首頁 > 關(guān)于我們 > 安恒動態(tài) > 2020 > 正文

安恒WAF提醒：應(yīng)用層DDoS攻擊，請嚴(yán)肅對待

閱讀量：次

在Web攻防對抗的戰(zhàn)場上，有一類廣泛度廣、成本低、威脅程度高的攻擊類別——分布式拒絕服務(wù)攻擊，簡稱DDoS。

| 什么是DDoS

分布式拒絕服務(wù)攻擊DDoS是一種基于DoS的特殊形式的拒絕服務(wù)攻擊，是一種分布的、協(xié)同的大規(guī)模攻擊方式。單一的DoS攻擊一般是采用一對一方式的，它利用網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)的一些缺陷，采用欺騙和偽裝的策略來進(jìn)行網(wǎng)絡(luò)攻擊，使網(wǎng)站服務(wù)器充斥大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以至于癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)。

那么對應(yīng)到OSI7層模型，都有哪些DoS的攻擊手段呢，讓我們來看一看：

在這些DoS攻擊手段中，其中部分屬于應(yīng)用層的DoS攻擊，我們來例舉幾種。

1.Web和DNS DoS攻擊

在TCP端口80上運(yùn)行的Web服務(wù)器是DoS攻擊的共同目標(biāo)。攻擊者通常會發(fā)送多個HTTP請求（根本沒有格式錯誤），以便從后端數(shù)據(jù)庫服務(wù)器檢索大量數(shù)據(jù)。

這種請求泛濫使數(shù)據(jù)庫服務(wù)器繁忙，使Web服務(wù)器等待數(shù)據(jù)。這會在服務(wù)器上產(chǎn)生堆積，而這些服務(wù)器對進(jìn)一步的請求沒有反應(yīng)。這也可能是無意中發(fā)生的，尤其是當(dāng)突發(fā)新聞發(fā)布時(shí)，每個人都試圖同時(shí)訪問它。在DNS服務(wù)器的情況下，攻擊方式與Web服務(wù)器類似，但后果嚴(yán)重。如果DNS服務(wù)器變得無法響應(yīng)，可能會導(dǎo)致公司的業(yè)務(wù)中斷。

2.慢速攻擊

除了常規(guī)的CC攻擊外，還有一類非常規(guī)的變異攻擊方式，俗稱慢速攻擊，讓我們來了解一下:

Slow body ·

攻擊者發(fā)送一個HTTP POST 請求，該請求的Content-Length 頭部值很大，使得Web 服務(wù)器或代理認(rèn)為客戶端要發(fā)送很大的數(shù)據(jù)。服務(wù)器會保持連接準(zhǔn)備接收數(shù)據(jù)，但攻擊客戶端每次只發(fā)送很少量的數(shù)據(jù)，使該連接一直保持存活，消耗服務(wù)器的連接和內(nèi)存資源。

Slow headers ·

Web 應(yīng)用在處理HTTP 請求之前都要先接收完所有的HTTP頭部，因?yàn)镠TTP 頭部中包含了一些Web應(yīng)用可能用到的重要信息。攻擊者利用這點(diǎn)，發(fā)起一個HTTP 請求，一直不停的發(fā)送HTTP 頭部，消耗服務(wù)器的連接和內(nèi)存資源。

Slow read ·

客戶端與服務(wù)器建立連接并發(fā)送了一個HTTP 請求，客戶端發(fā)送完整的請求給服務(wù)器端，然后一直保持這個連接，以很低的速度讀取Response。耗盡處理器資源。

針對以上列舉的幾種類型應(yīng)用層DDoS攻擊，黑客主要采用以下三種常見的攻擊途徑。

|?傳統(tǒng)應(yīng)用層DDoS（CC攻擊）防護(hù)手段

針對應(yīng)用層DDoS攻擊的特征防護(hù)，主要以Web應(yīng)用防火墻（簡稱WAF）為主。WAF傳統(tǒng)的防護(hù)手段主要包括IP限制、請求速率限制、BOT識別等。

1、IP限制

我們通過命令或在查看日志發(fā)現(xiàn)了CC攻擊的源IP，就可以在WAF中設(shè)置屏蔽該IP對Web站點(diǎn)的訪問，從而達(dá)到防范攻擊的目的。

2、請求速率限制

通過請求速率觸發(fā)來限制高頻應(yīng)用訪問。

3、BOT識別

通過json腳本彈框，進(jìn)行人工二次認(rèn)證來進(jìn)行人機(jī)識別，阻斷機(jī)器人攻擊。

但是通過分析WAF的應(yīng)用層傳統(tǒng)防護(hù)手段我們發(fā)現(xiàn)，傳統(tǒng)的應(yīng)用層DDoS（CC攻擊）防護(hù)方式，要么誤報(bào)率很高，容易造成誤攔截，要么嚴(yán)重影響用戶的使用體驗(yàn)，那是否有更好的手段可以平衡誤報(bào)和使用體驗(yàn)?zāi)兀?/p>

|?新一代WAF 應(yīng)用層DDoS（CC攻擊）防護(hù)升級

安恒信息新一代智能WAF斬獲Frost&Sullivan 2019年大中華區(qū)（包括但不限于中國大陸+港澳臺）Web應(yīng)用防火墻整體市場份額排名第一的殊榮！（點(diǎn)擊詳情）其采用獨(dú)家專利的算法檢測，通過指定URL訪問速率和指定URL訪問集中度檢測多種條件匹配：可基于URL、請求頭字段、目標(biāo)IP、請求方法等多種組合條件進(jìn)行檢測，檢測對象支持IP或IP+URL算法，IP可支持X-Forwarded-For字段解析，識別真實(shí)的客戶端IP。兼具易用性與檢出率！具體如下:

■ 行為分析引擎?

行為分析引擎主要利用CC攻擊IP與正常訪問IP對網(wǎng)站各個頁面的訪問集中程度不同的特點(diǎn)。正常訪問IP在瀏覽頁面時(shí)，會分散的請求多個頁面，不會集中訪問一個頁面，特別是不會長期一直集中在一個頁面上；而應(yīng)用層DDoS（CC攻擊）在發(fā)動攻擊時(shí)，會提前設(shè)定要攻擊的頁面（往往是資源消耗大的動態(tài)頁面），之后攻擊者操控的代理或僵尸網(wǎng)絡(luò)會持續(xù)的向設(shè)定的頁面發(fā)送請求，因此攻擊IP的請求是集中設(shè)定在頁面上的，尤其會在CC攻擊的很長期間持續(xù)這樣的集中請求。

因此，在檢測CC攻擊時(shí)，行為分析引擎通過統(tǒng)計(jì)和計(jì)算請求IP對請求頁面的訪問集中度、特別是集中度較高的請求的持續(xù)次數(shù)，能夠有效區(qū)分正常請求IP和CC攻擊IP，并且能夠?qū)Ψ植际降牡驼埱笏俾实腃C攻擊依然保持很高的靈敏度和準(zhǔn)確度。

檢測步驟如下：

1.?接受請求IP對網(wǎng)站頁面訪問的請求

2. 統(tǒng)計(jì)請求IP的請求速率

3. 計(jì)算本次請求IP的集中度

4. 統(tǒng)計(jì)請求IP對請求頁面的請求集中計(jì)數(shù)

5. 根據(jù)請求次數(shù)閾值判定是否為應(yīng)用層DDoS攻擊