服务器安全检测和防御技术
一、服务器安全风险
二、DDoS攻击检测与防御技术
攻击类型及原理
以及扫描攻击
防御技术
SYN代理:防火墙代理三次握手,过滤异常SYN请求。
1、每目的IP激活阈值,指当针对策略设置的目的IP组内某IP发起的syn请求速率数据包超过设定值,则触发AF的syn代理功能。
2、每目的IP丢包阈值,指当针对策略设置的目的IP组内某IP发起的syn请求速率数据包超过设定值,则AF不再启用syn代理,直接丢弃syn包。
三、IPS入侵检测和防御技术(针对恶意代码和操作系统漏洞的攻击)
IPS vs IDS
IDS——Intrusion Detection Systems,即入侵检测系统,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果。
IPS——Intrusion Prevention Systems,即入侵防御系统,可对网络、系统的运行状况进行监视,并可发现阻止各种攻击企图、攻击行为。
攻击手段
蠕虫病毒(如WannaCry利用MS17-010漏洞)
后门木马、间谍软件(如安卓“心脏滴血”漏洞)
口令暴力破解(字典法、规则破解)
IPS防护原理
IPS通过对数据包应用层里的数据内容进行威胁特征检查,并与IPS规则库进行比对,如果匹配则拒绝该数据包,从而实现应用层IPS的防护。
IPS防护方式
防护对象:
保护客户端:用于保护客户端机器及其应用软件系统不因本身的漏洞而受到攻击。防病毒、木马、恶意代码。
保护服务器:用于保护服务器及其应用软件系统不因服务器或者软件本身存在的漏洞而
受到攻击;还用于阻止用户频繁登录指定协议服务器,防止暴力破解攻击。防漏洞攻击、暴力破解。
防火墙规则联动封锁:
IPS/WAF阻断一个高危入侵后,即通知防火墙模块阻止此源IP通讯一段时间,使入侵源IP无法继续攻击,有效降低入侵强度,保护服务器安全。
对于误判的处置,可以更改禁用为放行(添加例外)。
四、WAF Web攻击防御
WAF——Web Application Firewall,即Web应用防护,主要用于保护Web 服务器不受攻击,而导致软件服务中断或被远程控制。
常见攻击
SQL注入:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
弱攻击:SELECT * FROM test
强特征:含3+SQL关键词(如INSERT INTO ... VALUES)或AND 1=1
CSRF:伪造用户身份执行恶意操作(如转账)
信息泄露:错误配置导致敏感文件暴露
常见的信息泄漏有:
1、应用错误信息泄露;
2、备份文件信息泄露;
3、web服务器缺省页面信息泄露;
4、敏感文件信息泄露;
5、目录信息泄露。
信息泄露的几种原因:
1、web服务器配置存在问题
2、web服务器本身存在漏洞
3、web网站的脚本编写存在问题
误判处理
URL参数排除:跳过特定参数检查
日志添加例外:直接放行误判请求
五、网页防篡改技术
双重防护机制
文件监控:在服务器装一个客户端来监控本地进程有没有非法的对网站文件进行修改。
监控服务器网站目录,仅允许合法程序修改文件。
二次认证:
管理员访问后台需邮箱验证码(黑客无法绕过)。
注意事项
