网络安全技术与实训（微课版）（第5版） 课件 第3章 Linux服务的攻击与防护

第3章Linux服务的攻击与防护《网络安全技术与实训》（微课版）（第5版）主讲人：课程引入你知道哪些操作系统？你使用过哪些操作系统？学习要点（思政要点） 了解Linux服务存在的威胁（安全意识） 掌握基于Web服务的攻击与防范（工匠精神）了解基于DNS服务的攻击与防范（精益求精）了解基于NFS服务的攻击与防范（严谨认真）33第3章Linux服务的攻击与防护基于DNS服务的攻击与防范3.3基于NFS服务的攻击与防范33.4基于Web服务的攻击与防范3.2Linux服务的安全概述3.13.1Linux服务的安全概述Linux是一种开源代码操作系统，以Linux作为操作系统来说一旦发现有安全漏洞问题，互联网上世界各地的操作系统爱好者会踊跃修补它。当服务器运行的服务越来越多时，服务器的配置不当会给黑客可乘之机，通过适当的配置来防范来自网络的攻击，针对不同的Linux服务，有各自不同的安全策略。33第3章Linux服务的攻击与防护基于DNS服务的攻击与防范3.3基于NFS服务的攻击与防范33.4基于Web服务的攻击与防范3.2Linux服务的安全概述3.101Apache工作原理02Apache服务器的特点03Apache服务器的常用攻击04Apache服务器的安全防范05使用SSL加固Apache3.2基于Web服务的攻击与防范3.2.1Apache的工作原理3.2基于Web服务的攻击与防范基于Web服务的攻击与防范在当今互联网的大环境下，Web服务已经成为公司企业必不可少的业务，大多数的安全问题也跟随而来，攻击重点也转移为Web攻击，许多Web与颇有价值的客户服务与电子商业活动结合在一起，这也是吸引恶意攻击重要原因。Apache的工作原理Web系统是C/S模式的，分服务器程序和客户端程序两部分。在客户端浏览器的地址栏内输入统一资源定位地址（URL)来访问Web页面。WWW服务遵从HTTP协议，默认的TCP/IP端口是80，客户端与服务器的通信过程如图所示。3.2.2Apache服务器的特点3.2基于Web服务的攻击与防范Apache服务器的特点（1）Apache是最先支持HTTP/1.1协议的Web服务器之一。（2）Apache是支持通用网关接口（CGI),并且提供了扩充的特征。（3）支持HTTP认证。（4）支持安全Socket层（SSL)。（5）用户会话过程的跟踪能力。3.2.3Apache服务器的常用攻击3.2基于Web服务的攻击与防范Apache服务器的常用攻击（1）Apache服务器HTTP拒绝服务攻击攻击者通过某些工具和手段耗尽计算机CUP和内存资源，使Apache服务器拒绝对HTTP应答，最终造成系统变慢甚至出现瘫痪故障。常见的攻击手段有以下几种：

Floody数据包洪水攻击。

路由不可达。

磁盘攻击。

分布式拒绝服务攻击。Apache服务器的常用攻击（2）恶意脚本攻击使得服务器内存缓存区溢出脚本编写过程中使用的静态内存申请，攻击者利用此点发送一个超出范围的指令请求造成缓冲区溢出。一旦发生溢出，攻击者可以执行恶意代码来控制。Apache服务器的常用攻击（3）非法获取root权限如果Apache以root权限运行，系统上一些程序的逻辑缺陷或缓冲区溢出漏洞，会让攻击者很容易在本地系统获取Linux服务器上的管理者权限，在一些远程情况下，攻击者会利用一些以root身份执行的有缺陷的系统守护进程来取得root权限，或利用有缺陷的服务进程漏洞来取得普通用户权限，以远程登陆，进而控制整个系统。3.2.4Apache服务器的安全防范3.2基于Web服务的攻击与防范Apache服务器的安全防范（1）Apache服务器用户权限最小化按照最小特权的原则，让Apache以指定的用户和组来运行（即不使用系统预定的帐户），并保证运行Apache服务的用户和用户组有一个合适的权限。范例：Apache服务器的安全防范（2）Apache服务器访问控制方法范例：3.2.5使用SSL加固Apache3.2基于Web服务的攻击与防范使用SSL加固ApacheSSL为安全套接层（SecureSocketsLayer),是一种为网络通信提供安全以及数据完整性的安全协议，它在传输层对网络进行加密。它主要是分为两层：

SSL记录协议：为高层协议提供安全封装、压缩、加密等基本功能。

SSL握手协议：用于在数据传输开始前进行通信双方的身份验证、加密算法的协商、交换密钥。使用SSL加固ApacheHTTPS是在HTTP的基础上加入SSL协议（即HTTPS=HTTP+SSL）。传输以密文传输，保证数据传输的安全以及确认网站的真实性（数字证书）。客户端用公用密钥加密数据，并且发送给服务器自己的密钥，以唯一确定自己，防止在系统两端之间有人冒充服务器或客户端进行欺骗。加密的HTTP连接端口使用443而不是普通的80端口，以此来区别没有加密的连接。SSL验证和加密的具体过程（1）用户使用浏览器通过HTTPS协议访问Web服务器站点，发出SSL握手信号。（2）Web服务器发出回应，并出示服务器证书（公钥），显示系统Web服务器站点身份。（3）浏览器验证服务器证书，并生成一个随机的会话密钥，密钥长度达到128位。（4）浏览器用Web服务器的公钥加密该会话密钥。（5）浏览器将会话密钥的加密结果发送Web服务器。（6）Web服务器用自己的私钥解密得出真正的会话密钥。（7）现在浏览器和Web服务器都拥有同样的会话密钥，双方可以放心使用这个会话密钥来加密通信内容。（8）安全通信通道建立成功。33第3章Linux服务的攻击与防护基于DNS服务的攻击与防范3.3基于NFS服务的攻击与防范33.4基于Web服务的攻击与防范3.2Linux服务的安全概述3.101DNS服务器介绍02DNS服务器常见网络威胁03DNS服务的安全防范3.3基于DNS服务的攻击与防范3.3.1DNS服务器介绍3.3基于DNS服务的攻击与防范DNS服务器介绍DNS是DomainNameSystem的缩写，它提供将域名转换成IP地址。DNS服务器可以分为三种，高速缓存服务器（Cache-onlyServer）、主DNS服务器(Primary

NameServer)、辅助DNS服务器（Second

Namne

Server）。DNS的查询方式有递归和迭代两种。DNS服务器介绍Linux下的DNS功能是通过BIND软件实现的。BIND软件安装后，会产生若干文件，大致分为两类，一类是配置文件在／etc目录下，一类是DNS记录文件在／var/named目录下。位于／etc目录下主要有esolv.conf、named.conf。前者用来解析DNS,后者是DNS最关键最核心的配置文件。3.3.2DNS服务器常见的网络攻击3.3基于DNS服务的攻击与防范DNS服务器常见的网络威胁（1）内外部攻击当攻击者以非法手段控制一台DNS服务器，可以直接操作域名数据库，修改IP地址和对应的域名，利用域名为假冒的IP地址欺骗用户，这就是内部攻击。DNS协议格式中响应数据包的序列号，攻击者伪造序列号伪装假服务器端欺骗客户端响应，因而使用户访问攻击者期望的网页。这个就是序列号攻击也是外部攻击。DNS服务器常见的网络威胁（2）BIND默认值导致信息泄露BIND是一种高效的域名软件。当BIND的默认设置就可能导致主DNS服务器与辅助DNS服务器中之间的区域传送。区域传送中辅助DNS服务器可以获得整个授权区域的所有主机信息，一旦信息泄露，攻击者可以轻松掌握防护较弱的主机。DNS服务器常见的网络威胁（3）Cache缓存中毒DNS的工作原理是当一个服务器收到域名和IP的映射时，信息被存入高速缓存。映射表是按时限更新的。攻击者可以利用假冒缓存更新表进行DNS欺骗或DOS拒绝服务攻击。3.3.3DNS服务的安全防范3.3基于DNS服务的攻击与防范DNS服务的安全防范（1）禁用递归查询功能禁止递归查询可以使DNS服务器进入被动模式，它再次向外部的DNS发送查询请求时，只能自己授权域的查询请求，而不会缓存任何外部的数据，所以不可能遭受缓存中毒攻击，但是禁用递归查询同时降低了DNS的域名解析速度和效率。以下语句仅允许网段的主机进行递归查询：allow-recusion｛/24;}DNS服务的安全防范（2）限制区域传送（ZoneTransfer)区域传送导致DNS服务器允许对任何人都进行区域传输，网络中的主机名、主机IP列表、路由器名和路由IP列表，甚至包括各主机所在的位置和硬件配置等情况都很容易被入侵者得到在DNS配置文件中。通过设置来限制允许区传送的主机，从一定程度上能减轻信息泄露。DNS服务的安全防范（3）限制查询通过限制DNS服务器的服务范围，可以避免入侵者的攻击。修改BIND的配置文件：／etc/named.conf加入以下内容即可限制只有/24和/24网段的主机可以查询本地服务器的所有区信息。DNS服务的安全防范（4）隐藏BIND的版本信息。攻击者可以利用版本号来获取这些版本具有哪些漏洞，通过漏洞就可以对DNS进行攻击。修改／etc/name.conf文件，将option里的version改成unkown：33第3章Linux服务的攻击与防护基于DNS服务的攻击与防范3.3基于NFS服务的攻击与防范33.4基于Web服务的攻击与防范3.2Linux服务的安全概述3.101NFS服务器介绍02NFS服务器配置03NFS服务的安全防范3.4基于NFS服务的攻击与防范3.4.1NFS服务器介绍3.4基于NFS服务的攻击与防范NFS服务器介绍NFS服务器全称为NetworkFileSystem，即网络文件系统。NFS是分散式文件系统使用的协议，它的目的是通过网络让不同的机器、不同的操作系统能够彼此分享个别的数据，是实现磁盘文件共享的一种方法。NFS服务器介绍NFS的基本原则是“允许不同的类型操作系统的客户端及服务端通过一组RPC（远程过程调用）分享相同的文件系统”，它是独立于操作系统，容许不同硬件及操作系统的系统共同进行文件的分享。NFS本质是不携带提供信息传输的协议和功能的，它靠RPC功能让用户通过网络来共享信息。3.4.2NFS服务器配置3.4基于NFS服务的攻击与防范NFS的安装NFS的安装是非常简单的，安装两个软件包即可，而且在一般情况系统是默认安装的。NFS的常用目录NFS的常用目录3.4.3NFS服务的安全防范3.4基于NFS服务的攻击与防范NFS服务的安全防范NFSServer的／home/yangwh/共享给/24网段，权限读写。＃vi/etc/exports／home/yangwh/24(rw)范例一：NFS服务的安全防范确保／etc/exports具有最严格的访问权限设置。为了确保／etc/exports的安全性禁止使用任何