針對服務器的攻防技術淺析

張迪

摘要：服務器因為其高并發響應、實時處理等優點在互聯網時代普遍應用。隨著云計算和大數據等新技術的逐漸普及，服務器的使用進入新的高峰期，但無處不在的網絡攻擊和破壞，對服務器使用者的經濟利益造成了不同程度的影響。通過針對服務器的攻防技術進行分析，研究如何保障服務器安全運轉。

關鍵詞：服務器；攻擊；防御

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2017）08-0201-02

服務器自互聯網誕生以后，因為其高響應性、高實時并行處理等優點在大中型企業和國家各級公共服務部門應用非常普遍，根據具體功能還有文件服務器、數據庫服務器、web服務器等分類，隨著互聯網+時代的到來，云計算和大數據等新的信息處理技術的逐漸普及、硬件價格的大幅下降等因素影響，服務器的使用更加普遍且功能繁多，但無處不在的網絡攻擊和破壞也對服務器的運行安全造成不同程度的影響，因為不同的利益需求驅使，黑客針對服務器的DDOS等類型攻擊，獲取、勒索或毀壞服務器信息，導致服務器癱瘓等不良后果。本文通過對針對服務器的攻擊和防御技術進行分析，研究如何保障服務器安全運轉。

1 針對服務器的攻擊手段

（1）針對WEB服務器的攻擊。一是SQL注入漏洞的入侵；二是asp上傳漏洞的利用；三是通過后臺數據庫備份漏洞入侵；四是網站旁注入侵；五是sa注入點及弱密碼的入侵；六是論壇等站點提交操作的木馬入侵；七是CC攻擊，攻擊者控制某些主機不停地發大量數據包給對方服務器造成資源耗盡崩潰；八是DDOS攻擊，攻擊者通過在數據流量較大的WEB網頁里注入木馬病毒，木馬通過系統漏洞感染瀏覽網站的用戶計算機，繼而由后臺操作的攻擊者控制被感染計算機，并用于破壞服務器。常見的攻擊方式有SYN攻擊、TCP混亂數據包攻擊、UDP數據包攻擊以及在線游戲服務器運行端口攻擊等。

（2）端口攻擊。一是遠程終端服務攻擊，該服務基于端口3389，通過RDP協議實現遠程登錄。攻擊者一般先掃描主機開放端口，發現3389端口開放，就會進行進行密碼破解和后續攻擊；二是80端口攻擊，80端口是為HTTP協議開放的，用于互聯網訪問最多的協議，因為其開放性，也是攻擊者經常造訪的端口；三是未定義端口攻擊，服務器端口數最大可以有65535個，但常用的端口只有幾十個，未定義的端口相當多。攻擊者可通過定義一個特殊的端口來達到入侵的目的。攻擊者通過"后門"或者木馬程序在計算機啟動之前自動加載到內存，強行控制計算機打開那個特殊的端口，使受控計算機變成一臺開放性極高（如遠程用戶擁有管理員權限）的FTP服務器，然后從后門就可以達到入侵的目的。

（3）ARP攻擊。ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通信量使網絡阻塞，攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目，造成網絡中斷或中間人攻擊。ARP攻擊主要是存在于局域網中，若有一臺計算機感染ARP木馬，則感染該ARP木馬的系統將會試圖通過“ARP欺騙”手段截獲所在局域網內其它計算機的通信信息，并造成網內其它計算機的通信故障。

（4）IP攻擊，主要由以下幾類：一是OOB攻擊，這是利用NETBIOS中一個Out of Band的漏洞而來進行的，二是WinNuke攻擊，此系列工具發起的攻擊可以造成某一個IP地址區間的計算機全部藍屏死機，三是SSPing攻擊，該工具向其他的計算機連續發出大型的ICMP數據包，從而造成系統死機，四是TearDrop攻擊，這種攻擊方式利用那些在TCP/IP堆棧實現中信任IP碎片中的包的標題頭所包含的信息來實現自己的攻擊，并可以進行跨平臺攻擊。

2 服務器防御技術分析

從上面的分析可以看到，服務器現在面臨的攻擊手段種類繁多，因此，在服務器管理方面就需要有從整體防護系統到具體安全設置的全方位防護。

首先，服務器安全防護架構的選擇。當前主要分為兩類：主機類防護和WAF類防護。主機類防護涵蓋范圍涉及從網絡流量 ，到應用邏輯，到本地資源訪問轉換的全過程 ，并對攻擊行為進行攔截。這類防護涵蓋了網絡層、應用層、系統層三個方面，將安全邊界縮小到主機層面，深入到應用內部。以操作系統內核加固技術和web訪問技術為核心的主機防御體系，可以幫助用戶有效抵御CC攻擊、SQL注入、XSS跨站攻擊、漏洞攻擊、病毒、木馬、后門 以及其他APT高級類型攻擊。但是應對DDOS攻擊，主機類防護明顯不足，這時候就需要WAF類防護的配合。WAF防護屬于網站應用級入侵防護系統，該類型防護對于解決DDOS攻擊具有明顯效果。多個節點分擔帶寬攻擊帶來的壓力，有效解決DDOS類型攻擊，保障服務器正常運行。由此可見，服務器的完美防護架構需要主機防護與WAF防護相結合，單純的一種類型防護并不能夠保證服務器的完全防護。因此，系統的安全防護需要選擇一款優秀的主機類型的服務器安全軟件和一款優秀的WAF類型的服務器安全防護軟件。

其次，構建好硬件安全防御系統，選用一套好的安全系統模型。一套完善的安全模型應該包括以下一些必要的組件：防火墻、入侵檢測系統、路由系統等。防火墻在安全系統中扮演一個保安的角色，可以很大程度上保證來自網絡的非法訪問以及數據流量攻擊，如拒絕服務攻擊等；入侵檢測系統則是扮演一個監視器的角色，監視你的服務器出入口，非常智能地過濾掉那些帶有入侵和攻擊性質的訪問。對于WEB服務器而言，Web應用防火墻（WAFs）也非常有必要。

第三，HIPS-主機入侵防護系統的應用。該系統通過在主機/服務器上安裝軟件代理程序，防止網絡攻擊入侵操作系統以及應用程序。HIPS能夠保護服務器的安全弱點不被不法分子所利用，它可以阻斷緩沖區溢出、改變登錄口令、改寫動態鏈接庫以及其他試圖從操作系統奪取控制權的入侵行為。HIPS提升了主機的安全水平，在防范蠕蟲的攻擊中，起到了很好的防護作用。在技術上，HIPS采用獨特的服務器保護途徑，利用包過濾、狀態包過濾、狀態包檢測和實時入侵檢測組成分層防護體系。這種體系能夠在提供合理吞吐率的前提下，最大限度地保護服務器的敏感內容，既可以通過攔截針對操作系統的可疑調用，提供對主機的安全防護，也可以更改操作系統內核程序的方式，提供比操作系統更加嚴謹的安全控制機制，還可以防范未知攻擊，防止針對Web頁面、應用和資源的未授權的任何非法訪問。HIPS與具體的主機/服務器操作系統平臺緊密相關，不同的平臺需要不同的軟件代理程序。endprint