这今天互联网的大环境下，web服务已经成为公司企业必不可少的业务，大多数的安全问题也跟随而来，攻击重点也转移为web攻击，许多web与颇有价值的客户服务与电子商业活动结合在一起，这也是吸引恶意攻击重要原因。

　　先来了解下web所面临的安全风险

　　HTTP拒绝服务攻击

　　攻击者通过某些手段使服务器拒绝对http应答，这使Apache对系统资源（cup时间与内存）需求巨增，最终造成系统变慢甚至完全瘫痪，Apache服务器最大的缺点是，它的普遍性使它成为众矢之的，Apache服务器无时无刻不受到DoS攻击威胁，主要有下边几种

　　1.数据包洪水攻击

　　一种中断服务器或本地网络的方法是数据包洪水攻击，它通常使用internet控制报文协议（ICMP，属于网络层协议）

　　包或是udp包，在最简单的形式下，这些攻击都是使服务器或网络负载过重，这意味这攻击者的网络速度必须比目标主机网络速度要快，使用udp包的优势是不会有任何包返回到黑客的计算机（udp效率要比tcp高17倍），而使用ICMP包的优势是攻击者能让攻击更加富与变化，发送有缺陷的包会搞乱并锁住受害者的网络，目前流行的趋势是攻击者欺骗服务器，让其相信正在受来自自身的洪水攻击

　　2.磁盘攻击

　　这是一种很不道德的攻击，它不仅影响计算机的通信，还破坏其硬件，伪造的用户请求利用写命令攻击目标计算机硬盘，让其超过极限，并强制关闭，结局很悲惨

　　3.路由不可达

　　通常DoS攻击，集中在路由器上，攻击者首先获得控制权并操纵目标机器，当攻击者能更改路由表条目时候，会导致整个网络无法通信，这种攻击很阴险，隐蔽，因为网络管理员需要排除的网络不通原因很多，其中一些原因需要详细分辨 

　　4.分布式拒绝服务攻击

　　这也是最具有威胁的DDoS攻击，名称很容易理解，简单说就是群欧，很多客户机同时单条服务器，你会发现你将伤痕累累，Apache服务器特别容易受到攻击，无论是DDos还是隐藏来源的攻击，因为Apache无处不在，特别是为Apache特意打造的病毒（特选SSL蠕虫），潜伏在许多主机上，攻击者通过病毒可以操纵大量被感染的机器，对特定目标发动一次浩大的DDoS攻击，通过将蠕虫散播到大量主机，大规模的点对点攻击得以进行，除非你不提供服务，要不然几乎无法阻止这样的攻击，这种攻击通常会定位到大型的网站上。

　　缓冲区溢出，这种攻击很普遍，攻击者利用CGI程序编写一些缺陷程序偏离正常的流程，程序使用静态的内存分配，攻击者就可以发送一个超长的请求使缓冲区溢出，比如，一些perl编写的处理用户请求的网关脚本，一但缓冲区溢出，攻击者就可以执行恶意指令非法获取root权限。

　　如果Apache以root权限运行，系统上一些程序的逻辑缺陷或缓冲区溢出漏洞，会让攻击者很容易在本地系统获取linux服务器上的管理者权限，在一些远程情况下，攻击者会利用一些以root身份执行的有缺陷的系统守护进程来取得root权限，或利用有缺陷的服务进程漏洞来取得普通用户权限，以远程登陆，进而控制整个系统。

　　上边这些都是服务将会遇到的攻击手段，下边来说，如何打造安全的Apache服务器

　　如果你能遵守下边这些建议，那么你将得到一台相对安全的apache服务器

　　一：勤打补丁

　　你必须要相信这个是最有用的手段，缓冲区溢出等漏洞都必须使用这种手段来防御，勤快点相信对你没有坏处

　　在http:www.apache.org上最新的changelog中都写有：bug fix ,security bug fix的字样，做为负责任的管理员要经常关注相关漏洞，及时升级系统添加补丁。使用最新安全版本对加强apache至关重要

　　二：隐藏和伪装Apache的版本

　　通常，软件的漏洞信息和特定版本是相关的，因此，版本号对黑客来说是最有价值的。

　　默认情况下，系统会把Apache版本模块都显示出来（http返回头）。如果列举目录的话，会显示域名信息（文件列表正文），去除Apache版本号的方法是修改配置文件httpd.conf或httpd-default.conf。找到关键字ServerSignature，将其设定为：

　　ServerSignature Off

　　ServerTokens Prod

　　然后重新启动Apache服务器。

　　通过分析Web服务器的类型，大致可以推测出操作系统的类型，比如，Windows使用IIS来提供HTTP服务，而Linux中最常见的是Apache。

　　默认的Apache配置里没有任何信息保护机制，并且允许目录浏览。通过目录浏览，通常可以获得类似”Apache/1.3.27 Server at apache.linuxforum.net Port 80″或”Apache/2.0.49 (Unix) PHP/4.3.8″的信息。

　　通过修改配置文件中的ServerTokens参数，可以将Apache的相关信息隐藏起来。但是，Red Hat Linux运行的Apache是编译好的程序，提示信息被编译在程序里，要隐藏这些信息需要修改Apache的源代码，然后，重新编译安装程序，以替换里面的提示内容。

　　以Apache 2.0.50为例，编辑ap_release.h文件，修改”#define AP_SERVER_BASEPRODUCT \”Apache\””为”#define AP_SERVER_BASEPRODUCT \”Microsoft-IIS/5.0\””。

　　编辑os/unix/os.h文件，修改”#define PLATFORM \”Unix\””为”#define PLATFORM \”Win32\””。

　　修改完毕后，重新编译、安装Apache。

　　Apache安装完成后，修改httpd.conf配置文件，将”ServerTokens Full”改为”ServerTokens Prod”；将”ServerSignature On”改为”ServerSignature Off”，然后存盘退出。重新启动Apache后，用工具进行扫描，发现提示信息中已经显示操作系统为Windows。

　　如ubuntu中文论坛

　　Apache/2.2.8 (Ubuntu) DAV/2 SVN/1.4.6 mod_ssl/2.2.8 OpenSSL/0.9.8g Server at forum.ubuntu.org.cn Port 80

　　这个等于告诉恶意用户很多有用信息，虽然说不算开了门，但等于被告诉了门在那里，还是相当危险的

隐藏php头部版本输出:

默认 php默认会输出header信息：

Date: Tue, 15 Apr 2008 13:58:46 GMT

Server: Apache/2.2.8

X-Powered-By: PHP/5.2.3

这样一下子php信息就全曝光了。怎样解决呢?

修改php.ini 的 expose_php 把默认的 On改成 Off 就行了。