一、服务器安全风险
1、不必要的访问(如只提供HTTP服务)
2、外网发起IP或者端口扫描、DDOS攻击等
3、漏洞攻击(针对服务器操作系统等)
4、根据软件版本的已知漏洞进行攻击,口令暴力破解,获取用户权限;SQL注入、XSS跨站脚本攻击、跨站请求伪装等
5、扫描网站开放的端口以及弱密码
6、网站被攻击者篡改。
二、DOS攻击检测和防御技术
1、DOS攻击介绍
DoS攻击——Denial of Service, 是一种拒绝服务攻击,常用来使服务器或网络瘫痪。
DDoS攻击——Distributed Denial of Service, 分布式拒绝服务攻击。
2、DOS目的
消耗带宽、消耗服务器性能、引发服务器宕机
3、DOS类型
ICMP洪水攻击、UDP洪水攻击、DNS洪水攻击:通过发送大量所属协议的数据包占据服务器带宽,拥堵线路从而造成服务器端无法正常提供服务;
TCP(SYN)洪水攻击:利用TCP三次握手的特性,大量发送半链接请求包,造成服务器资源耗尽或者TCP请求分配的资源耗尽,从而无法正常提供服务;
畸形数据包攻击:错误分配大量系统资源,使主机处于挂起甚至宕机状态;
CC攻击:不停的发送大量数据包,造成服务器资源耗尽,一直到宕机崩溃;
慢度攻击:慢速攻击是CC攻击的一个变种,对任何一个开放了HTTP访问的服务器HTTP服务器,先建立 了一个连接,指定一个比较大的contentlength,然后以非常低的速度发包,比如1-10s 发一个字节,然后维持住这个连接不断开。如果客户端持续建立这样的连接,那么服务器上 可用的连接将一点一点被占满,从而导致拒绝服务。
4、SYN 代理
通过Syn 代理防御Syn洪水攻击
5、配置思路
(1)【系统】-【系统配置】-【通用配置】-【网络参数】开启【开启外网防Dos功能】
(2)【策略】-【安全策略】-【DOS/DDOS防护】-新增【外网对内网攻击防护策略】。
(3)【源区域】选择外网区域。
(4)【扫描防护】勾选【IP地址扫描防护】、【端口扫描防护】。
(5)【内网IP组】选择需要保护的服务器IP组。
(6)【DoS/DDoS攻击类型】-勾选所有类型,一般按照默认即可,为体现测试效果可适当调低封锁阈值。
(7)【高级防御选项】-可勾选除【IP数据块分片传输防护】之外的其他选项,
一般不建议勾选【IP数据块 分片传输防护】,勾选了分片数据包都将被丢弃。
(8)【内置数据中心】-【日志查询】- 【漏洞攻击防护】查看具体日志。
6、思考总结
SYN洪水攻击防护的【每目的IP激活阈值】、【每目的IP丢包阈值】指的是什么?
1、每目的IP激活阈值,指当针对策略设置的目的IP组内某IP发起的syn请求速率数据包超过设定值,则触发AF的syn代理功能。
2、每目的IP丢包阈值,指当针对策略设置的目的IP组内某IP发起的syn请求速率数据包超过设定值,则AF不再启用syn代理,直接丢弃syn包。
三、漏洞攻击防护入侵检测和防御技术
1、IDS/漏洞攻击防护(IPS)介绍
IDS——Intrusion Detection Systems,即入侵检测系统,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果。
漏洞攻击防护(IPS)——Intrusion Prevention Systems,即入侵防御系统,可对网络、系统的运行状况进行监视,并可发现阻止各种攻击企图、攻击行为。
IDS(Intrusion Detection System):入侵检测系统,用于检测攻击威胁并进行预警。
IPS(Intrusion Prevention System):在检测的基础上,增加了主动防御的功能。
2、漏洞攻击防护常见入侵手段
(1)worm蠕虫(扫描、攻击、寄生、传播、发作)