針對(duì)服務(wù)器的攻防技術(shù)淺析

張迪

摘要：服務(wù)器因?yàn)槠涓卟l(fā)響應(yīng)、實(shí)時(shí)處理等優(yōu)點(diǎn)在互聯(lián)網(wǎng)時(shí)代普遍應(yīng)用。隨著云計(jì)算和大數(shù)據(jù)等新技術(shù)的逐漸普及，服務(wù)器的使用進(jìn)入新的高峰期，但無(wú)處不在的網(wǎng)絡(luò)攻擊和破壞，對(duì)服務(wù)器使用者的經(jīng)濟(jì)利益造成了不同程度的影響。通過(guò)針對(duì)服務(wù)器的攻防技術(shù)進(jìn)行分析，研究如何保障服務(wù)器安全運(yùn)轉(zhuǎn)。

關(guān)鍵詞：服務(wù)器；攻擊；防御

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2017）08-0201-02

服務(wù)器自互聯(lián)網(wǎng)誕生以后，因?yàn)槠涓唔憫?yīng)性、高實(shí)時(shí)并行處理等優(yōu)點(diǎn)在大中型企業(yè)和國(guó)家各級(jí)公共服務(wù)部門應(yīng)用非常普遍，根據(jù)具體功能還有文件服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、web服務(wù)器等分類，隨著互聯(lián)網(wǎng)+時(shí)代的到來(lái)，云計(jì)算和大數(shù)據(jù)等新的信息處理技術(shù)的逐漸普及、硬件價(jià)格的大幅下降等因素影響，服務(wù)器的使用更加普遍且功能繁多，但無(wú)處不在的網(wǎng)絡(luò)攻擊和破壞也對(duì)服務(wù)器的運(yùn)行安全造成不同程度的影響，因?yàn)椴煌睦嫘枨篁?qū)使，黑客針對(duì)服務(wù)器的DDOS等類型攻擊，獲取、勒索或毀壞服務(wù)器信息，導(dǎo)致服務(wù)器癱瘓等不良后果。本文通過(guò)對(duì)針對(duì)服務(wù)器的攻擊和防御技術(shù)進(jìn)行分析，研究如何保障服務(wù)器安全運(yùn)轉(zhuǎn)。

1 針對(duì)服務(wù)器的攻擊手段

（1）針對(duì)WEB服務(wù)器的攻擊。一是SQL注入漏洞的入侵；二是asp上傳漏洞的利用；三是通過(guò)后臺(tái)數(shù)據(jù)庫(kù)備份漏洞入侵；四是網(wǎng)站旁注入侵；五是sa注入點(diǎn)及弱密碼的入侵；六是論壇等站點(diǎn)提交操作的木馬入侵；七是CC攻擊，攻擊者控制某些主機(jī)不停地發(fā)大量數(shù)據(jù)包給對(duì)方服務(wù)器造成資源耗盡崩潰；八是DDOS攻擊，攻擊者通過(guò)在數(shù)據(jù)流量較大的WEB網(wǎng)頁(yè)里注入木馬病毒，木馬通過(guò)系統(tǒng)漏洞感染瀏覽網(wǎng)站的用戶計(jì)算機(jī)，繼而由后臺(tái)操作的攻擊者控制被感染計(jì)算機(jī)，并用于破壞服務(wù)器。常見(jiàn)的攻擊方式有SYN攻擊、TCP混亂數(shù)據(jù)包攻擊、UDP數(shù)據(jù)包攻擊以及在線游戲服務(wù)器運(yùn)行端口攻擊等。

（2）端口攻擊。一是遠(yuǎn)程終端服務(wù)攻擊，該服務(wù)基于端口3389，通過(guò)RDP協(xié)議實(shí)現(xiàn)遠(yuǎn)程登錄。攻擊者一般先掃描主機(jī)開放端口，發(fā)現(xiàn)3389端口開放，就會(huì)進(jìn)行進(jìn)行密碼破解和后續(xù)攻擊；二是80端口攻擊，80端口是為HTTP協(xié)議開放的，用于互聯(lián)網(wǎng)訪問(wèn)最多的協(xié)議，因?yàn)槠溟_放性，也是攻擊者經(jīng)常造訪的端口；三是未定義端口攻擊，服務(wù)器端口數(shù)最大可以有65535個(gè)，但常用的端口只有幾十個(gè)，未定義的端口相當(dāng)多。攻擊者可通過(guò)定義一個(gè)特殊的端口來(lái)達(dá)到入侵的目的。攻擊者通過(guò)"后門"或者木馬程序在計(jì)算機(jī)啟動(dòng)之前自動(dòng)加載到內(nèi)存，強(qiáng)行控制計(jì)算機(jī)打開那個(gè)特殊的端口，使受控計(jì)算機(jī)變成一臺(tái)開放性極高（如遠(yuǎn)程用戶擁有管理員權(quán)限）的FTP服務(wù)器，然后從后門就可以達(dá)到入侵的目的。

（3）ARP攻擊。ARP攻擊就是通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。ARP攻擊主要是存在于局域網(wǎng)中，若有一臺(tái)計(jì)算機(jī)感染ARP木馬，則感染該ARP木馬的系統(tǒng)將會(huì)試圖通過(guò)“ARP欺騙”手段截獲所在局域網(wǎng)內(nèi)其它計(jì)算機(jī)的通信信息，并造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。

（4）IP攻擊，主要由以下幾類：一是OOB攻擊，這是利用NETBIOS中一個(gè)Out of Band的漏洞而來(lái)進(jìn)行的，二是WinNuke攻擊，此系列工具發(fā)起的攻擊可以造成某一個(gè)IP地址區(qū)間的計(jì)算機(jī)全部藍(lán)屏死機(jī)，三是SSPing攻擊，該工具向其他的計(jì)算機(jī)連續(xù)發(fā)出大型的ICMP數(shù)據(jù)包，從而造成系統(tǒng)死機(jī)，四是TearDrop攻擊，這種攻擊方式利用那些在TCP/IP堆棧實(shí)現(xiàn)中信任IP碎片中的包的標(biāo)題頭所包含的信息來(lái)實(shí)現(xiàn)自己的攻擊，并可以進(jìn)行跨平臺(tái)攻擊。

2 服務(wù)器防御技術(shù)分析

從上面的分析可以看到，服務(wù)器現(xiàn)在面臨的攻擊手段種類繁多，因此，在服務(wù)器管理方面就需要有從整體防護(hù)系統(tǒng)到具體安全設(shè)置的全方位防護(hù)。

首先，服務(wù)器安全防護(hù)架構(gòu)的選擇。當(dāng)前主要分為兩類：主機(jī)類防護(hù)和WAF類防護(hù)。主機(jī)類防護(hù)涵蓋范圍涉及從網(wǎng)絡(luò)流量 ，到應(yīng)用邏輯，到本地資源訪問(wèn)轉(zhuǎn)換的全過(guò)程 ，并對(duì)攻擊行為進(jìn)行攔截。這類防護(hù)涵蓋了網(wǎng)絡(luò)層、應(yīng)用層、系統(tǒng)層三個(gè)方面，將安全邊界縮小到主機(jī)層面，深入到應(yīng)用內(nèi)部。以操作系統(tǒng)內(nèi)核加固技術(shù)和web訪問(wèn)技術(shù)為核心的主機(jī)防御體系，可以幫助用戶有效抵御CC攻擊、SQL注入、XSS跨站攻擊、漏洞攻擊、病毒、木馬、后門 以及其他APT高級(jí)類型攻擊。但是應(yīng)對(duì)DDOS攻擊，主機(jī)類防護(hù)明顯不足，這時(shí)候就需要WAF類防護(hù)的配合。WAF防護(hù)屬于網(wǎng)站應(yīng)用級(jí)入侵防護(hù)系統(tǒng)，該類型防護(hù)對(duì)于解決DDOS攻擊具有明顯效果。多個(gè)節(jié)點(diǎn)分擔(dān)帶寬攻擊帶來(lái)的壓力，有效解決DDOS類型攻擊，保障服務(wù)器正常運(yùn)行。由此可見(jiàn)，服務(wù)器的完美防護(hù)架構(gòu)需要主機(jī)防護(hù)與WAF防護(hù)相結(jié)合，單純的一種類型防護(hù)并不能夠保證服務(wù)器的完全防護(hù)。因此，系統(tǒng)的安全防護(hù)需要選擇一款優(yōu)秀的主機(jī)類型的服務(wù)器安全軟件和一款優(yōu)秀的WAF類型的服務(wù)器安全防護(hù)軟件。

其次，構(gòu)建好硬件安全防御系統(tǒng)，選用一套好的安全系統(tǒng)模型。一套完善的安全模型應(yīng)該包括以下一些必要的組件：防火墻、入侵檢測(cè)系統(tǒng)、路由系統(tǒng)等。防火墻在安全系統(tǒng)中扮演一個(gè)保安的角色，可以很大程度上保證來(lái)自網(wǎng)絡(luò)的非法訪問(wèn)以及數(shù)據(jù)流量攻擊，如拒絕服務(wù)攻擊等；入侵檢測(cè)系統(tǒng)則是扮演一個(gè)監(jiān)視器的角色，監(jiān)視你的服務(wù)器出入口，非常智能地過(guò)濾掉那些帶有入侵和攻擊性質(zhì)的訪問(wèn)。對(duì)于WEB服務(wù)器而言，Web應(yīng)用防火墻（WAFs）也非常有必要。

第三，HIPS-主機(jī)入侵防護(hù)系統(tǒng)的應(yīng)用。該系統(tǒng)通過(guò)在主機(jī)/服務(wù)器上安裝軟件代理程序，防止網(wǎng)絡(luò)攻擊入侵操作系統(tǒng)以及應(yīng)用程序。HIPS能夠保護(hù)服務(wù)器的安全弱點(diǎn)不被不法分子所利用，它可以阻斷緩沖區(qū)溢出、改變登錄口令、改寫動(dòng)態(tài)鏈接庫(kù)以及其他試圖從操作系統(tǒng)奪取控制權(quán)的入侵行為。HIPS提升了主機(jī)的安全水平，在防范蠕蟲的攻擊中，起到了很好的防護(hù)作用。在技術(shù)上，HIPS采用獨(dú)特的服務(wù)器保護(hù)途徑，利用包過(guò)濾、狀態(tài)包過(guò)濾、狀態(tài)包檢測(cè)和實(shí)時(shí)入侵檢測(cè)組成分層防護(hù)體系。這種體系能夠在提供合理吞吐率的前提下，最大限度地保護(hù)服務(wù)器的敏感內(nèi)容，既可以通過(guò)攔截針對(duì)操作系統(tǒng)的可疑調(diào)用，提供對(duì)主機(jī)的安全防護(hù)，也可以更改操作系統(tǒng)內(nèi)核程序的方式，提供比操作系統(tǒng)更加嚴(yán)謹(jǐn)?shù)陌踩刂茩C(jī)制，還可以防范未知攻擊，防止針對(duì)Web頁(yè)面、應(yīng)用和資源的未授權(quán)的任何非法訪問(wèn)。HIPS與具體的主機(jī)/服務(wù)器操作系統(tǒng)平臺(tái)緊密相關(guān)，不同的平臺(tái)需要不同的軟件代理程序。endprint