服务器安全讨论课件

服务器安全攻略系统环境：Windowsserver2003+iis6.0+SQL2005+vs2005Contents诊断方法及其解决办法SQL注入式攻击及预防DDOS攻击及预防服务器攻击手段服务器的配置CompanyLogo服务器配置

基本配置：安装服务器补丁安装杀毒软件设置端口保护和防火墙、删除默认共享权限设置NTFS权限设置，请记住分区的时候把所有的硬盘都分为NTFS分区，然后我们可以确定每个分区对每个用户开放的权限每个IIS站点或者虚拟目录，都可以设置一个匿名访问用户

禁用不必要的服务开始-运行-services.msc修改注册表，让系统更强壮

CompanyLogoDDOS攻击SYN/ACKFlood攻击：这种攻击方法是经典最有效的DDOS方法，可通杀各种系统的网络服务，主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包。判断方法：服务器无法访问，会导致Ping失败、TCP/IP栈失效，不响应键盘和鼠标。TCP全连接攻击：这种攻击是为了绕过常规防火墙的检查而设计的，导致服务器资源被耗尽。Script脚本攻击：服务器建立正常的TCP连接，并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用。轻松找一些Proxy代理就可实施攻击。

CompanyLogoSQL注入式攻击注入式攻击是指利用设计上的漏洞,在目标服务器上运行sql命令以及进行其他方式的攻击,动态生成sql命令是没有对用户输入的数据进行验证,这是注入式攻击原理.

最常见的也就是在查询字符串中直接输入SQL攻击字符串例如：page.asp?id=Numandexists(select*from[admin])其次就是在FORM表单中提交的SQL注入攻击字段。通过COOKIE绕过一些放注入的脚本程序例如:javascript:alert(document.cookie="id="+escape("这就是asp?id=xx后面xx代表的数值)and(这里是注入攻击代码)"));还有就是上面几种的攻击通过16进制编码后，绕过SQL注入检测的脚本程序CompanyLogoSQL注入式预防对于构造SQL查询的技术，可以使用下面的技术：替换单引号，即把所有单独出现的单引号改成两个单引号，防止攻击者修改SQL命令的含义。删除用户输入内容中的所有连字符，防止攻击者构造出类如“SELECT*fromUsersWHERElogin=‘mas’——ANDpassword=‘’”之类的查询，因为这类查询的后半部分已经被注释掉，不再有效，攻击者只要知道一个合法的用户登录名称，根本不需要知道用户的密码就可以顺利获得访问权限。对于用来执行查询的数据库帐户，限制其权限。用不同的用户帐户执行查询、插入、更新、删除操作。由于隔离了不同帐户可执行的操作，因而也就防止了原本用于执行SELECT命令的地方却被用于执行INSERT、UPDATE或DELETE命令。CompanyLogoSQL注入式预防强迫使用参数化语句在编写SQL语句的时候，用户输入的变量不是直接嵌入到SQL语句。而是通过参数来传递这个变量的话，那么就可以有效的防治SQL注入式攻击。也就是说，用户的输入绝对不能够直接被嵌入到SQL语句中。与此相反，用户的输入的内容必须进行过滤，或者使用参数化的语句来传递用户输入的变量。参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。采用这种措施，可以杜绝大部分的SQL注入式攻击。使用SQL的参数方式.参数(Parameters)集合提供类型检测和长度检测.如果你使用参数集合,输入的内容将被当作文本值来对待,数据库不会执行包含在其中的代码.使用参数集方式的一个额外的好处是,你可以严格限定输入的类型和长度.如果输入型超出范围将会触发异常.CompanyLogoWebconfig文件配置验证ASP.NET的错误信息没有被返回到客户端你可以使用<customErrors>元素来配置客户端,一般的错误信息应该被程序错误检测机制返回到客户端.请确认已经更改web.config中的mode属性为"remoteOnly",下面是示例.<customErrorsmode="remoteOnly">安在装了一个ASP.NET的程序之后，你可以按照如下设定指定客户端的错误信息页面。<customErrorsmode="on"defaultRedirect="YourErrorPage.htm">On指定启用自定义错误。如果未指定defaultRedirect，用户将看到一般性错误。Off指定禁用自定义错误。这允许显示标准的详细错误。RemoteOnly指定仅向远程客户端显示自定义错误并且向本地主机显示ASP.NET错误。

CompanyLogowin2003整体配置整理1)隐藏重要文件/目录可以修改注册表实现完全隐藏HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFolderHi-ddenSHOWALL”，鼠标右击“CheckedValue”，选择修改，把数值由1改为02)防止SYN洪水攻击HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

新建DWORD值，名为SynAttackProtect，值为2

新建EnablePMTUDiscoveryREG_DWORD0

新建NoNameReleaseOnDemandREG_DWORD1

新建EnableDeadGWDetectREG_DWORD0

新建KeepAliveTimeREG_DWORD300,000

新建PerformRouterDiscoveryREG_DWORD0

新建EnableICMPRedirectsREG_DWORD0

CompanyLogoWin2003整体配置整理YourTextYourText6)禁止IPC空连接：

cracker可以利用netuse命令建立空连接，进而入侵，还有netview，nbtstat这些都是基于空连接的，禁止空连接就好了。

Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous把这个值改成”1”即可。7)更改TTL值

cracker可以根据ping回的TTL值来大致判断你的操作系统，如：

TTL=107(WINNT);

TTL=108(win2000);

TTL=127或128(win9x);

TTL=240或241(linux);

TTL=252(solaris);

TTL=240(Irix);8)禁止建立空连接

默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接：

Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous的值改成”1”即可。CompanyLogo杜绝基于Guest账户的入侵

Guest账户即所谓的来宾账户，它可以访问计算机，但受到限制。不幸的是，Guest也为黑客入侵打开了方便之门！网上有很多文章中都介绍过如何利用Guest用户得到管理员权限的方法，所以要杜绝基于Guest账户的系统入侵。禁用或彻底删除Guest账户是最好的办法，但在某些必须使用到Guest账户的情况下，就需要通过其它途径来做好防御工作了。首先要给Guest设一个密码，然后详细设置Guest账户对物理路径的访问权限。举例来说，如果你要防止Guest用户可以访问tool文件夹，可以右击该文件夹，在弹出菜单中选择“安全”标签，从中可看到可以访问此文件夹的所有用户。删除管理员之外的所有用户即可。或者在权限中为相应的用户设定权限，比方说只能“列出文件夹目录”和“读取”等，这样就安全多了。只给Guest读取的权限，只有administrator读取和修改的权限。CompanyLogoWin2003整体配置整理AddYourTitle9)建议使用W3C扩充日志文件格式，每天记录客户IP地址，用户名，服务器端口，方法，URI字根，HTTP状态，用户代理，而且每天均要审查日志。（最好不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许管理员和system为FullControl）。

10)程序安全:

A.

涉及用户名与口令的程序最好封装在服务器端，尽量少的在ASP文件里出现，涉及到与数据库连接地用户名与口令应给予最小的权限;

B.

需要经过验证的ASP页面，可跟踪上一个页面的文件名，只有从上一页面转进来的会话才能读取这个页面;

C.

防止ASP主页.inc文件泄露问题;

D.

防止UE等编辑器生成some.asp.bak文件泄露问题。

CompanyLogo免受黑客扫描你的IP

关闭135.139.445.3389端口电脑上点右键选属性-->远程，将里面的远程协助和远程桌面两个选项框里的勾去掉在找到找到这个服