服务器端安全检测与防御技术概述

一、服务器安全风险

1.不必要的访问（如只提供HTTP服务）--应用识别控制

2.公网发起IP或端口扫描、DDOS攻击等--防火墙

3.漏洞攻击（针对服务器操作系统等）--IPS

4.根据软件版本的已知漏洞进行攻击，口令暴力破解、获取用户权限；SQL注入、XSS跨脚本攻击、跨站请求伪造等等--服务器保护

5.扫描网站开方的端口以及弱密码--风险分析

6.网站被攻击者篡改--网站篡改防护

二、DoS攻击检测和防御技术

1.什么是DoS攻击：拒绝服务攻击（Denial of Service），一种通过耗尽目标系统资源（带宽、CPU、内存），使其无法正常响应合法用户请求的网络攻击

2.什么是DDoS攻击：分部式拒绝服务攻击（Distributed Denial of Service），通过操控大量黑客控制的设备（僵尸网络）同时攻击目标

3.DoS目的

• 消耗带宽
• 消耗服务器性能
• 引发服务器宕机

4.DoS类型

（1）流量型

• ICMP、UDP、DNS洪水攻击：攻击者通过发送大量所属协议的数据包到达占据服务端带宽，堵塞线路从而造成服务端无法提供正常服务
• SYN洪水攻击：攻击者利用TCP协议三次握手的特性，攻击方大量发起的请求包最终占用服务端的资源，使其服务器资源耗尽或为TCP请求分配的资源耗尽，从而使服务端无法正常提供服务

（2）异常型

• 畸形数据报攻击：攻击者发送畸形的攻击数据引发系统错误的分配大量系统资源，使主机处于挂机状态甚至宕机
• CC攻击：攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽，一直到宕机崩溃，主要攻击网页页面
• 慢速攻击：CC攻击的变种，以非常慢的速度发包，维持连接不断开，使客户端持续连接被占满，从而导致拒绝服务

5.SYN Flood

（1）攻击演示--TCP三次握手是有状态的连接，此处是无状态的连接

（2）SYN代理

（3）每日的IP激活阈值：源 IP 地址在 单日内 向目标服务器发送的 SYN 包数量 超过此阈值时，防护系统会将该 IP 标记为“可疑攻击源”，并启动深度检测机制（如行为分析、挑战验证等）

（4）每日的IP丢包阈值：某个源 IP 地址在 单日内 因被判定为攻击源而丢弃的 SYN 包数量 达到此阈值时，防护系统会自动拦截该 IP 的所有后续流量（直接丢弃，不再消耗服务器资源）

三、入侵检测与防御技术

1.防火墙与IDS

       传统网络安全技术的实现方法是采取尽可能多的禁止策略来进行被动式的防御，而IDS作为一种积极主动的安全防范技术，提供对内部攻击，外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵

2.IDS

（1）什么是IDS：通过从计算机网络或计算机系统中的若干关键点2收集信息并对⑦进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术

（2）IDS的分类：

• 基于检测的对象：基于主机的IDS（HIDS）、基于网络的IDS（NIDS）
• 根据采用的检测技术：异常检测、滥用检测
• 根据工作方式：离线检测、在线检测

3.IPS

（1）什么是IPS：在检测方面与IDS原理相同，还能主动采取行动阻止或阻断这些攻击流量，防止它们到达目标系统。

（2）IPS分类：

• 网络型入侵防护系统（NIPS）
• 主机型入侵防护系统（HIPS）
• 应用型入侵防护系统（AIPS）

（3）IPS防护原理：通过对数据包应用层里的数据内容进行威胁特征检测，并与IPS规则库进行比对，如果匹配则拒绝该数据包，从而实现应用层IPS的防护

4.IPS与IPS的区别

四、WEB攻击检测和防御技术

1.OWASP（开放 Web 应用程序安全项目）的top10--10项最严重的web应用程序安全

2.WAF（web application firewall）：web应用防火墙，主要用于保护web服务器不受攻击，从而导致软件服务中断或被远程控制

3.SQL注入

（1）什么是SQL注入：把SQL命令插入到web表单递交或输入域名或页面请求的查询字符串，最终达到穷i按服务器执行恶意的SQL命令

（2）攻击数据出现在哪：web提交数据一般有两种形式，一是get--提交的内容经过URI编码直接在url栏中显示，二是post--提交内容不在url显示，会在post包的打他字段中

（3）什么内容才是SQL注入攻击

• 弱攻击：类似select * from test，者个sql语句中，有两个关键字select和from执行一个查询语句，其危险性较低
• 注入工具攻击：利用一些专业的SQL注入工具进行攻击，这些工具的攻击都是具有固定数据流特征的
• 强攻击：包含三个以上的SQL关键字，能够成为一条合法的SQL语句

五、网页防篡改技术

1.为什么需要：WAF不足抵御所有的Web攻击

2.网站篡改的后果

• 经济损失
• 名誉损失
• 政治风险

3.如何防篡改

（1）文件监控保护系统+下一代防火墙

在服务端安装驱动级的文件监控软件，监控服务器上的程序进程对网站目录文件进行的操作，不允许的程序无法修改网站目录内的内容

（2）二次认证