Apache服务器安全防范

Apache服务器走到那里，unix/linux就跟到那里，这足以说明在WEB服务器领域Apache的优良性能与市场占有率

这今天互联网的大环境下，web服务已经成为公司企业必不可少的业务，大多数的安全问题也跟随而来，攻击重点也转移为web攻击，许多web与颇有价值的客户服务与电子商业活动结合在一起，这也是吸引恶意攻击重要原因。

先来了解下web所面临的安全风险

HTTP拒绝服务攻击

攻击者通过某些手段使服务器拒绝对http应答，这使Apache对系统资源（cup时间与内存）需求巨增，最终造成系统变慢甚至完全瘫痪，Apache服务器最大的缺点是，它的普遍性使它成为众矢之的，Apache服务器无时无刻不受到DoS攻击威胁，主要有下边几种

1.数据包洪水攻击

一种中断服务器或本地网络的方法是数据包洪水攻击，它通常使用internet控制报文协议（ICMP，属于网络层协议）

包或是udp包，在最简单的形式下，这些攻击都是使服务器或网络负载过重，这意味这攻击者的网络速度必须比目标主机网络速度要快，使用udp包的优势是不会有任何包返回到黑客的计算机（udp效率要比tcp高17倍），而使用ICMP包的优势是攻击者能让攻击更加富与变化，发送有缺陷的包会搞乱并锁住受害者的网络，目前流行的趋势是攻击者欺骗服务器，让其相信正在受来自自身的洪水攻击

2.磁盘攻击

这是一种很不道德的攻击，它不仅影响计算机的通信，还破坏其硬件，伪造的用户请求利用写命令攻击目标计算机硬盘，让其超过极限，并强制关闭，结局很悲惨

3.路由不可达

通常DoS攻击，集中在路由器上，攻击者首先获得控制权并操纵目标机器，当攻击者能更改路由表条目时候，会导致整个网络无法通信，这种攻击很阴险，隐蔽，因为网络管理员需要排除的网络不通原因很多，其中一些原因需要详细分辨

4.分布式拒绝服务攻击

这也是最具有威胁的DDoS攻击，名称很容易理解，简单说就是群欧，很多客户机同时单条服务器，你会发现你将伤痕累累，Apache服务器特别容易受到攻击，无论是DDos还是隐藏来源的攻击，因为Apache无处不在，特别是为Apache特意打造的病毒（特选SSL蠕虫），潜伏在许多主机上，攻击者通过病毒可以操纵大量被感染的机器，对特定目标发动一次浩大的DDoS攻击，通过将蠕虫散播到大量主机，大规模的点对点攻击得以进行，除非你不提供服务，要不然几乎无法阻止这样的攻击，这种攻击通常会定位到大型的网站上。
缓冲区溢出，这种攻击很普遍，攻击者利用CGI程序编写一些缺陷程序偏离正常的流程，程序使用静态的内存分配，攻击者就可以发送一个超长的请求使缓冲区溢出，比如，一些perl编写的处理用户请求的网关脚本，一但缓冲区溢出，攻击者就可以执行恶意指令
非法获取root权限

如果Apache以root权限运行，系统上一些程序的逻辑缺陷或缓冲区溢出漏洞，会让攻击者很容易在本地系统获取linux服务器上的管理者权限，在一些远程情况下，攻击者会利用一些以root身份执行的有缺陷的系统守护进程来取得root权限，或利用有缺陷的服务进程漏洞来取得普通用户权限，以远程登陆，进而控制整个系统。