郭玉龍

（鐵道警察學(xué)院實(shí)驗(yàn)和網(wǎng)絡(luò)信息中心 河南 450053）

Guo Yulong

0 引言

現(xiàn)在網(wǎng)絡(luò)攻擊的目的已不單純的為了展示攻擊者在計(jì)算機(jī)及網(wǎng)絡(luò)方面超人的技術(shù)，很多是為了通過(guò)攻擊目標(biāo)服務(wù)器以獲取非法利益，所以攻擊的技術(shù)與手段越來(lái)越隱蔽，發(fā)現(xiàn)的難度越來(lái)越大，對(duì)服務(wù)器的安全性要求也越來(lái)越高。防火墻安全策略的設(shè)置、操作系統(tǒng)的漏洞、WEB應(yīng)用程序本身設(shè)計(jì)的缺陷，都可能成為被攻擊的目標(biāo)，并以此為切入點(diǎn)入侵整個(gè)系統(tǒng)，進(jìn)而修改網(wǎng)頁(yè)內(nèi)容，安裝病毒木馬程序，影響被攻擊服務(wù)器的正常運(yùn)行，并有可能被黑客當(dāng)作跳板，對(duì)其它計(jì)算機(jī)進(jìn)行攻擊，影響更多計(jì)算機(jī)的正常運(yùn)行，對(duì)被入侵單位的聲譽(yù)造成負(fù)面影響。本文主要研究服務(wù)器攻擊的基本原理與一般過(guò)程，并從操作系統(tǒng)本身的層面探討如何進(jìn)行網(wǎng)絡(luò)服務(wù)器的安全策略設(shè)置，增強(qiáng)服務(wù)器的安全性。

1 服務(wù)器攻擊的基本原理

服務(wù)器攻擊的總體思路就是尋找系統(tǒng)存在的漏洞，以及人們?cè)谑褂糜?jì)算機(jī)的過(guò)程中容易忽略的安全設(shè)置，發(fā)現(xiàn)可用于登錄系統(tǒng)的途徑，進(jìn)而在已成功登錄的服務(wù)器上安裝后門(mén)程序，以方便入侵者進(jìn)行后續(xù)的遠(yuǎn)程操作與控制。在整個(gè)入侵的過(guò)程中，最為關(guān)鍵的一步就是尋找登錄系統(tǒng)的突破口，成功登錄系統(tǒng)后安裝后門(mén)程序以及在此之后控制整個(gè)系統(tǒng)都是非常簡(jiǎn)單的事情。在成功進(jìn)入系統(tǒng)之后，入侵者可以在服務(wù)器上創(chuàng)建專為其服務(wù)的用戶賬戶，安裝滿足其要求的控制端后門(mén)服務(wù)程序。用戶賬戶相對(duì)比較容易發(fā)現(xiàn)，在系統(tǒng)的用戶管理界面中即可看到所有的賬戶，而且一般服務(wù)器上系統(tǒng)用戶也不會(huì)太多，這樣非法創(chuàng)建的用戶就很容易找到。后門(mén)程序就比較難以發(fā)現(xiàn)，因?yàn)楹箝T(mén)程序可以存放在硬盤(pán)上成千上萬(wàn)的文件之中，偽裝成常用的應(yīng)有程序進(jìn)行運(yùn)行，并且可以只在必要的時(shí)間定時(shí)啟動(dòng)，平時(shí)并不會(huì)執(zhí)行，這樣除非有比較完善的日志系統(tǒng)，并詳細(xì)分析才有可能發(fā)現(xiàn)存在的問(wèn)題。

為了簡(jiǎn)單快捷的設(shè)置而關(guān)閉系統(tǒng)防火墻，采用系統(tǒng)默認(rèn)的用戶名，使用簡(jiǎn)單的密碼，安裝數(shù)據(jù)庫(kù)系統(tǒng)采用默認(rèn)的端口號(hào)，采用默認(rèn)的數(shù)據(jù)庫(kù)登錄名以及簡(jiǎn)單的密碼或空密碼，為方便服務(wù)器的遠(yuǎn)程管理安裝一些遠(yuǎn)程控制軟件時(shí)完全采用默認(rèn)設(shè)置等這些習(xí)慣性的操作都是極易留下安全隱患的，很可能被入侵者所利用。

2 服務(wù)器攻擊的一般過(guò)程

入侵者攻擊服務(wù)器的目的通常是利用服務(wù)器的資源獲得非法利益，服務(wù)器的物理位置及網(wǎng)絡(luò)地址對(duì)其來(lái)說(shuō)并不重要，因此攻擊者的目標(biāo)并不明確，只要能為其利用即可，所以一般情況下成功的攻擊會(huì)經(jīng)過(guò)主機(jī)探測(cè)、漏洞掃描、后門(mén)安裝、控制利用四個(gè)階段。

主機(jī)探測(cè)階段的主要工作是尋找處于開(kāi)機(jī)狀態(tài)的服務(wù)器，通常的做法是借助于一些掃描工具對(duì)一定 IP地址范圍內(nèi)的主機(jī)進(jìn)行探測(cè)。探測(cè)的方法可采用向目標(biāo)主機(jī)發(fā)送ICMP回顯請(qǐng)求，與特定的端口建立TCP連接等，因?yàn)橥ǔＧ闆r下作為WEB服務(wù)器的80端口必然處于開(kāi)放狀態(tài)，為了遠(yuǎn)程管理的方便遠(yuǎn)程桌面端口3389也會(huì)處于開(kāi)放狀態(tài)。通過(guò)探測(cè)找到處于開(kāi)機(jī)狀態(tài)的服務(wù)器之后即可進(jìn)行下一步的漏洞掃描工作。

在漏洞掃描階段也是借助于一些工具，對(duì)探測(cè)階段已經(jīng)發(fā)現(xiàn)的處于開(kāi)機(jī)狀態(tài)的主機(jī)進(jìn)行各項(xiàng)已知漏洞的掃描。通常首先掃描常用的遠(yuǎn)程管理軟件服務(wù)端監(jiān)聽(tīng)的端口，如3389（遠(yuǎn)程桌面）、5900（VNC）、4899（Remote Administrator）等，如果這些端口處于開(kāi)放狀態(tài)，基本可以斷定服務(wù)器上已經(jīng)安裝有這些遠(yuǎn)程管理工具，因?yàn)椴豢赡苡衅渌浖偤煤瓦@些軟件的默認(rèn)端口相同，用這些遠(yuǎn)程管理客戶端進(jìn)行連接即可明確判斷是否真正安裝了這些遠(yuǎn)程管理工具。在掃描到已經(jīng)安裝有這些遠(yuǎn)程管理工具后即進(jìn)行下一步工作，破解用戶名和密碼，通常采用暴力破解或者密碼字典方法，密碼字典的方法更為普遍，因?yàn)椴僮飨到y(tǒng)、遠(yuǎn)程管理軟件通常都有默認(rèn)的用戶名或者密碼，如 windows默認(rèn)的用戶名 administrator、linux默認(rèn)的用戶名root，VNC甚至可以不設(shè)置用戶名只設(shè)置密碼，為了安裝調(diào)試的方便，有時(shí)候管理員可能會(huì)將密碼留空或者設(shè)置為簡(jiǎn)單的1234、abcd，或者將密碼設(shè)置成與用戶名相同，這些弱口令很容易被破解，從而控制整個(gè)系統(tǒng)。在破解密碼取得系統(tǒng)控制權(quán)的過(guò)程中，也可以通過(guò)數(shù)據(jù)庫(kù)管理系統(tǒng)的漏洞來(lái)實(shí)現(xiàn)，如安裝有SQL Server數(shù)據(jù)庫(kù)管理系統(tǒng)的服務(wù)器會(huì)開(kāi)放1433端口，而數(shù)據(jù)庫(kù)的默認(rèn)用戶名是sa，管理員為了配置的方便常常會(huì)將密碼也設(shè)置為sa或者留空，這樣入侵者就可以非常容易的連接到主機(jī)的數(shù)據(jù)庫(kù)管理系統(tǒng)，然后執(zhí)行一些特殊的系統(tǒng)存儲(chǔ)過(guò)程創(chuàng)建系統(tǒng)用戶名和密碼，再借助遠(yuǎn)程桌面或者其它遠(yuǎn)程管理工具登陸到服務(wù)器上進(jìn)行各種操作。

在成功掃描到系統(tǒng)漏洞取得系統(tǒng)控制權(quán)后安裝后門(mén)的操作就非常簡(jiǎn)單了，入侵者可以根據(jù)自己的需要在服務(wù)器上安裝各種遠(yuǎn)程管理工具，并添加新的操作系統(tǒng)用戶名和密碼，以便在管理員修改密碼后仍能控制整個(gè)系統(tǒng)。

當(dāng)在服務(wù)器上安裝遠(yuǎn)程管理工具，取得系統(tǒng)的控制權(quán)后，入侵者就可以利用服務(wù)器的計(jì)算資源與網(wǎng)絡(luò)資源，獲取非法利益，如最常見(jiàn)的在服務(wù)器上運(yùn)行的網(wǎng)頁(yè)程序中植入廣告或者鏈接，增加特定網(wǎng)站的點(diǎn)擊率，進(jìn)而提高其在搜索引擎上的排名。修改原有的網(wǎng)頁(yè)內(nèi)容，盜取注冊(cè)用戶的個(gè)人資料信息等。

在攻擊服務(wù)器的過(guò)程中，也有針對(duì)特定主機(jī)進(jìn)行的，在這種情況下服務(wù)器的IP地址是非常明確的，不需要進(jìn)行主機(jī)的探測(cè)，而且也可能不容易探測(cè)出來(lái)，如屏蔽ICMP數(shù)據(jù)包。在這種情況下入侵者通常會(huì)對(duì)該主機(jī)的所有端口進(jìn)行掃描，以發(fā)現(xiàn)可利用的漏洞。

3 服務(wù)器安全策略配置

主機(jī)探測(cè)和漏洞掃描是攻擊過(guò)程中的關(guān)鍵步驟，在服務(wù)器的安全策略中應(yīng)特別注意防范，后門(mén)安裝和控制利用基本沒(méi)有什么辦法可以防范，可做的是配置日志系統(tǒng)并定期查看，及時(shí)發(fā)現(xiàn)正在進(jìn)行的入侵活動(dòng)并及時(shí)處理。

為隱藏主機(jī)、防止被探測(cè)到可以在操作系統(tǒng)防火墻上屏蔽ICMP回顯請(qǐng)求，防止通過(guò)發(fā)送回顯請(qǐng)求的方式對(duì)主機(jī)進(jìn)行探測(cè)。對(duì)于非必需的或者不用的端口也要通過(guò)系統(tǒng)防火墻進(jìn)行關(guān)閉，防止通過(guò)特定端口的掃描來(lái)判斷對(duì)應(yīng)IP地址的主機(jī)是否在線。有些端口必須要打開(kāi)，如為了遠(yuǎn)程管理的方便通常會(huì)開(kāi)啟遠(yuǎn)程桌面功能，需要打開(kāi)遠(yuǎn)程桌面對(duì)應(yīng)的服務(wù)器端監(jiān)聽(tīng)端口3389，在這種情況下最好修改遠(yuǎn)程管理應(yīng)用程序監(jiān)聽(tīng)的默認(rèn)端口，并且不要修改為簡(jiǎn)單的端口如8888、1234等，修改為較為復(fù)雜沒(méi)有什么規(guī)律的端口如23568等等，因?yàn)橛行┸浖ㄟ^(guò)端口來(lái)對(duì)主機(jī)進(jìn)行掃描，掃描工具也會(huì)利用密碼字典的原理對(duì)一些比較容易被使用的端口進(jìn)行探測(cè)。同時(shí)由于修改后的端口通常都沒(méi)有什么規(guī)律，所以即使掃描到該端口處于開(kāi)放狀態(tài)，也難以通過(guò)端口來(lái)猜測(cè)該端口上所綁定的應(yīng)用。修改應(yīng)用程序默認(rèn)端口的方法雖然簡(jiǎn)單，但卻能在很大程度上提高系統(tǒng)的安全性。具體修改應(yīng)用程序端口的方法可以查閱相關(guān)應(yīng)用程序的說(shuō)明文檔，一般都比較容易實(shí)現(xiàn)。

服務(wù)器通常必須對(duì)外開(kāi)放一些端口，如 WEB應(yīng)用服務(wù)器需要開(kāi)放80端口，完全避免對(duì)服務(wù)器的探測(cè)是不可能的，在服務(wù)器被探測(cè)到的情況下加強(qiáng)安全防范策略，盡可能的減少服務(wù)器詳細(xì)配置信息的暴露顯得尤為重要。服務(wù)器上應(yīng)該避免安裝不必要的應(yīng)用軟件和遠(yuǎn)程管理工具，有些應(yīng)用軟件相互之間可能存在沖突，同時(shí)安裝會(huì)影響到系統(tǒng)的穩(wěn)定性，安裝的遠(yuǎn)程管理工具太多，配置的難度將增加，考慮不夠全面容易造成漏洞。對(duì)于必須安裝的遠(yuǎn)程管理工具，應(yīng)注意采用必要的安全策略，防止被掃描和猜測(cè)到。系統(tǒng)和遠(yuǎn)程管理用戶名盡量不要采用默認(rèn)設(shè)置，密碼要設(shè)置的足夠復(fù)雜，并注意設(shè)置合適的密碼鎖定策略，防止暴力破解。設(shè)置復(fù)雜的用戶名和密碼在遠(yuǎn)程管理工具被掃描到的情況下也可有效防止系統(tǒng)入侵。服務(wù)器上應(yīng)注意關(guān)閉不必要的調(diào)試信息輸出，防止通過(guò)調(diào)試信息探測(cè)系統(tǒng)配置信息并進(jìn)一步找到入侵系統(tǒng)的突破口。如IIS（Interne信息服務(wù)）默認(rèn)情況下向客戶端輸出詳細(xì)的錯(cuò)誤信息，而為了程序員調(diào)試方便，錯(cuò)誤信息中通常會(huì)包含有敏感的服務(wù)器配置信息，如所使用的 IIS版本、采用的數(shù)據(jù)庫(kù)類型以及數(shù)據(jù)庫(kù)文件名等，這些信息很可能為下一步入侵提供重要參考信息，如通過(guò)數(shù)據(jù)庫(kù)文件名路徑下載數(shù)據(jù)庫(kù)文件，猜測(cè)服務(wù)器上應(yīng)用程序的目錄結(jié)構(gòu)。通過(guò)在 IIS的配置中禁用向客戶端發(fā)送詳細(xì)的調(diào)試信息或者設(shè)置自定義的錯(cuò)誤信息可有效防止向客戶端暴露服務(wù)器敏感信息，提高系統(tǒng)的安全性。

發(fā)現(xiàn)系統(tǒng)中已經(jīng)存在的后門(mén)或者入侵的有效辦法就是通過(guò)查看系統(tǒng)或應(yīng)用程序的日志信息，所以配置并經(jīng)常查看系統(tǒng)的日志信息非常重要。尤其需要特別關(guān)注防火墻的日志信息，發(fā)現(xiàn)有可疑的連接及時(shí)進(jìn)行分析，找到建立該連接的應(yīng)用程序，判斷是正常的連接還是被遠(yuǎn)程控制的連接。對(duì)于 WEB服務(wù)器應(yīng)經(jīng)常查看頁(yè)面訪問(wèn)日志，查看其中是否有可疑的頁(yè)面訪問(wèn)，及時(shí)發(fā)現(xiàn)網(wǎng)站是否被掛馬，以及是否有特殊的查詢串，找出網(wǎng)站應(yīng)用程序被注入的漏洞。日志系統(tǒng)是發(fā)現(xiàn)正在進(jìn)行的入侵活動(dòng)的重要方法，應(yīng)注意將日志系統(tǒng)配置的完善全面。

4 小結(jié)

本文簡(jiǎn)要分析總結(jié)了網(wǎng)絡(luò)服務(wù)器入侵的基本原理以及一般過(guò)程，并在此基礎(chǔ)上針對(duì)入侵的不同階段總結(jié)了具體可行的應(yīng)對(duì)策略，希望對(duì)從事計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器管理的人員能有一定幫助。由于網(wǎng)絡(luò)病毒及攻擊手段繁多，操作系統(tǒng)和應(yīng)用程序存在很多已知或未知的漏洞，需要在平時(shí)的管理維護(hù)過(guò)程中不斷研究分析各種入侵手段，進(jìn)而找到防范措施，以保證服務(wù)器的安全性。

[1]喬素艷.Web服務(wù)器安全策略探討[J].無(wú)線互聯(lián)科技，2012（3）：72.

[2]叢佩麗.高校網(wǎng)站服務(wù)器安全防范策略[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013（2）：37-39+44.

[3]陳正權(quán).物聯(lián)網(wǎng)時(shí)代校園網(wǎng)服務(wù)器的安全配置策略研究[J].凱里學(xué)院學(xué)報(bào)，2012（6）：99-102.

[4]魏鵬.校園網(wǎng)絡(luò)服務(wù)器的安全維護(hù)淺析[J].中國(guó)科技信息，2011（12）：93.

[5]文靜，譚政.服務(wù)器安全管理探析[J].廣西輕工業(yè)，2008（11）：66-67.

[6]巫廣彥.WIN2003服務(wù)器安全加固方案[J].計(jì)算機(jī)安全，2007（11）：97-98.