11、应用层攻击与防御及PSAD端口扫描攻击检测器介绍

应用层攻击与防御及PSAD端口扫描攻击检测器介绍

在当今的网络环境中，应用层攻击层出不穷，给网络安全带来了巨大的挑战。下面我们将详细介绍几种常见的应用层攻击方式以及如何进行防御，同时还会引入PSAD这个强大的端口扫描攻击检测器。

常见应用层攻击及防御

SQL注入攻击

SQL注入攻击是利用应用程序中用户输入未经过正确验证或过滤就被包含在数据库查询中的漏洞。攻击者可以利用SQL语言的嵌套能力构建新的查询，从而潜在地修改或提取数据库中的信息。常见的攻击目标是通过Web服务器执行并与后端数据库交互的CGI应用程序。

例如，一个CGI应用程序使用Web客户端通过CGI脚本提供的用户名和密码对数据库中的数据进行验证。如果用户名和密码没有经过适当的过滤，用于验证的查询就可能容易受到注入攻击。攻击者可以通过这种方式为任意用户设置密码，甚至是管理员级别的密码。

虽然检测通用的SQL注入攻击很困难，但一些Snort规则可以在一定程度上检测特定的攻击。例如，下面的Bleeding Snort签名可以检测攻击者试图通过提供单引号和两个连字符来截断SQL查询的情况：

alert tcp $EXTERNAL_NET any -> $SQL_SERVERS 1433 (msg: "BLEEDING-EDGE 
EXPLOIT MS-SQL SQL Injection closing string plus line comment"; flow: 
to_server,established; content: "'|00|"; content: "-|00|-|00|";