3.2 基于Web服務的攻擊與防范（含2.4.1）

1、第 1 頁Linux服務的安全概述 Linux是一種開源代碼操作系統(tǒng)，以Linux作為操作系統(tǒng)來說一旦發(fā)現(xiàn)有安全漏洞問題，互聯(lián)網(wǎng)上世界各地的操作系統(tǒng)愛好者會踴躍修補它。 當服務器運行的服務越來越多時，服務器的配置不當會給黑客可乘之機，通過適當?shù)呐渲脕矸婪秮碜跃W(wǎng)絡的攻擊，針對不同的Linux服務，有各自不同的安全策略。山東職業(yè)學院 01Apache工作原理02Apache服務器的特點03Apache服務器的常用攻擊04Apache服務器的安全防范05使用SSL加固Apache山東職業(yè)學院 01Apache的工作原理第 5 頁基于Web的攻擊與防范 在當今互聯(lián)網(wǎng)的大環(huán)境下，Web服務已經(jīng)成為公司企

2、業(yè)必不可少的業(yè)務，大多數(shù)的安全問題也跟隨而來，攻擊重點也轉移為Web攻擊，許多Web與頗有價值的客戶服務與電子商業(yè)活動結合在一起，這也是吸引惡意攻擊重要原因。第 6 頁Apache的工作原理WebWeb系統(tǒng)是系統(tǒng)是C/SC/S模式的，分服務器程序模式的，分服務器程序和客戶端程序兩部分。和客戶端程序兩部分。在客戶端瀏覽器的地址欄內(nèi)輸入統(tǒng)一在客戶端瀏覽器的地址欄內(nèi)輸入統(tǒng)一資源定位地址（資源定位地址（URL)URL)來訪問來訪問WebWeb頁面。頁面。WWWWWW服務遵從服務遵從HTTPHTTP協(xié)議，默認的協(xié)議，默認的TCP/IPTCP/IP端口是端口是8080，客戶端與服務器的通，客戶端與服務器的

3、通信過程如圖所示。信過程如圖所示。山東職業(yè)學院 02Apache服務器的特點第 8 頁Apache服務器的特點（1）Apache是最先支持HTTP/1.1協(xié)議的Web服務器之一。（2）Apache是支持通用網(wǎng)關接口（CGI),并且提供了擴充的特征。（3）支持HTTP認證。（4）支持安全Socket層（SSL)。（5）用戶會話過程的跟蹤能力。山東職業(yè)學院 03Apache服務器的常用攻擊第 10 頁Apache服務器的常用攻擊（1 1）ApacheApache服務器服務器HTTPHTTP拒絕服務攻擊拒絕服務攻擊攻擊者通過某些工具和手段耗盡計算機CUP和內(nèi)存資源，使Apache服務器拒絕對HTTP

4、應答，最終造成系統(tǒng)變慢甚至出現(xiàn)癱瘓故障。常見的攻擊手段有以下幾種：Floody數(shù)據(jù)包洪水攻擊。路由不可達。磁盤攻擊。分布式拒絕服務攻擊。第 11 頁Apache服務器的常用攻擊（2 2）惡意腳本攻擊使得服務器內(nèi)存緩存區(qū)溢出）惡意腳本攻擊使得服務器內(nèi)存緩存區(qū)溢出腳本編寫過程中使用的靜態(tài)內(nèi)存申請，攻擊者利用此點發(fā)送一個超出范圍的指令請求造成緩沖區(qū)溢出。一旦發(fā)生溢出，攻擊者可以執(zhí)行惡意代碼來控制。第 12 頁Apache服務器的常用攻擊（3 3）非法獲?。┓欠ǐ@取rootroot權限權限 如果Apache以root權限運行，系統(tǒng)上一些程序的邏輯缺陷或緩沖區(qū)溢出漏洞，會讓攻擊者很容易在本地系統(tǒng)獲取Li

5、nux服務器上的管理者權限，在一些遠程情況下，攻擊者會利用一些以root身份執(zhí)行的有缺陷的系統(tǒng)守護進程來取得root權限，或利用有缺陷的服務進程漏洞來取得普通用戶權限，以遠程登陸，進而控制整個系統(tǒng)。山東職業(yè)學院 04Apache服務器的安全防范第 14 頁Apache服務器的安全防范（1 1）ApacheApache服務器用戶權限最小化服務器用戶權限最小化按照最小特權的原則，讓Apache以指定的用戶和組來運行（即不使用系統(tǒng)預定的帳戶），并保證運行Apache服務的用戶和用戶組有一個合適的權限。范例：第 15 頁Apache服務器的安全防范（2 2）ApacheApache服務器訪問控制方法服

6、務器訪問控制方法范例：山東職業(yè)學院 05使用SSL加固Apache第 17 頁使用SSL加固ApacheSSLSSL為安全套接層為安全套接層（Secure Sockets Layer),是一種為網(wǎng)絡通信提供安全以及數(shù)據(jù)完整性的安全協(xié)議，它在傳輸層對網(wǎng)絡進行加密。它主要是分為兩層：SSLSSL記錄協(xié)議記錄協(xié)議：為高層協(xié)議提供安全封裝、壓縮、加密等基本功能。SSLSSL握手協(xié)議握手協(xié)議：用于在數(shù)據(jù)傳輸開始前進行通信雙方的身份驗證、加密算法的協(xié)商、交換密鑰。第 18 頁使用SSL加固ApacheHTTPSHTTPS是在HTTP的基礎上加入SSL協(xié)議（即HTTPS=HTTP+SSL）。傳輸以密文傳輸，保證數(shù)據(jù)傳輸?shù)陌踩约按_認網(wǎng)站的真實性（數(shù)字證書）?？蛻舳擞霉妹荑€加密數(shù)據(jù)，并且發(fā)送給服務器自己的密鑰，以唯一確定自己，防止在系統(tǒng)兩端之間有人冒充服務器或客戶端進行欺騙。加密的HTTP連接端口使用443而不是普通的80端口，以此來區(qū)別沒有加密的連接。第 19 頁SSL驗證和加密的具體過程（1）用戶使用瀏覽器通過HTTPS協(xié)議訪問Web服務器站點，發(fā)出SSL握手信號。（2）Web服務器發(fā)出回應，并出示服務器證書（公鑰），顯示系統(tǒng)Web服務器站點身份。（3）瀏覽器驗證服務器證書，并生成一個隨機的會話密鑰，密鑰長度達到128位。（4）瀏覽器用Web服務器的公鑰加密該會話密鑰。（5）瀏