服务器安全讨论

单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,服务器安全攻略,系统环境：,Windows server 2003+iis6.0+SQL 2005+vs2005,Contents,诊断方法及其解决办法,SQL,注入式攻击及预防,DDOS,攻击及预防,服务器攻击手段,服务器的配置,2,服务器配置,基本配置：,安装服务器补丁,安装杀毒软件,设置端口保护和防火墙、删除默认共享,权限设置,NTFS,权限设置，请记住分区的时候把所有的硬盘都分为,NTFS,分区，然后我们可以确定每个分区对每个用户开放的权限,每个,IIS,站点或者虚拟目录，都可以设置一个匿名访问用户,禁用不必要的服务 开始,-,运行,-services.msc,修改注册表，让系统更强壮,3,服务器攻击手段,DOS,攻击与,DDOS,攻击,DDOS,是英文,Distributed Denial of Service,的缩写，意即“分布式拒绝服务”，,DOS,攻击是,Denial of Service,的简称，即拒绝服务，造成,DoS,的攻击行为，其目的是使计算机或网络无法提供正常的服务。最常见的,DoS,攻击有计算机网络带宽攻击和连通性攻击。,区别：,DOS,侧重于系统漏洞的攻击，,DDOS,最常见的是洪水攻击，就是阻塞系统与外面的正常通信,4,DDOS,攻击,SYN/ACK Flood,攻击：这种攻击方法是经典最有效的,DDOS,方法，可通杀各种系统的网络服务，主要是通过向受害主机发送大量伪造源,IP,和源端口的,SYN,或,ACK,包 。,判断方法：服务器无法访问，会导致,Ping,失败、,TCP/IP,栈失效，不响应键盘和鼠标。,TCP,全连接攻击：这种攻击是为了绕过常规防火墙的检查而设计的， 导致服务器资源被耗尽。,Script,脚本攻击 ：服务器建立正常的,TCP,连接，并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用。轻松找一些,Proxy,代理就可实施攻击。,5,SQL,注入式攻击,注入式攻击是指利用设计上的漏洞,在目标服务器上运行,sql,命令以及进行其他方式的攻击,动态生成,sql,命令是没有对用户输入的数据进行验证,这是注入式攻击原理,.,最常见的也就是在查询字符串中直接输入,SQL,攻击字符串,例如：,page.asp?id=Num and exists (select * from admin),其次就是在,FORM,表单中提交的,SQL,注入攻击字段。,通过,COOKIE,绕过一些放注入的脚本程序 例如,:javascript:alert(document.cookie=id=+escape(,这就是,asp? id=xx,后面,xx,代表的数值,) and (,这里是注入攻击代码,);,还有就是上面几种的攻击通过,16,进制编码后，绕过,SQL,注入检测的脚本程序,6,SQL,注入式预防,对于构造,SQL,查询的技术，可以使用下面的技术：,替换单引号，即把所有单独出现的单引号改成两个单引号，防止攻击者修改,SQL,命令的含义。,删除用户输入内容中的所有连字符，防止攻击者构造出类如“,SELECT * from Users WHERE login = mas AND password =”,之类的查询，因为这类查询的后半部分已经被注释掉，不再有效，攻击者只要知道一个合法的用户登录名称，根本不需要知道用户的密码就可以顺利获得访问权限。,对于用来执行查询的数据库帐户，限制其权限。用不同的用户帐户执行查询、插入、更新、删除操作。由于隔离了不同帐户可执行的操作，因而也就防止了原本用于执行,SELECT,命令的地方却被用于执行,INSERT,、,UPDATE,或,DELETE,命令 。,7,预防,SQL,注入式攻击,限制表单或查询字符串输入的长度,用存储过程来执行所有的查询 。,SQL,参数的传递方式将防止攻击者利用单引号和连字符实施攻击。此外，它还使得数据库权限可以限制到只允许特定的存储过程执行，所有的用户输入必须遵从被调用的存储过程的安全上下文，这样就很难再发生注入式攻击了,普通用户与系统管理员用户的权限要有严格的区分,如果一个普通用户在使用查询语句中嵌入另一个,Drop Table,语句，那么是否允许执行呢？由于,Drop,语句关系到数据库的基本对象，故要操作这个语句用户必须有相关的权限。在权限设计中，对于终端用户，即应用软件的使用者，没有必要给他们数据库对象的建立、删除等权限。那么即使在他们使用,SQL,语句中带有嵌入式的恶意代码，由于其用户权限的限制，这些代码也将无法被执行。故应用程序在设计的时候，最好把系统管理员的用户与普通用户区分开来。如此可以最大限度的减少注入式攻击对数据库带来的危害,8,SQL,注入式预防,强迫使用参数化语句,在编写,SQL,语句的时候，用户输入的变量不是直接嵌入到,SQL,语句。而是通过参数来传递这个变量的话，那么就可以有效的防治,SQL,注入式攻击。也就是说，用户的输入绝对不能够直接被嵌入到,SQL,语句中。与此相反，用户的输入的内容必须进行过滤，或者使用参数化的语句来传递用户输入的变量。参数化的语句使用参数而不是将用户输入变量嵌入到,SQL,语句中。采用这种措施，可以杜绝大部分的,SQL,注入式攻击。使用,SQL,的参数方式,.,参数,(Parameters),集合提供类型检测和长度检测,.,如果你使用参数集合,输入的内容将被当作文本值来对待,数据库不会执行包含在其中的代码,.,使用参数集方式的一个额外的好处是,你可以严格限定输入的类型和长度,.,如果输入型超出范围将会触发异常,.,9,Webconfig,文件配置,验证,ASP.NET,的错误信息没有被返回到客户端,你可以使用,元素来配置客户端,一般的错误信息应该被程序错误检测机制返回到客户端,.,请确认已经更改,web.config,中的,mode,属性为,remoteOnly,下面是示例,.,安在装了一个,ASP.NET,的程序之后，你可以按照如下设定指定客户端的错误信息页面。,On,指定启用自定义错误。如果未指定,defaultRedirect,，用户将看到一般性错误。,Off,指定禁用自定义错误。这允许显示标准的详细错误。,RemoteOnly,指定仅向远程客户端显示自定义错误并且向本地主机显示,ASP.NET,错误。,10,win2003,整体配置整理,1),隐藏重要文件,/,目录可以修改注册表实现完全隐藏,HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL”,，鼠标右击 “,CheckedValue”,，选择修改，把数值由,1,改为,0,2),防止,SYN,洪水攻击,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters,新建,DWORD,值，名为,SynAttackProtect,，值为,2,新建,EnablePMTUDiscovery REG_DWORD 0,新建,NoNameReleaseOnDemand REG_DWORD 1,新建,EnableDeadGWDetect REG_DWORD 0,新建,KeepAliveTime REG_DWORD 300,000,新建,PerformRouterDiscovery REG_DWORD 0,新建,EnableICMPRedirects REG_DWORD 0,11,win2003,整体配置整理,3),禁止响应,ICMP,路由通告报文,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface,新建,DWORD,值，名为,PerformRouterDiscovery,值为,0,4),防止,ICMP,重定向报文的攻击,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters,将,EnableICMPRedirects,值设为,0,5),不支持,IGMP,协议,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters,新建,DWORD,值，名为,IGMPLevel,值为,0,12,Win2003,整体配置整理,Your Text,Your Text,6),禁止,IPC,空连接：,cracker,可以利用,net use,命令建立空连接，进而入侵，还有,net view,，,nbtstat,这些都是基于空连接的，禁止空连接就好了。,Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous,把这个值改成”,1”,即可。,7),更改,TTL,值,cracker,可以根据,ping,回的,TTL,值来大致判断你的操作系统，如：,TTL=107(WINNT); TTL=108(win2000); TTL=127,或,128(win9x); TTL=240,或,241(linux); TTL=252(solaris); TTL=240(Irix);,8),禁止建立空连接 默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接：,Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous,的值改成”,1”,即可。,13,杜绝基于,Guest,账户的入侵,Guest,账户即所谓的来宾账户，它可以访问计算机，但受到限制。不幸的是，,Guest,也为黑客入侵打开了方便之门！网上有很多文章中都介绍过如何利用,Guest,用户得到管理员权限的方法，所以要杜绝基于,Guest,账户的系统入侵。,禁用或彻底删除,Guest,账户是最好的办法，但在某些必须使用到,Guest,账户的情况下，就需要通过其它途径来做好防御工作了。,首先 要给,Guest,设一个密码，然后详细设置,Guest,账户对物理路径的访问权限。举例来说，如果你要防止,Guest,用户可以访问,tool,文件夹，可以 右击该文件夹，在弹出菜单中选择“安全”标签，从中可看到可以访问此文件夹的所有用户。删除管理员之外的所有用户即可。或者在权限中为相应的用户设定权 限，比方说只能“列出文件夹目录”和“读取”等，这样就安全多了。,只给,Guest,读取的权限，只有,administrator,读取和修改的权限。,14,Win2003,整体配置整理,Add Your Title,9),建议使用,W3C,扩充日志文件格式，每天记录客户,IP,地址，用户名，服务器端口，方法，,URI,字根，,HTTP,状态，用户代理，而且每天均要审查日志。（最好 不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许管理员和,system,为,Full Control,）。,10),程序安全,:A.,涉及用户名与口令的程序最好封装在服务器端，尽量少的在,ASP,文件里出现，涉及到与数据库连接地用户名与口令应给予最小的权限,;B.,需要经过验证的,ASP,页面，可跟踪上一个页面的文件名，只有从上一页面转进来的会话才能读取这个页面,;C.,防止,ASP,主页,.inc,文件泄露问题,;D.,防止,UE,等编辑器生成,some.asp.bak,文件泄露问题。,15,检测方法：,如果系统的安全性日志在某段时间段内不存在（这段时间服务器处于运行状态），很可能系统的登录日志已经被删除，还有可能被入侵,net user,命令能显示计算机中所有的本地用户账户。,net localgroup,命令显示本地组成员，,net localgroup administrators,命令显示管理员组中的成员，,net start,命令显示正在运行的服务 ，看看有没有不符合本系统的隐藏用户和组及其服务,系统的登陆界面按下,win+U,组合，如果没出现放大镜就证明系统开了后门,解决方法：,恢复被删除的日志,16,免受黑客扫描你的,IP,关闭,135.139.445.3389,端口,电脑上点右键选属性,-,远程，将里面的远程协助和远程桌面两个选项框里的勾去掉在找到找到这个服务的进程项“,Terminal Services”,这个服务可以在控制面板里，有个管理工具，打开后，就可以看到服务。,拒绝,IP,扫描最好方法是装一个关闭,ipc,服务，别人无法扫描你的端口,Guest,帐户直接禁用，防止通过,guest,帐户通过,serv-u,提升权限,关闭远程桌面和,3389,端口,替换为,vnc,（,5800.5900,）或者,pcanywhere,（,5631,、,5632,）,17,谢谢,