web服务安全性(from 微软)学习笔记

保护web服务何其重要,所以值得认真研究.
 一:攻击者的攻击方式:
    所谓知己知彼百战不殆.首先要了解网络攻击者的攻击方式和途径
   下面是摘录的关于危险与对策的概述 

1:网络威胁及其对策

1:信息收集 2:探查 3:欺骗 4:会话劫持 5:拒绝服务

  

1 (1)信息收集
2  通常，攻击者最初是扫描端口。识别出开放端口后，他们利用标
     题 抓     取与枚举的方法检测设备类型，并确定操作系统和应用程序的版本。具有这些信息后，攻击者可以攻击已知的缺陷，这些缺陷可能没有更新安全补丁。
3
4 阻止信息收集的对策包括： 
5
6 • 配置路由器，限制它们对足迹请求的响应。 
7  
8 • 配置承载网络软件（例如，软件防火墙）的操作系统，通过禁用不使用的协议和不必要的端口，可以阻止足迹。 

 1 (2) 探查
 2 探查 或者窃听 就是监视网络上数据（例如明文密码或者配置信息）传输信息的行为。利用简单的数据包探测器，攻击者可以很轻松地读取所有的明文传输信息。同时，攻击者可以破解用轻量级散列算法加密的数据包，并解密您认为是安全的有用负荷。探查数据包需要在服务器/客户端通信的通道中安装数据包探测器。
 3
 4 帮助阻止探查的对策包括： 
 5
 6 • 使用强有力的物理安全措施并适当对网络进行分段。这是阻止传输信息在本地被收集的第一步。 
 7  
 8 • 通信完全加密，包括对凭据的身份验证。这可以防止攻击者使用探查到的数据包。SSL 与 IPSec（Internet 协议安全性）就是这种加密解决方案的示例。 

 1 (3) 欺骗
 2  欺骗就是一种隐藏某人在网上真实身份的方式。为创建一个欺骗身份，攻击者要使用一个伪造的源地址，该地址不代表数据包的真实地址。可以使用欺骗来隐藏最初的攻击源，或者绕开存在的网络访问控制列表（ACL，它根据源地址规则限制主机访问）。
 3 
 4  虽然不可能根据精心制作的欺骗数据包追踪到原始的发送者，但是组合筛选规则可以防止欺骗数据包起源于您的网络，使您可以拦截明显的欺骗数据包。
 5 
 6  防止欺骗的对策包括： 
 7 
 8  • 筛选看上去是来自周边内部 IP 地址的传入数据包。 
 9   
10  • 筛选看上去是源于无效本地 IP 地址的外出数据包。 

 1 (4) 拒绝服务
 2  拒绝服务就是拒绝合法用户访问服务器或者服务。SYN FLOOD 攻击就是网络级拒绝服务攻击的常见示例。该攻击容易发起并且不容易追踪。攻击的目的是给服务器发送大量的请求，从而超过它的处理能力。该攻击利用的是 TCP/IP 连接建立机制中的一个潜在缺陷，并冲击服务器的挂起连接队列。
 3 
 4  防止拒绝服务的对策包括： 
 5 
 6  • 使用最新的服务包。 
 7   
 8  • 通过应用适当的注册表设置强化 TCP/IP 堆栈，以增大 TCP 连接队列的大小，缩短建立连接的周期，并利用动态储备机制来确保连接队列永远不会耗尽。
 9   
10  • 使用网络入侵检测系统 (IDS)，因为这可以自动检测与回应 SYN 攻击。 
11   
12 

转载于:https://www.cnblogs.com/NewLand/archive/2006/04/07/369030.html