拒绝服务与数据库安全

拒绝服务与数据库安全拒绝服务攻击概述3.1基于漏洞入侵的防护方法3.2SQL数据库安全3.3SQLServer攻击的防护3.43.1拒绝服务攻击概述3.1.1DoS定义DoS(DenialOfService)拒绝服务，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。DoS攻击的原理：借助网络系统或协议的缺陷以及配置漏洞进行网络攻击，使网络拥塞、系统资源耗尽或系统应用死锁，妨碍目标主机和网络系统对正常用户服务请求的及时响应，造成服务的性能受损，甚至导致服务中断。DoS攻击的基本过程。图3.1DoS攻击的基本过程3.1.2拒绝服务攻击的分类拒绝服务攻击可以是“物理的”（又称“硬件的”），也可以是“逻辑的”（又称“软件的”）。按攻击的目标又可分为节点型和网络连接型。节点型:主机型攻击应用型攻击网络连接型按照攻击方式来分可以分为：资源消耗、服务中止和物理破坏。1.资源消耗带宽耗尽攻击系统资源耗尽攻击2.服务中止3.物理破坏按受害者类型可以分为服务器端拒绝服务攻击和客户端拒绝服务攻击。1.服务器端拒绝服务攻击2.客户端拒绝服务攻击3.1.3常见DoS攻击1．Land程序攻击Land攻击，是利用向目标主机发送大量的源地址与目标地址相同的数据包，造成目标主机解析Land包时占用大量的系统资源，从而使网络功能完全瘫痪的攻击手段。2．SYNFlood攻击这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，使被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。实现过程:第一次握手。第二次握手。三次握手完成。3．IP欺骗DoS攻击4．Smurf攻击攻击者伪装成被攻击者向某个网络上的广播设备发送请求，该广播设备会将这个请求转发到该网络的其他广播设备，导致这些设备都向被攻击者发出回应，从而达到以较小代价引发大量攻击的目的。5．PingofDeath这种攻击通过发送大于65536字节的ICMP包造成操作系统内存溢出、系统崩溃、重启、内核失败等后果，从而达到攻击的目的6．Teardrop攻击泪滴（Teardrop）攻击，是基于UDP的病态分片数据包的攻击方法，利用在TCP/IP堆栈中实现信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。7．WinNuke攻击WinNuke攻击是一种拒绝服务攻击。攻击特征：WinNuke攻击又称带外传输攻击，它的特征是攻击目标端口，被攻击的目标端口通常是139、138、137、113、53，而且URG位设为“1”，即紧急模式。检测方法：判断数据包目标端口是否为139、138、137等，并判断URG位是否为“1”。反攻击方法：适当配置防火墙设备或过滤路由器就可以防止这种攻击手段（丢弃该数据包），并对这种攻击进行审计（记录事件发生的时间，源主机和目标主机的MAC地址和IP地址MAC）。3.1.4分布式拒绝服务分布式拒绝服务（DistributedDenialofService，DDoS），是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，像商业公司、搜索引擎或政府部门的站点。图3.2分布式拒绝服务DDoS攻击分为3层：攻击者、主控端和代理端。1．Trinoo2．TFN3．TFN2K4．Stacheldraht检测DDoS攻击的主要方法有以下几种。根据异常情况分析使用DDoS检测工具安全防御措施有以下几种。及早发现系统存在的攻击漏洞，及时安装系统补丁程序。在网络管理方面，要经常检查系统的物理环境，禁止那些不必要的网络服务。利用网络安全设备（例如防火墙）来加固网络的安全性，配置好它们的安全规则，过滤掉所有可能的伪造数据包。比较好的防御措施就是和网络服务提供商协调工作，让他们帮助实现路由访问控制和对带宽总量的限制。当发现正在遭受DDoS攻击时，应当及时启动应付策略，尽可能快地追踪攻击包，并且要及时联系ISP和有关应急组织，分析受影响的系统，确定涉及的其他节点，从而阻挡已知攻击节点的流量。3.1.5拒绝服务攻击的防护拒绝服务攻击的防护一般包含两个方面：一是针对不断发展的攻击形式，尤其是采用多种欺骗技术的技术，能够有效地进行检测；二，也是最为重要的，就是如何降低对业务系统或者是网络的影响，从而保证业务系统的连续性和可用性。通常建议用户可以采取以下手段来保障网络能够抵御拒绝服务攻击。①增加网络核心设备的冗余性，提高对网络流量的处理能力和负载均衡能力。②通过路由器配置访问列表过滤掉非法流量。③部署防火墙，提高网络抵御网络攻击的能力。④部署入侵检测设备，提高对不断更新的DoS攻击的识别和控制能力。3.2基于漏洞入侵的防护方法3.2.1基于IIS漏洞入侵的防护方法1．.ida&.idq漏洞漏洞描述ISAPI扩展存在远程缓冲溢出漏洞。攻击者可以利用该漏洞获得Web服务器的System权限来访问远程系统受影响系统MicrosoftWindowsNT4.0(SP0-SP6)MicrosoftWindows2000(SP0-SP2)检测方法手工检测；工具监测（X-Scan）表3.1.ida&.idq漏洞简介解决方案（1）为Windows2000操作系统打SP4补丁（2）为该漏洞安装补丁（3）删除.ida&.idq的脚本映射建议：即使已经为该漏洞安装了补丁最好还是删除.IDA映射删除方法：打开Internet服务管理器；右击服务器并在菜单中选择“属性”；选择“主属性”，选择“服务”→“编辑”→“主目录”→“配置”，在扩展名列表中删除.ida和.idq项（4）到微软技术站点上下载URLSCAN并安装，URLSCAN默认设置下就会拒绝所有对.ida&.idq映射的请求续表2．.printer漏洞描述Windows2000IIS5.0.printerISAPI扩展存在缓冲区溢出漏洞一般情况下攻击会使Web服务器停止响应，但Windows2000会检测到Web服务没有响应而重新启动服务器，因此，管理员比较难发现这种攻击该漏洞非常危险，仅仅需要Windows2000打开80端口（http）或者443端口（https）,微软公司强烈要求在未打补丁之前一定要移除ISAPI网络打印的映射表3.2.printer漏洞简介受影响系统Windows2000Server（IIS5.0）Windows2000AdvancedServer（IIS5.0）Windows2000DatacenterServer（IIS5.0）监测工具X-Scan解决方案（1）为Windows2000操作系统打SP4补丁（2）安装漏洞补丁续表3．Unicode目录遍历漏洞漏洞描述该漏洞既是一个远程漏洞，同时也是一个本地漏洞，攻击者可通过IE浏览器远程运行被攻击计算机的cmd.exe文件，从而使该计算机的文件暴露，且可随意执行和更改文件微软IIS4.0和5.0都存在利用扩展Unicode字符取代“/”和“\”而能利用“../”目录遍历的漏洞。未经授权的用户可能利用IUSR_machinename账号的上下文空间访问任何已知的文件。该账号在默认情况下属于Everyone和Users组的成员，因此任何与Web根目录在同一逻辑驱动器上的能被这些用户组访问的文件都能被删除、修改或执行，就如同一个用户成功登录所能完成的一样表3.3Unicode目录遍历漏洞简介受影响系统MicrosoftWindowsNT/2000(IIS5.0)MicrosoftWindowsNT4.0(IIS4.0)检测工具手工检测；工具检测（X-Scan）续表解决方案（1）为Windows2000操作系统安装补丁SP4（2）安装漏洞补丁IIS4.0：：（3）安装IISLockdown和URLScan来加固系统（4）临时解决方法如果不需要可执行的CGI，可以删除可执行虚拟目录，例如/scripts等。如果确实需要可执行的虚拟目录，建议可执行虚拟目录单独在一个分区续表4．.asp映射分块编码漏洞漏洞描述Windows2000和NT4IIS.asp映射存在远程缓冲溢出漏洞ASPISAPI过滤器默认在所有NT4和Windows2000系统中装载，存在的漏洞可以导致远程执行任意命令恶意攻击者可以使用分块编码形式把数据传送给IIS服务器，当解码和解析这些数据时，可以强迫IIS把入侵者提供的数据写到内存的任意位置。通过此漏洞可以导致Windows2000系统产生缓冲溢出，并以IWAM_computer_name用户的权限执行任意代码，而在WindowsNT4下可以以system的权限执行任意代码表3.4.asp映射分块编码漏洞简介受影响系统MicrosoftWindowsNT4.0+IIS4.0MicrosoftWindows2000+IIS5.0检测工具X-Scan解决方案（1）为操作系统打补丁（2）安装漏洞补丁续表5．WebDAV远程缓冲区溢出漏洞漏洞描述MicrosoftIIS5.0带有WebDAV组件、对用户输入的、传递给ntdll.dll程序处理的请求未做充分的边界检查，远程入侵者可以通过向WebDAV提交一个精心构造的超长数据请求而导致发生缓冲区溢出。这可能使入侵者以localsystem的权限在主机上执行任意指令受影响系统Windows2000(SP0-SP3)检测工具WebDAVScan.exe是IIS中WebDAV漏洞的专用扫描器。解决方案为操作系统打补丁表3.5WebDAV远程缓冲区溢出漏洞简介6．MicrosoftIIS6.0Web安全漏洞安全解决方案如下所示。转移根目录，不要把Web根目录建在系统磁盘（C:\）。把IIS目录的权限设置为只读。如果IIS只用来提供静态网页，即不提供ASP、JSP、CGI等脚本服务，那么建议删除脚本目录，或者说，删除全部默认安装目录，并禁止任何脚本、应用程序执行，并删除应用程序配置里面的“ISAPI”应用程序、禁止脚本测试等。设置安全日志，并把该日志存在一个不显眼的路径下。安装网络防火墙，并禁用除80端口以外所有端口的内外通信连接。经常备份，并把备份文件存储在另一台计算机上。3.2.2基于电子邮件服务攻击的防护方法IMAP和POP漏洞。拒绝服务（DoS）攻击。死亡之ping同步攻击循环系统配置漏洞默认配置空的/默认根密码漏洞创建利用软件问题缓冲区溢出意外组合未处理的输入利用人为因素特洛伊木马及自我传播远程访问数据发送破坏拒绝服务代理解决方法有以下3种。（1）在电子邮件系统周围锁定电子邮件系统——电子邮件系统周边控制开始于电子邮件网关的部署。电子邮件网关应根据特定目的与加固的操作系统和防止网关受到威胁的入侵检测功能一起构建。（2）确保外部系统访问的安全性—电子邮件安全网关必须负责处理来自所有外部系统的通信，并确保通过的信息流量是合法的。通过确保外部访问的安全，可以防止入侵者利用Web邮件等应用程序访问内部系统。（3）实时监视电子邮件流量—实时监视电子邮件流量对于防止黑客利用电子邮件访问内部系统是至关重要的。检测电子邮件中的攻击和漏洞攻击（如畸形MIME）需要持续监视所有的电子邮件。3.2.3注册表入侵的防护方法根项名称说明HKEY_LOCAL_MACHINE包含关于本地计算机系统的信息，包括硬件和操作系统数据，如总线类型、系统内存、设备驱动程