如今的互联网中90%的应用都架设在Web平台上,网上银行、网络购物、网络游戏,以及企业网站等,成为生活和工作必不可少的一部分。所以,Web安全成为继操作系统与业务软件安全之后又一热点,并且持续升温。纵观安全事件,重大的Web攻击层出不穷,网络安全从业者开始跟黑客们在这一焦点领域不断的对抗。由于Web平台的多样性,以及HTTP协议及数据库语言的灵活性,Web攻击形式也五花八门,主要的攻击方法有SQL注入、跨站脚本(XSS)、CC(Challenge Collapsar)等。
山石网科分别针对这三种攻击进行了针对性的方案设计。
目前很多Web攻击防护产品在处理SQL注入和跨站脚本攻击的问题上,都是采用传统入侵检测方法,即基于正则表达式的规则匹配模式。这种方法在应对SQL注入和跨站脚本攻击时存在很大的缺陷:一是SQL注入和跨站脚本有很多种符合语法结构的写法并可以进行多种方式的编码,这样就能轻易绕过正则表达式的规则匹配模式,在检测设备上出现漏报;二是基于正则表达式的规则匹配模式是在攻击发生后进行攻击分析并提取特征,然后对再次发生的同类攻击进行防护,这样的方法对0Day攻击无能为力。而且随着攻击特征的不断增加,攻击防护对检测设备性能也产生了极大的影响。
山石网科采用了基于语法分析的方式进行检测。任何企图进行SQL注入或跨站脚本攻击的数据,不管形式如何变化,都必须满足SQL和HTML语法的规定,山石网科根据这种特点进行攻击检测,不仅零特征,可避免0day攻击,而且以不变应万变,误报和漏报被最大限度的压缩。
图 山石网科 SQL注入&跨站脚本攻击防护方案
CC攻击防护的关键在能够识别和区分出正常用户的访问和恶意的攻击。对于恶意攻击的识别,山石网科采用了如下四种方法,用户可以根据实际情况选择使用:一是Auto-js-cookie:网关向客户端发送head带set-cookie的响应报文,一些程序自动发起的攻击则无法正确回应。二是Auto-redirect:网关向客户端返回重定向报文,在重定向的url中加入cookie后缀,一些程序自动发起的攻击则无法正确回应。三是Manual-confirm:网关在回应报文中嵌入提示信息,并等待人工确认,通过回应的确认报文来验证源IP的合法性,程序自动发起的攻击和僵尸网络都无法进行这种确认。四是Manual-CAPTCHA:网关在回应报文中嵌入一个问答框做认证来验证源IP的合法性,问题可以是二元加减或4字符随机字符串,进一步加大了确认难度,程序自动发起的攻击和僵尸网络都无法进行这种确认。同时,方案支持对开放代理的识别,用户可以选择对通过开放代理访问的速率进行限制。
外链检查的目的是要杜绝某些网页篡改、网页挂马的行为,例如,在网页中新添加的对外资源(例如frame、其他 服务器 上的js、css文件等等)的引用。当开启外链检查时,山石网科安全网关会对Web服务器应答报文的内容进行分析,找到不符合外链规则的frame、iframe、link、object、applet、Script等HTML标签。有些时候,Web服务器确实需要对外引用某些资源,例如js文件、css文件。此时可以配置允许对外引用的白名单,表示位于白名单中的资源是可信的。
目录访问控制主要是为了防止Web Shell和敏感信息泄露。例如Web服务器允许上传图片文件,但是由于过滤不严格,攻击者通过这个机制上传了恶意代码(Web Shell)。为了发现这样的恶意上传,可以把上传的图片保存的目录设置成static。这样山石网科安全网关就会检查用户访问请求POST数据和URI中是否有动态可执行代码,以及请求文件的后缀名是否已知的动态脚本后缀(例如.asp、.php、.js等等);同时服务器的应答报文也会被检查是否有动态可执行代码。Web路径下,有时候包含数据库连接文件(里边包含了数据库路径、用户名、口令等信息),这些文件是被Web服务器上其他文件引用的,不允许用户直接访问他们。此时,就可以把它们的访问控制模式配置成deny。
在部署上,山石网科建议将安全网关直接部署在Web服务器前,对Web服务器进行防护,可以满足企业用户日常的Web服务器防护需求。
古代的长矛和长枪有什么区别?
长矛和长枪有什么区别首先在与们的长度.长矛一般有3米长,最长的有6米.硬度大.比较笨重,有的有70`80斤重,不易挥舞,只适宜大规模的兵团作战.如著名的马其顿方阵.由于笨重,部队一般靠马的力量加以冲杀,这就是重骑兵.长枪比长矛短,一般在两米以下,材料要叫就,用的白蜡树,因为材料比较软弱,使其有收积和释放力量的优点,短距的单兵作战用它.
linux doss攻击怎么解
Linux 防止DDoS方法方法一:先说这个简单效果不大的方法,Linux一般是apache做web服务软件,一般来说按照访问习惯全是设置的80端口。 你可以改变一下服务端口,编辑文件,Linux下不清楚路径可以find / -name 然后vi $path$/找到里面的listen:80更改为listen:8080重新启动apache,这样你的站点就运行在8080端口下了。 方法二:,方法一中攻击者如果对你足够关注的话还是会再攻击你的8080端口,所以还是会死得很惨,那么如何更有效的阻止攻击呢。 这就要用到iptables了,安装一下iptables然后再配置一下。 iptables下载:下载文件的名字一般是iptables-1.*.*2下载完后解压缩tar -xvjf ./iptables-1.*.*2 -C /usr/src我是解压到了/usr/src里然后cd /usr/src/iptables-1.*.*安装:/bin/sh -c make/bin/sh -c make install可以用iptables -V来检查安装是否正确。 如果有问题用这个命令修复一下cp ./iptables /sbiniptables的使用:安装了iptables后先关闭ICMP服务iptables -A OUTPUT -p icmp -d 0/0 -j DROP这个是做什么的呢,最简单直观的说就是你服务器上的ip不能被ping到了,这个能防止一部分攻击。 比如你跟你的ISP联系了知道了ddos的来源ip 200.200.200.1可以用下面这个命令来阻止来自这个ip的数据流iptables -A INPUT -s 200.200.200.1 -j DROP说明:这个命令里200.200.200.1/24 200.200.200.* 格式都是有效的。 执行完后你输入命令iptables -L会看到下面的结果Chain INPUT (policy ACCEPT)target prot opt source destinationDROP all -- 200.200.200.1 anywhere你每输入一个iptables命令都会有个对应的num号,比如上面你执行的这个是第一次执行的那么这个对应的input id就是1,删除这个限制只要iptables -D INPUT 1就可以了。 因为在DDOS这个过程里很多ip是伪造的,如果你能找到他们的来源的mac地址(你太厉害了,太有关系了)那么你还可以用这个命令来禁止来自这个mac地址的数据流:iptables -A INPUT --mac-source 00:0B:AB:45:56:42 -j DROP以上是几个简单应用,关于一些别的应用我下面给出的英文文献里还有,大家可以根据自己的情况来利用iptables防止DDOS攻击。
游戏服务器被攻击了,怎么办?在线等
游戏服务器不管是个人的还是企业的,被攻击都是,很常见的,在所难免的。 特别是游戏新上线时,都要承受的住哪些外来压力,玩家突然猛增,被攻击等等。 像这类的攻击,就需要进行防御了,使用一些带有防御攻击的高防服务器,这样可以防御掉大部分的攻击。 因为现在的IDC针对这类攻击提供专门的防御方面的服务。 所以有需要的防御功能的服务器可以直接租用高防服务器。
发表评论