第 3 章 拒绝服务与数据库安全.pptVIP

第 3 章　拒绝服务与数据库安全 第 3 章　拒绝服务与数据库安全 3.1　拒绝服务攻击概述 3.2　基于漏洞入侵的防护方法 3.3　SQL数据库安全 3.4　SQL Server攻击的防护 3.1　拒绝服务攻击概述 3.1.1　DoS定义 3.1.2 拒绝服务攻击的分类 3.1.3　常见DoS攻击 3.1.4　分布式拒绝服务 3.1.5　拒绝服务攻击的防护 3.1.1　DoS定义 拒绝服务，英文为“Denial of Service”，也就是我们常说的DoS。 3.1.2 拒绝服务攻击的分类 拒绝服务攻击可以是物理的（硬件的），也可以是逻辑的（Logic Attack），也称为软件的（Software Attack）。物理形式的攻击如偷窃、破坏物理设备，破坏电源等。物理攻击属于物理安全的范围，不在本书的讨论之列。本书中只讨论后一种形式的攻击。 3.1.3　常见DoS攻击 1．SYN?洪水?(?SYN?flood?)?： 2．IP?欺骗?DoS： 3．死亡之?ping?(Ping?of?Death?)?： 4．泪滴(?TearDrop)?攻击： 5．UDP?flood攻击： 6．Land?（Land?Attack）攻击： 7．Smurf攻击： 3.1.4　分布式拒绝服务 分布式拒绝服务攻击DDOS(Distributed Denial of Service)是对传统拒绝服务攻击的发展，攻击者向网络服务器发起众多携带非法IP地址的服务请求，服务器在回复该请求后进入等待客户端回传消息的状态。 被DDoS攻击时的现象： ① 被攻击主机上有大量等待的TCP连接 ② 网络中充斥着大量的无用的数据包，源地址为假 ③ 制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯 ④ 利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求 ⑤ 严重时会造成系统死机 黑客进行DDoS攻击时会经过这样的步骤 (1)搜集了解目标的情况 (2) 占领傀儡机 (3) 实际攻击 3.1.5　拒绝服务攻击的防护 与DoS做斗争，不同的角色有不同的任务 ① 企业网管理员 ② SP、ICP管理员 ③ 骨干网络运营商 ④ 企业网管理员 1．主机上的设置 几乎所有的主机平台都有抵御DoS的设置，总结一下，基本的有几种： (1) 关闭不必要的服务 (2) 限制同时打开的Syn半连接数目 (3) 缩短Syn半连接的time out 时间 (4) 及时更新系统补丁 2．网络设备上的设置 企业网的网络设备可以从防火墙与路由器上考虑。这两个设备是到外界的接口设备，在进行防DoS设置的同时，要注意一下这是以多大的效率牺牲为代价的，对你来说是否值得。 (1) 防火墙 ① 禁止对主机的非开放服务的访问 ② 限制同时打开的SYN最大连接数 ③ 限制特定IP地址的访问 ④ 启用防火墙的防DDoS的属性 ⑤ 严格限制对外开放的服务器的向外访问 (2) 路由器 以Cisco路由器为例 ① Cisco Express Forwarding（CEF） ② 使用 unicast reverse-path ③ 访问控制列表（ACL）过滤 ④ 设置SYN数据包流量速率 ⑤ 升级版本过低的ISO ⑥为路由器建立log server 3．ISP / ICP管理员 ISP / ICP为很多中小型企业提供了各种规模的主机托管业务，所以在防DoS时，除了与企业网管理员一样的手段外，还要特别注意自己管理范围内的客户托管主机不要成为傀儡机。客观上说，这些托管主机的安全性普遍是很差的，很容易成为黑客最喜欢的”肉鸡”，因为不管这台机器黑客怎么用都不会有被发现的危险，它的安全管理太差了；还不必说托管的主机都是高性能、高带宽的简直就是为DoS定制的。而做为ISP的管理员，对托管主机是没有直接管理的权力的，只能通知让客户来处理。在实际情况时，有很多客户与自己的托管主机服务商配合得不是很好，造成ISP管理员明知自己负责的一台托管主机成为了傀儡机，却没有什么办法的局面。 4．骨干网络运营商 他们提供了互联网存在的物理基础。如果骨干网络运营商可以很好地合作的话，DoS攻击可以很好地被预防。在2000年yahoo等知名网站被攻击后，美国的网络安全研究机构提出了骨干运营商联手来解决DoS攻击的方案。其实方法很简单，就是每家运营商在自己的出口路由器上进行源IP地址的验证，如果在自己的路由表中没有到这个数据包源IP的路由，就丢掉这个包。这种方法可以阻止黑客利用伪造的源IP来进行DoS攻击。 3.2　基于漏洞入侵的防护方法 3.2.1　基于IIS漏洞入侵的防护方法　 IIS主要有以下5种漏洞。 （1）.ida.idq漏洞。 （2）.pri