Web安全问题：DDOS 攻击、SQL 注入

怼烎@ 2022-01-31 00:55 393阅读 0赞

### DDOS 攻击 ###

分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。  
通常，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。  
![DDOS 攻击][DDOS]

DDOS 攻击利用目标系统网络服务功能缺陷或者直接消耗其系统资源，使得该目标系统无法提供正常的服务。

DDoS 攻击通过大量合法的请求占用大量网络资源，以达到瘫痪网络的目的。 具体有几种形式：

通过使网络过载来干扰甚至阻断正常的网络通讯；  
通过向服务器提交大量请求，使服务器超负荷；  
阻断某一用户访问服务器；  
阻断某服务与特定系统或个人的通讯。

#### DDOS攻击手段 ####

当前主要有三种流行的 DDOS:  
1、SYN/ACK Flood 攻击：

> 这种攻击方法是经典最有效的 DDOS 方法， 可通杀各种系统的网络服务， 主要是通过向  
> 　　受害主机发送大量伪造源 IP 和源端口的 SYN 或 ACK 包，导致主机的缓存资源被耗尽或忙  
> 　　于发送回应包而造成拒绝服务， 由于源都是伪造的故追踪起来比较困难， 缺点是实施起来有  
> 　　一定难度， 需要高带宽的僵尸主机支持。

2、TCP 全连接攻击：  
3、刷 Script 脚本攻击：

#### 如何防范DDOS攻击？ ####

##### 主机设置： #####

所有的主机平台都有抵御DoS的设置，总结一下，基本的有几种：  
关闭不必要的服务  
限制同时打开的Syn半连接数目  
缩短Syn半连接的time out 时间  
及时更新系统补丁

##### 网络设置： #####

网络设备可以从防火墙与路由器上考虑。这两个设备是到外界的接口设备，在进行防DDoS设置的同时，要注意一下这是以多大的效率牺牲为代价的，对你来说是否值得。  
1.防火墙  
禁止对主机的非开放服务的访问 限制同时打开的SYN最大连接数 限制特定IP地址的访问 启用防火墙的防DDoS的属性 严格限制对外开放的服务器的向外访问 第五项主要是防止自己的服务器被当做工具去害人。  
2.路由器  
设置SYN数据包流量速率 升级版本过低的ISO 为路由器建立log server  
……

阿里巴巴的安全团队在实战中发现，DDoS 防御产品的核心是检测技术和清洗技术。检测技术就是检测网站是否正在遭受 DDoS 攻击，而清洗技术就是清洗掉异常流量。而检测技术的核心在于对业务深刻的理解，才能快速精确判断出是否真的发生了 DDoS 攻击。清洗技术对检测来讲，不同的业务场景下要求的粒度不一样。

--------------------

### SQL 注入 ###

通过客户端把SQL命令插入到，Web表单提交、输入域名、页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。

#### 如何防范SQL 注入？ ####

归纳一下，主要有以下几点：  
1.永远不要信任用户的输入。对用户的输入进行校验，可以通过正则表达式，或限制长度；对单引号和  
双"-"进行转换等。  
2.永远不要使用动态拼装sql，可以使用参数化的sql或者直接使用存储过程进行数据查询存取。  
3.永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。  
4.不要把机密信息直接存放，加密或者hash掉密码和敏感的信息。  
5.应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装  
6.sql注入的检测方法一般采取辅助软件或网站平台来检测，软件一般采用sql注入检测工具jsky，网站平台就有亿思网站安全平台检测工具。MDCSOFT SCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入，XSS攻击等。

[DDOS]: /images/20220131/6fbbdd2d889449e8b14187a6a4ad45cd.png