Web服务器的八种防御方式(一).doc

Web服务器的八种防御方式(一)一、WEB服务器面临威胁在了解WEB服务器的安全状况之前，首先要让大家了解网站安全的另一面黑客攻击。97至98年互联网开始在中国兴起之时，黑客就已经诞生了，在98年印尼排华事件中，中国黑客对印尼政府网站的打击行动通过媒体的渲染，让黑客一词进入了广大中国网民的眼帘。随着几次黑客大战的爆发以及媒体对黑客的渲染，让更多人加入了黑客这个队伍。那么黑客都是通过怎样的技术手段实施攻击的呢？97年到2002年以来，除了比较有名的UNICODE漏洞之外，黑客们大部分都是利用系统的各种溢出漏洞来实施入侵，包括像ipc共享空连接漏洞，ida/idq,printer漏洞，rpc漏洞等等。2003年，中国互联网开始从01年的互联网寒冬逐渐走向复苏，盛大、分众传媒、空中网等一系列IT企业分别在纳斯达克上市成功更进一步激起了更多IT从业人员开始开设网站和成立IT公司，梦想有一日能上纳斯达克拿美国股民的钱。网站数量的激增以及大家对网络安全的轻视，导致通过WEB的各种漏洞来进行入侵的事件越来越多。SQL注入漏洞随着黑客高手们一次又一次地使用在拿国内外游戏数据库和游戏网站的权限，并高价卖出，买车买房子之时，SQL注入以及相关技术在黑客的群体中普及开来。黑客们在比尔.盖茨先生弥补了大部分系统漏洞之后，开始转移方向，发现基于网站的各种脚本漏洞能非常轻易的使用， 而且能够通过提权来获取系统权限。于是，基于web的脚本漏洞成功黑客们的最爱。随后流氓软件开始在中国的互联网大地上盛行了起来，互联网的网站应用领域的黑客入侵技术开始流行了起来。最典型的就是黑客的网站挂马技术，这种技术就是利用网站的漏洞建立或者上传一个ASP木马的方式来获取网站的WEBSHELL权限，然后通过WEBSHELL权限通过提权获取系统权限，再接着就是在服务器的网站里面加入一些恶意的脚本代码，让你的电脑在访问网站的时候，不知不觉的中病毒和黑客程序，最后你电脑里面的重要资料，QQ号，网络游戏帐号，网上银行帐户里面的现金都会不翼而飞。 据专业权威机构统计，02年中国境内网站被入侵的比例不到10，而到了06年，中国境内网站被入侵的比例是85。黑客技术的普及化以及巨大商业利益的窃取网上银行的资金，QQ号码倒卖，网络游戏装备和帐号的倒卖等地下黑客产业链的形成是导致网站遭遇安全事件的主因。 二、WEB的各种攻击手段1、SQL注入漏洞的入侵这种是ASP+ACCESS的网站入侵方式，通过注入点列出数据库里面管理员的帐号和密码信息，然后猜解出网站的后台地址，然后用帐号和密码登录进去找到文件上传的地方，把ASP木马上传上去，获得一个网站的WEBSHELL。 2、ASP上传漏洞的利用 这种技术方式是利用一些网站的ASP上传功能来上传ASP木马的一种入侵方式，不少网站都限制了上传文件的类型，一般来说ASP为后缀的文件都不允许上传，但是这种限制是可以被黑客突破的，黑客可以采取COOKIE欺骗的方式来上传ASP木马，获得网站的WEBSHELL权限。 3、后台数据库备份方式获得WEBSHELL 这个主要是利用网站后台对ACCESS数据库进行数据库备份和恢复的功能，备份数据库路径等变量没有过滤导致可以把任何文件的后缀改成ASP，那么利用网站上传的功能上传一个文件名改成JPG或者GIF后缀的ASP木马，然后用这个恢复库备份和恢复的功能把这个木马恢复成ASP文件，从而达到能够获取网站WEBSHELL控制权限的目的。4、 网站旁注入侵 这种技术是通过IP绑定域名查询的功能查出服务器上有多少网站，然后通过一些薄弱的网站实施入侵，拿到权限之后转而控制服务器的其它网站。5、sa注入点利用的入侵技术 这种是ASP+MSSQL网站的入侵方式，找到有SA权限的SQL注入点，然后用SQL数据库的XP_CMDSHELL的存储扩展来运行系统命令建立系统级别的帐号，然后通过3389登录进去，或者在一台肉鸡上用NC开设一个监听端口，然后用VBS一句话木马下载一个NC到服务器里面，接着运行NC的反向连接命令，让服务器反向连接到远程肉鸡上，这样远程肉鸡就有了一个远程的系统管理员级别的控制权限。 6、sa弱密码的入侵技术 这种方式是用扫描器探测SQL的帐号和密码信息的方式拿到SA的密码，然后用SQLEXEC之类的工具通过1433端口连接到远程服务器上，然后开设系统帐号，通过3389登录。然后这种入侵方式还可以配合WEBSHELL来使用，一般的ASP+MSSQL网站通常会把MSSQL的连接密码写到一个配置文件当中，这个可以用WEBSHELL来读取配置文件里面的SA密码，然后可以上传一个SQL木马的方式来获取系统的控制权限。 7、提交一句话木马的入侵方式 这种技术方式是对一些数据库地址被改成asp文件的网站来实施入侵的。黑客通过网站的留言版，论坛系统等功能提交一句话木马到数据库里面，然后在木马客户端里面输入这个网站的数据库地址并提交，就可以把一个ASP木马写入到网站里面，获取网站的WEBSHELL权限。8、 论坛漏洞利用入侵方式 这种技术是利用一些论坛存在的安全漏洞来上传ASP木马获得WEBSHELL权限，最典型的就是，动网6.0版本，7.0版本都存在安全漏洞，拿7.0版本来说，注册一个正常的用户，然后用抓包工具抓取用户提交一个ASP文件的COOKIE，然后用明小子之类的软件采取COOKIE欺骗的上传方式就可以上传一个ASP木马，获得网站的WEBSHELL。 前言对于这些功能，我们要冷眼看待： 一方面，要看看这些额外的功能企业是否需要。如有些防火墙产品中会集成VPN等功能。但是，企业是否需要这项功能呢？网络管理员要事先考虑清楚。因为VPN服务不仅在防火墙上可以实现，而且在路由器上也可以实现。如果企业对于VPN有比较高的性能要求的话，甚至可以部署一个专用的VPN服务器等等。若在防火墙上实现VPN功能，笔者个人认为，有着画蛇添足的味道。在管理上，没有其他实现方式那边简便与人性化。 另一方面，一些额外的功能会耗费防火墙的资源。上面笔者说过，在实验室中测试产品的时候，往往只是测试单一的功能。如测试吞吐量的话，会把其他功能关闭掉。若把防火墙的功能都启用起来的话，则某个指标的数字可能需要打个两折了。所以，花哨功能多了，就会大大影响防火墙的性能。这就好像一个巨无霸，网络管理员必须为他提供更好的硬件配置，才能够让其正常的运行。从硬件资源争夺的角度上讲，笔者也不赞成在防火墙上实现太多的服务。只有专才会精。 所以，在防火墙产品的选购时，功能并不是越多越好，而是要看其是否实用。当在一个防火墙服务器上实现太多的服务，结果就是这些服务对硬件资源的吞噬，最后导致防火墙性能的下降。笔者在防火墙上，往往不会部署过多的应用服务。这就好像不要把鸡蛋都放在一个篮子中的原理一样。万一防火墙服务器出现故障，那么VPN、访问控制列表等功能都将实效。当企业对网络的稳定性要求比较高的话，越加不能够把多个服务集成在防火墙服务器上。稍有不测，网络管理员就会搬起石头，砸自己的脚。 在防火墙选购时，过度关注防火墙的辅助功能，这是网络管理员工作上的一个误区之一。有经验的网络管理员，都要走出这个误区。以免给自己以及企业造成不可估量的损失。 误区1：功能花哨却不实用。 信息化技术现在越来越复杂，而且防火墙的竞争也越来越激烈。所以，防火墙厂商为了提供自己产品的市场竞争力，就往往在自己的防火墙产品中集成比较多的功能，以增加市场的卖点。 误区2：太过于相信实验数据。 在防火墙的产品说明中，往往会有一些性能、功能方面的参考数字。如吞吐量有6G， 抗病毒能力有多强等等。对于这些数字我们在防火墙选购的时候不能够太过于迷信。而应该以辩证的眼光去看待这些数字。 一方面，这些数字都是实验数据。也就是说，是在一个相对合理的、干扰因素比较少的情况下得出的数据。但是，说实话，现在任何一个企业的网络环境可以达到他们测试产品的那种水准。当企业主机数量比较多，若分段不合理，就会造成比较多的网络广播，那时也会影响到这个最终的有效吞吐量。所以，对于实验室出来的数据，我们往往要打个对折。 另一方面，不能够光看某个指标。在选购防火墙的时候，有多大几十项的指标，若其中一个指标，如吞吐量，即使高达10G，但是，若其他指标跟不上去的话，那么一切都是白搭。有时候，厂商在测试产品的时候，往往会把某些功能关掉后再进行测试。在这种情况下，测试出来的数据，实用价值不会很大。因为若把其他功能关掉，就启用一项功能，则CPU等硬件资源就不会发生争夺。如此，某个指标的数字看起来就会好看许多。而在企业中部署防火墙的时候，不可能只用一项功能。把其他功能开起来的话，则这个数字就会打折扣了。 总之，在防火墙选购的时候，不要太过于相信实验数据。对于他们从实验室得出来的数字，笔者往往会给他们打个对折。打折后的数据，可能水分会少一点。所以，实验数据只能拿来参考。在有条件的情况下，网络管理员要结合自己的公司网络环境，对防火墙产品进行测试。这测试出来的结果，对于我们防火墙选购才会有参考价值。 网络管理员不要走入这个误区。否则的话，网络管理员只有自己消化由此带来的苦果了。 误区3：“托”太多，网络评价失去真实性。 前段时间，大家都在批判医托、房托、股托等等。其实，这种托儿在各行各业都存在。在防火墙行业也在所难免。如在一些专门评测防火墙产品的网站上，很多网友意见都是托儿发表的。这就让网络评价失去了真实性。 所以，对于网友的评价也不能够全信。笔者在防火墙选购的时候，只是把他们当作参考，有时候甚至不会去看。笔者自己身边有一些朋友圈子。当笔者需要选购某个网络设备，包括防火墙在内，就直接打电话、或者发邮件向他们征求意见。毛主席说过，只有实践是检验真理的唯一标准。只有用户才能够对产品得出一个客观的评价。 故，笔者认为，对于一些防火墙评测网站或者论坛，我们不能对他们抱太大的希望。因为我们不能够排除这其中也有托的存在。所以，在防火墙选购上，还是要多问，多测试。最好能够向自己的朋友圈子直接询问。太过于迷信网上的评测结果这是网络管理员容易走入的第四个误区。 误区4：太过迷信与品牌。 Cisco无疑是网络产品的老大。无论是防火墙还是路由器，在行业内都是数一数二的。有人甚至把他当作网络设备市场的指南针，跟在他屁股后面发展。但是，其价格也是行业内最高的。所以，若从性价比上考虑，其排名可能并不会靠前。 对于一些财大气粗的企业来说，可能就不差这么几个钱。几十万的网络设备，眼都不眨一下，就买过来了。但是对于一些资金相对紧张的企业来说，则在选购防火墙的时候，价格上面可能会有比较大的约束。有时候，甚至成为网络管理员选购防火墙产品的主要参考依据。 笔者个人的意见，无论你企业钱多钱少，都不要太过于迷信品牌。而是要更多的在实用性的前提下，看看其性价比。若你企业网络比较简单，防火墙只需要实现访问控制即可，网络流量也不大。那么你若去买个思科的防火墙产品，就算你购买其最低端的防火墙产品，也有点大材小用。网络管理员若觉得钱多，还不如考虑看看如何对网络进行升级，以提供更高的网络性能。 说实话，笔者企业只有在一些关键应用上，对稳定性、流量、安全性要求都比较高的情况下，才考虑选用思科的网络产品。对于一些普通的应用，则选用国内的产品，如方正等，就已经够用了。虽然集团对于信息化比较重视，不过笔者还是要当个铁公鸡。把资金用在刀刃上。误区5：脱离企业自身的需求。 不少网络管理员在选购网络设备时，有一个坏习惯。他不先考虑企业到底需要实现什么需求，而是先去考察网络设备。如企业需要选购防火墙的时候，他们不是先考虑企业要用防火墙去实现什么目的；而是先去考察防火墙市场，看看各个防火墙产品的差异、能够实现什么功能等等。 如此做法的话，笔者认为有点无的放矢了。在需求不明确的情况下，如何能够选择合适的防火墙产品呢？这就好像去买衣服，如果尺寸不知道的话，买来的衣服怎么会合身呢？除非你运气特别的好