第一篇:安全案例:電信骨干網(wǎng)DDoS攻擊防護(hù)解決方案
近年來,電信數(shù)據(jù)業(yè)務(wù)迎來飛速發(fā)展,作為經(jīng)濟(jì)大省,某省近年來電信數(shù)據(jù)業(yè)務(wù)發(fā)展迅速,寬帶數(shù)據(jù)業(yè)務(wù)用戶快速增長。然而,伴隨著用戶數(shù)量的增長,電信網(wǎng)絡(luò)安全問題也頻繁發(fā)生,其中DDoS攻擊情況尤為嚴(yán)重。
該省電信運(yùn)營商對2006年7月到12月的網(wǎng)絡(luò)安全事件統(tǒng)計(jì)后發(fā)現(xiàn),幾個(gè)經(jīng)常受到網(wǎng)絡(luò)攻擊的地市,每月平均受到的網(wǎng)絡(luò)攻擊多達(dá)10次以上,2006年9月,某地市IDC受到嚴(yán)重DDoS攻擊,攻擊流量達(dá)到22G,造成城域網(wǎng)、IDC全阻15分鐘,對業(yè)務(wù)造成嚴(yán)重的影響。嘗試了多種解決辦法,仍然無法從根本上解決問題。
在這種情況下,該省電信迫切需要引入專業(yè)安全合作伙伴,建立一整套抵御DDoS流量攻擊的系統(tǒng)。為此,省電信研究院對眾多安全廠家的異常流量過濾設(shè)備進(jìn)行了評測對比,聯(lián)想網(wǎng)御的異常流量過濾設(shè)備在眾多廠家比拼中脫穎而出,性能和功能卓越。同時(shí),聯(lián)想網(wǎng)御異常流量管理系統(tǒng)在多個(gè)省市電信行業(yè)的成功應(yīng)用也獲得信息化主管領(lǐng)導(dǎo)的認(rèn)可,經(jīng)過多次深入的技術(shù)交流,該省電信最終確定了聯(lián)想網(wǎng)御作為抵御DDoS流量攻擊系統(tǒng)建設(shè)的合作伙伴。
結(jié)合該省電信的安全需求和現(xiàn)網(wǎng)建設(shè)情況,充分考慮寬帶互聯(lián)網(wǎng)絡(luò)高帶寬、大流量、要求可靠性高的網(wǎng)絡(luò)特點(diǎn),聯(lián)想網(wǎng)御的技術(shù)專家為電信運(yùn)營商量身定制了異常流量清洗方案:結(jié)合電信IDC客戶遭受的DDoS攻擊情況和僵尸網(wǎng)絡(luò)發(fā)動(dòng)攻擊的特點(diǎn),技術(shù)專家分析認(rèn)為攻擊流量主要來自國外和國內(nèi)其他運(yùn)營商網(wǎng)絡(luò),另有少部分來自省網(wǎng)內(nèi)部。因此,系統(tǒng)建設(shè)先期在省干出口位置集中式部署,重點(diǎn)防范經(jīng)由省干入口向地市城域網(wǎng)的攻擊。考慮到省干出口鏈路帶寬大,網(wǎng)絡(luò)位置十分關(guān)鍵。聯(lián)想網(wǎng)御又為用戶設(shè)計(jì)、采取了目標(biāo)保護(hù)策略——根據(jù)需要可以靈活地定義要保護(hù)的目標(biāo)IP地址或者目標(biāo)IP網(wǎng)段,進(jìn)行重點(diǎn)檢測分析和過濾攻擊流量,實(shí)現(xiàn)了較強(qiáng)的針對性,同時(shí)有效節(jié)省了建設(shè)投資,同時(shí),根據(jù)該省電信用戶的網(wǎng)絡(luò)使用特點(diǎn),設(shè)計(jì)采用了8臺(tái)設(shè)備集群旁路部署方式(如圖所示),大流量攻擊處理能力達(dá)到16G,輕松滿足了15G大流量攻擊處理能力的設(shè)計(jì)要求,避免了改變正常網(wǎng)絡(luò)流量的網(wǎng)絡(luò)路徑,同時(shí)保證了網(wǎng)絡(luò)的高可靠性。
某省電信運(yùn)營商骨干網(wǎng)聯(lián)想網(wǎng)御異常流量管理系統(tǒng)應(yīng)用方案
聯(lián)想網(wǎng)御在用戶網(wǎng)絡(luò)中同時(shí)部署流量檢測分析設(shè)備和異常流量過濾系統(tǒng),組成一套完整的異常流量管理系統(tǒng)。由流量檢測分析設(shè)備(Leadsec-Detector)進(jìn)行采樣分析,對流經(jīng)骨干網(wǎng)的數(shù)據(jù)流進(jìn)行分析、統(tǒng)計(jì)、報(bào)警,確定受攻擊的目標(biāo)IP范圍;由異常流量過濾系統(tǒng)(Leadsec-Guard)來牽引到達(dá)目標(biāo)IP的網(wǎng)絡(luò)流量,過濾攻擊流量后將正常流量回注到網(wǎng)絡(luò)中,通過兩者的無縫配合,完成了網(wǎng)絡(luò)攻擊的分析、識(shí)別,以及自動(dòng)清理。
LeadSec-Guard還可支持虛擬化,將單臺(tái)設(shè)備或者集群組虛擬為多個(gè)邏輯異常流量過濾系統(tǒng)。因此,系統(tǒng)管理員可以為每個(gè)邏輯系統(tǒng)分配相應(yīng)的管理員進(jìn)行策略配置、安全審計(jì)等獨(dú)立操作。這將有力地支撐寬帶網(wǎng)絡(luò)運(yùn)營商拓展安全增值服務(wù),推動(dòng)安全運(yùn)營。同時(shí),系統(tǒng)中還配置了Leadsec-Manager管理系統(tǒng),在實(shí)現(xiàn)集中設(shè)備配置和管理的同時(shí),提供豐富的報(bào)表功能,全面幫助管理員深入掌控網(wǎng)絡(luò)安全運(yùn)行情況。
項(xiàng)目完成后,該省干出口鏈路中異常流量所占用帶寬降至總擁有帶寬的5%以下,網(wǎng)絡(luò)安全事件發(fā)生概率大大降低,輕了異常流量對該省電信省干網(wǎng)絡(luò)平臺(tái)造成的壓力,提升了帶寬利用率,為IDC、網(wǎng)吧等寬帶業(yè)務(wù)大客戶提供了一條安全、暢通的互聯(lián)網(wǎng)鏈路,提升了品牌價(jià)值,為該省電信創(chuàng)造了競爭優(yōu)勢。
第二篇:淺談電信網(wǎng)絡(luò)環(huán)境下的DDOS攻擊防護(hù)技術(shù)
數(shù)字技術(shù)
與應(yīng)用安全技術(shù)
淺談電信網(wǎng)絡(luò)環(huán)境下的 DDOS 攻擊防護(hù)技術(shù)
劉智宏 李宏昌 李東垣
(中華通信系統(tǒng)有限責(zé)任公司
北京
100070)
摘要:近年來,隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展及廣泛普及,網(wǎng)絡(luò)安全問題面臨的形勢愈加嚴(yán)重,網(wǎng)絡(luò)攻擊防護(hù)越來越受人們的重視,而電信運(yùn)
營商網(wǎng)絡(luò)幾乎成為拒絕服務(wù)攻擊(DDOS)的首選攻擊對象。本文主要以中華通信系統(tǒng)研發(fā)的基于ISP網(wǎng)絡(luò)的拒絕服務(wù)攻擊防御系統(tǒng)為例簡要分 析DDOS攻擊以及在電信網(wǎng)絡(luò)環(huán)境下的DDOS攻擊防護(hù)技術(shù)。
關(guān)鍵詞:DDOS 攻擊
安全
防范 中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9416(2012)07-0165-02
1、DDOS 攻擊現(xiàn)狀分析
1.1 運(yùn)營商網(wǎng)絡(luò)面臨的 DDOS 攻擊威脅
當(dāng)前,運(yùn)營商骨干網(wǎng)和各地市城域網(wǎng),寬帶用戶多、網(wǎng)絡(luò)結(jié)構(gòu)復(fù) 雜、業(yè)務(wù)流量大,DDOS攻擊導(dǎo)致的網(wǎng)絡(luò)安全問題時(shí)有發(fā)生,導(dǎo)致IP 網(wǎng)絡(luò)整體服務(wù)質(zhì)量下降,已經(jīng)嚴(yán)重威脅到運(yùn)營商I P 網(wǎng)絡(luò)的正常業(yè) 務(wù);當(dāng)3G 商用,智能化終端和寬帶化3G網(wǎng)絡(luò)與互聯(lián)網(wǎng)接軌,無線網(wǎng) 絡(luò)也將面對諸多互聯(lián)網(wǎng)安全問題,這將會(huì)使缺乏固網(wǎng)DDOS 防范經(jīng) 驗(yàn)的電信運(yùn)營商面臨巨大挑戰(zhàn)。
中華通信系統(tǒng)有限責(zé)任公司研發(fā)的基于ISP網(wǎng)絡(luò)的分布式拒絕 服務(wù)攻擊防御系統(tǒng)(ChinaComm IDPS100)為軟硬件結(jié)合產(chǎn)品,產(chǎn) 品包括流量檢測組件和流量牽引清洗組件,根據(jù)ISP網(wǎng)絡(luò)應(yīng)用需求 和網(wǎng)絡(luò)規(guī)模,系統(tǒng)可部署為流量檢測設(shè)備或檢測清洗一體化設(shè)備。產(chǎn)品能夠?qū)崿F(xiàn)電信級(jí)ISP網(wǎng)絡(luò)的流量采集和流量分析,具有ISP網(wǎng)絡(luò) 異常流量與拒絕服務(wù)攻擊檢測告警、網(wǎng)絡(luò)異常流量與拒絕服務(wù)攻擊 流量牽引、清洗防御、各類流量報(bào)表、系統(tǒng)安全日志審計(jì)、系統(tǒng)安全 管理控制等主要的功能。本產(chǎn)品屬于分布式設(shè)計(jì)模式,即系統(tǒng)是由 探測器設(shè)備和流量牽引設(shè)備共同組成的防御系統(tǒng)。系統(tǒng)的流量探測 器在旁路方式外還提供串聯(lián)接入方式,具備入侵檢測、防火墻、流量 監(jiān)控功能,流量牽引設(shè)備支持集群工作方式。1.2 電信運(yùn)營商對 DDOS 攻擊防護(hù)需求
目前各大電信運(yùn)營商只部署有過濾垃圾短信這種傳統(tǒng)無線業(yè) 務(wù)的網(wǎng)關(guān)設(shè)備,尚未對3 G 移動(dòng)互聯(lián)網(wǎng)的到來做好骨干流量和城域 網(wǎng)流量管控、清洗方面的準(zhǔn)備,運(yùn)營商急需使用高效、成熟DDOS防 御產(chǎn)品,能夠?qū)崿F(xiàn)對DDOS 攻擊安全防護(hù)的高端網(wǎng)絡(luò)安全產(chǎn)品市場 需求空間巨大,主要表現(xiàn)在如下方面:
(1)應(yīng)用于全國各省、市級(jí)電信運(yùn)營商IDC、增值業(yè)務(wù)部。(2)應(yīng)用于移動(dòng)、聯(lián)通等移動(dòng)運(yùn)營商的3G網(wǎng)絡(luò)接入,為3G網(wǎng)絡(luò) 拒絕服務(wù)攻擊防御提供可靠的防御工具。
(3)應(yīng)用于大型企業(yè)及大型網(wǎng)絡(luò)服務(wù)商,這些企業(yè)通常涉及跨 區(qū)域的網(wǎng)絡(luò)通信及網(wǎng)上業(yè)務(wù)。
3、華通產(chǎn)品(ChinaComm IDPS100)技術(shù)性能
3.1 產(chǎn)品功能特點(diǎn)
3.1.1 流量探測器功能特點(diǎn)
(1)采用雙子系統(tǒng)架構(gòu)。為防止過大流量對系統(tǒng)的沖擊造成系 統(tǒng)超載、運(yùn)行緩慢甚至當(dāng)機(jī),系統(tǒng)采用獨(dú)創(chuàng)的雙子系統(tǒng)架構(gòu)。該架構(gòu) 將入侵檢測模塊和流量偵測模塊分為兩個(gè)完全獨(dú)立的系統(tǒng),通過總 線相連,在互不影響的同時(shí)又能夠保證信息的共享及功能聯(lián)動(dòng)。
(2)采用針對拒絕服務(wù)攻擊特別優(yōu)化的入侵檢測模塊。入侵檢 測模塊采用中華通信自主研發(fā)的針對DDOS 攻擊的入侵監(jiān)測模塊。能夠?qū)α髁窟M(jìn)行深層檢測。能夠發(fā)現(xiàn)并抵御多數(shù)D o S 攻擊、以及蠕 蟲、木馬等惡意代碼,并對流量偵測模塊提交的可疑流量進(jìn)行檢測,進(jìn)一步判斷是否為攻擊流量。
(3)采用先進(jìn)的檢測算法。流量探測器采用中華通信自主開發(fā) 的基于自相似性模型的動(dòng)態(tài)異常流量監(jiān)測算法,能夠在DDOS 攻擊 的初始階段甄別攻擊。
3.1.2 流量牽引器功能特點(diǎn)
(1)高速的攻擊處理能力。流量牽引器接入運(yùn)營商骨干網(wǎng)絡(luò),系 統(tǒng)能夠有效鑒別攻擊流量和正常流量,對異常攻擊流量進(jìn)行清洗,有效保證用戶正常業(yè)務(wù)流量的傳輸。該流量牽引設(shè)備支持集群工作 模式,通過集群化部署可以有效地提高系統(tǒng)的處理能力,使系統(tǒng)能 夠滿足大型ISP網(wǎng)絡(luò)的需要。
(2)高效的軟硬件平臺(tái)。在硬件方面,流量牽引器采用了嵌入式 系統(tǒng)設(shè)計(jì),在系統(tǒng)核心實(shí)現(xiàn)拒絕服務(wù)攻擊的防御算法,并且創(chuàng)造性 地將算法實(shí)現(xiàn)在網(wǎng)絡(luò)協(xié)議棧的最底層,完全避免了T C P、U D P 和I P 等高層系統(tǒng)網(wǎng)絡(luò)堆棧的處理,將整個(gè)運(yùn)算代價(jià)大大降低,大大提高 了運(yùn)算速率。2、主要廠家拒絕服務(wù)攻擊防御產(chǎn)品介紹
2.1 主流廠家產(chǎn)品簡介
2.1.1 JUNIPER NetScreen-5000 系列
Juniper主推一體化模塊式解決方案,路由器、業(yè)務(wù)部署系統(tǒng)(SDX)和入侵檢測與防護(hù)(IDP)產(chǎn)品結(jié)合在一起。
2.1.2 Nokia SC6600 信息安全網(wǎng)關(guān)
SC6600安裝簡易,管理方便。采用包括多重掃毒技術(shù)、宏摘除、層次式過濾的復(fù)合防護(hù)(Statistical ProtectionTM)技術(shù),采用專用 安全操作系統(tǒng)。
2.1.3 CISCO Guard XT
采用分布部署方式,多級(jí)檢測采用集成式動(dòng)態(tài)過濾和主動(dòng)核 查、殺手”技術(shù)等多種檢測技術(shù),支持獨(dú)特的集群體系結(jié)構(gòu),多級(jí)監(jiān) 控和報(bào)告。
2.1.4 綠盟Defender4000
作為異常流量清洗設(shè)備,與監(jiān)測中心、監(jiān)控管理中心共同構(gòu)建 異常流量凈化系統(tǒng)。采用了多個(gè)并行的專業(yè)高性能網(wǎng)絡(luò)處理器,高 “ 效處理D D O S 攻擊,通過集群部署,可以輕松應(yīng)對1 0 G + 海量拒絕服 務(wù)攻擊。
2.2 華通產(chǎn)品說明 ??????下轉(zhuǎn)第167頁
165
數(shù)字技術(shù)
與應(yīng)用安全技術(shù) 統(tǒng)進(jìn)行傳遞,分析機(jī)子系統(tǒng)在完成數(shù)據(jù)的篩選和審核工作以后,攔 截并處理掉可疑信息,將正確的信息傳達(dá)給控制臺(tái)子系統(tǒng),以保證 數(shù)據(jù)的有效傳遞。信息獲取子系統(tǒng)、分析機(jī)子系統(tǒng)、控制臺(tái)子系統(tǒng)三 者間通過特定的數(shù)據(jù)端口進(jìn)行數(shù)據(jù)的傳送,所有發(fā)送的數(shù)據(jù)都是進(jìn) 行了統(tǒng)一的格式換處理的,以固定的格式進(jìn)行傳送。
2.4.4 終端信息的輸出
從信息獲取子系統(tǒng),經(jīng)由分析機(jī)子系統(tǒng),再到控制子系統(tǒng)這一 系列的信息傳遞過程中,不僅完成了數(shù)據(jù)的過濾、篩選、核實(shí)、攔截 和傳遞,還對具有威脅性的數(shù)據(jù)進(jìn)行了報(bào)警,切斷了可疑數(shù)據(jù)的進(jìn) 一步傳遞通道,最終準(zhǔn)確無誤地把需要的信息完整的從指定端口傳 出,完成了整個(gè)SQL Server數(shù)據(jù)庫的信息傳遞。但即使是這樣,也 不能完全保證數(shù)據(jù)輸出的絕對正確,還需要通過在輸出端口進(jìn)行再 次地過濾、篩選、核實(shí)與攔截等安全監(jiān)控系統(tǒng)的安全監(jiān)控措施,才能 更好的保證輸出的信息的可靠性和安全性。
現(xiàn)代的通信技術(shù)迅猛發(fā)展,為計(jì)算機(jī)網(wǎng)絡(luò)的智能化提供了新的 環(huán)境與新的機(jī)遇,但與此同時(shí)也帶來了新的問題,如何有效地維護(hù) 信息的安全與完整,已經(jīng)成為社會(huì)關(guān)注的熱點(diǎn)。本文著重對如何實(shí) 現(xiàn)S Q L S e r v e r數(shù)據(jù)庫安全監(jiān)控系統(tǒng)提出一些見解,闡述了S Q L Server數(shù)據(jù)庫安全監(jiān)控系統(tǒng)是如何構(gòu)建、如何運(yùn)作的,希望能夠?yàn)?數(shù)據(jù)庫的安全維護(hù)起到一些作用。參考文獻(xiàn)
[1]張穎.關(guān)于 SQL Server 數(shù)據(jù)庫安全監(jiān)控系統(tǒng)的設(shè)計(jì)的探討[J].?dāng)?shù) 字技術(shù)與應(yīng)用,2011.(11).
[2]李殿勛.淺談 SQL Server 數(shù)據(jù)庫安全監(jiān)控系統(tǒng)結(jié)構(gòu)和工作原理 [J].科技信息,2011.(24).
[3]馬慧.基于 SQL Server 數(shù)據(jù)庫安全監(jiān)控系統(tǒng)的研究[J].微計(jì)算機(jī) 信息,2009.(18). 以在尋得攻擊模式或其他的違反規(guī)則的活動(dòng)時(shí)發(fā)出控制臺(tái)子系統(tǒng)
警告、記錄攻擊事件的數(shù)據(jù)、適時(shí)阻斷網(wǎng)絡(luò)的連接,還可以根據(jù)不同 的需要對系統(tǒng)進(jìn)行相應(yīng)的拓展,聯(lián)動(dòng)防火墻等其他的安全設(shè)備。信 息獲取子系統(tǒng)、分析機(jī)子系統(tǒng)子系統(tǒng)、控制臺(tái)子系統(tǒng)三者之間相互 配合完成整個(gè)工作過程:
2.4.1 實(shí)現(xiàn)主機(jī)報(bào)警
當(dāng)程序啟動(dòng)后,其所在的主機(jī)數(shù)據(jù)庫的安全監(jiān)控也將啟動(dòng),信 息獲取獲得與數(shù)據(jù)庫操作的相關(guān)數(shù)據(jù)(數(shù)據(jù)庫主機(jī)的名稱、操作的 SQL 語言、登陸的用戶名、用戶登錄密碼、當(dāng)前的系統(tǒng)用戶、操作的 結(jié)果等)后,將所得信息格式化并傳送到分析機(jī)子系統(tǒng)。分析機(jī)子系 統(tǒng)通過自帶的信息安全規(guī)則對所收到的信息進(jìn)行分析、核實(shí)與篩 選,從中分離出對數(shù)據(jù)庫有威脅的操作信息并向控制臺(tái)子系統(tǒng)發(fā) 出警告。控制臺(tái)子系統(tǒng)在收到警告信息后,由管理員對攻擊源的IP 地址發(fā)出進(jìn)行阻斷的命令,并由分析機(jī)子系統(tǒng)傳達(dá)給探頭的部分,再由探頭所在主機(jī)系統(tǒng)調(diào)動(dòng)自帶的API實(shí)現(xiàn)對指定IP 地址試行攔 截的操作命令,從而避免了被侵犯的可能,實(shí)現(xiàn)對數(shù)據(jù)庫的安全性 的保護(hù)。
2.4.2 命令的有效下達(dá)
處于數(shù)據(jù)庫最上層的控制臺(tái)子系統(tǒng)對分析機(jī)子系統(tǒng)與信息獲 取子系統(tǒng)進(jìn)行控制、維護(hù)更新,并經(jīng)由查詢以獲得它們的運(yùn)行狀態(tài) 的信息。命令從控制臺(tái)子系統(tǒng)發(fā)出以后迅速傳達(dá)至分析機(jī)子系統(tǒng)或 信息獲取部分,然后由它們的相應(yīng)模塊響應(yīng)指令,以實(shí)現(xiàn)命令的完 成。控制臺(tái)子系統(tǒng)下達(dá)的所有命令都將通過特定窗口進(jìn)行傳達(dá),并 且分析機(jī)子系統(tǒng)與信息獲取部分接受命令與完成命令以后的反饋 信息也是經(jīng)由同一端口進(jìn)行傳遞的。
2.4.3 數(shù)據(jù)的傳遞
從信息獲取子系統(tǒng)獲取的相關(guān)的信息數(shù)據(jù),在經(jīng)過二次篩選過 濾后實(shí)現(xiàn)數(shù)據(jù)的完整性,然后根據(jù)數(shù)據(jù)的內(nèi)容向相應(yīng)的分析機(jī)子系
??????上接第165頁
3.2 產(chǎn)品技術(shù)創(chuàng)新
3.2.1 實(shí)現(xiàn)基于自相似性模型的動(dòng)態(tài)異常流量監(jiān)測
自相似性(self-similarity)是指一個(gè)隨機(jī)過程在各個(gè)時(shí)間規(guī)模 上具有相同的統(tǒng)計(jì)特性。系統(tǒng)在進(jìn)入防護(hù)D D O S 攻擊之前,要對網(wǎng) 絡(luò)中正常的流量進(jìn)行相應(yīng)的記錄,用以檢測攻擊的存在,尤其對 DDOS攻擊所利用的報(bào)文進(jìn)行檢測和分析。系統(tǒng)分別對各個(gè)協(xié)議的 流量(或連接數(shù))最大的IP地址(源IP和目的IP)的流量(或連接數(shù))進(jìn)行記錄。而通常不同時(shí)間段網(wǎng)絡(luò)流量也相差很大,簡單的計(jì)算平均流量無法做快速可靠地發(fā)現(xiàn)攻擊。因此需要按照時(shí)間段的不同對 流量生成表項(xiàng)。通過大量測試分析在表項(xiàng)細(xì)度和系統(tǒng)性能之間找到 一個(gè)平衡點(diǎn)。
3.2.2 掃描檢測算法
掃描檢測模塊采用一個(gè)基于貝葉斯網(wǎng)絡(luò)進(jìn)行TCP 包頭異常分 析的掃描檢測方法(P S D B)。貝葉斯網(wǎng)絡(luò)模塊學(xué)習(xí)T C P 報(bào)文到達(dá)每 個(gè)目的主機(jī)和相應(yīng)目的端口的概率。PSDB 使用貝葉斯網(wǎng)絡(luò)來學(xué)習(xí)保存被檢測子網(wǎng)內(nèi)主機(jī)端口的概率分布。然后概率異常檢測操作依 據(jù)TCP Flag和報(bào)文到達(dá)的概率計(jì)算每個(gè)報(bào)文的異常度,并針對個(gè) 別協(xié)議本身的特點(diǎn)對異常值計(jì)算進(jìn)行修正,將判別為異常報(bào)文的信 息發(fā)送到分析模塊。
隨著我國信息化的快速發(fā)展,各行業(yè)對提高整體信息系統(tǒng)的安 全防護(hù)水平和保障能力提出了更高的要求,對信息安全技術(shù)和產(chǎn)品 的需求越來越大。基于ISP網(wǎng)絡(luò)的拒絕服務(wù)攻擊防御系統(tǒng)產(chǎn)品的投 放市場,能夠填補(bǔ)運(yùn)營商急需使用高效、成熟D D O S 防御產(chǎn)品的需 求空間;可以極大地提高電信運(yùn)營商、I S P、政府的整體網(wǎng)絡(luò)D D O S 防御能力本文來源于http://taobaoxuexi.sinaapp.com/(ddos攻擊器)。
系統(tǒng)創(chuàng)新的技術(shù)實(shí)現(xiàn)模式可以為用戶提供更優(yōu)化的D D O S 防 御解決方案,通過建設(shè)更安全的D D O S 防御系統(tǒng),用戶可有效降低 大規(guī)模DDOS 類攻擊所帶來的社會(huì)和經(jīng)濟(jì)風(fēng)險(xiǎn),為我國經(jīng)濟(jì)高速發(fā) 展提供安全的網(wǎng)絡(luò)環(huán)境。參考文獻(xiàn)
[1]李德全《拒絕服務(wù)攻擊》.北京:電子工業(yè)出版社,2007 年 1 月. [ 2 ] 陽莉《電信網(wǎng)絡(luò)分析與設(shè)計(jì)》.西安: 西安電子科技大學(xué)出版,. 2008 年 1 月.
[3]郝永清《網(wǎng)絡(luò)安全攻防實(shí)用技術(shù)深度案例分析》.北京:科學(xué)出 版社,2010 年 1 月.
[4] 加拿大.克勞斯《網(wǎng)絡(luò)安全保護(hù)》.北京:科學(xué)出版社,2009 年 3 月.
[ 5 ] 孫玉《電信網(wǎng)絡(luò)安全總體防衛(wèi)討論》.北京: 人民郵電出版社,. 2008 年 8 月.
[6]Steve Manzuik《網(wǎng)絡(luò)安全評估:從漏洞到補(bǔ)丁》.北京:科學(xué) 出版社,2009 年 1 月.
[7]王秀利《網(wǎng)絡(luò)擁塞控制及拒絕服務(wù)攻擊防范》.北京:北京郵電 大學(xué)出版社,2009 年 6 月.
[ 8 ] 王夢龍《網(wǎng)絡(luò)信息安全原理與技術(shù)》.北京: 中國鐵道出版社,. 2009 年 11 月. 3.3 產(chǎn)品應(yīng)用
本產(chǎn)品通常布置于運(yùn)營商網(wǎng)絡(luò)中高帶寬節(jié)點(diǎn),如核心交換機(jī)等
高速轉(zhuǎn)發(fā)設(shè)備,通常采用網(wǎng)關(guān)接入模式或路接入模式。在大型網(wǎng)絡(luò) 應(yīng)用時(shí),可采用牽引器集群工作方式,可通過部署牽引器集群增強(qiáng) 系統(tǒng)處理能力及可靠性。
4、結(jié)語
167
第三篇:網(wǎng)絡(luò)信息安全的攻擊與防護(hù)
目錄
一網(wǎng)絡(luò)攻擊技術(shù).....................................................錯(cuò)誤!未定義書簽。1.背景介紹...............................................................錯(cuò)誤!未定義書簽。2.常見的網(wǎng)絡(luò)攻擊技術(shù)..........................................錯(cuò)誤!未定義書簽。1.網(wǎng)絡(luò)監(jiān)聽.........................................................錯(cuò)誤!未定義書簽。2.拒絕服務(wù)攻擊...................................................................................2 3.緩沖區(qū)溢出.......................................................................................3
二、網(wǎng)絡(luò)防御技術(shù)................................................................................4 1.常見的網(wǎng)絡(luò)防御技術(shù)..........................................................................4 1.防火墻技術(shù).......................................................................................4 2.訪問控制技術(shù)...................................................................................4
三、總結(jié)...............................................................5錯(cuò)誤!未定義書簽。一.生活中黑客常用的攻擊技術(shù)
黑客攻擊其實(shí)質(zhì)就是指利用被攻擊方信息系統(tǒng)自身存在安全漏洞,通過使用網(wǎng)絡(luò)命令和專用軟件進(jìn)入對方網(wǎng)絡(luò)系統(tǒng)的攻擊。目前總結(jié)出黑客網(wǎng)絡(luò)攻擊的類型主要有以下幾種:
1.對應(yīng)用層攻擊。
應(yīng)用層攻擊能夠使用多種不同的方法來實(shí)現(xiàn),最常見的方法是使用服務(wù)器上通常可找到的應(yīng)用軟件(如SQL Server、PostScript和FTP)缺陷,通過使用這些缺陷,攻擊者能夠獲得計(jì)算機(jī)的訪問權(quán),以及在該計(jì)算機(jī)上運(yùn)行相應(yīng)應(yīng)用程序所需賬戶的許可權(quán)。
應(yīng)用層攻擊的一種最新形式是使用許多公開化的新技術(shù),如HTML規(guī)范、Web瀏覽器的操作性和HTTP協(xié)議等。這些攻擊通過網(wǎng)絡(luò)傳送有害的程序,包括Java applet和Active X控件等,并通過用戶的瀏覽器調(diào)用它們,很容易達(dá)到入侵、攻擊的目的。
2.拒絕服務(wù)攻擊
拒絕服務(wù)(Denial of Service, DoS)攻擊是目前最常見的一種攻擊類型。從網(wǎng)絡(luò)攻擊的各種方法和所產(chǎn)生的破壞情況來看,DoS算是一種很簡單,但又很有效的進(jìn)攻方式。它的目的就是拒絕服務(wù)訪問,破壞組織的正常運(yùn)行,最終使網(wǎng)絡(luò)連接堵塞,或者服務(wù)器因疲于處理攻擊者發(fā)送的數(shù)據(jù)包而使服務(wù)器系統(tǒng)的相關(guān)服務(wù)崩潰、系統(tǒng)資源耗盡。
攻擊的基本過程如下:首先攻擊者向服務(wù)器發(fā)送眾多的帶有虛假地址的請求,服務(wù)器發(fā)送回復(fù)信息后等待回傳信息。由于地址是偽造的,所以服務(wù)器一直等不到回傳的消息,然而服務(wù)器中分配給這次請求的資源就始終沒有被釋放。當(dāng)服務(wù)器等待一定的時(shí)間后,連接會(huì)因超時(shí)而被切斷,攻擊者會(huì)再度傳送新的一批請求,在這種反復(fù)發(fā)送偽地址請求的情況下,服務(wù)器資源最終會(huì)被耗盡。
被DDoS攻擊時(shí)出現(xiàn)的現(xiàn)象主要有如下幾種。被攻擊主機(jī)上有大量等待的TCP連接。網(wǎng)絡(luò)中充斥著大量的無用的數(shù)據(jù)包,源地址為假。制造高流量無 用數(shù)據(jù),造成網(wǎng)絡(luò)擁塞,使受害主機(jī)無法正常和外界通信。利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷,反復(fù)高速地發(fā)出特定的服務(wù)請求,使受害主機(jī)無法及時(shí)處理所有正常請求。嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī)。要避免系統(tǒng)遭受Do S攻擊,網(wǎng)絡(luò)管理員要積極謹(jǐn)慎地維護(hù)整個(gè)系統(tǒng),確保無安全隱患和漏洞,而針對更加惡意的攻擊方式則需要安裝防火墻等安全設(shè)備過濾DOS攻擊,同時(shí)建議網(wǎng)絡(luò)管理員定期查看安全設(shè)備的日志,及時(shí)發(fā)現(xiàn)對系統(tǒng)構(gòu)成安全威脅的行為。
3.緩沖區(qū)溢出
通過往程序的緩沖區(qū)寫超出其長度的內(nèi)容,造成緩沖區(qū)的溢出,從而破壞程序的堆棧,使程序轉(zhuǎn)而執(zhí)行其他的指令。如果這些指令是放在有Root權(quán)限的內(nèi)存中,那么一旦這些指令得到了運(yùn)行,黑客就以Root權(quán)限控制了系統(tǒng),達(dá)到入侵的目的;緩沖區(qū)攻擊的目的在于擾亂某些以特權(quán)身份運(yùn)行的程序的功能,使攻擊者獲得程序的控制權(quán)。
緩沖區(qū)溢出的一般攻擊步驟為:在程序的地址空間里安排適當(dāng)?shù)拇a——通過適當(dāng)?shù)牡刂烦跏蓟拇嫫骱痛鎯?chǔ)器,讓程序跳到黑客安排的地址空間中執(zhí)行。緩沖區(qū)溢出對系統(tǒng)帶來了巨大的危害,要有效地防止這種攻擊,應(yīng)該做到以下幾點(diǎn)。必須及時(shí)發(fā)現(xiàn)緩沖區(qū)溢出這類漏洞:在一個(gè)系統(tǒng)中,比如UNIX操作系統(tǒng),這類漏洞是非常多的,系統(tǒng)管理員應(yīng)經(jīng)常和系統(tǒng)供應(yīng)商聯(lián)系,及時(shí)對系統(tǒng)升級(jí)以堵塞緩沖區(qū)溢出漏洞。程序指針完整性檢查:在程序指針被引用之前檢測它是否改變。即便一個(gè)攻擊者成功地改變了程序的指針,由于系統(tǒng)事先檢測到了指針的改變,因此這個(gè)指針將不會(huì)被使用。數(shù)組邊界檢查:所有的對數(shù)組的讀寫操作都應(yīng)當(dāng)被檢查以確保對數(shù)組的操作在正確的范圍內(nèi)。最直接的方法是檢查所有的數(shù)組操作,通常可以采用一些優(yōu)化的技術(shù)來減少檢查的次數(shù)。目前主要有以下的幾種檢查方法:Compaq C編譯器、Purify存儲(chǔ)器存取檢查等。
二. 生活中常見的網(wǎng)絡(luò)防御技術(shù)
1.常見的網(wǎng)絡(luò)防御技術(shù)
1.防火墻技術(shù) 網(wǎng)絡(luò)安全中使用最廣泛的技術(shù)就是防火墻技術(shù),對于其網(wǎng)絡(luò)用戶來說,如果決定使用防火墻,那么首先需要由專家領(lǐng)導(dǎo)和網(wǎng)絡(luò)系統(tǒng)管理員共同設(shè)定本網(wǎng)絡(luò)的安全策略,即確定什么類型的信息允許通過防火墻,什么類型的信息不允許通過防火墻。防火墻的職責(zé)就是根據(jù)本館的安全策略,對外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間交流的數(shù)據(jù)進(jìn)行檢查,符合的予以放行,不符合的拒之門外。該技術(shù)主要完成以下具體任務(wù):
通過源地址過濾,拒絕外部非法IP地址,有效的避免了與本館信息服務(wù)無關(guān)的外部網(wǎng)絡(luò)主機(jī)越權(quán)訪問;防火墻可以只保留有用的服務(wù),將其他不需要的服務(wù)關(guān)閉,這樣做可以將系統(tǒng)受攻擊的可能性降到最低限度,使黑客無機(jī)可乘;同樣,防火墻可以制定訪問策略,只有被授權(quán)的外部主機(jī)才可以訪問內(nèi)部網(wǎng)絡(luò)上的有限IP地址,從而保證外部網(wǎng)絡(luò)只能訪問內(nèi)部網(wǎng)絡(luò)中的必要資源,使得與本館信息服務(wù)無關(guān)的操作將被拒絕;由于外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的所有訪問都要經(jīng)過防火墻,所以防火墻可以全面監(jiān)視外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的訪問活動(dòng),并進(jìn)行詳細(xì)的記錄,通過分析可以得出可疑的攻擊行為。
防火墻可以進(jìn)行地址轉(zhuǎn)換工作,使外部網(wǎng)絡(luò)用戶不能看到內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu),使黑客失去攻擊目標(biāo)。
雖然防火墻技術(shù)是在內(nèi)部網(wǎng)與外部網(wǎng)之間實(shí)施安全防范的最佳選擇,但也存在一定的局限性:不能完全防范外部刻意的人為攻擊;不能防范內(nèi)部用戶攻擊;不能防止內(nèi)部用戶因誤操作而造成口令失密受到的攻擊;很難防止病毒或者受病毒感染的文件的傳輸。
2.訪問控制技術(shù)
訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要技術(shù),它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。
入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源,控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和準(zhǔn)許他們在哪臺(tái)工作站入網(wǎng)。用戶的入網(wǎng)訪問控制可分為三個(gè)步驟:用戶名的識(shí)別與驗(yàn)證、用戶口令的識(shí)別與驗(yàn)證、用戶賬號(hào)的缺省限制檢查。三道關(guān)卡中只要任何一關(guān)未過,該用戶便不能進(jìn)入該網(wǎng)絡(luò)。對網(wǎng)絡(luò)用戶的用戶名和口令進(jìn)行驗(yàn)證是防止非法訪問的第一道防線。用戶注冊時(shí)首先輸入用戶名和口令,服務(wù)器將驗(yàn)證所輸入的用戶名是否合法。如果驗(yàn)證合法,才繼續(xù)驗(yàn)證用戶輸入的口令,否則,用戶將被拒之網(wǎng)絡(luò)外。用戶的口令是用戶入網(wǎng)的關(guān)鍵所在。為保證口令的安全性,用戶口令不能顯示在顯示屏上,口令長度應(yīng)不少于6個(gè)字符,口令字符最好是數(shù)字、字母和其他字符的混合。
網(wǎng)絡(luò)的權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。用戶和用戶組被賦予一定的權(quán)限。網(wǎng)絡(luò)控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。我們可以根據(jù)訪問權(quán)限將用戶分為以下幾類:(1)特殊用戶(即系統(tǒng)管理員);(2)一般用戶,系統(tǒng)管理員根據(jù)他們的實(shí)際需要為他們分配操作權(quán)限;(3)審計(jì)用戶,負(fù)責(zé)網(wǎng)絡(luò)的安全控制與資源使用情況的審計(jì)。用戶對網(wǎng)絡(luò)資源的訪問權(quán)限可以用一個(gè)訪問控制表來描述。
網(wǎng)絡(luò)應(yīng)允許控制用戶對目錄、文件、設(shè)備的訪問。用戶在目錄一級(jí)指定的權(quán)限對所有文件和子目錄有效,用戶還可進(jìn)一步指定對目錄下的子目錄和文件的權(quán)限。對目錄和文件的訪問權(quán)限一般有八種:系統(tǒng)管理員權(quán)限(Supervisor)、讀權(quán)限(Read)、寫權(quán)限(Write)、創(chuàng)建權(quán)限(Create)、刪除權(quán)限(Erase)、修改權(quán)限(Modify)、文件查找權(quán)限、存取控制權(quán)限。一個(gè)網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)當(dāng)為用戶指定適當(dāng)?shù)脑L問權(quán)限,這些訪問權(quán)限控制著用戶對服務(wù)器的訪問。八種訪問權(quán)限的有效組合可以讓用戶有效地完成工作,同時(shí)又能有效地控制用戶對服務(wù)器資源的訪問,從而加強(qiáng)了網(wǎng)絡(luò)和服務(wù)器的安全性。
三.總結(jié)
計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的日新月異,為現(xiàn)代人的生活提供了很大的方便。但網(wǎng)絡(luò)安全威脅依然存在,網(wǎng)上經(jīng)常報(bào)道一些明星的照片泄露,12306賬號(hào)和密碼泄露,一些郵箱的密碼泄露,以及經(jīng)常發(fā)生的QQ號(hào)被盜等等……這些都會(huì)給我們的生活帶來麻煩,甚至讓我們付出經(jīng)濟(jì)代價(jià)。因此現(xiàn)在人們對于網(wǎng)絡(luò)安全的認(rèn)識(shí)也越來越重視,在整體概念上了解黑客的攻擊技術(shù)和常用工具方法,對于我們防范黑客攻擊提供了基本的知識(shí)儲(chǔ)備。而具體到平時(shí)的學(xué)習(xí)工作中,我們應(yīng)該養(yǎng)成良好的上網(wǎng)習(xí)慣和培養(yǎng)良好的網(wǎng)絡(luò)安全意識(shí),在平時(shí)的工作中應(yīng)該注意,不要運(yùn)行陌生人發(fā)過來的不明文件,即使是非可執(zhí)行文件,也要十分小心,不要在不安全的網(wǎng)站上登錄一些重要賬號(hào),或者不要在網(wǎng)站上記錄賬號(hào)密碼。以免造成密碼泄露。只要我們在平時(shí)上網(wǎng)時(shí)多注意,就可以有效地防范網(wǎng)絡(luò)攻擊。
此外,經(jīng)常使用殺毒軟件掃描,及時(shí)發(fā)現(xiàn)木馬的存在。我們應(yīng)該時(shí)刻警惕黑客的網(wǎng)絡(luò)攻擊,從自我做起,構(gòu)建起網(wǎng)絡(luò)安全堅(jiān)實(shí)防線,盡可能讓網(wǎng)絡(luò)黑客無孔可入。
第四篇:如何對電信行業(yè)IDC進(jìn)行安全防護(hù)
IDC(Internet Data Center)是伴隨著互聯(lián)網(wǎng)不斷發(fā)展的需求而發(fā)展起來的,可為ICP、企業(yè)、媒體和各類網(wǎng)站提供大規(guī)模、高質(zhì)量、安全可靠的專業(yè)化服務(wù)器托管、空間租用、網(wǎng)絡(luò)帶寬批發(fā)以及ASP等業(yè)務(wù)。對于電信行業(yè)來說,IDC是直接面向企業(yè)用戶最簡潔的通道,所以也成為電信行業(yè)企業(yè)客戶市場突破的重要突破口。
伴隨著電信行業(yè)大力發(fā)展IDC業(yè)務(wù),IDC逐步發(fā)展了眾多的業(yè)務(wù)模式,例如主機(jī)托管、空間租賃、主機(jī)域名、企業(yè)郵箱以及承載WEB、游戲、公司應(yīng)用的業(yè)務(wù)等,也包括一些增值業(yè)務(wù)比如在線存儲(chǔ)業(yè)務(wù)等等。這些業(yè)務(wù)的集中使得IDC具備了重要性、集中性、大帶寬、應(yīng)用多樣化、運(yùn)維復(fù)雜性等多種特性。典型的IDC邏輯架構(gòu)如下圖所示:
1.2 IDC安全風(fēng)險(xiǎn)分析
IDC的特性決定了其安全威脅風(fēng)險(xiǎn)的特殊性和復(fù)雜性。根據(jù)IDC的邏輯架構(gòu),其安全風(fēng)險(xiǎn)主要集中在網(wǎng)絡(luò)層與業(yè)務(wù)層。
1.2.1 網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)分析
IDC的網(wǎng)絡(luò)層由路由器、交換機(jī)等數(shù)據(jù)通信設(shè)備和安全設(shè)備組成。網(wǎng)絡(luò)層在整個(gè)IDC中屬于IT基礎(chǔ)架構(gòu),是開展IDC業(yè)務(wù)運(yùn)營的基礎(chǔ)。數(shù)據(jù)通信設(shè)備在整個(gè)IDC運(yùn)營中起到承上啟下作用:一方面,它對外擔(dān)負(fù)著IDC與外界其他網(wǎng)絡(luò)系統(tǒng),如互聯(lián)網(wǎng)等網(wǎng)絡(luò)的互連互通;另一方面,它對內(nèi)承載著各種IDC業(yè)務(wù)系統(tǒng)。
網(wǎng)絡(luò)層的安全風(fēng)險(xiǎn)主要是針對網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的攻擊行為,包括:Dos/DDos攻擊、來自外部的網(wǎng)絡(luò)攻擊行為、各種僵尸/蠕蟲/木馬等惡意代碼的侵害等等。網(wǎng)絡(luò)層面的攻擊行為往往與特定的應(yīng)用無關(guān),針對的是網(wǎng)絡(luò)中的漏洞,具體體現(xiàn)在對IDC網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的威脅上。1.2.2 業(yè)務(wù)層安全風(fēng)險(xiǎn)分析
業(yè)務(wù)層是IDC的核心要素,也是IDC價(jià)值的具體表現(xiàn)形式。它通過市場的需求情況,將IDC內(nèi)的各種資源進(jìn)行合理的整合和配置,對外包裝出符合市場需求的可運(yùn)營產(chǎn)品或服務(wù),并將這些產(chǎn)品和服務(wù)銷售給IDC客戶。業(yè)務(wù)層按照IDC提供的服務(wù)屬性可以分為基礎(chǔ)類業(yè)務(wù)和增值類業(yè)務(wù)兩大類。
業(yè)務(wù)層的安全風(fēng)險(xiǎn)主要是針對后臺(tái)業(yè)務(wù)運(yùn)行的主機(jī)以及主機(jī)上承載的特定應(yīng)用。其風(fēng)險(xiǎn)的表現(xiàn)行為包括:垃圾郵件、針對Web/DNS/FTP等服務(wù)器的應(yīng)用層攻擊、針對服務(wù)器本身系統(tǒng)級(jí)的入侵行為等等。業(yè)務(wù)層的安全風(fēng)險(xiǎn)主要針對的是IDC托管運(yùn)行的特定應(yīng)用,和IDC服務(wù)的用戶密切相關(guān),需要進(jìn)行重點(diǎn)的防護(hù)。
第五篇:[Web系統(tǒng)安全性攻擊與防護(hù)總結(jié)報(bào)告]信息安全課程設(shè)計(jì)
鄭州輕工業(yè)學(xué)院本科
Web系統(tǒng)安全性攻擊與防護(hù)總結(jié)報(bào)告
設(shè)計(jì)題目:學(xué)生姓名:系
別:國際教育學(xué)院專
業(yè):互聯(lián)網(wǎng)班
級(jí):學(xué)
號(hào):指導(dǎo)教師:
Web系統(tǒng)安全性攻擊與防護(hù)(SQL注入與防護(hù))XX
XX XX XX
2011 年
07 月 日
目錄
一、課程設(shè)計(jì)的目的和意義........................................................................................3
二、sql注入分析........................................................................................................3 2.1 sql注入的原理.................................................................................................3 2.2 sql注入攻擊的方式.........................................................................................3 2.2.1構(gòu)造參數(shù)攻擊.........................................................................................3 2.2.2轉(zhuǎn)義字符類型的攻擊.............................................................................4 2.2.3Union查詢攻擊.......................................................................................4 2.2.4注釋符攻擊.............................................................................................5
三、sql注入實(shí)例分析................................................................................................5 3.1系統(tǒng)核心代碼...................................................................................................5 3.2注入測試和分析...............................................................................................6 3.2.1注入測試.................................................................................................6 3.2.2注入攻擊過程及分析.............................................................................8
四、sql注入的防范措施............................................................................................10 4.1 防范措施1(對參數(shù)進(jìn)行強(qiáng)制類型轉(zhuǎn)換)......................................................10 4.2 防范措施2(類型判斷).............................................................................12
五、密碼用MD5加密存儲(chǔ)和驗(yàn)證...........................................................................14 5.1加密的必要性分析.........................................................................................14 5.2加密核心代碼,登錄驗(yàn)證核心代碼.............................................................14 5.2.1加密核心代碼.......................................................................................14 5.2.2登錄驗(yàn)證核心代碼...............................................................................15
六、服務(wù)器目錄權(quán)限配置..........................................................................................16 6.1、權(quán)限分配原則分析......................................................................................16 6.2、具體權(quán)限分配過程......................................................................................16
七、總結(jié)......................................................................................................................18
一、課程設(shè)計(jì)的目的和意義
網(wǎng)絡(luò)技術(shù)隨著信息化技術(shù)的發(fā)展,網(wǎng)絡(luò)技術(shù)得到了廣泛的應(yīng)用,其中Web成為主流的網(wǎng)絡(luò)和應(yīng)用技術(shù),但隨之而來的就是網(wǎng)絡(luò)安全問題的出現(xiàn)。網(wǎng)絡(luò)安全問題目前已成為世界范圍內(nèi)不容忽視的問題。在研究與實(shí)踐的基礎(chǔ)上,詳細(xì)總結(jié)網(wǎng)絡(luò)攻擊方法的原理及其有針對性的防護(hù)技術(shù),對加強(qiáng)網(wǎng)絡(luò)安全,實(shí)現(xiàn)web服務(wù)器安全有重要意義。
二、sql注入分析
2.1 sql注入的原理
SQL 注入是一種攻擊方式,在這種攻擊方式中,惡意代碼被插入到字符串中,然后將該字符串傳遞到程序執(zhí)行的SQL 語句中構(gòu)成攻擊者想執(zhí)行的任意SQL語句,分析服務(wù)器返回的信息獲得有關(guān)網(wǎng)站或服務(wù)器的敏感信息,進(jìn)一步獲得非法的信息和權(quán)限。
利用WEB應(yīng)用對用戶輸入驗(yàn)證設(shè)計(jì)上的疏忽,或驗(yàn)證的不嚴(yán)格,從而使用戶輸入的數(shù)據(jù)中包含對某些數(shù)據(jù)庫系統(tǒng)有特殊意義的符號(hào)或命令,讓W(xué)EB應(yīng)用用戶有機(jī)會(huì)直接對后臺(tái)數(shù)據(jù)庫系統(tǒng)下達(dá)指令,實(shí)施入侵行為。SQL注入的產(chǎn)生主要是由動(dòng)態(tài)字符串構(gòu)建和不安全的數(shù)據(jù)庫配置產(chǎn)生,其中動(dòng)態(tài)字符串構(gòu)建主要是由不正確的處理轉(zhuǎn)義字符、不正確的處理類型、不正確的處理聯(lián)合查詢、不正確的處理錯(cuò)誤和不正確的處理多次提交構(gòu)成。不安全的數(shù)據(jù)庫配置產(chǎn)生主要是由默認(rèn)預(yù)先安裝的用戶、以root,SYSTEM或者Administrator權(quán)限系統(tǒng)用戶來運(yùn)行和默認(rèn)允許很多系統(tǒng)函數(shù)(如xp_cmdshell,OPENROWSET等)構(gòu)成。
2.2 sql注入攻擊的方式
2.2.1構(gòu)造參數(shù)攻擊
如果一個(gè)惡意用戶提供的字段并非一個(gè)強(qiáng)制類型,或者沒有實(shí)施類型強(qiáng)制,就會(huì)發(fā)生這種形式的攻擊。當(dāng)在一個(gè)SQL語句中使用一個(gè)數(shù)字字段時(shí),如果程序員沒有檢查用戶輸入的合法性(是否為數(shù)字型)就會(huì)發(fā)生這種攻擊。例如: Statement:=“SELECT*FROM data WHERE id=”+a_variable+“;”
從這個(gè)語句可以看出,作者希望a_variable是一個(gè)與“id”字段有關(guān)的數(shù)字。不過,如果終端用戶選擇一個(gè)字符串,就繞過了對轉(zhuǎn)義字符的需要。
2.2.2轉(zhuǎn)義字符類型的攻擊
Web應(yīng)用程序開發(fā)時(shí)沒有對用戶的輸入進(jìn)行轉(zhuǎn)義字符過濾時(shí),就會(huì)發(fā)生這種形式的注入式攻擊,它會(huì)被傳遞給一個(gè)SQL語句.這樣就會(huì)導(dǎo)致惡意用戶對數(shù)據(jù)庫上的語句實(shí)施操縱。例如,下面的這行代碼就會(huì)演示這種漏洞:
Statement:=“SELECT*FROM users WHERE name='”+userName+“';”
此段代碼的設(shè)計(jì)目的是將一個(gè)特定的用戶從其用戶表中取出,但是,如果用戶名被一個(gè)惡意的用戶用一種特定的方式偽造,這個(gè)語句所執(zhí)行的操作可能就不僅僅是應(yīng)用程序開發(fā)者所期望的那樣例如,將用戶名變量(即username)設(shè)置為:
a′or′1′=1′,此時(shí)原始語句發(fā)生了變化:
SELECT*FROM users WHERE name=′a′OR′1′=′1′;
如果這種代碼被用于一個(gè)認(rèn)證過程,那么這個(gè)例子就能夠強(qiáng)迫選擇一個(gè)合法的用戶名,因?yàn)橘x值
′1′=′1永遠(yuǎn)是真。
在一些特定的SQL服務(wù)器上,如在SQL Server中,任何一個(gè)SQL命令都可以通過這種方法被注入,包括執(zhí)行多個(gè)語句。
2.2.3Union查詢攻擊
Union查詢動(dòng)機(jī)是繞過驗(yàn)證或者提取數(shù)據(jù)。攻擊者在查詢語句中注入U(xiǎn)nion SELECT語句,并且因?yàn)橛脩艨刂啤癝ELECT語句”的內(nèi)容,攻擊者可以得到想要的信息。Union查詢SQL注入測試。
假設(shè)我們有如下的查詢:
SELEC Name,Psw,Tel FROM Users WHERE Id=$id然后我們設(shè)置id的值為:
$id=1UNION ALL SELECT bank CardNumber,1,1 FROM BankCardTable
那么整體的查詢就變?yōu)?
SELECT Name,Psw,Tel FROM Users WHERE Id=1 UNION ALL SELECT bankCardNumber,1,FROM BankCarTable
顯然這樣就能得到所有銀行卡用戶的信息。
2.2.4注釋符攻擊
使用注釋通常可以使攻擊者繞過驗(yàn)證。SQL在查詢中支持注釋,如,--、#等。通過注入注釋符,惡意用戶或者攻擊者可以毫不費(fèi)力的截?cái)郤QL查詢語句。例如,對于查詢語句SELECT*FROM users WHERE usermame=uname and Password=psw,如果惡意用戶輸入?yún)?shù)uname的值為admin--,Password的值為空,那么查詢語句變?yōu)镾ELECT*FROM users WHERE usermame=admin and Password=,也就SELECT*FROM users WHERE usermame=admin。這就使得惡意用戶不用提供密碼就可以通過驗(yàn)證。
三、sql注入實(shí)例分析
3.1系統(tǒng)核心代碼
顯示文章內(nèi)容的主要代碼:
<%'
#####查詢數(shù)據(jù)模塊開始
###%> <%function query()id=request.QueryString(“id”)'為了測試此處沒有對參數(shù)進(jìn)行任何過濾和合法性分析 set rs=conn.execute(“select * from news where id=”&id)while not rs.eof response.Write(“發(fā)布者:”&rs(“adder”)&“
發(fā)布時(shí)間:”&rs(“time”)&“
標(biāo)題:”&rs(“title”)&“
[內(nèi)容:]
”&rs(“content”))rs.movenext wend call first()end function%> <%'
#####查詢數(shù)據(jù)模塊結(jié)束
###%>
3.2注入測試和分析
3.2.1注入測試
現(xiàn)在進(jìn)行注入測試: 首先看正常顯示文章截圖:
圖(1)
1、在地址后面加一個(gè)單引號(hào) ' 看返回結(jié)果是否正常
圖(2)
返回系統(tǒng)查詢報(bào)錯(cuò),說明可能存在注入漏洞。
2、繼續(xù)測試以確認(rèn)是否真正存在注入漏洞,在地址后面加上and 1=1 查看返回結(jié)果是正常。
圖(3)
顯示正常沒有異常。再接著把a(bǔ)nd 1=1 改為 and 1=2 看返回結(jié)果是否異常。
圖(4)
返回空白出現(xiàn)異常。
3、通過上面的注入測試,可以確定該網(wǎng)站一定存在SQL注入漏洞。
3.2.2注入攻擊過程及分析
下面使用構(gòu)造參數(shù)攻擊:
構(gòu)造語句:
?action=query&id=54 and exists(select * from _admin)發(fā)現(xiàn)返回正常,那么可以確定數(shù)據(jù)庫一定存在表 _admin
下面構(gòu)造:(猜測字段)
?action=query&id=54 and exists(select un,pw from _admin)返回結(jié)果造成說明sql執(zhí)行正確,那么數(shù)據(jù)表_admin里一定存在 un pw 兩個(gè)字段
下面繼續(xù)構(gòu)造語句:(猜測字用戶名)?action=query&id=54 and exists(select * from _admin where un ='admin')返回結(jié)果正常,至此已經(jīng)獲得了一個(gè)管理員用戶名admin
下面構(gòu)造:(猜測密碼)?action=query&id=54 and exists(select * from _admin where pw='admin')返回結(jié)果正常,至此經(jīng)獲得了一個(gè)管理員用戶名admin 密碼是 admin 下面點(diǎn)擊首頁的登錄:
圖(5)
用得到的用戶名 admin 和密碼 admin登錄
圖(6)
圖(7)
成功進(jìn)入網(wǎng)站后臺(tái)管理:
圖(8)
到這里一個(gè)成功的注入過程就完成了,成功的到了網(wǎng)站管理員的用戶名和密碼。
四、sql注入的防范措施
4.1 防范措施1(對參數(shù)進(jìn)行強(qiáng)制類型轉(zhuǎn)換)核心代碼:
<%'
#####查詢數(shù)據(jù)模塊開始
###%> <%function query()id=cint(request.QueryString(“id”))'使用cint函數(shù)把接收的值強(qiáng)制轉(zhuǎn)為整型 set rs=conn.execute(“select * from news where id=”&id)while not rs.eof 下面通過再次注入檢測看效果: 1.在鏈接后加單引號(hào) '
圖(9)
提示類型轉(zhuǎn)換失敗。
2.在鏈接后面加 and 1=1
圖(10)
仍然提示類型轉(zhuǎn)換失敗。3.在鏈接后面加 and 1=2
圖(11)
還是提示類型轉(zhuǎn)換失敗。
從此看來是不能注入的。說明實(shí)施強(qiáng)制類型轉(zhuǎn)換成功的防治了SQL注入。
4.2 防范措施2(類型判斷)
核心代碼:
<%'
#####查詢數(shù)據(jù)模塊開始
###%> <%function query()if isnumeric(request.QueryString(“id”))then '這里判斷參數(shù)是否是一個(gè)數(shù)字如果不是提示非法 id=request.QueryString(“id”)else response.write(“參數(shù)非法”)response.end()end if set rs=conn.execute(“select * from news where id=”&id)while not rs.eof 下面通過再次注入檢測看效果: 1.在鏈接后加單引號(hào) '
圖(12)
提示參數(shù)非法。
4.在鏈接后面加 and 1=1
圖(13)
仍然提示參數(shù)非法。5.在鏈接后面加 and 1=2
圖(14)
還是提示參數(shù)非法。
從此看來是不能注入的。說明實(shí)施強(qiáng)類型判斷成功的防治了SQL注入。
五、密碼用MD5加密存儲(chǔ)和驗(yàn)證
5.1加密的必要性分析
從上面可以看到通過SQL注入攻擊者很容易就得到用戶的密碼,如果密碼沒有經(jīng)過加密那么攻擊者就可以使用該密碼登錄,如果密碼是加密保存在數(shù)據(jù)庫的,而且登錄驗(yàn)證是也是加密驗(yàn)證,那么攻擊者得到的就是加密的字符串,如果攻擊者不能破解該字符串那么攻擊者是無法登陸的。這樣給網(wǎng)站安全又加上了一道防護(hù)。
5.2加密核心代碼,登錄驗(yàn)證核心代碼
5.2.1加密核心代碼
<%'
######添加用戶模塊開始
######%> <%function adduser()if request.QueryString(“l(fā)evel”)=“" then exit function username=request.Form(”username“)password=md5(trim(request.Form(”password“)))'添加用戶時(shí)將用戶的密碼md5加密后保存到數(shù)據(jù)庫
level=cint(request.QueryString(”level“))if level=0 then set rs=conn.execute(”select username from _user where username='“&username&”'“)set rs2=conn.execute(”select un from _admin where un='“&username&”'“)if(rs.eof and rs.bof)and(rs2.eof and rs2.bof)then conn.execute(”insert into _user(username,password)values('“&username&”' ,'“&password&”')“)response.Write(”“)rs.close else
5.2.2登錄驗(yàn)證核心代碼
<%'
#####驗(yàn)證登錄據(jù)模塊開始
###%> <%function checklogon()username=request.Form(”username“)password=md5(trim(request.Form(”password“)))'登錄時(shí)先將用戶的密碼md5加密后與數(shù)據(jù)庫里面的對比 set rs=conn.execute(”select * from _user where username='“&username&”' and password='“&password&”'“)set rs2=conn.execute(”select * from _admin where un='“&username&”' and pw='“&password&”'“)if(rs.eof and rs.bof)and(rs2.eof and rs2.bof)then
response.Write(”")rs.close rs2.close else
六、服務(wù)器目錄權(quán)限配置
6.1、權(quán)限分配原則分析
對一個(gè)網(wǎng)站來說除了上傳文件的目錄能寫入文件以外其它的所有目錄均不能寫入文件,而且上傳文件的目錄不能有網(wǎng)頁程序的執(zhí)行權(quán)限,這樣可以保證即使黑客成功上傳程序到上傳目錄那么也是不執(zhí)行的。
6.2、具體權(quán)限分配過程
利用NTFS文件系統(tǒng)的權(quán)限分配功能:
1、首先在文件夾安全選項(xiàng)里面把iis帳號(hào)加到網(wǎng)站根目錄中。然后指定其只能讀取,不能寫入文件,那么整個(gè)網(wǎng)站里面的所有目錄都不能寫入文件了。
2、下面接著給上傳文件目錄加上寫人的權(quán)限。
至此已經(jīng)完成了除了上傳文件目錄可以寫入文件其它目錄均不能寫入文件。
3、接著配置上傳目錄的運(yùn)行權(quán)限使其不能運(yùn)行網(wǎng)頁程序。
至此完成了權(quán)限分析中的所有需求。
七、總結(jié)
本次課程設(shè)計(jì)對網(wǎng)站SQL注入攻擊及網(wǎng)站安全技術(shù)進(jìn)行了比較詳細(xì)地分析,通過本次課程設(shè)計(jì)使我掌握了對SQL注入攻擊漏洞的檢測技術(shù)和預(yù)防SQL注入的手段,而且學(xué)會(huì)了在IIS和NTFS文件系統(tǒng)環(huán)境下安全配置網(wǎng)站的目錄權(quán)限的技能,了解到信息系統(tǒng)網(wǎng)站中存在的普遍安全漏洞。網(wǎng)站的安全穩(wěn)定運(yùn)行,應(yīng)側(cè)重于預(yù)防,不斷增強(qiáng)安全意識(shí),采取各種預(yù)防措施,才能及時(shí)有效地排除安全隱患。
點(diǎn)擊咨詢 