淺析RHEL中Apache兩大安全問題
眾所周知安全問題是各行各業中最關心的問題,在RHEL系統中也不例外,在本文中對RHEL中Apache兩大安全問題進行了文字上的解析。對于RHEL Apache兩大安全問題筆者進行了詳細的歸納,下面我們就來了解一下RHEL Apache兩大安全問題。
為了保護Web服務器不被惡意攻擊和破壞,第一步就是要了解和識別它所面臨的安全風險。以前,Web站點僅僅提供靜態的頁面,因此安全風險很少。惡意破壞者進入這類Web站點的唯一方法是獲得非法的訪問權限。
一、RHEL Apache兩大安全問題之一HTTP拒絕服務
攻擊者通過某些手段使服務器拒絕對HTTP應答。這使得Apache對系統資源(CPU時間和內存)需求劇增,最終造成系統變慢甚至完全癱瘓。Apache服務器最大的缺點是,它的普及性使它成為眾矢之的。Apache服務器無時無刻不受到DoS攻擊的威脅。主要包括以下幾種形式。
1.數據包洪水攻擊
一種中斷服務器或本地網絡的方法是數據包洪水攻擊,它通常使用Internet控制報文協議(ICMP)包或是UDP包。在最簡單的形式下,這些攻擊都是使服務器或網絡的負載過重,這意味著黑客的網絡速度必須比目標的網絡速度要快。
使用UDP包的優勢是不會有任何包返回到黑客的計算機。而使用ICMP包的優勢是黑客能讓攻擊更加富于變化,發送有缺陷的包會搞亂并鎖住受害者的網絡。目前流行的趨勢是黑客欺騙目標服務器,讓其相信正在受到來自自身的洪水攻擊。
2.磁盤攻擊
這是一種更殘忍的攻擊,它不僅僅影響目標計算機的通信,還破壞其硬件。
偽造的用戶請求利用寫命令攻擊目標計算機的硬盤,讓其超過極限并強制關閉。這不僅僅是破壞,受害者會遭遇不幸,因為信息會暫時不可達,甚至丟失。
3.路由不可達
通常,DoS攻擊集中在路由器上,攻擊者首先獲得控制權并操縱目標機器。當攻擊者能夠更改路由器的路由表條目的時候,會導致整個網絡不可達。
這種攻擊是非常陰險的,因為它開始出現的時候往往令人莫名其妙。畢竟,你的服務器會很快失效,而且當整個網絡不可達,還是有很多原因需要詳審的。
4.分布式拒絕服務攻擊
最有威脅的攻擊是分布式拒絕服務攻擊(DDoS)。當很多堡壘主機被感染,并一起向你的服務器發起拒絕服務攻擊的時候,你將傷痕累累。繁殖性攻擊是最惡劣的,因為攻擊程序會不通過人工干涉蔓延。Apache服務器特別容易受攻擊,無論是對分布式拒絕服務攻擊還是隱藏來源的攻擊。為什么呢?因為Apache服務器無處不在。
在萬維網上分布著無數的Apache服務器,因此為Apache定制的病毒(特別是SSL蠕蟲)潛伏在許多主機上;帶寬如今已經非常充裕,因此有很多的空間可供黑客操縱。蠕蟲攻擊利用服務器代碼的漏洞,通過SSL握手將自己安裝在Apache服務器上。黑客利用緩沖溢出將一個偽造的密鑰安裝在服務器上(適用于運行低于0.9.6e版本的OpenSSL的服務器)。
攻擊者能夠在被感染的主機上執行惡意代碼,在許多這樣的病毒作用下,下一步就是對特定的目標發動一場浩大的分布式拒絕服務攻擊了。通過將這樣的蠕蟲散播到大量的主機上,大規模的點對點攻擊得以進行,對目標計算機或者網絡帶來不可挽回的損失。
二、RHEL Apache兩大安全問題之二緩沖區溢出
攻擊者利用CGI程序編寫的一些缺陷使程序偏離正常的流程。
程序使用靜態分配的內存保存請求數據,攻擊者就可以發送一個超長請求使緩沖區溢出。比如,一些Perl編寫的處理用戶請求的網關腳本。一旦緩沖區溢出,攻擊者可以執行其惡意指令。
以上只是筆者對RHEL Apache兩大安全問題的個人解析,希望對以大家對RHEL中Apache兩大安全問題可以有所幫助。
【編輯推薦】
