【51CTO.com 獨家特稿】目前，利用網(wǎng)上隨處可見的攻擊軟件，攻擊者不需要對網(wǎng)絡(luò)協(xié)議的深厚理解基礎(chǔ)，即可完成諸如更換Web網(wǎng)站主頁，盜取管理員密碼，數(shù)據(jù)庫注入和破壞整個網(wǎng)站數(shù)據(jù)等等攻擊。而這些攻擊過程中產(chǎn)生的網(wǎng)絡(luò)層數(shù)據(jù)，和正常數(shù)據(jù)沒有什么區(qū)別。

以下是國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT/CC）統(tǒng)計的2008年上半年我國國內(nèi)網(wǎng)站被黑被篡改的統(tǒng)計圖，在1月－7月內(nèi)僅發(fā)現(xiàn)的被篡改的網(wǎng)站就多達41,000多個，平均每天就有近200個網(wǎng)站被篡改，這真是一個驚人的數(shù)字。  

下圖是CNCERT/CC從2003－2007的被篡改網(wǎng)站的歷史統(tǒng)計圖:  

從上圖的對比中我們看出，網(wǎng)站被篡改的數(shù)目以每年2-3倍的遞增速度還在不斷的上升趨勢當中。在WEB應(yīng)用如此普及，如此至關(guān)重要的今天，可以說，網(wǎng)站的防黑防篡改解決方案，已經(jīng)是每一個企業(yè)或事業(yè)單位網(wǎng)絡(luò)運維部門的迫在眉急的重大任務(wù)。

很多用戶認為，在網(wǎng)絡(luò)中部署多層的防火墻，入侵檢測系統(tǒng)（IDS），入侵防御系統(tǒng)（IPS）等設(shè)備，就可以保障網(wǎng)絡(luò)的安全性，就能全面立體的防護WEB應(yīng)用了，但是為何基于WEB應(yīng)用的攻擊事件仍然不斷發(fā)生？其根本的原因在于傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備對于應(yīng)用層的攻擊防范，作用十分有限。目前的大多防火墻都是工作在網(wǎng)絡(luò)層，通過對網(wǎng)絡(luò)層的數(shù)據(jù)過濾（基于TCP/IP報文頭部的ACL）實現(xiàn)訪問控制的功能；通過狀態(tài)防火墻保證內(nèi)部網(wǎng)絡(luò)不會被外部網(wǎng)絡(luò)非法接入。所有的處理都是在網(wǎng)絡(luò)層，而應(yīng)用層攻擊的特征在網(wǎng)絡(luò)層次上是無法檢測出來的。IDS，IPS通過使用深包檢測的技術(shù)檢查網(wǎng)絡(luò)數(shù)據(jù)中的應(yīng)用層流量，和攻擊特征庫進行匹配，從而識別出以知的網(wǎng)絡(luò)攻擊，達到對應(yīng)用層攻擊的防護。但是對于未知攻擊，和將來才會出現(xiàn)的攻擊，以及通過靈活編碼和報文分割來實現(xiàn)的應(yīng)用層攻擊，IDS和IPS同樣不能有效的防護。

WEB應(yīng)用防火墻的出現(xiàn)解決了這方面的難題，應(yīng)用防火墻通過執(zhí)行應(yīng)用會話內(nèi)部的請求來處理應(yīng)用層，它專門保護Web應(yīng)用通信流和所有相關(guān)的應(yīng)用資源免受利用Web協(xié)議或應(yīng)用程序漏洞發(fā)動的攻擊。應(yīng)用防火墻可以阻止將應(yīng)用行為用于惡意目的的瀏覽器和HTTP攻擊，一些強大的應(yīng)用防火墻甚至能夠模擬代理成為網(wǎng)站服務(wù)器接受應(yīng)用交付，形象的來說相當于給原網(wǎng)站加上了一個安全的絕緣外殼。

下面我們就用一款現(xiàn)在業(yè)內(nèi)比較普遍的Barracuda-NC應(yīng)用防火墻來舉例，來看看應(yīng)用防火墻是如何保護網(wǎng)站防止被惡意注入和篡改的了。

網(wǎng)絡(luò)架構(gòu)和部署：雙臂代理模式

雙臂代理模式是Web應(yīng)用防火墻部署種的最佳模式。這個模式也是拓撲過程中推薦的模式，能夠提供最佳的安全性能。

在此模式中，所有的數(shù)據(jù)端口都將被開啟；端口eth1是對外的，直接面向因特網(wǎng)的端口；端口eth2將會和內(nèi)部的設(shè)備（交換機等）進行連接，是面向內(nèi)部的。管理端口可以被分配到另一個網(wǎng)段，我們推薦將管理數(shù)據(jù)和實際的流量分離，避免因為實際流量和管理數(shù)據(jù)的沖突。

以下為示例拓撲圖：  

網(wǎng)絡(luò)實現(xiàn)：

1、前端端口和后端端口位于不同的網(wǎng)段，所有外部客戶將會和應(yīng)用虛擬IP地址進行連接，此虛擬ip將會和前端端口（eth1）進行綁定

2、客戶的連接將會在設(shè)備上終止，進行安全檢查和過濾

3、合法的流量將會由后端端口（eth2）建立新的連接到負載均衡設(shè)備

4、負載均衡進行流量的負載

5、雙臂代理模式可以開啟所有的安全功能

工作特點：基于應(yīng)用層的檢測，同時又擁有基于狀態(tài)的網(wǎng)絡(luò)防火墻的優(yōu)勢

對應(yīng)用數(shù)據(jù)錄入完整檢查、HTTP包頭重寫、強制HTTP協(xié)議合規(guī)化，杜絕各種利用協(xié)議漏洞的攻擊和權(quán)限提升

預(yù)期數(shù)據(jù)的完整知識(Complete Knowledge of expected values)，防止各種形式的SQL/命令注入，跨站式腳本攻擊

實時策略生成及執(zhí)行，根據(jù)您的應(yīng)用程序定義相應(yīng)的保護策略，而不是千篇一律的廠家預(yù)定義防攻擊策略，無縫的砌合您的應(yīng)用程序，不會造成任何應(yīng)用失真。

網(wǎng)站全面隱身：黑客再神奇也無法攻擊看不見的東西

Barracuda-NC應(yīng)用防火墻對外部訪問網(wǎng)站進行隱身，可以隱藏真實的Web服務(wù)器類型、應(yīng)用服務(wù)器類型、操作系統(tǒng)、版本號、版本更新程度、已知安全漏洞、真實IP地址、內(nèi)部工作站信息，讓黑客看不見，摸不著，探測不到，自然也無從猜測分析和攻擊。以下便是一款常用掃描工具掃描經(jīng)過Barracuda-NC應(yīng)用防火墻隱藏的網(wǎng)站的結(jié)果。  

同時，它還能識別各種爬行探測程序，只允許正常的搜索引擎爬蟲進入，抵御黑客爬行程序于門外，讓想通過探測確定攻擊目標的黑客徹底無門。

除此之外，做為一款強大的應(yīng)用防火墻，Barracuda-NC應(yīng)用防火墻還有許多應(yīng)用交付功能：應(yīng)用數(shù)據(jù)緩存，數(shù)據(jù)壓縮，TCP連接池，SSL Offloading，7層內(nèi)容交換負載均衡等等，完全可以替代其他應(yīng)用層交換設(shè)備，做為應(yīng)用層交換的中流砥柱。#p#

如何預(yù)防網(wǎng)站被黑？

預(yù)防網(wǎng)站被黑可以從兩個方面來考慮：

利用外界軟件，并注意常見的防病毒常識：

確信你的系統(tǒng)管理員跟上了最新的補丁(每個月一次是不夠的)，并且經(jīng)常查看日志(一周一次也遠遠不夠)。安全管理員必須知道各臺機器都安裝了什么軟件，以便他們能夠提防相關(guān)的漏洞和弱點。不要依靠任何唯一的IDS供應(yīng)商，因為簽名對第一防御范圍來說可能到達的太晚?？紤]在面向公眾的服務(wù)器上實施Tripwire(一個入侵檢測系統(tǒng))，監(jiān)視重要文件屬性的改變。

最后，保持你的突發(fā)事件響應(yīng)策略的實時性，以適應(yīng)當前系統(tǒng)的要求。讓大家知道在緊急狀態(tài)下應(yīng)該做什么，這樣才能保證補救措施的順利實行。

一、使用防病毒軟件并且經(jīng)常將其升級更新，從而使有破壞性的程序遠離你的計算機。

二、不允許網(wǎng)上的商家為了便于你以后購物儲存你的信用卡資料。

三、使用由數(shù)字和字母混排而成、難以被破譯的口令密碼，并且經(jīng)常更換。

四、對不同的網(wǎng)站和程序，要使用不同口令，以防止被黑客破譯。

五、使用最新版本的萬維網(wǎng)瀏覽器軟件、電子郵件軟件以及其他程序。

六、只向有安全保證的網(wǎng)站發(fā)送信用卡號碼，留意尋找瀏覽器底部顯示的掛鎖圖示或鑰匙形圖標。

七、確認你要打交道的網(wǎng)站地址，留意你輸入的地址，比如不要把ana-zon.com寫成amozon.com。

八、使用有對cookie程序控制權(quán)的安全程序，cookie程序會把信息傳送回網(wǎng)站。

九、如果你使用數(shù)字用戶專線或是電纜調(diào)制解調(diào)器連接英特網(wǎng)，那就要安裝防火墻軟件，監(jiān)視數(shù)據(jù)流動。
    十、不要打開電子郵件的附件，除非你知道信息的來源。

提高網(wǎng)站代碼安全性：

被黑是正常的1 服務(wù)器設(shè)置（如果你是租用的那就不用考慮了）2程序問題 現(xiàn)在注入程序遍地是 你可以看看在網(wǎng)頁中進行阻止 程序要嚴密 具體參考資料 你這個問題很大 細節(jié)不容易說！

下面給你說些基本的：

首先我要說的是，如果你是托管主機，你被黑，不是某某程序的錯誤，80%都應(yīng)該是你自己的錯誤，是因為你自己的不當造成了不可挽回或者是巨大的損失。

下面我就談下我在黑到別人站點的時候通?；卦趺醋?。

1 首先，也是最重要的一點，就是我是如何上傳webshell的(也就是大家說的后門木馬吧)，上傳webshell其實有很多的辦法。

一（SQL）對于sql數(shù)據(jù)庫的用戶來說，我們可以看看當先的連接用戶是不是dbo權(quán)限，也就是sa了，如果是sa，并且sql服務(wù)器和web服務(wù)器是同一臺服務(wù)器，那么如果你沒有被黑.....（那就是我的錯了）。

所以防止sql服務(wù)器被黑，第一是要更改連接用戶的權(quán)限。（pub就可以了）

二（SQL）還是對與sql用戶，你是否更改了遠程連接的默認密碼，要知道遠程連接是有默認密碼的，當我們用掃描器掃描的1433端口的時候，我們就可以判定你是SQL服務(wù)器，這個時候我們一般都會嘗試遠程登陸（50%）的人都沒有修改過遠程連接密碼。

三（ACCESS）對于這類用戶，我想基本上都不是托管主機，所以我也就不說了，就是說了出來你們也沒辦法去修正，你只能求天保佑你的主機商不是個鳥，后者黑你的人是個鳥了（碰上我兄弟X業(yè)X錢的那就沒辦法了）

上面都是針對服務(wù)器來說的（而且很不全面），下面我主要針對下大家關(guān)心的web來說下吧。

一、上傳漏洞。這類漏洞可以說是致命傷，怎么說呢，你可以這樣想，連microsoft這樣的公司的程序都會一天到晚出漏洞，你們的某某某全站程序，某某某論壇，某某某BLOG又怎么不會出現(xiàn)問題呢？其實不是沒有問題，而是有了問題，別人懶的去黑你罷了，誰叫你的全球排名---有都沒有呢（再笑下^_^）。不過有的朋友確實不想被黑，那好吧，我可以告訴你如何解決。1 如果你想讓別人上傳，呵呵，我只能和你說，你只能讓別人上傳圖片好了，至于其他的，你就開個FTP讓他傳吧。上傳的圖片可以用二進制的方式寫入數(shù)據(jù)庫，這樣不管你的站有沒有上傳漏洞，我估計他就是死也搞不出webshell的。

二、數(shù)據(jù)庫備份漏洞。不知道大家用過leadbbs沒有，在幾個月前，leadbbs是不允許備份數(shù)據(jù)庫的，為什么，其實你們很多人都知道是安全原因，但是是什么安全原因估計就沒幾個人知道了，或者是知道的人不多。對于access數(shù)據(jù)庫是不能象sql數(shù)據(jù)庫那樣備份的，而且我發(fā)現(xiàn)所謂的備份數(shù)據(jù)庫好象就是壓縮了以后在改個名字罷了，而且原始數(shù)據(jù)庫的路徑是由你（也就是管理員）來提交的，那么這下好了，我把你們不允許我上傳的文件改個你讓我上傳的文件，在利用備份數(shù)據(jù)庫的功能定義下我的文件路徑，改個名字就可以了。（其實我說了出來大家都覺得不可思議了吧）。就這樣你們的站內(nèi)有了大大小小不同的后門木馬了，而且還會出現(xiàn)在根目錄等等其他的位置，讓你們白思不得其解了。

那么如何解決這個問題呢，還是要從上傳說起來，既然他可以改名字上傳，那我就讓他保存到數(shù)據(jù)庫里面好了，呵呵，我們用二進制保存圖片確實是一個良好而且不錯的辦法，希望大家可以自己去修改下。也希望廣大的站長或者是程序員接受我這個不成熟，且低下的想法，（我知道肯定有某為大哥級人物看到這里早就嗤之以鼻了，所以下埋下伏筆）。

最后一點就是要告訴大家經(jīng)常備份，我相信廣大站長都有自己的電腦，那就麻煩下你的手腳，把站上的程序拷貝下來，如果真的被黑了，站上的程序就不要要了，直接用機器上的程序覆蓋吧，這樣才是最保險的。  

【編輯推薦】

1. 構(gòu)建安全服務(wù)器環(huán)境阻止網(wǎng)站黑客攻擊
2. 網(wǎng)站安全堪憂完善檢測機制是出路