第3章拒絕服務與數據庫安全拒絕服務攻擊概述

3.1SQL數據庫安全

3.2

SQLServer攻擊的防護

3.3本章學習要點掌握DoS攻擊的原理掌握DoS攻擊工具的基本使用和防護了解基于服務的漏洞和入侵方法掌握Telnet入侵的基本防護了解SQL數據庫的安全技術和原理掌握基于SQL的入侵和防護3.1拒絕服務攻擊概述3.1.1DoS定義DoS（DenialofService，拒絕服務）是指阻止或拒絕合法使用者存取網絡服務器。造成DoS的攻擊行為被稱為DoS攻擊，即將大量的非法申請封包傳送給指定的目標主機，其目的是完全消耗目標主機資源，使計算機或網絡無法提供正常的服務。最常見的DoS攻擊包括計算機網絡帶寬攻擊和連通性攻擊。

帶寬攻擊是指以極大的通信量沖擊網絡，使得所有可用的網絡資源都被消耗殆盡，最后導致合法的用戶請求無法通過。連通性攻擊是指用大量的連接請求沖擊計算機，使得所有可用的操作系統資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求。DoS攻擊的原理是借助網絡系統或協議的缺陷以及配置漏洞進行網絡攻擊，使網絡擁塞、系統資源耗盡或系統應用死鎖，妨礙目標主機和網絡系統對正常用戶服務請求的及時響應，造成服務的性能受損，甚至導致服務中斷。DoS攻擊的基本過程是首先攻擊者向服務器發送眾多的帶有虛假地址的請求，服務器發送回復信息后等待回傳信息。由于地址是偽造的，所以服務器一直等不到回傳的消息，分配給這次請求的資源就始終沒有被釋放。當服務器等待一定的時間后，連接會因超時而被切斷，攻擊者會再度傳送一批新的請求，在這種反復發送偽地址請求的情況下，服務器資源最終會被耗盡，而導致服務中斷，如圖3.1所示。圖3.1DoS攻擊的基本過程3.1.2拒絕服務攻擊的分類1．按攻擊的對象分類拒絕服務攻擊可以是“物理的”（又稱“硬件的”），也可以是“邏輯的”（又稱“軟件的”）。①物理形式的攻擊，如偷竊、破壞物理設備，破壞電源等。②邏輯的攻擊，如通過軟件破壞網絡、系統資源和服務，如郵件服務、DNS服務、CPU資源等。2．按攻擊的目標分類按攻擊的目標拒絕服務攻擊又可分為節點型和網絡連接型。①節點型：旨在消耗節點（主機Host）資源。節點型又可以進一步細分為主機型和應用型。主機型攻擊：其目標主要是主機中的公共資源，如CPU、磁盤等，使得主機對所有的服務都不能響應。應用型攻擊：其目標是網絡中特定的應用，如郵件服務、DNS服務、Web服務等。受攻擊時，受害者上的其他服務可能不受影響或者受影響的程度較小（與受攻擊的服務相比而言）。②網絡連接型：旨在消耗網絡連接和帶寬。3．按攻擊方式分類按照攻擊方式拒絕服務攻擊可以分為資源消耗、服務中止和物理破壞。①資源消耗：指攻擊者試圖消耗目標的合法資源，如網絡帶寬、內存和磁盤空間、CPU使用率等。根據資源類型的不同，資源消耗可分為帶寬耗盡和系統資源耗盡兩類。帶寬耗盡攻擊：其本質是攻擊者通過放大等技巧，消耗掉目標網絡的所有可用帶寬。系統資源耗盡攻擊：指對系統內存、CPU或程序中的其他資源進行消耗，使其無法滿足正常提供服務的需求。著名的SynFlood攻擊即是通過向目標服務發送大量的數據包，造成服務的連接隊列耗盡，無法再為其他正常的連接請求提供服務。②服務中止：指攻擊者利用服務中的某些缺陷導致服務崩潰或中止。③物理破壞：指雷擊、電流、水、火等以物理接觸的方式導致的拒絕服務攻擊。4．按受害者類型分類按受害者類型拒絕服務攻擊可以分為服務器端拒絕服務攻擊和客戶端拒絕服務攻擊。①服務器端拒絕服務攻擊：指攻擊的目標是特定的服務器，使之不能提供服務（或者不能向某些客戶端提供某種服務），如攻擊一個Web服務器使之不能訪問。②客戶端拒絕服務攻擊：針對特定的客戶端，使之不能使用某種服務，如游戲、聊天室中的“踢人”，也就是使某個特定的用戶不能登錄游戲系統或聊天室中，使之不能使用系統的服務。5．按攻擊是否針對受害者分類6．按攻擊地點分類3.1.3常見DoS攻擊1．Land程序攻擊Land攻擊是利用向目標主機發送大量的源地址與目標地址相同的數據包，造成目標主機解析Land包時占用大量的系統資源，從而使網絡功能完全癱瘓的攻擊手段。2．SYNFlood攻擊①攻擊者向被攻擊服務器發送一個包含SYN標志的TCP報文，SYN（Synchronize，同步報文）會指明客戶端使用的端口以及TCP連接的初始序號，這時同被攻擊服務器建立了第1次握手。②受害服務器在收到攻擊者的SYN后，將返回一個SYN+ACK的報文，表示攻擊者的請求被接受，同時TCP序號被加1，ACK

（Acknowledgement）即確認，這樣就同被攻擊服務器建立了第2次握手。③攻擊者也返回一個確認報文ACK給受害服務器，同樣TCP序列號被加1，到此一個TCP連接完成，第3次握手完成。3．IP欺騙DoS攻擊4．Smurf攻擊5．PingofDeath6．Teardrop攻擊7．WinNuke攻擊3.1.4分布式拒絕服務分布式拒絕服務（DistributedDenialofService，DDoS）是一種基于DoS的特殊形式的拒絕服務攻擊，是一種分布、協作的大規模攻擊方式，主要瞄準比較大的站點，像商業公司、搜索引擎或政府部門的站點。分布式拒絕服務如圖3.2所示。DoS攻擊只要一臺單機和一個Modem就可實現，與之不同的是DDoS攻擊是利用一批受控制的機器向一臺機器發起攻擊，這樣來勢迅猛的攻擊令人難以防備，因此具有較大的破壞性。圖3.2分布式拒絕服務DDoS攻擊分為3層：攻擊者、主控端和代理端，三者在攻擊中扮演著不同的角色。攻擊者主控端代理端下面了解常見的DDoS工具。1．TrinooTrinoo的攻擊方法是向被攻擊目標主機的隨機端口發出全零的4字節UDP包，在處理這些超出其處理能力的垃圾數據包的過程中，被攻擊主機的網絡性能不斷下降，直到不能提供正常服務，乃至崩潰。它對IP地址不進行修改，采用的通信端口如下。攻擊者主機到主控端主機：27665/TCP。主控端主機到代理端主機：27444/UDP。代理端主機到主服務器主機：31335/UDP。2．TFNTFN由主控端程序和代理端程序兩部分組成，它主要采取的攻擊方法為SYN風暴、Ping風暴、UDP炸彈和SMURF，具有偽造數據包的能力。3．TFN2KTFN2K是由TFN發展而來的，在TFN所具有的特性上，TFN2K又新增一些特性。

它的主控端和代理端的網絡通信是經過加密的，中間還可能混雜了許多虛假數據包，而TFN對ICMP的通信沒有加密。

攻擊方法增加了Mix和Targa3，并且TFN2K可配置代理端進程端。4．Stacheldraht檢測DDoS攻擊的主要方法有以下幾種。根據異常情況分析使用DDoS檢測工具3.1.5拒絕服務攻擊的防護通常建議用戶可以采取以下手段來保障網絡能夠抵御拒絕服務攻擊。①增加網絡核心設備的冗余性，提高對網絡流量的處理能力和負載均衡能力。②通過路由器配置訪問列表，過濾掉非法流量。③部署防火墻，提高網絡抵御網絡攻擊的能力。④部署入侵檢測設備，提高對不斷更新的DoS攻擊的識別和控制能力。

3.2SQL數據庫安全3.2.1數據庫系統概述3.2.2SQL服務器的發展3.2.3數據庫技術的基本概念①數據（Data）②數據庫（DB）③數據庫管理系統（DBMS）④數據庫系統（DBS）⑤數據庫技術⑥數據模型3.2.4SQL安全原理1．第一級安全層次為方便服務器管理，每個SQLServer有多個內置的服務器角色，允許系統管理員給可信的實體授予一些功能，而不必使他們成為完全的管理員。

服務器中的一些角色如表3.1所示。服務器角色描述sysadmin可以執行SQLServer中的任何任務securityadmin可以管理登錄serveradmin可以設置服務器選項（sp_configure）setupadmin可以設置連接服務器，運行SP_serveroptionprocessadmin管理服務器上的進程（有能力取消連接）diskadmin可以管理磁盤文件dbcreator可以創建、管理數據庫bulkadmin可以執行BULKINSERT指令表3.1 服務器角色及其主要功能2．第二級安全層次3．第三級安全層次（1）用戶定義的角色（2）固定數據庫角色固定數據庫角色描述db_owner可以執行所有數據庫角色的活動db_accessadmin可以增加或刪除Windows組、用戶和數據庫中的SQLServer用戶db_datareader可以閱讀數據庫中所有用戶表的數據db_datawriter可以寫或刪除數據庫中所有用戶表的數據db_ddladmin可以增加、修改或放棄數據庫的對象db_securityadmin可以管理角色和數據庫角色的成員，管理數據庫的參數和對象權限db_backupoperator可以備份數據庫db_denydatareader不能選擇數據庫的數據db_denydatawriter不能改變數據庫的數據表3.2 數據庫角色及其主要功能3.3SQLServer攻擊的防護微軟的SQLServer是一種廣泛使用的數據庫，很多電子商務網站、企業內部信息化平臺等都是基于SQLServer的，但是數據庫的安全性還沒有和系統的安全性等同起來，多數管理員認為只要把網絡和操作系統的安全做好了，那么所有的應用程序也就安全了。大多數系統管理員對數據庫不熟悉，而數據庫管理員又對安全問題關心太少，而且一些安全公司也忽略數據庫安全，這就使數據庫的安全問題更加嚴峻了。數據庫系統中存在的安全漏洞和不當的配置通常會造成嚴重的后果，而且都難以發現。

數據庫應用程序通常同操作系統的最高管理員密切相關。廣泛的SQLServer數據庫又是屬于“端口”型的數據庫，這就表示任何人都能夠用分析工具試圖連接到數據庫上，從而繞過操作系統的安全機制，進而闖入系統、破壞和竊取數據資料，甚至破壞整個系統。3.3.1信息資源的收集在討論如何防守攻擊者之前，必須要了解攻擊者如何查找和滲透SQLServer或基于SQLServer的應用程序。攻擊者可能有許多原因來選擇潛在的目標，包括報復、利益或惡意。

永遠不要假定自己的服務器“飛”得太低，以至于不能顯示在別人的雷達屏幕上。許多攻擊者只是因為高興而掃描IP范圍，假定自己的ISP或內部網絡被這些人騷擾了，那就要做最壞的打算?，F在評估SQLServer被發現的方法，可以通過網絡，也可以通過企業內部。

攻擊者無論是把某些IP范圍作為目標，還是隨機掃描，他們發現SQLServer所使用的工具都是一樣的。當微軟在SQLServer2000中引入多請求能力時，就引入了一個難題：既然端口（除了默認的請求，它默認監聽端口為1433）是動態分配的，那么怎么知道請求名字的用戶是如何連接到合適的TCP端口的？微軟通過在UDP1434上創建一個監聽者來解決這個問題，稱之為SQLServer解決服務方案。

這個服務方案負責發送包含鏈接信息的響應包給發送特定請求的客戶。這個包含有允許客戶想得到的請求的所有信息，包括每個請求的TCP端口、其他支持的netlib、請求形式，以及服務器是否集群。3.3.2獲取賬號及擴大權限假定SQLServer搜索是成功的，那么現在有收集到的IP地址、請求名稱以及TCP端口作為武裝，然后去獲得一些安全環境的信息。可收集關于服務器的信息，如版本信息、數據庫、表單以及其他的信息，這些將決定誰是目標：是SQLServer數據還是操作系統。一般來說，入侵者可以通過以下幾個手段來獲取賬號或密碼。社會（交）工程學：通過欺詐手段或人際關系獲取密碼。弱口令掃描：該方法是最簡單的方法，入侵者通過掃描大量主機，從中找出一兩個存在弱口令的主機。探測包：進行密碼監聽，可以通過