11、应用层攻击与防御及PSAD端口扫描攻击检测器介绍

应用层攻击与防御及PSAD端口扫描攻击检测器介绍

在网络安全领域，应用层攻击层出不穷，同时也有对应的防御手段。下面将详细介绍几种常见的应用层攻击、防御方法，以及PSAD端口扫描攻击检测器。

1. 应用层攻击类型

1.1 SQL注入攻击

SQL注入攻击是利用应用程序中用户输入未经过正确验证或过滤就被包含在数据库查询中的漏洞。攻击者可以利用SQL语言的嵌套能力构建新的查询，从而修改或提取数据库中的信息。常见的攻击目标是通过Web服务器执行并与后端数据库交互的CGI应用程序。

例如，一个CGI应用程序使用Web客户端通过CGI脚本提供的用户名和密码对数据库中的数据进行验证。如果用户名和密码没有经过适当过滤，用于验证的查询就可能容易受到注入攻击。攻击者可以通过这种方式为任意用户设置密码，甚至是管理员级别的密码。

虽然检测通用的SQL注入比较困难，但一些Snort规则可以对特定攻击进行检测。例如，下面的Bleeding Snort签名可以检测攻击者试图通过在特定位置提供单引号和两个连字符来截断SQL查询的情况：

alert tcp $EXTERNAL_NET any -> $SQL_SERVERS 1433 (msg: "BLEEDING-EDGE 
EXPLOIT MS-SQL SQL Injection closing string plus line comment"; flow: 
to_server,established; content: "'|00|"; content: "-|00|-|00|"; 
reference:url,www.