1、关于腾讯云安全技术及解决方案计科 1202 班 12281201 孙杨威 整理一.什么是云安全?“云安全”是“云计算”技术的重要分支,已经在反病毒领域当中获得了广泛应用。云安全通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。整个互联网,变成了一个超级大的杀毒软件,这就是云安全计划的宏伟目标。二.腾讯云安全服务概述腾讯云安全是由腾讯专业安全团队倾力打造,为云服务用户提供 DDoS 防护、DNS 劫持检测、入侵检测、漏洞扫描、网页木马检测、登录防护等安全服务。腾讯云安全服务有如下特点:
2、1. 全方位安全防护为云服务器提供一体化的安全服务,包括安全体检(漏洞扫描、挂马检测、网站后门检测、端口安全检测等)和安全防御(DDoS 防护、入侵 检测、访问控制来保证数据安全与用户隐私)。2. 实时告警定期分析7*24 小时的安全服务,第一时间发现 漏洞,实时免费通知到您。3. 免费方便安全保障无需为您的云服务购买昂贵的安全设备,购买云服务即可免费享用云安全服务。一键开通,零部署,方便简单。4. 专业团队,可靠保障云安全是由具备多年安全经验与历练的腾讯安全团队倾力打造,为云服务用户提供的专业安全服务,值得您的信赖。当前,腾讯云安全主要提供 DDoS 防护、DNS 劫持检测、入侵检测、漏洞扫
3、描、登录防护等服务。三安全加固组件安全加固组件是腾讯云提供的一套先进的主机入侵防御服务,如果您的机器被黑客入侵,安全加固组建可以实时发现并提醒您,可有效避免服务受损、核心数据被盗的风险,为您的机器打造“固若金汤”的安全防线。安全加固组件功能贴心的异地登录提醒:如果您的机器被黑客或者其他未授权的用户非法登录时,安全加固组件可以实时发现并通知到您,让您快速发现并且处理非法入侵。实时的暴力破解发现:如果有人尝试暴力破解您的主机密码时,安全加固组件及时帮您发现并阻止恶意尝试。专业后门、木马检测:当黑客在您的机器上留下后门或者上传非法程序时,安全加固组件及时检测,并且实时通知到您。四DDoS 防护1.
4、DDoS 攻击介绍DDoS(Distributed Denial of Service)是分布式拒绝服务攻击的英文缩写,它是一种利用多台计算机向指定目标服务器发送攻击数据包,导致目标服务器系统资源或带宽耗尽,从而对正常业务请求出现拒绝服务的攻击行为。常见的 DDoS 攻击分为如下两类:协议缺陷型利用 TCP,DNS 等互联网协议的缺陷,向服务器发送无用却必须处理的数据包来抢占服务器系统资源,从而达到影响正常业务服务的目的。常见的攻击类型包括:SYNFLOOD,ACKFLOOD,DNSFLOOD 等。流量阻塞型通过发送大量满负载垃圾数据包到目标服务器,使链路带宽耗尽,从而达到影响正常业务服务的目
5、的。常见的攻击类型包括 UDPFLOOD,ICMPFLOOD 等。2. DDoS 攻击的影响分布式拒绝服务攻击将会使目标服务器承载的业务处于不可用状态,直接影响业务的收入或口碑。对于B/S 类业务 ,用户无法打开网页,如 ;对于 C/S 类业务,如网游,就是在线用户大量掉线,同时用户无法成功登录游戏。3. 云安全 DDoS 防护系统特点1. 专业防护设备采用业界主流专业 DDoS 防护设备 ,可有效抵御 SYNFLOOD,UDPFLOOD,CC 等常见攻击,保障用户业务的正常运作。2. 自动化防护通过检测设备与防护设备联动,当发现攻击时,立即加入保护,无需人工介入。3. 精准的数据分析系统实时
6、提供流量数据,通过数据分析攻击情况;同时提供攻击类型、攻击流量、攻击时长等数据,便于取证、追溯及分析。4. 云安全 DDoS 防护能力腾讯云为 HTTP 以及移 动加速类业务提供了免费的专用防护系统-大禹系 统,其提供防护能力数倍于腾讯云通用的 DDoS 防护方案,达到 100G 水平,如需进一步了解大禹系 统, 请进入大禹系统。针对非 HTTP 类型 业务(如游戏)提供高防专区,如需进一步了解高防专区, 请进入 DDos 高级防护。1.针对普通机房和高防专区的免费用户(未购买带宽包但是使用了高防三网 IP):外网 IP 被攻击峰值超过 2Gbps(1 核 1G 机型阀值为 500Mbps)会
7、执行封 IP 操作,三个月内所有外网 IP 被攻击次数之和小于 3 次的封堵时长为 2-24 小时(根据各运营商封堵策略不同,有所区分),所有外网 IP被攻击次数大于等于 3 次的封堵时间为 72 小时。2.高防带宽包付费用户:攻击峰值超过带宽包购买值后会执行封堵,封堵时间为 2 小时。五大禹系统腾讯大禹系统简介针对行业面临 DDoS 威胁越来越严 重的问题,腾讯云安全团队自研并推出了一套业界领先防护方案 腾讯云分布式 DDoS 防护方案(后称大禹系 统)。大禹系统专为移动端业务和 HTTP 类业务开发商提供的DDoS 防护服务。大禹系统在全国部署了多个攻击防护点,通过高效动态调度网络流量,有
8、效组织起腾讯云全网各点冗余带宽和防护能力,为开发商的业务的高可用性保驾护航。大禹系统具备如下几个特点:免费大禹系统为开发商提供了免费数倍于腾讯云通用 DDoS 系统的防护能力,满足绝大多数开发商的 DDoS 防护需求。接入大禹系统后 DDoS 防 护成本由腾讯云来垫付,开发商不必关心 DDoS 防护成本。一次接入,两种能力大禹系统的防护点是基于腾讯云移动加速服务的加速点和静态加速的节点改造而成,因此具备腾讯云移动加速服务的业务加速能力和网站静态加速的能力。进而客户接入大禹系统后,系统就会向开发商同步提供防护 DDoS 和加速的能力,即被攻 击的时候系统为开发商业务提供防护;不被攻击的时候系统为
9、开发商业务提供加速服务。业界领先的防护能力腾讯云网络具备业界最先进的 DDoS 防护能力,大禹系统每个防护点均具备超大的扩容空间。同时腾讯云安全团队会不断检测业务受攻击情况,根据行业安全现状实施扩容。平滑的业务体验大禹系统具备快速切换流量的能力,但某个节点出现问题后,可快速的将流量切换到其他节点上。针对 HTTP 类业务 ,大禹系统还提供了自动更换 web 服务器 IP 的作用。当您的 web 服务器被攻击出问题后可以快速更换您的 web 服务器外网 IP,并将流量转发到新的外网 IP 上,保持您在被大流量攻击的情况下,业务平滑。腾讯大禹系统技术原理3.1 腾讯 大禹系统 网络架构大禹系统大致
10、架构图如下图所示。其中共包括如下几个主要系统:移动加速系统、攻击防护点、源站、腾讯宙斯盾系统。网络节点作用:调度系统,在大禹系统中起着智能域名解析、网络监控、流量调度等作用。源站,开发商业务服务器。攻击防护点,主要作用是过滤攻击流量,并将正常流量转发到源站。腾讯宙斯盾系统,是腾讯的通用 DDoS 防护系统,在大禹系统中会与攻击防护点配合起来,以起到超大流量的防护作用,提供双重防护的能力;另外腾讯宙斯盾系统还保护了所有腾讯的机房和系统。3.2 分布式防 护点特点腾讯云安全团队在全国多个城市搭建了高强度的攻击防护点。分布图如下图所示:图中的攻击防护点是腾讯云专为大禹系统搭建防护机房。每个攻击防护点
11、均独立部署,和其他腾讯自营业务进行完全隔离,并且为后续的防护能力升级提前进行了网络规划。当前系统中的攻击防护点具备攻击防护影响的最小化,以及防护能力升级的便捷化。大禹系统中的攻击防护点借助了腾讯云移动加速服务的全网流量调度能力,并针对 DDoS 攻击的流量特点自研了一套高效流量调度算法,将保证开发商业务的高可用性作为最重要的算法效果指标。3.3 系统 适用场景大禹系统支持如下业务场景:支持基于 TCP,HTTP 协议的移动 端业务;支持基于 HTTP 协议的业务支持安卓/IOS 系统;支持各类主流游戏开发框架,例如 cocos2d-x, unity3D 等;支持防护业界主流的各种攻击类型,例如
12、 TCP SYN、TCP ACK、TCP FIN、UDP、ICMP、DNS、CC 攻击等。六网站入侵1. 网站入侵介绍网站入侵是指黑客利用网站和系统的各种安全漏洞对网站以及其服务器进行各种非法操作,对网站造成破坏的行为。网站入侵轻则影响到网站的正常运行,重则可以导致敏感数据泄漏,资金被盗等,对网站的危害非常大。2. 网站后门木马说明网站后门木马又叫 webshell,一般是黑客通 过漏洞入侵网站后放置的 PHP,JSP 等动态脚本,黑客可以通过这个后门木马持续地控制服务器,进行文件上传下载,执行命令等各种破坏行为,是黑客常用的入侵工具,对网站安全危害巨大。3. 云安全网站反入侵系统介绍腾讯云安
13、全团队针对常见的网站入侵行为,提供专业的网站后门木马检测等安全功能,通过专业分析模型,定期检测网站,及早发现木马并通知到您,为您的网站安全运行保驾护航。1. Local DNS 劫持介绍Local DNS 劫持是一种通过改变指定域名在运营商侧 Local DNS 配置的正确解析指向,将该域名的解析结果重定向到劫持 IP 的劫持行为。Local DNS 劫持类型可大致分为运营商缓存,广告,恶意劫持等类别。其中运营商缓存是运营商侧为了降低跨网流量及用户访问速度进行的一种良性劫持;广告劫持是运营商或恶意团体将用户正常页面指向到广告页面或在正常页面中插入第三方广告的劫持行为;恶意劫持是指通过改变域名指
14、向 IP,将用户访问流量引到挂马,盗号等对用户有害页面的劫持。七DNS 劫持2. DNS 劫持的影响DNS 劫持的目的就是改变业务原有的域名指向,将用户引导到劫持者指定 IP,从而实现劫持者的种种目的。DNS 劫持会直接改变业务希望呈现在用户面前的信息,降低用户体验,使业务和用户的利益都受到损失。3. 云安全 DNS 劫持检测系统特点1. 突破运营商地域限制采用多点部署原则,有效解决运营商 DNS 解析服务地域限制带来的影响,最大限度提升域名检测的准确性。2. 快速发现劫持行为采用高效的域名探测调度策略,确保 60 分钟内发现域名被劫持。3. 细粒度的日志审计为用户保存劫持 IP 及其省份、I
15、SP 等信息,便于后续的分析与审计 ,同时提供精细化的劫持分析,了解劫持威胁。4. DNS 劫持修复建议Local DNS 劫持类型可大致分为运营商缓存、运营商广告、恶意劫持等类型,当出现运营商缓存和运营商广告等方式的劫持时,请您联系运营商进行处理;当出现恶意劫持时,请联系域名服务商或者运营商进行处理。八漏洞扫描1. 网站漏洞说明网站漏洞主要指由于客户未对用户输入数据进行必要的合法性校验及安全过滤,导致了攻击者可以利用漏洞来盗取用户信息,入侵并控制网站服务器等。2. 云安全漏洞扫描服务介绍1. 全方位漏洞检测采用分布式扫描系统,支持检测 SQL 注入,XSS 等各种常见的网页漏洞及第三方应用漏
16、洞,发现能力强,误报率低。2. 实时反馈当发现存在网站漏洞时,会通过站内信件或者手机短信及时通知到您。3. 专业漏洞修复指引通过简洁专业的修复指引,三分钟轻松修复网站漏洞。漏洞类型 风险等级 漏洞危害 修复方案SQL 注入 高风险恶意用户可以利用该漏洞执行任意 SQL 语句,可以造成如下危害:未经过授权操作数据库中的数据恶意篡改数据库内容添加系统帐号或数据库帐号,进行提权,进而导致网站服务器被入侵,数据库数据被盗取等在服务器端对用户提交的所有表单、参数进行合法性判断和非法字符过滤。例如:使用正则表达式限制输入的数据长度和类型;过滤非法字符,例如:单引号、双引号、空格、等号等远程任意命令执行高风
17、险执行任意系统命令,例如 systerm(),eval(),exec()等命令,可以导致网站服务器被入侵,服务器数据被偷取等校验程序的参数输入,通过白名单的方式允许用户输入字符和命令struts 远 程命令执行 高风险struts.xml 配置中使用$形式来配置action 的 redirect 地址,例如:/test.jsp?var=$userInput,可能触发命令执行漏洞,进而导致网站服务器被入侵,服务器数据被盗取等修改 struts.xml 配置,设置$ 中的参数需要编码。如:/test.jsp?test=$userName trueStruts 低版本 高风险struts 2.3.1
18、5.2 以下版本存在任意代码执行漏洞,可导致网站服务器被入侵,服务器数据被盗取等请将 struts、xwork 库文件升级到最新版,并删除旧库。官网下载http:/struts.apache.org/php 代码执行 高风险执行任意 php 代码,可导致网站服务器被入侵,服务器数据被盗取等禁止危险函数 php.ini disable_functions = “eval,phpinfo“ 或者对用户输入做过滤thinkphp 代码执行 高风险可执行任意命令,导致网站服务器被入侵,服务器数据被盗取等谨慎使用 thinkphp,对于线上的 Thinkphp 要升级到安全版本,相关信息 链接如下:ht
19、tp:/ 高风险泄漏服务器上的任意文件内容,暴露 web服务器的文件系统结构和内容,可导致网站服务器被入侵,服务器数据被盗取等对参数进行校验通过白名单的方式验证用户输入 ,同时检验路径是否在规定的路径之下,禁止跳出范围访问nginx 任意文件解析高风险nginx 解析漏洞,危害服务器安全,导致服务器被入侵,服务器数据被盗取等php 配置文件 php.ini 中配置 cgi.fix_pathinfo=0管理后台对外 高风险后台入口泄漏,可导致网站服务器被入侵,服务器数据被盗取等1:使用 iptables 限制 访问权限,禁止不合法的内外网访问; 2:不允许上传文件; 3:记录并保存 webser
20、ver 的访问 日志文件; 4:禁止使用脚本或程序管理系统文件文件包含 高风险程序服务器上的文件可任意读取,包含可运行木马,或其他用户上传的文件,造成服务器敏感信息泄漏采用白名单的方式校验用户输入对外开放高危端口(服务) 高风险高危端口对外开发,可导致服务器被入侵,服务数据被盗取等请关闭对外开放的端口目录遍历 中风险 导致服务器文件泄漏 Web 服务 器配置中去掉非 业务必要的目 录浏览项普通 xss 中风险黑客可以利用该漏洞执行任意 HTML/JS 代码,可导致如下危害:窃取用户 cookie 信息,传播蠕虫等将特殊字符,“,展示时转义为 html 实体utf7-xss 中风险黑客可以利用该
21、漏洞执行任意 HTML/JS 代码,可导致如下危害:窃取用户 cookie 信息,传播蠕虫等CGI 中指定 Content-Type 的属性为 JSONCSRF 中风险 用户敏感信息泄露 请求中添加 Token 或进行 referrer 验证任意跳转 中风险页面中引入非公司的URL,导致恶意钓鱼出现控制页面转向的地方对传入的 URL 进行校验CRLF 头部注入 中风险黑客可以利用该漏洞来注入 HTTP 响应头 ,攻击者可以构建任意 HTTP 响 应,从而 发起多种形式的攻击,包括:cross-user defacement、网络和浏览器 cache poisoning、cross-site s
22、cripting 和 page hijacking设置 HTTP 响应头 的代码中,过滤回车换行字符配置不当 中风险php 错误 信息回显,导致敏感信息外泄 修改 php.ini 配置,禁止 显示错误信息和调试信息crossdomain配置不当中风险 配置不当,可能引入CSRF 攻击 clientaccesspolicy.xml 中更改 allow-access-form 的 domain 属性为域名白名单,例如:*源代码泄漏 中风险源代码任意下载,可导致服务器文件泄漏,危害到服务器安全请删除测试文件未删除 中风险测试或其他敏感文件对外,导致敏感信息泄漏请删除IIS 短文件泄漏 中风险因为 IIS 版本低问题 ,导致使用 get 方式可以获取 web 目录下的所有文件升级并使用.Net Framework 4
