拒絕服務與數(shù)據(jù)庫安全

1、 回絕效力與數(shù)據(jù)庫平安 . 回絕效力攻擊概述3.1 基于破綻入侵的防護方法3.2 SQL數(shù)據(jù)庫平安3.3 SQL Server攻擊的防護 回絕效力攻擊概述 3.1.1 DoS定義 DoS (Denial Of Service)回絕效力，呵斥DoS的攻擊行為被稱為DoS攻擊，其目的是使計算機或網(wǎng)絡無法提供正常的效力。最常見的DoS攻擊有計算機網(wǎng)絡帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通訊量沖擊網(wǎng)絡，使得一切可用網(wǎng)絡資源都被耗費殆盡，最后導致合法的用戶懇求就無法經(jīng)過。連通性攻擊指用大量的銜接懇求沖擊計算機，使得一切可用的操作系統(tǒng)資源都被耗費殆盡，最終計算機無法再處置合法用戶的懇求

2、。 . DoS攻擊的原理：借助網(wǎng)絡系統(tǒng)或協(xié)議的缺陷以及配置破綻進展網(wǎng)絡攻擊，使網(wǎng)絡擁塞、系統(tǒng)資源耗盡或系統(tǒng)運用死鎖，妨礙目的主機和網(wǎng)絡系統(tǒng)對正常用戶效力懇求的及時呼應，呵斥效力的性能受損，甚至導致效力中斷。. DoS攻擊的根本過程。 . 圖3.1 DoS攻擊的根本過程. 3.1.2 回絕效力攻擊的分類 回絕效力攻擊可以是“物理的又稱“硬件的，也可以是“邏輯的又稱“軟件的。. 按攻擊的目的又可分為節(jié)點型和網(wǎng)絡銜接型。 節(jié)點型: 主機型攻擊 運用型攻擊 網(wǎng)絡銜接型 . 按照攻擊方式來分可以分為：資源耗費、效力中止和物理破壞。 1.資源耗費 帶寬耗盡攻擊 系統(tǒng)資源耗盡攻擊 2.效力中止 3.物理破壞

3、 . 按受害者類型可以分為效力器端回絕效力攻擊和客戶端回絕效力攻擊。 1.效力器端回絕效力攻擊 2.客戶端回絕效力攻擊 . 3.1.3 常見DoS攻擊 1Land程序攻擊 Land 攻擊，是利用向目的主機發(fā)送大量的源地址與目的地址一樣的數(shù)據(jù)包，呵斥目的主機解析Land包時占用大量的系統(tǒng)資源，從而使網(wǎng)絡功能完全癱瘓的攻擊手段。 . 2SYN Flood攻擊 這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP銜接懇求，使被攻擊方資源耗盡CPU滿負荷或內(nèi)存缺乏的攻擊方式。 . 實現(xiàn)過程 : 第一次握手。 第二次握手。 三次握手完成。. 3IP欺騙DoS攻擊4Smurf攻擊 . 攻擊者偽裝成被攻擊者向某

4、個網(wǎng)絡上的廣播設(shè)備發(fā)送懇求，該廣播設(shè)備會將這個懇求轉(zhuǎn)發(fā)到該網(wǎng)絡的其他廣播設(shè)備，導致這些設(shè)備都向被攻擊者發(fā)出回應，從而到達以較小代價引發(fā)大量攻擊的目的。 . 5Ping of Death 這種攻擊經(jīng)過發(fā)送大于65536字節(jié)的ICMP包呵斥操作系統(tǒng)內(nèi)存溢出、系統(tǒng)解體、重啟、內(nèi)核失敗等后果，從而到達攻擊的目的 . 6Teardrop攻擊 淚滴Teardrop攻擊，是基于UDP的病態(tài)分片數(shù)據(jù)包的攻擊方法，利用在TCP/IP堆棧中實現(xiàn)信任IP碎片中的包的標題頭所包含的信息來實現(xiàn)本人的攻擊。 . 7WinNuke攻擊 WinNuke攻擊是一種回絕效力攻擊。 攻擊特征：WinNuke攻擊又稱帶外傳輸攻擊，它

5、的特征是攻擊目的端口，被攻擊的目的端口通常是、113、53，而且URG位設(shè)為“1，即緊急方式。 檢測方法：判別數(shù)據(jù)包目的端口能否為、等，并判別URG位能否為“1。 反攻擊方法：適當配置防火墻設(shè)備或過濾路由器就可以防止這種攻擊手段丟棄該數(shù)據(jù)包，并對這種攻擊進展審計記錄事件發(fā)生的時間，源主機和目的主機的MAC地址和IP地址MAC。. 3.1.4 分布式回絕效力 分布式回絕效力Distributed Denial of Service，DDoS，是一種基于DoS的特殊方式的回絕效力攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準比較大的站點，像商業(yè)公司、搜索引擎或政府部門的站點。 . 圖3.2 分布

6、式回絕效力. DDoS攻擊分為3層：攻擊者、主控端和代理端。 . 1Trinoo 2TFN 3TFN2K 4Stacheldraht. 檢測DDoS攻擊的主要方法有以下幾種。 根據(jù)異常情況分析 運用DDoS檢測工具 . 平安防御措施有以下幾種。 及早發(fā)現(xiàn)系統(tǒng)存在的攻擊破綻，及時安裝系統(tǒng)補丁程序。 在網(wǎng)絡管理方面，要經(jīng)常檢查系統(tǒng)的物理環(huán)境，制止那些不用要的網(wǎng)絡效力。 . 利用網(wǎng)絡平安設(shè)備例如防火墻來加固網(wǎng)絡的平安性，配置好它們的平安規(guī)那么，過濾掉一切能夠的偽造數(shù)據(jù)包。. 比較好的防御措施就是和網(wǎng)絡效力提供商協(xié)調(diào)任務，讓他們協(xié)助實現(xiàn)路由訪問控制和對帶寬總量的限制。. 當發(fā)現(xiàn)正在蒙受DDoS攻擊時，

7、該當及時啟動應付戰(zhàn)略，盡能夠快地追蹤攻擊包，并且要及時聯(lián)絡ISP和有關(guān)應急組織，分析受影響的系統(tǒng)，確定涉及的其他節(jié)點，從而阻撓知攻擊節(jié)點的流量。. 3.1.5 回絕效力攻擊的防護 回絕效力攻擊的防護普通包含兩個方面：一是針對不斷開展的攻擊方式，尤其是采用多種欺騙技術(shù)的技術(shù)，可以有效地進展檢測；二，也是最為重要的，就是如何降低對業(yè)務系統(tǒng)或者是網(wǎng)絡的影響，從而保證業(yè)務系統(tǒng)的延續(xù)性和可用性。. 通常建議用戶可以采取以下手段來保證網(wǎng)絡可以抵御回絕效力攻擊。. 添加網(wǎng)絡中心設(shè)備的冗余性，提高對網(wǎng)絡流量的處置才干和負載平衡才干。 經(jīng)過路由器配置訪問列表過濾掉非法流量。 . 部署防火墻，提高網(wǎng)絡抵御網(wǎng)絡攻擊

8、的才干。 部署入侵檢測設(shè)備，提高對不斷更新的DoS攻擊的識別和控制才干。. 3.2 基于破綻入侵的防護方法 3.2.1 基于IIS破綻入侵的防護方法 1.ida&.idq破綻. 漏洞描述ISAPI擴展存在遠程緩沖溢出漏洞。攻擊者可以利用該漏洞獲得Web服務器的System權(quán)限來訪問遠程系統(tǒng)受影響系統(tǒng)Microsoft Windows NT 4.0(SP0-SP6)Microsoft Windows 2000(SP0-SP2)檢測方法手工檢測；工具監(jiān)測（X-Scan）表3.1 .ida&.idq破綻簡介. 解決方案（1）為Windows 2000操作系統(tǒng)打SP4補?。?）為該漏洞安裝補?。?）刪

9、除.ida&.idq的腳本映射建議：即使已經(jīng)為該漏洞安裝了補丁最好還是刪除.IDA映射刪除方法：打開Internet 服務管理器；右擊服務器并在菜單中選擇“屬性”；選擇“主屬性”，選擇“WWW服務”“編輯”“主目錄”“配置”，在擴展名列表中刪除.ida和.idq項（4）到微軟技術(shù)站點上下載URLSCAN并安裝，URLSCAN默認設(shè)置下就會拒絕所有對.ida&.idq映射的請求續(xù)表. 2.printer破綻. 描述Windows 2000 IIS5.0 .printer ISAPI擴展存在緩沖區(qū)溢出漏洞一般情況下攻擊會使Web服務器停止響應，但Windows 2000會檢測到Web服務沒有響應而

10、重新啟動服務器，因此，管理員比較難發(fā)現(xiàn)這種攻擊該漏洞非常危險，僅僅需要Windows 2000 打開80端口（http）或者443端口（https）,微軟公司強烈要求在未打補丁之前一定要移除ISAPI網(wǎng)絡打印的映射表3.2 .printer破綻簡介. 受影響系統(tǒng)Windows 2000 Server（IIS5.0）Windows 2000 Advanced Server（IIS5.0）Windows 2000 Datacenter Server（IIS5.0）監(jiān)測工具X-Scan解決方案（1）為Windows 2000操作系統(tǒng)打SP4補?。?）安裝漏洞補丁續(xù)表. 3Unicode目錄遍歷破綻.

11、 漏洞描述該漏洞既是一個遠程漏洞，同時也是一個本地漏洞，攻擊者可通過IE瀏覽器遠程運行被攻擊計算機的cmd.exe文件，從而使該計算機的文件暴露，且可隨意執(zhí)行和更改文件微軟IIS 4.0和5.0都存在利用擴展Unicode字符取代“/”和“”而能利用“./”目錄遍歷的漏洞。未經(jīng)授權(quán)的用戶可能利用IUSR_machinename賬號的上下文空間訪問任何已知的文件。該賬號在默認情況下屬于Everyone 和Users組的成員，因此任何與Web根目錄在同一邏輯驅(qū)動器上的能被這些用戶組訪問的文件都能被刪除、修改或執(zhí)行，就如同一個用戶成功登錄所能完成的一樣表3.3 Unicode目錄遍歷破綻簡介. 受影

12、響系統(tǒng)Microsoft Windows NT / 2000(IIS 5.0) Microsoft Windows NT 4.0(IIS4.0)檢測工具手工檢測；工具檢測（X-Scan）續(xù)表. 解決方案（1）為Windows 2000操作系統(tǒng)安裝補丁SP4（2）安裝漏洞補丁IIS 4.0：/ntserver/nts/downloads/critical/q269862/default.aspIIS 5.0：/windows2000/downloads/critical/q269862/default.asp（3）安裝IIS Lockdown和URL Scan來加固系統(tǒng)（4）臨時解決方法如果不需

13、要可執(zhí)行的CGI，可以刪除可執(zhí)行虛擬目錄，例如 /scripts等。如果確實需要可執(zhí)行的虛擬目錄，建議可執(zhí)行虛擬目錄單獨在一個分區(qū)續(xù)表. 4.asp映射分塊編碼破綻. 漏洞描述Windows 2000和NT4 IIS .asp映射存在遠程緩沖溢出漏洞ASP ISAPI過濾器默認在所有NT4和Windows 2000系統(tǒng)中裝載，存在的漏洞可以導致遠程執(zhí)行任意命令惡意攻擊者可以使用分塊編碼形式把數(shù)據(jù)傳送給IIS服務器，當解碼和解析這些數(shù)據(jù)時，可以強迫IIS把入侵者提供的數(shù)據(jù)寫到內(nèi)存的任意位置。通過此漏洞可以導致Windows 2000系統(tǒng)產(chǎn)生緩沖溢出，并以IWAM_computer_name用戶的

14、權(quán)限執(zhí)行任意代碼，而在Windows NT4下可以以system的權(quán)限執(zhí)行任意代碼表3.4 .asp映射分塊編碼破綻簡介. 受影響系統(tǒng)Microsoft Windows NT 4.0 + IIS 4.0Microsoft Windows 2000 + IIS 5.0檢測工具X-Scan解決方案（1）為操作系統(tǒng)打補?。?）安裝漏洞補丁續(xù)表. 5WebDAV遠程緩沖區(qū)溢出破綻. 漏洞描述Microsoft IIS 5.0帶有WebDAV組件、對用戶輸入的、傳遞給ntdll.dll程序處理的請求未做充分的邊界檢查，遠程入侵者可以通過向WebDAV提交一個精心構(gòu)造的超長數(shù)據(jù)請求而導致發(fā)生緩沖區(qū)溢出。這

15、可能使入侵者以local system的權(quán)限在主機上執(zhí)行任意指令受影響系統(tǒng)Windows 2000(SP0-SP3)檢測工具WebDAVScan.exe是IIS中WebDAV漏洞的專用掃描器。解決方案為操作系統(tǒng)打補丁表3.5 WebDAV遠程緩沖區(qū)溢出破綻簡介. 6Microsoft IIS 6.0 Web平安破綻 平安處理方案如下所示。 轉(zhuǎn)移根目錄，不要把Web根目錄建在系統(tǒng)磁盤C:。 把IIS目錄的權(quán)限設(shè)置為只讀。 假設(shè)IIS只用來提供靜態(tài)網(wǎng)頁，即不提供ASP、JSP、CGI等腳本. 效力，那么建議刪除腳本目錄，或者說，刪除全部默許安裝目錄，并制止任何腳本、運用程序執(zhí)行，并刪除運用程序配置

16、里面的“ISAPI運用程序、制止腳本測試等。. 設(shè)置平安日志，并把該日志存在一個不顯眼的途徑下。 安裝網(wǎng)絡防火墻，并禁用除80端口以外一切端口的內(nèi)外通訊銜接。 經(jīng)常備份，并把備份文件存儲在另一臺計算機上。. 3.2.2 基于電子郵件效力攻擊的防護方法 IMAP和POP破綻 。 回絕效力DoS攻擊。. 死亡之ping 同步攻擊 循環(huán) . 系統(tǒng)配置破綻 默許配置 空的/默許根密碼 破綻創(chuàng)建 . 利用軟件問題 緩沖區(qū)溢出 不測組合 未處置的輸入 . 利用人為要素 特洛伊木馬及自我傳播 遠程訪問 數(shù)據(jù)發(fā)送 破壞 回絕效力 代理 . 處理方法有以下3種。1在電子郵件系統(tǒng)周圍鎖定電子郵件系統(tǒng)電子郵件系統(tǒng)周

17、邊控制開場于電子郵件網(wǎng)關(guān)的部署。電子郵件網(wǎng)關(guān)應根據(jù)特定目的與加固的操作系統(tǒng)和防止網(wǎng)關(guān)遭到要挾的入侵檢測功能一同構(gòu)建。 . 2確保外部系統(tǒng)訪問的平安性電子郵件平安網(wǎng)關(guān)必需擔任處置來自一切外部系統(tǒng)的通訊，并確保經(jīng)過的信息流量是合法的。經(jīng)過確保外部訪問的平安，可以防止入侵者利用Web郵件等運用程序訪問內(nèi)部系統(tǒng)。 . 3實時監(jiān)視電子郵件流量實時監(jiān)視電子郵件流量對于防止黑客利用電子郵件訪問內(nèi)部系統(tǒng)是至關(guān)重要的。檢測電子郵件中的攻擊和破綻攻擊如畸形MIME需求繼續(xù)監(jiān)視一切的電子郵件。 . 3.2.3 注冊表入侵的防護方法. 根 項 名 稱說 明HKEY_LOCAL_MACHINE包含關(guān)于本地計算機系統(tǒng)的信

18、息，包括硬件和操作系統(tǒng)數(shù)據(jù)，如總線類型、系統(tǒng)內(nèi)存、設(shè)備驅(qū)動程序和啟動控制數(shù)據(jù)HKEY_CLASSES_ROOT包含由各種OLE技術(shù)使用的信息和文件類別關(guān)聯(lián)數(shù)據(jù)。如果HKEY_LOCAL_MACHINE（或HKEY_CURRENT_USER）SOFTWAREClasses中存在某個鍵或值，則對應的鍵或值將出現(xiàn)在HKEY_CLASSES_ROOT中。如果兩處均存鍵或值，HKEY_CURRENT_USER版本將是出現(xiàn)在HKEY_CLASSES_ROOT中的一個表3.6 注冊表根項稱號闡明. HKEY_CURRENT_USER包含當前以交互方式（與遠程方式相反）登錄的用戶的用戶配置文件，包括環(huán)境變量、

19、桌面設(shè)置、網(wǎng)絡連接、打印機和程序首選項。該子目錄樹是HKEY_USERS子目錄的別名，并指向HKEY_USERS當前用戶的安全ID續(xù)表. 根 項 名 稱說 明HKEY_USERS包含關(guān)于動態(tài)加載的用戶配置文件和默認配置文件的信息。包含同時出現(xiàn)在HKEY_CURRENT_USER中的信息。要遠程訪問服務器的用戶在服務器上的該項下沒有配置文件，他們的配置文件將加載到他們自己計算機的注冊表中HKEY_CURRENT_CONFIG包含在啟動時由本地計算機系統(tǒng)使用的硬件配置文件的相關(guān)信息。該信息用于配置一些設(shè)置，如要加載的設(shè)備驅(qū)動程序和顯示時要使用的分辨率。該子目錄樹是HKEY_LOCAL_MACHIN

20、E子目錄樹的一部分，并指向HKEY_LOCAL_MACHINESYSTEMCurrentControlSetHardware ProfilesCurrent續(xù)表. 數(shù) 據(jù) 類 型說 明REG_BINARY未處理的二進制數(shù)據(jù)。二進制是沒有長度限制的，可以是任意個字節(jié)的長度。多數(shù)硬件組件信息都以二進制數(shù)據(jù)存儲，而以十六進制格式顯示在注冊表編輯器中。如：“CustomColors”的鍵值就是一個二進制數(shù)據(jù)，雙擊鍵值名，出現(xiàn)“編輯二進制數(shù)值”對話框REG_DWORD數(shù)據(jù)由4字節(jié)（32位）長度的數(shù)表示。許多設(shè)備驅(qū)動程序和服務的參數(shù)都是這種類型，并在注冊表編輯器中以二進制、十六進制或十進制的格式顯示表3.

21、7 注冊表數(shù)據(jù)類型闡明. REG_EXPAND_SZ長度可變的數(shù)據(jù)串，一般用來表示文件的描述、硬件的標識等，通常由字母和數(shù)字組成，最大長度不能超過255個字符。REG_MULTI_SZ多個字符串。其中格式可被用戶讀取的列表或多值。常用空格、逗號或其他標記分開REG_SZ固定長度的文本串REG_FULL_RESOURCE_DESCRIPTOR設(shè)計用來存儲硬件元件或驅(qū)動程序的資源列表的一系列嵌套數(shù)組續(xù)表. 經(jīng)過以下兩種方法加強注冊表的平安性。 1制止運用注冊表編輯器 . 方法一：翻開一個“記事本文件，假設(shè)計算機的操作系統(tǒng)是Windows 2000XP，在其中輸入以下文字： Windows Regi

22、stry Editor Version 5.00. HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem “Disableregistrytools=dword:00000000. 假設(shè)操作系統(tǒng)是Windows 98或Windows 95，那么輸入如下文字：REGEDIT4. HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem “Disableregistrytools=dword:00000000. 將文件保管為名為“U

23、nlock.reg的注冊表文件。雙擊運轉(zhuǎn)該文件，即可將該文件導入到注冊表中，然后運用常規(guī)翻開注冊表編輯器的方法就可以重新翻開注冊表編輯器了。 . 方法二：在Windows 2000XP2003系統(tǒng)中，從“開場菜單中選擇“運轉(zhuǎn)，在翻開的“運轉(zhuǎn)對話框中輸入“Gpedit.msc，單擊“確定按鈕，即可翻開“組戰(zhàn)略對話框見圖3.4。. 從左側(cè)欄中依次選擇“用戶配置“管理模板“系統(tǒng)選項，在右側(cè)欄中雙擊“阻止訪問注冊表編輯工具，可以翻開“阻止訪問注冊表編輯工具屬性對話框，選擇“已禁用單項選擇項，單擊“確定按鈕，即可恢復禁用的注冊表編輯器。如圖3.5所示。. 圖3.4 組戰(zhàn)略編輯器 . 圖3.5 “阻止訪問

24、注冊表編輯工具屬性對話框. 2刪除“遠程注冊表效力Remote Registry Service 方法是找到注冊表中HKEY_LOCAL_MACHINE SYSTEMCurrentControlSet. Services下的RemoteRegistry項，在其上單擊鼠標右鍵，選擇“刪除選項，將該項刪除后就無法啟動該效力了，即使我們經(jīng)過“控制面板“管理工具“效力中啟動也會出現(xiàn)相應的錯誤提示，根本無法啟動該效力。. 3.2.4 Telnet入侵的防護方法 禁用Telnet效力 ,防備IPC破綻，禁用建立空銜接， . 3.3 SQL數(shù)據(jù)庫平安 3.3.1 數(shù)據(jù)庫系統(tǒng)概述3.3.2 SQL效力器的開展

25、 1970年6月，1987年，1993年，1996年，1998年，2000年9月，2005年 。. 3.3.3 數(shù)據(jù)庫技術(shù)的根本概念 數(shù)據(jù)Data 數(shù)據(jù)庫DB 數(shù)據(jù)庫管理系統(tǒng)DBMS 數(shù)據(jù)庫系統(tǒng)DBS 數(shù)據(jù)庫技術(shù) 數(shù)據(jù)模型 . 兩種類型。 一種是獨立于計算機系統(tǒng)的數(shù)據(jù)模型，完全不涉及信息在計算機中的表示，只是用來描畫某個特定組織所關(guān)懷的信息構(gòu)造，這類模型稱為“概念數(shù)據(jù)模型。 . 另一種數(shù)據(jù)模型是直接面向數(shù)據(jù)庫的邏輯構(gòu)造，它是對現(xiàn)實世界的第二層籠統(tǒng)。這類模型直接與數(shù)據(jù)庫管理系統(tǒng)有關(guān)，稱為“邏輯數(shù)據(jù)模型，普通又稱為“構(gòu)造數(shù)據(jù)模型。 . 構(gòu)造數(shù)據(jù)模型應包含數(shù)據(jù)構(gòu)造、數(shù)據(jù)操作和數(shù)據(jù)完好性約束3個部分。

26、. 3.3.4 SQL平安原理 1第一級平安層次 效力器登錄，SQL Server有兩種效力器驗證方式 ：平安方式和混合方式 . 服務器角色描 述sysadmin可以執(zhí)行SQL Server中的任何任務securityadmin可以管理登錄serveradmin可以設(shè)置服務器選項（sp_configure）setupadmin可以設(shè)置連接服務器，運行SP_serveroptionprocessadmin管理服務器上的進程（有能力取消連接）diskadmin可以管理磁盤文件dbcreator可以創(chuàng)建、管理數(shù)據(jù)庫bulkadmin可以執(zhí)行BULK INSERT指令表3.8 效力器角色及其主要功能. 2第二級平安層次 它控制用戶與一個特定的數(shù)據(jù)庫的銜接。 . 3第三級平安層次 它允許用戶擁有對指定數(shù)據(jù)庫中一個對象的訪問權(quán)限，由數(shù)據(jù)庫角色來定義。 . 1用戶定