随着时代的发展,互联网也进入了每家每户,随着业务需求的不断提升,各类服务器技术也在不断兴起。接下来我们单独来聊聊web服务器。
Web服务器一般指网站服务器,是指驻留于因特网上某种类型计算机的程序,可以处理浏览器等Web客户端的请求并返回相应响应,也可以放置网站文件,让全世界浏览;可以放置数据文件,让全世界下载。
Web服务器也称为WWW(WORLD WIDE WEB)服务器,主要功能是提供网上信息浏览服务。
一、web服务器的主要功能
接收和解析请求:Web服务器接收来自客户端的HTTP请求,并解析请求头和请求体中的信息,以确定请求的URL、请求方法(如GET、POST)、请求参数等。
处理请求:根据请求的内容和相关配置,Web服务器执行相应的操作。对于静态请求,它可以直接返回请求的静态文件(如HTML、CSS、JavaScript、图像文件等)。对于动态请求,它可以调用适当的应用程序或脚本来生成动态内容,如通过运行服务器端脚本语言(如PHP、Python、Node.js等)来处理数据并生成动态页面。
提供静态文件服务:Web服务器可以存储和提供静态文件,如网页、图像、CSS和JavaScript文件等。当用户请求这些文件时,Web服务器会将它们返回给客户端,以便在浏览器中进行显示和加载。
处理并发送响应:Web服务器生成HTTP响应并发送给客户端。这包括设置响应头(如状态码、内容类型、缓存策略等)和响应体(即返回的数据),以便客户端可以正确解析和处理响应。
处理安全性和身份验证:Web服务器可以负责处理安全性和身份验证。例如,它可以配置和管理SSL/TLS证书,以启用HTTPS加密连接,确保数据在传输过程中的安全性。它还可以支持用户身份验证,如基本身份验证、令牌身份验证或其他身份验证机制,以确保只有经过授权的用户可以访问受限资源。
负载均衡和扩展性:一些高性能的Web服务器具有负载均衡和扩展性功能,可以通过将请求分发到多个服务器实例来提高性能和可扩展性。这可以通过使用负载均衡器或集群来实现。
记录和日志:Web服务器通常会记录请求和响应的相关信息,生成日志文件。这些日志文件对于故障排除、性能分析和安全审计非常有用。
二、五种常见的web服务器
1、Microsoft IIS
Microsoft的Web服务器产品为Internet Information Server C IIS),IIS是允许在公共Intranet或Internet上发布信息的Web服务器。它是目前最流行的Web服务器产品,很多著名的网站都是建立在IIS平台上的。IIS提供了一个图形界面的管理工具,称为Internet服务管理器,可用于监视配置和控制Internet服务。
IIS是一种Web服务组件,其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器,分别用于网页浏览、文件传输、新闻服务和邮件发送等方面,它使得在网络(包括互联网和局域网)上发布信息成了一件很容易的事。它提供ISAPI(Intranet Server API)作为扩展Web服务器功能的编程接口;同时,它还提供一个Internet数据库连接器,可以实现对数据库的查询和更新。
IIS只能运行在Microsoft Windows平台、LinuxNnix平台上,因此须要购买商业的WindowsServer操作系统。
2、Apache服务器
Apache HTTP Server(简称Apache)是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩展,将Perl/Python等解释器编译到服务器中。
Apache HTTP服务器是一个模块化的服务器,源于NCSAhttpd服务器,经过多次修改,成为世界使用排名第一的Web服务器软件。
Apache仍然是世界上用得最多的Web服务器,市场占有率达60%左右。它源于NCSAhttpsd服务器,在NCSA WWW服务器项目停止后,那些使用NCSA WWW服务器的人们开始交换用于此服务器的补丁,这也是Apache名称的由来(pache补丁)。世界上很多著名的网站都是Apache的用户,它的优势主要在于源代码开放、有一支开放的开发队伍、支持跨平台的应用(可以运行在几乎所有的Unix,Windows.Linux系统平台上),以及其可移植性等。Apache的模块支持非常丰富,虽在速度、性能上不及其他轻量级Web服务器,但是属于重量级产品,所消耗的内存也比其他Web服务器要高。
3、IBM WebSphere服务器
WebSphere Application Server是一种功能完善、开放的Web应用程序服务器,它基于Java的应用环境,建立、部署和管理Internet和Intranet Web应用程序。这一整套产品目前己进行了扩展,以适应Web应用程序服务器的需要,范围从简单到高级,直到企业级。据IBM官方网站介绍,有10000多个企业正在使用IBM WebSphere,相对于其他流行的Web服务器而言,应用的数量很少。
4、Tomcat服务器
Tomcat是一个开放源代码、运行servlet和JSP Web应用软件的基于Java的Web应用软件容器。Tomcat Server是根据servlet和JSP规范执行的,因此也可以说Tomcat Server实行了Apache-Jakarta规范,且比绝大多数商业应用软件服务器要好。但是,Tomcat对静态文件、高并发的处理比较弱。
5、Lighttpsd服务器
Lighttpsd是一个德国人领导的开源Web服务器软件,其目标是提供一个专门针对高性能网站,安全、快速、兼容性好并且灵活的Web Server环境。它具有内存开销低、CPU占用率低、效能好,以及模块丰富等特点。支持FastCGI、CGI.Auth、输出压缩(output compress)、URL重写及Alias等重要功能。Lighttpsd跟Nginx一样,也是一款轻量级Web服务器,是Nginx的竞争对手之一。
三、常见的web应用攻击
SQL注入:攻击者通过在输入字段中插入或“注入”恶意的SQL代码,从而绕过身份验证,读取、修改或删除数据库中的数据。
跨站脚本攻击(XSS):攻击者在Web页面中注入恶意脚本,当用户访问该页面时,脚本会在用户的浏览器上执行,盗取用户的Cookie、会话令牌或其他敏感信息。
文件上传漏洞:攻击者通过上传恶意文件,如可执行的脚本文件或包含恶意代码的图片、视频等文件,来攻击服务器或感染其他用户。
分布式拒绝服务攻击(DDoS):攻击者通过大量合法的或伪造的请求,使服务器过载,无法处理正常请求,导致网站瘫痪。
网站CC攻击:攻击者通过发送大量的虚假请求,使服务器陷入“超卖”状态,无法处理正常请求,导致网站性能下降或崩溃。
暴力破解:攻击者通过尝试所有可能的密码组合,来破解用户的账号和密码。
DNS查询攻击:攻击者通过发送大量的DNS查询请求,使DNS服务器过载,导致网站无法访问。
CSRF跨站点请求伪造:攻击者通过伪造合法用户的身份,以该用户的名义发送恶意请求,进行非法操作,如转账交易、发表评论等。
RCE远程命令/代码执行攻击:攻击者在Web应用中执行恶意的远程命令或代码,从而控制服务器或窃取敏感信息。
信息泄露:由于Web应用的安全措施不足,导致用户的敏感信息泄露,如姓名、地址、电话号码等。
四、SCDN的高效WEB防护效果
SCDN(Secure Content Delivery Network),即安全内容分发网络,是一种拥有安全防御能力的CDN服务。它通过智能预判攻击行为,借助自身的智能化调度系统,将DDoS攻击请求切换至高防IP完成清洗,而真正用户的请求则正常从加速节点获取资源。
防御DDoS攻击:SCDN通过将DDoS攻击请求切换至高防IP进行清洗,能够有效地防御DDoS攻击,保护Web应用免受流量攻击的影响。
防御CC攻击:SCDN的分布式架构中的加速节点具备CC防御能力,能够防御CC攻击,保护Web应用免受恶意请求的影响。
防御web应用攻击:搭配WEB应用防火墙,提供智能语义解析功能,在漏洞防御的基础上,增强SQL注入和XXS攻击检测能力。有效防御SQL注入、XSS攻击、命令/代码执行、文件包含、木马上传、路径穿越、恶意扫描等OWASP TOP 10攻击。
加速内容分发:SCDN通过智能缓存和优化传输路径,能够加速内容分发,提高Web应用的响应速度和用户体验。
避免源站故障:SCDN的分发模式能够将负载均衡到多个节点,避免因单一源站故障导致的服务中断。
安全性高:SCDN提供了安全防护能力,能够确保Web应用的数据安全和用户隐私不受侵犯。
