服務(wù)器安全討論課件

服務(wù)器安全攻略系統(tǒng)環(huán)境：Windowsserver2003+iis6.0+SQL2005+vs2005Contents診斷方法及其解決辦法SQL注入式攻擊及預(yù)防DDOS攻擊及預(yù)防服務(wù)器攻擊手段服務(wù)器的配置CompanyLogo服務(wù)器配置

基本配置：安裝服務(wù)器補丁安裝殺毒軟件設(shè)置端口保護和防火墻、刪除默認共享權(quán)限設(shè)置NTFS權(quán)限設(shè)置，請記住分區(qū)的時候把所有的硬盤都分為NTFS分區(qū)，然后我們可以確定每個分區(qū)對每個用戶開放的權(quán)限每個IIS站點或者虛擬目錄，都可以設(shè)置一個匿名訪問用戶

禁用不必要的服務(wù)開始-運行-services.msc修改注冊表，讓系統(tǒng)更強壯

CompanyLogoDDOS攻擊SYN/ACKFlood攻擊：這種攻擊方法是經(jīng)典最有效的DDOS方法，可通殺各種系統(tǒng)的網(wǎng)絡(luò)服務(wù)，主要是通過向受害主機發(fā)送大量偽造源IP和源端口的SYN或ACK包。判斷方法：服務(wù)器無法訪問，會導(dǎo)致Ping失敗、TCP/IP棧失效，不響應(yīng)鍵盤和鼠標(biāo)。TCP全連接攻擊：這種攻擊是為了繞過常規(guī)防火墻的檢查而設(shè)計的，導(dǎo)致服務(wù)器資源被耗盡。Script腳本攻擊：服務(wù)器建立正常的TCP連接，并不斷的向腳本程序提交查詢、列表等大量耗費數(shù)據(jù)庫資源的調(diào)用。輕松找一些Proxy代理就可實施攻擊。

CompanyLogoSQL注入式攻擊注入式攻擊是指利用設(shè)計上的漏洞,在目標(biāo)服務(wù)器上運行sql命令以及進行其他方式的攻擊,動態(tài)生成sql命令是沒有對用戶輸入的數(shù)據(jù)進行驗證,這是注入式攻擊原理.

最常見的也就是在查詢字符串中直接輸入SQL攻擊字符串例如：page.asp?id=Numandexists(select*from[admin])其次就是在FORM表單中提交的SQL注入攻擊字段。通過COOKIE繞過一些放注入的腳本程序例如:javascript:alert(document.cookie="id="+escape("這就是asp?id=xx后面xx代表的數(shù)值)and(這里是注入攻擊代碼)"));還有就是上面幾種的攻擊通過16進制編碼后，繞過SQL注入檢測的腳本程序CompanyLogoSQL注入式預(yù)防對于構(gòu)造SQL查詢的技術(shù)，可以使用下面的技術(shù)：替換單引號，即把所有單獨出現(xiàn)的單引號改成兩個單引號，防止攻擊者修改SQL命令的含義。刪除用戶輸入內(nèi)容中的所有連字符，防止攻擊者構(gòu)造出類如“SELECT*fromUsersWHERElogin=‘mas’——ANDpassword=‘’”之類的查詢，因為這類查詢的后半部分已經(jīng)被注釋掉，不再有效，攻擊者只要知道一個合法的用戶登錄名稱，根本不需要知道用戶的密碼就可以順利獲得訪問權(quán)限。對于用來執(zhí)行查詢的數(shù)據(jù)庫帳戶，限制其權(quán)限。用不同的用戶帳戶執(zhí)行查詢、插入、更新、刪除操作。由于隔離了不同帳戶可執(zhí)行的操作，因而也就防止了原本用于執(zhí)行SELECT命令的地方卻被用于執(zhí)行INSERT、UPDATE或DELETE命令。CompanyLogoSQL注入式預(yù)防強迫使用參數(shù)化語句在編寫SQL語句的時候，用戶輸入的變量不是直接嵌入到SQL語句。而是通過參數(shù)來傳遞這個變量的話，那么就可以有效的防治SQL注入式攻擊。也就是說，用戶的輸入絕對不能夠直接被嵌入到SQL語句中。與此相反，用戶的輸入的內(nèi)容必須進行過濾，或者使用參數(shù)化的語句來傳遞用戶輸入的變量。參數(shù)化的語句使用參數(shù)而不是將用戶輸入變量嵌入到SQL語句中。采用這種措施，可以杜絕大部分的SQL注入式攻擊。使用SQL的參數(shù)方式.參數(shù)(Parameters)集合提供類型檢測和長度檢測.如果你使用參數(shù)集合,輸入的內(nèi)容將被當(dāng)作文本值來對待,數(shù)據(jù)庫不會執(zhí)行包含在其中的代碼.使用參數(shù)集方式的一個額外的好處是,你可以嚴格限定輸入的類型和長度.如果輸入型超出范圍將會觸發(fā)異常.CompanyLogoWebconfig文件配置驗證ASP.NET的錯誤信息沒有被返回到客戶端你可以使用<customErrors>元素來配置客戶端,一般的錯誤信息應(yīng)該被程序錯誤檢測機制返回到客戶端.請確認已經(jīng)更改web.config中的mode屬性為"remoteOnly",下面是示例.<customErrorsmode="remoteOnly">安在裝了一個ASP.NET的程序之后，你可以按照如下設(shè)定指定客戶端的錯誤信息頁面。<customErrorsmode="on"defaultRedirect="YourErrorPage.htm">On指定啟用自定義錯誤。如果未指定defaultRedirect，用戶將看到一般性錯誤。Off指定禁用自定義錯誤。這允許顯示標(biāo)準的詳細錯誤。RemoteOnly指定僅向遠程客戶端顯示自定義錯誤并且向本地主機顯示ASP.NET錯誤。

CompanyLogowin2003整體配置整理1)隱藏重要文件/目錄可以修改注冊表實現(xiàn)完全隱藏HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFolderHi-ddenSHOWALL”，鼠標(biāo)右擊“CheckedValue”，選擇修改，把數(shù)值由1改為02)防止SYN洪水攻擊HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

新建DWORD值，名為SynAttackProtect，值為2

新建EnablePMTUDiscoveryREG_DWORD0

新建NoNameReleaseOnDemandREG_DWORD1

新建EnableDeadGWDetectREG_DWORD0

新建KeepAliveTimeREG_DWORD300,000

新建PerformRouterDiscoveryREG_DWORD0

新建EnableICMPRedirectsREG_DWORD0

CompanyLogoWin2003整體配置整理YourTextYourText6)禁止IPC空連接：

cracker可以利用netuse命令建立空連接，進而入侵，還有netview，nbtstat這些都是基于空連接的，禁止空連接就好了。

Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous把這個值改成”1”即可。7)更改TTL值

cracker可以根據(jù)ping回的TTL值來大致判斷你的操作系統(tǒng)，如：

TTL=107(WINNT);

TTL=108(win2000);

TTL=127或128(win9x);

TTL=240或241(linux);

TTL=252(solaris);

TTL=240(Irix);8)禁止建立空連接

默認情況下，任何用戶通過通過空連接連上服務(wù)器，進而枚舉出帳號，猜測密碼。我們可以通過修改注冊表來禁止建立空連接：

Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous的值改成”1”即可。CompanyLogo杜絕基于Guest賬戶的入侵

Guest賬戶即所謂的來賓賬戶，它可以訪問計算機，但受到限制。不幸的是，Guest也為黑客入侵打開了方便之門！網(wǎng)上有很多文章中都介紹過如何利用Guest用戶得到管理員權(quán)限的方法，所以要杜絕基于Guest賬戶的系統(tǒng)入侵。禁用或徹底刪除Guest賬戶是最好的辦法，但在某些必須使用到Guest賬戶的情況下，就需要通過其它途徑來做好防御工作了。首先要給Guest設(shè)一個密碼，然后詳細設(shè)置Guest賬戶對物理路徑的訪問權(quán)限。舉例來說，如果你要防止Guest用戶可以訪問tool文件夾，可以右擊該文件夾，在彈出菜單中選擇“安全”標(biāo)簽，從中可看到可以訪問此文件夾的所有用戶。刪除管理員之外的所有用戶即可。或者在權(quán)限中為相應(yīng)的用戶設(shè)定權(quán)限，比方說只能“列出文件夾目錄”和“讀取”等，這樣就安全多了。只給Guest讀取的權(quán)限，只有administrator讀取和修改的權(quán)限。CompanyLogoWin2003整體配置整理AddYourTitle9)建議使用W3C擴充日志文件格式，每天記錄客戶IP地址，用戶名，服務(wù)器端口，方法，URI字根，HTTP狀態(tài)，用戶代理，而且每天均要審查日志。（最好不要使用缺省的目錄，建議更換一個記日志的路徑，同時設(shè)置日志的訪問權(quán)限，只允許管理員和system為FullControl）。

10)程序安全:

A.

涉及用戶名與口令的程序最好封裝在服務(wù)器端，盡量少的在ASP文件里出現(xiàn)，涉及到與數(shù)據(jù)庫連接地用戶名與口令應(yīng)給予最小的權(quán)限;

B.

需要經(jīng)過驗證的ASP頁面，可跟蹤上一個頁面的文件名，只有從上一頁面轉(zhuǎn)進來的會話才能讀取這個頁面;

C.

防止ASP主頁.inc文件泄露問題;

D.

防止UE等編輯器生成some.asp.bak文件泄露問題。

CompanyLogo免受黑客掃描你的IP

關(guān)閉135.139.445.3389端口電腦上點右鍵選屬性-->遠程，將里面的遠程協(xié)助和遠程桌面兩個選項框里的勾去掉在找到找到這個服