文件夾，文件夾，可以可以 右擊該文件夾，在彈出菜單中選擇

22、右擊該文件夾，在彈出菜單中選擇“安全安全”標簽，從中可看到標簽，從中可看到可以訪問此文件夾的所有用戶。刪除管理員之外的所有用戶即可?；蚩梢栽L問此文件夾的所有用戶。刪除管理員之外的所有用戶即可?；蛘咴跈嘞拗袨橄鄳挠脩粼O定權者在權限中為相應的用戶設定權 限，比方說只能限，比方說只能“列出文件夾目錄列出文件夾目錄”和和“讀取讀取”等，這樣就安全多了。等，這樣就安全多了。v 只給只給Guest讀取的權限，只有讀取的權限，只有administrator讀取和修改的權限。讀取和修改的權限。Win2003整體配置整理整體配置整理Add Your Titlev 9) 建議使用建議使用W3C擴充日志文件格式，

23、每天記錄客戶擴充日志文件格式，每天記錄客戶IP地地址，用戶名，服務器端口，方法，址，用戶名，服務器端口，方法，URI字根，字根，HTTP狀態(tài)，狀態(tài)，用戶代理，而且每天均要審查日志。（最好用戶代理，而且每天均要審查日志。（最好 不要使用缺不要使用缺省的目錄，建議更換一個記日志的路徑，同時設置日志的省的目錄，建議更換一個記日志的路徑，同時設置日志的訪問權限，只允許管理員和訪問權限，只允許管理員和system為為Full Control）。）。 10) 程序安全程序安全:A. 涉及用戶名與口令的程序最好封裝在服務器端，盡量涉及用戶名與口令的程序最好封裝在服務器端，盡量少的在少的在ASP文件里出現，涉及到與數據庫連接地用戶名與文件里出現，涉及到與數據庫連接地用戶名與口令應給予最小的權限口令應給予最小的權限;B. 需要經過驗證的需要經過驗證的ASP頁面，可跟蹤上一個頁面的文件頁面，可跟蹤上一個頁面的文件名，只有從上一頁面轉進來的會話才能讀取這個頁面名，只有從上一頁面轉進來的會話才能讀取這個頁面;C. 防止防止ASP主頁主頁.inc文件泄露問題文件泄露問題;D. 防止防止UE等編輯器生成等編輯器生成some.asp.bak文件泄露問題。文件泄露問題。 v 檢測方法：檢測方法：v 如果系統的安全性日志在某段時間段內不存在（這段時間服務器處于如果系統的安全性日志在某段時間段內不存在