3.2 基于Web服务的攻击与防范（含2.4.1）

1、第 1 页Linux服务的安全概述 Linux是一种开源代码操作系统，以Linux作为操作系统来说一旦发现有安全漏洞问题，互联网上世界各地的操作系统爱好者会踊跃修补它。 当服务器运行的服务越来越多时，服务器的配置不当会给黑客可乘之机，通过适当的配置来防范来自网络的攻击，针对不同的Linux服务，有各自不同的安全策略。山东职业学院 01Apache工作原理02Apache服务器的特点03Apache服务器的常用攻击04Apache服务器的安全防范05使用SSL加固Apache山东职业学院 01Apache的工作原理第 5 页基于Web的攻击与防范 在当今互联网的大环境下，Web服务已经成为公司企

2、业必不可少的业务，大多数的安全问题也跟随而来，攻击重点也转移为Web攻击，许多Web与颇有价值的客户服务与电子商业活动结合在一起，这也是吸引恶意攻击重要原因。第 6 页Apache的工作原理WebWeb系统是系统是C/SC/S模式的，分服务器程序模式的，分服务器程序和客户端程序两部分。和客户端程序两部分。在客户端浏览器的地址栏内输入统一在客户端浏览器的地址栏内输入统一资源定位地址（资源定位地址（URL)URL)来访问来访问WebWeb页面。页面。WWWWWW服务遵从服务遵从HTTPHTTP协议，默认的协议，默认的TCP/IPTCP/IP端口是端口是8080，客户端与服务器的通，客户端与服务器的

3、通信过程如图所示。信过程如图所示。山东职业学院 02Apache服务器的特点第 8 页Apache服务器的特点（1）Apache是最先支持HTTP/1.1协议的Web服务器之一。（2）Apache是支持通用网关接口（CGI),并且提供了扩充的特征。（3）支持HTTP认证。（4）支持安全Socket层（SSL)。（5）用户会话过程的跟踪能力。山东职业学院 03Apache服务器的常用攻击第 10 页Apache服务器的常用攻击（1 1）ApacheApache服务器服务器HTTPHTTP拒绝服务攻击拒绝服务攻击攻击者通过某些工具和手段耗尽计算机CUP和内存资源，使Apache服务器拒绝对HTTP

4、应答，最终造成系统变慢甚至出现瘫痪故障。常见的攻击手段有以下几种：Floody数据包洪水攻击。路由不可达。磁盘攻击。分布式拒绝服务攻击。第 11 页Apache服务器的常用攻击（2 2）恶意脚本攻击使得服务器内存缓存区溢出）恶意脚本攻击使得服务器内存缓存区溢出脚本编写过程中使用的静态内存申请，攻击者利用此点发送一个超出范围的指令请求造成缓冲区溢出。一旦发生溢出，攻击者可以执行恶意代码来控制。第 12 页Apache服务器的常用攻击（3 3）非法获取）非法获取rootroot权限权限 如果Apache以root权限运行，系统上一些程序的逻辑缺陷或缓冲区溢出漏洞，会让攻击者很容易在本地系统获取Li

5、nux服务器上的管理者权限，在一些远程情况下，攻击者会利用一些以root身份执行的有缺陷的系统守护进程来取得root权限，或利用有缺陷的服务进程漏洞来取得普通用户权限，以远程登陆，进而控制整个系统。山东职业学院 04Apache服务器的安全防范第 14 页Apache服务器的安全防范（1 1）ApacheApache服务器用户权限最小化服务器用户权限最小化按照最小特权的原则，让Apache以指定的用户和组来运行（即不使用系统预定的帐户），并保证运行Apache服务的用户和用户组有一个合适的权限。范例：第 15 页Apache服务器的安全防范（2 2）ApacheApache服务器访问控制方法服

6、务器访问控制方法范例：山东职业学院 05使用SSL加固Apache第 17 页使用SSL加固ApacheSSLSSL为安全套接层为安全套接层（Secure Sockets Layer),是一种为网络通信提供安全以及数据完整性的安全协议，它在传输层对网络进行加密。它主要是分为两层：SSLSSL记录协议记录协议：为高层协议提供安全封装、压缩、加密等基本功能。SSLSSL握手协议握手协议：用于在数据传输开始前进行通信双方的身份验证、加密算法的协商、交换密钥。第 18 页使用SSL加固ApacheHTTPSHTTPS是在HTTP的基础上加入SSL协议（即HTTPS=HTTP+SSL）。传输以密文传输，保证数据传输的安全以及确认网站的真实性（数字证书）。客户端用公用密钥加密数据，并且发送给服务器自己的密钥，以唯一确定自己，防止在系统两端之间有人冒充服务器或客户端进行欺骗。加密的HTTP连接端口使用443而不是普通的80端口，以此来区别没有加密的连接。第 19 页SSL验证和加密的具体过程（1）用户使用浏览器通过HTTPS协议访问Web服务器站点，发出SSL握手信号。（2）Web服务器发出回应，并出示服务器证书（公钥），显示系统Web服务器站点身份。（3）浏览器验证服务器证书，并生成一个随机的会话密钥，密钥长度达到128位。（4）浏览器用Web服务器的公钥加密该会话密钥。（5）浏