第7章网站的安全(免费阅读).pptVIP

7.2.3 监控Web站点的信息流 1．概述 （1）监控请求 ? 服务器日常受访次数是多少？受访次数是否增加？ ? 一周中哪天最忙？一天中又是何时最忙？ ? 用户从哪里连接的？ ? 服务器上哪类信息被访问？哪些页面最受欢迎？每个目录下有多少页被访问？ ? 每个目录下有多少用户访问？访问站点的是哪些浏览器？与站点对话的是哪种操作系统？ 哪种提交方式用得更多？ （2）测算访问次数 确定站点的访问次数。访问次数是一个原始数字，仅仅描述了站点上文件下载的平均数目。当一个用户在站点上详细阅读时，一次简单的会话就可以形成好几次访问记录。 确定站点访问者数目。 2．利用防火墙增强Web服务器的安全性 3．利用入侵检测系统保护Web服务的安全 入侵检测系统（Intrusion Detection System，IDS）从不同的系统和网络源收集信息，然后根据已知的攻击模式对信息进行分析，检查是否有入侵的迹象，有些入侵检测系统还允许管理员定制实施相应策略。 7.3 DNS的安全 7.3.1 DNS的安全问题 DNS的安全问题可以分为实现中的安全问题和协议安全缺陷两大类，实现相关的问题几乎影响了目前所有的DNS服务器，但是可以通过打补丁等方法进行修补，而协议安全缺陷则需要使用防火墙技术解决。 1．DNS实现中的安全问题 （1）DNS的请求得到虚假应答 （2）主机名与IP地址DNS树之间的数据不匹配 （3）给入侵者透露的信息太多 除此之外，DNS在使用过程中也存在以下一些安全缺陷。 ① 最直接攻击方式 ② 服务失效攻击 ③ 服务窃取攻击 ④ 抢占 ⑤ 其他DNS攻击方式 2．设置DNS来隐藏信息 （1）在堡垒主机上建立一个伪DNS服务器供外界使用 图7.3 用防火墙来隐藏DNS信息 （2）在内部系统上建立一个真实的DNS服务器供内部使用 图7.4 有转发的DNS 3．DNS协议的安全缺陷 7.3.2 增强的DNS 1．DNS安全扩展 2．密钥的分配 DNS的安全扩展使用基于分开密钥的密钥分配机制，以支持鉴别和其他安全服务。其中使用的一个重要概念就是密钥资源记录（KEY RR），它把一个公开密钥和一个DNS名关联起来。 3．数据的原始鉴别和完整性保护 4．事务和请求的鉴别 5．签名的资源记录 7.3.3 安全DNS信息的动态更新 1．概述 安全DNS信息动态更新处理的是DNS的信息（及RR）的动态修改，包括删除RR及设置RR等一些频率较低的操作，DNSSEC工作组为此定义了专门的操作、请求和响应格式、返回码等等。 2．基本原理 DNS动态更新过程中会涉及到以下3个角色。 （1）从服务器（Slave）： （2）主服务器（Master）： （3）原主服务器（Primary Master）： 3．基本模式 （1）模式A 域的隐蔽密钥和域中的静态信息都被离线存放，以提高静态数据的安全性。所有RR的动态更新数据都需要被认可过的动态更新密钥签名，而且这些动态数据保存在在线的动态主文件中。 （2）模式B 在模式B中，域的隐蔽密钥和主文件都在线存放，当更新完成时，域密钥会重新计算更新内容的SIG，因为在网络中仅有惟一的主文件。 表7.2 模式A和模式B之间的差别比较 指 标 模式A 模式B 定义 域密钥离线存放 域密钥在线存放 服务器数据的安全性 轻 高 静态数据的安全性 很高 中到高 动态数据的安全性 中 中到高 密钥的限制 好 粗糙 动态数据存放 短暂的 永久的 动态更新密钥过期 做不到 可以 吉林化工学院 吉林化工学院 电子商务概论 吉林化工学院 第7章 网站的安全 7.1 口 令 安 全 7.2 Web站点的安全 7.3 DNS的安全 7.1 口 令 安 全 7.1.1 口令破解过程 1．口令破解的方法 （1）穷举法 穷举法就是对所有可能的口令组合进行猜测，最终找到系统的口令，因此也被称为蛮力猜测。 口 令 长 度 要猜测的口令数 所 需 时 间 1 36 36秒 2 1296 21分 3 46656 12.96小时 4 1679616 19.44天 51.9年 6 2176782236 69年 7 78364164096 2484年 8 2821109907456 89456年 表7.1 口令长度对破解的影响 （2）利用漏洞 （3）字典法破解 通常可以用以下一些方法来获取用户的口令。 （1）缺省的登录界面（Shell Scripts）攻击法 （2）通过网络监听非法得到用户的口令 （3）直接猜