大学生疯狂高潮呻吟免费视频,超清纯白嫩大学生无码网站,国产高颜值大学生情侣酒店

                                                                                        海納百川 隨御而安

                                                                                        海御首頁> 海御觀點 > 應用層(DNS/HTTP/HTTPS)攻擊與防御原理

                                                                                        應用層(DNS/HTTP/HTTPS)攻擊與防御原理

                                                                                        2022-05-10 15:15:36 來源: 海御

                                                                                        DNS正常交互過程:
                                                                                         
                                                                                        當用戶上網訪問某個網站時,會向DNS緩存服務器發出該網站的域名,以請求其IP地址。當DNS緩存服務器查找不到該域名與IP地址對應關系時,它會向授權DNS服務器發出域名查詢請求。為了減少Internet上DNS的通信量,DNS緩存服務器會將查詢到的域名和IP地址對應關系存儲在自己的本地緩存中。后續再有主機請求該域名時,DNS緩存服務器會直接用緩存區中的記錄信息回應,直到該記錄老化,被刪除。
                                                                                         
                                                                                         
                                                                                        圖:DNS正常交互過程

                                                                                         
                                                                                        DNS Request Flood攻擊與防御原理:
                                                                                         
                                                                                        DNS Request Flood攻擊既可以針對DNS緩存服務器,又可以針對DNS授權服務器。
                                                                                         
                                                                                        攻擊原理:
                                                                                         
                                                                                        針對緩存服務器攻擊
                                                                                         
                                                                                        攻擊者直接或間接向DNS緩存服務器發送大量不存在的域名解析請求,導致DNS緩存服務器不停向授權服務器發送解析請求,最終導致DNS緩存服務器超載,影響正常業務。
                                                                                         
                                                                                        針對授權服務器攻擊
                                                                                         
                                                                                        攻擊者直接或間接向DNS授權服務器發送大量不存在的子域名請求,致使DNS服務器嚴重超載,無法繼續響應正常用戶的DNS請求,從而達到攻擊的目的。
                                                                                         
                                                                                        DNS Request Flood攻擊源可能是虛假源,也可能是真實源。針對不同類型的攻擊源,采取的防御方式也不同。
                                                                                         
                                                                                        Anti-DDoS防御方式:
                                                                                         
                                                                                        針對虛假源攻擊緩存服務器:
                                                                                         
                                                                                        源認證方式可以有效防御DNS Request Flood虛假源攻擊。Anti-DDoS設備基于目的地址對DNS Request報文的速率進行統計,當DNS Request報文的速率超過閾值時,啟動源認證防御。源認證只針對訪問受攻擊域名的源IP地址實施,以減少誤判和避免對正常業務的訪問延時。源認證包括以下兩種模式:
                                                                                         
                                                                                        基本模式:在源認證過程中Anti-DDoS設備會觸發客戶端以TCP報文發送DNS請求,用以驗證源IP的合法性,但在一定程度上會消耗DNS緩存服務器的TCP連接資源。
                                                                                         
                                                                                        被動模式:“被動”模式是將每個源IP地址發送的首包丟棄,觸發重新請求,然后對DNS重傳報文進行域名檢查,如果后續報文和首包請求的域名相同則將源IP地址加入白名單。
                                                                                         
                                                                                        這種被動模式防御方法在現網上是防御DNS緩存服務器的虛假源Request flood攻擊的首選。
                                                                                         
                                                                                         
                                                                                        圖:針對緩存服務器攻擊防御原理(基本模式)

                                                                                        針對虛假源攻擊授權服務器防御原理:
                                                                                         
                                                                                        授權服務器源認證(即重定向方式),可以有效防御DNS Request Flood虛假源攻擊。重定向只針對訪問受攻擊域名的源IP地址實施,以減少誤判和避免對正常業務的訪問延時。
                                                                                         
                                                                                         
                                                                                        圖:anti-ddos針對授權服務器dns request flood攻擊防御原理

                                                                                        如上圖所示,Anti-DDoS設備基于目的地址對DNS Request報文的速率進行統計,當DNS Request報文的速率超過閾值時,啟動重定向。
                                                                                         
                                                                                              1.Anti-DDoS設備返回給請求源一個別名地址,如果請求源是虛假源,則不會回應重定向報文,認證不通過,報文丟棄。
                                                                                              2.如果請求源是真實源,則重新請求Anti-DDoS設備發送的重定向地址。認證通過,Anti-DDoS設備將此真實源加入白名單。
                                                                                             3.Anti-DDoS設備再次重定向正確的地址,請求源重新請求正確地址,報文命中白名單,直接通過Anti-DDoS設備,到達授權服務器,完成報文交互。
                                                                                         
                                                                                        針對真實源攻擊的防御原理:
                                                                                         
                                                                                        如果是真實源攻擊,經過上述防御過程后,通過的DNS報文還很大,則可以繼續采用以下方式進行防御。
                                                                                         
                                                                                        **DNS請求報文限速:**對于大流量的DNS Request flood攻擊也是一種非常有效的防御方式,Anti-DDoS設備支持以下幾種DNS request報文限速。
                                                                                         
                                                                                        指定域名限速
                                                                                         
                                                                                        對匹配了指定域名的DNS request報文進行限速,Anti-DDoS設備將直接丟棄超出閾值的DNS request報文。
                                                                                         
                                                                                        建議該指定DNS域名為發生攻擊后的被訪問頻率最高Top N域名,可以從DNS報表的“請求Top N趨勢”分析中獲取被訪問頻率最高的Top N域名及其訪問流量,被攻擊域名一般在受攻擊前不在Top N訪問中,受攻擊后才出現在Top N訪問中。另外,當未知域名檢測上報異常事件,通過配置異常抓包任務提取指紋,從指紋中也可獲取未知域名。
                                                                                         
                                                                                        源IP限速
                                                                                         
                                                                                        對匹配了的DNS request報文進行限速,Anti-DDoS設備將直接丟棄超出閾值的DNS request報文。
                                                                                         
                                                                                        限速可以針對指定源IP地址或者非指定源IP地址。如果是針對指定源IP地址限速,則建議該指定IP地址為發生攻擊后,訪問頻率最高Top N源IP地址,可以從DNS報表的“請求Top N趨勢”分析中獲取訪問頻率最高的Top N源IP地址及其訪問流量,此源IP地址一般在受攻擊前不在Top N訪問中,受攻擊后才出現在Top N訪問中。
                                                                                         
                                                                                        另外,Anti-DDoS設備還支持對異常DNS報文的檢查,根據預定義的規則分別從以下三個方面進行檢測:
                                                                                         
                                                                                        DNS報文的格式:Anti-DDoS設備對報文格式進行檢查,并將非標準格式的DNS報文直接丟棄。
                                                                                        DNS報文的長度:通常情況下,基于UDP協議的DNS報文長度都小于512字節,超過512字節的則往往采用基于TCP協議的DNS報文請求。而現網中,很多DNS Flood經常采用超大DNS報文以造成擁塞鏈路,比如DNS反射攻擊,因此報文長度在防御DNS flood攻擊上是一個有效的手段。將DNS報文的長度限制在“最大報文長度”范圍內。當DNS報文的長度超出閾值時,Anti-DDoS設備將直接丟棄超出長度的DNS請求報文。
                                                                                        DNS報文的TTL:尤其對DNS緩存服務器防護,一般都是采用就近服務原則,比如:北京電信DNS緩存服務器主要服務對象應該是北京電信用戶,所以DNS報文的TTL條數應該局限于一個范圍內。Anti-DDoS設備將DNS報文的跳數限制在“DNS報文允許跳數”或“DNS報文允許跳數范圍”內。當DNS報文的跳數超出閾值時,Anti-DDoS設備將直接丟棄該DNS請求報文。
                                                                                         
                                                                                        防火墻防御DNS request Flood攻擊方式:
                                                                                         
                                                                                        1.針對緩存服務器:請求TCP的DNS
                                                                                         
                                                                                                 和Anti-DDoS針對緩存服務器防御的基本模式相同,都是利用讓客戶端重新發送TCP的DNS來驗證。
                                                                                         
                                                                                                原理:當客戶端向DNS服務器發起查詢請求時,DNS回應報文里有一個TC標志位,如果TC標志位置1,就表示 需要通過TCP方式查詢。FW就是利用這一機制針對緩存服務器防御DNS Flood攻擊。
                                                                                         
                                                                                                缺點:并不是所有的客戶端都支持以TCP方式發送DNS請求。
                                                                                         
                                                                                        2.針對授權服務器:授權服務器源認證(即重定向方式)
                                                                                         
                                                                                                 該防御方式同Anti-DDoS的針對授權服務器的防御方式。
                                                                                         
                                                                                        DNS Reply Flood攻擊與防御原理:
                                                                                         
                                                                                        此攻擊主要針對DNS緩存服務器。
                                                                                         
                                                                                        攻擊原理:
                                                                                        DNS Reply Flood是指攻擊者在一定條件下將大量偽造的DNS應答包發送給某個DNS服務器或主機,從而消耗服務器的處理性能。
                                                                                         
                                                                                        DNS反射攻擊是DNS Reply Flood的一種典型攻擊,指攻擊者模擬被攻擊目標向現網發送大量的DNS查詢請求,并將請求的回應報文長度放大后發送到攻擊目標,導致攻擊目標收到大量的DNS回應報文,所在網絡鏈路擁塞。
                                                                                         
                                                                                        Anti-DDoS針對DNS Reply Flood防御原理:
                                                                                         
                                                                                        針對虛假源攻擊防御原理:
                                                                                        Anti-DDoS設備基于目的地址對DNS回應報文速率進行統計,當DNS回應報文速率超過閾值時,啟動源認證或會話檢查:
                                                                                         
                                                                                        源認證:當Anti-DDoS設備收到DNS Reply報文時,構造攜帶新的Query ID和源端口的DNS Request探測報文。當發送源響應探測報文,再次發出DNS Reply報文時,檢查DNS Reply報文中的Query ID和源端口與DNS Request報文中是否一致,如果一致則將源IP地址加入白名單。
                                                                                         
                                                                                         
                                                                                        圖:DNS Reply Flood源認證防御

                                                                                        **會話檢查: **主要針對DNS反射攻擊,當Anti-DDoS設備收到DNS Reply報文時,檢查是否存在會話,存在則允許報文通過,否則丟棄報文。對白名單中的源IP地址也會進行檢查。
                                                                                         
                                                                                        建議在Anti-DDoS設備直路部署時使用。旁路部署動態引流時,報文來回路徑不一致,因此檢查不到引流前已經建立的會話,該防范不適用。
                                                                                         
                                                                                        針對真實源攻擊防御方式:
                                                                                         
                                                                                        如果經過上述防御過程后,通過的DNS reply報文還很大,則可以繼續采用限速的方式進行防御。
                                                                                         
                                                                                        •指定域名限速
                                                                                        ♦源IP限速
                                                                                        ♦DNS報文的格式檢查
                                                                                        ♦DNS報文的長度檢查
                                                                                        DNS報文的TTL
                                                                                         
                                                                                        Anti-DDoS設備針對真實源DNS Reply Foold攻擊防御原理同,針對DNS Request Flood攻擊防御原理。
                                                                                         
                                                                                        防火墻針對DNS Reply Flood防御方式:
                                                                                         
                                                                                        FW基于目的地址對DNS回應報文速率進行統計,當DNS回應報文速率超過閾值時,啟動源認證。
                                                                                         
                                                                                        源認證具體過程同Anti-DDoS的源認證方式。
                                                                                         
                                                                                        未知域名攻擊與防御原理:
                                                                                         
                                                                                        此攻擊針對DNS緩存服務器和DNS授權服務器。
                                                                                         
                                                                                        攻擊原理:
                                                                                         
                                                                                        攻擊者向緩存服務器發送大量變換的不存在域名請求報文:
                                                                                         
                                                                                             1.緩存服務器收到請求報文后首先查詢自身的緩存列表,發現域名不存在。
                                                                                             2.緩存服務器向授權服務器發送域名請求。
                                                                                             3.授權服務器查詢后,確認域名不存在,回應未知域名(No such name)報文。
                                                                                             4.緩存服務器向攻擊者發送No such name報文。
                                                                                         
                                                                                        在未知域名攻擊過程中,攻擊者發送大量的偽造請求報文,導致緩存服務器和授權服務器不斷對不存在域名進行查詢,耗盡服務器性能,從而達到攻擊目的。
                                                                                         
                                                                                         
                                                                                        圖:未知域名攻擊原理
                                                                                         
                                                                                        Anti-DDoS防御原理:
                                                                                         
                                                                                        雖然現網也有因域名輸入錯誤,導致服務器回應No such name報文,但正常情況下,No such name報文比例很小。通過監控DNS服務器回應報文中No such name報文突增來快速發現未知域名攻擊,并對No such name報文限速來防御未知域名攻擊。
                                                                                         
                                                                                        當一秒鐘內No such name請求報文與所有請求報文的比例超出閾值時,Anti-DDoS設備將向管理中心上報異常事件。同時,建議配置異常抓包任務,然后從抓包文件中提取指紋,即可提取出具體的未知域名,同時將其添加到“對指定域名請求報文限速”的域名列表中,從而可針對未知域名的請求報文進行限速。
                                                                                         
                                                                                        DNS緩存投毒攻擊與防御原理:
                                                                                         
                                                                                        此攻擊主要針對DNS緩存服務器。
                                                                                         
                                                                                        攻擊原理:
                                                                                         
                                                                                        DNS緩存投毒是攻擊者先向DNS緩存服務器發送一個不存在域名的請求報文,觸發緩存服務器向DNS授權服務器發出查詢請求,同時攻擊者向緩存服務器發送大量的偽造回應報文,以期在DNS授權服務器回應到達之前命中緩存服務器的請求信息,**將惡意授權服務器地址置入DNS緩存服務器緩存項中,篡改某些網站的域名和IP地址對應關系。**后續針對此三級域名的子域名解析請求轉到惡意DNS授權服務器,導致用戶請求被發送到釣魚網站、反政府網站等。
                                                                                         
                                                                                         
                                                                                        圖:DNS緩存投毒攻擊原理

                                                                                        Anti-DDoS防御原理:
                                                                                         
                                                                                        通過會話檢查防御DNS緩存投毒是最有效的防御方式。通過檢查DNS Reply報文中的Query ID和域名與DNS Request報文中是否匹配來決定是否允許報文通過。
                                                                                         
                                                                                         
                                                                                        圖:DNS緩存投毒防御原理
                                                                                         
                                                                                        1.當DNS緩存服務器向授權服務器發出域名查詢請求時,Anti-DDoS設備記錄會話信息及請求報文中的Query ID和域名。
                                                                                        2.當Anti-DDoS設備收到回應報文時,檢查會話是否存在,回應報文中的Query ID和域名與請求報文中的Query ID和域名是否匹配。
                                                                                             1.如果命中會話,并且Query ID和域名與請求報文中的Query ID和域名匹配,則放行該報文。
                                                                                             2.如果沒有命中會話,則丟棄該報文。
                                                                                             3.如果命中會話,但是域名或Query ID與請求報文不匹配,則丟棄該報文,同時要刪除該會話,以免后續投毒報文完成投毒。
                                                                                         
                                                                                        HTTP類報文攻擊與防御原理
                                                                                         
                                                                                        正常的HTTP報文交換過程:
                                                                                         
                                                                                        圖:HTTP報文正常的交換過程
                                                                                         
                                                                                        1.客戶端向服務器發出連接請求,HTTP是基于TCP之上的,客戶端與服務器之間首先建立三次握手連接。
                                                                                        2.客戶端向服務器發送請求GET,在服務器回應之前可多次發送請求報文。
                                                                                        3.服務器進行應答200 OK,在應答中添加應答長度;并傳輸數據。
                                                                                        4.傳輸結束,客戶端與服務器之間拆除TCP連接。

                                                                                        HTTP報文重定向過程:
                                                                                         
                                                                                         
                                                                                        圖:http重定向報文交互過程
                                                                                         
                                                                                        HTTP Flood攻擊與防御原理:
                                                                                         
                                                                                        攻擊原理:
                                                                                         
                                                                                        攻擊者通過代理或僵尸主機向目標服務器發起大量的HTTP報文,請求涉及數據庫操作的URI(Universal Resource Identifier)或其它消耗系統資源的URI,造成服務器資源耗盡,無法響應正常請求。例如門戶網站經常受到的HTTP Flood攻擊,攻擊的最大特征就是選擇消耗服務器CPU或內存資源的URI,如具有數據庫操作的URI。
                                                                                         
                                                                                        Anti-DDoS防御原理:
                                                                                         
                                                                                        HTTP GET Flood源認證:
                                                                                         
                                                                                        HTTP GET Flood源認證防御方式是防御HTTP GET Flood最常用的手段。這種防御方式適用于客戶端為瀏覽器的HTTP服務器場景,因為瀏覽器支持完整的HTTP協議棧,可以正?;貞囟ㄏ驁笪幕蛘呤球炞C碼。Anti-DDoS設備基于目的IP地址對HTTP報文進行統計,當HTTP報文達到設定的告警閾值時,啟動源認證防御功能,源認證防御包含以下三種方式:
                                                                                         
                                                                                        (1)302重定向模式:
                                                                                         
                                                                                        302重定向模式能針對網頁中的內嵌資源(比如:圖片)進行重定向。當用戶請求的頁面與頁面內嵌資源不在同一個服務器上,內嵌資源所在服務器發生異常時,可以對嵌套資源服務器啟動302重定向防御,探測訪問源是否為真實瀏覽器。真實瀏覽器支持重定向功能,可以自動完成重定向過程,不會影響客戶體驗。
                                                                                         
                                                                                         
                                                                                        圖:302重定向原理
                                                                                         
                                                                                        **當網絡中有HTTP代理服務器時,只要有一次源認證通過,Anti-DDoS設備就會將代理服務器IP地址加入白名單,后續僵尸主機通過使用代理服務器就會繞開源認證,導致防御失效。在這種有代理服務器的網絡中,建議開啟代理檢測功能,檢測HTTP請求是否為通過代理發出的請求。**如果是,Anti-DDoS設備會從HTTP報文中獲取請求者的實際IP地址,將通過認證的真實IP地址和代理服務器IP地址加入白名單,后續只有此實際源IP地址發送的報文才能直接通過,其他源IP發送報文時,Anti-DDoS設備會對其進行源認證,達到防御效果。
                                                                                         
                                                                                        總結:當有HTTP代理服務器時,Anti-DDoS設備應開啟代理檢查功能。
                                                                                         
                                                                                        (2)增強模式(驗證碼認證):
                                                                                         
                                                                                        有些僵尸工具實現了重定向功能,或者攻擊過程中使用的免費代理支持重定向功能,導致基本模式的防御失效,通過推送驗證碼的方式可以避免此類防御失效。此時通過讓用戶輸入驗證碼,可以判斷HTTP訪問是否由真實的用戶發起,而不是僵尸工具發起的訪問。因為僵尸網絡攻擊依靠自動植入PC的僵尸工具發起,無法自動響應隨機變化的驗證碼,故可以有效的防御攻擊。為避免防御對正常用戶體驗的影響,此防御方式僅對超過源訪問閾值的異常源實施。
                                                                                         
                                                                                         
                                                                                        圖:驗證碼認證流程
                                                                                         
                                                                                        源認證對于機頂盒做視頻點播場景防護、或者部分移動網絡防護不適用。當客戶端是機頂盒、特定移動網絡時,客戶端無法輸入驗證碼,建議使用動態指紋學習或URI監控防御。
                                                                                         
                                                                                        META refresh:該模式可有效阻止來自非瀏覽器客戶端的訪問,如果僵尸工具沒有實現完整的HTTP協議棧,不支持自動重定向,無法通過認證。而瀏覽器支持自動重定向,可以通過認證。該模式不會影響用戶體驗,但防御效果低于增強模式。
                                                                                        JavaScript重定向模式:當用戶請求的頁面或者頁面內嵌的資源所在的服務器發生異常時,利用JavaScript重定向功能,探測訪問源是否真實。真實瀏覽器可以執行JavaScript,自動完成重定向,不會影響客戶體驗。
                                                                                        cookie防御模式:該模式可有效阻止來自非瀏覽器客戶端的訪問,當服務器請求發生異常時,利用真實瀏覽器可以記錄cookie功能,探測是否為真實源。
                                                                                        如果在允許的認證時間周期內,對同一源IP地址的認證次數大于最大值時,則將該源IP地址判定為攻擊源,加入動態黑名單。
                                                                                         
                                                                                        HTTP POST Flood源認證:
                                                                                         
                                                                                        H**TTP POST Flood是通過發送大量POST請求攻擊服務器,以占用服務器大量資源的一種攻擊方式。**HTTP POST Flood源認證防御方式是防御HTTP POST Flood最常用的手段。這種防御方式適用于客戶端為瀏覽器且瀏覽器使用cookie的HTTP服務器場景,采用Anti-DDoS設備對客戶端的瀏覽器注入Cookie機制,客戶端再次請求時會在HTTP報頭(Header)上附加Cookie,Anti-DDoS設備通過檢測Cookie的真實性進行HTTP POST Flood的攻擊防范,以有效保護Web服務器安全。
                                                                                         
                                                                                        (1)重定向模式:
                                                                                         
                                                                                         
                                                                                        圖:重定向模式處理過程
                                                                                         
                                                                                         1.Anti-DDoS設備替代目標服務器與客戶端完成三次握手。
                                                                                         2.Anti-DDoS設備在收到客戶端發送的POST請求后,回應“307臨時重定向”,并在響應報頭中附加上由客戶端IP生成的Cookie,再發送給客戶端。
                                                                                         3.如果客戶端瀏覽器真實,在收到“307臨時重定向”后,Anti-DDoS設備生成的Cookie就會寫入到瀏覽器中。正常用戶再次使用POST請求Web頁面時,Anti-DDoS設備將會收到帶有Cookie的POST請求,并驗證Cookie是否正確。如果正確則將客戶端IP加入到HTTP白名單里,同時使用“408請求超時間”進行響應。
                                                                                         4.Anti-DDoS設備會在源IP監控表中統計Cookie的驗證次數和時間間隔,如果單位時間內的驗證次數超過一定的警戒值,則認為此IP為攻擊源,并切斷此攻擊源的HTTP流量。
                                                                                         5.真實客戶端瀏覽器在收到“408請求超時”后,會自動再次進行請求,此時客戶端源IP已加入到白名單,后續的HTTP請求將直接透過Anti-DDoS設備到達服務器,進行正常的Web訪問。

                                                                                        (2)增加模式(驗證碼認證):
                                                                                         
                                                                                        此模式下,HTTP POST報文同HTTP GET報文的驗證機制一致。
                                                                                         
                                                                                        HTTP Post 防御當前使用的是瀏覽器Cookie的機制,瀏覽器的安全級別是由Cookie限制的。只有瀏覽器的安全級別為最低級別才接受所有的Cookie,如果瀏覽器Cookie級別較高,存在HTTP POST防御認證不通過的風險。
                                                                                         
                                                                                        HTTP源統計
                                                                                         
                                                                                        HTTP源統計是在基于目的IP流量異常的基礎上,再啟動針對源IP流量進行統計。Anti-DDoS設備首先對到達目的IP的流量進行統計,當目的IP流量觸發告警閾值時,再啟動到達這個目的IP的每個源的流量進行統計,判定具體某個源流量異常,并對源IP的流量進行防御。
                                                                                         
                                                                                        HTTP源統計功能可以更準確的定位異常源,并對異常源發出的流量進行防御。
                                                                                         
                                                                                        URI監測
                                                                                         
                                                                                        URI監測是HTTP源認證防御的補充功能,當通過HTTP源認證的流量還是超過閾值時,可以啟用URI監測。Anti-DDoS設備對HTTP源認證過程中加入白名單的源IP也會進行URI監測。
                                                                                         
                                                                                        當指定時間內,某個URI的訪問流量超過一定閾值時,Anti-DDoS設備啟動針對源IP的URI行為監測。當這個源IP地址對某個URI的訪問數與總訪問數的比例超過閾值時,則將該源IP地址作為攻擊源并加入動態黑名單。在配置URI監測時,可將消耗內存或計算資源多、容易受攻擊的URI加入“重點監測URI”列表。
                                                                                         
                                                                                        URI源指紋學習功能
                                                                                         
                                                                                        指紋學習方法適用于攻擊源訪問的URI比較固定。因為如果要形成攻擊效果,攻擊者一般都事先探測,找到容易消耗系統資源的URI作為攻擊目標,然后一個攻擊源的一個會話上會有多個針對該URI的請求,最終呈現為該源對選定的URI發送大量的請求報文。動態指紋學習正是基于這個原理,Anti-DDoS設備對源訪問的URI進行指紋學習,找到攻擊目標URI指紋,如果對該URI指紋的命中次數高于設置的閾值就將該源加入黑名單。
                                                                                         
                                                                                        防火墻針對HTTP Flood攻擊防御方式:
                                                                                         
                                                                                        ♦HTTP Flood源認證
                                                                                        ♦基本模式(META刷新)
                                                                                        ♦增強模式(驗證碼認證)
                                                                                        ♦302重定向模式
                                                                                         
                                                                                        HTTP慢速攻擊與防御原理:
                                                                                         
                                                                                        攻擊原理:
                                                                                         
                                                                                        HTTP慢速攻擊是利用HTTP現有合法機制,在建立了與HTTP服務器的連接后,盡量長時間保持該連接,不釋放,達到對HTTP服務器的攻擊。常見的攻擊有兩種:
                                                                                         
                                                                                        Slow POST: 攻擊者發送Post報文向服務器請求提交數據,將總報文長度設置為一個很大的數值,但是在隨后的數據發送中,每次只發送很小的報文,這樣導致服務器端一直等待攻擊者發送數據。
                                                                                        Slow headers: 攻擊者通過GET或者POST向服務器建立連接,但是HTTP頭字段不發送結束符,之后發送其他字段進行?;?。服務器會一直等待頭信息中結束符而導致連接始終被占用。
                                                                                         
                                                                                        防御原理:
                                                                                         
                                                                                        針對HTTP慢速攻擊的特點,Anti-DDoS設備對每秒鐘HTTP并發連接數進行檢查,當每秒鐘HTTP并發連接數超過設定值時,會觸發HTTP報文檢查,檢查出以下任意一種情況,都認定受到HTTP慢速連接攻擊,則將該源IP地址判定為攻擊源,加入動態黑名單,同時斷開此IP地址與HTTP服務器的連接。
                                                                                         
                                                                                        連續多個HTTP POST報文的總長度都很大,但是其HTTP載荷長度都很小。
                                                                                        連續多個HTTP GET/POST報文的報文頭都沒有結束標識。
                                                                                         
                                                                                        HTTPS類報文攻擊與防御
                                                                                         
                                                                                        正常SSL交互過程:
                                                                                         
                                                                                        圖:正常SSL報文交換過程
                                                                                         
                                                                                        1.客戶端發送的第一條消息為ClientHello,其中包含了客戶端所推薦的加密參數和準備使用的加密算法。
                                                                                         
                                                                                        2.服務器以三條消息進行響應:
                                                                                         
                                                                                             1.發送選擇加密算法的ServerHello。
                                                                                             2.服務器發送攜帶自己公鑰的Certificate消息。
                                                                                             3服務器發送表示握手階段不再有任何消息的ServerHelloDone。
                                                                                         
                                                                                        3.客戶端發送一條Client Key Exchange消息,將一個隨機生成的使用服務器公鑰加密的密鑰發送給服務器。
                                                                                         
                                                                                        4.Change Cipher Spec消息表示客戶端在此之后發送的所有消息都將使用剛剛商定的密鑰進行加密。
                                                                                         
                                                                                        5.Finished消息包含了對整個連接過程的校驗,是通過先計算已交互的握手消息的Hash值,再利用協商好的密鑰對Hash值加密得到的。
                                                                                         
                                                                                        服務器利用同樣地方法計算已交互的握手信息的Hash值與Finished消息解密結果比較,就能夠判斷要使用的加密算法是否是安全商定的。
                                                                                         
                                                                                        6.一旦服務器接收到了客戶端的Finished消息,它就會發送自己的Change Cipher Spec和Finished消息,于是連接就準備好進行應用數據的傳輸了。
                                                                                         
                                                                                        HTTPS Flood攻擊與防御原理:

                                                                                        攻擊原理:
                                                                                         
                                                                                        攻擊者通過代理、僵尸網絡或者直接向目標服務器發起大量的HTTPS連接,造成服務器資源耗盡,無法響應正常的請求。
                                                                                         
                                                                                        Anti-DDoS防御原理:
                                                                                         
                                                                                        通過源認證對HTTPS業務端口的連接耗盡進行防御,Anti-DDoS設備基于目的地址對HTTPS請求報文速率進行統計,當HTTPS請求速率超過閾值時,啟動源認證防御。
                                                                                         
                                                                                         
                                                                                        圖:HTTPS源認證流程
                                                                                         
                                                                                        防火墻針對HTTPS Flood的防御原理:
                                                                                         
                                                                                        防火墻防御原理同Anti-DDoS設備防御原理。不過是FW代替服務器與客戶端完成TCP三次握手。而Anti-DDoS是通過清洗設備進行代替。
                                                                                         
                                                                                        SSL-DoS/DDoS攻擊與防御原理:
                                                                                         
                                                                                        攻擊原理:
                                                                                         
                                                                                        SSL握手的過程中,在協商加密算法時服務器CPU的開銷是客戶端開銷的15倍左右。攻擊者利用這一特點,在一個TCP連接中不停地快速重新協商(這種行為是被SSL所允許的),從而耗盡服務器CPU資源,這種攻擊叫做SSL-DoS。如果多個僵尸主機向服務器發起SSL-DoS,則叫做SSL-DDoS攻擊。
                                                                                         
                                                                                        Anti-DDoS防御原理:
                                                                                         
                                                                                        Anti-DDoS設備基于目的地址對HTTPS請求報文速率進行統計,當HTTPS請求速率超過閾值時,啟動源認證防御和SSL防御:
                                                                                         
                                                                                        源認證的過程和防御HTTPS Flood攻擊的源認證相同。
                                                                                         
                                                                                        SSL防御:
                                                                                         
                                                                                        在檢查周期內,如果某個源IP地址到目的IP地址的某個會話上的協商次數超過閾值,則將此會話標記為異常會話,在異常會話檢查周期內,如果異常會話數超過閾值時,判定該源IP地址異常,將該源IP地址加入黑名單。
                                                                                         
                                                                                         
                                                                                        圖:SSL防御原理
                                                                                         
                                                                                         
                                                                                        其它類型的Flood攻擊
                                                                                         
                                                                                        SIP Flood攻擊與防御原理:
                                                                                         
                                                                                        攻擊原理:
                                                                                         
                                                                                        SIP(Session Initiation Protocol)是一個應用層的信令控制協議。用于創建、修改和釋放一個或多個參與者的會話。這些會話可以是Internet多媒體會議、IP電話或多媒體分發。例如,SIP服務提供商可以建立包含語音、視頻和聊天內容的全新媒體。
                                                                                         
                                                                                        攻擊者通過發送大量的INVITE消息到SIP服務器,導致被攻擊SIP服務器分配大量的資源用以記錄和跟蹤會話,直到資源耗盡而無法響應合法用戶的呼叫請求;或者針對VoIP設備在SIP協議實現上的漏洞構造并發送相應的畸形SIP報文,從而導致SIP服務器拒絕服務。
                                                                                         
                                                                                        Anti-DDoS防御原理:
                                                                                         
                                                                                        Options方法用于SIP協議通信雙方查詢對方支持的方法、內容類型、擴展等。SIP源認證是發送OPTIONS請求報文作為探測報文探測源的真實性,如果發送端的源IP真實存在,就會對該探測報文進行回應,Anti-DDoS設備檢查回應報文是否正確,正確則允許通過,將源IP地址加入白名單,否則丟棄報文。
                                                                                         
                                                                                         
                                                                                        圖:SIP源認證
                                                                                         
                                                                                        防火墻的防御方法同Anti-DDoS。
                                                                                         
                                                                                        ARP Flood防御原理:
                                                                                         
                                                                                        ARP flood攻擊是指攻擊者通過修改ARP報文中的源IP地址和源MAC地址,向攻擊目標大量發送偽造的ARP報文,擁塞網絡。
                                                                                         
                                                                                        FW對于ARP flood攻擊一般采用限流策略。FW針對目的IP進行統計,當到達同一目的IP地址的ARP流量達到告警閾值時,啟動限流策略,丟棄超過上限的ARP報文。

                                                                                        服務熱線

                                                                                        010-87747760

                                                                                        大学生疯狂高潮呻吟免费视频,超清纯白嫩大学生无码网站,国产高颜值大学生情侣酒店