网站的后期维护自己怎么做,口碑好的邵阳网站建设,python网页编辑器,郑州市网络科技有限公司1. 服务器安全风险1.1 不必要的访问#xff08;如只提供HTTP服务#xff09;若服务器仅需提供 HTTP 服务#xff0c;却开放了其他不必要的访问途径#xff0c;会增加风险。通过应用识别、控制#xff0c;可精准识别应用类型#xff0c;限制非必要访问#xff0c;保障服务…1. 服务器安全风险1.1 不必要的访问如只提供HTTP服务 若服务器仅需提供 HTTP 服务却开放了其他不必要的访问途径会增加风险。 通过应用识别、控制可精准识别应用类型限制非必要访问保障服务安全。1.2 外网发起IP或端口扫描、DDOS攻击等 外网可能通过扫描 IP 和端口寻找服务器漏洞或发动分布式拒绝服务DDOS攻击使服务器无法正常提供服务。 防火墙能对进出网络的流量进行监控和过滤阻挡此类恶意攻击流量。1.3 漏洞攻击针对服务器操作系统等) 服务器操作系统等存在漏洞时易被攻击者利用。 入侵防御系统IPS可主动检测并阻止针对这些漏洞的攻击行为。1.4 根据软件版本的已知漏洞进行攻击口令暴力破解获取用户权限SQL注入、XSS跨站脚本攻击、跨站请求伪造等等 利用软件已知漏洞、暴力破解口令获取权限以及 SQL 注入、XSS 等 Web 攻击手段会危害服务器数据和用户信息安全。 服务器保护措施涵盖对软件漏洞的修复、增强口令安全策略以及对 Web 攻击的防范等全方位保障服务器安全。1.5 扫描网站开放的端口以及弱密码 攻击者扫描网站开放端口和弱密码试图非法进入系统。 风险分析能提前识别这种扫描行为带来的风险以便采取应对措施。1.6 网站被攻击者篡改 网站内容被恶意篡改会损害企业形象和用户信任。 网站篡改防护可实时监测网站内容在发现篡改时及时告警并恢复确保网站内容的真实性和完整性。2. DoS攻击检测和防御技术2.1 DoS攻击介绍 DoSDenial of Service拒绝服务攻击是通过各种手段让服务器或网络资源被大量无效请求占据无法为合法用户提供正常服务进而使服务器或网络瘫痪。 DDoSDistributed Denial of Service分布式拒绝服务攻击是 DoS 攻击的一种特殊形式。它借助多台分布在不同位置的计算机常为被黑客控制的 “僵尸机”同时向目标服务器或网络发起大量攻击请求因其攻击源分散且规模大更难防范能更有效地致使目标服务瘫痪。DoS攻击和DDoS攻击的区别对比项DoS 攻击拒绝服务攻击DDoS 攻击分布式拒绝服务攻击攻击源单一或少量攻击源如单台计算机分布式的大量攻击源由多台被控制的 “僵尸机” 组成攻击规模受单一攻击源资源限制规模相对较小可汇聚大规模流量攻击规模大防御难度攻击源集中相对易通过屏蔽 IP 等方式防御攻击源分散且伪装性强防御需更复杂技术如流量清洗攻击效果可使目标服务部分或短暂瘫痪更易造成目标服务长时间、彻底瘫痪攻击成本成本较低利用少量设备和简单工具即可实施成本较高需构建和维护僵尸网络技术要求也更高DoS的目的①消耗带宽②消耗服务器性能③引发服务器宕机。DoS的类型DoS类型攻击特征及影响ICMP洪水攻击攻击者通过发送大量所属协议的数据包到达占据服务端带宽堵塞线路从而造成服务端无法正常提供服务。UDP洪水攻击DNS洪水攻击SYN洪水攻击攻击者利用TCP协议三次握手的特性攻击方大量发起的请求包最终将占用服务端的资源使其服务器资源耗尽或为TCP请求分配的资源耗尽从而使服务端无法正常提供服务。畸形数据包攻击攻击者发送畸形的攻击数据引发系统错误的分配大量系统资源使主机处于挂起状态甚至宕机如PingofDeath、TearDrop。CC攻击攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽一直到宕机崩溃。CC主要是用来攻击页面的。慢速攻击慢速攻击是CC攻击的一个变种对任何一个开放了HTTP访问的服务器HTTP服务器先建立了一个连接指定一个比较大的content-length然后以非常低的速度发包比如1-10s发一个字节然后维持住这个连接不断开。如果客户端持续建立这样的连接那么服务器上可用的连接将一点一点被占满从而导致拒绝服务。
2.2 SYN Flood攻击原理
①正常的TCP三次握手TCP 协议建立连接需要经过 “三次握手”第一步正常客户端向服务端发送一个 SYN同步报文请求建立连接。第二步服务端收到 SYN 报文后会分配一定的内存、CPU 等资源然后回复一个 SYN ACK同步 确认报文给客户端。第三步客户端收到 SYN ACK 报文后再发送一个 ACK确认报文给服务端。之后三次握手完成客户端和服务端就可以正常进行数据包交互了。此时服务端还有空闲资源能正常为客户端提供服务。
②SYN Flood攻击 SYN Flood 是一种常见的拒绝服务DoS攻击原理是通过大量伪造的连接请求耗尽服务端资源攻击行为攻击者向服务端发送大量伪造源地址、源端口的 SYN 报文。这些 SYN 报文看起来像是正常的连接请求但实际上来源是虚假的。服务端的反应服务端收到这些伪造的 SYN 报文后会像处理正常连接请求一样分配内存、CPU 等资源并回复 SYN ACK 报文。攻击的关键由于 SYN 报文的源地址是伪造的真正的 “客户端”其实是攻击源不会收到服务端的 SYN ACK 报文也就不会回复 ACK 报文。资源耗尽服务端会在 “SYN_RECEIVED” 状态下等待 ACK 报文一段时间超时之前。大量这样的 “半连接”只完成了前两步握手没完成第三步会持续占用服务端的资源。最终服务端的内存、CPU 等资源被耗尽合法客户端的正常连接请求无法得到响应服务就瘫痪了。
2.3 SYN代理防御SYN Flood攻击的手段①正常客户端连接第一步正常客户端向 NGAF可理解为具备 SYN 代理功能的防火墙 发送 SYN 报文请求建立连接。第二步NGAF 收到 SYN 后会生成带 “Cookie一种验证标识” 的 SYN ACK 报文回传给客户端。第三步客户端收到 SYN ACK(Cookie) 后回复 ACK 报文给 NGAF。第四步NGAF 验证 ACK 与 Cookie 匹配确认是合法请求后会以自己的身份向服务端发 SYN 报文后续服务端回复 SYN ACK、NGAF 再回 ACK完成与服务端的三次握手。之后客户端和服务端就能通过 NGAF 正常进行数据包交互且通信的发送序号会由防火墙转换处理。
②遭受SYN Flood攻击攻击发生攻击者发起 SYN Flood 攻击向 NGAF 发送大量伪造源地址的 SYN 报文。NGAF 拦截NGAF 收到这些攻击的 SYN 后同样回复 SYN ACK(Cookie) 给攻击源但由于攻击源是伪造的无法正确回复 ACK或回复的 ACK 无法通过 Cookie 验证。保护服务端因为攻击的 ACK 验证不通过NGAF 不会向服务端转发这些无效的 SYN 请求所以服务端完全收不到 SYN 攻击包避免了资源被大量半连接耗尽从而抵御了攻击能正常为合法客户端提供服务。
2.4 配置思路2.5 思考总结3. IPS入侵检测和防御技术3.1 IDS/IPS介绍IDS入侵检测系统主要对网络、系统的运行状况进行监视尽可能去发现各类攻击企图、攻击行为或者攻击造成的结果起到检测预警的作用。IPS入侵防御系统能监视网络、系统的运行状况不仅可以发现攻击企图、攻击行为还能主动阻止这些攻击在检测的基础上具备防御拦截的能力。IDS/IPS的区别对比项IDSIPS工作原理特征识别、记录攻击行为、以备审计特征识别丢弃实时的攻击 数据部署方式并联旁路镜像串联路由、透明并联安全属性被动检测主动检测阻断攻击能力弱强安全响应速度滞后性实时性攻击数据能否到达目标能否3.2 IPS需要防御的常见入侵手段蠕虫的恶意行为扫描蠕虫会进行端口扫描、地址探测还会尝试密码猜测、账号猜测以此寻找可入侵的目标和漏洞。寄生入侵成功后会通过创建新文件、修改已有文件、修改注册表、创建服务、建立后门等方式在受感染系统中扎根留存。攻击利用恶意邮件、自动安装程序、已知后门或漏洞、Active X 控件等途径发起攻击。传播借助邮件、web、FTP、文件共享等方式向其他系统扩散。发作会造成修改或删除文件、网络瘫痪、拒绝服务等危害后果。IPS入侵手段①利用系统漏洞入侵 通过网络设备、服务器等存在的漏洞实施攻击例如 WannaCry 勒索软件改造 “永恒之蓝” 攻击程序利用微软 SMB 漏洞 MS17 - 010 发起网络攻击。②借助恶意软件入侵 依靠后门、木马、间谍软件等恶意程序入侵如安卓 “心脏滴血” 漏洞黑客仅需手机号码通过彩信发送间谍软件就能远程操控安卓手机。③口令暴力破解入侵 采用暴力破解方式获取口令常见方法有字典法收集常用密码形成文本文件用于破解和规则破解结合账号或用户个人信息如生日、电话等进行破解。3.3 IPS工作原理① 流量分析 IPS设备使用深度数据包检查来分析网络流量。 这包括检查数据包的源IP地址、目标IP地址、端口号、协议和内容。② 签名检测 IPS设备使用签名数据库来比对已知的攻击模式。 这些签名类似于病毒定义文件可以识别已知的恶意代码和攻击。③ 异常检测 除了签名检测IPS还可以使用行为分析来检测未知的、新型的攻击。 这种方法涉及监视流量的正常模式以便识别不正常或异常的活动。④ 漏洞利用检测 IPS设备可以检测和阻止攻击者尝试利用已知的软件漏洞入侵系统的行为。 这是通过检查流量中的特定模式和行为来实现的。3.4 IPS防护原理 IPS入侵防御系统实现应用层防护的原理是对数据包应用层的数据内容进行威胁特征检查将其与 IPS 规则库比对。若匹配就拒绝该数据包。 从数据包结构看IPS 会开展深度内容检测涵盖对 IP 头、传输头等的状态检测以及对应用特征、应用威胁特征的检测以此精准识别并拦截恶意流量。3.5 IPS防护方式3.6 配置思路3.7 联动封锁 防火墙规则联动封锁是一种网络安全防护机制核心是当 IPS入侵防御系统、WAFWeb 应用防火墙阻断高危入侵后通知防火墙模块暂时阻止该源 IP 的通讯削弱入侵强度以保护服务器安全。具体要点如下
可配置联动封锁的模块包括 IPS、WAF、DOS、僵尸网络模块。只有这些模块发生 “阻断” 事件时才会触发联动封锁。联动封锁针对的是该源 IP 通过防火墙的所有通信。被封锁的主机仍能访问 AF 控制台但无法访问数据中心。临时防火墙可支持的联动封锁规则容量为 1000 条。被联动封锁的拒绝记录可在应用控制日志中查询。
3.8 误判处置 IPS 规则默认分致命、高、中、低、信息五个级别可能出现正常通讯被误判为入侵通讯而拒绝或入侵被误判为正常通讯而放行的情况针对误判有两种处置方式
方式一配置 IPS 规则时勾选 IPS 日志的 “记录” 选项。根据数据中心的日志查询到误判规则的漏洞 ID。在对象设置 - 漏洞特征识别库中修改对应漏洞 ID 的动作比如改成放行或禁用。方式二若正常通讯被误判为入侵通讯并被设备拒绝可直接查询数据中心的拒绝日志然后直接添加例外让该正常通讯能正常进行。
3.9 注意事项1、配置IPS保护客户端和服务器时源区域为数据连接发起的区域。 2、IPS保护客户端与保护服务器中的客户端漏洞和服务器漏洞规则是不同的因为攻击者针对服务器和客户端会使用不同的攻击手段。4. WEB攻击检测和防御技术4.1 WAF定义 WAF——Web Application Firewall即Web应用防护主要用于保护Web服务器不受攻击而导致软件服务中断或被远程控制。WAF常见攻击手段有哪些
1、SQL注入 2、XSS攻击 3、网页木马 4、网站扫描 5、WEBSHELL 6、跨站请求伪造 7、系统命令注入 8、文件包含攻击 9、目录遍历攻击 10、信息泄漏攻击等等4.2 SQL注入SQL注入——就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串最终达到欺骗服务器执行恶意的SQL命令。
4.2.1 攻击数据出现在哪里在哪里提交、如何提交Web提交数据一般有两种形式一种是get一种是post。
1、Get的特点提交的内容经过URI编码直接在url栏中显示2、Post的特点提交的内容不会直接显示在url部分会在post包的data 字段中。
4.2.2 什么内容才是SQL注入攻击提交什么内容才认为是SQL注入攻击
SQL注入攻击可以根据其特点分为弱特征、注入工具特征、强特征三种。 弱攻击类似这种select * from test这个sql语句中有两个关键字select和from执行了一个查询语句其危险性相对强攻击较低 注入工具攻击利用一些专业的SQL注入工具进行攻击这些工具的攻击都是具有固定数据流特征的强攻击如insert into test valueslmj123 这个语句中有三个SQL关键字insert、into、values并且这个语句操作可能导致在test表中添加lmj这个用户这种语句被认为是危险的。强攻击大致具备如下特征 1、包含三个及以上的SQL关键字并且这三个关键字组合起来能够成为一条合法的SQL语句。 2、包含任何的SQL关键字连词这些连词包括union. “;”, and, or等并且采取了常用的sql注入方法来运用这些连词如数据包中存在 and 11 会被认为是强特征。4.3 CSRF攻击4.3.1 定义 CSRFCross - Site Request Forgery跨站点请求伪造指攻击者盗用用户身份以用户名义发送恶意请求。4.3.2 攻击效果 对服务器来说该请求完全合法但会执行攻击者期望的操作例如以用户名义发送邮件、发消息盗取用户账号添加系统管理员进行商品购买、虚拟货币转账等。4.3.3 防范方法① 二次认证 在关键操作如转账、修改账户信息时要求用户再次验证身份如输入密码、短信验证码。② 前端请求设置referer字段 通过验证请求的来源页面判断是否为合法发起的请求若来源异常则拦截。4.4 信息泄露攻击 信息泄露攻击是指由于对特殊文件处理不当攻击者可通过访问相关文件或路径窃取 Web 服务器的敏感信息如用户名、密码、源代码、服务器及配置信息等。4.4.1 常见信息泄露类型
应用错误信息泄露应用程序报错时将包含数据库连接、代码逻辑等敏感内容的错误信息暴露出来。备份文件信息泄露服务器上留存的备份文件如网站源码备份、数据库备份未妥善保护被攻击者获取。Web 服务器缺省页面信息泄露服务器默认页面可能包含版本、配置等信息易被利用。敏感文件信息泄露像包含用户数据、密钥的敏感文件若访问权限设置不当会被非法访问。目录信息泄露服务器目录结构可被遍历攻击者能看到目录下文件列表进而寻找敏感文件。
4.4.2 信息泄露原因
Web 服务器配置问题如目录浏览权限未关闭、敏感文件权限设置过松等。Web 服务器本身漏洞服务器软件存在漏洞被攻击者利用来获取信息。Web 网站脚本编写问题脚本未对用户输入或文件访问做严格验证导致攻击者可非法访问敏感文件或路径。
4.5 配置思路4.6 误判处置方法一URL 参数排除
路径在【服务器保护】-【WEB 应用防护】-【排除列表】中新增 URL 参数排除。作用让 WEB 应用防护的网站攻击检测跳过特定参数的检查。适用于正常业务请求中某些参数因携带特征串被误判为攻击的场景可精准针对这些参数进行排除。
方法二日志查询添加例外
路径在【内置数据中心】-【日志查询】-【WEB 应用防护】中查询日志。操作找出误判的日志后点击日志后面的 “添加例外”从而对误判的请求进行例外设置避免后续被错误拦截。
取消误判排除
场景在数据中心完成排除操作后若需取消该排除。路径可到【服务器保护】-【WEB 应用防护】相关界面如 “排除列表 -WAF 规则排除”进行编辑取消之前的排除操作。
5. 网页防篡改技术5.1 需求背景5.2 网页防篡改 深信服网页防篡改解决方案核心是将文件保护系统与下一代防火墙AF深度融合通过文件监控和二次认证两大功能的紧密联动构建全方位的网站内容保护体系防止非法篡改。其中文件保护系统运用了业界领先的文件过滤驱动技术从底层保障文件的安全性。5.2.1 文件监控机制从驱动层保障文件安全部署前提在 Web 服务器端安装驱动级的文件监控软件这一软件能深入到 Windows 文件驱动层进行操作监控。配置环节防火墙 IP 地址配置将防火墙AF的 IP 地址进行设置建立与 AF 的关联以便后续日志同步等操作。网站目录配置明确需要保护的网站目录范围这样监控软件就能针对性地对这些目录下的文件进行保护。合法应用程序配置指定哪些应用程序是被允许对网站目录文件进行修改的只有这些合法程序的操作才会被认可。拦截逻辑当有程序进程对网站目录文件进行操作时首先过滤操作目标判断是否属于配置好的网站目录。如果不是不做特殊限制如果是则进入下一步过滤。接着过滤操作主体判断发起操作的应用程序是否为合法应用程序。若检测到是非法程序试图修改网站文件监控软件会立即拦截该操作同时将相关日志上报给 NGAF下一代防火墙NGAF 的 UI 界面会实时显示这些日志并且通过关联 NGAF 的防篡改策略激活文件监控软件的防护功能形成完整的防护闭环。5.2.2 二次认证机制强化后台访问安全1管理员认证流程规范合法管理员的后台访问管理员首先访问网站后台例如访问地址为http://www.xxx.com/dede/的后台页面。下一代防火墙AF会将管理员的访问请求重定向到一个用于提交管理员邮箱地址的认证页面。管理员在该认证页面提交用于接收验证码的管理员邮箱比如wangboxkillmansina.com。系统接收到邮箱信息后会自动发送带有验证码的邮件到该管理员邮箱wangboxkillmansina.com。管理员登录自己的邮箱从中获取系统发送的验证码。管理员将获取到的验证码提交到认证页面通过系统的认证。认证通过后系统会自动将管理员跳转到网站后台页面使其能够进行正常的后台操作。2黑客认证流程增加非法访问难度 当黑客试图访问网站后台时在上述第 3 步由于黑客无法获取并提交正确的管理员邮箱地址所以无法正常进入后续的验证码获取与提交流程也就无法登录网站后台。如果黑客想要破解这一认证就必须通过社会工程学手段如钓鱼、信息窃取等获取管理员的邮箱地址并且还要破解该管理员的邮箱只有完成这一系列高难度操作后才有可能破解后台登录大大提高了非法访问的门槛。5.3 配置思路5.4 注意事项
