如何防范目录扫描当网站被扫描时访问量会突然增大
纯情博客为您提供最新网络安全黑客信息资讯
目录扫描是辅以字典对目标网页模式进行推测并发觉隐藏URL的科技,这是黑客对网页常见的功击手段之一。根据扫描结果,黑客首先可以从大体上知道网站的构架,为施行下一步攻击收集信息,还可以发觉网站的掩藏路径或文件等脆弱信息网络培训脚本插件,比如:
1)网页的管控后台:网站后台是管控员管理网页的插口之一,通常不会在网页公开页面上留下链接,所以很难被搜索引擎的爬虫扫描发现。当通过目录扫描方法,只要字典足够好,还是有非常大的机会发觉隐藏的管控后台入口。
2)未受保护的脆弱页面:指不被网页鉴权机制保护的页面,而这类页面可能会拥有一些执行敏感操作的功用。
3)网页的误删文件:如果数据库、源代码备份等,备份是管控员日常管理工作之一,有时侯可能会由于疏漏而把备份遗留在网页目录下。通过这种文件,黑客可以获得网页的源代码或者储存在数据库中的脆弱信息。
4)其它黑客留下的侧门:通过扫描黑客还可能看到其它人留下的侧门网站如何防止黑客攻击,通过这种车门黑客可以不费吹灰之力荣获网站服务器的权限。
5)网页配置文件:如果数据库初始化sql脚本,网站后台配置等。
如何提防目录扫描
当网页被扫描时访问量会忽然减少,同时形成大量的404访问日志,这是网页被扫描攻击的主要病症。接出来我给你们介绍如何借助使用防火墙策略识别流量中的404关键字,并对异常的扫描流量进行限制网站如何防止黑客攻击,这里我们使用到了的及组件:
`iptables -F
iptables -Z
iptables -X log404
iptables -N log404
iptables -A log404 -m limit --limit 1/min -j LOG --log-prefix "Dir_buster_attack " --log-level 3
iptables -A log404 -j DROP
iptables -A OUTPUT -p tcp -m tcp --sport 80 -m string --string "404 Not Found" --algo bm --to 65535 -m recent --update --seconds 10 --reap --hitcount 10 --rttl --name Block404 --mask 255.255.255.255 --rdest -j log404
iptables -A OUTPUT -p tcp -m tcp --sport 80 -m string --string "404 Not Found" --algo bm --to 65535 -m recent --set --name Block404 --mask 255.255.255.255 --rdest`
在上边的事例中,我们使用组件识别HTTP响应中的“404NotFound”关键字渗透测试,并使用命令把服务器对每位IP的404响应速度限制在每10秒10次,当超出这个限制时,后续的应将被遗弃并触发TCP重传,直到过去10秒的响应数量多于10次。
通过这些方法,可辨识短时间内出现的长期404响应,并借助丢包方式延长扫描软件的等候时间。
通过使用扫描软件dirb(
)进行检测发现,当没有限制时,dirb在不到16秒的时间内总计扫描了13836个URL,平均800多次每秒:
当使用时,100次恳求则花了50秒,平均每秒2次,而黑客一般每推进一次扫描要发送上万甚至上百万次恳求黑客博客,这个速率大大超乎了她们可接受的范围。可见在提防目录扫描攻击上能起到很高的隔离作用:
需要留意的是:
1)首先对流量非常大的网页,模块的参数应设定得足够长,建议更改为网页在高峰时平均在线IP的两倍左右,可借助修改/etc/.d目录下相应的配置文件:
2)使用CDN部署的网页不建议使用这些方法,否则很可能造成CDNIP被刺死。
3)--及--参数应按照实际环境进行微调,尽量在不妨碍正常访问的同时提升网页的隔离水准。