成人AV在线无码|婷婷五月激情色,|伊人加勒比二三四区|国产一区激情都市|亚洲AV无码电影|日av韩av无码|天堂在线亚洲Av|无码一区二区影院|成人无码毛片AV|超碰在线看中文字幕

企業(yè)網(wǎng)站常見攻擊及其應(yīng)對策略

企業(yè)網(wǎng)站常見攻擊及其應(yīng)對策略桂友武,桂友超(湖南工學(xué)院,湖南 衡陽 421000)摘 要:企業(yè)網(wǎng)站會經(jīng)常受到黑客的攻擊,主要討論常見的腳本漏洞、旁注、緩沖區(qū)溢出、分布式拒絕服務(wù)、解碼攻擊等五種攻擊方式

企業(yè)網(wǎng)站常見攻擊及其應(yīng)對策略

桂友武,桂友超

(湖南工學(xué)院,湖南 衡陽 421000)

摘 要:企業(yè)網(wǎng)站會經(jīng)常受到黑客的攻擊,主要討論常見的腳本漏洞、旁注、緩沖區(qū)溢出、分布式拒絕服務(wù)、解碼攻擊等五種攻擊方式及其應(yīng)對策略。

關(guān)鍵詞:腳本漏洞攻擊;旁注攻擊;緩沖區(qū)溢出攻擊;分布式拒絕服務(wù)

Enterprise Website Common Attack and Should to the Strategy

GUI You-wu, GUI You-chao

(Hunan Institute of Technology ,Hengyang, Hunan 421000, China)

Abstract: The enterprise website can come under hacker's attack frequently. This article main discuss common Script Loophole Attack, Attack from Margent, Buffer Overflow Attack, DDoS, Decryption Attack and so on five forms of defensive action and should to the strategy.Key words: Script Loophole Attack;Attack from Margent; Buffer Overflow Attack;DDoS

隨著Internet 的發(fā)展,越來越多的企業(yè)開展了電子商務(wù)。但企業(yè)在享受電子商務(wù)帶來的快捷便利的同時,也常常被非法訪問入侵所困擾,黑客利用計算機(jī)系統(tǒng)或網(wǎng)絡(luò)漏洞成功攻擊企業(yè)網(wǎng)站的事件屢有發(fā)生。目前,黑客對企業(yè)網(wǎng)站的攻擊方法主要有腳本漏洞、旁注、緩沖區(qū)溢出、分布式拒絕服務(wù)、解碼攻擊等,只有了解企業(yè)網(wǎng)站的各種攻擊方法、特征及產(chǎn)生的后果,對癥下藥加以防范,才能確保企業(yè)網(wǎng)站的安全。

面友好,解決了網(wǎng)站內(nèi)容管理復(fù)雜、維護(hù)難的問題,但它的源代碼很容易在網(wǎng)上找到,讓黑客攻擊網(wǎng)站輕而易舉。

應(yīng)對策略是:不同的編程語言有不同的安全性要求,以A S P 為例,按照如下方法處理,編寫嚴(yán)密的代碼,建立輸入字符過濾的檢查機(jī)制;凡涉及用戶名與口令的程序均封裝在服務(wù)器端,盡量少在A S P 文件里出現(xiàn);涉及與數(shù)據(jù)庫連接的用戶名與口令給予最小的權(quán)限,在理想狀態(tài)下只給它以執(zhí)行存儲過程的權(quán)限,不直接給予該用戶修改、插入、刪除記錄的權(quán)限;出現(xiàn)次數(shù)多的用戶名與口令寫在一個位置比較隱蔽的包含文件中;過濾用戶輸入內(nèi)容以防S Q L 注入攻擊;保護(hù)好網(wǎng)站的數(shù)據(jù)庫,不把數(shù)據(jù)庫名寫在程序中,且用不規(guī)則的、非常規(guī)的名字給數(shù)據(jù)庫文件命名,并把它放在幾層目錄下。

1腳本漏洞攻擊

這是針對企業(yè)網(wǎng)站使用最多的一種的攻擊手段。企業(yè)網(wǎng)站存在的腳本漏洞讓黑客越來越猖狂、越來越低齡化和傻瓜化。“在網(wǎng)上下載一個工具就可以黑站”,這就是腳本漏洞的特點(diǎn)。腳本漏洞的主要成因是編程程序員的素質(zhì)。由于編寫網(wǎng)頁程序這個行業(yè)的入門門檻不高,程序員的水平及經(jīng)驗(yàn)參差不齊,一部分程序員在編寫ASP 或PHP 等程序代碼時,對字符的過濾不嚴(yán)密,對注入漏洞不了解,或者某個參數(shù)忘記檢查,沒有對用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷,使應(yīng)用程序存在安全隱患,導(dǎo)致腳本漏洞。存在腳本漏洞的網(wǎng)站黑客可通過提交一段數(shù)據(jù)庫查詢代碼,根據(jù)程序返回的結(jié)果,獲得某些他想得知的數(shù)據(jù),這是腳本漏洞中最普遍的一種攻擊-S Q L 注入攻擊。企業(yè)網(wǎng)站尤其是中小企業(yè)網(wǎng)站,大多委托網(wǎng)站制作公司開發(fā),代碼千篇一律,甚至一些網(wǎng)站采用了現(xiàn)成的整站及內(nèi)容管理系統(tǒng),比如動易、動網(wǎng)等,這些網(wǎng)站管理系統(tǒng)雖然功能強(qiáng)大、界

2 旁注攻擊

旁注是黑客對中小企業(yè)網(wǎng)站典型攻擊手段之一。旁注又分為域名旁注和I P 旁注。域名旁注攻擊通過一個域名綁定的IP 查詢這個IP 上面解析了多少個域名,由此查出同一個服務(wù)器所掛的全部網(wǎng)站,黑客只要滲透同一服務(wù)器中安全性能最差的網(wǎng)站,再通過提權(quán)或配置不當(dāng)?shù)确绞饺肭帜繕?biāo)網(wǎng)站。中小企業(yè)網(wǎng)站限于資金和人員的缺乏,大多將自己的網(wǎng)站進(jìn)行了托管,每年只需交納幾百元空間費(fèi)便可放在一個虛擬主機(jī)上面,而一個虛擬主機(jī)通常有多個企業(yè)網(wǎng)站。黑客若要對某個企業(yè)網(wǎng)站進(jìn)行攻擊,只需通過目標(biāo)網(wǎng)站服務(wù)器上的其他網(wǎng)站拿下服務(wù)器的權(quán)限,或者在其

,

他網(wǎng)站目錄里上傳一個腳本木馬便可對目標(biāo)網(wǎng)站進(jìn)行操作。旁注的工具在網(wǎng)上非常容易得到,例如比較著名的domain(明小子) 旁注工具,只需要將可能是放置在虛擬主機(jī)上的網(wǎng)站的網(wǎng)址輸入進(jìn)去,工具將自動化分析,找到虛擬主機(jī)上的其他存在漏洞的網(wǎng)站,然后得到主機(jī)的控制權(quán),對該虛擬主機(jī)下的網(wǎng)站一并進(jìn)行攻擊。

應(yīng)對策略是:若企業(yè)自身沒有能力購買服務(wù)器,一定要選擇信譽(yù)度好、保護(hù)措施完善的虛擬主機(jī)空間提供商放置網(wǎng)站內(nèi)容。黑客之所以能“旁注”是因?yàn)镮 I S 對于遠(yuǎn)程的普通用戶訪問設(shè)置了一個專用的“IUSR 機(jī)器名”的賬號,IIS用“IUSR 機(jī)器名”的賬號來管理所有網(wǎng)站訪問權(quán)限,若給每個網(wǎng)站分別設(shè)置一個單獨(dú)的I I S 控制賬號,IIS控制賬號的權(quán)限設(shè)為GUESTS 組,這樣即使黑客通過服務(wù)器的一個網(wǎng)站拿到權(quán)限,也只是這個網(wǎng)站的權(quán)限,服務(wù)器其他網(wǎng)站沒有權(quán)限可以訪問。另外,可使用域名綁定方法,先將域名的A 記錄綁到一個無用的I P 上,再在下面把同一個域名綁到正確的I P 上,這樣黑客使用W H O I S 查詢就會去查詢那個無用I P 上的信息,得不到所期望的結(jié)果。

3 緩沖區(qū)溢出攻擊

緩沖區(qū)溢出攻擊利用了目標(biāo)程序的緩沖區(qū)溢出漏洞,通過操作目標(biāo)程序堆棧并暴力改寫其返回地址,從而獲得目標(biāo)控制權(quán)。它的原理是向一個有限空間的緩沖區(qū)中拷貝過長的字符串,這帶來兩種后果,一是過長的字符串覆蓋了相鄰的存儲單元而造成程序癱瘓,甚至造成宕機(jī)、系統(tǒng)或進(jìn)程重啟等;二是可讓黑客運(yùn)行惡意代碼,執(zhí)行任意指令,甚至獲得超級權(quán)限等。緩沖區(qū)溢出是一種非常普遍、非常危險的漏洞,在各種操作系統(tǒng)、應(yīng)用軟件中廣泛存在。在2006年集中爆發(fā)的W i n d o w s 操作系統(tǒng)的溢出漏洞,被一些黑客利用并制作出溢出工具,這些工具廣泛傳播,讓許多企業(yè)網(wǎng)站成為這些工具的試驗(yàn)品。2007年,一些常用軟件都相繼受到緩沖區(qū)溢出攻擊,如即時聊天軟件Q Q 出現(xiàn)溢出漏洞、著名殺毒軟件卡巴斯基致命的畸形參數(shù)漏洞、瑞星注冊表修復(fù)工具溢出、解壓縮軟件 Winrar 文件名溢出、Flash播放器Flv 文件解析溢出漏洞、字處理軟件Word 畸形數(shù)據(jù)結(jié)構(gòu)溢出漏洞,讓人眼花絳亂,更不用說企業(yè)網(wǎng)站。緩沖區(qū)溢出作為一種非常危險的手段,需要了解它的基本原理,防患于未然。

應(yīng)對策略是:對于緩沖區(qū)溢出的防范,惟一真正有效的辦法是對來自用戶的輸入數(shù)據(jù)做全面細(xì)致的檢查,查看其中是否存在常見的函數(shù)調(diào)用失誤。同時,啟用堆棧執(zhí)行

保護(hù)機(jī)制。在編寫代碼時注意數(shù)組邊界檢查、指針完整性檢查。對Windows Server 2003、Linux等操作系統(tǒng)平臺把緩沖區(qū)設(shè)置為不可執(zhí)行,亦可阻止攻擊者植入攻擊代碼,大大降低各種緩沖區(qū)溢出攻擊手段的成功機(jī)會。

4拒絕服務(wù)(DoS)和分布式拒絕服務(wù)(DDoS)攻擊

DoS 是指一個用戶占據(jù)了大量的共享資源,使系統(tǒng)沒有剩余的資源給其他用戶的一種攻擊方式。DoS的攻擊方式有很多種。最基本的D o S 攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源,致使服務(wù)超載,無法響應(yīng)其他的請求,從而無法為合法用戶提供服務(wù)。Do S 造成的后果是消耗帶寬、侵占資源,甚至使系統(tǒng)和應(yīng)用崩潰。由于DoS 攻擊本身需要相當(dāng)大的帶寬,而以個人為主的黑客很難享用。為了克服這個缺點(diǎn),黑客開發(fā)了分布式拒絕服務(wù)攻擊(DDoS)。DDoS是在傳統(tǒng)的DoS 攻擊基礎(chǔ)上產(chǎn)生的攻擊方式,是攻擊者利用己經(jīng)侵入并控制的傀儡機(jī),對目標(biāo)發(fā)起攻擊。攻擊者控制的傀儡機(jī)數(shù)量可能達(dá)到數(shù)百臺甚至更多。在網(wǎng)絡(luò)帶寬力量對比懸殊的情況下,目標(biāo)主機(jī)很快就會失去反應(yīng),無法提供對外服務(wù)。因此,它的攻擊傷害比一對一的拒絕服務(wù)攻擊要強(qiáng)大得多,也難防范得多。 一般而言,遭受DDoS 攻擊時的特征有:

(1)受害主機(jī)上有大量等待的TCP 連接;

(2)網(wǎng)絡(luò)上充斥著大量的垃圾數(shù)據(jù)包,源地址為假;(3)制造高流量無用數(shù)據(jù),造成網(wǎng)絡(luò)擁塞,使受害主機(jī)無法正常與外界通信;

(4)利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷,反復(fù)高速地發(fā)出特定的服務(wù)請求,使受害主機(jī)無法正常處理合法用戶的正常請求;

(5)造成系統(tǒng)死機(jī)。

Internet 的連通性和開放性,使得攻擊者幾乎擁有取之不盡的攻擊資源。DDoS攻擊對于企業(yè)網(wǎng)站的殺傷力是非常巨大的,最后的結(jié)果往往是導(dǎo)致網(wǎng)站完全癱瘓,帶寬被耗盡,系統(tǒng)無法對用戶做出響應(yīng),嚴(yán)重影響正常業(yè)務(wù)的開展。

應(yīng)對策略是:對付DDoS 攻擊的首要防線就是預(yù)防攻擊的產(chǎn)生。安裝反病毒和反木馬軟件,并及時升級,及時更新軟件補(bǔ)丁彌補(bǔ)已知安全漏洞;設(shè)計安全的網(wǎng)絡(luò)協(xié)議,如只有客戶身份通過認(rèn)證后,才分配系統(tǒng)資源等方法來進(jìn)行攻擊前的預(yù)防。同時,在網(wǎng)絡(luò)上設(shè)立過濾器或偵測器,在信息到達(dá)網(wǎng)站服務(wù)器之前阻擋信息。過濾器會偵察可疑的訪問行動。如果可疑訪問經(jīng)常出現(xiàn),過濾器就會接受指

,

示,阻擋相應(yīng)的信息,讓服務(wù)器的對外連接保持暢通。防火墻也是目前阻擋DDoS 的常用設(shè)備。防火墻作為訪問控制設(shè)備,通過設(shè)計訪問策略,能夠?qū)DoS 起到一定防范作用。

除了以上提到的五種企業(yè)網(wǎng)站攻擊方式,此外還有網(wǎng)頁篡改攻擊、病毒攻擊、網(wǎng)絡(luò)監(jiān)聽攻擊、提高權(quán)限攻擊、偽裝攻擊、解碼攻擊、網(wǎng)絡(luò)嗅探攻擊等,在此不再一一細(xì)述??傊?,隨著I n t e r n e t 和計算機(jī)技術(shù)的不斷發(fā)展,黑客攻擊的手段也在不斷翻新,各種新的攻擊技術(shù)層出不窮。對于每一種攻擊技術(shù),企業(yè)都應(yīng)當(dāng)有安全應(yīng)對策略,及時跟蹤國際最新安全技術(shù),掌握新的安全應(yīng)對措施,及時堵塞安全漏洞,不讓黑客有機(jī)可乘。只有這樣,才能確保企業(yè)網(wǎng)站的安全。

5 解碼攻擊

在網(wǎng)絡(luò)中,密碼是用戶身份驗(yàn)證的一種方式,各種弱口令會帶來許多重大的安全隱患,比如系統(tǒng)弱口令、網(wǎng)站弱口令、MSSQL弱口令、FTP弱口令等。通常,許多企業(yè)網(wǎng)站中所設(shè)的管理員密碼非常簡單,雖然易記卻給攻擊者提供了方便,而且在多處需要密碼保護(hù)的地方使用同一密碼,長時間不更換,這更增加了危險性。密碼破解也是黑客攻擊的一種常見方式,黑客往往采用自己生成的字典對各種密碼進(jìn)行暴力破解,破解軟件有x-scan、hscan等。系統(tǒng)弱口令分為管理員權(quán)限和普通權(quán)限,一旦黑客取得管理員權(quán)限的密碼將對企業(yè)對網(wǎng)站構(gòu)成極大威脅。

應(yīng)對策略是:針對企業(yè)網(wǎng)站管理員設(shè)置密碼簡單、重復(fù)的情況,建議使用大寫字母和小寫字母、標(biāo)點(diǎn)和數(shù)字的集合,在不同賬號里使用不同的密碼并有規(guī)律地更換密碼;密碼至少要6個字符,密碼字符數(shù)越多,就越難被查出;不要使用可輕易獲得的關(guān)于個人的信息,如電話號碼、出生年月、手機(jī)號碼、居住處的城市名字或是單位名作為密碼;如果密碼很多,難以記憶的話,可以使用密碼存儲軟件,或是使用加密方式來進(jìn)行另一種方式的儲存。

參考文獻(xiàn):

[1] 連一峰, 王航.網(wǎng)絡(luò)攻擊原理與技術(shù)[M ].北京:科學(xué)出版社,2004.

[2] 許治坤.網(wǎng)絡(luò)滲透技術(shù)[M].北京:電子工業(yè)出版社,2005. [3] 莫尉, 王國秋.緩沖區(qū)溢出漏洞攻擊的分析研究[J].計算機(jī)與現(xiàn)代化, 2007,(04).

[4] 蔣濤.緩沖區(qū)溢出原理及防護(hù)[J ].計算機(jī)安全, 2005,(06).

[5] 溫懷玉.旁注入侵與網(wǎng)站安全[J].滬州職業(yè)技術(shù)學(xué)院學(xué)報,2006,(04).

作者簡介:桂友武(1967-),男,湖南工學(xué)院計算機(jī)系教師,工程師職稱,研究方向:電子商務(wù)、軟件工程。收稿日期:2009-02-12

標(biāo)簽: