本文摘要:摘要:主要分析了当前服务器存在的安全隐患,针对目前网络环境的复杂性,加深了服务器群组的概念。同时针对目前安全产品在服务器群组防护方面存在的空白,提出了服务器群组防护策略。服务器作为网络的核心,其安全性急需受到重视,而对服务器群组实行全面立
摘要:主要分析了当前服务器存在的安全隐患,针对目前网络环境的复杂性,加深了服务器群组的概念。同时针对目前安全产品在服务器群组防护方面存在的空白,提出了服务器群组防护策略。服务器作为网络的核心,其安全性急需受到重视,而对服务器群组实行全面立体地防护也是大势所趋,这样可以对企业核心资产得到最直接有效的保护。
关键词:服务器群组;服务器漏洞;Web服务器;邮件服务器;B/S;C/S,电子核心期刊
1 引言
服务器常被称为网络的灵魂,它作为网络的节点,存储、处理网络上80%的数据、信息。企业的核心资产,如客户信息,财务信息,企业内部信息等重要数据,也都保存在不同的服务器上,服务器的开放性和操作系统自身的安全隐患,使得服务器很容易受到各种网络攻击和入侵的威胁。轻则造成服务器资源耗尽,正常访问无法进行,重则导致系统崩溃,机密信息泄露或信息篡改,不但损害了企业利益,同时也影响了企业形象。因此服务器承担着一个企业的荣辱兴衰。
而随着信息技术的不断发展,网络环境越来越复杂,企业所使用的服务器资源也比以前多样化,因此为了确保企业核心信息资产的安全当务之急就是对服务器及服务器群组加以全面立体的防护。
本文针对目前安全产品在服务器群组防护方面存在的空白,提出了服务器群组防护策略。
2 服务器分类
服务器发展到今天,适应各种不同功能、不同环境的服务器不断地出现,分类标准也多种多样。
按应用层次不同,可以把服务器划分为入门级服务器、工作组级服务器、部门级服务器和企业级服务器。
按CPU所采用的指令系统不同,可以把服务器划分为CISC架构服务器、RISC架构服务器和VLIW架构服务器。
按功能用途不同,可以把服务器划分为通用型服务器和专用型服务器。
按机箱结构不同,可以把服务器划分为台式服务器、机架式服务器、机柜式服务器和刀片式服务器。
按网络技术架构不同,可以把服务器划分为B/S服务器和C/S服务器。
这里着重从软件开发模式,技术架构上,也就是从B/S服务器,C/S服务器角度来描述服务器存在的安全隐患和漏洞。
首先必须搞清楚三个问题:
(1)何谓C/S。C/S (Client/Server)就是大家熟悉的客户端和服务器端结构。在这种结构中,服务器端是网络的核心,而客户端是网络的基础,客户端依靠服务器端获得所需要的网络资源,而服务器端为客户端提供网络必须的资源。
(2)何谓B/S。B/S(Browser/Server) 即浏览器和服务器端结构。它是随着Internet技术的兴起,对C/S结构的一种更新或改进结构。在这种结构下,软件应用的业务逻辑完全在服务器端实现,用户表现完全在服务器端实现,客户端只需要浏览器即可进行业务处理。B/S是一种全新的软件系统构造技术,也是当今应用软件的首选体系结构,更是今后应用软件发展的必然架构。
(3)“C/S服务器”和“B/S服务器”的典型代表有哪些。C/S服务器常见的有邮件服务器、文件服务器、流媒体服务器、数据库服务器等。B/S服务器最常见的就是Web服务器。
3 服务器群组
服务器群组顾名思义就是由一群服务器组成的,这里提到的服务器群组主要是由两大类服务器组成,当然每一类服务器又可以是由多种不同功能的服务器构成的,这两大类服务器就是我们上面提到的基于B/S架构的应用服务器和基于C/S架构的应用服务器。
随着企业的发展和信息技术的普及,企业内部的服务器资源日益增多,已经不单单局限于一种架构的服务器了,单纯只对某种架构的服务器进行安全保护已经不能适应现在网络信息安全的需求了,因此对服务器群组的防护事在必行,刻不容缓。
4 服务器漏洞
下面主要从Web服务器和邮件服务器角度来分别介绍B/S服务器和C/S服务器目前存在的安全隐患和漏洞。
4.1 Web服务器漏洞
Web服务器是驻留在服务器上的一个程序,通过Web浏览器与用户交互操作,主要是通过响应HTML页面来处理HTTP请求,提供网上信息浏览服务。
目前Web服务器存在的主要漏洞可归纳为以下几点。
4.1.1 路径泄露漏洞
路径泄露属于低风险等级缺陷,它的危害一般被描述为“攻击者可以利用此漏洞得到信息,来对系统进一步地攻击”。提供Web、FTP、SMTP等公共服务的服务器都有可能出现路径泄露的问题。
比较常见的是Web服务器的路径泄露。导致Web服务器路径泄露的原因很多,可能是Web平台本身、脚本语言解释器、引擎插件、组件、辅助程序等一系列原因造成的,也有可能是脚本编写错误所导致的。某些攻击者会精心构造一个畸形、超长或不存在的文件请求,而这个请求是Web服务器没有预料且不能正确处理的,这时往往会返回出错信息,最直观的就是暴露物理路径。得到物理路径就可以了解系统的文件目录结构,看出系统所使用的第三方软件,得到一个合法的用户名。
4.1.2 CGI程序漏洞
CGI指的是公共网关接口(Common Gateway Interface),它是Web信息服务器与外部应用程序之间交换数据的标准接口,简单地说,就是一般超文本与服务器主机上的应用程序之间的接口。通过CGI程序,Web服务器真正实现了与Web浏览器用户之间的交互。CGI程序漏洞主要就是CGI源代码泄露,引起源代码泄漏的原因较多,例如大小写,编码解码,附加特殊字符或精心构造的特殊请求等都可能导致CGI源代码泄露。
攻击者可以通过在提交的文件请求的文件名后添加某些字符,导致服务程序由于无法正确地处理这一特殊文件名,而错误地返回攻击者企图获得的CGI脚本源代码。造成敏感信息泄露,为攻击者进一步的恶意攻击提供帮助。
4.1.3 目录遍历漏洞
目录遍历是Http所存在的一个安全漏洞,它使得攻击者能够访问受限制的目录,并在Web服务器的根目录以外执行命令。对于Web服务器来说目录遍历并不多见,通过对任意目录附加“../”,或者是在有特殊意义的目录附加“../”,或者是附加“../”的一些变形,如“..\”或“..//”甚至其编码,都可能导致目录遍历。前一种情况并不多见,但是后面的几种情况就常见得多,去年非常流行的IIS二次解码漏洞和UNICODE解码漏洞都可以看作是变形后的编码。
利用这个漏洞,攻击者能够走出服务器的根目录,从而访问到文件系统的其他部分,譬如攻击者就能够看到一些受限制的文件,或者更危险的,攻击者能够执行一些造成整个系统崩溃的指令。
4.1.4 缓冲区溢出漏洞
缓冲区是内存中存放数据的地方。在程序试图将数据放到机器内存中的某一个位置的时候,因为没有足够的空间就会发生缓冲区溢出。而人为的溢出则是有一定企图的,攻击者写一个超过缓冲区长度的字符串,然后植入到缓冲区,而再向一个有限空间的缓冲区中植入超长的字符串可能会出现两个结果,一是过长的字符串覆盖了相邻的存储单元,引起程序运行失败,严重的可导致系统崩溃;另有一个结果就是利用这种漏洞可以执行任意指令,甚至可以取得系统root特级权限。大多造成缓冲区溢出的原因是程序中没有仔细检查用户输入参数而造成的。
缓冲区溢出漏洞是WEB服务器没有对用户提交的超长请求进行合适的处理,这种请求可能包括超长URL,超长HTTP Header域,或者是其它超长的数据。
这种漏洞可能导致执行任意命令或者是拒绝服务,这一般取决于构造的数据。任何一个有黑客技术的人都可以利用此漏洞取得机器的控制权甚至是最高权限。
4.1.5 拒绝服务漏洞
拒绝服务(Denial of Service)就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。分布式拒绝服务(Distributed Denial of Service)是指将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。
其产生的原因多种多样,主要包括超长URL,特殊目录,超长HTTP Header域,畸形HTTP Header域或者是DOS设备文件等。由于Web服务器在处理这些特殊请求时不知所措或者是处理方式不当,因此会导致Web服务器出错终止或挂起。
小编推荐计算机类论文容易发表的核心期刊 《电子与电脑》
《电子与电脑》(月刊)创刊于1984年,由电子工业出版社主办。是一份反映中国大陆和台湾地区半导体、电子产业的最新技术、最新策略动向和市场趋势的专业技术刊物,致力于平面媒体与电子媒体创作,帮助国内信息厂商开拓海外市场、引进国外信息,为提高我国信息产业的国际竞争能力提供帮助。本刊除了对厂商解决方案和战略动态进行基本介绍外,更能用心规划、采写实用性的常设栏目,以及特定的专题报道——“每月特辑”头版热点栏目。
转载请注明来自发表学术论文网:http://www.fbxslw.com/dzlw/1939.html
