亚洲精品无码鲁网中文电影,无码专区日韩亚洲精品,丁香花视频资源在线观看,亚洲综合av永久无码精品一区二区

您好,歡迎進(jìn)入銳速云官網(wǎng)!

售后熱線:4006-5050-10 QQ客服:2852917158 登錄 注冊

大規(guī)模應(yīng)用層攻擊可擊敗混雜型DDOS防御
編輯作者:   發(fā)布時(shí)間:2020-01-08

  安全研究人員近期觀察了一次大型應(yīng)用層 DDOS 攻擊。黑客在這次攻擊中使用了新技術(shù),能夠輕松擊破 DDOS 防御。這可能成為 Web 應(yīng)用運(yùn)營商未來需要面對的大問題。


  這次攻擊的目標(biāo)是中國的一家博彩網(wǎng)站,峰值達(dá)到 8.7Gbps ,受害站點(diǎn)使用了來自 Imperva 公司的 DDOS 防御服務(wù)。如今是一個 DDOS 攻擊帶寬頻頻超過 100Gbps 的時(shí)代, 8.7Gbps 似乎算不上什么大威脅,然而這次事件在應(yīng)用層攻擊的歷史上是前所未有的。


  DDOS 攻擊會在網(wǎng)絡(luò)層和應(yīng)用層之間擇一進(jìn)行攻擊。在網(wǎng)絡(luò)層攻擊中,攻擊者的目標(biāo)是通過各種網(wǎng)絡(luò)協(xié)議發(fā)送惡意數(shù)據(jù)包,吞噬目標(biāo)的全部帶寬,使其網(wǎng)絡(luò)阻塞。


  應(yīng)用層攻擊也被稱為 HTTP 洪泛,其目的是吞噬目標(biāo)的 CPU 和內(nèi)存等計(jì)算資源,讓 Web 服務(wù)器疲于應(yīng)對請求。一旦達(dá)到請求上限,服務(wù)器將停止響應(yīng)新請求,對正常用戶造成 DDOS 攻擊效果。


  相比之下, HTTP 洪泛攻擊與網(wǎng)絡(luò)層攻擊有所不同。 HTTP 洪泛并不依靠發(fā)送數(shù)據(jù)包的體積來造成破壞,而是依靠目標(biāo) Web 應(yīng)用需要處理的請求數(shù)量。迄今為止,最大規(guī)模的 HTTP 洪泛能制造每秒20萬次請求,但由于每個請求包的體積都非常小,其帶寬占用從未超過 500Mbps 。


  大多數(shù)企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的設(shè)計(jì)上限是每秒處理100個請求。 Imperva 公司的研究人員表示,如果沒有部署反 DDOS 服務(wù),對仿冒請求進(jìn)行檢測和過濾,黑客將很容易擾亂其運(yùn)作。


  要防御網(wǎng)絡(luò)層攻擊,企業(yè)通常需要將所有流量首先導(dǎo)給 DDOS 防御方案運(yùn)營商。運(yùn)營商將過濾其中的惡意數(shù)據(jù)包,只向客戶傳輸合法包。


  防御應(yīng)用層攻擊的過程則不同:一般通過在客戶的 Web 服務(wù)器前方增加特制的硬件設(shè)備實(shí)現(xiàn)。


  混合型 DDOS 防御方案由上述兩種方案組成:基于云的網(wǎng)絡(luò)層防御和前置型的應(yīng)用層防御。但它有可能對此次出現(xiàn)的 8.7Gbps 之大的 HTTP 洪泛攻擊無能為力。


  由 Nitol 惡意軟件感染設(shè)備組成的僵尸網(wǎng)絡(luò)發(fā)起了這次攻擊,它們發(fā)送模擬成百度搜索引擎爬蟲的 HTTP POST 請求。請求數(shù)量達(dá)到每秒16.3萬次,試圖向服務(wù)器上傳隨機(jī)生成的大體積文件。這產(chǎn)生了相當(dāng)巨大的攻擊帶寬腳印。


  Imperva 公司研究人員在發(fā)布的博文中寫道:“只有在建立 TCP 連接之后,才能過濾應(yīng)用層流量。這意味著惡意流量將被允許接入,這種大帶寬攻擊將產(chǎn)生很大破壞,只有當(dāng)企業(yè)使用外部防御方案時(shí)才能解決這一問題?!?/span>


  這意味著網(wǎng)絡(luò)層 DDOS 防御服務(wù)將放過這些流量,讓企業(yè)的前置型防御方案解決,但后者的功能本來是處理應(yīng)用層攻擊。不過,惡意數(shù)據(jù)包實(shí)際上不會到達(dá)應(yīng)用層,因?yàn)槠髽I(yè)網(wǎng)絡(luò)上行帶寬無法處理它們生成的流量。這有點(diǎn)像是在應(yīng)用層攻擊后邊藏了網(wǎng)絡(luò)層攻擊。


  “的確,當(dāng)今的一些大型機(jī)構(gòu)已經(jīng)配備了 10Gb 的突發(fā)上行能力。然而攻擊者可以輕松發(fā)起更多請求,或者調(diào)用更多僵尸網(wǎng)絡(luò)資源,增大攻擊規(guī)模。因此第二波攻擊可以輕松達(dá)到 12到15Gbps 。非通信運(yùn)營商的存在機(jī)機(jī)構(gòu)極少擁有能夠解決這類前置攻擊的基礎(chǔ)設(shè)施?!?/span>


  有些行業(yè)很難應(yīng)對這種高帶寬應(yīng)用層攻擊,比如金融行業(yè)。金融機(jī)構(gòu)的 Web 應(yīng)用需要使用 HTTPS 加密數(shù)據(jù)傳輸,此外,出于監(jiān)管合規(guī)的要求,為了保護(hù)財(cái)務(wù)和個人數(shù)據(jù),它們還必須在企業(yè)內(nèi)部,用自己的基礎(chǔ)設(shè)施終止惡意 HTTPS 鏈接。


  因此,應(yīng)用層 DDOS 防護(hù)方案也只能在數(shù)據(jù)解密之后過濾請求。而且,他們必須在機(jī)構(gòu)內(nèi)部做到這一點(diǎn)。


版權(quán)所有:Copyright @ 2016-2022 深圳市銳速云計(jì)算有限公司 增值電信業(yè)務(wù)經(jīng)營許可證
粵B1-20171508 備案系統(tǒng) 粵ICP備16119720號 粵公網(wǎng)安備 44030902000612號