网页防篡改实验（6）

实验简介
实验所属系列：网络攻防工具

实验对象：本科/专科信息安全专业

相关课程及专业：信息网络安全概论、计算机网络

实验时数（学分）：2学时

实验类别：实践实验类

实验目的

1、了解网页防篡改基本原理；

2、掌握和使用防篡改规则保护网站；

预备知识
计算机网络拓扑结构，IIS的搭建，网页编程的基础知识

网站在信息发展中起到了重要的作用，已经渗透到了当今社会的各个角落。网页的地位也得到了空前的提高，对企业和政府机构来说网页无异于自己的门面。虽然目前已有防火墙、入侵检测等安全防范手段，但各类Web应用系统的复杂性和多样性导致系统漏洞层出不穷、防不胜防，黑客入侵和篡改页面的事件时有发生。针对这些情况，网页防篡改系统应运而生。经过多年的发展，网页防篡改系统采用的技术也在不断的发展和更新，到目前为止，网页防篡改技术已经发展到了第三代。

网页被篡改的原因和特点

黑客强烈的表现欲望，国内外非法组织的不法企图，商业竞争对手的恶意攻击，不满情绪离职员工的发泄等等都将导致网页被篡改。网页篡改攻击事件具有以下特点：篡改网站页面传播速度快、阅读人群多；复制容易，事后消除影响难；预先检查和实时防范较难；网络环境复杂难以追查责任，攻击工具简单且向智能化趋势发展。

网页防篡改技术的发展历程

1.（起始点）人工对比检测

人工对比检测，其实就是一种专门指派网络管理人员，人工监控需要保护的网站，一旦发现被篡改，然后以人力对其修改和还原。

严格的说来，人工对比检测不能算是一种网页防篡改系统采用的技术，而只能算是一种原始的应对网页被篡改的手段。但是其在网页防篡改的技术发展历程中存在一段相当的时间，所以在这里我们把它作为网页防篡改技术发展的起始点。

这种手段非常原始且效果不佳，且不说人力成本较高，其最致命的缺陷在于人力监控不能达到即时性，也就是不能在第一时间发现网页被篡改也不能在第一时间做出还原，当管理人员发现网页被篡改再做还原时，被篡改的网页已在互联网存在了一段时间，可能已经被一定数量的网民浏览。

2.（第一代）时间轮巡技术

时间轮巡技术(也可称为“外挂轮巡技术”)。在这里将其称为网页防篡改技术的第一代。从这一代开始，网页防篡技术已经摆脱了以人力检测恢复为主体的原始手段而作为一种自动化的技术形式出现。

时间轮询技术是利用一个网页检测程序，以轮询方式读出要监控的网页，与真实网页相比较，来判断网页内容的完整性，对于被篡改的网页进行报警和恢复。但是，采用时间轮询式的网页防篡改系统，对每个网页来说，轮询扫描存在着时间间隔，一般为数十分钟，在这数十分钟的间隔中，黑客可以攻击系统并使访问者访问到被篡改的网页。此类应用在过去网页访问量较少，具体网页应用较少的情况下适用，目前网站页面通常少则上百页，检测轮巡时间更长，且占用系统资源较大，该技术逐渐被淘汰。

3.（第二代）事件触发技术&核心内嵌技术

在这里将事件触发技术与核心内嵌技术两种技术放在同一代来说，因为这两种网页防篡改技术出现的时间距离相近，而且两种技术常常被结合使用。所谓核心内嵌技术即密码水印技术，最初先将网页内容采取非对称加密存放，在外来访问请求时将经过加密验证过的，进行解密对外发布，若未经过验证，则拒绝对外发布，调用备份网站文件进行验证解密后对外发布。此种技术通常要结合事件触发机制对文件的部分属性进行对比，如大小，页面生成时间等做判断，无法更准确的进行其它属性的判断。其最大的特点就是安全性相对外挂轮巡技术安全性大大提高，但不足是加密计算会占用大量服务器资源，系统反映较慢。

核心内嵌技术就避免了时间轮巡技术的轮巡间隔这个缺点，但是由于这种技术是对每个流出网页都进行完整检查，占用巨大的系统资源，给服务器造成较大负载。且对网页正常发布流程作了更改，整个网站需要重新架构，增加新的发布服务器替代原先的服务器。随着技术发展以及网上各类应用的增多，对服务器的负载资源简直可以用“苛刻”来形容，任何占用服务器资源的部分都要淘汰，来确保网站的高访问效率，如此一来，内嵌技术(即密码技术)最终将被淘汰。

4.（第三代）文件过滤驱动技术＋事件触发技术

文件过滤驱动技术的最初应用于军方和保密系统，作为文件保护技术和各类审计技术，甚至被一些狡猾好事者应用于“流氓软件”，该技术可以说是让人喜忧参半。在网页防篡改技术革新当中，该技术找到了其发展的空间。与事件触发技术结合，形成了今天的第三代网页防篡改保护技术。其原理是：将篡改监测的核心程序通过微软文件底层驱动技术应用到Web服务器中，通过事件触发方式进行自动监测，对文件夹的所有文件内容，对照其底层文件属性，经过内置散列快速算法，实时进行监测，若发现属性变更，通过非协议方式、纯文件安全拷贝方式将备份路径文件夹内容拷贝到监测文件夹相应文件位置，通过底层文件驱动技术，整个文件复制过程为毫秒级，使得公众无法看到被篡改页面，其运行性能和检测实时性都达到最高的水准。

页面防篡改模块采用Web服务器底层文件过滤驱动级保护技术，与操作系统紧密结合，所监测的文件类型不限，可以是一个html文件也可以是一段动态代码，执行准确率高。这样做不仅完全杜绝了轮询扫描式页面防篡改软件的扫描间隔中被篡改内容被用户访问的可能，其所消耗的内存和CPU占用率也远远低于文件轮询扫描式或核心内嵌式的同类软件。可以说是一种简单、高效、安全性又极高的一种防篡改技术。

实验环境

主机：Windows server 2003

辅助工具：SkyDeep

SkyDeep软件请在实验机内下载使用：http://tools.hetianlab.com/tools/SkyDeep/SkyDeep.zip

实验步骤一

了解深空网页防篡改系统

深空网页防篡改系统采用事前拦截＋事后恢复的双重防御体系。

事前拦截：事先自动禁止对web服务器保护目录下文件或文件夹的各种篡改，包括篡改文件时间，各种属性，文件名，文件内容等，使黑客根本没有机会篡改网页。

这道防线采用操作系统内核对象访问控制技术（增强型文件过滤驱动），该技术所属层次如下图所示，离硬件仅一步之遥，仅次于硬件抽象层HAL。

事后恢复：即使黑客通过未知的方式篡改了网页，也能在毫秒级发现，并传唤备份立即自动给予恢复，同时记录相关日志，发送邮件报警、手机短信报警、syslog日志等通知管理员。这道防线采用了比数字水印技术更加安全的数字签名技术＋文件监控技术。

实验步骤二

完成网页防篡改操作

第一步：在windows2003上面通过IIS部署网站。

1、打开 IIS 服务器的配置窗口。选择开始→控制面板→管理工具→Internet信息服务（IIS）管理器。

2、在打开的窗口中鼠标右击“默认站点”，选择“属性”菜单。

3、在出现的“默认网站属性”窗口中，选择“网站”标签，设置Web服务器的IP地址。

4、“主目录”标签，用以设置 Web 内容在硬盘中的位置，默认目录为“C:\Inetpub\Wwwroot” ，你可根据需要自己设置。

5、在属性窗口处选择“文档”标签，添加自己默认的网站首页文件，例如“a.html”。（此文件需要自己在目录中创建）

6、确认默认的 Web 站点是否已经启动，如果没有可以鼠标右键点击 “默认 Web 站点” ，选择“启动” ，在打开的 IE地址栏中键入本机的IP 地址，即可看到自己指定的主页已经开始在 Internet 上发布了。

第二步：深空防篡改安装

1. 在服务器上运行SkyDeep产品安装程序，随后按提示操作，直至安装完成；

2. 在服务器上双击运行管理程序，连接服务器；

IP：127.0.0.1 默认用户名：admin 默认密码：admin-12345

3. 然后点击“增加”，创建一个新的防篡改方案；在弹出的对话框中，输入新防篡改方案的名称，选择该方案绑定的网站，然后单击“下一步”；

4. 在弹出的对话框中，点击网站目录和备份目录的“增加”；

5. 在弹出的对话框中，配置网站目录和备份目录，再点击“开始同步”，最后点击目录安全性中的“开始”，执行完毕后点击“完成”关闭对话框；

6. 回到“设置保护项”对话框中，如果网站目录中有例外子文件或子文件，则单击“设置例外的子文件/子文件”中的“启用”，然后单击“增加”，随后按相关提示操作即可；

7. 配置完毕，点击“确定”保存配置，提示是否开启监控，单击“是”，如此网站目录正式被监控保护；

防篡改模块是作为 IIS 的 ISAPI 筛选器来运行。

在 IIS 中查看它的步骤如下：

1．运行“开始→程序→管理工具→Internet 服务管理器”（或“开始→设置→控制面板→管理工具→Internet 服务管理器”），选中本地计算机（图中为“COMPUTER”）中要保护的Web服务器（图中为“默认网站”）。

2．选择菜单“操作→属性”或点击右键快捷菜单中“属性”，弹出该站点属性对话框。

选择其中的“ISAPI筛选器”选项卡。发现多了一个筛选器。注意ISAPI筛选器的状态是否为“已装载”（注意图中状态栏的绿色向上的箭头）。