返回页首攻击者能够进行远程攻击这一事实使 Web 服务器成为很有吸引力的目标。理解 Web 服务器所面临的威胁,而且能够找出适当的对策,使您能够预期许多攻击并阻止攻击者数目的不断增长。
web 服务器的主要威胁是:
分析 | |
拒绝服务 | |
未授权访问 | |
任意代码执行 | |
特权提升 | |
病毒、蠕虫,和特洛伊木马 |
图 1 总结了更主要的攻击和常见漏洞。
图 1. 主要的 Web 服务器威胁和常见漏洞
分析
分析(也称为主机枚举)是用来收集 Web 站点信息的探索性过程。攻击者使用这些信息攻击已知的弱点。
漏洞
使服务器易受分析影响的常见漏洞包括: | |
不必要的协议 | |
打开的端口 | |
web 服务器在旗标中提供配置信息 |
攻击
常见的用于分析的攻击包括:
端口扫描 | |
ping 扫射 | |
netbios 和服务器消息块 (SMB) 枚举 |
对策
对策包括阻塞所有不必要的端口,阻塞 Internet 控制消息协议 (Internet Control Message Protocol, ICMP) 流量,以及禁用不必要的协议(例如 NetBIOS 和 SMB)。
拒绝服务
在您的服务器被服务请求所淹没时,发生了拒绝服务攻击。其威胁在于,您的 Web 服务器将由于被淹没而无法对合法客户端请求做出响应。
漏洞
增加拒绝服务攻击可能性的漏洞包括:
脆弱的 TCP/IP 堆栈配置 | |
未安装修补程序的服务器 |
攻击
常见的拒绝服务攻击包括:
网络级 SYN 洪水 | |
缓冲区溢出 | |
用来自分布位置的请求洪水攻击 Web 服务器 |
对策
对策包括加固 TCP/IP 堆栈和不断对系统软件应用最新的软件修补程序和更新。
未授权访问
在没有正确权限的用户获取了访问受限信息或者执行受限操作所需权限的时候,就发生了未授权的访问。
漏洞
导致未授权访问的常见漏洞包括:
脆弱的 IIS Web 访问控制,包括 Web 权限 | |
脆弱的 NTFS 权限 |
对策
对策包括使用安全的 Web 权限、NTFS 权限,和 .NET Framework 访问控制机制(包括 URL 授权)。
任意代码执行
当攻击者在服务器上运行恶意代码以威胁服务器资源的安全或者对下游系统实施其他攻击时,就发生了代码执行攻击。
漏洞
可能导致恶意代码执行的漏洞包括:
脆弱的 IIS 配置 | |
未安装修补程序的服务器 |
攻击
常见的代码执行攻击包括:
路径遍历 | |
导致代码注入的缓冲区溢出 |
对策
对策包括将 IIS 配置为拒绝带有“../”的 URL 以防止路径遍历,用限制性访问控制列表 (ACL) 锁定系统命令和实用工具,以及安装新的修补程序和更新。
特权提升
当攻击者通过使用特权进程帐号运行代码时,就发生了特权提升攻击。
漏洞
使您的 Web 服务器容易遭受特权提升攻击的常见漏洞包括:
特权过高的进程帐号 | |
特权过高的服务帐号 |
对策
对策包括使用最低特权帐号以及使用最低特权服务和用户帐号运行进程。
病毒、蠕虫,和特洛伊木马
恶意的代码有几种变种,包括:
病毒。旨在执行恶意操作并导致操作系统或者应用程序崩溃的程序。 | |
蠕虫。可以自我复制和自我持续的程序。 | |
特洛伊木马。看似有用但是实际上会进行破坏的程序。 |
在许多情况下,恶意的代码直至开始消耗系统资源并减慢或者阻碍了其他程序的执行时,才会被注意到。例如,红色代码蠕虫就是最臭名昭著的能够影响 IIS 的病毒之一,它依赖于 ISAPI 筛选器中的一个缓冲区溢出漏洞。
漏洞
使您容易遭受病毒、蠕虫和特洛伊木马攻击的常见漏洞包括:
未安装修补程序的服务器 | |
运行不必要的服务 | |
不必要的 ISAPI 筛选器和扩展 |
对策
对策包括提示应用最新的软件修补程序,禁用未用的功能(例如未用的 ISAPI 筛选器和扩展),用最低特权帐号运行进程以减小出现攻击时破坏的范围。
返回页首
