1、浅谈 Ddos 攻击攻击与防御EMail: jianxin#Site: http:/Date: 2011-2-10From: http:/ 目录 一 背景二 应急响应三 常见 ddos 攻击及防御四 根源及反击五 总结一 背景在前几天,我们运营的某网站遭受了一次 ddos 攻击,我们的网站是一个公益性质的网站,为各个厂商和白帽子之间搭建一个平台以传递安全问题等信息,我们并不清楚因为什么原因会遭遇这种无耻的攻击。因为我们本身并不从事这种类型的攻击,这种攻击技术一般也是比较粗糙的,所以讨论得比较少,但是既然发生了这样的攻击我们觉得分享攻击发生后我们在这个过程中学到得东西,以及针对这种攻击我们的想法
2、才能让这次攻击产生真正的价值,而并不是这样的攻击仅仅浪费大家的时间而已。另外,我们发现大型的企业都有遭受攻击的案例,但是大家遭受攻击之后的应对措施及学到的经验却分享都比较少,这导致各家都是自行的摸索经验,依然停留在一家企业对抗整个互联网的攻击的局面,而对于攻击者却是此次攻击针对你,下次攻击却是针对他了,而且攻击之后无论是技术还是资源都没有任何的损耗,这也是导致这种攻击频繁并且肆无忌惮的原因。我们来尝试做一些改变:)二 应急响应在攻击发生后,第一个现象是我们的网站上不去了,但是依然可以访问到管理界面,我们登陆上去简单执行了命令:netstat -antp我们看到有大量的链接存在着,并且都是 ES
3、TABLISHED 状态,正常状态下我们的网站访问量没有这么高,如果有这么高我们相信中国的信息安全就有希望了,对于这样的情况其实处理就比较简单,这是一次四层的攻击,也就是所有 ip 都是真实的,由于目前为止只是消耗了webserver 的网络连接资源,所以我们只需要简单的将这些 ip 在网络层封禁就可以,很简单,用下面的命令即可:for i in netstat -an | grep -i :80 |grep EST | awk print $5 | cut -d : -f 1 | sort | uniq -c | awk if($1 50) print $2echo $iecho $i /t
4、mp/banip/sbin/iptables -A INPUT -p tcp -j DROP -s $idone然后作为计划任务一分钟执行一次即可,很快,iptables 的封禁列表就充斥了大量的封禁 ip,我们简单的统计了下连接数最大的一些 ip 发现都来自韩国。为了保证系统的性能,我们调大了系统的可接受的连接数以及对 Nginx 进行了每个连接能够进行的请求速率,系统于是恢复了正常的运行。正常状态一直持续到第二天,但是到中午之后我们发现访问又出现了问题,网络很慢,使用ping 发现大概出现了 70%左右的丢包,在艰难的登陆到系统上之后,发现系统已经很少有TCP 的正常连接,为了查明原因,我
5、们对系统进行了抓包:tcpdump -w tmp.pcap port not 22tcpdump -r tmp.pcap -nnA我们发现攻击已经从应用层的攻击调整到了网络层的攻击,大量的目标端口是 80 的 udp 和icmp 包以极快的速度充满了网络,一个包大小大概在 1k 左右,这次占据的资源纯粹是带宽资源了,即使在系统上做限制也解决不了这个问题,不过也没有关系,对于网络层的问题我们可以在网络层上做限制,我们只需要在网络上把到达我们 ip 的非 TCP 的所有包如 UDP 和 ICMP等协议都禁止掉即可,但是我们没有自己的服务器也缺乏对网络设备的控制权,目前是由工信部 CERT 提供支持
6、的,由于临时无法协调进行相应的操作,后果如大家看到,我们的服务很慢,基本上停止了服务,在一段时间之后攻击者停止了攻击,服务才进行了恢复,很憋屈是么?但是同时我们得到了很多热心朋友的帮助,得到了更好的网络和服务器资源,在网络资源方面的能力得到了很大的提升,缓解了这方面的问题,这里对他们表示感谢。三 常见 ddos 攻击及防御继续秉承 80sec 的”Know it then hack it”,这里简单谈一下 ddos 攻击和防御方面的问题。ddos 的全称是分布式拒绝服务攻击,既然是拒绝服务一定是因为某些原因而停止服务的,其中最重要的也是最常用的原因就是利用服务端方面资源的有限性,这种服务端的资
7、源范围很广,可以简单的梳理一个请求正常完成的过程:1 用户在客户端浏览器输入请求的地址2 浏览器解析该请求,包括分析其中的 dns 以明确需要到达的远程服务器地址3 明确地址后浏览器和服务器的服务尝试建立连接,尝试建立连接的数据包通过本地网络,中间路由最终艰苦到达目标网络再到达目标服务器4 网络连接建立完成之后浏览器根据请求建立不同的数据包并且将数据包发送到服务器某个端口5 端口映射到进程,进程接受到数据包之后进行内部的解析6 请求服务器内部的各种不同的资源,包括后端的 API 以及一些数据库或者文件等7 在逻辑处理完成之后数据包按照之前建立的通道返回到用户浏览器,浏览器完成解析,请求完成。上
8、面各个点都可以被用来进行 ddos 攻击,包括:1 某些著名的客户端劫持病毒,还记得访问百度跳搜狗的事情么?:)2 某个大型互联网公司发生的 dns 劫持事件,或者直接大量的 dns 请求直接攻击 dns 服务器,这里可以使用一些专业的第三方 dns 服务来缓解这个问题,如 Dnspod3 利用建立网络连接需要的网络资源攻击服务器带宽使得正常数据包无法到达如 udp 的洪水攻击,消耗前端设备的 cpu 资源以使得数据包不能有效转发如 icmp 和一些碎片包的洪水攻击,消耗服务器方建立正常连接需要的资源如 syn flood 或者就是占用大量的连接使得正常的连接无法发起,譬如这次的 TCP fl
9、ood4 利用 webserver 的一些特点进行攻击,相比 nginx 来说,apache 处理一个请求的过程就比较笨重。5 利用应用程序内部的一些特性攻击程序内部的资源如 mysql,后端消耗资源大的接口等等,这也就是传统意义上的 CC 攻击。这里涉及到攻防的概念,但是实际上如果了解对方的攻击点和攻击手法,防御会变成简单的一个拼资源的过程,不要用你最弱的地方去抗人家最强的地方,应该从最合适的地方入手把问题解决掉,譬如在路由器等设备上解决应用层攻击就不是一个好的办法,同理,在应用层尝试解决网络层的问题也是不可能的,简单来说,目标是只让正常的数据和请求进入到我们的服务,一个完善的防御体系应该考
10、虑如下几个层面:1 作为用户请求的入口,必须有良好的 dns 防御2 与你的价值相匹配的带宽资源,并且在核心节点上布置好应用层的防御策略,只允许你的正常应用的网络数据包能够进入,譬如封杀除了 80 以外的所有数据包3 有支持你的服务价值的机器集群来抵抗应用层的压力,有必要的话需要将一个 http 请求继续分解,将连接建立的过程压力分解到其他的集群里,这里似乎已经有一般的硬件防火墙能做这个事情,甚至将正常的 http 请求解析过程都进行分解,保证到达后端的是正常的请求,剔除掉畸形的请求,将正常的请求的请求频度等行为进行记录和监控,一旦发生异常就在这里进行应用层的封杀每个公司都有自己对自己价值的评
11、估从而决定安全投入上的大小,每一次攻击也会涉及到利益的存在,正如防御因为种种原因譬如投入上的不足和实施过程中的不完美,有着天生的弱点一样,攻击也是有着天生的弱点的,因为每一次攻击涉及到不同的环节,每个环节都可能由不同水平的人完成,他所拥有的资源,他使用的工具和技术都不会是完美的,所以才有可能进行防御,另外,我相信进行 DDOS 攻击的人是一个固定的行业,会有一些固定的人群,对于其中使用的技术,工具,资源和利益链都是比较固定的,与之相对的是各个企业却缺乏相应的沟通,以个人企业对抗一个产业自然是比较困难,而如果每一个企业都能将自己遭受攻击时的经验分享出来,包括僵尸网络的大小及 IP 分布,攻击工具
12、的特征,甚至有能力的可以去分析背后的利益点及操作者,那么每一次攻击都能让大家的整体防御能力上升,让攻击者的攻击能力有损失,我们很愿意来做这个事情。四 根源及反击我困惑的是一点,攻击我们并不能得到实际的好处为什么还是有人来攻击,而且听说其他公司都有被攻击的情况,我觉得有一点原因就是攻击我们的确得不到什么好处,但是实际上攻击者也并不损失什么,无论是资源上还是法律风险上,他不会因为一次攻击而损失太多,而相比之下,服务提供者损失的东西却太多了,这从经济学角度来讲就是不平衡的,我们处于弱势。一般而言,的确对于作恶者是没有什么惩罚措施,但是这次,我们觉得我们是可以做一些事情的,我们尝试挖掘背后的攻击者,甚
13、至清除这个僵尸网络。首先这次攻击起源于应用层的攻击,所以所有的 ip 都是真实的,经过与 CERT 沟通,也发现这些 ip 都是韩国的,并且控制端不在国内,因为期间没有与国内有过通讯,即使在后面换成了udp+icmp 的 flood,但是依然是那些韩国的 ip,这很有意思,正常情况下 udp+icmp 的数据包是可以伪造的,但是这里居然没有伪造,这在后面大概被我们证实了原因。这些 ip 是真实存在的 ip,而且这些 ip 肯定在攻击完我们之后一定依然跟攻击者保持着联系,而一般的联系方式因为需要控制的方便都是 dns 域名,既然如此,如果我们能挖掘到这个 dns域名我们就可能间接的挖掘出真正幕后
14、黑手在哪里。首先,我们迅速的找出了这次攻击 ip 中开放了 80 端口的机器,因为我们对 80 端口上的安全问题比较自信,应该很快可以获知这些 ip背后的细节(80sec 名称由来),我们发现大部分是一些路由器和一些 web 的 vpn 设备,我们猜测这次攻击的主要是韩国的个人用户,而个人用户的机器操作系统一般是 windows 所以在较高版本上发送数据包方面可能有着比较大的限制,这也解释了为什么即使是 udp+icmp的攻击我们看到的大都是真实 ip。发现这些路由设备之后我们尝试深入得更多,很快用一些弱口令譬如 admin/admin 登陆进去,果然全世界的网民都一样,admin/admin
15、 是天生的入口。登陆进去一些路由之后我们发现这些路由器里面存在一个功能是设置自己的 dns,这意味着这下面的所有 dns 请求都可以被定向到我们自己设置的 dns 服务器,这对于我们去了解内部网络的细节会很有用,于是我们建立了一个自己的 dns 服务器,并且开启了 dns 请求的日志功能以记录所有请求的细节。我们大约控制了 20 台路由器的 dns 指向,并且都成功重定向到我们自己的服务器。剩下的就是简单的数据分析,在这之前我们可以对僵尸网络的控制域名做如下的猜测:1 这个 dns 应该为了灵活的控制域名的缓存时间 TTL 一般不会特别长2 这个 dns 应该是定期的被请求,所以会在 dns
16、请求里有较大的出现比例3 这个 dns 应该是为了控制而存在的,所以域名不应该在搜索引擎以及其他地方获得较高的访问指数,这与 2 中的规则配合起来会比较好确定,是一个天生的矛盾。4 这个 dns 应该在各个路由下面都会被请求这些通过简单的统计就很容易得出答案,我们发现了一些 3322 的通用恶意软件域名但是发现它并不是我们需要的,因为只有少数机器去访问到,经过一些时间之后最后我们发现一个域名访问量与 naver(韩国的一个门户)的访问量持平, workgroup001.snow*.net,看起来似乎对自己的僵尸网络管理很好嘛,大概有 18 台机器访问过这个域名,这个域名的主机托管在新加坡,生存
17、时间 TTL 在 1800 也就是半小时,这个域名在所有的搜索引擎中都不存在记录,是一个韩国人在 godady 一年前才注册的,同时我们访问这个域名指向主机的 3389,简单的通过 5 下 shift 就判断出它上面存在着一个典型的 windows 后门,似乎我们找到它了,不是么?经过后续的观察,一段时间后这个域名指向到了 127.0.0.1,我们确信了我们的答案,workgroup001.snow*.net,看起来似乎对自己的僵尸网络管理很好嘛:)这是一次典型的 ddos 攻击,攻击之后我们获得了参与攻击的主机列表和控制端的域名及 ip,相信中国和韩国的 cert 对于清理这次的攻击源很有兴
18、趣,我们是有一些损失,但是攻击者也有损失了(大概包括一个僵尸网络及一个控制端域名,甚至可能包括一次内部的法律调查),我们不再是不平等的了,不是么?五 总结正如一个朋友所讲的,所有的防御是不完美的正如攻击是不完美的一样,好的防御者在提升自己的防御能力趋于完美的同时也要善于寻找攻击者的不完美,寻找一次攻击中的漏洞,不要对攻击心生恐惧,对于 Ddos 攻击而言,发起一次攻击一样是存在漏洞的,如果我们都能够擅长利用其中的漏洞并且抓住后面的攻击者那么相信以后的 ddos 攻击案例将会减少很多,在针对目标发起攻击之前攻击者也会做更多的权衡,损失,利益和法律。我现在自己有服务器,电信的。2003 系统,怎么
19、才能把网站挂在服务器上。 请说具体步骤! 问题补充:这个网站以前的提供商现在不提供空间了,域名都有,如何挪到我现在的服务器上!最佳答案 先安装 iis6.0,在 iis 管理中会有一个默认站点,是 c 盘根目录下的。rootwww,文件夹下。 arp 硬件防火墙服务器租用和购买问题? 在 ie 中输入 http:/127.0.0.1 ,如果有东西说明你的 iis 安装正确 然后把那个文件夹下的东西删掉,放入你的网站,记得主页的文件名为,index.asp 然后在 ie 中输入 127.0.0.1,就可以看见你的网站了。1. 隐藏邮件服务器 IP 地址如果网络中有专门发送邮件的中央邮件服务器,为
20、许多主机提供访问,那么必须隐藏邮件地址的主机名部分, (以 postfix 邮件服务器为例)例如一条名为:pc- 的主机上有一个 jok 用户那么它的邮件名称是:jokpc-main.cf 加入两行:masquerade_domain=$mydomianmasquerade_exceptions=root第一行通知 postfix 邮件服务器对所在德 域允许地址化装,通过$mydomian 变量完成,这样jokpc-变为,第二行将 root 用户排除,即不对 root 用户伪装。2.防范 DOS 攻击:DOS(拒绝服务攻击)一段时间以来成为许多单位邮件服务器的最大杀手。对于邮件服务器的拒绝服务
21、攻击原理很简单,就是不断地向邮件服务器发送大量的邮件,直到超过最大容量而崩溃为止。拒绝服务攻击有时并非有针对性的黑客行为,现在的病毒常常会利用自身的 SMTP 引擎,向感染电脑里的存在的地址狂发大量邮件。如果中小企业认为自己的公司小,不会成为攻击目标,这种想法已经不现实了。对于中小企业来说,要预防 DOS 攻击比大型企业要容易,因为小型企业往往不会有太多的邮件来往,我们可以根据业务量的大小,限制每个连接的邮件数,以及每封邮件的收件人数。这样,用户对于 DOS 攻击就可以做到尽早地发现并采取措施,而不会等到服务器崩溃的时候才发现被人实施了 DOS 攻击。步骤如下:2. 限制服务器使用的进程数目可
22、以通过指定/etc/postfix/main.cf 文件的下列参数来控制使用的并发进程总量:default_process_limit = 50 这样服务器被允许同时允许 60 个并发进程(例如 smtp 客户端、smtp 服务器端和本地分发) 。如果希望增加同时接受 1000 条信息,可以修改 /etc/postfix/ master.cf 文件,使 smtp 服务的最大进程达到 1000,如下所示:#= # service type private unpriv chroot wakeup maxproc command + args # (yes) (yes) (yes) (never)
23、 (60) # = smtp inet n - n - 1000 smtpd 3.控制最大邮件尺寸可以修改/etc/postfix/main.cf 如下参数控制邮件尺寸 message_size_limit = 1073741824这样服务器可以处理最大邮件尺寸是 1073741824 字节 (10 兆).4. 控制同时发送一个远程服务器的邮件数量 对同一目标主机的并发连接限制当向同一目标主机发出 SMTP 连接时,postfix 初始化发出两个 SMTP 连接,如果投递成功则增加并发的 SMTP 连接数目,遇到拥塞时又减少并发连接的数目。postfix 中通过以下的参数对同一目标主机的并发连
24、接进行控制:* initial_destination_concurrency:控制对同一目标主机的初始化并发连接数目。缺省值为 2。同时向远程服务器发送太多 SMTP 连接是不合理的,也是危险的(可能会被认为是发送垃圾邮件) 。一些大的 ISP 站点(AOL 、 Yahoo!、 Hotmail)通常要求优化等到许可才能使用发送并发连接。Postfix 也能通过下面参数设定一个站点的最大并发连接数量: default_destination_concurrency_limit = 20 这样使到达单一站点的并发连接数量不能超过 20 个* default_destination_concurr
25、ency_limit:控制初始化连接后对同一目标主机的最大并发连接数目。缺省值为 10。* local_destination_concurrency_limit:控制对同一本地收件人的最大同时投递的邮件数目。缺省值为 2,因为对本地同一收件人投递邮件时投递工作只能一个接一个的进行,所以设得在大也没用。对同一封邮件的收件人数目限制通过 default_destination_recipient_limit 参数来控制 postfix 的投递代理(如smtp 进程)可以将同一封邮件发送给多少个收件人。缺省值为 50。也可以用明确指出该投递代理的参数来覆盖该缺省值。如用 smtpd_recipie
26、nt_limit 来指定smtp 投递代理可以将同一封邮件发送给多少个收件人,该参数的缺省值为1000。1、用户名与口令被破解攻击原理:用户名与口令,往往是黑客们最感兴趣的东西,如果被通过某种方式看到源代码,后果是严重的。防范技巧:涉及用户名与口令的程序最好封装在服务器端,尽量少在 ASP 文件里出现,涉及与数据库连接的用户名与口令应给予最小的权限。出现次数多的用户名与口令可以写在一个位置比较隐蔽的包含文件中。如果涉及与数据库连接,在理想状态下只给它以执行存储过程的权限,千万不要直接给予该用户修改、插入、删除记录的权限。 2、验证被绕过攻击原理:现在需要经过验证的 ASP 程序大多是在页面头部
27、加一个判断语句,但这还不够,有可能被黑客绕过验证直接进入。防范技巧:需要经过验证的 ASP 页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面。3、inc 文件泄露问题攻击原理:当存在 ASP 的主页正在制作且没有进行最后调试完成以前,可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地点和结构的细节,并以此揭示完整的源代码。防范技巧:程序员应该在网页发布前对它进行彻底的调试;安全专家则需要加固 ASP文件以便外部的用户不能看到它们。首先对.inc 文件内容进行加密,其次也可以使用.asp
28、文件代替.inc 文件使用户无法从浏览器直接观看文件的源代码。inc 文件的文件名不要使用系统默认的或者有特殊含义容易被用户猜测到的名称,尽量使用无规则的英文字母。4、自动备份被下载攻击原理:在有些编辑 ASP 程序的工具中,当创建或者修改一个 ASP 文件时,编辑器自动创建一个备份文件,比如:UltraEdit 就会备份一个.bak 文件,如你创建或者修改了some.asp,编辑器会自动生成一个叫 some.asp.bak 文件,如果你没有删除这个 bak 文件,攻击者可以直接下载 some.asp.bak 文件,这样 some.asp 的源程序就会被下载。防范技巧:上传程序之前要仔细检查,
29、删除不必要的文档。对以 BAK 为后缀的文件要特别小心。5、特殊字符攻击原理:输入框是黑客利用的一个目标,他们可以通过输入脚本语言等对用户客户端造成损坏;如果该输入框涉及数据查询,他们会利用特殊查询语句,得到更多的数据库数据,甚至表的全部。因此必须对输入框进行过滤。但如果为了提高效率仅在客户端进行输入合法性检查,仍有可能被绕过。防范技巧:在处理类似留言板、BBS 等输入框的 ASP 程序中,最好屏蔽掉HTML、JavaScript、VBScript 语句,如无特殊要求,可以限定只允许输入字母与数字,屏蔽掉特殊字符。同时对输入字符的长度进行限制。而且不但要在客户端进行输入合法性检查,同时要在服务
30、器端程序中进行类似检查。本篇文章来源于 站长资讯网 原文链接:http:/ ASP+Access 或 ASP+MSSQL 网站的手法+防御让大家知道骇客入侵 ASP 网站技术 1.【ASP+ACCESS 入侵方式】1.用啊 D 或明小子扫描检测是否有注入点。2.扫描 ACCESS 数据库里的管理员的帐号和密码,但是密码一般都是用 MD5 加密过的,大家可以到其他MD5 网站里破解。3.扫描网站的后台地址,然后用破解出来的帐号和密码登录后台,找到文件上传的地方,利用 ASP 上传漏洞上传 ASP 木马,但是有不少网站都限制了上传 ASP 文件的类型,一般来说 ASP 为后缀的文件都不允许上传。但
31、是这种限制是可以被骇客突破的。比如:把 ASP 扩展名修改成 asa,aaspsp,cer 后进行上传 ASP 木马。获得WEBSHELL如不能上传 asa,aaspsp,cer 文件格式,也可以利用备份功能,首先找到文件上传功能,上传一个 ASP 木马但是要注意:把 ASP 木马的扩展名改成 JPG 或 GIF 后缀的,然后找到后台的数据库备份把要备份的文件后缀改成.ASP。获得 WEBSHELL或用采取上传一个正常的 JPG 图片用抓包工具抓包得到图片的上传路径和 COOKIE,然后利用桂林老兵或明小子进行上传的欺骗方式来上传 ASP 木马,如上传失败用UE 修改数据包再用 NC 上传。获
32、得 WEBSHELL。还有一种方法就是现在很多网站的管理员都很懒,都没修改数据库默认路径和后台的默认路径。(尤其是国内很多的管理员都很懒!甚至连后台的用户名和密码都懒的修改!这样菜鸟们就可以利用数据库默认的路径下载到本地然后用“辅臣数据库浏览器” 查看管理员用户名和密码,但是密码一般都是用 MD5 加密过的,大家可以到其他 MD5 网站里破解。然后找到后台的默认路径将破解出来的用户名和密码进行登陆,登陆后就用以上的方式获得 WEBSHELL)如以上的都不行就用提交一句话木马的入侵方式这种入侵方式是对一些数据库地址被改成 asp 文件的网站来实施入侵。骇客通过利用一些论坛存在的安全漏洞提交一句话
33、木马到数据库里,然后在一句话木马的客户端里输入这个网站的数据库地址并提交一个 ASP 木马,从而获得 WEBSHELL。最典型的就是动网 6.0 版本论坛漏洞的利用入侵方式,7.0 版本都存在安全漏洞,我就拿 7.0 版本来说吧。首先注册一个正常的用户,然后去发一个帖子,发帖子的时候在附件里上传一个正常的 JPG 图片,用抓包工具抓包得到图片的上传路径和 COOKIE,然后利用桂林老兵或明小子进行上传的欺骗方式来上传 ASP 木马,如上传失败用 UE 修改数据包再用 NC 上传。获得 WEBSHELL。2.【ASP+MSSQL 注入方式】MSSQL 通常会给用户分配一个帐号,帐号的权限分为三种
34、 SA,dbowner,public,SA 权限最高,public 最低。以前有很多数据库都给 SA 权限 ,特别是一些韩国的网站,一扫一大把都是 SA 权限的,现在大部分网站都是给 DBOWNER 权限。如是 SA 权限的网站有注入点,那么可以直接用数据库的存储扩展 XP_CMDSHELL 来执行系统命令,建立一个系统帐号,然后通过 3389 登录进去。或者上传一个 NC,然后用 NC 反向连接,获取一个远程的 SHELL 权限。(当然利用 SA 注入点入侵的方法还有很多种,我在这里就不一一讲解。 )如是 DB_OWNER 权限的话,那么就要用到差异备份的技术来备份出一个 WEBSHELL,
35、前提是要知道网站的绝对路径。或利用 DB_OWNER 权限列出数据库,然后下载到本地用“ 辅臣数据库浏览器”查看管理员用户名和密码,但是密码一般都是用 MD5 加密过的,大家可以到其他 MD5网站里破解。然后找到后台地址将破解出来的用户名和密码进行登陆,登陆后就用以上的方式获得 WEBSHELL。如以上都不成功那么可以试试一下的!3.【旁注方式】这种技术是通过 IP 绑定域名查询的功能查出服务器上有多少网站,然后通过一些薄弱的网站实施入侵,拿到权限之后转而控制服务器的其它网站(跨站) 。4.【利用百度或 Google 批量入侵方式】这种技术方式是用 GOOGLE 来搜索一些存在安全漏洞的网站,
36、我简单列出 GOOGLE的一些语法的使用方法:intext:这个就是把网页中的正文内容中的某个字符做为搜索条件.例如在 google 里输入:intext:红盟.将返回所有在网页正文部分包含“红盟“的网页.allintext:使用方法和 intext 类似.intitle:和上面那个 intext 差不多,搜索网页标题中是否有我所要找的字符. 例如搜索:intitle:红客.将返回所有网页标题中包含“红客“的网页.同理 allintitle:也同 intitle 类似.cache:搜索 google 里关于某些内容的缓存,有时候也许能找到一些好东西哦.define:搜索某个词语的定义,搜索:d
37、efine:hacker,将返回关于 hacker 的定义.filetype:这个我要重点推荐一下,无论是撒网式攻击还是我后面要说的对特定目标进行信息收集都需要用到这个.搜索指定类型的文件.例如输入:filetype: doc.将返回所有以 doc 结尾的文件 URL.当然如果你找.bak、.mdb 或.inc 也是可以的,获得的信息也许会更丰富:):filetype:doc.将返回所有以 doc 结尾的文件 URL.当然如果你找.bak、.mdb 或.inc 也是可以的,获得的信息也许会更丰富info:查找指定站点的一些基本信息.inurl:搜索我指定的字符是否存在于 URL 中.例如输入:
38、inurl:admin ,将返回 N 个类似于这样的连接:http:/ URL 不错.allinurl 也同 inurl 类似,可指定多个字符。link:例如搜索:inurl: 可以返回所有和 做了链接的 URL.site:这个也很有用,例如:site: 将返回所有和 这个站有关的 URL.对了还有一些*作符也是很有用的:+ 把 google 可能忽略的字列如查询范围- 把某个字忽略 同意词. 单一的通配符* 通配符,可代表多个字母“ 精确查询现在简单来讲解一些实例:对于一些骇客来说,获取密码文件是他们最感兴趣的,那么可以在 GOOGLE 上搜索以下内容:intitle:“index of
39、“ etcintitle:“index of“ passwdintitle:“index of“ pwd.dbintitle:“index of“ etc/shadowintitle:“index of“ master.passwdintitle:“index of“ htpasswd这样就会有很多一些服务器的重要密码文件没有任何保护的暴露在网络上,骇客就会利用这些密码来获取系统的一些权限。以上骇客通过 WEB 的入侵技术我只是做了简单的介绍,目的是希望大家对骇客技术有一定的了解,但不希望大家利用这些技术来实施入侵。我想大家就很想知道对于这么多形形色色的入侵方式,有些什么好的防御方法。现在大家
40、都知道了骇客是如何入侵网站的,那么下面我就来讲讲怎样来防御基于WEB 的各种攻击。网站和服务器的一些安全防范,防范 WEB 入侵有两种方式,一种是用技术手段来防御攻击,另一种是用安全软件来防御攻击。【手动的方式来防范基于 WEB 的入侵】1.【安装补丁】安装好操作系统之后,首先要做的就是要安装系统的各种补丁程序,配置好网络之后,如果是 WIN 2000 的操作系统就装上 SP4,WIN 2003 就安装好 SP1,然后点击WINDOWS UPDATE,安装好所有关键的更新。2.【安装杀毒软件】杀毒软件我现在主要推荐使用两款:卡巴斯基和瑞星。这两款杀毒软件我做过 N多测试,结果表明卡巴斯基的杀查
41、能力要强过瑞星,很多做过免杀的木马过得了瑞星但是确逃不过卡巴斯基的法眼,当然卡巴斯基也不是百分百所有病毒都能查杀,一些木马程序也是能做出过卡巴斯基的免杀。只不过卡巴斯基在所有杀毒软件当中查杀能力还算是不错的。3.【设置端口的安全保护功能】端口保护的方式有两种,一种是 TCP/IP 筛选里面进行端口设置,另外一种系统自带的防火墙(我以 WINDOWS 2003 操作系统为准,现在大部分的网站都使用的是WINDOWS 2003 操作系统。 ) 。4.【TCP/IP 筛选的端口设置方式】在“网上邻居”上选右键点开“ 属性”,然后在“本地连接”上右键点开“ 属性”,选择“Internet 协议(TCP
42、/IP) ”点“ 属性 ”,然后在弹出的“Internet 协议(TCP/IP)属性” 框里选择“高级”,然后在“高级 TCP/IP 设置”框里选择“选项”,然后选择“TCP/IP 筛选”后点击“属性”,然后在弹出的“TCP/IP 筛选”的框里勾上“启用 TCP/IP 筛选(所有适配器)”,选择只允许,然后点击添加你所需要开放的端口。5.【自带防火墙的端口设置】通过 WINDOWS 2003 操作系统自带的防火墙来进行端口设置比较灵活,不用重新启动服务器。开始设置,在“网上邻居”上选右键点开“属性” ,然后在“本地连接”上右键点开“属性” ,在弹出的框里选择“ 高级”,选择“Internet
43、连接防火墙” 点击设置,这样就会弹出“WINDOWS 防火墙”的框。选择“启用” ,然后点“例外” ,在这个里面可以选择“添加程序” 和“添加端口”的方式来设置一些开放的端口。有一点需要特别注意,如果是远程连接服务器的,要注意远程虚拟终端的端口一定要开放。6.【目录的安全设置】包括系统盘在内的所有磁盘只给 Administrators 和 SYSTEM 的完全控制权限。C:Documents and Settings 目录只给 Administrators 和 SYSTEM 的完全控制权限。C:Documents and SettingsAll Users 目录只给 Administrator
44、s 组和 SYSTEM 的完全控制权限。C: Inetpub 目录及下面所有目录、文件只给 Administrators 组和 SYSTEM 的完全控制权限。C:Windows 目录除了给 Administrators 和 SYSTEM 的完全控制权限之外,还需要给 CREATOR OWNER 用一个“特别的权限” ,Power Users 用户组除了完全控制之外的所有权限,Users 用户组“ 读取和运行”, “列出文件夹目录”, “读取”的权限。C:Windows 目录的这些权限设置是非常重要的,如果除了 Administrators 和 SYSTEM 的完全控制权限之外的那些权限没有设置
45、,那么系统重启后,很多系统服务都不能正常使用。C: WindowsSystem32cacls.exe、cmd.exe 、net.exe , 、net1.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限。7.【IIS 控制帐号的权限分配】现在骇客的入侵技术当中,有一种技术叫网站旁注入侵,这种技术方式上面骇客入侵技术环节已经讲过了,是通过服务器里面一个有漏洞网站的来实施入侵,成功获取权限之后转而控制其它网站。那大家就想知道这个问题是由于什么原因导致的。原来 IIS 对于远程的普通用户访问是设置了一个专用的“IUSR_机器名” 的帐号。那么正因为 IIS 用“IUS
46、R_ 机器名”的帐号来管理所有网站访问权限,因此骇客就可以用到这种旁注入侵技术了。那么怎么来解决这个问题?很简单,我给每个网站分别设置一个单独的 IIS 控制帐号, IIS 控制帐号的权限设为 GUESTS 组就可以。这样即使骇客通过服务器的一个网站拿到权限,那他也只有这个网站的权限,服务器其它网站他都没有权限可以访问,骇客对服务器破坏的风险降低了,那么安全就相对提高了。8.【注入漏洞的修补以及上传文件类型的限制】这两个部分是各位网站程序员所必须关注的,骇客对网站实施入侵的过程中,80会用到网站的注入点和上传漏洞来实施入侵。注入漏洞的修补可以使用网上一些现成的修补代码,如 ASP 通用防注入组
47、件,防注入代码完美版等,但是我还是建议网站程序员稍微花点时间自己来写防注入代码,这样会比较安全可靠。上传文件类型的限制这个写起来也不难,只允许用户上传你们网站所要用到的文件类型,限制好文件类型,特别不要让 ASP,ASA 等扩展名的文件上传上来,然后对文件的头文件进行一个检查,发现有 ASP 木马特征的就限制上传。当然,现在的骇客越来越聪明,ASP 木马大部分都使用一句话木马,然后还会对代码进行各种各样的变形处理来逃过网站的限制以及杀毒软件的查杀。对于这些免杀技术的木马用 ASP 代码的方式很难防范,最好使用安全产品来进行防御。9.【SQL 权限的安全设置】ASP+MSSQL 是骇客最感兴趣的
48、网站,通常骇客能很轻松的利用 MSSQL 的漏洞拿到系统权限,因此这一块是大家要加以重视。首先系统安装的时候,尽量不要默认安装到 c:Program files 目录里面,然后安装好之后要打好 SQL 数据库最新的补丁程序。然后数据库不要放在默认的位置,接下来就要看网站是否需要远程登录 sql 服务器,我建议能不用远程就不要用,如果必须使用的话,那建议大家可以把端口改成一个高端端口,这样骇客很难找到。在做好安全安装的工作之后,就要把 SA 设置一个复杂的密码,然后把 SQL 里面的BUILTINAdministrators 用户组删除,这样是避免骇客以 WINDOWS 身份登录 SQL。接着在企业管理器里面编辑 SQL Server 注册属性,选择使用 “使用 SQL Server 身份验证”并勾选“总是提示输入登录名和密码” 。然后在增加用户的时候,只给 public 和 db_owner 权限。添加用户exec sp_addlogin abc使它变为当前数据库的合法用户exec sp_grantdbaccess Nabc授予 abc 用户对数据库的 db_owner 权限exec sp_addrolemember Ndb_owner, Nabc最后就要
