拒絕服務(wù)與數(shù)據(jù)庫(kù)安全

拒絕服務(wù)攻擊概述3.1

基于漏洞入侵的防護(hù)方法3.2SQL數(shù)據(jù)庫(kù)安全3.3SQLServer攻擊的防護(hù)

3.4拒絕服務(wù)攻擊概述3.1基于漏洞入侵3.1拒絕服務(wù)攻擊概述3.1.1DoS定義

DoS(DenialOfService)拒絕服務(wù)，造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)。最常見的DoS攻擊有計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶請(qǐng)求就無(wú)法通過。連通性攻擊指用大量的連接請(qǐng)求沖擊計(jì)算機(jī)，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計(jì)算機(jī)無(wú)法再處理合法用戶的請(qǐng)求。3.1拒絕服務(wù)攻擊概述3.1.1DoS定義

DoS攻擊的原理：借助網(wǎng)絡(luò)系統(tǒng)或協(xié)議的缺陷以及配置漏洞進(jìn)行網(wǎng)絡(luò)攻擊，使網(wǎng)絡(luò)擁塞、系統(tǒng)資源耗盡或系統(tǒng)應(yīng)用死鎖，妨礙目標(biāo)主機(jī)和網(wǎng)絡(luò)系統(tǒng)對(duì)正常用戶服務(wù)請(qǐng)求的及時(shí)響應(yīng)，造成服務(wù)的性能受損，甚至導(dǎo)致服務(wù)中斷。DoS攻擊的原理：借助網(wǎng)絡(luò)系統(tǒng)或協(xié)議的缺陷

DoS攻擊的基本過程。DoS攻擊的基本過程。

圖3.1DoS攻擊的基本過程圖3.1DoS攻擊的基本過程

3.1.2拒絕服務(wù)攻擊的分類拒絕服務(wù)攻擊可以是“物理的”（又稱“硬件的”），也可以是“邏輯的”（又稱“軟件的”）。3.1.2拒絕服務(wù)攻擊的分類

按攻擊的目標(biāo)又可分為節(jié)點(diǎn)型和網(wǎng)絡(luò)連接型。節(jié)點(diǎn)型:主機(jī)型攻擊

應(yīng)用型攻擊

網(wǎng)絡(luò)連接型按攻擊的目標(biāo)又可分為節(jié)點(diǎn)型和網(wǎng)絡(luò)連接型。

按照攻擊方式來(lái)分可以分為：資源消耗、服務(wù)中止和物理破壞。

1.資源消耗帶寬耗盡攻擊系統(tǒng)資源耗盡攻擊

2.服務(wù)中止

3.物理破壞按照攻擊方式來(lái)分可以分為：資源消耗、服務(wù)中

按受害者類型可以分為服務(wù)器端拒絕服務(wù)攻擊和客戶端拒絕服務(wù)攻擊。

1.服務(wù)器端拒絕服務(wù)攻擊

2.客戶端拒絕服務(wù)攻擊按受害者類型可以分為服務(wù)器端拒絕服務(wù)攻擊和

3.1.3常見DoS攻擊

1．Land程序攻擊

Land攻擊，是利用向目標(biāo)主機(jī)發(fā)送大量的源地址與目標(biāo)地址相同的數(shù)據(jù)包，造成目標(biāo)主機(jī)解析Land包時(shí)占用大量的系統(tǒng)資源，從而使網(wǎng)絡(luò)功能完全癱瘓的攻擊手段。3.1.3常見DoS攻擊

2．SYNFlood攻擊這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請(qǐng)求，使被攻擊方資源耗盡（CPU滿負(fù)荷或內(nèi)存不足）的攻擊方式。2．SYNFlood攻擊

實(shí)現(xiàn)過程:

第一次握手。第二次握手。三次握手完成。實(shí)現(xiàn)過程:

3．IP欺騙DoS攻擊4．Smurf攻擊

3．IP欺騙DoS攻擊

攻擊者偽裝成被攻擊者向某個(gè)網(wǎng)絡(luò)上的廣播設(shè)備發(fā)送請(qǐng)求，該廣播設(shè)備會(huì)將這個(gè)請(qǐng)求轉(zhuǎn)發(fā)到該網(wǎng)絡(luò)的其他廣播設(shè)備，導(dǎo)致這些設(shè)備都向被攻擊者發(fā)出回應(yīng)，從而達(dá)到以較小代價(jià)引發(fā)大量攻擊的目的。攻擊者偽裝成被攻擊者向某個(gè)網(wǎng)絡(luò)上的廣播設(shè)備

5．PingofDeath

這種攻擊通過發(fā)送大于65536字節(jié)的ICMP包造成操作系統(tǒng)內(nèi)存溢出、系統(tǒng)崩潰、重啟、內(nèi)核失敗等后果，從而達(dá)到攻擊的目的5．PingofDeath

6．Teardrop攻擊淚滴（Teardrop）攻擊，是基于UDP的病態(tài)分片數(shù)據(jù)包的攻擊方法，利用在TCP/IP堆棧中實(shí)現(xiàn)信任IP碎片中的包的標(biāo)題頭所包含的信息來(lái)實(shí)現(xiàn)自己的攻擊。6．Teardrop攻擊

7．WinNuke攻擊

WinNuke攻擊是一種拒絕服務(wù)攻擊。攻擊特征：WinNuke攻擊又稱帶外傳輸攻擊，它的特征是攻擊目標(biāo)端口，被攻擊的目標(biāo)端口通常是139、138、137、113、53，而且URG位設(shè)為“1”，即緊急模式。檢測(cè)方法：判斷數(shù)據(jù)包目標(biāo)端口是否為139、138、137等，并判斷URG位是否為“1”。反攻擊方法：適當(dāng)配置防火墻設(shè)備或過濾路由器就可以防止這種攻擊手段（丟棄該數(shù)據(jù)包），并對(duì)這種攻擊進(jìn)行審計(jì)（記錄事件發(fā)生的時(shí)間，源主機(jī)和目標(biāo)主機(jī)的MAC地址和IP地址MAC）。7．WinNuke攻擊

3.1.4分布式拒絕服務(wù)分布式拒絕服務(wù)（DistributedDenialofService，DDoS），是一種基于DoS的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準(zhǔn)比較大的站點(diǎn)，像商業(yè)公司、搜索引擎或政府部門的站點(diǎn)。3.1.4分布式拒絕服務(wù)

圖3.2分布式拒絕服務(wù)圖3.2分布式拒絕服務(wù)

DDoS攻擊分為3層：攻擊者、主控端和代理端。DDoS攻擊分為3層：攻擊者、主控端和代理

1．Trinoo2．TFN3．TFN2K4．Stacheldraht1．Trinoo

檢測(cè)DDoS攻擊的主要方法有以下幾種。根據(jù)異常情況分析使用DDoS檢測(cè)工具檢測(cè)DDoS攻擊的主要方法有以下幾種。

安全防御措施有以下幾種。及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞，及時(shí)安裝系統(tǒng)補(bǔ)丁程序。在網(wǎng)絡(luò)管理方面，要經(jīng)常檢查系統(tǒng)的物理環(huán)境，禁止那些不必要的網(wǎng)絡(luò)服務(wù)。安全防御措施有以下幾種。

利用網(wǎng)絡(luò)安全設(shè)備（例如防火墻）來(lái)加固網(wǎng)絡(luò)的安全性，配置好它們的安全規(guī)則，過濾掉所有可能的偽造數(shù)據(jù)包。利用網(wǎng)絡(luò)安全設(shè)備（例如防火墻）來(lái)加固

比較好的防御措施就是和網(wǎng)絡(luò)服務(wù)提供商協(xié)調(diào)工作，讓他們幫助實(shí)現(xiàn)路由訪問控制和對(duì)帶寬總量的限制。比較好的防御措施就是和網(wǎng)絡(luò)服務(wù)提供商

當(dāng)發(fā)現(xiàn)正在遭受DDoS攻擊時(shí)，應(yīng)當(dāng)及時(shí)啟動(dòng)應(yīng)付策略，盡可能快地追蹤攻擊包，并且要及時(shí)聯(lián)系ISP和有關(guān)應(yīng)急組織，分析受影響的系統(tǒng)，確定涉及的其他節(jié)點(diǎn)，從而阻擋已知攻擊節(jié)點(diǎn)的流量。當(dāng)發(fā)現(xiàn)正在遭受DDoS攻擊時(shí)，應(yīng)當(dāng)及

3.1.5拒絕服務(wù)攻擊的防護(hù)拒絕服務(wù)攻擊的防護(hù)一般包含兩個(gè)方面：一是針對(duì)不斷發(fā)展的攻擊形式，尤其是采用多種欺騙技術(shù)的技術(shù)，能夠有效地進(jìn)行檢測(cè)；二，也是最為重要的，就是如何降低對(duì)業(yè)務(wù)系統(tǒng)或者是網(wǎng)絡(luò)的影響，從而保證業(yè)務(wù)系統(tǒng)的連續(xù)性和可用性。3.1.5拒絕服務(wù)攻擊的防護(hù)

通常建議用戶可以采取以下手段來(lái)保障網(wǎng)絡(luò)能夠抵御拒絕服務(wù)攻擊。通常建議用戶可以采取以下手段來(lái)保障網(wǎng)絡(luò)能夠

①增加網(wǎng)絡(luò)核心設(shè)備的冗余性，提高對(duì)網(wǎng)絡(luò)流量的處理能力和負(fù)載均衡能力。②通過路由器配置訪問列表過濾掉非法流量。

①增加網(wǎng)絡(luò)核心設(shè)備的冗余性，提高對(duì)網(wǎng)絡(luò)流

③部署防火墻，提高網(wǎng)絡(luò)抵御網(wǎng)絡(luò)攻擊的能力。④部署入侵檢測(cè)設(shè)備，提高對(duì)不斷更新的DoS攻擊的識(shí)別和控制能力。③部署防火墻，提高網(wǎng)絡(luò)抵御網(wǎng)絡(luò)攻擊的能力。3.2基于漏洞入侵的防護(hù)方法3.2.1基于IIS漏洞入侵的防護(hù)方法

1．.ida&.idq漏洞3.2基于漏洞入侵的防護(hù)方法3.2.1基

漏洞描述ISAPI擴(kuò)展存在遠(yuǎn)程緩沖溢出漏洞。攻擊者可以利用該漏洞獲得Web服務(wù)器的System權(quán)限來(lái)訪問遠(yuǎn)程系統(tǒng)受影響系統(tǒng)MicrosoftWindowsNT4.0(SP0-SP6)MicrosoftWindows2000(SP0-SP2)檢測(cè)方法手工檢測(cè)；工具監(jiān)測(cè)（X-Scan）表3.1 .ida&.idq漏洞簡(jiǎn)介漏洞描述ISAPI擴(kuò)展存在遠(yuǎn)程緩沖溢出漏洞。攻擊者可以利用

續(xù)表續(xù)表

2．.printer漏洞2．.printer漏洞

描述Windows2000IIS5.0.printerISAPI擴(kuò)展存在緩沖區(qū)溢出漏洞一般情況下攻擊會(huì)使Web服務(wù)器停止響應(yīng)，但Windows2000會(huì)檢測(cè)到Web服務(wù)沒有響應(yīng)而重新啟動(dòng)服務(wù)器，因此，管理員比較難發(fā)現(xiàn)這種攻擊該漏洞非常危險(xiǎn)，僅僅需要Windows2000打開80端口（http）或者443端口（https）,微軟公司強(qiáng)烈要求在未打補(bǔ)丁之前一定要移除ISAPI網(wǎng)絡(luò)打印的映射表3.2 .printer漏洞簡(jiǎn)介描述Windows2000IIS5.0.printe

受影響系統(tǒng)Windows2000Server（IIS5.0）Windows2000AdvancedServer（IIS5.0）Windows2000DatacenterServer（IIS5.0）監(jiān)測(cè)工具X-Scan解決方案（1）為Windows2000操作系統(tǒng)打SP4補(bǔ)?。?）安裝漏洞補(bǔ)丁續(xù)表受影響系統(tǒng)Windows2000Server（IIS5

3．Unicode目錄遍歷漏洞3．Unicode目錄遍歷漏洞

漏洞描述該漏洞既是一個(gè)遠(yuǎn)程漏洞，同時(shí)也是一個(gè)本地漏洞，攻擊者可通過IE瀏覽器遠(yuǎn)程運(yùn)行被攻擊計(jì)算機(jī)的cmd.exe文件，從而使該計(jì)算機(jī)的文件暴露，且可隨意執(zhí)行和更改文件微軟IIS4.0和5.0都存在利用擴(kuò)展Unicode字符取代“/”和“\”而能利用“../”目錄遍歷的漏洞。未經(jīng)授權(quán)的用戶可能利用IUSR_machinename賬號(hào)的上下文空間訪問任何已知的文件。該賬號(hào)在默認(rèn)情況下屬于Everyone和Users組的成員，因此任何與Web根目錄在同一邏輯驅(qū)動(dòng)器上的能被這些用戶組訪問的文件都能被刪除、修改或執(zhí)行，就如同一個(gè)用戶成功登錄所能完成的一樣表3.3 Unicode目錄遍歷漏洞簡(jiǎn)介漏洞描述該漏洞既是一個(gè)遠(yuǎn)程漏洞，同時(shí)也是一個(gè)本地漏洞，攻擊

受影響系統(tǒng)MicrosoftWindowsNT/2000(IIS5.0)MicrosoftWindowsNT4.0(IIS4.0)檢測(cè)工具手工檢測(cè)；工具檢測(cè)（X-Scan）續(xù)表受影響系統(tǒng)MicrosoftWindowsNT/2

續(xù)表續(xù)表

4．.asp映射分塊編碼漏洞4．.asp映射分塊編碼漏洞

漏洞描述Windows2000和NT4IIS.asp映射存在遠(yuǎn)程緩沖溢出漏洞ASPISAPI過濾器默認(rèn)在所有NT4和Windows2000系統(tǒng)中裝載，存在的漏洞可以導(dǎo)致遠(yuǎn)程執(zhí)行任意命令惡意攻擊者可以使用分塊編碼形式把數(shù)據(jù)傳送給IIS服務(wù)器，當(dāng)解碼和解析這些數(shù)據(jù)時(shí)，可以強(qiáng)迫IIS把入侵者提供的數(shù)據(jù)寫到內(nèi)存的任意位置。通過此漏洞可以導(dǎo)致Windows2000系統(tǒng)產(chǎn)生緩沖溢出，并以IWAM_computer_name用戶的權(quán)限執(zhí)行任意代碼，而在WindowsNT4下可以以system的權(quán)限執(zhí)行任意代碼表3.4 .asp映射分塊編碼漏洞簡(jiǎn)介漏洞描述Windows2000和NT4IIS.asp

受影響系統(tǒng)MicrosoftWindowsNT4.0+IIS4.0MicrosoftWindows2000+IIS5.0檢測(cè)工具X-Scan解決方案（1）為操作系統(tǒng)打補(bǔ)?。?）安裝漏洞補(bǔ)丁續(xù)表受影響系統(tǒng)檢測(cè)工具解決方案續(xù)表

5．WebDAV遠(yuǎn)程緩沖區(qū)溢出漏洞5．WebDAV遠(yuǎn)程緩沖區(qū)溢出漏洞

漏洞描述MicrosoftIIS5.0帶有WebDAV組件、對(duì)用戶輸入的、傳遞給ntdll.dll程序處理的請(qǐng)求未做充分的邊界檢查，遠(yuǎn)程入侵者可以通過向WebDAV提交一個(gè)精心構(gòu)造的超長(zhǎng)數(shù)據(jù)請(qǐng)求而導(dǎo)致發(fā)生緩沖區(qū)溢出。這可能使入侵者以localsystem的權(quán)限在主機(jī)上執(zhí)行任意指令受影響系統(tǒng)Windows2000(SP0-SP3)檢測(cè)工具WebDAVScan.exe是IIS中WebDAV漏洞的專用掃描器。解決方案為操作系統(tǒng)打補(bǔ)丁表3.5 WebDAV遠(yuǎn)程緩沖區(qū)溢出漏洞簡(jiǎn)介漏洞描述MicrosoftIIS5.0帶有WebDAV

6．MicrosoftIIS6.0Web安全漏洞安全解決方案如下所示。轉(zhuǎn)移根目錄，不要把Web根目錄建在系統(tǒng)磁盤（C:\）。把IIS目錄的權(quán)限設(shè)置為只讀。如果IIS只用來(lái)提供靜態(tài)網(wǎng)頁(yè)，即不提供ASP、JSP、CGI等腳本6．MicrosoftIIS6.0Web安全

服務(wù)，那么建議刪除腳本目錄，或者說(shuō)，刪除全部默認(rèn)安裝目錄，并禁止任何腳本、應(yīng)用程序執(zhí)行，并刪除應(yīng)用程序配置里面的“ISAPI”應(yīng)用程序、禁止腳本測(cè)試等。服務(wù)，那么建議刪除腳本目錄，或者說(shuō)，刪除全

設(shè)置安全日志，并把該日志存在一個(gè)不顯眼的路徑下。安裝網(wǎng)絡(luò)防火墻，并禁用除80端口以外所有端口的內(nèi)外通信連接。經(jīng)常備份，并把備份文件存儲(chǔ)在另一臺(tái)計(jì)算機(jī)上。設(shè)置安全日志，并把該日志存在一個(gè)不顯

3.2.2基于電子郵件服務(wù)攻擊的防護(hù)方法

IMAP和POP漏洞。拒絕服務(wù)（DoS）攻擊。3.2.2基于電子郵件服務(wù)攻擊的防護(hù)方法

死亡之ping

同步攻擊循環(huán)死亡之ping

系統(tǒng)配置漏洞默認(rèn)配置空的/默認(rèn)根密碼漏洞創(chuàng)建系統(tǒng)配置漏洞

利用軟件問題緩沖區(qū)溢出意外組合未處理的輸入利用軟件問題

利用人為因素特洛伊木馬及自我傳播遠(yuǎn)程訪問數(shù)據(jù)發(fā)送破壞拒絕服務(wù)代理利用人為因素

解決方法有以下3種。（1）在電子郵件系統(tǒng)周圍鎖定電子郵件系統(tǒng)——電子郵件系統(tǒng)周邊控制開始于電子郵件網(wǎng)關(guān)的部署。電子郵件網(wǎng)關(guān)應(yīng)根據(jù)特定目的與加固的操作系統(tǒng)和防止網(wǎng)關(guān)受到威脅的入侵檢測(cè)功能一起構(gòu)建。解決方法有以下3種。

（2）確保外部系統(tǒng)訪問的安全性—電子郵件安全網(wǎng)關(guān)必須負(fù)責(zé)處理來(lái)自所有外部系統(tǒng)的通信，并確保通過的信息流量是合法的。通過確保外部訪問的安全，可以防止入侵者利用Web郵件等應(yīng)用程序訪問內(nèi)部系統(tǒng)。（2）確保外部系統(tǒng)訪問的安全性—電子郵件安全網(wǎng)關(guān)必須負(fù)責(zé)處

（3）實(shí)時(shí)監(jiān)視電子郵件流量—實(shí)時(shí)監(jiān)視電子郵件流量對(duì)于防止黑客利用電子郵件訪問內(nèi)部系統(tǒng)是至關(guān)重要的。檢測(cè)電子郵件中的攻擊和漏洞攻擊（如畸形MIME）需要持續(xù)監(jiān)視所有的電子郵件。（3）實(shí)時(shí)監(jiān)視電子郵件流量—實(shí)時(shí)監(jiān)視電子郵件流量對(duì)于防止黑

3.2.3注冊(cè)表入侵的防護(hù)方法3.2.3注冊(cè)表入侵的防護(hù)方法

根項(xiàng)名稱說(shuō)明HKEY_LOCAL_MACHINE包含關(guān)于本地計(jì)算機(jī)系統(tǒng)的信息，包括硬件和操作系統(tǒng)數(shù)據(jù)，如總線類型、系統(tǒng)內(nèi)存、設(shè)備驅(qū)動(dòng)程序和啟動(dòng)控制數(shù)據(jù)HKEY_CLASSES_ROOT包含由各種OLE技術(shù)使用的信息和文件類別關(guān)聯(lián)數(shù)據(jù)。如果HKEY_LOCAL_MACHINE（或HKEY_CURRENT_USER）\SOFTWARE\Classes中存在某個(gè)鍵或值，則對(duì)應(yīng)的鍵或值將出現(xiàn)在HKEY_CLASSES_ROOT中。如果兩處均存鍵或值，HKEY_CURRENT_USER版本將是出現(xiàn)在HKEY_CLASSES_ROOT中的一個(gè)表3.6 注冊(cè)表根項(xiàng)名稱說(shuō)明根項(xiàng)名稱說(shuō)明HKEY_LOCAL_MACHI

HKEY_CURRENT_USER包含當(dāng)前以交互方式（與遠(yuǎn)程方式相反）登錄的用戶的用戶配置文件，包括環(huán)境變量、桌面設(shè)置、網(wǎng)絡(luò)連接、打印機(jī)和程序首選項(xiàng)。該子目錄樹是HKEY_USERS子目錄的別名，并指向HKEY_USERS\當(dāng)前用戶的安全I(xiàn)D續(xù)表HKEY_CURRENT_USER包含當(dāng)前以交互方式（與遠(yuǎn)

根項(xiàng)名稱說(shuō)明HKEY_USERS包含關(guān)于動(dòng)態(tài)加載的用戶配置文件和默認(rèn)配置文件的信息。包含同時(shí)出現(xiàn)在HKEY_CURRENT_USER中的信息。要遠(yuǎn)程訪問服務(wù)器的用戶在服務(wù)器上的該項(xiàng)下沒有配置文件，他們的配置文件將加載到他們自己計(jì)算機(jī)的注冊(cè)表中HKEY_CURRENT_CONFIG包含在啟動(dòng)時(shí)由本地計(jì)算機(jī)系統(tǒng)使用的硬件配置文件的相關(guān)信息。該信息用于配置一些設(shè)置，如要加載的設(shè)備驅(qū)動(dòng)程序和顯示時(shí)要使用的分辨率。該子目錄樹是HKEY_LOCAL_MACHINE子目錄樹的一部分，并指向HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\HardwareProfiles\Current續(xù)表根項(xiàng)名稱說(shuō)明HKEY_USERS包含關(guān)于動(dòng)態(tài)

數(shù)據(jù)類型說(shuō)明REG_BINARY未處理的二進(jìn)制數(shù)據(jù)。二進(jìn)制是沒有長(zhǎng)度限制的，可以是任意個(gè)字節(jié)的長(zhǎng)度。多數(shù)硬件組件信息都以二進(jìn)制數(shù)據(jù)存儲(chǔ)，而以十六進(jìn)制格式顯示在注冊(cè)表編輯器中。如：“CustomColors”的鍵值就是一個(gè)二進(jìn)制數(shù)據(jù)，雙擊鍵值名，出現(xiàn)“編輯二進(jìn)制數(shù)值”對(duì)話框REG_DWORD數(shù)據(jù)由4字節(jié)（32位）長(zhǎng)度的數(shù)表示。許多設(shè)備驅(qū)動(dòng)程序和服務(wù)的參數(shù)都是這種類型，并在注冊(cè)表編輯器中以二進(jìn)制、十六進(jìn)制或十進(jìn)制的格式顯示表3.7 注冊(cè)表數(shù)據(jù)類型說(shuō)明數(shù)據(jù)類型說(shuō)明REG_BINARY未處理的二進(jìn)

REG_EXPAND_SZ長(zhǎng)度可變的數(shù)據(jù)串，一般用來(lái)表示文件的描述、硬件的標(biāo)識(shí)等，通常由字母和數(shù)字組成，最大長(zhǎng)度不能超過255個(gè)字符。REG_MULTI_SZ多個(gè)字符串。其中格式可被用戶讀取的列表或多值。常用空格、逗號(hào)或其他標(biāo)記分開REG_SZ固定長(zhǎng)度的文本串REG_FULL_RESOURCE_DESCRIPTOR設(shè)計(jì)用來(lái)存儲(chǔ)硬件元件或驅(qū)動(dòng)程序的資源列表的一系列嵌套數(shù)組續(xù)表REG_EXPAND_SZ長(zhǎng)度可變的數(shù)據(jù)串，一般用來(lái)表示文

通過以下兩種方法增強(qiáng)注冊(cè)表的安全性。

1．禁止使用注冊(cè)表編輯器

通過以下兩種方法增強(qiáng)注冊(cè)表的安全性。

方法一：打開一個(gè)“記事本”文件，如果計(jì)算機(jī)的操作系統(tǒng)是Windows2000\XP，在其中輸入以下文字：WindowsRegistryEditorVersion5.00

方法一：打開一個(gè)“記事本”文件，如果計(jì)算機(jī)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

“Disableregistrytools”=dword:00000000HKEY_CURRENT_USER\Software\Mi

如果操作系統(tǒng)是Windows98或Windows95，則輸入如下文字：REGEDIT4

如果操作系統(tǒng)是Windows98或Win

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

“Disableregistrytools”=dword:00000000[HKEY_CURRENT_USER\Software\M

將文件保存為名為“Unlock.reg”的注冊(cè)表文件。雙擊運(yùn)行該文件，即可將該文件導(dǎo)入到注冊(cè)表中，然后使用常規(guī)打開注冊(cè)表編輯器的方法就可以重新打開注冊(cè)表編輯器了。將文件保存為名為“Unlock.reg”的

方法二：在Windows2000\XP\2003系統(tǒng)中，從“開始”菜單中選擇“運(yùn)行”，在打開的“運(yùn)行”對(duì)話框中輸入“Gpedit.msc”，單擊“確定”按鈕，即可打開“組策略”對(duì)話框（見圖3.4）。方法二：在Windows2000\XP\

從左側(cè)欄中依次選擇“用戶配置”→“管理模板”→“系統(tǒng)”選項(xiàng)，在右側(cè)欄中雙擊“阻止訪問注冊(cè)表編輯工具”，可以打開“阻止訪問注冊(cè)表編輯工具屬性”對(duì)話框，選擇“已禁用”單選項(xiàng)，單擊“確定”按鈕，即可恢復(fù)禁用的注冊(cè)表編輯器。如圖3.5所示。從左側(cè)欄中依次選擇“用戶配置”→“管理模板

圖3.4組策略編輯器圖3.4組策略編輯器

圖3.5“阻止訪問注冊(cè)表編輯工具屬性”對(duì)話框圖3.5“阻止訪問注冊(cè)表編輯工具屬性”對(duì)話框

2．刪除“遠(yuǎn)程注冊(cè)表服務(wù)”（RemoteRegistryService）方法是找到注冊(cè)表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\

2．刪除“遠(yuǎn)程注冊(cè)表服務(wù)”（RemoteRegi

Services下的RemoteRegistry項(xiàng)，在其上單擊鼠標(biāo)右鍵，選擇“刪除”選項(xiàng)，將該項(xiàng)刪除后就無(wú)法啟動(dòng)該服務(wù)了，即使我們通過“控制面板”→“管理工具”→“服務(wù)”中啟動(dòng)也會(huì)出現(xiàn)相應(yīng)的錯(cuò)誤提示，根本無(wú)法啟動(dòng)該服務(wù)。Services下的RemoteRegis

3.2.4Telnet入侵的防護(hù)方法禁用Telnet服務(wù),防范IPC漏洞，禁用建立空連接，3.2.4Telnet入侵的防護(hù)方法3.3SQL數(shù)據(jù)庫(kù)安全3.3.1數(shù)據(jù)庫(kù)系統(tǒng)概述3.3.2SQL服務(wù)器的發(fā)展

1970年6月，1987年，1993年，1996年，1998年，2000年9月，2005年。3.3SQL數(shù)據(jù)庫(kù)安全3.3.1數(shù)據(jù)庫(kù)系

3.3.3數(shù)據(jù)庫(kù)技術(shù)的基本概念

數(shù)據(jù)（Data）數(shù)據(jù)庫(kù)（DB）數(shù)據(jù)庫(kù)管理系統(tǒng)（DBMS）數(shù)據(jù)庫(kù)系統(tǒng)（DBS）數(shù)據(jù)庫(kù)技術(shù)數(shù)據(jù)模型3.3.3數(shù)據(jù)庫(kù)技術(shù)的基本概念

兩種類型。一種是獨(dú)立于計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)模型，完全不涉及信息在計(jì)算機(jī)中的表示，只是用來(lái)描述某個(gè)特定組織所關(guān)心的信息結(jié)構(gòu)，這類模型稱為“概念數(shù)據(jù)模型”。兩種類型。

另一種數(shù)據(jù)模型是直接面向數(shù)據(jù)庫(kù)的邏輯結(jié)構(gòu)，它是對(duì)現(xiàn)實(shí)世界的第二層抽象。這類模型直接與數(shù)據(jù)庫(kù)管理系統(tǒng)有關(guān)，稱為“邏輯數(shù)據(jù)模型”，一般又稱為“結(jié)構(gòu)數(shù)據(jù)模型”。另一種數(shù)據(jù)模型是直接面向數(shù)據(jù)庫(kù)的邏輯結(jié)構(gòu)，

結(jié)構(gòu)數(shù)據(jù)模型應(yīng)包含數(shù)據(jù)結(jié)構(gòu)、數(shù)據(jù)操作和數(shù)據(jù)完整性約束3個(gè)部分。結(jié)構(gòu)數(shù)據(jù)模型應(yīng)包含數(shù)據(jù)結(jié)構(gòu)、數(shù)據(jù)操作和數(shù)據(jù)

3.3.4SQL安全原理

1．第一級(jí)安全層次服務(wù)器登錄，SQLServer有兩種服務(wù)器驗(yàn)證模式：安全模式和混合模式3.3.4SQL安全原理

服務(wù)器角色描述sysadmin可以執(zhí)行SQLServer中的任何任務(wù)securityadmin可以管理登錄serveradmin可以設(shè)置服務(wù)器選項(xiàng)（sp_configure）setupadmin可以設(shè)置連接服務(wù)器，運(yùn)行SP_serveroptionprocessadmin管理服務(wù)器上的進(jìn)程（有能力取消連接）diskadmin可以管理磁盤文件dbcreator可以創(chuàng)建、管理數(shù)據(jù)庫(kù)bulkadmin可以執(zhí)行BULKINSERT指令表3.8 服務(wù)器角色及其主要功能服務(wù)器角色描述sysadmin可以執(zhí)行SQLSe

2．第二級(jí)安全層次它控制用戶與一個(gè)特定的數(shù)據(jù)庫(kù)的連接。2．第二級(jí)安全層次

3．第三級(jí)安全層次它允許用戶擁有對(duì)指定數(shù)據(jù)庫(kù)中一個(gè)對(duì)象的訪問權(quán)限，由數(shù)據(jù)庫(kù)角色來(lái)定義。3．第三級(jí)安全層次

（1）用戶定義的角色（2）固定數(shù)據(jù)庫(kù)角色（1）用戶定義的角色

固定數(shù)據(jù)庫(kù)角色描述db_owner可以執(zhí)行所有數(shù)據(jù)庫(kù)角色的活動(dòng)db_accessadmin可以增加或刪除Windows組、用戶和數(shù)據(jù)庫(kù)中的SQLServer用戶db_datareader可以閱讀數(shù)據(jù)庫(kù)中所有用戶表的數(shù)據(jù)db_datawriter可以寫或刪除數(shù)據(jù)庫(kù)中所有用戶表的數(shù)據(jù)db_ddladmin可以增加、修改或放棄數(shù)據(jù)庫(kù)的對(duì)象db_securityadmin可以管理角色和數(shù)據(jù)庫(kù)角色的成員，管理數(shù)據(jù)庫(kù)的參數(shù)和對(duì)象權(quán)限表3.9 數(shù)據(jù)庫(kù)角色及其主要功能固定數(shù)據(jù)庫(kù)角色描述db_owner可以執(zhí)行所有數(shù)據(jù)

固定數(shù)據(jù)庫(kù)角色描述db_backupoperator可以備份數(shù)據(jù)庫(kù)db_denydatareader不能選擇數(shù)據(jù)庫(kù)的數(shù)據(jù)db_denydatawriter不能改變數(shù)據(jù)庫(kù)的數(shù)據(jù)

續(xù)表固定數(shù)據(jù)庫(kù)角色描述db_backupoperato3.4SQLServer攻擊的防護(hù)

3.4.1信息資源的收集稱之為SQLServer解決服務(wù)方案。3.4SQLServer攻擊的防護(hù)

3.4

3.4.2獲取賬號(hào)及擴(kuò)大權(quán)限入侵者可以通過以下幾個(gè)手段來(lái)獲取賬號(hào)或密碼。3.4.2獲取賬號(hào)及擴(kuò)大權(quán)限

社會(huì)（交）工程學(xué)弱口令掃描探測(cè)包暴力破解SQL口令其他方法社會(huì)（交）工程學(xué)

3.4.3設(shè)置安全的SQLServer

在進(jìn)行SQLServer2000數(shù)據(jù)庫(kù)的安全配置之前，需要完成3個(gè)基本的安全配置。3.4.3設(shè)置安全的SQLServer

對(duì)操作系統(tǒng)進(jìn)行安全配置，保證操作系統(tǒng)處于安全的狀態(tài)。對(duì)操作系統(tǒng)進(jìn)行安全配置，保證操作系統(tǒng)

對(duì)要使用的數(shù)據(jù)庫(kù)軟件（程序）進(jìn)行必要的安全審核，比如ASP、PHP等腳本，這是很多基于數(shù)據(jù)庫(kù)的Web應(yīng)用常出現(xiàn)的安全隱患，對(duì)于腳本主要是一個(gè)過濾問題，需要過濾一些類似于“,”、“‘”、“；”、“@”、“/”等的字符，防止破壞者構(gòu)造惡意的SQL語(yǔ)句進(jìn)行注入。對(duì)要使用的數(shù)據(jù)庫(kù)軟件（程序）進(jìn)行必要

安裝SQLServer2000后，要打上最新的補(bǔ)丁。安裝SQLServer2000后

SQLServer2000的安全配置。（1）使用安全的密碼策略和賬號(hào)策略，減少過多的權(quán)限（2）激活審核數(shù)據(jù)庫(kù)事件日志（3）清除危險(xiǎn)的擴(kuò)展存儲(chǔ)過程SQLServer2000的安全配置。

（4）在與工作相關(guān)的存儲(chǔ)過程上設(shè)置嚴(yán)格的權(quán)限（5）使用協(xié)議加密（6）拒絕來(lái)自1434端口的探測(cè)（4）在與工作相關(guān)的存儲(chǔ)過程上設(shè)置嚴(yán)格的權(quán)限

（7）更改默認(rèn)的TCP/IP端口1433（8）對(duì)網(wǎng)絡(luò)連接進(jìn)行IP限制（6）拒絕來(lái)自1434端口的探測(cè)（7）更改默認(rèn)的TCP/IP端口14331、有時(shí)候讀書是一種巧妙地避開思考的方法。12月-2212月-22Thursday,December15,20222、閱讀一切好書如同和過去最杰出的人談話。21:13:4421:13:4421:1312/15/20229:13:44PM3、越是沒有本領(lǐng)的就越加自命不凡。12月-2221:13:4421:13Dec-2215-Dec-224、越是無(wú)能的人，越喜歡挑剔別人的錯(cuò)兒。21:13:4421:13:4421:13Thursday,December15,20225、知人者智，自知者明。勝人者有力，自勝者強(qiáng)。12月-2212月-2221:13:4421:13:44December15,20226、意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。15十二月20229:13:44下午21:13:4412月-227、最具挑戰(zhàn)性的挑戰(zhàn)莫過于提升自我。。十二月229:13下午12月-2221:13December15,20228、業(yè)余生活要有意義，不要越軌。2022/12/1521:13:4421:13:4415December20229、一個(gè)人即使已登上頂峰，也仍要自強(qiáng)不息。9:13:44下午9:13下午21:13:4412月-2210、你要做多大的事情，就該承受多大的壓力。12/15/20229:13:44PM21:13:4415-12月-2211、自己要先看得起自己，別人才會(huì)看得起你。12/15/20229:13PM12/15/20229:13PM12月-2212月-2212、這一秒不放棄，下一秒就會(huì)有希望。15-Dec-2215December202212月-2213、無(wú)論才能知識(shí)多么卓著，如果缺乏熱情，則無(wú)異紙上畫餅充饑，無(wú)補(bǔ)于事。Thursday,December15,202215-Dec-2212月-2214、我只是自己不放過自己而已，現(xiàn)在我不會(huì)再逼自己眷戀了。12月-2221:13:4415December202221:13謝謝大家1、有時(shí)候讀書是一種巧妙地避開思考的方法。12月-2212月99

拒絕服務(wù)與數(shù)據(jù)庫(kù)安全

拒絕服務(wù)攻擊概述3.1

基于漏洞入侵的防護(hù)方法3.2SQL數(shù)據(jù)庫(kù)安全3.3SQLServer攻擊的防護(hù)

3.4拒絕服務(wù)攻擊概述3.1基于漏洞入侵3.1拒絕服務(wù)攻擊概述3.1.1DoS定義

DoS(DenialOfService)拒絕服務(wù)，造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)。最常見的DoS攻擊有計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶請(qǐng)求就無(wú)法通過。連通性攻擊指用大量的連接請(qǐng)求沖擊計(jì)算機(jī)，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計(jì)算機(jī)無(wú)法再處理合法用戶的請(qǐng)求。3.1拒絕服務(wù)攻擊概述3.1.1DoS定義

DoS攻擊的原理：借助網(wǎng)絡(luò)系統(tǒng)或協(xié)議的缺陷以及配置漏洞進(jìn)行網(wǎng)絡(luò)攻擊，使網(wǎng)絡(luò)擁塞、系統(tǒng)資源耗盡或系統(tǒng)應(yīng)用死鎖，妨礙目標(biāo)主機(jī)和網(wǎng)絡(luò)系統(tǒng)對(duì)正常用戶服務(wù)請(qǐng)求的及時(shí)響應(yīng)，造成服務(wù)的性能受損，甚至導(dǎo)致服務(wù)中斷。DoS攻擊的原理：借助網(wǎng)絡(luò)系統(tǒng)或協(xié)議的缺陷

DoS攻擊的基本過程。DoS攻擊的基本過程。

圖3.1DoS攻擊的基本過程圖3.1DoS攻擊的基本過程

3.1.2拒絕服務(wù)攻擊的分類拒絕服務(wù)攻擊可以是“物理的”（又稱“硬件的”），也可以是“邏輯的”（又稱“軟件的”）。3.1.2拒絕服務(wù)攻擊的分類

按攻擊的目標(biāo)又可分為節(jié)點(diǎn)型和網(wǎng)絡(luò)連接型。節(jié)點(diǎn)型:主機(jī)型攻擊

應(yīng)用型攻擊

網(wǎng)絡(luò)連接型按攻擊的目標(biāo)又可分為節(jié)點(diǎn)型和網(wǎng)絡(luò)連接型。

按照攻擊方式來(lái)分可以分為：資源消耗、服務(wù)中止和物理破壞。

1.資源消耗帶寬耗盡攻擊系統(tǒng)資源耗盡攻擊

2.服務(wù)中止

3.物理破壞按照攻擊方式來(lái)分可以分為：資源消耗、服務(wù)中

按受害者類型可以分為服務(wù)器端拒絕服務(wù)攻擊和客戶端拒絕服務(wù)攻擊。

1.服務(wù)器端拒絕服務(wù)攻擊

2.客戶端拒絕服務(wù)攻擊按受害者類型可以分為服務(wù)器端拒絕服務(wù)攻擊和

3.1.3常見DoS攻擊

1．Land程序攻擊

Land攻擊，是利用向目標(biāo)主機(jī)發(fā)送大量的源地址與目標(biāo)地址相同的數(shù)據(jù)包，造成目標(biāo)主機(jī)解析Land包時(shí)占用大量的系統(tǒng)資源，從而使網(wǎng)絡(luò)功能完全癱瘓的攻擊手段。3.1.3常見DoS攻擊

2．SYNFlood攻擊這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請(qǐng)求，使被攻擊方資源耗盡（CPU滿負(fù)荷或內(nèi)存不足）的攻擊方式。2．SYNFlood攻擊

實(shí)現(xiàn)過程:

第一次握手。第二次握手。三次握手完成。實(shí)現(xiàn)過程:

3．IP欺騙DoS攻擊4．Smurf攻擊

3．IP欺騙DoS攻擊

攻擊者偽裝成被攻擊者向某個(gè)網(wǎng)絡(luò)上的廣播設(shè)備發(fā)送請(qǐng)求，該廣播設(shè)備會(huì)將這個(gè)請(qǐng)求轉(zhuǎn)發(fā)到該網(wǎng)絡(luò)的其他廣播設(shè)備，導(dǎo)致這些設(shè)備都向被攻擊者發(fā)出回應(yīng)，從而達(dá)到以較小代價(jià)引發(fā)大量攻擊的目的。攻擊者偽裝成被攻擊者向某個(gè)網(wǎng)絡(luò)上的廣播設(shè)備

5．PingofDeath

這種攻擊通過發(fā)送大于65536字節(jié)的ICMP包造成操作系統(tǒng)內(nèi)存溢出、系統(tǒng)崩潰、重啟、內(nèi)核失敗等后果，從而達(dá)到攻擊的目的5．PingofDeath

6．Teardrop攻擊淚滴（Teardrop）攻擊，是基于UDP的病態(tài)分片數(shù)據(jù)包的攻擊方法，利用在TCP/IP堆棧中實(shí)現(xiàn)信任IP碎片中的包的標(biāo)題頭所包含的信息來(lái)實(shí)現(xiàn)自己的攻擊。6．Teardrop攻擊

7．WinNuke攻擊

WinNuke攻擊是一種拒絕服務(wù)攻擊。攻擊特征：WinNuke攻擊又稱帶外傳輸攻擊，它的特征是攻擊目標(biāo)端口，被攻擊的目標(biāo)端口通常是139、138、137、113、53，而且URG位設(shè)為“1”，即緊急模式。檢測(cè)方法：判斷數(shù)據(jù)包目標(biāo)端口是否為139、138、137等，并判斷URG位是否為“1”。反攻擊方法：適當(dāng)配置防火墻設(shè)備或過濾路由器就可以防止這種攻擊手段（丟棄該數(shù)據(jù)包），并對(duì)這種攻擊進(jìn)行審計(jì)（記錄事件發(fā)生的時(shí)間，源主機(jī)和目標(biāo)主機(jī)的MAC地址和IP地址MAC）。7．WinNuke攻擊

3.1.4分布式拒絕服務(wù)分布式拒絕服務(wù)（DistributedDenialofService，DDoS），是一種基于DoS的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準(zhǔn)比較大的站點(diǎn)，像商業(yè)公司、搜索引擎或政府部門的站點(diǎn)。3.1.4分布式拒絕服務(wù)

圖3.2分布式拒絕服務(wù)圖3.2分布式拒絕服務(wù)

DDoS攻擊分為3層：攻擊者、主控端和代理端。DDoS攻擊分為3層：攻擊者、主控端和代理

1．Trinoo2．TFN3．TFN2K4．Stacheldraht1．Trinoo

檢測(cè)DDoS攻擊的主要方法有以下幾種。根據(jù)異常情況分析使用DDoS檢測(cè)工具檢測(cè)DDoS攻擊的主要方法有以下幾種。

安全防御措施有以下幾種。及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞，及時(shí)安裝系統(tǒng)補(bǔ)丁程序。在網(wǎng)絡(luò)管理方面，要經(jīng)常檢查系統(tǒng)的物理環(huán)境，禁止那些不必要的網(wǎng)絡(luò)服務(wù)。安全防御措施有以下幾種。

利用網(wǎng)絡(luò)安全設(shè)備（例如防火墻）來(lái)加固網(wǎng)絡(luò)的安全性，配置好它們的安全規(guī)則，過濾掉所有可能的偽造數(shù)據(jù)包。利用網(wǎng)絡(luò)安全設(shè)備（例如防火墻）來(lái)加固

比較好的防御措施就是和網(wǎng)絡(luò)服務(wù)提供商協(xié)調(diào)工作，讓他們幫助實(shí)現(xiàn)路由訪問控制和對(duì)帶寬總量的限制。比較好的防御措施就是和網(wǎng)絡(luò)服務(wù)提供商

當(dāng)發(fā)現(xiàn)正在遭受DDoS攻擊時(shí)，應(yīng)當(dāng)及時(shí)啟動(dòng)應(yīng)付策略，盡可能快地追蹤攻擊包，并且要及時(shí)聯(lián)系ISP和有關(guān)應(yīng)急組織，分析受影響的系統(tǒng)，確定涉及的其他節(jié)點(diǎn)，從而阻擋已知攻擊節(jié)點(diǎn)的流量。當(dāng)發(fā)現(xiàn)正在遭受DDoS攻擊時(shí)，應(yīng)當(dāng)及

3.1.5拒絕服務(wù)攻擊的防護(hù)拒絕服務(wù)攻擊的防護(hù)一般包含兩個(gè)方面：一是針對(duì)不斷發(fā)展的攻擊形式，尤其是采用多種欺騙技術(shù)的技術(shù)，能夠有效地進(jìn)行檢測(cè)；二，也是最為重要的，就是如何降低對(duì)業(yè)務(wù)系統(tǒng)或者是網(wǎng)絡(luò)的影響，從而保證業(yè)務(wù)系統(tǒng)的連續(xù)性和可用性。3.1.5拒絕服務(wù)攻擊的防護(hù)

通常建議用戶可以采取以下手段來(lái)保障網(wǎng)絡(luò)能夠抵御拒絕服務(wù)攻擊。通常建議用戶可以采取以下手段來(lái)保障網(wǎng)絡(luò)能夠

①增加網(wǎng)絡(luò)核心設(shè)備的冗余性，提高對(duì)網(wǎng)絡(luò)流量的處理能力和負(fù)載均衡能力。②通過路由器配置訪問列表過濾掉非法流量。

①增加網(wǎng)絡(luò)核心設(shè)備的冗余性，提高對(duì)網(wǎng)絡(luò)流

③部署防火墻，提高網(wǎng)絡(luò)抵御網(wǎng)絡(luò)攻擊的能力。④部署入侵檢測(cè)設(shè)備，提高對(duì)不斷更新的DoS攻擊的識(shí)別和控制能力。③部署防火墻，提高網(wǎng)絡(luò)抵御網(wǎng)絡(luò)攻擊的能力。3.2基于漏洞入侵的防護(hù)方法3.2.1基于IIS漏洞入侵的防護(hù)方法

1．.ida&.idq漏洞3.2基于漏洞入侵的防護(hù)方法3.2.1基

漏洞描述ISAPI擴(kuò)展存在遠(yuǎn)程緩沖溢出漏洞。攻擊者可以利用該漏洞獲得Web服務(wù)器的System權(quán)限來(lái)訪問遠(yuǎn)程系統(tǒng)受影響系統(tǒng)MicrosoftWindowsNT4.0(SP0-SP6)MicrosoftWindows2000(SP0-SP2)檢測(cè)方法手工檢測(cè)；工具監(jiān)測(cè)（X-Scan）表3.1 .ida&.idq漏洞簡(jiǎn)介漏洞描述ISAPI擴(kuò)展存在遠(yuǎn)程緩沖溢出漏洞。攻擊者可以利用

續(xù)表續(xù)表

2．.printer漏洞2．.printer漏洞

描述Windows2000IIS5.0.printerISAPI擴(kuò)展存在緩沖區(qū)溢出漏洞一般情況下攻擊會(huì)使Web服務(wù)器停止響應(yīng)，但Windows2000會(huì)檢測(cè)到Web服務(wù)沒有響應(yīng)而重新啟動(dòng)服務(wù)器，因此，管理員比較難發(fā)現(xiàn)這種攻擊該漏洞非常危險(xiǎn)，僅僅需要Windows2000打開80端口（http）或者443端口（https）,微軟公司強(qiáng)烈要求在未打補(bǔ)丁之前一定要移除ISAPI網(wǎng)絡(luò)打印的映射表3.2 .printer漏洞簡(jiǎn)介描述Windows2000IIS5.0.printe

受影響系統(tǒng)Windows2000Server（IIS5.0）Windows2000AdvancedServer（IIS5.0）Windows2000DatacenterServer（IIS5.0）監(jiān)測(cè)工具X-Scan解決方案（1）為Windows2000操作系統(tǒng)打SP4補(bǔ)?。?）安裝漏洞補(bǔ)丁續(xù)表受影響系統(tǒng)Windows2000Server（IIS5

3．Unicode目錄遍歷漏洞3．Unicode目錄遍歷漏洞

漏洞描述該漏洞既是一個(gè)遠(yuǎn)程漏洞，同時(shí)也是一個(gè)本地漏洞，攻擊者可通過IE瀏覽器遠(yuǎn)程運(yùn)行被攻擊計(jì)算機(jī)的cmd.exe文件，從而使該計(jì)算機(jī)的文件暴露，且可隨意執(zhí)行和更改文件微軟IIS4.0和5.0都存在利用擴(kuò)展Unicode字符取代“/”和“\”而能利用“../”目錄遍歷的漏洞。未經(jīng)授權(quán)的用戶可能利用IUSR_machinename賬號(hào)的上下文空間訪問任何已知的文件。該賬號(hào)在默認(rèn)情況下屬于Everyone和Users組的成員，因此任何與Web根目錄在同一邏輯驅(qū)動(dòng)器上的能被這些用戶組訪問的文件都能被刪除、修改或執(zhí)行，就如同一個(gè)用戶成功登錄所能完成的一樣表3.3 Unicode目錄遍歷漏洞簡(jiǎn)介漏洞描述該漏洞既是一個(gè)遠(yuǎn)程漏洞，同時(shí)也是一個(gè)本地漏洞，攻擊

受影響系統(tǒng)MicrosoftWindowsNT/2000(IIS5.0)MicrosoftWindowsNT4.0(IIS4.0)檢測(cè)工具手工檢測(cè)；工具檢測(cè)（X-Scan）續(xù)表受影響系統(tǒng)MicrosoftWindowsNT/2

續(xù)表續(xù)表

4．.asp映射分塊編碼漏洞4．.asp映射分塊編碼漏洞

漏洞描述Windows2000和NT4IIS.asp映射存在遠(yuǎn)程緩沖溢出漏洞ASPISAPI過濾器默認(rèn)在所有NT4和Windows2000系統(tǒng)中裝載，存在的漏洞可以導(dǎo)致遠(yuǎn)程執(zhí)行任意命令惡意攻擊者可以使用分塊編碼形式把數(shù)據(jù)傳送給IIS服務(wù)器，當(dāng)解碼和解析這些數(shù)據(jù)時(shí)，可以強(qiáng)迫IIS把入侵者提供的數(shù)據(jù)寫到內(nèi)存的任意位置。通過此漏洞可以導(dǎo)致Windows2000系統(tǒng)產(chǎn)生緩沖溢出，并以IWAM_computer_name用戶的權(quán)限執(zhí)行任意代碼，而在WindowsNT4下可以以system的權(quán)限執(zhí)行任意代碼表3.4 .asp映射分塊編碼漏洞簡(jiǎn)介漏洞描述Windows2000和NT4IIS.asp

受影響系統(tǒng)MicrosoftWindowsNT4.0+IIS4.0MicrosoftWindows2000+IIS5.0檢測(cè)工具X-Scan解決方案（1）為操作系統(tǒng)打補(bǔ)?。?）安裝漏洞補(bǔ)丁續(xù)表受影響系統(tǒng)檢測(cè)工具解決方案續(xù)表

5．WebDAV遠(yuǎn)程緩沖區(qū)溢出漏洞5．WebDAV遠(yuǎn)程緩沖區(qū)溢出漏洞

漏洞描述MicrosoftIIS5.0帶有WebDAV組件、對(duì)用戶輸入的、傳遞給ntdll.dll程序處理的請(qǐng)求未做充分的邊界檢查，遠(yuǎn)程入侵者可以通過向WebDAV提交一個(gè)精心構(gòu)造的超長(zhǎng)數(shù)據(jù)請(qǐng)求而導(dǎo)致發(fā)生緩沖區(qū)溢出。這可能使入侵者以localsystem的權(quán)限在主機(jī)上執(zhí)行任意指令受影響系統(tǒng)Windows2000(SP0-SP3)檢測(cè)工具WebDAVScan.exe是IIS中WebDAV漏洞的專用掃描器。解決方案為操作系統(tǒng)打補(bǔ)丁表3.5 WebDAV遠(yuǎn)程緩沖區(qū)溢出漏洞簡(jiǎn)介漏洞描述MicrosoftIIS5.0帶有WebDAV

6．MicrosoftIIS6.0Web安全漏洞安全解決方案如下所示。轉(zhuǎn)移根目錄，不要把Web根目錄建在系統(tǒng)磁盤（C:\）。把IIS目錄的權(quán)限設(shè)置為只讀。如果IIS只用來(lái)提供靜態(tài)網(wǎng)頁(yè)，即不提供ASP、JSP、CGI等腳本6．MicrosoftIIS6.0Web安全

服務(wù)，那么建議刪除腳本目錄，或者說(shuō)，刪除全部默認(rèn)安裝目錄，并禁止任何腳本、應(yīng)用程序執(zhí)行，并刪除應(yīng)用程序配置里面的“ISAPI”應(yīng)用程序、禁止腳本測(cè)試等。服務(wù)，那么建議刪除腳本目錄，或者說(shuō)，刪除全

設(shè)置安全日志，并把該日志存在一個(gè)不顯眼的路徑下。安裝網(wǎng)絡(luò)防火墻，并禁用除80端口以外所有端口的內(nèi)外通信連接。經(jīng)常備份，并把備份文件存儲(chǔ)在另一臺(tái)計(jì)算機(jī)上。設(shè)置安全日志，并把該日志存在一個(gè)不顯

3.2.2基于電子郵件服務(wù)攻擊的防護(hù)方法

IMAP和POP漏洞。拒絕服務(wù)（DoS）攻擊。3.2.2基于電子郵件服務(wù)攻擊的防護(hù)方法

死亡之ping

同步攻擊循環(huán)死亡之ping

系統(tǒng)配置漏洞默認(rèn)配置空的/默認(rèn)根密碼漏洞創(chuàng)建系統(tǒng)配置漏洞

利用軟件問題緩沖區(qū)溢出意外組合未處理的輸入利用軟件問題

利用人為因素特洛伊木馬及自我傳播遠(yuǎn)程訪問數(shù)據(jù)發(fā)送破壞拒絕服務(wù)代理利用人為因素

解決方法有以下3種。（1）在電子郵件系統(tǒng)周圍鎖定電子郵件系統(tǒng)——電子郵件系統(tǒng)周邊控制開始于電子郵件網(wǎng)關(guān)的部署。電子郵件網(wǎng)關(guān)應(yīng)根據(jù)特定目的與加固的操作系統(tǒng)和防止網(wǎng)關(guān)受到威脅的入侵檢測(cè)功能一起構(gòu)建。解決方法有以下3種。

（2）確保外部系統(tǒng)訪問的安全性—電子郵件安全網(wǎng)關(guān)必須負(fù)責(zé)處理來(lái)自所有外部系統(tǒng)的通信，并確保通過的信息流量是合法的。通過確保外部訪問的安全，可以防止入侵者利用Web郵件等應(yīng)用程序訪問內(nèi)部系統(tǒng)。（2）確保外部系統(tǒng)訪問的安全性—電子郵件安全網(wǎng)關(guān)必須負(fù)責(zé)處

（3）實(shí)時(shí)監(jiān)視電子郵件流量—實(shí)時(shí)監(jiān)視電子郵件流量對(duì)于防止黑客利用電子郵件訪問內(nèi)部系統(tǒng)是至關(guān)重要的。檢測(cè)電子郵件中的攻擊和漏洞攻擊（如畸形MIME）需要持續(xù)監(jiān)視所有的電子郵件。（3）實(shí)時(shí)監(jiān)視電子郵件流量—實(shí)時(shí)監(jiān)視電子郵件流量對(duì)于防止黑

3.2.3注冊(cè)表入侵的防護(hù)方法3.2.3注冊(cè)表入侵的防護(hù)方法

根項(xiàng)名稱說(shuō)明HKEY_LOCAL_MACHINE包含關(guān)于本地計(jì)算機(jī)系統(tǒng)的信息，包括硬件和操作系統(tǒng)數(shù)據(jù)，如總線類型、系統(tǒng)內(nèi)存、設(shè)備驅(qū)動(dòng)程序和啟動(dòng)控制數(shù)據(jù)HKEY_CLASSES_ROOT包含由各種OLE技術(shù)使用的信息和文件類別關(guān)聯(lián)數(shù)據(jù)。如果HKEY_LOCAL_MACHINE（或HKEY_CURRENT_USER）\SOFTWARE\Classes中存在某個(gè)鍵或值，則對(duì)應(yīng)的鍵或值將出現(xiàn)在HKEY_CLASSES_ROOT中。如果兩處均存鍵或值，HKEY_CURRENT_USER版本將是出現(xiàn)在HKEY_CLASSES_ROOT中的一個(gè)表3.6 注冊(cè)表根項(xiàng)名稱說(shuō)明根項(xiàng)名稱說(shuō)明HKEY_LOCAL_MACHI

HKEY_CURRENT_USER包含當(dāng)前以交互方式（與遠(yuǎn)程方式相反）登錄的用戶的用戶配置文件，包括環(huán)境變量、桌面設(shè)置、網(wǎng)絡(luò)連接、打印機(jī)和程序首選項(xiàng)。該子目錄樹是HKEY_USERS子目錄的別名，并指向HKEY_USERS\當(dāng)前用戶的安全I(xiàn)D續(xù)表HKEY_CURRENT_USER包含當(dāng)前以交互方式（與遠(yuǎn)

根項(xiàng)名稱說(shuō)明HKEY_USERS包含關(guān)于動(dòng)態(tài)加載的用戶配置文件和默認(rèn)配置文件的信息。包含同時(shí)出現(xiàn)在HKEY_CURRENT_USER中的信息。要遠(yuǎn)程訪問服務(wù)器的用戶在服務(wù)器上的該項(xiàng)下沒有配置文件，他們的配置文件將加載到他們自己計(jì)算機(jī)的注冊(cè)表中HKEY_CURRENT_CONFIG包含在啟動(dòng)時(shí)由本地計(jì)算機(jī)系統(tǒng)使用的硬件配置文件的相關(guān)信息。該信息用于配置一些設(shè)置，如要加載的設(shè)備驅(qū)動(dòng)程序和顯示時(shí)要使用的分辨率。該子目錄樹是HKEY_LOCAL_MACHINE子目錄樹的一部分，并指向HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\HardwareProfiles\Current續(xù)表根項(xiàng)名稱說(shuō)明HKEY_USERS包含關(guān)于動(dòng)態(tài)

數(shù)據(jù)類型說(shuō)明REG_BINARY未處理的二進(jìn)制數(shù)據(jù)。二進(jìn)制是沒有長(zhǎng)度限制的，可以是任意個(gè)字節(jié)的長(zhǎng)度。多數(shù)硬件組件信息都以二進(jìn)制數(shù)據(jù)存儲(chǔ)，而以十六進(jìn)制格式顯示在注冊(cè)表編輯器中。如：“CustomColors”的鍵值就是一個(gè)二進(jìn)制數(shù)據(jù)，雙擊鍵值名，出現(xiàn)“編輯二進(jìn)制數(shù)值”對(duì)話框REG_DWORD數(shù)據(jù)由4字節(jié)（32位）長(zhǎng)度的數(shù)表示。許多設(shè)備驅(qū)動(dòng)程序和服務(wù)的參數(shù)都是這種類型，并在注冊(cè)表編輯器中以二進(jìn)制、十六進(jìn)制或十進(jìn)制的格式顯示表3.7 注冊(cè)表數(shù)據(jù)類型說(shuō)明數(shù)據(jù)類型說(shuō)明REG_BINARY未處理的二進(jìn)

REG_EXPAND_SZ長(zhǎng)度可變的數(shù)據(jù)串，一般用來(lái)表示文件的描述、硬件的標(biāo)識(shí)等，通常由字母和數(shù)字組成，最大長(zhǎng)度不能超過255個(gè)字符。REG_MULTI_SZ多個(gè)字符串。其中格式可被用戶讀取的列表或多值。常用空格、逗號(hào)或其他標(biāo)記分開REG_SZ固定長(zhǎng)度的文本串REG_FULL_RESOURCE_DESCRIPTOR設(shè)計(jì)用來(lái)存儲(chǔ)硬件元件或驅(qū)動(dòng)程序的資源列表的一系列嵌套數(shù)組續(xù)表REG_EXPAND_SZ長(zhǎng)度可變的數(shù)據(jù)串，一般用來(lái)表示文

通過以下兩種方法增強(qiáng)注冊(cè)表的安全性。

1．禁止使用注冊(cè)表編輯器

通過以下兩種方法增強(qiáng)注冊(cè)表的安全性。

方法一：打開一個(gè)“記事本”文件，如果計(jì)算機(jī)的操作系統(tǒng)是Windows2000\XP，在其中輸入以下文字：WindowsRegistryEditorVersion5.00

方法一：打開一個(gè)“記事本”文件，如果計(jì)算機(jī)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

“Disableregistrytools”=dword:00000000HKEY_CURRENT_USER\Software\Mi

如果操作系統(tǒng)是Windows98或Windows95，則輸入如下文字：REGEDIT4

如果操作系統(tǒng)是Windows98或Win

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

“Disableregistrytools”=dword:00000000[HKEY_CURRENT_USER\Software\M

將文件保存為名為“Unlock.reg”的注冊(cè)表文件。雙擊運(yùn)行該文件，即可將該文件導(dǎo)入到注冊(cè)表中，然后使用常規(guī)打開注冊(cè)表編輯器的方法就可以重新打開注冊(cè)表編輯器了。將文件保存為名為“Unlock.reg”的

方法二：在Windows2000\XP\2003系統(tǒng)中，從“開始”菜單中選擇“運(yùn)行”，在打開的“運(yùn)行”對(duì)話框中輸入“Gpedit.msc”，單擊“確定”按鈕，即可打開“組策略”對(duì)話框（見圖3.4）。方法二：在Windows2000\XP\

從左側(cè)欄中依次選擇“用戶配置”→“管理模板”→“系統(tǒng)”選項(xiàng)，在右側(cè)欄中雙擊“阻止訪問注冊(cè)表編輯工具”，可以打開“阻止訪問注冊(cè)表編輯工具屬性”對(duì)話框，選擇“已禁用”單選項(xiàng)，單擊“確定”按鈕，即可恢復(fù)禁用的注冊(cè)表編輯器。如圖3.5所示。從左側(cè)欄中依次選擇“用戶配置”→“管理模板

圖3.4組策略編輯器圖3.4組策略編輯器

圖3.5“阻止訪問注冊(cè)表編輯工具屬性”對(duì)話框圖3.5“阻止訪問注冊(cè)表編輯工具屬性”對(duì)話框

2．刪除“遠(yuǎn)程注冊(cè)表服務(wù)”（RemoteRegistryService）方法是找到注冊(cè)表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\

2．刪除“遠(yuǎn)程注冊(cè)表服務(wù)”（RemoteRegi

Services下的RemoteRegistry項(xiàng)，在其上單擊鼠標(biāo)右鍵，選擇“刪除”選項(xiàng)，將該項(xiàng)刪除后就無(wú)法啟動(dòng)該服務(wù)了，即使我們通過“控制面板”→“管理工具”→“服務(wù)”中啟動(dòng)也會(huì)出現(xiàn)相應(yīng)的錯(cuò)誤提示，根本無(wú)法啟動(dòng)該服務(wù)。Services下的RemoteRegis

3.2.4Telnet入侵的防護(hù)方法禁用Telnet服務(wù),防范IPC漏洞，禁用建立空連接，3.2.4Telnet入侵的防護(hù)方法3.3SQL數(shù)據(jù)庫(kù)安全3.3.1數(shù)據(jù)庫(kù)系統(tǒng)概述3.3.2SQL服務(wù)器的發(fā)展

1970年6月，1987年，1993年，1996年，1998年，2000年9月，2005年。3.3SQL數(shù)據(jù)庫(kù)安全3.3.1數(shù)據(jù)庫(kù)系

3.3.3數(shù)據(jù)庫(kù)技術(shù)的基本概念

數(shù)據(jù)（Data）數(shù)據(jù)庫(kù)（DB）數(shù)據(jù)庫(kù)管理系統(tǒng)（DBMS）數(shù)據(jù)庫(kù)系統(tǒng)（DBS）數(shù)據(jù)庫(kù)技術(shù)數(shù)據(jù)模型3.3.3數(shù)據(jù)庫(kù)技術(shù)的基本概念

兩種類型。一種是獨(dú)立于計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)模型，完全不涉及信息在計(jì)算機(jī)中的表示，只是用來(lái)描述某個(gè)特定組織所關(guān)心的信息結(jié)構(gòu)，這類模型稱為“概念數(shù)據(jù)模型”。兩種類型。

另一種數(shù)據(jù)模型是直接面向數(shù)據(jù)庫(kù)的邏輯結(jié)構(gòu)，它是對(duì)現(xiàn)實(shí)世界的第二層抽象。這類模型直接與數(shù)據(jù)庫(kù)管理系統(tǒng)有關(guān)，稱為“邏輯數(shù)據(jù)模型”，一般又稱為“結(jié)構(gòu)數(shù)據(jù)模型”。另一種數(shù)據(jù)模型是直接面向數(shù)據(jù)庫(kù)的邏輯結(jié)構(gòu)，

結(jié)構(gòu)數(shù)據(jù)模型應(yīng)包含數(shù)據(jù)結(jié)構(gòu)、數(shù)據(jù)操作和數(shù)據(jù)完整性約束3個(gè)部分。結(jié)構(gòu)數(shù)據(jù)模型應(yīng)包含數(shù)據(jù)結(jié)構(gòu)、數(shù)據(jù)操作和數(shù)據(jù)

3.3.4SQL安全原理

1．第一級(jí)安全層次服務(wù)器登錄，SQLServer有兩種服務(wù)器驗(yàn)證模式：安全模式和混合模式3.3.4SQL安全原理

服務(wù)器角色描述sysadmin可以執(zhí)行SQLServer中的任何任務(wù)securityadmin可以管理登錄serveradmin可以設(shè)置服務(wù)器選項(xiàng)（sp_configure）setupadmin可以設(shè)置連接服務(wù)器，運(yùn)行SP_serveropti