拒绝服务与数据库安全

1、拒绝服务与数据库安全 1 拒绝服务攻击概述3.1 基于漏洞入侵的防护方法3.2 SQL数据库安全3.3 SQL Server攻击的防护 3.423.1 拒绝服务攻击概述 3.1.1 DoS定义 DoS (Denial Of Service)拒绝服务，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。

2、 3 DoS攻击的原理：借助网络系统或协议的缺陷以及配置漏洞进行网络攻击，使网络拥塞、系统资源耗尽或系统应用死锁，妨碍目标主机和网络系统对正常用户服务请求的及时响应，造成服务的性能受损，甚至导致服务中断。4 DoS攻击的基本过程。 5图3.1 DoS攻击的基本过程6 3.1.2 拒绝服务攻击的分类 拒绝服务攻击可以是“物理的”（又称“硬件的”），也可以是“逻辑的”（又称“软件的”）。7 按攻击的目标又可分为节点型和网络连接型。 节点型: 主机型攻击 应用型攻击 网络连接型 8 按照攻击方式来分可以分为：资源消耗、服务中止和物理破坏。 1.资源消耗 带宽耗尽攻击 系统资源耗尽攻击 2.服务中止

3、3.物理破坏 9 按受害者类型可以分为服务器端拒绝服务攻击和客户端拒绝服务攻击。 1.服务器端拒绝服务攻击 2.客户端拒绝服务攻击 10 3.1.3 常见DoS攻击 1Land程序攻击 Land 攻击，是利用向目标主机发送大量的源地址与目标地址相同的数据包，造成目标主机解析Land包时占用大量的系统资源，从而使网络功能完全瘫痪的攻击手段。 11 2SYN Flood攻击 这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，使被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。 12 实现过程 : 第一次握手。 第二次握手。 三次握手完成。133IP欺骗DoS攻击4Smurf攻击 14

4、攻击者伪装成被攻击者向某个网络上的广播设备发送请求，该广播设备会将这个请求转发到该网络的其他广播设备，导致这些设备都向被攻击者发出回应，从而达到以较小代价引发大量攻击的目的。 15 5Ping of Death 这种攻击通过发送大于65536字节的ICMP包造成操作系统内存溢出、系统崩溃、重启、内核失败等后果，从而达到攻击的目的 16 6Teardrop攻击 泪滴（Teardrop）攻击，是基于UDP的病态分片数据包的攻击方法，利用在TCP/IP堆栈中实现信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。 17 7WinNuke攻击 WinNuke攻击是一种拒绝服务攻击。 攻击特征：Wi

5、nNuke攻击又称带外传输攻击，它的特征是攻击目标端口，被攻击的目标端口通常是139、138、137、113、53，而且URG位设为“1”，即紧急模式。 检测方法：判断数据包目标端口是否为139、138、137等，并判断URG位是否为“1”。 反攻击方法：适当配置防火墙设备或过滤路由器就可以防止这种攻击手段（丢弃该数据包），并对这种攻击进行审计（记录事件发生的时间，源主机和目标主机的MAC地址和IP地址MAC）。18 3.1.4 分布式拒绝服务 分布式拒绝服务（Distributed Denial of Service，DDoS），是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大

6、规模攻击方式，主要瞄准比较大的站点，像商业公司、搜索引擎或政府部门的站点。 19图3.2 分布式拒绝服务20 DDoS攻击分为3层：攻击者、主控端和代理端。 21 1Trinoo 2TFN 3TFN2K 4Stacheldraht22 检测DDoS攻击的主要方法有以下几种。 根据异常情况分析 使用DDoS检测工具 23 安全防御措施有以下几种。 及早发现系统存在的攻击漏洞，及时安装系统补丁程序。 在网络管理方面，要经常检查系统的物理环境，禁止那些不必要的网络服务。 24 利用网络安全设备（例如防火墙）来加固网络的安全性，配置好它们的安全规则，过滤掉所有可能的伪造数据包。25 比较好的防御措施就

7、是和网络服务提供商协调工作，让他们帮助实现路由访问控制和对带宽总量的限制。26 当发现正在遭受DDoS攻击时，应当及时启动应付策略，尽可能快地追踪攻击包，并且要及时联系ISP和有关应急组织，分析受影响的系统，确定涉及的其他节点，从而阻挡已知攻击节点的流量。27 3.1.5 拒绝服务攻击的防护 拒绝服务攻击的防护一般包含两个方面：一是针对不断发展的攻击形式，尤其是采用多种欺骗技术的技术，能够有效地进行检测；二，也是最为重要的，就是如何降低对业务系统或者是网络的影响，从而保证业务系统的连续性和可用性。28 通常建议用户可以采取以下手段来保障网络能够抵御拒绝服务攻击。29 增加网络核心设备的冗余性，

8、提高对网络流量的处理能力和负载均衡能力。 通过路由器配置访问列表过滤掉非法流量。 30 部署防火墙，提高网络抵御网络攻击的能力。 部署入侵检测设备，提高对不断更新的DoS攻击的识别和控制能力。31 3.2 基于漏洞入侵的防护方法 3.2.1 基于IIS漏洞入侵的防护方法 1.ida&.idq漏洞32漏洞描述ISAPI扩展存在远程缓冲溢出漏洞。攻击者可以利用该漏洞获得Web服务器的System权限来访问远程系统受影响系统Microsoft Windows NT 4.0(SP0-SP6)Microsoft Windows 2000(SP0-SP2)检测方法手工检测；工具监测（X-Scan）表3.1

9、 .ida&.idq漏洞简介33解决方案（1）为Windows 2000操作系统打SP4补丁（2）为该漏洞安装补丁（3）删除.ida&.idq的脚本映射建议：即使已经为该漏洞安装了补丁最好还是删除.IDA映射删除方法：打开Internet 服务管理器；右击服务器并在菜单中选择“属性”；选择“主属性”，选择“WWW服务”“编辑”“主目录”“配置”，在扩展名列表中删除.ida和.idq项（4）到微软技术站点上下载URLSCAN并安装，URLSCAN默认设置下就会拒绝所有对.ida&.idq映射的请求续表34 2.printer漏洞35描述Windows 2000 IIS5.0 .printer I

10、SAPI扩展存在缓冲区溢出漏洞一般情况下攻击会使Web服务器停止响应，但Windows 2000会检测到Web服务没有响应而重新启动服务器，因此，管理员比较难发现这种攻击该漏洞非常危险，仅仅需要Windows 2000 打开80端口（http）或者443端口（https）,微软公司强烈要求在未打补丁之前一定要移除ISAPI网络打印的映射表3.2 .printer漏洞简介36受影响系统Windows 2000 Server（IIS5.0）Windows 2000 Advanced Server（IIS5.0）Windows 2000 Datacenter Server（IIS5.0）监测工具X-

11、Scan解决方案（1）为Windows 2000操作系统打SP4补丁（2）安装漏洞补丁续表37 3Unicode目录遍历漏洞38漏洞描述该漏洞既是一个远程漏洞，同时也是一个本地漏洞，攻击者可通过IE浏览器远程运行被攻击计算机的cmd.exe文件，从而使该计算机的文件暴露，且可随意执行和更改文件微软IIS 4.0和5.0都存在利用扩展Unicode字符取代“/”和“”而能利用“./”目录遍历的漏洞。未经授权的用户可能利用IUSR_machinename账号的上下文空间访问任何已知的文件。该账号在默认情况下属于Everyone 和Users组的成员，因此任何与Web根目录在同一逻辑驱动器上的能被这

12、些用户组访问的文件都能被删除、修改或执行，就如同一个用户成功登录所能完成的一样表3.3 Unicode目录遍历漏洞简介39受影响系统Microsoft Windows NT / 2000(IIS 5.0) Microsoft Windows NT 4.0(IIS4.0)检测工具手工检测；工具检测（X-Scan）续表40解决方案（1）为Windows 2000操作系统安装补丁SP4（2）安装漏洞补丁IIS 4.0：IIS 5.0：（3）安装IIS Lockdown和URL Scan来加固系统（4）临时解决方法如果不需要可执行的CGI，可以删除可执行虚拟目录，例如 /scripts等。如果确实需要

13、可执行的虚拟目录，建议可执行虚拟目录单独在一个分区续表41 4.asp映射分块编码漏洞42漏洞描述Windows 2000和NT4 IIS .asp映射存在远程缓冲溢出漏洞ASP ISAPI过滤器默认在所有NT4和Windows 2000系统中装载，存在的漏洞可以导致远程执行任意命令恶意攻击者可以使用分块编码形式把数据传送给IIS服务器，当解码和解析这些数据时，可以强迫IIS把入侵者提供的数据写到内存的任意位置。通过此漏洞可以导致Windows 2000系统产生缓冲溢出，并以IWAM_computer_name用户的权限执行任意代码，而在Windows NT4下可以以system的权限执行任意

14、代码表3.4 .asp映射分块编码漏洞简介43受影响系统Microsoft Windows NT 4.0 + IIS 4.0Microsoft Windows 2000 + IIS 5.0检测工具X-Scan解决方案（1）为操作系统打补丁（2）安装漏洞补丁续表44 5WebDAV远程缓冲区溢出漏洞45漏洞描述Microsoft IIS 5.0带有WebDAV组件、对用户输入的、传递给ntdll.dll程序处理的请求未做充分的边界检查，远程入侵者可以通过向WebDAV提交一个精心构造的超长数据请求而导致发生缓冲区溢出。这可能使入侵者以local system的权限在主机上执行任意指令受影响系统W

15、indows 2000(SP0-SP3)检测工具WebDAVScan.exe是IIS中WebDAV漏洞的专用扫描器。解决方案为操作系统打补丁表3.5 WebDAV远程缓冲区溢出漏洞简介46 6Microsoft IIS 6.0 Web安全漏洞 安全解决方案如下所示。 转移根目录，不要把Web根目录建在系统磁盘（C:）。 把IIS目录的权限设置为只读。 如果IIS只用来提供静态网页，即不提供ASP、JSP、CGI等脚本47 服务，那么建议删除脚本目录，或者说，删除全部默认安装目录，并禁止任何脚本、应用程序执行，并删除应用程序配置里面的“ISAPI”应用程序、禁止脚本测试等。48 设置安全日志，并

16、把该日志存在一个不显眼的路径下。 安装网络防火墙，并禁用除80端口以外所有端口的内外通信连接。 经常备份，并把备份文件存储在另一台计算机上。49 3.2.2 基于电子邮件服务攻击的防护方法 IMAP和POP漏洞 。 拒绝服务（DoS）攻击。50 死亡之ping 同步攻击 循环 51 系统配置漏洞 默认配置 空的/默认根密码 漏洞创建 52 利用软件问题 缓冲区溢出 意外组合 未处理的输入 53 利用人为因素 特洛伊木马及自我传播 远程访问 数据发送 破坏 拒绝服务 代理 54 解决方法有以下3种。（1）在电子邮件系统周围锁定电子邮件系统电子邮件系统周边控制开始于电子邮件网关的部署。电子邮件网关

17、应根据特定目的与加固的操作系统和防止网关受到威胁的入侵检测功能一起构建。 55（2）确保外部系统访问的安全性电子邮件安全网关必须负责处理来自所有外部系统的通信，并确保通过的信息流量是合法的。通过确保外部访问的安全，可以防止入侵者利用Web邮件等应用程序访问内部系统。 56（3）实时监视电子邮件流量实时监视电子邮件流量对于防止黑客利用电子邮件访问内部系统是至关重要的。检测电子邮件中的攻击和漏洞攻击（如畸形MIME）需要持续监视所有的电子邮件。 57 3.2.3 注册表入侵的防护方法58根 项 名 称说 明HKEY_LOCAL_MACHINE包含关于本地计算机系统的信息，包括硬件和操作系统数据，如

18、总线类型、系统内存、设备驱动程序和启动控制数据HKEY_CLASSES_ROOT包含由各种OLE技术使用的信息和文件类别关联数据。如果HKEY_LOCAL_MACHINE（或HKEY_CURRENT_USER）SOFTWAREClasses中存在某个键或值，则对应的键或值将出现在HKEY_CLASSES_ROOT中。如果两处均存键或值，HKEY_CURRENT_USER版本将是出现在HKEY_CLASSES_ROOT中的一个表3.6 注册表根项名称说明59HKEY_CURRENT_USER包含当前以交互方式（与远程方式相反）登录的用户的用户配置文件，包括环境变量、桌面设置、网络连接、打印机和程

19、序首选项。该子目录树是HKEY_USERS子目录的别名，并指向HKEY_USERS当前用户的安全ID续表60根 项 名 称说 明HKEY_USERS包含关于动态加载的用户配置文件和默认配置文件的信息。包含同时出现在HKEY_CURRENT_USER中的信息。要远程访问服务器的用户在服务器上的该项下没有配置文件，他们的配置文件将加载到他们自己计算机的注册表中HKEY_CURRENT_CONFIG包含在启动时由本地计算机系统使用的硬件配置文件的相关信息。该信息用于配置一些设置，如要加载的设备驱动程序和显示时要使用的分辨率。该子目录树是HKEY_LOCAL_MACHINE子目录树的一部分，并指向HK

20、EY_LOCAL_MACHINESYSTEMCurrentControlSetHardware ProfilesCurrent续表61数 据 类 型说 明REG_BINARY未处理的二进制数据。二进制是没有长度限制的，可以是任意个字节的长度。多数硬件组件信息都以二进制数据存储，而以十六进制格式显示在注册表编辑器中。如：“CustomColors”的键值就是一个二进制数据，双击键值名，出现“编辑二进制数值”对话框REG_DWORD数据由4字节（32位）长度的数表示。许多设备驱动程序和服务的参数都是这种类型，并在注册表编辑器中以二进制、十六进制或十进制的格式显示表3.7 注册表数据类型说明62RE

21、G_EXPAND_SZ长度可变的数据串，一般用来表示文件的描述、硬件的标识等，通常由字母和数字组成，最大长度不能超过255个字符。REG_MULTI_SZ多个字符串。其中格式可被用户读取的列表或多值。常用空格、逗号或其他标记分开REG_SZ固定长度的文本串REG_FULL_RESOURCE_DESCRIPTOR设计用来存储硬件元件或驱动程序的资源列表的一系列嵌套数组续表63 通过以下两种方法增强注册表的安全性。 1禁止使用注册表编辑器 64 方法一：打开一个“记事本”文件，如果计算机的操作系统是Windows 2000XP，在其中输入以下文字： Windows Registry Editor

22、Version 5.0065HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem “Disableregistrytools”=dword:0000000066 如果操作系统是Windows 98或Windows 95，则输入如下文字：REGEDIT467HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem “Disableregistrytools”=dword:0000000068 将文件保存为名为“Unlock.reg

23、”的注册表文件。双击运行该文件，即可将该文件导入到注册表中，然后使用常规打开注册表编辑器的方法就可以重新打开注册表编辑器了。 69 方法二：在Windows 2000XP2003系统中，从“开始”菜单中选择“运行”，在打开的“运行”对话框中输入“Gpedit.msc”，单击“确定”按钮，即可打开“组策略”对话框（见图3.4）。70 从左侧栏中依次选择“用户配置”“管理模板”“系统”选项，在右侧栏中双击“阻止访问注册表编辑工具”，可以打开“阻止访问注册表编辑工具属性”对话框，选择“已禁用”单选项，单击“确定”按钮，即可恢复禁用的注册表编辑器。如图3.5所示。71 图3.4 组策略编辑器 72 图

24、3.5 “阻止访问注册表编辑工具属性”对话框73 2删除“远程注册表服务”（Remote Registry Service） 方法是找到注册表中HKEY_LOCAL_MACHINE SYSTEMCurrentControlSet74 Services下的RemoteRegistry项，在其上单击鼠标右键，选择“删除”选项，将该项删除后就无法启动该服务了，即使我们通过“控制面板”“管理工具”“服务”中启动也会出现相应的错误提示，根本无法启动该服务。75 3.2.4 Telnet入侵的防护方法 禁用Telnet服务 ,防范IPC漏洞，禁用建立空连接， 76 3.3 SQL数据库安全 3.3.1 数

25、据库系统概述3.3.2 SQL服务器的发展 1970年6月，1987年，1993年，1996年，1998年，2000年9月，2005年 。77 3.3.3 数据库技术的基本概念 数据（Data） 数据库（DB） 数据库管理系统（DBMS） 数据库系统（DBS） 数据库技术 数据模型 78 两种类型。 一种是独立于计算机系统的数据模型，完全不涉及信息在计算机中的表示，只是用来描述某个特定组织所关心的信息结构，这类模型称为“概念数据模型”。 79 另一种数据模型是直接面向数据库的逻辑结构，它是对现实世界的第二层抽象。这类模型直接与数据库管理系统有关，称为“逻辑数据模型”，一般又称为“结构数据模型”

26、。 80 结构数据模型应包含数据结构、数据操作和数据完整性约束3个部分。81 3.3.4 SQL安全原理 1第一级安全层次 服务器登录，SQL Server有两种服务器验证模式 ：安全模式和混合模式 82服务器角色描 述sysadmin可以执行SQL Server中的任何任务securityadmin可以管理登录serveradmin可以设置服务器选项（sp_configure）setupadmin可以设置连接服务器，运行SP_serveroptionprocessadmin管理服务器上的进程（有能力取消连接）diskadmin可以管理磁盘文件dbcreator可以创建、管理数据库bulkadmin可以执行BULK INSERT指令表3.8 服务器角色及其主要功能83 2第二级安全层次 它控制用户与一个特定的数据库的连接。 84 3第三级安全层次 它允许用户拥有对指定数据库中一个对象的访问权限，由数据库角色来定义。 85 （1）用户定义的角色 （2）固定数据库角色86固定数据库角色描 述db