伺服器安全檢測和防禦技術

目錄

• 1.伺服器安全風險
• 2.DOS攻擊檢測和防禦技術
• 2.1 需求背景
• 2.2 DOS攻擊介紹
• 2.3 DOS目的
• 2.4 DOS類型
• 2.5 SYN Flood 攻擊及解決辦法
• （1）SYN Flood攻擊原理
• （2）SYN攻擊的解決方案原理
• 2.6 檢測防禦DOS攻擊的配置思路
• 2.6.1 配置完成的效果顯示
• 2.7 思考總結
• 3.IPS入侵檢測和防禦技術
• 3.1需求背景
• 3.2 IDS和IPS
• (1)IDS
• (2)IPS
• (3)IDS和IPS對比
• 3.3 IPS常見入侵手段
• 蠕蟲 worm
• 3.4 IPS 入侵手段
• 3.5 IPS防護
• 3.5.1 IPS防護原理
• 3.5.2 IPS防護方式
• (1)IPS的保護對象
• (2)IPS的規則識别分類
• 3.6 防禦配置
• (1)保護用戶端
• (2)保護伺服器
• (3) 效果顯示
• 3.7 關聯封鎖
• 3.8 誤判處置
• 3.9 注意事項
• 4.WEB攻擊檢測和防禦技術
• 4.1需求背景
• 4.2 WAF
• 4.2.1 WAF定義
• 4.2.2 WAF常見攻擊手段
• 4.2.3 SQL注入
• 4.2.4 CSRF攻擊
• 4.2.5 資訊洩露攻擊
• （1）常見的資訊洩露
• （2）資訊洩露的幾種原因
• 4.3 配置思路
• 4.3.1 效果展示
• 4.4 誤判處理
• （1）方法一
• (2)方法二
• 5.網頁防篡改技術
• 5.1 需求背景
• 5.1.1網站篡改帶來的後果
• 5.2 網頁防篡改
• 5.2.1 檔案監控
• 5.2.2 二次認證
• （1）管理者認證流程
• (2)黑客認證流程
• 5.3 配置思路
• 5.3.1配置防篡改用戶端
• 5.3.2配置二次認證
• 5.3.3 效果顯示
• 5.4 注意事項

風險	應對政策
不必要的通路（如隻提供HTTP服務)	應用識别、控制
外網發起IP或端口掃描、DDOS攻擊等	防火牆
漏洞攻擊（針對伺服器作業系統等)	IPS
根據軟體版本的已知漏洞進行攻擊,密碼暴力破解，擷取使用者權限；SQL注入、 XSS跨站腳本攻擊、跨站請求僞造等等	伺服器保護
掃描網站開放的端口以及弱密碼	風險分析
網站被攻擊者篡改	網絡篡改防護

2016年10月21日，美國提供動态DNS服務的DynDNS報告遭到 DDoS攻擊，攻擊導緻許多使用DynDNS服務的網站遭遇通路問題，其中包括 BBC、華爾街日報、CNN、紐約時報等一大批新聞網站集體當機，Twitter甚至出現了近24小時0通路的局面！此次事件中，黑客就是運用了DNS洪水攻擊手段。

DoS攻擊——Denial of Service, 是一種拒絕服務攻擊，常用來使伺服器或網絡癱瘓。

DDoS攻擊——Distributed Denial of Service, 分布式拒絕服務攻擊

①、消耗帶寬
 ②、消耗伺服器性能 
 ③、引發伺服器當機
           

SYN代理

1、【防火牆】-【DOS/DDOS防護】-新增【外網對内網攻擊防護政策】。

2、【源區域】選擇外網區域。

3、【掃描防護】勾選【IP位址掃描防護】、【端口掃描防護】。

4、【内網IP組】選擇需要保護的伺服器IP組。

5、【DoS/DDoS攻擊類型】-勾選所有類型，一般按照預設即可，為展現測試 效果可适當調低封鎖門檻值。

6、【進階防禦選項】-可勾選除【IP資料塊分片傳輸防護】之外的其他選項，

一般不建議勾選【IP資料塊分片傳輸防護】，勾選了分片資料包都将被丢棄。

【内置資料中心】-【日志查詢】- 【Dos攻擊】檢視具體日志。

SYN洪水攻擊防護的【每目的IP激活門檻值】、【每目的IP丢包門檻值】 指的是什麼？

每目的IP激活閥值

1、每目的IP激活門檻值，指當針對政策設定的目的IP組内某IP發起的syn請求速 率資料包超過設定值，則觸發AF的syn代理功能

每目的IP丢包閥值

2、每目的IP丢包門檻值，指當針對政策設定的目的IP組内某IP發起的syn請求速 率資料包超過設定值，則AF不再啟用syn代理，直接丢棄syn包。

2017年5月12日，WannaCry蠕蟲通過MS17-010漏洞在全球範圍大爆發，感染了大量的計算機，該蠕蟲感染計算機後會向計算機中植入勒索病毒 ，導緻電腦大量檔案被加密。受害者電腦被黑客鎖定後，病毒會提示支付價值相當于300美元（約合人民币2069元）的比特币才可解鎖。

IDS——Intrusion Detection Systems，即入侵檢測系統，對網絡、系統的運作狀況進行監視，盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果。

IPS——Intrusion Prevention Systems，即入侵防禦系統，可對網絡、系統的運作狀況進行監視，并可發現阻止各種攻擊企圖、攻擊行為。

（1）網絡裝置、伺服器漏洞

（2）後門、木馬、間諜軟體等

例子：2015年7月27日，安卓被爆“ 心髒滴血”漏洞，黑客隻需知道手機号碼，通過彩信向使用者發送間諜軟體，便可遠端操控安卓手機。

（3）密碼暴力破解

常見的暴力破解方法：

a 字典法：黑客通過各種手段所擷取一些網絡使用者所經常使用的密碼，集合在 一起的的一個文本檔案

b 規則破解：規則法是通過和賬号或者使用者的個人資訊進行破解，如生日、電話等資訊

IPS通過對資料包應用層裡的資料内容進行威脅特征檢查，并與IPS規則庫進行比對，如果比對則拒絕該資料包，進而實作應用層IPS的防護

保護用戶端：用于保護用戶端機器及其應用軟體系統不因本身的漏洞而受到攻擊。

保護伺服器：用于保護伺服器及其應用軟體系統不因伺服器或者軟體本身存在的漏洞而受到攻擊；還用于阻止使用者頻繁登入指定協定伺服器，防止暴力破解攻擊。

◆保護伺服器和用戶端（一般是病毒、木馬等） 防止包括作業系統本身的漏洞，後門、木馬、間諜、蠕蟲軟體以及惡意代碼的攻擊。 ◆保護伺服器軟體（如應用伺服器提供的應用） 防止針對web、dns、ftp、tftp、telnet、郵件、資料庫、媒體伺服器應用本身的漏洞以及網絡裝置進行的攻擊和暴力破解。

◆保護用戶端軟體（如OA、IE等） 防止針對web activex 控件漏洞、web浏覽器、檔案格式、應用軟體進行的攻擊。

1、【IPS】-新增IPS政策 
2、【源區域】選擇内網用戶端所在區域，源IP選擇需要防護的用戶端IP組 
3、【目的區域】選擇外網區域，目的IP組選擇全部 
4、【IPS選擇】選擇【保護用戶端】及【惡意軟體】 
5、 選擇允許或拒絕、是否關聯封鎖、是否日志記錄，依具體情況而定
           

1、【IPS】-新增IPS政策 
2、【源區域】選擇外網區域，源IP組選擇全部 
3、【目的區域】選擇伺服器所在區域，目的IP選擇需要防護的伺服器IP組 
4、【IPS選擇】選擇【保護伺服器】及【密碼暴力破解】
5、 選擇允許或拒絕、是否關聯封鎖、是否日志記錄，依具體情況而定
           

【内置資料中心】-【日志查詢】- 【IPS】檢視具體日志

防火牆規則關聯封鎖:

== IPS/WAF阻斷一個高危入侵後，即通知防火牆子產品阻止此源IP通訊一段時間，使入侵源IP無法繼續攻擊，有效降低入侵強度，保護伺服器安全。==

1. IPS/WAF/DOS/僵屍網絡子產品可以配置關聯封鎖 
2. IPS/WAF/DOS/僵屍網絡中僅“阻斷”事件會觸發關聯封鎖
3.  關聯封鎖針對的是該源IP通過防火牆的任何通信
4.  被關聯封鎖的主機可通路AF控制台，無法通路資料中心
5. 臨時防火牆容量為1000條 
6. 被關聯封鎖的拒絕記錄在應用控制日志中查詢 
           

IPS規則預設有緻命、高、中、低、資訊五個級别，可能存在外網與内網之間的正常通訊被當成一種入侵通訊被裝置給拒絕了或者是外網對内網的入侵被當成一種正常通訊給放通了，造成一定的誤判，此時又該如何修改IPS防護規則？

（1）配置IPS規則時，對于IPS日志勾選上“記錄”

（2）根據資料中心的日志，查詢到誤判規則的漏洞ID

（3）對象設定—漏洞特征識别庫中，修改相應漏洞ID的動作，如改成放行或禁用。

如果正常通訊被當成一種入侵通訊被裝置給拒絕了，也可直接查詢資料中 心的拒絕日志，直接添加例外。

1、配置IPS保護用戶端和伺服器時，源區域為資料連接配接發起的區域。

2、IPS保護用戶端與保護伺服器中的用戶端漏洞和伺服器漏洞規則是不同的， 因為攻擊者針對伺服器和用戶端會使用不同的攻擊手段。

2015年04月22日，超30個省市衛生和社保系統爆出漏洞，黑客通過sql注 入，完成數千萬使用者的社保資訊的拖庫批量下載下傳。社保系統裡的資訊包括了居民身份證、社保、薪酬等敏感資訊

以OWASP的top 10項目為例，其列出了對企業組織所面臨的10項的最嚴 重的web應用程式安全風險，由下圖可以看到，注入和XSS攻擊由07年直至17 年始終位居前幾位。

WAF——Web Application Firewall，即Web應用防護，主要用于保 護Web伺服器不受攻擊，而導緻軟體服務中斷或被遠端控制。

WAF常見攻擊手段有哪些？ 
1、SQL注入 
2、XSS攻擊 
3、網頁木馬 
4、網站掃描 
5、WEBSHELL 
6、跨站請求僞造 
7、系統指令注入 
8、檔案包含攻擊 
9、目錄周遊攻擊 
10、資訊洩漏攻擊 
           

SQL注入——就是通過把SQL指令插入到Web表單遞交或輸入域名或頁 面請求的查詢字元串，最終達到欺騙伺服器執行惡意的SQL指令

SQL注入的小視訊 友善了解SQL注入

連結：https://pan.baidu.com/s/1lRtnTsnq-4Lwl-v9_Rn3og

提取碼：1kuj

複制這段内容後打開百度網盤手機App，操作更友善哦

(1)、攻擊資料出現在哪裡（在哪裡送出、如何送出）？

Web送出資料一般有兩種形式，一種是get，一種是post。

1、Get的特點，送出的内容經過URI編碼直接在url欄中顯示

2、Post的特點，送出的内容不會直接顯示在url部分，會在post包的data字段中

(2)、什麼内容才是SQL注入攻擊（送出 什麼内容才認為是SQL注入攻擊）？

SQL注入攻擊可以根據其特點分為弱特征、注入工具特征、強特征三種。

a 弱攻擊：類似這種select * from test，這個sql語句中，有兩個關鍵字select和from執行了一個查詢語句，其危險性相對強攻擊較低；

b 注入工具攻擊：利用一些專業的SQL注入工具進行攻擊，這些工具的攻擊都是具有固定資料流特征的。

c 強攻擊：如insert into test values（lmj，123） 這個語句中有三個SQL 關鍵字insert、into、values，并且這個語句操作可能導緻在test表中添加lmj 這個使用者，這種語句被認為是危險的

強攻擊大緻具備如下特征：

1、包含三個及以上的SQL關鍵字，并且這三個關鍵字組合起來能夠成為一條合法的SQL語句。

2、包含任何的SQL關鍵字連詞，這些連詞包括union. “;”, and, or等，并且采取了常用的sql注入方法來運用這些連詞，如資料包中存在 and 1=1 會被認為是強特征。

CSRF——Cross Site Request Forgery，即跨站點請求僞造，攻擊者盜用了你的身份，以你的名義發送惡意請求，對伺服器來說這個請求是完全合法的，但是卻完成了攻擊者所期望的一個操作，比如以你的名義發送郵件、發消息，盜取你的賬号，添加系統管理者，甚至于購買商品、 虛拟貨币轉賬等。

小視訊 更好的了解CSRF攻擊

連結：https://pan.baidu.com/s/19uaHBZe-laR2SjaFY9hvIw

提取碼：kteb

資訊洩露漏洞是由于在沒有正确處理一些特殊檔案，通過通路這些檔案或者路徑，可以洩露web伺服器的一些敏感資訊，如使用者名、密碼、源代碼、伺服器資訊、配置資訊。

1、應用錯誤資訊洩露；

2、備份檔案資訊洩露；

3、web伺服器預設頁面資訊洩露；

4、敏感檔案資訊洩露；

5、目錄資訊洩露

1、web伺服器配置存在問題

2、web伺服器本身存在漏洞

3、web網站的腳本編寫存在問題

1、【伺服器保護】-【web應用防護】新增WAF政策

2、【源區域】選擇外網區域，源IP組選擇全部

3、【目的區域】選擇伺服器所在區域，目的IP選擇需要防護的伺服器IP組

4、【端口】選擇預設，如web伺服器使用的是非标準端口80，則将對應端口填至HTTP選項

5、【防護類型】 選擇全部，其他選項預設即可 6、 允許或拒絕、是否關聯封鎖、是否日志記錄，依具體情況而定

【内置資料中心】-【日志查詢】- 【web應用防護】檢視具體日志。

在【伺服器保護】-【WEB應用防護】-【排除清單】中新增URL參數排除後，WEB應用防護的網站攻擊檢測将跳過這些參數的檢查。主要用于正常業務下某些請求參數因攜帶特征串而被檢測為攻擊的情況，可以隻針對這些參數排除。

在【内置資料中心】-【日志查詢】-【WEB應用防護】中查詢日 志，找出誤判日志然後點選日志後面的“添加例外”

在資料中心排除之後，如需要取消誤判排除可以到如下界面進行編輯， 取消排除操作。

随着Web應用的發展，使Web系統發揮了越來越重要的作用，與此同時，越來越多的Web系統也因為存在安全隐患而頻繁遭受到各種攻擊，導緻Web系統敏感資料、頁面被篡改、甚至成為傳播木馬的傀儡，最終會給更多通路者造成傷害，帶來嚴重損失。

（1）經濟損失

從媒體報道的事件中我們就能體會到，網站被篡改帶來了非常大的經濟損失 ，尤其對某些Web系統所有者來說可能是緻命的。尤其對與銀行、證券以及遊戲類網站，不僅給使用者帶來直接的經濟損失，而且會降低使用者使用網站服務的信心，這對企業無疑是巨大打擊，可能造成客戶流失，形成間接經濟損失。

（2）名譽損失

網站代表着企業、政府機構等組織在網際網路使用者中的形象，當首頁被篡改， 甚至于留有一些侮辱性文字和圖檔，組織的聲譽将是以會受到非常大的影響， 造成持續的名譽損失。

（3）政治風險

尤其對于政府機構的網站，一旦被反動勢力入侵并利用網站散播反動言論， 不僅将會嚴重影響政府形象，而且會帶來極大的政治風險，産生社會動蕩，後 果十分嚴重。

深信服網頁防篡解決方案采用檔案保護系統+下一代防火牆緊密結合，檔案監控+二次認證功能緊密關聯，保證網站内容不被篡改，其中檔案保護系統采用 了業界防篡改技術中最先進的檔案過濾驅動技術

在服務端上安裝驅動級的檔案監控軟體，監控伺服器上的程式程序對網站目錄檔案進行的操作，不允許的程式無法修改網站目錄内的内容

1.通路網站背景http://www.xxx.com/dede/

2. AF重定向送出管理者郵箱位址的認證頁面

3. 送出接收驗證碼的管理者郵箱[email protected]

4. 發送帶有驗證碼的郵件至[email protected]

5. 管理者登入郵箱擷取驗證碼

6. 管理者送出驗證碼通過認證

7. 通過驗證後自動跳轉到背景頁面

第3步時，黑客無法送出正确的管理者郵箱 則無法正常登入網站背景，此過程除非黑客通過社工手段擷取管理者郵箱位址，并且破解管理者郵箱後才可破解背景登入。

1、下載下傳用戶端——AF防篡改配置界面右上角有一個【安裝防護用戶端】下載下傳連結，點選下載下傳對應作業系統用戶端即可，或者直接 http://sec.sangfor.com.cn/tamper/下載下傳用戶端。還可以在配置界面最底部有 一個預設勾選的伺服器檔案系統防護點選“安全防護用戶端”即可下載下傳 windows或者linux用戶端軟體。

2、安裝用戶端

3、設定用戶端

1、【伺服器保護】-【網站篡改防護2.0】新增防篡改政策。

2、【伺服器IP】若DNAT是在AF上做的，填寫DNAT之後的IP；若DNA不是在 AF上做的，則填寫通路伺服器資料經過AF時的目的IP。

3、【網站背景登入防護】需要填寫通路端口及網站管理URL。

4、【管理者認證方式】IP認證即IP白名單，加入到這個IP認證清單的不需要二 次認證；郵件認證即需要通過郵件驗證碼形式發送郵件附件填寫到頁面上才能 通路管理者背景。如果兩種認證方式都不勾選則預設全部拒絕。

5、如果使用了郵件認證則必須在【系統】-【郵件伺服器】配置發件人

1、防篡改用戶端必須連接配接防火牆并比對防篡改政策後才會生效，防篡改用戶端 生效後，即使防火牆不線上，功能依然生效。

2、若網站本身有webshell未删除，則防篡改用戶端無法攔截webshell的檔案 篡改行為。

3、Windows系統中，防篡改用戶端無法通過控制台-解除安裝程式進行解除安裝，需 要使用安裝目錄中的tamper.exe進行解除安裝，解除安裝需要輸入用戶端密碼。

4、Linux系統中，在防篡改功能開啟前已經建立的會話或者連接配接，防篡改功能 不會生效。新的會話或者連接配接才生效。

5、 Linux系統中，已經被防篡改保護的會話或者連接配接，在防篡改程序停止的情 況依然會生效，如果要關閉防篡改功能，請通過配置開關停掉防篡改功能。

6、 Linux系統中，開啟防篡改的伺服器，如果需要完全消除防篡改的影響，先 解除安裝防篡改程式後重新開機所有服務或者直接重新開機伺服器。

7、 Linux系統中， Agent自身的bypass機制，當伺服器記憶體系統資源超過 70%時，功能不生效。

原文位址：https://blog.csdn.net/csdn10086110/article/details/90609550