1、服務器安全需要了解的123,1.DNS 系統(tǒng)漏洞被泄露，小心被攻擊 2.保護Win2003網(wǎng)絡服務器安全 3.網(wǎng)絡安全檢測思路與技巧,1.DNS 系統(tǒng)漏洞被泄露，小心被攻擊,盡管 Dan Kaminsky 努力掩蓋他所發(fā)現(xiàn)的 DNS 嚴重漏洞的細節(jié)，Matasano 安全公司的一個員工還是在他的博客上泄露了這些資料，雖然文章被立即刪除，但已經(jīng)有人拿到了這些資料，并發(fā)表在別的地方。Kaminsky 在他的博客上發(fā)表了一個緊急消息，趕快打補丁，別睡覺，使用 OpenDNS. HD Moore，Metasploit 的作者說，黑客們正在加緊制作攻擊工具，今天的晚些時候會有攻擊出現(xiàn)。本月初，IOAct

2、ive 的 Kaminsky 公布了 DNS 系統(tǒng)的一個非常嚴重的漏洞，該漏洞會導致攻擊者輕松地偽造任何網(wǎng)站，銀行網(wǎng)站，Google，Gmail 以及其它 Web 郵件網(wǎng)站。,Kaminsky 是在同多個 DNS 系統(tǒng)商共同開發(fā)安全補丁的時候發(fā)現(xiàn)了這個漏洞。Kaminsky 在記者會宣布了這個由多家廠商共同開發(fā)的 DNS 補丁，并呼吁 DNS 服務器所有者立即更新他們的系統(tǒng)。 但 Kaminsky 在宣布這個漏洞的時候，沒有透露相關技術細節(jié)，以便 DNS 系統(tǒng)管理員知道其嚴重性，Kaminsky 承諾會在下月的 Las Vegas 黑帽安全大會上透露漏洞細節(jié)，在這之前，他給 DNS 系統(tǒng)管理員

3、預留了一個月的時間升級系統(tǒng)。Kaminsky 同時懇求那些安全專家不要試圖猜測漏洞的細節(jié)，但很多人將他的懇求當作一個挑戰(zhàn)。,德國的安全專家 Halvar Flake 最先發(fā)表了漏洞細節(jié)，Kaminsky 曾被要求私下里公布細節(jié)，幫助那些系統(tǒng)管理員升級系統(tǒng)，同時，一些系統(tǒng)管理員以及安全專家指責 Kaminsky 是在拿那些過去的眾所周知的 DNS 漏洞炒作。 Matasano 的創(chuàng)始人Thomas Ptacek 也曾置疑過 Kaminsky 的發(fā)現(xiàn)，然而當 Kaminsky 私下里向他透露過漏洞細節(jié)之后便不再出聲。Ptacek 并沒有參與漏洞細節(jié)的公布，但作為 Matasano 的創(chuàng)始人，他仍然

4、發(fā)表了一個聲明為這件事道歉。,Kaminsky 發(fā)現(xiàn)的 DNS 漏洞會讓黑客在 10 秒之內(nèi)發(fā)起一個“緩存毒藥攻擊”，使 DNS 服務器將用戶引導到惡意網(wǎng)站。Kaminsky 說，這是一個非常嚴重的 Bug，會影響到任何網(wǎng)站，Kaminsky 不打算向 Matasano 追究到底細節(jié)到底是如何泄露的，但呼吁人們立即升級 DNS 系統(tǒng)。,2.保護Win2003網(wǎng)絡服務器安全,一、Windows Server2003的安裝 1、安裝系統(tǒng)最少兩需要個分區(qū)，分區(qū)格式都采用NTFS格式 2、在斷開網(wǎng)絡的情況安裝好2003系統(tǒng) 3、安裝IIS，僅安裝必要的 IIS 組件(禁用不需要的如FTP 和 SMTP

5、 服務)。默認情況下，IIS服務沒有安裝，在添加/刪除Win組件中選擇“應用程序服務器”，然后點擊“詳細信息”，雙擊Internet信息服務(iis)，勾選以下選項： Internet 信息服務管理器； 公用文件； 后臺智能傳輸服務 (BITS) 服務器擴展； 萬維網(wǎng)服務。 如果你使用 FrontPage 擴展的 Web 站點再勾選：FrontPage 2002 Server Extensions 4、安裝MSSQL及其它所需要的軟件然后進行Update。 5、使用Microsoft 提供的 MBSA(Microsoft Baseline Security Analyzer) 工具分析計算機的

6、安全配置，并標識缺少的修補程序和更新。下載地址：見頁末的鏈接,二、設置和管理賬戶,1、系統(tǒng)管理員賬戶最好少建，更改默認的管理員帳戶名(Administrator)和描述，密碼最好采用數(shù)字加大小寫字母加數(shù)字的上檔鍵組合，長度最好不少于14位。 2、新建一個名為Administrator的陷阱帳號，為其設置最小的權限，然后隨便輸入組合的最好不低于20位的密碼 3、將Guest賬戶禁用并更改名稱和描述，然后輸入一個復雜的密碼，當然現(xiàn)在也有一個DelGuest的工具，也許你也可以利用它來刪除Guest賬戶，但我沒有試過。 4、在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機配置-Wi

7、ndows設置-安全設置-賬戶策略-賬戶鎖定策略，將賬戶設為“三次 5、在安全設置-本地策略-安全選項中將“不顯示上次的用戶名”設為啟用 6、在安全設置-本地策略-用戶權利分配中將“從網(wǎng)絡訪問此計算機”中只保留Internet來賓賬戶、啟動IIS進程賬戶。如果你使用了A還要保留Aspnet賬戶。 7、創(chuàng)建一個User賬戶，運行系統(tǒng)，如果要運行特權命令使用Runas命令。,三、網(wǎng)絡服務安全管理,1、禁止C$、D$、ADMIN$一類的缺省共享 打開注冊表，HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters，

8、在右邊的窗口中新建Dword值，名稱設為AutoShareServer值設為0 2、 解除NetBios與TCP/IP協(xié)議的綁定 右擊網(wǎng)上鄰居-屬性-右擊本地連接-屬性-雙擊Internet協(xié)議-高級-Wins-禁用TCP/IP上的NETBIOS 3、關閉不需要的服務，以下為建議選項 Computer Browser:維護網(wǎng)絡計算機更新，禁用 Distributed File System: 局域網(wǎng)管理共享文件，不需要禁用 Distributed linktracking client：用于局域網(wǎng)更新連接信息，不需要禁用 Error reporting service：禁止發(fā)送錯誤報告 Mic

9、rosoft Serch：提供快速的單詞搜索，不需要可禁用 NTLMSecuritysupportprovide：telnet服務和Microsoft Serch用的，不需要禁用PrintSpooler：如果沒有打印機可禁用 Remote Registry：禁止遠程修改注冊表 Remote Desktop Help Session Manager：禁止遠程協(xié)助,四、打開相應的審核策略,在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機配置-Windows設置-安全設置-審核策略在創(chuàng)建審核項目時需要注意的是如果審核的項目太多，生成的事件也就越多，那么要想發(fā)現(xiàn)嚴重的事件也越難當然如

10、果審核的太少也會影響你發(fā)現(xiàn)嚴重的事件，你需要根據(jù)情況在這二者之間做出選擇。 推薦的要審核的項目是： 登錄事件 成功 失敗 賬戶登錄事件 成功 失敗 系統(tǒng)事件 成功 失敗 策略更改 成功 失敗 對象訪問 失敗 目錄服務訪問 失敗 特權使用 失敗next,五、其它安全相關設置,1、隱藏重要文件/目錄 可以修改注冊表實現(xiàn)完全隱藏：“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFolderHi-ddenSHOWALL”，鼠標右擊“CheckedValue”，選擇修改，把數(shù)值由1改為0 2、啟動系統(tǒng)自帶

11、的Internet連接防火墻，在設置服務選項中勾選Web服務器。 3、防止SYN洪水攻擊 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD值，名為SynAttackProtect，值為2 4. 禁止響應ICMP路由通告報文 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters Interfacesinterface 新建DWORD值，名為PerformRouterDiscovery 值為0 5. 防止ICMP重定向報文的攻擊

12、,3.網(wǎng)絡安全檢測思路與技巧,對于主機的安全檢測，我們通常直接采用nmap或者類似軟件進行掃描，然后針對主機操作系統(tǒng)及其開放端口判斷主機的安全程度，這當然是一種方法，但這種方法往往失之粗糙，我仔細考慮了一下，覺得按下面的流程進行判別是比較完整的。 1、通過DNS查詢得到目標的網(wǎng)絡拓撲基本情況，比如有幾臺主機，各自起的服務是什么等等。這是必要的步驟因為我們檢測應該針對網(wǎng)絡，而不是單一主機。,2、用nmap進行端口掃描，判斷操作系統(tǒng)，結合自己的一些經(jīng)驗，必要的時候抓banner，判斷出目標主機的操作系統(tǒng)類型。 3、用nessus進行普通漏洞的掃描,得到一個大致的報告。對報告進行分析。nessus的

13、報告有些地方并不準確，而且有漏掃或誤報的情況，比如嚴重的unicode漏洞機器明明有,它卻會掃不到，對這種情況我們必須有人工的判斷。,4、cgi漏洞也必須有專門的掃描器進行，可以結合whisker或者twwwscan或者xscan，自己判斷需要增加哪些危險cgi的檢測。 上面只是最簡單的，任何一個初學電腦的人可能都能夠較好完成的工作流程，但是如果在上面的各種掃描方式得到的信息無法分析出目標操作系統(tǒng)的情況甚至系統(tǒng)類型的時候，應該怎么辦呢？這種事情現(xiàn)在經(jīng)常遇到，因為大多數(shù)防火墻或者入侵檢測系統(tǒng)現(xiàn)在都具備了動態(tài)地將tcp/ip協(xié)議棧如TTL、TOS、DF、滑動窗口大小等修改或者屏蔽，使掃描工具無法得

14、出正確結果的功能?；ヂ?lián)網(wǎng)上也有許多免費工具可以達到這一效果。,因此下面要談到其它檢查方式,1、在有防火墻的情況下：建議可以使用如hping、firewalk之類的工具，更加靈活地探測目標主機的情況，根據(jù)數(shù)據(jù)包的返回做更進一步的判斷。這需要操作者掌握TCP/IP基本知識，并能靈活運用判斷。 2、對主頁程序的檢測，雖然我們只能在外面做些基本的輸入驗證檢測。但按照現(xiàn)在常見的web錯誤，我們可以從下面幾個方面著手分析： a、特殊字符的過濾: &;*?()$nr 這些字符由于在不同的系統(tǒng)或運行環(huán)境中會具有特殊意義，如變量定義/賦值/取值、非顯示字符、運行外部程序等，而被列為危險字符但在許多編程語言、開發(fā)軟件工具、數(shù)據(jù)庫甚至操作系統(tǒng)中遺漏其中某些特殊字符的情況時常出現(xiàn)，從而導致出現(xiàn)帶有普遍性的安全問題。當有需要web用戶輸入的時候，根據(jù)不同的數(shù)據(jù)庫系統(tǒng)、編程語言提交帶不同參數(shù)變量的url，很可能造成服務器端資料泄露甚至可執(zhí)行系統(tǒng)命令。,b、WEB服務器的錯誤編碼或解碼可能會導致服務器信息的泄露、可執(zhí)行命令、源代碼泄露等錯誤。比較典型的應該是unicode漏洞