网站如何应对服务器的攻击？

网站如何应对服务器的攻击互联网的发展环境并不是那么的安全，前阵子爆发的“熊猫烧香”比特币更是印证了这番说法，接下来与不二网网站制作一起深入了解服务器常见的攻击类型和如何应对吧。

DDOS和DOS等攻击这是网络中最普遍的攻击类型,这种攻击模式会选择使用大量数据包去压垮网络设备和服务器，或者故意制造大量没办法完成的不完全请求来快速耗尽服务器资源使你的网站运行瘫痪无法正常使用。

解决方法：

1、不单单去检测危险，还得要缓解攻击。

2、要懂得分辨业务中的好坏，对业务进行良好的维持。

3、保护所有易受损点包括内含性能和体系结构的配置。

4、维持网站可靠性和企业成本效益可持续发展性。

常见的CC攻击，也是流量攻击的一种，CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面，这样就会造成服务器的资浪费，CPU如果长时间处的于100%的位置，则永远都有处理不完的连接直至造就网络拥塞，正常的访问就会被中止。

防御手段：

遇到流量攻击的话，硬防是必要的。硬防即是硬件防火墙，在表面看与普通的服务器差不了多少，顾名思义就是硬件组成的防火墙。扛流量的公司则就是它的责任。硬防的话。10G墙可能都要十几万。有高昂的成本，需要一定的出口带宽支持。所以一般都是一些大的高防机房架设起来。

网站一般都会被打CC攻击。打封端口。占用机器带宽。内存占用率升高，会使得服务器延时。有效的防御方式、常见有加带宽、装软防、调策略、专业的技术、根据攻击调整防护墙上的策略，屏蔽无限防的请求IP。

以上就是小编对于网站制作应对服务器攻击的方法解答。

第一：攻击一般分为ddos（UDP、syn）cc域名攻击、arp（内部攻击）攻击

第二：一般的高防云服务器/独立服务器他们防护的是DDOS攻击。

第三：个别机房会装有金盾，可以防护一定量的cc攻击。

第四：如果是内部arp，机房可以进行辅助处理

第五：海牛云美国云服务器含有ddos防护+cc防护，双重防护，可以有效抵御，让云服务器更加安全。

常见的有 DDOS和CC两种攻击方式

DDOS攻击就是分布式拒绝服务攻击，这个可以用硬件防御

CC就没法用硬件防御了，高防服务器也只是防DDOS，没法防御CC的

至于防御措施 最简单有效的办法 就是 花钱购买 DDoS高防 高防IP资源包 这类产品很多大型云服务商都。就不复制粘贴了 需要的话网页链接飞过去看一下 介绍的比我说的明白详细。至于为什么是他家的是因为我目前在用，操作后台控制操作简单对新手入门很友好。

虽然黑客攻击的手法多种多样，但就目前来说，绝大多数中初级黑客们所采用的手法和工具仍具有许多共性。从大的方面来划分的话，归纳起来一般不外乎以下几种：1、网络报文嗅探网络嗅探其实最开始是应用于网络管理的，就像远程控制软件一样，但随着黑客们的发现，这些强大的功能就开始被客们利用。最普遍的安全威胁来自内部，同时这些威胁通常都是致命的，其破坏性也远大于外部威胁。其中网络嗅探对于安全防护一般的网络来说，使用这种方法操作简单，而且同时威胁巨大。很多黑客也使用嗅探器进行网络入侵的渗透。网络嗅探器对信息安全的威胁来自其被动性和非干扰性，使得网络嗅探具有很强的隐蔽性，往往让网络信息泄密变得不容易被发现。

嗅探器是利用计算机的网络接口，截获目的计算机数据报文的一种技术。不同传输介质的网络的可监听性是不同的。一般来说，以太网被监听的可能性比较高，因为以太网是一个广播型的网络；FDDI Token被监听的可能性也比较高，尽管它不是一个广播型网络，但带有令牌的那些数据包在传输过程中，平均要经过网络上一半的计算机；微波和无线网被监听的可能性同样比较高，因为无线电本身是一个广播型的传输媒介，弥散在空中的无线电信号可以被很轻易的截获。

嗅探器工作在网络的底层，把受影视的计算机的网络传输全部数据记录下来。虽然嗅探器经常初网管员用来进行网络管理，可以帮助网络管理员查找网络漏洞和检测网络性能、分析网络的流量，以便找出所关心的网络中潜在的问题。但目前却在黑客中的应用似乎更加广泛，使人们开始对这类工具敬而远之。2、地址欺骗IP地址欺骗攻击是黑客们假冒受信主机（要么是通过使用你网络IP地址范围内的IP，要么是通过使用你信任，并可提供特殊资源位置访问的外部IP地址）对目标进行攻击。在这种攻击中，受信主机指的是你拥有管理控制权的主机或你可明确做出“信任”决定允许其访问你网络的主机。通常，这种IP地址欺骗攻击局限于把数据或命令注入到客户/服务应用之间，或对等网络连接传送中已存在的数据流。为了达到双向通讯，攻击者必须改变指向被欺骗IP地址的所有路由表。 IP地址攻击可以欺骗防火墙，实现远程攻击。以上介绍的报文嗅探，IP欺骗的攻击者不限于外部网络，在内部网络中同样可能发生，所以在企业网络内部同样要做好相关防御措施。 3、密码攻击 密码攻击通过多种不同方法实现，包括蛮力攻击（brute force attack），特洛伊木马程序，IP欺骗和报文嗅探。尽管报文嗅探和IP欺骗可以捕获用户账号和密码，但密码攻击通常指的反复的试探、验证用户账号或密码。这种反复试探称之为蛮力攻击。通常蛮力攻击使用运行于网络上的程序来执行，并企图注册到共享资源中，例如服务器。当攻击者成功的获得了资源的访问权，他就拥有了和那些账户被危及以获得其资源访问权的用户有相同的权利。如果这些账户有足够夺得特权，攻击者可以为将来的访问创建一个后门，这样就不用担心被危及用户账号的任何身份和密码的改变。 4、拒绝服务攻击 拒绝服务（Denial of Service，DoS）攻击是目前最常见的一种攻击类型。从网络攻击的各种方法和所产生的破坏情况来看，DoS算是一种很简单，但又很有效的进攻方式。它的目的就是拒绝你的服务访问，破坏组织的正常运行，最终使你的网络连接堵塞，或者服务器因疲于处理攻击者发送的数据包而使服务器系统的相关服务崩溃、系统资源耗尽。

DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务。DoS攻击的基本过程：首先攻击者向服务器发送众多的带有虚假地址的请求，服务器发送回复信息后等待回传信息。由于地址是伪造的，所以服务器一直等不到回传的消息，然而服务器中分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送新的一批请求，在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽。

这类攻击和其他大部分攻击不同的是，因为他们不是以获得网络或网络上信息的访问权为目的，而是要使受攻击方耗尽网络、操作系统或应用程序有限的资源而崩溃，不能为其他正常其他用户提供服务为目标。这就是这类攻击被称之为“拒绝服务攻击”的真正原因。　

　　当涉及到特殊的网络服务应用，象HTTP或FTP服务，攻击者能够获得并保持所有服务器支持的有用连接，有效地把服务器或服务的真正使用者拒绝在外面。大部分拒绝服务攻击是使用被攻击系统整体结构上的弱点，而不是使用软件的小缺陷或安全漏洞。然而，有些攻击通过采用不希望的、无用的网络报文掀起网络风暴和提供错误的网络资源状态信息危及网络的性能。

DDoS（Distributed Denial of Service，分布式拒绝服务）是一种基于DoS的特殊形式的分布、协作式的大规模拒绝服务攻击。也就是说不再是单一的服务攻击，而是同时实施几个，甚至十几个不同服务的拒绝攻击。由此可见，它的攻击力度更大，危害性当然也更大了。它主要瞄准比较大的网站，象商业公司，搜索引擎和政府部门的Web站点。

要避免系统遭受DoS攻击，从前两点来看，网络管理员要积极谨慎地维护整个系统，确保无安全隐患和漏洞；而针对第三点的恶意攻击方式则需要安装防火墙等安全设备过滤DoS攻击，同时强烈建议网络管理员定期查看安全设备的日志，及时发现对系统存在安全威胁的行为。 5、应用层攻击 应用层攻击能够使用多种不同的方法来实现，最平常的方法是使用服务器上通常可找到的应用软件（如SQL Server、Sendmail、PostScript和FTP）缺陷。通过使用这些缺陷，攻击者能够获得计算机的访问权，以及该计算机上运行相应应用程序所需账户的许可权。

应用层攻击的一种最新形式是使用许多公开化的新技术，如HTML规范、Web浏览器的操作性和HTTP协议等。这些攻击通过网络传送有害的程序，包括JAVA applet和Active X控件等，并通过用户的浏览器调用它们，很容易达到入侵、攻击的目的。虽然微软公司前段时间提供的代码验证技术可以使用户的Active X控件因安全检查错误而暂停这类攻击，但攻击者已经发现怎样利用适当标记和有大量漏洞的Active X控件使之作为特洛伊木马实施新的攻击方式。这一技术可使用VBScript脚本程序直接控制执行隐蔽任务，如覆盖文件，执行其他文件等，预防、查杀的难度更大。

在应用层攻击中，容易遭受攻击的目标包括路由器、数据库、Web和FTP服务器和与协议相关的服务，如DNS、WINS和SMB。

网络层攻击：比较典型的攻击类型是UDP反射攻击，例如：NTP Flood攻击，这类攻击主要利用大流量拥塞被攻击者的网络带宽，导致被攻击者的业务无法正常响应客户访问。

传输层攻击：比较典型的攻击类型包括SYN Flood攻击、连接数攻击等，这类攻击通过占用服务器的连接池资源从而达到拒绝服务的目的。

会话层攻击：比较典型的攻击类型是SSL连接攻击，这类攻击占用服务器的SSL会话资源从而达到拒绝服务的目的。

应用层攻击：比较典型的攻击类型包括DNS flood攻击、HTTP flood攻击、游戏假人攻击等，这类攻击占用服务器的应用处理资源极大的消耗服务器处理性能从而达到拒绝服务的目的。

1、发现服务器被入侵，应立即关闭所有网站服务，暂停至少3小时。这时候很多站长朋友可能会想，不行呀，网站关闭几个小时，那该损失多大啊，可是你想想，是一个可能被黑客修改的钓鱼网站对客户的损失大，还是一个关闭的网站呢你可以先把网站暂时跳转到一个单页面，写一些网站维护的的公告。

2、下载服务器日志，并且对服务器进行全盘杀毒扫描。这将花费你将近1-2小时的时间，但是这是必须得做的事情，你必须确认黑客没在服务器上安装后门木马程序，同时分析系统日志，看黑客是通过哪个网站，哪个漏洞入侵到服务器来的。找到并确认攻击源，并将黑客挂马的网址和被篡改的黑页面截图保存下来，还有黑客可能留下的个人IP或者代理IP地址。

3、Windows系统打上最新的补丁，然后就是mysql或者sql数据库补丁，还有php以及IIS，serv-u就更不用说了，经常出漏洞的东西，还有就是有些IDC们使用的虚拟主机管理软件。

4、关闭删除所有可疑的系统帐号，尤其是那些具有高权限的系统账户!重新为所有网站目录配置权限，关闭可执行的目录权限，对和非脚本目录做无权限处理。

5、完成以上步骤后，你需要把管理员账户密码，以及数据库管理密码，特别是sql的sa密码，还有mysql的root密码，要知道，这些账户都是具有特殊权限的，黑客可以通过他们得到系统权限!

6、Web服务器一般都是通过网站漏洞入侵的，你需要对网站程序进行检查(配合上面的日志分析)，对所有网站可以进行上传、写入shell的地方进行严格的检查和处理。如果不能完全确认攻击者通过哪些攻击方式进行攻击，那就重装系统，彻底清除掉攻击源。

一、SQL 注入漏洞

SQL 注入攻击（ SQL Injection ），简称注入攻击、SQL 注入，被广泛用于非法获取网站控制权， 是发生在应用程序的数据库层上的安全漏洞。在设计程序，忽略了对输入字符串中夹带的SQL 指令的检查，被数据库误认为是正常的SQL 指令而运行，从而使数据库受到攻击，可能导致数据被窃取、更改、删除，以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。

通常情况下， SQL 注入的位置包括：

（1）表单提交，主要是POST 请求，也包括GET 请求；

（2）URL 参数提交，主要为GET 请求参数；

（3）Cookie 参数提交；

（4）HTTP 请求头部的一些可修改的值，比如Referer 、User_Agent 等；

（5）一些边缘的输入点，比如mp3 文件的一些文件信息等。

SQL 注入的危害不仅体现在数据库层面上， 还有可能危及承载数据库的操作系统；如果SQL 注入被用来挂马，还可能用来传播恶意软件等，这些危害包括但不局限于：

（1）数据库信息泄漏：数据库中存放的用户的隐私信息的泄露。作为数据的存储中心，数据库里往往保存着各类的隐私信息， SQL 注入攻击能导致这些隐私信息透明于攻击者。

（2）网页篡改：通过操作数据库对特定网页进行篡改。

（3）网站被挂马，传播恶意软件：修改数据库一些字段的值，嵌入网马链接，进行挂马攻击。

（4）数据库被恶意操作：数据库服务器被攻击，数据库的系统管理员帐户被篡改。

（5）服务器被远程控制，被安装后门。经由数据库服务器提供的操作系统支持，让黑客得以修改或控制操作系统。

（6）破坏硬盘数据，瘫痪全系统。

解决SQL 注入问题的关键是对所有可能来自用户输入的数据进行严格的检查、对数据库配置使用最小权限原则。通常使用的方案有：

（1 ）所有的查询语句都使用数据库提供的参数化查询接口，参数化的语句使用参数而不是将用户输入变量嵌入到SQL 语句中。当前几乎所有的数据库系统都提供了参数化SQL 语句执行接口，使用此接口可以非常有效的防止SQL 注入攻击。

（2 ）对进入数据库的特殊字符（ '"\<>&; 等）进行转义处理，或编码转换。

（3 ）确认每种数据的类型，比如数字型的数据就必须是数字，数据库中的存储字段必须对应为int 型。

（4）数据长度应该严格规定，能在一定程度上防止比较长的SQL 注入语句无法正确执行。

（5）网站每个数据层的编码统一，建议全部使用UTF-8 编码，上下层编码不一致有可能导致一些过滤模型被绕过。

（6）严格限制网站用户的数据库的操作权限，给此用户提供仅仅能够满足其工作的权限，从而最大限度的减少注入攻击对数据库的危害。

（7）避免网站显示SQL 错误信息，比如类型错误、字段不匹配等，防止攻击者利用这些错误信息进行一些判断。

（8）在网站发布之前建议使用一些专业的SQL 注入检测工具进行检测，及时修补这些SQL 注入漏洞。

二、跨站脚本漏洞

跨站脚本攻击（ Cross-site scripting ，通常简称为XSS）发生在客户端，可被用于进行窃取隐私、钓鱼欺骗、窃取密码、传播恶意代码等攻击。XSS 攻击使用到的技术主要为HTML 和Javascript ，也包括VBScript和ActionScript 等。XSS 攻击对WEB 服务器虽无直接危害，但是它借助网站进行传播，使网站的使用用户受到攻击，导致网站用户帐号被窃取，从而对网站也产生了较严重的危害。

XSS 类型包括：

（1）非持久型跨站： 即反射型跨站脚本漏洞， 是目前最普遍的跨站类型。跨站代码一般存在于链接中，请求这样的链接时，跨站代码经过服务端反射回来，这类跨站的代码不存储到服务端（比如数据库中）。上面章节所举的例子就是这类情况。

（2）持久型跨站：这是危害最直接的跨站类型，跨站代码存储于服务端（比如数据库中）。常见情况是某用户在论坛发贴，如果论坛没有过滤用户输入的Javascript 代码数据，就会导致其他浏览此贴的用户的浏览器会执行发贴人所嵌入的Javascript 代码。

（3）DOM 跨站（DOM XSS ）：是一种发生在客户端DOM （Document Object Model 文档对象模型）中的跨站漏洞，很大原因是因为客户端脚本处理逻辑导致的安全问题。

XSS 的危害包括：

（1）钓鱼欺骗：最典型的就是利用目标网站的反射型跨站脚本漏洞将目标网站重定向到钓鱼网站，或者注入钓鱼JavaScript 以监控目标网站的表单输入，甚至发起基于DHTML 更高级的钓鱼攻击方式。

（2 ）网站挂马：跨站时利用IFrame 嵌入隐藏的恶意网站或者将被攻击者定向到恶意网站上，或者弹出恶意网站窗口等方式都可以进行挂马攻击。

（3）身份盗用： Cookie 是用户对于特定网站的身份验证标志， XSS 可以**到用户的Cookie ，从而利用该Cookie **用户对该网站的操作权限。如果一个网站管理员用户Cookie 被窃取，将会对网站引发巨大的危害。

（4）**网站用户信息：当能够窃取到用户Cookie 从而获取到用户身份使，攻击者可以获取到用户对网站的操作权限，从而查看用户隐私信息。

（5）垃圾信息发送：比如在SNS 社区中，利用XSS 漏洞借用被攻击者的身份发送大量的垃圾信息给特定的目标群。

（6）劫持用户Web 行为：一些高级的XSS 攻击甚至可以劫持用户的Web 行为，监视用户的浏览历史，发送与接收的数据等等。

（7）XSS 蠕虫：XSS 蠕虫可以用来打广告、刷流量、挂马、恶作剧、破坏网上数据、实施DDoS 攻击等。

常用的防止XSS 技术包括：

（1）与SQL 注入防护的建议一样，假定所有输入都是可疑的，必须对所有输入中的script 、iframe 等字样进行严格的检查。这里的输入不仅仅是用户可以直接交互的输入接口，也包括HTTP 请求中的Cookie 中的变量， HTTP 请求头部中的变量等。

（2 ）不仅要验证数据的类型，还要验证其格式、长度、范围和内容。

（3）不要仅仅在客户端做数据的验证与过滤，关键的过滤步骤在服务端进行。

（ 4）对输出的数据也要检查， 数据库里的值有可能会在一个大网站的多处都有输出，即使在输入做了编码等操作，在各处的输出点时也要进行安全检查。

（5）在发布应用程序之前测试所有已知的威胁。

三、弱口令漏洞

弱口令(weak password) 没有严格和准确的定义，通常认为容易被别人（他们有可能对你很了解）猜测到或被破解工具破解的口令均为弱口令。设置密码通常遵循以下原则：

（1）不使用空口令或系统缺省的口令，这些口令众所周之，为典型的弱口令。

（2）口令长度不小于8 个字符。

（3）口令不应该为连续的某个字符（例如： AAAAAAAA ）或重复某些字符的组合（例如： tzftzf ）。

（4）口令应该为以下四类字符的组合，大写字母(A-Z) 、小写字母(a-z) 、数字(0-9) 和特殊字符。每类字符至少包含一个。如果某类字符只包含一个，那么该字符不应为首字符或尾字符。

（5）口令中不应包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail 地址等等与本人有关的信息，以及字典中的单词。

（6）口令不应该为用数字或符号代替某些字母的单词。

（7）口令应该易记且可以快速输入，防止他人从你身后很容易看到你的输入。

（8）至少90 天内更换一次口令，防止未被发现的入侵者继续使用该口令。

四、HTTP 报头追踪漏洞

HTTP/11 （RFC2616 ）规范定义了HTTP TRACE 方法，主要是用于客户端通过向Web 服务器提交TRACE 请求来进行测试或获得诊断信息。当Web 服务器启用TRACE 时，提交的请求头会在服务器响应的内容（Body ）中完整的返回，其中HTTP 头很可能包括Session Token 、Cookies 或其它认证信息。攻击者可以利用此漏洞来欺骗合法用户并得到他们的私人信息。该漏洞往往与其它方式配合来进行有效攻击，由于HTTP TRACE 请求可以通过客户浏览器脚本发起（如XMLHttpRequest ），并可以通过DOM 接口来访问，因此很容易被攻击者利用。防御HTTP 报头追踪漏洞的方法通常禁用HTTP TRACE 方法。

五、Struts2 远程命令执行漏洞

Apache Struts 是一款建立Java web 应用程序的开放源代码架构。Apache Struts 存在一个输入过滤错误，如果遇到转换错误可被利用注入和执行任意Java 代码。网站存在远程代码执行漏洞的大部分原因是由于网站采用了Apache Struts Xwork 作为网站应用框架，由于该软件存在远程代码执高危漏洞，导致网站面临安全风险。CNVD 处置过诸多此类漏洞，例如：“ GPS 车载卫星定位系统”网站存在远程命令执行漏洞(CNVD-2012-13934) ；Aspcms 留言本远程代码执行漏洞（ CNVD-2012-11590 ）等。

修复此类漏洞，只需到Apache 官网升级Apache Struts 到最新版本

六、框架钓鱼漏洞（框架注入漏洞）

框架注入攻击是针对Internet Explorer 5 、Internet Explorer 6 、与Internet Explorer 7 攻击的一种。这种攻击导致Internet Explorer 不检查结果框架的目的网站，因而允许任意代码像Javascript 或者VBScript 跨框架存取。这种攻击也发生在代码透过多框架注入，肇因于脚本并不确认来自多框架的输入。这种其他形式的框架注入会影响所有的不确认不受信任输入的各厂商浏览器和脚本。如果应用程序不要求不同的框架互相通信，就可以通过完全删除框架名称、使用匿名框架防止框架注入。但是，因为应用程序通常都要求框架之间相互通信，因此这种方法并不可行。因此，通常使用命名框架，但在每个会话中使用不同的框架，并且使用无法预测的名称。一种可行的方法是在每个基本的框架名称后附加用户的会话令牌，如main_display 。

七、文件上传漏洞

文件上传漏洞通常由于网页代码中的文件上传路径变量过滤不严造成的，如果文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型，攻击者可通过Web 访问的目录上传任意文件，包括网站后门文件（ webshell ），进而远程控制网站服务器。因此，在开发网站及应用程序过程中，需严格限制和校验上传的文件，禁止上传恶意代码的文件。同时限制相关目录的执行权限，防范webshell 攻击。

八、应用程序测试脚本泄露

由于测试脚本对提交的参数数据缺少充分过滤，远程攻击者可以利用洞以WEB 进程权限在系统上查看任意文件内容。防御此类漏洞通常需严格过滤提交的数据，有效检测攻击。

九、私有IP 地址泄露漏洞

IP 地址是网络用户的重要标示，是攻击者进行攻击前需要了解的。获取的方法较多，攻击者也会因不同的网络情况采取不同的方法，如：在局域网内使用Ping 指令， Ping 对方在网络中的名称而获得IP；在Internet 上使用IP 版的QQ直接显示。最有效的办法是截获并分析对方的网络数据包。攻击者可以找到并直接通过软件解析截获后的数据包的IP 包头信息，再根据这些信息了解具体的IP。针对最有效的“数据包分析方法”而言，就可以安装能够自动去掉发送数据包包头IP 信息的一些软件。不过使用这些软件有些缺点， 譬如：耗费资源严重，降低计算机性能；访问一些论坛或者网站时会受影响；不适合网吧用户使用等等。现在的个人用户采用最普及隐藏IP 的方法应该是使用代理，由于使用代理服务器后，“转址服务”会对发送出去的数据包有所修改，致使“数据包分析”的方法失效。一些容易泄漏用户IP 的网络软件(QQ 、MSN 、IE 等)都支持使用代理方式连接Internet ，特别是QQ 使用“ ezProxy ”等代理软件连接后， IP 版的QQ 都无法显示该IP 地址。虽然代理可以有效地隐藏用户IP，但攻击者亦可以绕过代理， 查找到对方的真实IP 地址，用户在何种情况下使用何种方法隐藏IP，也要因情况而论。

十、未加密登录请求

由于Web 配置不安全， 登陆请求把诸如用户名和密码等敏感字段未加密进行传输， 攻击者可以窃听网络以劫获这些敏感信息。建议进行例如SSH 等的加密后再传输。

十一、敏感信息泄露漏洞

SQL 注入、XSS、目录遍历、弱口令等均可导致敏感信息泄露，攻击者可以通过漏洞获得敏感信息。针对不同成因，防御方式不同。

Web服务器将成为下一代黑客施展妖术的对象。在很大程度上，进行这种攻击只需一个Web浏览器和一个创造性的头脑。以前，黑客的攻击对象集中在操作系统和网络协议上，但随着这些攻击目标的弱点和漏洞逐渐得到修补，要进行这类攻击已经变得非常困难。操作系统正在变得更加稳健，对攻击的抵抗能力日益提高。随着身份验证和加密功能渐渐被内置到网络协议中，网络协议也变得更加安全。此外，防火墙也越来越智能，成为网络和系统的外部保护屏障。

　　　　另一方面，电子商务技术正在日益普及开来，其复杂性有增无减。基于Web的应用程序正在与基本的操作系统和后端数据库更加紧密地集成在一起。遗憾的是，人们在基于Web的基础设施安全性方面所做的工作还很不够。Web服务器和Web应用程序中的弱点被发现的速度为何这么快呢

　　　　有很多因素促成了这种Web黑客活动的快速增加。其中最主要的原因是防火墙允许所有的Web通信都可以进出网络，而防火墙无法防止对Web服务器程序及其组件或Web应用程序的攻击。第二个原因是，Web服务器和基于Web的应用程序有时是在“功能第一，安全其次”的思想指导下开发出来的。

　　　　当您的Web服务器面临巨大威胁时，怎样保障它们的安全呢这就需要您不断了解新信息，新情况，每天跟踪您所用服务器的有关网站，阅读相关新闻并向它进行咨询。为了让你着手这方面的工作，下面介绍黑客对NT系统的四种常用攻击手段，同时介绍如何防止这类攻击。

　　Microsoft IIS ismdll缓冲区溢出受影响的服务器：运行IIS 40并带有“Service Pack 3/4/5”的Windows NT服务器　　MicrosoftIIS缓冲区溢出这一安全弱点是Web服务器无时不有的重大缺陷之一。该弱点被称为IIS eEye，这个名称来自发现此问题的一个小组。在实施缓冲区溢出攻击时，黑客向目标程序或服务输入超出程序处理能力的数据，导致程序突然终止。另外，还可以通过设置，在执行中的程序终止运行前，用输入的内容来覆盖此程序的某些部分，这样就可以在服务器的安全权限环境下执行任意黑客命令。

　　　　eEye发现，IIS用来解释HTR文件的解释程序是ismdll，它对缓冲区溢出攻击的抵抗力十分脆弱。如果攻击者将一个以htr结尾的超长文件名(大约3,000个字符，或更多)传递给IIS，那么输入值将在ismdll中造成输入缓冲区溢出，并导致IIS崩溃。如果攻击者输入的不是一串字母而是可执行代码(通常称为“鸡蛋”或“外壳代码”)，那么在IIS终止之前将执行该代码。由eEye小组发现的这一攻击方法

　　包括三个步骤：

　　1创建一个用于侦听任意TCP端口上连接活动的程序。一旦接收到连接信号，该程序将执行一个Windows命令外壳程序(cmdexe)，并将该外壳与连接绑定在一起。这个程序是经过修改的Netcat。Netcat是一个流行的网络连接实用程序，其源代码可以免费获得。

　　2在IIS的ismdll中制造缓冲区溢出，并使IIS从外部Web站点下载侦听程序(由步骤1产生)。

　　3执行刚下载的程序(由步骤2产生)，该程序将等待传入的连接并使攻击者进入Windows命令外壳程序中。

　　　　由于缓冲区溢出导致IIS在崩溃之前转而运行Windows命令外壳，所以该外壳程序将在IIS的安全权限背景下运行，而该安全权限背景等价于NT Administrator权限。这样，攻击者要做的只是与被攻击的IIS服务器的侦听端口建立连接，然后等着出现c:>提示就万事大吉了。现在，攻击者拥有对整个NT服务器的管理权限，可以做任何事，比如，添加新用户、修改服务器的内容、格式化驱动器，甚至将该服务器用作攻击其它系统的踏脚石。

　　　　运行IIS 40并带有“Service Pack 3/4/5”的Windows NT服务器容易受到此类攻击。Microsoft已经发布了对该弱点的修补程序。Windows NT Service Pack 6也已经修补了该问题。