網(wǎng)絡(luò)安全技術(shù)與實(shí)訓(xùn)（微課版）（第5版） 課件 第3章 Linux服務(wù)的攻擊與防護(hù)

第3章Linux服務(wù)的攻擊與防護(hù)《網(wǎng)絡(luò)安全技術(shù)與實(shí)訓(xùn)》（微課版）（第5版）主講人：課程引入你知道哪些操作系統(tǒng)？你使用過哪些操作系統(tǒng)？學(xué)習(xí)要點(diǎn)（思政要點(diǎn)） 了解Linux服務(wù)存在的威脅（安全意識(shí)） 掌握基于Web服務(wù)的攻擊與防范（工匠精神）了解基于DNS服務(wù)的攻擊與防范（精益求精）了解基于NFS服務(wù)的攻擊與防范（嚴(yán)謹(jǐn)認(rèn)真）33第3章Linux服務(wù)的攻擊與防護(hù)基于DNS服務(wù)的攻擊與防范3.3基于NFS服務(wù)的攻擊與防范33.4基于Web服務(wù)的攻擊與防范3.2Linux服務(wù)的安全概述3.13.1Linux服務(wù)的安全概述Linux是一種開源代碼操作系統(tǒng)，以Linux作為操作系統(tǒng)來說一旦發(fā)現(xiàn)有安全漏洞問題，互聯(lián)網(wǎng)上世界各地的操作系統(tǒng)愛好者會(huì)踴躍修補(bǔ)它。當(dāng)服務(wù)器運(yùn)行的服務(wù)越來越多時(shí)，服務(wù)器的配置不當(dāng)會(huì)給黑客可乘之機(jī)，通過適當(dāng)?shù)呐渲脕矸婪秮碜跃W(wǎng)絡(luò)的攻擊，針對(duì)不同的Linux服務(wù)，有各自不同的安全策略。33第3章Linux服務(wù)的攻擊與防護(hù)基于DNS服務(wù)的攻擊與防范3.3基于NFS服務(wù)的攻擊與防范33.4基于Web服務(wù)的攻擊與防范3.2Linux服務(wù)的安全概述3.101Apache工作原理02Apache服務(wù)器的特點(diǎn)03Apache服務(wù)器的常用攻擊04Apache服務(wù)器的安全防范05使用SSL加固Apache3.2基于Web服務(wù)的攻擊與防范3.2.1Apache的工作原理3.2基于Web服務(wù)的攻擊與防范基于Web服務(wù)的攻擊與防范在當(dāng)今互聯(lián)網(wǎng)的大環(huán)境下，Web服務(wù)已經(jīng)成為公司企業(yè)必不可少的業(yè)務(wù)，大多數(shù)的安全問題也跟隨而來，攻擊重點(diǎn)也轉(zhuǎn)移為Web攻擊，許多Web與頗有價(jià)值的客戶服務(wù)與電子商業(yè)活動(dòng)結(jié)合在一起，這也是吸引惡意攻擊重要原因。Apache的工作原理Web系統(tǒng)是C/S模式的，分服務(wù)器程序和客戶端程序兩部分。在客戶端瀏覽器的地址欄內(nèi)輸入統(tǒng)一資源定位地址（URL)來訪問Web頁面。WWW服務(wù)遵從HTTP協(xié)議，默認(rèn)的TCP/IP端口是80，客戶端與服務(wù)器的通信過程如圖所示。3.2.2Apache服務(wù)器的特點(diǎn)3.2基于Web服務(wù)的攻擊與防范Apache服務(wù)器的特點(diǎn)（1）Apache是最先支持HTTP/1.1協(xié)議的Web服務(wù)器之一。（2）Apache是支持通用網(wǎng)關(guān)接口（CGI),并且提供了擴(kuò)充的特征。（3）支持HTTP認(rèn)證。（4）支持安全Socket層（SSL)。（5）用戶會(huì)話過程的跟蹤能力。3.2.3Apache服務(wù)器的常用攻擊3.2基于Web服務(wù)的攻擊與防范Apache服務(wù)器的常用攻擊（1）Apache服務(wù)器HTTP拒絕服務(wù)攻擊攻擊者通過某些工具和手段耗盡計(jì)算機(jī)CUP和內(nèi)存資源，使Apache服務(wù)器拒絕對(duì)HTTP應(yīng)答，最終造成系統(tǒng)變慢甚至出現(xiàn)癱瘓故障。常見的攻擊手段有以下幾種：

Floody數(shù)據(jù)包洪水攻擊。

路由不可達(dá)。

磁盤攻擊。

分布式拒絕服務(wù)攻擊。Apache服務(wù)器的常用攻擊（2）惡意腳本攻擊使得服務(wù)器內(nèi)存緩存區(qū)溢出腳本編寫過程中使用的靜態(tài)內(nèi)存申請(qǐng)，攻擊者利用此點(diǎn)發(fā)送一個(gè)超出范圍的指令請(qǐng)求造成緩沖區(qū)溢出。一旦發(fā)生溢出，攻擊者可以執(zhí)行惡意代碼來控制。Apache服務(wù)器的常用攻擊（3）非法獲取root權(quán)限如果Apache以root權(quán)限運(yùn)行，系統(tǒng)上一些程序的邏輯缺陷或緩沖區(qū)溢出漏洞，會(huì)讓攻擊者很容易在本地系統(tǒng)獲取Linux服務(wù)器上的管理者權(quán)限，在一些遠(yuǎn)程情況下，攻擊者會(huì)利用一些以root身份執(zhí)行的有缺陷的系統(tǒng)守護(hù)進(jìn)程來取得root權(quán)限，或利用有缺陷的服務(wù)進(jìn)程漏洞來取得普通用戶權(quán)限，以遠(yuǎn)程登陸，進(jìn)而控制整個(gè)系統(tǒng)。3.2.4Apache服務(wù)器的安全防范3.2基于Web服務(wù)的攻擊與防范Apache服務(wù)器的安全防范（1）Apache服務(wù)器用戶權(quán)限最小化按照最小特權(quán)的原則，讓Apache以指定的用戶和組來運(yùn)行（即不使用系統(tǒng)預(yù)定的帳戶），并保證運(yùn)行Apache服務(wù)的用戶和用戶組有一個(gè)合適的權(quán)限。范例：Apache服務(wù)器的安全防范（2）Apache服務(wù)器訪問控制方法范例：3.2.5使用SSL加固Apache3.2基于Web服務(wù)的攻擊與防范使用SSL加固ApacheSSL為安全套接層（SecureSocketsLayer),是一種為網(wǎng)絡(luò)通信提供安全以及數(shù)據(jù)完整性的安全協(xié)議，它在傳輸層對(duì)網(wǎng)絡(luò)進(jìn)行加密。它主要是分為兩層：

SSL記錄協(xié)議：為高層協(xié)議提供安全封裝、壓縮、加密等基本功能。

SSL握手協(xié)議：用于在數(shù)據(jù)傳輸開始前進(jìn)行通信雙方的身份驗(yàn)證、加密算法的協(xié)商、交換密鑰。使用SSL加固ApacheHTTPS是在HTTP的基礎(chǔ)上加入SSL協(xié)議（即HTTPS=HTTP+SSL）。傳輸以密文傳輸，保證數(shù)據(jù)傳輸?shù)陌踩约按_認(rèn)網(wǎng)站的真實(shí)性（數(shù)字證書）?？蛻舳擞霉妹荑€加密數(shù)據(jù)，并且發(fā)送給服務(wù)器自己的密鑰，以唯一確定自己，防止在系統(tǒng)兩端之間有人冒充服務(wù)器或客戶端進(jìn)行欺騙。加密的HTTP連接端口使用443而不是普通的80端口，以此來區(qū)別沒有加密的連接。SSL驗(yàn)證和加密的具體過程（1）用戶使用瀏覽器通過HTTPS協(xié)議訪問Web服務(wù)器站點(diǎn)，發(fā)出SSL握手信號(hào)。（2）Web服務(wù)器發(fā)出回應(yīng)，并出示服務(wù)器證書（公鑰），顯示系統(tǒng)Web服務(wù)器站點(diǎn)身份。（3）瀏覽器驗(yàn)證服務(wù)器證書，并生成一個(gè)隨機(jī)的會(huì)話密鑰，密鑰長(zhǎng)度達(dá)到128位。（4）瀏覽器用Web服務(wù)器的公鑰加密該會(huì)話密鑰。（5）瀏覽器將會(huì)話密鑰的加密結(jié)果發(fā)送Web服務(wù)器。（6）Web服務(wù)器用自己的私鑰解密得出真正的會(huì)話密鑰。（7）現(xiàn)在瀏覽器和Web服務(wù)器都擁有同樣的會(huì)話密鑰，雙方可以放心使用這個(gè)會(huì)話密鑰來加密通信內(nèi)容。（8）安全通信通道建立成功。33第3章Linux服務(wù)的攻擊與防護(hù)基于DNS服務(wù)的攻擊與防范3.3基于NFS服務(wù)的攻擊與防范33.4基于Web服務(wù)的攻擊與防范3.2Linux服務(wù)的安全概述3.101DNS服務(wù)器介紹02DNS服務(wù)器常見網(wǎng)絡(luò)威脅03DNS服務(wù)的安全防范3.3基于DNS服務(wù)的攻擊與防范3.3.1DNS服務(wù)器介紹3.3基于DNS服務(wù)的攻擊與防范DNS服務(wù)器介紹DNS是DomainNameSystem的縮寫，它提供將域名轉(zhuǎn)換成IP地址。DNS服務(wù)器可以分為三種，高速緩存服務(wù)器（Cache-onlyServer）、主DNS服務(wù)器(Primary

NameServer)、輔助DNS服務(wù)器（Second

Namne

Server）。DNS的查詢方式有遞歸和迭代兩種。DNS服務(wù)器介紹Linux下的DNS功能是通過BIND軟件實(shí)現(xiàn)的。BIND軟件安裝后，會(huì)產(chǎn)生若干文件，大致分為兩類，一類是配置文件在／etc目錄下，一類是DNS記錄文件在／var/named目錄下。位于／etc目錄下主要有esolv.conf、named.conf。前者用來解析DNS,后者是DNS最關(guān)鍵最核心的配置文件。3.3.2DNS服務(wù)器常見的網(wǎng)絡(luò)攻擊3.3基于DNS服務(wù)的攻擊與防范DNS服務(wù)器常見的網(wǎng)絡(luò)威脅（1）內(nèi)外部攻擊當(dāng)攻擊者以非法手段控制一臺(tái)DNS服務(wù)器，可以直接操作域名數(shù)據(jù)庫(kù)，修改IP地址和對(duì)應(yīng)的域名，利用域名為假冒的IP地址欺騙用戶，這就是內(nèi)部攻擊。DNS協(xié)議格式中響應(yīng)數(shù)據(jù)包的序列號(hào)，攻擊者偽造序列號(hào)偽裝假服務(wù)器端欺騙客戶端響應(yīng)，因而使用戶訪問攻擊者期望的網(wǎng)頁。這個(gè)就是序列號(hào)攻擊也是外部攻擊。DNS服務(wù)器常見的網(wǎng)絡(luò)威脅（2）BIND默認(rèn)值導(dǎo)致信息泄露BIND是一種高效的域名軟件。當(dāng)BIND的默認(rèn)設(shè)置就可能導(dǎo)致主DNS服務(wù)器與輔助DNS服務(wù)器中之間的區(qū)域傳送。區(qū)域傳送中輔助DNS服務(wù)器可以獲得整個(gè)授權(quán)區(qū)域的所有主機(jī)信息，一旦信息泄露，攻擊者可以輕松掌握防護(hù)較弱的主機(jī)。DNS服務(wù)器常見的網(wǎng)絡(luò)威脅（3）Cache緩存中毒DNS的工作原理是當(dāng)一個(gè)服務(wù)器收到域名和IP的映射時(shí)，信息被存入高速緩存。映射表是按時(shí)限更新的。攻擊者可以利用假冒緩存更新表進(jìn)行DNS欺騙或DOS拒絕服務(wù)攻擊。3.3.3DNS服務(wù)的安全防范3.3基于DNS服務(wù)的攻擊與防范DNS服務(wù)的安全防范（1）禁用遞歸查詢功能禁止遞歸查詢可以使DNS服務(wù)器進(jìn)入被動(dòng)模式，它再次向外部的DNS發(fā)送查詢請(qǐng)求時(shí)，只能自己授權(quán)域的查詢請(qǐng)求，而不會(huì)緩存任何外部的數(shù)據(jù)，所以不可能遭受緩存中毒攻擊，但是禁用遞歸查詢同時(shí)降低了DNS的域名解析速度和效率。以下語句僅允許網(wǎng)段的主機(jī)進(jìn)行遞歸查詢：allow-recusion｛/24;}DNS服務(wù)的安全防范（2）限制區(qū)域傳送（ZoneTransfer)區(qū)域傳送導(dǎo)致DNS服務(wù)器允許對(duì)任何人都進(jìn)行區(qū)域傳輸，網(wǎng)絡(luò)中的主機(jī)名、主機(jī)IP列表、路由器名和路由IP列表，甚至包括各主機(jī)所在的位置和硬件配置等情況都很容易被入侵者得到在DNS配置文件中。通過設(shè)置來限制允許區(qū)傳送的主機(jī)，從一定程度上能減輕信息泄露。DNS服務(wù)的安全防范（3）限制查詢通過限制DNS服務(wù)器的服務(wù)范圍，可以避免入侵者的攻擊。修改BIND的配置文件：／etc/named.conf加入以下內(nèi)容即可限制只有/24和/24網(wǎng)段的主機(jī)可以查詢本地服務(wù)器的所有區(qū)信息。DNS服務(wù)的安全防范（4）隱藏BIND的版本信息。攻擊者可以利用版本號(hào)來獲取這些版本具有哪些漏洞，通過漏洞就可以對(duì)DNS進(jìn)行攻擊。修改／etc/name.conf文件，將option里的version改成unkown：33第3章Linux服務(wù)的攻擊與防護(hù)基于DNS服務(wù)的攻擊與防范3.3基于NFS服務(wù)的攻擊與防范33.4基于Web服務(wù)的攻擊與防范3.2Linux服務(wù)的安全概述3.101NFS服務(wù)器介紹02NFS服務(wù)器配置03NFS服務(wù)的安全防范3.4基于NFS服務(wù)的攻擊與防范3.4.1NFS服務(wù)器介紹3.4基于NFS服務(wù)的攻擊與防范NFS服務(wù)器介紹NFS服務(wù)器全稱為NetworkFileSystem，即網(wǎng)絡(luò)文件系統(tǒng)。NFS是分散式文件系統(tǒng)使用的協(xié)議，它的目的是通過網(wǎng)絡(luò)讓不同的機(jī)器、不同的操作系統(tǒng)能夠彼此分享個(gè)別的數(shù)據(jù)，是實(shí)現(xiàn)磁盤文件共享的一種方法。NFS服務(wù)器介紹NFS的基本原則是“允許不同的類型操作系統(tǒng)的客戶端及服務(wù)端通過一組RPC（遠(yuǎn)程過程調(diào)用）分享相同的文件系統(tǒng)”，它是獨(dú)立于操作系統(tǒng)，容許不同硬件及操作系統(tǒng)的系統(tǒng)共同進(jìn)行文件的分享。NFS本質(zhì)是不攜帶提供信息傳輸?shù)膮f(xié)議和功能的，它靠RPC功能讓用戶通過網(wǎng)絡(luò)來共享信息。3.4.2NFS服務(wù)器配置3.4基于NFS服務(wù)的攻擊與防范NFS的安裝NFS的安裝是非常簡(jiǎn)單的，安裝兩個(gè)軟件包即可，而且在一般情況系統(tǒng)是默認(rèn)安裝的。NFS的常用目錄NFS的常用目錄3.4.3NFS服務(wù)的安全防范3.4基于NFS服務(wù)的攻擊與防范NFS服務(wù)的安全防范NFSServer的／home/yangwh/共享給/24網(wǎng)段，權(quán)限讀寫。＃vi/etc/exports／home/yangwh/24(rw)范例一：NFS服務(wù)的安全防范確保／etc/exports具有最嚴(yán)格的訪問權(quán)限設(shè)置。為了確保／etc/exports的安全性禁止使用任何