浅析RHEL中Apache两大安全问题

运维 系统运维
近年来,RHEL Apache两大安全问题影响到了很多人主要是因为大部分Web服务器不再提供静态的HTML页面,它们提供动态的内容,许多Web站点与颇有价值的客户服务或电子商务活动应用结合在一起。希望本文对于RHEL Apache两大安全问题的解析可以帮助到大家。

众所周知安全问题是各行各业中最关心的问题,在RHEL系统中也不例外,在本文中对RHEL中Apache两大安全问题进行了文字上的解析。对于RHEL Apache两大安全问题笔者进行了详细的归纳,下面我们就来了解一下RHEL Apache两大安全问题。

为了保护Web服务器不被恶意攻击和破坏,第一步就是要了解和识别它所面临的安全风险。以前,Web站点仅仅提供静态的页面,因此安全风险很少。恶意破坏者进入这类Web站点的唯一方法是获得非法的访问权限。

一、RHEL Apache两大安全问题之一HTTP拒绝服务
攻击者通过某些手段使服务器拒绝对HTTP应答。这使得Apache对系统资源(CPU时间和内存)需求剧增,最终造成系统变慢甚至完全瘫痪。Apache服务器最大的缺点是,它的普及性使它成为众矢之的。Apache服务器无时无刻不受到DoS攻击的威胁。主要包括以下几种形式。

1.数据包洪水攻击
一种中断服务器或本地网络的方法是数据包洪水攻击,它通常使用Internet控制报文协议(ICMP)包或是UDP包。在最简单的形式下,这些攻击都是使服务器或网络的负载过重,这意味着黑客的网络速度必须比目标的网络速度要快。

使用UDP包的优势是不会有任何包返回到黑客的计算机。而使用ICMP包的优势是黑客能让攻击更加富于变化,发送有缺陷的包会搞乱并锁住受害者的网络。目前流行的趋势是黑客欺骗目标服务器,让其相信正在受到来自自身的洪水攻击。

2.磁盘攻击
这是一种更残忍的攻击,它不仅仅影响目标计算机的通信,还破坏其硬件。
伪造的用户请求利用写命令攻击目标计算机的硬盘,让其超过极限并强制关闭。这不仅仅是破坏,受害者会遭遇不幸,因为信息会暂时不可达,甚至丢失。

3.路由不可达
通常,DoS攻击集中在路由器上,攻击者首先获得控制权并操纵目标机器。当攻击者能够更改路由器的路由表条目的时候,会导致整个网络不可达。
这种攻击是非常阴险的,因为它开始出现的时候往往令人莫名其妙。毕竟,你的服务器会很快失效,而且当整个网络不可达,还是有很多原因需要详审的。

4.分布式拒绝服务攻击
最有威胁的攻击是分布式拒绝服务攻击(DDoS)。当很多堡垒主机被感染,并一起向你的服务器发起拒绝服务攻击的时候,你将伤痕累累。繁殖性攻击是最恶劣的,因为攻击程序会不通过人工干涉蔓延。Apache服务器特别容易受攻击,无论是对分布式拒绝服务攻击还是隐藏来源的攻击。为什么呢?因为Apache服务器无处不在。

在万维网上分布着无数的Apache服务器,因此为Apache定制的病毒(特别是SSL蠕虫)潜伏在许多主机上;带宽如今已经非常充裕,因此有很多的空间可供黑客操纵。蠕虫攻击利用服务器代码的漏洞,通过SSL握手将自己安装在Apache服务器上。黑客利用缓冲溢出将一个伪造的密钥安装在服务器上(适用于运行低于0.9.6e版本的OpenSSL的服务器)。

攻击者能够在被感染的主机上执行恶意代码,在许多这样的病毒作用下,下一步就是对特定的目标发动一场浩大的分布式拒绝服务攻击了。通过将这样的蠕虫散播到大量的主机上,大规模的点对点攻击得以进行,对目标计算机或者网络带来不可挽回的损失。

二、RHEL Apache两大安全问题之二缓冲区溢出
攻击者利用CGI程序编写的一些缺陷使程序偏离正常的流程。
程序使用静态分配的内存保存请求数据,攻击者就可以发送一个超长请求使缓冲区溢出。比如,一些Perl编写的处理用户请求的网关脚本。一旦缓冲区溢出,攻击者可以执行其恶意指令。

以上只是笔者对RHEL Apache两大安全问题的个人解析,希望对以大家对RHEL中Apache两大安全问题可以有所帮助。
 

   【编辑推荐】

  1. 设置ORACLE11g随RHELRHEL 5下Samba服务器的搭建
  2. RHELRHEL搭建FTP服务器步骤和问题解析(1)
  3. RHELRHEL 5搭建FTP的完美组合
  4. 问题解析:这样使用RHELRHEL 4上配置Postfix的完美4步
  5. RHEL架设RHEL4系统Sendmail的七大步骤
责任编辑:赵杰 来源: it168
相关推荐

2011-03-21 10:23:06

2023-03-09 12:30:55

2020-10-30 08:50:25

2019-04-28 10:23:26

物联网安全信息安全物联网

2012-12-18 13:47:01

2022-07-26 00:08:48

安全人为错误人员短缺

2018-01-04 09:56:44

2009-08-05 09:39:00

2018-05-04 08:09:08

2018-08-06 09:00:56

2010-02-23 11:10:20

2009-12-07 14:46:37

2010-10-22 09:36:00

2011-07-27 16:06:36

云端云计算

2011-12-23 10:09:20

2018-08-03 05:41:13

数据隐私数据安全加密

2016-10-23 22:41:09

2018-07-09 00:07:18

人工智能安全AI

2010-01-28 10:35:24

2015-09-22 15:40:51

点赞
收藏

51CTO技术栈公众号