網(wǎng)絡安全技術(shù)與實訓（微課版）（第5版） 課件 第3章 Linux服務的攻擊與防護

第3章Linux服務的攻擊與防護《網(wǎng)絡安全技術(shù)與實訓》（微課版）（第5版）主講人：課程引入你知道哪些操作系統(tǒng)？你使用過哪些操作系統(tǒng)？學習要點（思政要點） 了解Linux服務存在的威脅（安全意識） 掌握基于Web服務的攻擊與防范（工匠精神）了解基于DNS服務的攻擊與防范（精益求精）了解基于NFS服務的攻擊與防范（嚴謹認真）33第3章Linux服務的攻擊與防護基于DNS服務的攻擊與防范3.3基于NFS服務的攻擊與防范33.4基于Web服務的攻擊與防范3.2Linux服務的安全概述3.13.1Linux服務的安全概述Linux是一種開源代碼操作系統(tǒng)，以Linux作為操作系統(tǒng)來說一旦發(fā)現(xiàn)有安全漏洞問題，互聯(lián)網(wǎng)上世界各地的操作系統(tǒng)愛好者會踴躍修補它。當服務器運行的服務越來越多時，服務器的配置不當會給黑客可乘之機，通過適當?shù)呐渲脕矸婪秮碜跃W(wǎng)絡的攻擊，針對不同的Linux服務，有各自不同的安全策略。33第3章Linux服務的攻擊與防護基于DNS服務的攻擊與防范3.3基于NFS服務的攻擊與防范33.4基于Web服務的攻擊與防范3.2Linux服務的安全概述3.101Apache工作原理02Apache服務器的特點03Apache服務器的常用攻擊04Apache服務器的安全防范05使用SSL加固Apache3.2基于Web服務的攻擊與防范3.2.1Apache的工作原理3.2基于Web服務的攻擊與防范基于Web服務的攻擊與防范在當今互聯(lián)網(wǎng)的大環(huán)境下，Web服務已經(jīng)成為公司企業(yè)必不可少的業(yè)務，大多數(shù)的安全問題也跟隨而來，攻擊重點也轉(zhuǎn)移為Web攻擊，許多Web與頗有價值的客戶服務與電子商業(yè)活動結(jié)合在一起，這也是吸引惡意攻擊重要原因。Apache的工作原理Web系統(tǒng)是C/S模式的，分服務器程序和客戶端程序兩部分。在客戶端瀏覽器的地址欄內(nèi)輸入統(tǒng)一資源定位地址（URL)來訪問Web頁面。WWW服務遵從HTTP協(xié)議，默認的TCP/IP端口是80，客戶端與服務器的通信過程如圖所示。3.2.2Apache服務器的特點3.2基于Web服務的攻擊與防范Apache服務器的特點（1）Apache是最先支持HTTP/1.1協(xié)議的Web服務器之一。（2）Apache是支持通用網(wǎng)關(guān)接口（CGI),并且提供了擴充的特征。（3）支持HTTP認證。（4）支持安全Socket層（SSL)。（5）用戶會話過程的跟蹤能力。3.2.3Apache服務器的常用攻擊3.2基于Web服務的攻擊與防范Apache服務器的常用攻擊（1）Apache服務器HTTP拒絕服務攻擊攻擊者通過某些工具和手段耗盡計算機CUP和內(nèi)存資源，使Apache服務器拒絕對HTTP應答，最終造成系統(tǒng)變慢甚至出現(xiàn)癱瘓故障。常見的攻擊手段有以下幾種：

Floody數(shù)據(jù)包洪水攻擊。

路由不可達。

磁盤攻擊。

分布式拒絕服務攻擊。Apache服務器的常用攻擊（2）惡意腳本攻擊使得服務器內(nèi)存緩存區(qū)溢出腳本編寫過程中使用的靜態(tài)內(nèi)存申請，攻擊者利用此點發(fā)送一個超出范圍的指令請求造成緩沖區(qū)溢出。一旦發(fā)生溢出，攻擊者可以執(zhí)行惡意代碼來控制。Apache服務器的常用攻擊（3）非法獲取root權(quán)限如果Apache以root權(quán)限運行，系統(tǒng)上一些程序的邏輯缺陷或緩沖區(qū)溢出漏洞，會讓攻擊者很容易在本地系統(tǒng)獲取Linux服務器上的管理者權(quán)限，在一些遠程情況下，攻擊者會利用一些以root身份執(zhí)行的有缺陷的系統(tǒng)守護進程來取得root權(quán)限，或利用有缺陷的服務進程漏洞來取得普通用戶權(quán)限，以遠程登陸，進而控制整個系統(tǒng)。3.2.4Apache服務器的安全防范3.2基于Web服務的攻擊與防范Apache服務器的安全防范（1）Apache服務器用戶權(quán)限最小化按照最小特權(quán)的原則，讓Apache以指定的用戶和組來運行（即不使用系統(tǒng)預定的帳戶），并保證運行Apache服務的用戶和用戶組有一個合適的權(quán)限。范例：Apache服務器的安全防范（2）Apache服務器訪問控制方法范例：3.2.5使用SSL加固Apache3.2基于Web服務的攻擊與防范使用SSL加固ApacheSSL為安全套接層（SecureSocketsLayer),是一種為網(wǎng)絡通信提供安全以及數(shù)據(jù)完整性的安全協(xié)議，它在傳輸層對網(wǎng)絡進行加密。它主要是分為兩層：

SSL記錄協(xié)議：為高層協(xié)議提供安全封裝、壓縮、加密等基本功能。

SSL握手協(xié)議：用于在數(shù)據(jù)傳輸開始前進行通信雙方的身份驗證、加密算法的協(xié)商、交換密鑰。使用SSL加固ApacheHTTPS是在HTTP的基礎上加入SSL協(xié)議（即HTTPS=HTTP+SSL）。傳輸以密文傳輸，保證數(shù)據(jù)傳輸?shù)陌踩约按_認網(wǎng)站的真實性（數(shù)字證書）?？蛻舳擞霉妹荑€加密數(shù)據(jù)，并且發(fā)送給服務器自己的密鑰，以唯一確定自己，防止在系統(tǒng)兩端之間有人冒充服務器或客戶端進行欺騙。加密的HTTP連接端口使用443而不是普通的80端口，以此來區(qū)別沒有加密的連接。SSL驗證和加密的具體過程（1）用戶使用瀏覽器通過HTTPS協(xié)議訪問Web服務器站點，發(fā)出SSL握手信號。（2）Web服務器發(fā)出回應，并出示服務器證書（公鑰），顯示系統(tǒng)Web服務器站點身份。（3）瀏覽器驗證服務器證書，并生成一個隨機的會話密鑰，密鑰長度達到128位。（4）瀏覽器用Web服務器的公鑰加密該會話密鑰。（5）瀏覽器將會話密鑰的加密結(jié)果發(fā)送Web服務器。（6）Web服務器用自己的私鑰解密得出真正的會話密鑰。（7）現(xiàn)在瀏覽器和Web服務器都擁有同樣的會話密鑰，雙方可以放心使用這個會話密鑰來加密通信內(nèi)容。（8）安全通信通道建立成功。33第3章Linux服務的攻擊與防護基于DNS服務的攻擊與防范3.3基于NFS服務的攻擊與防范33.4基于Web服務的攻擊與防范3.2Linux服務的安全概述3.101DNS服務器介紹02DNS服務器常見網(wǎng)絡威脅03DNS服務的安全防范3.3基于DNS服務的攻擊與防范3.3.1DNS服務器介紹3.3基于DNS服務的攻擊與防范DNS服務器介紹DNS是DomainNameSystem的縮寫，它提供將域名轉(zhuǎn)換成IP地址。DNS服務器可以分為三種，高速緩存服務器（Cache-onlyServer）、主DNS服務器(Primary

NameServer)、輔助DNS服務器（Second

Namne

Server）。DNS的查詢方式有遞歸和迭代兩種。DNS服務器介紹Linux下的DNS功能是通過BIND軟件實現(xiàn)的。BIND軟件安裝后，會產(chǎn)生若干文件，大致分為兩類，一類是配置文件在／etc目錄下，一類是DNS記錄文件在／var/named目錄下。位于／etc目錄下主要有esolv.conf、named.conf。前者用來解析DNS,后者是DNS最關(guān)鍵最核心的配置文件。3.3.2DNS服務器常見的網(wǎng)絡攻擊3.3基于DNS服務的攻擊與防范DNS服務器常見的網(wǎng)絡威脅（1）內(nèi)外部攻擊當攻擊者以非法手段控制一臺DNS服務器，可以直接操作域名數(shù)據(jù)庫，修改IP地址和對應的域名，利用域名為假冒的IP地址欺騙用戶，這就是內(nèi)部攻擊。DNS協(xié)議格式中響應數(shù)據(jù)包的序列號，攻擊者偽造序列號偽裝假服務器端欺騙客戶端響應，因而使用戶訪問攻擊者期望的網(wǎng)頁。這個就是序列號攻擊也是外部攻擊。DNS服務器常見的網(wǎng)絡威脅（2）BIND默認值導致信息泄露BIND是一種高效的域名軟件。當BIND的默認設置就可能導致主DNS服務器與輔助DNS服務器中之間的區(qū)域傳送。區(qū)域傳送中輔助DNS服務器可以獲得整個授權(quán)區(qū)域的所有主機信息，一旦信息泄露，攻擊者可以輕松掌握防護較弱的主機。DNS服務器常見的網(wǎng)絡威脅（3）Cache緩存中毒DNS的工作原理是當一個服務器收到域名和IP的映射時，信息被存入高速緩存。映射表是按時限更新的。攻擊者可以利用假冒緩存更新表進行DNS欺騙或DOS拒絕服務攻擊。3.3.3DNS服務的安全防范3.3基于DNS服務的攻擊與防范DNS服務的安全防范（1）禁用遞歸查詢功能禁止遞歸查詢可以使DNS服務器進入被動模式，它再次向外部的DNS發(fā)送查詢請求時，只能自己授權(quán)域的查詢請求，而不會緩存任何外部的數(shù)據(jù)，所以不可能遭受緩存中毒攻擊，但是禁用遞歸查詢同時降低了DNS的域名解析速度和效率。以下語句僅允許網(wǎng)段的主機進行遞歸查詢：allow-recusion｛/24;}DNS服務的安全防范（2）限制區(qū)域傳送（ZoneTransfer)區(qū)域傳送導致DNS服務器允許對任何人都進行區(qū)域傳輸，網(wǎng)絡中的主機名、主機IP列表、路由器名和路由IP列表，甚至包括各主機所在的位置和硬件配置等情況都很容易被入侵者得到在DNS配置文件中。通過設置來限制允許區(qū)傳送的主機，從一定程度上能減輕信息泄露。DNS服務的安全防范（3）限制查詢通過限制DNS服務器的服務范圍，可以避免入侵者的攻擊。修改BIND的配置文件：／etc/named.conf加入以下內(nèi)容即可限制只有/24和/24網(wǎng)段的主機可以查詢本地服務器的所有區(qū)信息。DNS服務的安全防范（4）隱藏BIND的版本信息。攻擊者可以利用版本號來獲取這些版本具有哪些漏洞，通過漏洞就可以對DNS進行攻擊。修改／etc/name.conf文件，將option里的version改成unkown：33第3章Linux服務的攻擊與防護基于DNS服務的攻擊與防范3.3基于NFS服務的攻擊與防范33.4基于Web服務的攻擊與防范3.2Linux服務的安全概述3.101NFS服務器介紹02NFS服務器配置03NFS服務的安全防范3.4基于NFS服務的攻擊與防范3.4.1NFS服務器介紹3.4基于NFS服務的攻擊與防范NFS服務器介紹NFS服務器全稱為NetworkFileSystem，即網(wǎng)絡文件系統(tǒng)。NFS是分散式文件系統(tǒng)使用的協(xié)議，它的目的是通過網(wǎng)絡讓不同的機器、不同的操作系統(tǒng)能夠彼此分享個別的數(shù)據(jù)，是實現(xiàn)磁盤文件共享的一種方法。NFS服務器介紹NFS的基本原則是“允許不同的類型操作系統(tǒng)的客戶端及服務端通過一組RPC（遠程過程調(diào)用）分享相同的文件系統(tǒng)”，它是獨立于操作系統(tǒng)，容許不同硬件及操作系統(tǒng)的系統(tǒng)共同進行文件的分享。NFS本質(zhì)是不攜帶提供信息傳輸?shù)膮f(xié)議和功能的，它靠RPC功能讓用戶通過網(wǎng)絡來共享信息。3.4.2NFS服務器配置3.4基于NFS服務的攻擊與防范NFS的安裝NFS的安裝是非常簡單的，安裝兩個軟件包即可，而且在一般情況系統(tǒng)是默認安裝的。NFS的常用目錄NFS的常用目錄3.4.3NFS服務的安全防范3.4基于NFS服務的攻擊與防范NFS服務的安全防范NFSServer的／home/yangwh/共享給/24網(wǎng)段，權(quán)限讀寫。＃vi/etc/exports／home/yangwh/24(rw)范例一：NFS服務的安全防范確保／etc/exports具有最嚴格的訪問權(quán)限設置。為了確保／etc/exports的安全性禁止使用任何