3.2 基于Web服務(wù)的攻擊與防范（含2.4.1）

1、第 1 頁Linux服務(wù)的安全概述 Linux是一種開源代碼操作系統(tǒng)，以Linux作為操作系統(tǒng)來說一旦發(fā)現(xiàn)有安全漏洞問題，互聯(lián)網(wǎng)上世界各地的操作系統(tǒng)愛好者會(huì)踴躍修補(bǔ)它。 當(dāng)服務(wù)器運(yùn)行的服務(wù)越來越多時(shí)，服務(wù)器的配置不當(dāng)會(huì)給黑客可乘之機(jī)，通過適當(dāng)?shù)呐渲脕矸婪秮碜跃W(wǎng)絡(luò)的攻擊，針對(duì)不同的Linux服務(wù)，有各自不同的安全策略。山東職業(yè)學(xué)院 01Apache工作原理02Apache服務(wù)器的特點(diǎn)03Apache服務(wù)器的常用攻擊04Apache服務(wù)器的安全防范05使用SSL加固Apache山東職業(yè)學(xué)院 01Apache的工作原理第 5 頁基于Web的攻擊與防范 在當(dāng)今互聯(lián)網(wǎng)的大環(huán)境下，Web服務(wù)已經(jīng)成為公司企

2、業(yè)必不可少的業(yè)務(wù)，大多數(shù)的安全問題也跟隨而來，攻擊重點(diǎn)也轉(zhuǎn)移為Web攻擊，許多Web與頗有價(jià)值的客戶服務(wù)與電子商業(yè)活動(dòng)結(jié)合在一起，這也是吸引惡意攻擊重要原因。第 6 頁Apache的工作原理WebWeb系統(tǒng)是系統(tǒng)是C/SC/S模式的，分服務(wù)器程序模式的，分服務(wù)器程序和客戶端程序兩部分。和客戶端程序兩部分。在客戶端瀏覽器的地址欄內(nèi)輸入統(tǒng)一在客戶端瀏覽器的地址欄內(nèi)輸入統(tǒng)一資源定位地址（資源定位地址（URL)URL)來訪問來訪問WebWeb頁面。頁面。WWWWWW服務(wù)遵從服務(wù)遵從HTTPHTTP協(xié)議，默認(rèn)的協(xié)議，默認(rèn)的TCP/IPTCP/IP端口是端口是8080，客戶端與服務(wù)器的通，客戶端與服務(wù)器的

3、通信過程如圖所示。信過程如圖所示。山東職業(yè)學(xué)院 02Apache服務(wù)器的特點(diǎn)第 8 頁Apache服務(wù)器的特點(diǎn)（1）Apache是最先支持HTTP/1.1協(xié)議的Web服務(wù)器之一。（2）Apache是支持通用網(wǎng)關(guān)接口（CGI),并且提供了擴(kuò)充的特征。（3）支持HTTP認(rèn)證。（4）支持安全Socket層（SSL)。（5）用戶會(huì)話過程的跟蹤能力。山東職業(yè)學(xué)院 03Apache服務(wù)器的常用攻擊第 10 頁Apache服務(wù)器的常用攻擊（1 1）ApacheApache服務(wù)器服務(wù)器HTTPHTTP拒絕服務(wù)攻擊拒絕服務(wù)攻擊攻擊者通過某些工具和手段耗盡計(jì)算機(jī)CUP和內(nèi)存資源，使Apache服務(wù)器拒絕對(duì)HTTP

4、應(yīng)答，最終造成系統(tǒng)變慢甚至出現(xiàn)癱瘓故障。常見的攻擊手段有以下幾種：Floody數(shù)據(jù)包洪水攻擊。路由不可達(dá)。磁盤攻擊。分布式拒絕服務(wù)攻擊。第 11 頁Apache服務(wù)器的常用攻擊（2 2）惡意腳本攻擊使得服務(wù)器內(nèi)存緩存區(qū)溢出）惡意腳本攻擊使得服務(wù)器內(nèi)存緩存區(qū)溢出腳本編寫過程中使用的靜態(tài)內(nèi)存申請(qǐng)，攻擊者利用此點(diǎn)發(fā)送一個(gè)超出范圍的指令請(qǐng)求造成緩沖區(qū)溢出。一旦發(fā)生溢出，攻擊者可以執(zhí)行惡意代碼來控制。第 12 頁Apache服務(wù)器的常用攻擊（3 3）非法獲?。┓欠ǐ@取rootroot權(quán)限權(quán)限 如果Apache以root權(quán)限運(yùn)行，系統(tǒng)上一些程序的邏輯缺陷或緩沖區(qū)溢出漏洞，會(huì)讓攻擊者很容易在本地系統(tǒng)獲取Li

5、nux服務(wù)器上的管理者權(quán)限，在一些遠(yuǎn)程情況下，攻擊者會(huì)利用一些以root身份執(zhí)行的有缺陷的系統(tǒng)守護(hù)進(jìn)程來取得root權(quán)限，或利用有缺陷的服務(wù)進(jìn)程漏洞來取得普通用戶權(quán)限，以遠(yuǎn)程登陸，進(jìn)而控制整個(gè)系統(tǒng)。山東職業(yè)學(xué)院 04Apache服務(wù)器的安全防范第 14 頁Apache服務(wù)器的安全防范（1 1）ApacheApache服務(wù)器用戶權(quán)限最小化服務(wù)器用戶權(quán)限最小化按照最小特權(quán)的原則，讓Apache以指定的用戶和組來運(yùn)行（即不使用系統(tǒng)預(yù)定的帳戶），并保證運(yùn)行Apache服務(wù)的用戶和用戶組有一個(gè)合適的權(quán)限。范例：第 15 頁Apache服務(wù)器的安全防范（2 2）ApacheApache服務(wù)器訪問控制方法服

6、務(wù)器訪問控制方法范例：山東職業(yè)學(xué)院 05使用SSL加固Apache第 17 頁使用SSL加固ApacheSSLSSL為安全套接層為安全套接層（Secure Sockets Layer),是一種為網(wǎng)絡(luò)通信提供安全以及數(shù)據(jù)完整性的安全協(xié)議，它在傳輸層對(duì)網(wǎng)絡(luò)進(jìn)行加密。它主要是分為兩層：SSLSSL記錄協(xié)議記錄協(xié)議：為高層協(xié)議提供安全封裝、壓縮、加密等基本功能。SSLSSL握手協(xié)議握手協(xié)議：用于在數(shù)據(jù)傳輸開始前進(jìn)行通信雙方的身份驗(yàn)證、加密算法的協(xié)商、交換密鑰。第 18 頁使用SSL加固ApacheHTTPSHTTPS是在HTTP的基礎(chǔ)上加入SSL協(xié)議（即HTTPS=HTTP+SSL）。傳輸以密文傳輸，保證數(shù)據(jù)傳輸?shù)陌踩约按_認(rèn)網(wǎng)站的真實(shí)性（數(shù)字證書）?？蛻舳擞霉妹荑€加密數(shù)據(jù)，并且發(fā)送給服務(wù)器自己的密鑰，以唯一確定自己，防止在系統(tǒng)兩端之間有人冒充服務(wù)器或客戶端進(jìn)行欺騙。加密的HTTP連接端口使用443而不是普通的80端口，以此來區(qū)別沒有加密的連接。第 19 頁SSL驗(yàn)證和加密的具體過程（1）用戶使用瀏覽器通過HTTPS協(xié)議訪問Web服務(wù)器站點(diǎn)，發(fā)出SSL握手信號(hào)。（2）Web服務(wù)器發(fā)出回應(yīng)，并出示服務(wù)器證書（公鑰），顯示系統(tǒng)Web服務(wù)器站點(diǎn)身份。（3）瀏覽器驗(yàn)證服務(wù)器證書，并生成一個(gè)隨機(jī)的會(huì)話密鑰，密鑰長(zhǎng)度達(dá)到128位。（4）瀏覽器用Web服務(wù)器的公鑰加密該會(huì)話密鑰。（5）瀏