拒绝服务与数据库安全

拒绝服务与数据库安全

拒绝服务攻击概述3.1

基于漏洞入侵的防护方法3.2SQL数据库安全3.3SQLServer攻击的防护

3.43.1拒绝服务攻击概述3.1.1DoS定义

DoS(DenialOfService)拒绝服务，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。

DoS攻击的原理：借助网络系统或协议的缺陷以及配置漏洞进行网络攻击，使网络拥塞、系统资源耗尽或系统应用死锁，妨碍目标主机和网络系统对正常用户服务请求的及时响应，造成服务的性能受损，甚至导致服务中断。

DoS攻击的基本过程。

图3.1DoS攻击的基本过程

3.1.2拒绝服务攻击的分类拒绝服务攻击可以是“物理的”（又称“硬件的”），也可以是“逻辑的”（又称“软件的”）。

按攻击的目标又可分为节点型和网络连接型。节点型:主机型攻击

应用型攻击

网络连接型

按照攻击方式来分可以分为：资源消耗、服务中止和物理破坏。

1.资源消耗带宽耗尽攻击系统资源耗尽攻击

2.服务中止

3.物理破坏按受害者类类型可以分分为服务器器端拒绝服服务攻击和和客户端拒拒绝服务攻攻击。1.服务器端拒拒绝服务攻攻击2.客户端拒绝绝服务攻击击3.1.3常见DoS攻击1．Land程序攻击Land攻击，是利利用向目标标主机发送送大量的源源地址与目目标地址相相同的数据据包，造成成目标主机机解析Land包时占用大大量的系统统资源，从从而使网络络功能完全全瘫痪的攻攻击手段。。2．SYNFlood攻击这是一种利利用TCP协议缺陷，，发送大量量伪造的TCP连接请求，，使被攻击击方资源耗耗尽（CPU满负荷或内内存不足））的攻击方方式。实现过程:第一次握手手。第二次握手手。三次握手完完成。3．IP欺骗DoS攻击4．Smurf攻击攻击者伪装装成被攻击击者向某个个网络上的的广播设备备发送请求求，该广播播设备会将将这个请求求转发到该该网络的其其他广播设设备，导致致这些设备备都向被攻攻击者发出出回应，从从而达到以以较小代价价引发大量量攻击的目目的。5．PingofDeath这种攻击通通过发送大大于65536字节的ICMP包造成操作作系统内存存溢出、系系统崩溃、、重启、内内核失败等等后果，从从而达到攻攻击的目的的6．Teardrop攻击泪滴（Teardrop）攻击，，是基于于UDP的病态分分片数据据包的攻攻击方法法，利用用在TCP/IP堆栈中实实现信任任IP碎片中的的包的标标题头所所包含的的信息来来实现自自己的攻攻击。7．WinNuke攻击WinNuke攻击是一一种拒绝绝服务攻攻击。攻击特征征：WinNuke攻击又称称带外传传输攻击击，它的的特征是是攻击目目标端口口，被攻攻击的目目标端口口通常是是139、138、137、113、53，而且URG位设为““1”，即紧急急模式。。检测方法法：判断断数据包包目标端端口是否否为139、138、137等，并判判断URG位是否为为“1”。反攻击方方法：适适当配置置防火墙墙设备或或过滤路路由器就就可以防防止这种种攻击手手段（丢丢弃该数数据包）），并对对这种攻攻击进行行审计（（记录事事件发生生的时间间，源主主机和目目标主机机的MAC地址和IP地址MAC）。3.1.4分布式拒拒绝服务务分布式拒拒绝服务务（DistributedDenialofService，DDoS），是一一种基于于DoS的特殊形形式的拒拒绝服务务攻击，，是一种种分布、、协作的的大规模模攻击方方式，主主要瞄准准比较大大的站点点，像商商业公司司、搜索索引擎或或政府部部门的站站点。图3.2分布式拒拒绝服务务DDoS攻击分为为3层：攻击击者、主主控端和和代理端端。1．Trinoo2．TFN3．TFN2K4．Stacheldraht检测DDoS攻击的主要方方法有以下几几种。根据异常情况况分析使用DDoS检测工具安全防御措施施有以下几种种。及早发现系统统存在的攻击击漏洞，及时时安装系统补补丁程序。在网络管理方方面，要经常常检查系统的的物理环境，，禁止那些不不必要的网络络服务。利用网络安全全设备（例如如防火墙）来来加固网络的的安全性，配配置好它们的的安全规则，，过滤掉所有有可能的伪造造数据包。比较好的防御御措施就是和和网络服务提提供商协调工工作，让他们们帮助实现路路由访问控制制和对带宽总总量的限制。。当发现正在在遭受DDoS攻击时，应应当及时启启动应付策策略，尽可可能快地追追踪攻击包包，并且要要及时联系系ISP和有关应急急组织，分分析受影响响的系统，，确定涉及及的其他节节点，从而而阻挡已知知攻击节点点的流量。。3.1.5拒绝服务攻攻击的防护护拒绝服务攻攻击的防护护一般包含含两个方面面：一是针针对不断发发展的攻击击形式，尤尤其是采用用多种欺骗骗技术的技技术，能够够有效地进进行检测；；二，也是是最为重要要的，就是是如何降低低对业务系系统或者是是网络的影影响，从而而保证业务务系统的连连续性和可可用性。通常建议用用户可以采采取以下手手段来保障障网络能够够抵御拒绝绝服务攻击击。①增加网络核核心设备的的冗余性，，提高对网网络流量的的处理能力力和负载均均衡能力。。②通过路路由器配置置访问列表表过滤掉非非法流量。。③部署防火墙墙，提高网网络抵御网网络攻击的的能力。④部署入入侵检测设设备，提高高对不断更更新的DoS攻击的识别别和控制能能力。3.2基于漏洞入入侵的防护护方法3.2.1基于IIS漏洞入侵的的防护方法法1．.ida&.idq漏洞漏洞描述ISAPI扩展存在远程缓冲溢出漏洞。攻击者可以利用该漏洞获得Web服务器的System权限来访问远程系统受影响系统MicrosoftWindowsNT4.0(SP0-SP6)MicrosoftWindows2000(SP0-SP2)检测方法手工检测；工具监测（X-Scan）表3.1.ida&.idq漏洞简介续表表2．.printer漏洞洞描述Windows2000IIS5.0.printerISAPI扩展存在缓冲区溢出漏洞一般情况下攻击会使Web服务器停止响应，但Windows2000会检测到Web服务没有响应而重新启动服务器，因此，管理员比较难发现这种攻击该漏洞非常危险，仅仅需要Windows2000打开80端口（http）或者443端口（https）,微软公司强烈要求在未打补丁之前一定要移除ISAPI网络打印的映射表3.2.printer漏洞洞简简介介受影响系统Windows2000Server（IIS5.0）Windows2000AdvancedServer（IIS5.0）Windows2000DatacenterServer（IIS5.0）监测工具X-Scan解决方案（1）为Windows2000操作系统打SP4补丁（2）安装漏洞补丁续表表3．Unicode目录录遍遍历历漏漏洞洞漏洞描述该漏洞既是一个远程漏洞，同时也是一个本地漏洞，攻击者可通过IE浏览器远程运行被攻击计算机的cmd.exe文件，从而使该计算机的文件暴露，且可随意执行和更改文件微软IIS4.0和5.0都存在利用扩展Unicode字符取代“/”和“\”而能利用“../”目录遍历的漏洞。未经授权的用户可能利用IUSR_machinename账号的上下文空间访问任何已知的文件。该账号在默认情况下属于Everyone和Users组的成员，因此任何与Web根目录在同一逻辑驱动器上的能被这些用户组访问的文件都能被删除、修改或执行，就如同一个用户成功登录所能完成的一样表3.3Unicode目录录遍遍历历漏漏洞洞简简介介受影响系统MicrosoftWindowsNT/2000(IIS5.0)MicrosoftWindowsNT4.0(IIS4.0)检测工具手工检测；工具检测（X-Scan）续表表续表表4．.asp映射射分分块块编编码码漏漏洞洞漏洞描述Windows2000和NT4IIS.asp映射存在远程缓冲溢出漏洞ASPISAPI过滤器默认在所有NT4和Windows2000系统中装载，存在的漏洞可以导致远程执行任意命令恶意攻击者可以使用分块编码形式把数据传送给IIS服务器，当解码和解析这些数据时，可以强迫IIS把入侵者提供的数据写到内存的任意位置。通过此漏洞可以导致Windows2000系统产生缓冲溢出，并以IWAM_computer_name用户的权限执行任意代码，而在WindowsNT4下可以以system的权限执行任意代码表3.4.asp映射射分分块块编编码码漏漏洞洞简简介介受影响系统MicrosoftWindowsNT4.0+IIS4.0MicrosoftWindows2000+IIS5.0检测工具X-Scan解决方案（1）为操作系统打补丁（2）安装漏洞补丁续表表5．WebDAV远程程缓缓冲冲区区溢溢出出漏漏洞洞漏洞描述MicrosoftIIS5.0带有WebDAV组件、对用户输入的、传递给ntdll.dll程序处理的请求未做充分的边界检查，远程入侵者可以通过向WebDAV提交一个精心构造的超长数据请求而导致发生缓冲区溢出。这可能使入侵者以localsystem的权限在主机上执行任意指令受影响系统Windows2000(SP0-SP3)检测工具WebDAVScan.exe是IIS中WebDAV漏洞的专用扫描器。解决方案为操作系统打补丁表3.5WebDAV远程程缓缓冲冲区区溢溢出出漏漏洞洞简简介介6．MicrosoftIIS6.0Web安全全漏漏洞洞安全全解解决决方方案案如如下下所所示示。。转移移根根目目录录，，不不要要把把Web根目录建建在系统统磁盘（（C:\）。把IIS目录的权权限设置置为只读读。如果IIS只用来提提供静态态网页，，即不提提供ASP、JSP、CGI等脚本服务，那那么建议议删除脚脚本目录录，或者者说，删删除全部部默认安安装目录录，并禁禁止任何何脚本、、应用程程序执行行，并删删除应用用程序配配置里面面的“ISAPI”应用程序序、禁止止脚本测测试等。。设置安全全日志，，并把该该日志存存在一个个不显眼眼的路径径下。安装网络络防火墙墙，并禁禁用除80端口以外外所有端端口的内内外通信信连接。。经常备份份，并把把备份文文件存储储在另一一台计算算机上。。3.2.2基于电子子邮件服服务攻击击的防护护方法IMAP和POP漏洞。。拒绝服务务（DoS）攻击。。死亡之ping同步攻击击循环系统配置置漏洞默认配置置空的/默认根密密码漏洞创建建利用软件件问题缓冲区溢溢出意外组合合未处理的的输入利用人为为因素特洛伊木木马及自自我传播播远程访问问数据发送送破坏拒绝服务务代理解决方法法有以下下3种。（1）在电子子邮件系系统周围围锁定电电子邮件件系统——电子邮件件系统周周边控制制开始于于电子邮邮件网关关的部署署。电子子邮件网网关应根根据特定定目的与与加固的的操作系系统和防防止网关关受到威威胁的入入侵检测测功能一一起构建建。（2）确保外外部系统统访问的的安全性性—电子邮件件安全网网关必须须负责处处理来自自所有外外部系统统的通信信，并确确保通过过的信息息流量是是合法的的。通过过确保外外部访问问的安全全，可以以防止入入侵者利利用Web邮件等应应用程序序访问内内部系统统。（3）实时监监视电子子邮件流流量—实时监视视电子邮邮件流量量对于防防止黑客客利用电电子邮件件访问内内部系统统是至关关重要的的。检测测电子邮邮件中的的攻击和和漏洞攻攻击（如如畸形MIME）需要持持续监视视所有的的电子邮邮件。3.2.3注册表入入侵的防防护方法法根项名称说明HKEY_LOCAL_MACHINE包含关于本地计算机系统的信息，包括硬件和操作系统数据，如总线类型、系统内存、设备驱动程序和启动控制数据HKEY_CLASSES_ROOT包含由各种OLE技术使用的信息和文件类别关联数据。如果HKEY_LOCAL_MACHINE（或HKEY_CURRENT_USER）\SOFTWARE\Classes中存在某个键或值，则对应的键或值将出现在HKEY_CLASSES_ROOT中。如果两处均存键或值，HKEY_CURRENT_USER版本将是出现在HKEY_CLASSES_ROOT中的一个表3.6注册表根根项名称称说明HKEY_CURRENT_USER包含当前以交互方式（与远程方式相反）登录的用户的用户配置文件，包括环境变量、桌面设置、网络连接、打印机和程序首选项。该子目录树是HKEY_USERS子目录的别名，并指向HKEY_USERS\当前用户的安全ID续表根项名称说明HKEY_USERS包含关于动态加载的用户配置文件和默认配置文件的信息。包含同时出现在HKEY_CURRENT_USER中的信息。要远程访问服务器的用户在服务器上的该项下没有配置文件，他们的配置文件将加载到他们自己计算机的注册表中HKEY_CURRENT_CONFIG包含在启动时由本地计算机系统使用的硬件配置文件的相关信息。该信息用于配置一些设置，如要加载的设备驱动程序和显示时要使用的分辨率。该子目录树是HKEY_LOCAL_MACHINE子目录树的一部分，并指向HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\HardwareProfiles\Current续表数据类型说明REG_BINARY未处理的二进制数据。二进制是没有长度限制的，可以是任意个字节的长度。多数硬件组件信息都以二进制数据存储，而以十六进制格式显示在注册表编辑器中。如：“CustomColors”的键值就是一个二进制数据，双击键值名，出现“编辑二进制数值”对话框REG_DWORD数据由4字节（32位）长度的数表示。许多设备驱动程序和服务的参数都是这种类型，并在注册表编辑器中以二进制、十六进制或十进制的格式显示表3.7注册表数数据类型型说明REG_EXPAND_SZ长度可变的数据串，一般用来表示文件的描述、硬件的标识等，通常由字母和数字组成，最大长度不能超过255个字符。REG_MULTI_SZ多个字符串。其中格式可被用户读取的列表或多值。常用空格、逗号或其他标记分开REG_SZ固定长度的文本串REG_FULL_RESOURCE_DESCRIPTOR设计用来存储硬件元件或驱动程序的资源列表的一系列嵌套数组续表通过以以下两两种方方法增增强注注册表表的安安全性性。1．禁止止使用用注册册表编编辑器器方法一一：打打开一一个““记事事本””文件件，如如果计计算机机的操操作系系统是是Windows2000\XP，在其其中输输入以以下文文字：：WindowsRegistryEditorVersion5.00HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]““Disableregistrytools””=dword:00000000如果操作系系统是Windows98或Windows95，则输入如如下文字：：REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]““Disableregistrytools”=dword:00000000将文件保存存为名为““Unlock.reg”的注册表文文件。双击击运行该文文件，即可可将该文件件导入到注注册表中，，然后使用用常规打开开注册表编编辑器的方方法就可以以重新打开开注册表编编辑器了。。方法二：在在Windows2000\XP\2003系统中，从从“开始””菜单中选选择“运行行”，在打打开的“运运行”对话话框中输入入“Gpedit.msc”，单击“确确定”按钮钮，即可打打开“组策策略”对话话框（见图图3.4）。从左侧栏中中依次选择择“用户配配置”→““管理模板板”→“系系统”选项项，在右侧侧栏中双击击“阻止访访问注册表表编辑工具具”，可以以打开“阻阻止访问注注册表编辑辑工具属性性”对话框框，选择““已禁用””单选项，，单击“确确定”按钮钮，即可恢恢复禁用的的注册表编编辑器。如如图3.5所示。图3.4组策略编辑辑器图3.5““阻止访问注注册表编辑辑工具属性性”对话框框2．删除“远远程注册表表服务”（（RemoteRegistryService）方法是找到到注册表中中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下的RemoteRegistry项，在其上上单击鼠标标右键，选选择“删除除”选项，，将该项删删除后就无无法启动该该服务了，，即使我们们通过“控控制面板””→“管理理工具”→→“服务””中启动也也会出现相相应的错误误提示，根根本无法启启动该服务务。3.2.4Telnet入侵的防护护方法禁用Telnet服务,防范IPC漏洞，禁用用建立空连连接，3.3SQL数据库安全全3.3.1数据库系统统概述3.3.2SQL服务器的发发展1970年6月，1987年，1993年，1996年，1998年，2000年9月，2005年。3.3.3数据库技术术的基本概概念数据（Data）数据库（DB）数据库管理理系统（DBMS）数据库系统统（DBS）数据据库库技技术术数据据模模型型两种种类类型型。。一种种是是独独立立于于计计算算机机系系统统的的数数据据模模型型，，完完全全不不涉涉及及信信息息在在计计算算机机中中的的表表示示，，只只是是用用来来描描述述某某个个特特定定组组织织所所关关心心的的信信息息结结构构，，这这类类模模型型称称为为““概概念念数数据据模模型型””。。另一一种种数数据据模模型型是是直直接接面面向向数数据据库库的的逻逻辑辑结结构构，，它它是是对对现现实实世世界界的的第第二二层层抽抽象象。。这这类类模模型型直直接接与与数数据据库库管管理理系系统统有有关关，，称称为为““逻逻辑辑数数据据模模型型””，，一一般般又又称称为为““结结构构数数据据模模型型””。。结构构数数据据模模型型应应包包含含数数据据结结构构、、数数据据操操作作和和数数据据完完整整性性约约束束3个部部分分。。3.3.4SQL安全全原原理理1．第第一一级级安安全全层层次次服务务器器登登录录，，SQLServer有两两种种服服务务器器验验证证模模式式：：安安全全模模式式和和混混合合模模式式服务器角色描述sysadmin可以执行SQLServer中的任何任务securityadmin可以管理登录serveradmin可以设置服务器选项（sp_configure）setupadmin可以设置连接服务器，运行SP_serveroptionprocessadmin管理服务器上的进程（有能力取消连接）diskadmin可以管理磁盘文件dbcreator可以创建、管理数据库bulkadmin可以执行BULKINSERT指令表3.8服务务器器角角色色及及其其主主要要功功能能2．第第二二级级安安全全层层次次它控控制制用用户户与与一一个个特特定定的的数数据据库库的的连连接接。。3．第第三三级级安安全全层层次次它允允许许用用户户拥拥有有对对指指定定数数据据库库中中一一个个对对象象的的访访问问权权限限，，由由数数据据库库角角色色来来定定义义。。（1）用用户户定定义义的的角角色色（2）固固定定数数据据库库角角色色固定数据库角色描述db_owner可以执行所有数据库角色的活动db_accessadmin可以增加或删除Windows组、用户和数据库中的SQLServer用户db_datareader可以阅读数据库中所有用户表的数据db_datawriter可以写或删除数据库中所有用户表的数据db_ddladmin可以增加、修改或放弃数据库的对象db_securityadmin可以管理角色和数据库角色的成员，管理数据库的参数和对象权限表3.9数据据库库角角色色及及其其主主要要功功能能固定数据库角色描述db_backupoperator可以备份数据库db_denydatareader不能选择数据库的数据db_denydatawriter不能改变数据库的数据续表表3.4SQLServer攻击击的的防防护护3.4.1信息息资资源源的的收收集集称之之为为SQLServer解决决服服务务方方案案。。3.4.2获取取账账号号及及扩扩大大权权限限入侵侵者者可可以以通通过过以以下下几几个个手手段段来来获获取取账账号号或或密密码码。。社会会（（交交））工工程程学学弱口口令令扫扫描描探测测包包暴力破解SQL口令其他方法3.4.3设置安全的SQLServer在进行SQLServer2000数据据库库的的安安全全配配置置之之前前，，需需要要完完成成3个基基本本的的安安全全配配置置。。对操操作作系系统统进进行行安安全全配配置置，，保保证证操操作作系系统统处处于于安安全全的的状状态态。。对要要使使用用的的数数据据库库软软件件（（程程序序））进进行行必必要要的的安安全全审审核核，，比比如如ASP、PHP等脚脚本本，，这这是是很很多多基基于于数数据据库库的的Web应用用常常出出现现的的安安全全隐隐患患，，对对于于脚脚本本主主要要是是一一个个过过滤滤问问题题，，需需要要过过滤滤一一些些类类似似于于““,””、““‘‘””、、““；；””、、““@””、““/””等的的字字符符，，防防止止破破坏坏者者构构造造恶恶意意的的SQL语句句进进行行注注入入。。安装SQLServer2000后，要打上上最新的补补丁。SQLServer2000的安全配置置。（1）使用安全全的密码策策略和账号号策略，减减少过多的的权限（2）激活审核核数据库事事件日志（3）清除危险险的扩展存存储过程（4）在与工作作相关的存存储过程上上设置严格格的权限（5）使用协议议加密（6）拒绝来自自1434端口的探测测（7）更改默认认的TCP/IP端口1433（8）对网络连连接进行IP限制（6）拒绝来自自1434端口的探测测9、静静夜夜四四无无邻邻，，荒荒居居旧旧业业贫贫。。。。1月月-231月月-23Thursday,January5,202310、雨中黄黄叶树，，灯下白白头人。。。20:46:2820:46:2820:461/5/20238:46:28PM11、以我独沈久久，愧君相见见频。。1月-2320:46:2820:46Jan-2305-Jan-2312、故故人人江江海海别别，，几几度度隔隔山山川川。。。。20:46:2820:46:2820:46Thursday,January5,202313、乍见见翻疑疑梦，，相悲悲各问问年。。。1月-231月-2320:46:2820:46:28January5,202314、他乡生白白发，旧国国见青山。。。05一月月20238:46:28下下午20:46:281月-2315、比不了得就就不比，得不不到的就不要要。。。一月238:46下下午1月-2320:46January5,202316、行动出成果果，工作出财财富。。2023/1/520:46:2820:46:2805January202317、做前，能能够环视四四周；做时时，你只能能或者最好好沿着以脚脚为起点的的射线向前前。。8:46:28下下午8:46下下午20:46:281月-239、没有失败，，只有暂时停停止成功！。。1月-231月-23Thursday,January5,202310、很多事事情努力力了未必必有结果果，但是是不努力力却什么么改变也也没有。。。20:46:2820:46:2820:461/5/20238:46:28PM11、成成功功就就是是日日复复一一日日那那一一点点点点小小小小努努力力的