在web攻防对抗的战场上,有一类广泛度广、成本低、威胁程度高的攻击类别——分布式拒绝服务攻击,简称ddos。
| 什么是ddos
分布式拒绝服务攻击ddos是一种基于dos的特殊形式的拒绝服务攻击,是一种分布的、协同的大规模攻击方式。单一的dos攻击一般是采用一对一方式的,它利用网络协议和操作系统的一些缺陷,采用欺骗和伪装的策略来进行网络攻击,使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。
那么对应到osi7层模型,都有哪些dos的攻击手段呢,让我们来看一看:
在这些dos攻击手段中,其中部分属于应用层的dos攻击,我们来例举几种。
1.web和dns dos攻击
在tcp端口80上运行的web服务器是dos攻击的共同目标。攻击者通常会发送多个http请求(根本没有格式错误),以便从后端数据库服务器检索大量数据。
这种请求泛滥使数据库服务器繁忙,使web服务器等待数据。这会在服务器上产生堆积,而这些服务器对进一步的请求没有反应。这也可能是无意中发生的,尤其是当突发新闻发布时,每个人都试图同时访问它。在dns服务器的情况下,攻击方式与web服务器类似,但后果严重。如果dns服务器变得无法响应,可能会导致公司的业务中断。
2.慢速攻击
除了常规的cc攻击外,还有一类非常规的变异攻击方式,俗称慢速攻击,让我们来了解一下:
slow body ·
攻击者发送一个http post 请求,该请求的content-length 头部值很大,使得web 服务器或代理认为客户端要发送很大的数据。服务器会保持连接准备接收数据,但攻击客户端每次只发送很少量的数据,使该连接一直保持存活,消耗服务器的连接和内存资源。
slow headers ·
web 应用在处理http 请求之前都要先接收完所有的http头部,因为http 头部中包含了一些web应用可能用到的重要信息。攻击者利用这点,发起一个http 请求,一直不停的发送http 头部,消耗服务器的连接和内存资源。
slow read ·
客户端与服务器建立连接并发送了一个http 请求,客户端发送完整的请求给服务器端,然后一直保持这个连接,以很低的速度读取response。耗尽处理器资源。
针对以上列举的几种类型应用层ddos攻击,黑客主要采用以下三种常见的攻击途径。
| 传统应用层ddos(cc攻击)防护手段
针对应用层ddos攻击的特征防护,主要以web应用防火墙(简称waf)为主。waf传统的防护手段主要包括ip限制、请求速率限制、bot识别等。
1、ip限制
我们通过命令或在查看日志发现了cc攻击的源ip,就可以在waf中设置屏蔽该ip对web站点的访问,从而达到防范攻击的目的。
2、请求速率限制
通过请求速率触发来限制高频应用访问。
3、bot识别
通过json脚本弹框,进行人工二次认证来进行人机识别,阻断机器人攻击。
但是通过分析waf的应用层传统防护手段我们发现,传统的应用层ddos(cc攻击)防护方式,要么误报率很高,容易造成误拦截,要么严重影响用户的使用体验,那是否有更好的手段可以平衡误报和使用体验呢?
| 新一代waf 应用层ddos(cc攻击)防护升级
安恒信息新一代智能waf斩获frost&sullivan 2019年大中华区(包括但不限于中国大陆 港澳台)web应用防火墙整体市场份额排名第一的殊荣!其采用独家专利的算法检测,通过指定url访问速率和指定url访问集中度检测多种条件匹配:可基于url、请求头字段、目标ip、请求方法等多种组合条件进行检测,检测对象支持ip或ip url算法,ip可支持x-forwarded-for字段解析,识别真实的客户端ip。兼具易用性与检出率!具体如下:
■ 行为分析引擎
行为分析引擎主要利用cc攻击ip与正常访问ip对网站各个页面的访问集中程度不同的特点。正常访问ip在浏览页面时,会分散的请求多个页面,不会集中访问一个页面,特别是不会长期一直集中在一个页面上;而应用层ddos(cc攻击)在发动攻击时,会提前设定要攻击的页面(往往是资源消耗大的动态页面),之后攻击者操控的代理或僵尸网络会持续的向设定的页面发送请求,因此攻击ip的请求是集中设定在页面上的,尤其会在cc攻击的很长期间持续这样的集中请求。
因此,在检测cc攻击时,行为分析引擎通过统计和计算请求ip对请求页面的访问集中度、特别是集中度较高的请求的持续次数,能够有效区分正常请求ip和cc攻击ip,并且能够对分布式的低请求速率的cc攻击依然保持很高的灵敏度和准确度。
检测步骤如下:
1. 接受请求ip对网站页面访问的请求
2. 统计请求ip的请求速率
3. 计算本次请求ip的集中度
4. 统计请求ip对请求页面的请求集中计数
5. 根据请求次数阈值判定是否为应用层ddos攻击
通过以上行为分析引擎的分析防护,可以有效抵御应用层ddos攻击,同时拥有低误拦、高效能的特点。安恒信息新一代智能waf为用户的核心业务保驾护航。
