首頁 > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2020 > 正文

安恒WAF提醒：應(yīng)用層DDoS攻擊，請(qǐng)嚴(yán)肅對(duì)待

閱讀量：次

在Web攻防對(duì)抗的戰(zhàn)場(chǎng)上，有一類廣泛度廣、成本低、威脅程度高的攻擊類別——分布式拒絕服務(wù)攻擊，簡(jiǎn)稱DDoS。

| 什么是DDoS

分布式拒絕服務(wù)攻擊DDoS是一種基于DoS的特殊形式的拒絕服務(wù)攻擊，是一種分布的、協(xié)同的大規(guī)模攻擊方式。單一的DoS攻擊一般是采用一對(duì)一方式的，它利用網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)的一些缺陷，采用欺騙和偽裝的策略來進(jìn)行網(wǎng)絡(luò)攻擊，使網(wǎng)站服務(wù)器充斥大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以至于癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)。

那么對(duì)應(yīng)到OSI7層模型，都有哪些DoS的攻擊手段呢，讓我們來看一看：

在這些DoS攻擊手段中，其中部分屬于應(yīng)用層的DoS攻擊，我們來例舉幾種。

1.Web和DNS DoS攻擊

在TCP端口80上運(yùn)行的Web服務(wù)器是DoS攻擊的共同目標(biāo)。攻擊者通常會(huì)發(fā)送多個(gè)HTTP請(qǐng)求（根本沒有格式錯(cuò)誤），以便從后端數(shù)據(jù)庫服務(wù)器檢索大量數(shù)據(jù)。

這種請(qǐng)求泛濫使數(shù)據(jù)庫服務(wù)器繁忙，使Web服務(wù)器等待數(shù)據(jù)。這會(huì)在服務(wù)器上產(chǎn)生堆積，而這些服務(wù)器對(duì)進(jìn)一步的請(qǐng)求沒有反應(yīng)。這也可能是無意中發(fā)生的，尤其是當(dāng)突發(fā)新聞發(fā)布時(shí)，每個(gè)人都試圖同時(shí)訪問它。在DNS服務(wù)器的情況下，攻擊方式與Web服務(wù)器類似，但后果嚴(yán)重。如果DNS服務(wù)器變得無法響應(yīng)，可能會(huì)導(dǎo)致公司的業(yè)務(wù)中斷。

2.慢速攻擊

除了常規(guī)的CC攻擊外，還有一類非常規(guī)的變異攻擊方式，俗稱慢速攻擊，讓我們來了解一下:

Slow body ·

攻擊者發(fā)送一個(gè)HTTP POST 請(qǐng)求，該請(qǐng)求的Content-Length 頭部值很大，使得Web 服務(wù)器或代理認(rèn)為客戶端要發(fā)送很大的數(shù)據(jù)。服務(wù)器會(huì)保持連接準(zhǔn)備接收數(shù)據(jù)，但攻擊客戶端每次只發(fā)送很少量的數(shù)據(jù)，使該連接一直保持存活，消耗服務(wù)器的連接和內(nèi)存資源。

Slow headers ·

Web 應(yīng)用在處理HTTP 請(qǐng)求之前都要先接收完所有的HTTP頭部，因?yàn)镠TTP 頭部中包含了一些Web應(yīng)用可能用到的重要信息。攻擊者利用這點(diǎn)，發(fā)起一個(gè)HTTP 請(qǐng)求，一直不停的發(fā)送HTTP 頭部，消耗服務(wù)器的連接和內(nèi)存資源。

Slow read ·

客戶端與服務(wù)器建立連接并發(fā)送了一個(gè)HTTP 請(qǐng)求，客戶端發(fā)送完整的請(qǐng)求給服務(wù)器端，然后一直保持這個(gè)連接，以很低的速度讀取Response。耗盡處理器資源。

針對(duì)以上列舉的幾種類型應(yīng)用層DDoS攻擊，黑客主要采用以下三種常見的攻擊途徑。

|?傳統(tǒng)應(yīng)用層DDoS（CC攻擊）防護(hù)手段

針對(duì)應(yīng)用層DDoS攻擊的特征防護(hù)，主要以Web應(yīng)用防火墻（簡(jiǎn)稱WAF）為主。WAF傳統(tǒng)的防護(hù)手段主要包括IP限制、請(qǐng)求速率限制、BOT識(shí)別等。

1、IP限制

我們通過命令或在查看日志發(fā)現(xiàn)了CC攻擊的源IP，就可以在WAF中設(shè)置屏蔽該IP對(duì)Web站點(diǎn)的訪問，從而達(dá)到防范攻擊的目的。

2、請(qǐng)求速率限制

通過請(qǐng)求速率觸發(fā)來限制高頻應(yīng)用訪問。

3、BOT識(shí)別

通過json腳本彈框，進(jìn)行人工二次認(rèn)證來進(jìn)行人機(jī)識(shí)別，阻斷機(jī)器人攻擊。

但是通過分析WAF的應(yīng)用層傳統(tǒng)防護(hù)手段我們發(fā)現(xiàn)，傳統(tǒng)的應(yīng)用層DDoS（CC攻擊）防護(hù)方式，要么誤報(bào)率很高，容易造成誤攔截，要么嚴(yán)重影響用戶的使用體驗(yàn)，那是否有更好的手段可以平衡誤報(bào)和使用體驗(yàn)?zāi)兀?/p>

|?新一代WAF 應(yīng)用層DDoS（CC攻擊）防護(hù)升級(jí)

安恒信息新一代智能WAF斬獲Frost&Sullivan 2019年大中華區(qū)（包括但不限于中國(guó)大陸+港澳臺(tái)）Web應(yīng)用防火墻整體市場(chǎng)份額排名第一的殊榮！（點(diǎn)擊詳情）其采用獨(dú)家專利的算法檢測(cè)，通過指定URL訪問速率和指定URL訪問集中度檢測(cè)多種條件匹配：可基于URL、請(qǐng)求頭字段、目標(biāo)IP、請(qǐng)求方法等多種組合條件進(jìn)行檢測(cè)，檢測(cè)對(duì)象支持IP或IP+URL算法，IP可支持X-Forwarded-For字段解析，識(shí)別真實(shí)的客戶端IP。兼具易用性與檢出率！具體如下:

■ 行為分析引擎?

行為分析引擎主要利用CC攻擊IP與正常訪問IP對(duì)網(wǎng)站各個(gè)頁面的訪問集中程度不同的特點(diǎn)。正常訪問IP在瀏覽頁面時(shí)，會(huì)分散的請(qǐng)求多個(gè)頁面，不會(huì)集中訪問一個(gè)頁面，特別是不會(huì)長(zhǎng)期一直集中在一個(gè)頁面上；而應(yīng)用層DDoS（CC攻擊）在發(fā)動(dòng)攻擊時(shí)，會(huì)提前設(shè)定要攻擊的頁面（往往是資源消耗大的動(dòng)態(tài)頁面），之后攻擊者操控的代理或僵尸網(wǎng)絡(luò)會(huì)持續(xù)的向設(shè)定的頁面發(fā)送請(qǐng)求，因此攻擊IP的請(qǐng)求是集中設(shè)定在頁面上的，尤其會(huì)在CC攻擊的很長(zhǎng)期間持續(xù)這樣的集中請(qǐng)求。

因此，在檢測(cè)CC攻擊時(shí)，行為分析引擎通過統(tǒng)計(jì)和計(jì)算請(qǐng)求IP對(duì)請(qǐng)求頁面的訪問集中度、特別是集中度較高的請(qǐng)求的持續(xù)次數(shù)，能夠有效區(qū)分正常請(qǐng)求IP和CC攻擊IP，并且能夠?qū)Ψ植际降牡驼?qǐng)求速率的CC攻擊依然保持很高的靈敏度和準(zhǔn)確度。

檢測(cè)步驟如下：

1.?接受請(qǐng)求IP對(duì)網(wǎng)站頁面訪問的請(qǐng)求

2. 統(tǒng)計(jì)請(qǐng)求IP的請(qǐng)求速率

3. 計(jì)算本次請(qǐng)求IP的集中度

4. 統(tǒng)計(jì)請(qǐng)求IP對(duì)請(qǐng)求頁面的請(qǐng)求集中計(jì)數(shù)

5. 根據(jù)請(qǐng)求次數(shù)閾值判定是否為應(yīng)用層DDoS攻擊

通過以上行為分析引擎的分析防護(hù)，可以有效抵御應(yīng)用層DDOS攻擊，同時(shí)擁有低誤攔、高效能的特點(diǎn)。安恒信息新一代智能WAF為用戶的核心業(yè)務(wù)保駕護(hù)航。

關(guān)閉

云安全>

態(tài)勢(shì)感知>

物聯(lián)網(wǎng)安全>

工業(yè)互聯(lián)網(wǎng)安全>

新型智慧城市>

>

新一代安全服務(wù)>

偵測(cè)服務(wù)>

保護(hù)檢測(cè)服務(wù)>

監(jiān)控分析服務(wù)>

應(yīng)急服務(wù)>

運(yùn)營(yíng)管理服務(wù)>

特色服務(wù)>

安全管理>

數(shù)據(jù)安全>

網(wǎng)絡(luò)安全>

應(yīng)用安全>

端點(diǎn)安全>

>

商用密碼>