数字经济的安全基石

首页 > 关于我们 > 安恒动态 > 2020 > 正文

安恒WAF提醒:应用层DDoS攻击,请严肃对待

阅读量:

在Web攻防对抗的战场上,有一类广泛度广、成本低、威胁程度高的攻击类别——分布式拒绝服务攻击,简称DDoS。

 

| 什么是DDoS

分布式拒绝服务攻击DDoS是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布的、协同的大规模攻击方式。单一的DoS攻击一般是采用一对一方式的,它利用网络协议和操作系统的一些缺陷,采用欺骗和伪装的策略来进行网络攻击,使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。

那么对应到OSI7层模型,都有哪些DoS的攻击手段呢,让我们来看一看:

在这些DoS攻击手段中,其中部分属于应用层的DoS攻击,我们来例举几种。

1.Web和DNS DoS攻击

在TCP端口80上运行的Web服务器是DoS攻击的共同目标。攻击者通常会发送多个HTTP请求(根本没有格式错误),以便从后端数据库服务器检索大量数据。

这种请求泛滥使数据库服务器繁忙,使Web服务器等待数据。这会在服务器上产生堆积,而这些服务器对进一步的请求没有反应。这也可能是无意中发生的,尤其是当突发新闻发布时,每个人都试图同时访问它。在DNS服务器的情况下,攻击方式与Web服务器类似,但后果严重。如果DNS服务器变得无法响应,可能会导致公司的业务中断。

2.慢速攻击

除了常规的CC攻击外,还有一类非常规的变异攻击方式,俗称慢速攻击,让我们来了解一下:

Slow body ·

攻击者发送一个HTTP POST 请求,该请求的Content-Length 头部值很大,使得Web 服务器或代理认为客户端要发送很大的数据。服务器会保持连接准备接收数据,但攻击客户端每次只发送很少量的数据,使该连接一直保持存活,消耗服务器的连接和内存资源。

Slow headers ·

Web 应用在处理HTTP 请求之前都要先接收完所有的HTTP头部,因为HTTP 头部中包含了一些Web应用可能用到的重要信息。攻击者利用这点,发起一个HTTP 请求,一直不停的发送HTTP 头部,消耗服务器的连接和内存资源。

Slow read ·

客户端与服务器建立连接并发送了一个HTTP 请求,客户端发送完整的请求给服务器端,然后一直保持这个连接,以很低的速度读取Response。耗尽处理器资源。

针对以上列举的几种类型应用层DDoS攻击,黑客主要采用以下三种常见的攻击途径。

| 传统应用层DDoS(CC攻击)防护手段

针对应用层DDoS攻击的特征防护,主要以Web应用防火墙(简称WAF)为主。WAF传统的防护手段主要包括IP限制、请求速率限制、BOT识别等。

1、IP限制

我们通过命令或在查看日志发现了CC攻击的源IP,就可以在WAF中设置屏蔽该IP对Web站点的访问,从而达到防范攻击的目的。

2、请求速率限制

通过请求速率触发来限制高频应用访问。

3、BOT识别

通过json脚本弹框,进行人工二次认证来进行人机识别,阻断机器人攻击。

但是通过分析WAF的应用层传统防护手段我们发现,传统的应用层DDoS(CC攻击)防护方式,要么误报率很高,容易造成误拦截,要么严重影响用户的使用体验,那是否有更好的手段可以平衡误报和使用体验呢?

 

| 新一代WAF 应用层DDoS(CC攻击)防护升级

2024新奥门资料新一代智能WAF斩获Frost&Sullivan 2019年大中华区(包括但不限于中国大陆+港澳台)Web应用防火墙整体市场份额排名第一的殊荣!(点击详情)其采用独家专利的算法检测,通过指定URL访问速率和指定URL访问集中度检测多种条件匹配:可基于URL、请求头字段、目标IP、请求方法等多种组合条件进行检测,检测对象支持IP或IP+URL算法,IP可支持X-Forwarded-For字段解析,识别真实的客户端IP。兼具易用性与检出率!具体如下:

■ 行为分析引擎 

行为分析引擎主要利用CC攻击IP与正常访问IP对网站各个页面的访问集中程度不同的特点。正常访问IP在浏览页面时,会分散的请求多个页面,不会集中访问一个页面,特别是不会长期一直集中在一个页面上;而应用层DDoS(CC攻击)在发动攻击时,会提前设定要攻击的页面(往往是资源消耗大的动态页面),之后攻击者操控的代理或僵尸网络会持续的向设定的页面发送请求,因此攻击IP的请求是集中设定在页面上的,尤其会在CC攻击的很长期间持续这样的集中请求。

因此,在检测CC攻击时,行为分析引擎通过统计和计算请求IP对请求页面的访问集中度、特别是集中度较高的请求的持续次数,能够有效区分正常请求IP和CC攻击IP,并且能够对分布式的低请求速率的CC攻击依然保持很高的灵敏度和准确度。

检测步骤如下:

1. 接受请求IP对网站页面访问的请求

2. 统计请求IP的请求速率

3. 计算本次请求IP的集中度

4. 统计请求IP对请求页面的请求集中计数

5. 根据请求次数阈值判定是否为应用层DDoS攻击

通过以上行为分析引擎的分析防护,可以有效抵御应用层DDOS攻击,同时拥有低误拦、高效能的特点。2024新奥门资料新一代智能WAF为用户的核心业务保驾护航。

关闭

客服在线咨询入口,期待与您交流

线上咨询
联系我们

咨询电话:400-6059-110

产品试用

即刻预约免费试用,我们将在24小时内联系您

微信咨询
2024新奥门资料联系方式