慢(màn)速攻擊現(xiàn)象,被慢(màn)&÷↔速cc攻擊怎麽防禦?
來(lái)源:mzadmin 2020-08-22
對(duì)網絡安全有(yǒu)過一(yī)定了(le)解的(de)♠♦人(rén)肯定都(dōu)聽(tīng)• ×過DDoS攻擊和(hé)CC攻擊,DDOS主要(yào)針對(duì)I≤ππP攻擊,CC攻擊主要(yào)是(shì)用(yòng)來(lái)攻♥σ &擊網頁的(de),兩者都(dōu)是(shì)通(t± ōng)過控制(zhì)大(dà)量僵屍網絡肉雞流量對(duì)目标發起攻擊←±$≈的(de),對(duì)于沒有(yǒu)高(gāo)防服務的(de)企λ₩€₽業(yè)來(lái)說(shuō)簡直就(jiù)是(shì)✘✔滅頂之災。而且這(zhè)兩種攻擊方式還(h™≥ái)在不(bù)斷“進化(huà)”,讓防禦變的÷♦ (de)越來(lái)越困難。
一(yī)說(shuō)起慢(màn)速攻擊,就(jiù)₽•×✔要(yào)談談它的(de)成名曆史了(le)。HTTP Po'♠δst慢(màn)速DoS攻擊第一(yī)次在技(jì)術(shù)社區(q>↕β₩ū)被正式披露是(shì)2012年(nián)的(de) π♠OWASP大(dà)會(huì)上(shàng),由W ✘★€ong Onn Chee 和(hé) Tom Brenna← ✔n共同演示了(le)使用(yòng)這(₹→♣×zhè)一(yī)技(jì)術(shù)攻擊的(de)威力。
今天墨者安全就(jiù)來(lái)說(shuō)說(shuō)CC攻擊的→♠(de)一(yī)個(gè)變異品種--慢(màn)速¶≠攻擊。
慢(màn)速攻擊的(de)攻擊原理(lǐ):
對(duì)任何一(yī)個(gè)開(kσ ↕āi)放(fàng)了(le)HTTP訪問(wèn)的(de)服務器(qì )HTTP服務器(qì),先建立了(le)一(yī)個(gè)連接,指定一(y₽→☆ī)個(gè)比較大(dà)的(de)content&♠®-length,然後以非常低(dī)的(de)速度發×>包,比如(rú)1-10s發一(yī)個(gè)字節,然後維β€₽持住這(zhè)個(gè)連接不(bù)斷開(kāi)。如β±™γ(rú)果客戶端持續建立這(zhè)樣的(de)連₹↑接,那(nà)麽服務器(qì)上(shàng)可(k€$ě)用(yòng)的(de)連接将一(yī)點一(yī)點被占滿,從•××(cóng)而導緻拒絕服務。
和(hé)CC攻擊一(yī)樣,隻要(yào)Web服務器(q £✘ì)開(kāi)放(fàng)了(le)Web服務,那(nà)麽÷✘它就(jiù)可(kě)以是(shì)一(yī)個(gè)靶子(zǐ),HTT↑σP協議(yì)在接收到(dào)request之前✘是(shì)不(bù)對(duì)請(qǐng)求內(nèi)容§₹作(zuò)校(xiào)驗的(de),所以即使你(nǐ)的(d♦λe)Web應用(yòng)沒有(yǒu)可(kě)用(yòng)的(£✘de)form表單,這(zhè)個(gè)攻擊一(yī)樣有(y→γ≈"ǒu)效。
在客戶端以單線程方式建立較大(dà)數(sh↑®γù)量的(de)無用(yòng)連接,并保持持續發包的↕≈±(de)代價非常的(de)低(dī)廉。實際試¶∑"£驗中一(yī)台普通(tōng)PC可(kě)以建立的(de)連接在←$✘φ3000個(gè)以上(shàng)。這(zhè)對(duì)一(yī)台☆♦↕☆普通(tōng)的(de)web server,将是(shì)緻命的(d∞δe)打擊。更不(bù)用(yòng)說(shuλ♥ō)結合肉雞群做(zuò)分(fēn)布式DOS了(le)。
鑒于此攻擊簡單的(de)利用(yòng) ∏程度、拒絕服務的(de)後果、帶有(yǒu)逃逸特₹₽性的(de)攻擊方式,這(zhè)類攻擊一(yī)炮而紅(hóng)∏×☆✘,成為(wèi)衆多(duō)攻擊者的(de)研究和(hé)利用(yòng¥λγ)對(duì)象。
慢(màn)速攻擊的(de)種類:
Slow body:攻擊者發送一(yī)個(gè)HTTP POS✘✔T請(qǐng)求,該請(qǐng)求的(de)Cont™ε'εent-Length頭部值很(hěn)大(dà),使得(de)We¥γb服務器(qì)或代理(lǐ)認為(wèi)客戶端要(yào)發∏≈≈送很(hěn)大(dà)的(de)數(shù)據。¥¥↔服務器(qì)會(huì)保持連接準備接收數(shù)據,但(dàn)攻擊↕≈ 客戶端每次隻發送很(hěn)少(shǎo)量的(de)數(shù)據,使該✘∑<₽連接一(yī)直保持存活,消耗服務器(qì)的(de)連接和(hé)內(nèi♠↓←)存資源。
Slow headers:Web應用(yòng)在處理(lǐ↔∞<)HTTP請(qǐng)求之前都(dōu)要(yào)先接收完所有( ↔÷yǒu)的(de)http頭部,因為(wèi)HTTP頭部中包含了(≥>le)一(yī)些(xiē)Web應用(yòng¥±)可(kě)能(néng)用(yòng)到(dào)的(de)重要(yàoλ$εα)的(de)信息。攻擊者利用(yòng)這(z¶∞Ωhè)點,發起一(yī)個(gè)HTTP請(qǐng)求,一(yφ↓ī)直不(bù)停的(de)發送HTTP頭部,消耗服務器(qì)的(de)連接$₩♠ε和(hé)內(nèi)存資源。
Slow read:客戶端與服務器(qì)建立連接并發送了(le₽✔)一(yī)個(gè)HTTP請(qǐng)求,客戶端發送完整的(de)♣ ₹請(qǐng)求給服務器(qì)端,然後一(y↑λ≠¥ī)直保持這(zhè)個(gè)連接,以很(hěn)低(dī)的(de∞•)速度讀(dú)取Response,比如πλ↔¥(rú)很(hěn)長(cháng)一(yī)段時(shí)間(jiān) 客戶端不(bù)讀(dú)取任何數(shù)據,通(tōng)過發送Zero≈✔ Window到(dào)服務器(qì),讓服務器(qì)誤以★✔$←為(wèi)客戶端很(hěn)忙,直到(dào)連接快(kuài)超時(shí∞≤)前才讀(dú)取一(yī)個(gè)字節,以消耗服務✔≤器(qì)的(de)連接和(hé)內(nèi)存資源。
哪些(xiē)服務器(qì)易被慢(màn)速攻擊
慢(màn)速攻擊主要(yào)利用(yò∏♥☆ng)的(de)是(shì)thread-based架 ÷&構的(de)服務器(qì)的(de)特性,這(zhè)種服務器(qì)會(h™£↔•uì)為(wèi)每個(gè)新連接打開(kāi)一(yī)個(gè)★÷Ω線程,它會(huì)等待接收完整個(gè)HTTP頭部才∏'會(huì)釋放(fàng)連接。比如(rú)Apache會$(huì)有(yǒu)一(yī)個(gè)超≥∑↕Ω時(shí)時(shí)間(jiān)來(★£ lái)等待這(zhè)種不(bù)完全連接(默認是(shì)300↕♣s),但(dàn)是(shì)一(yī)旦φ•接收到(dào)客戶端發來(lái)的(de)數(shù)←•α據,這(zhè)個(gè)超時(shí)時(shí)間(jiān&✘)會(huì)被重置。正是(shì)因為(wèi)這(z£✔hè)樣,攻擊者可(kě)以很(hěn)容易保持住一₹₽(yī)個(gè)連接,因為(wèi)攻擊者隻需要(yà∏Ωo)在即将超時(shí)之前發送一(yī)個 ™>♣(gè)字符,便可(kě)以延長(cháng)超時(shí)時(shí)間(×"jiān)。而客戶端隻需要(yào)很(hěn)少(sh↕→ǎo)的(de)資源,便可(kě)以打開(kāi)多(duō)個(gè)連接♦ ♠,進而占用(yòng)服務器(qì)很(hěn)多(duō)的(de)資源。♣"
經驗證,Apache、httpd采用(yòng)thread-based架構"≥,很(hěn)容易遭受慢(màn)速攻擊。而另外(wài)一(y☆←ī)種event-based架構的(de)服務器(qì),比如(rú)ngi∏∏ ©nx和(hé)lighttpd則不(bù)容易遭受慢(màn)速攻擊。'☆γ↓
防禦原理(lǐ)
針對(duì)HTTP慢(màn)速攻擊的(de)特點,A×nti-DDoS設備對(duì)每秒(miǎo)鐘(zhōng)Ω¶↑HTTP并發連接數(shù)進行(xíng)檢查,♥↔當每秒(miǎo)鐘(zhōng)HTTP并發連接數(shù)超σ£¶過設定值時(shí),會(huì)觸發HTTP報£&(bào)文(wén)檢查,檢查出以下(xià)任意一→δπ(yī)種情況,都(dōu)認定受到(dào)H♦♥®₽TTP慢(màn)速連接攻擊,則将該源IP地(dì)址判定為(wèi)攻擊≈•₹↑源,加入動态黑(hēi)名單,同時(shí)斷開(kāi)此I©α$P地(dì)址與HTTP服務器(qì)的(de)連接。
連續多(duō)個(gè)HTTP POST報(bào)文( §αwén)的(de)總長(cháng)度都(dōu)很(hěn)大(dà∞>×),但(dàn)是(shì)其HTTP載荷長(cháng)度都(↔✘dōu)很(hěn)小(xiǎo)。
連續多(duō)個(gè)HTTP GET/POST報(bào)↓文(wén)的(de)報(bào)文(wén)λλ©頭都(dōu)沒有(yǒu)結束标識。
慢(màn)速攻擊怎麽防禦?
傳統的(de)CC攻擊防禦主要(yào)是(shì)通(tōng)過阈值的(dδ↕e)方式來(lái)防護,進行(xíng) $流量清洗,而對(duì)于慢(màn)速 ∏✔攻擊而言,這(zhè)種防禦方式效果并不(bù)明(míng)顯。根據慢Ω§α(màn)速攻擊的(de)攻擊原理(lǐ),可(kě)以通(tōng™☆←₩)過墨者安全自(zì)研的(de)WAF指紋識βα别架構,過濾掉異常的(de)CC攻擊流量。不β ✔(bù)管是(shì)CC攻擊還(hái)是(sα♠♠↔hì)DDoS攻擊,如(rú)果沒有(yǒu)提前做(zuò)好(∏$hǎo)防護措施,都(dōu)會(huì)給企業(yè∑↕)造成難以估算(suàn)的(de)經濟損失。所以企業(yè)一(yī)定要( ≠yào)提高(gāo)網絡安全意識,提前做(zuò)好(hǎo)網絡安 €§全防護措施,保障企業(yè)網絡安全。
一(yī)說(shuō)起慢(màn)速攻擊,就(jiù)₽•×✔要(yào)談談它的(de)成名曆史了(le)。HTTP Po'♠δst慢(màn)速DoS攻擊第一(yī)次在技(jì)術(shù)社區(q>↕β₩ū)被正式披露是(shì)2012年(nián)的(de) π♠OWASP大(dà)會(huì)上(shàng),由W ✘★€ong Onn Chee 和(hé) Tom Brenna← ✔n共同演示了(le)使用(yòng)這(₹→♣×zhè)一(yī)技(jì)術(shù)攻擊的(de)威力。
今天墨者安全就(jiù)來(lái)說(shuō)說(shuō)CC攻擊的→♠(de)一(yī)個(gè)變異品種--慢(màn)速¶≠攻擊。
慢(màn)速攻擊的(de)攻擊原理(lǐ):
對(duì)任何一(yī)個(gè)開(kσ ↕āi)放(fàng)了(le)HTTP訪問(wèn)的(de)服務器(qì )HTTP服務器(qì),先建立了(le)一(yī)個(gè)連接,指定一(y₽→☆ī)個(gè)比較大(dà)的(de)content&♠®-length,然後以非常低(dī)的(de)速度發×>包,比如(rú)1-10s發一(yī)個(gè)字節,然後維β€₽持住這(zhè)個(gè)連接不(bù)斷開(kāi)。如β±™γ(rú)果客戶端持續建立這(zhè)樣的(de)連₹↑接,那(nà)麽服務器(qì)上(shàng)可(k€$ě)用(yòng)的(de)連接将一(yī)點一(yī)點被占滿,從•××(cóng)而導緻拒絕服務。
和(hé)CC攻擊一(yī)樣,隻要(yào)Web服務器(q £✘ì)開(kāi)放(fàng)了(le)Web服務,那(nà)麽÷✘它就(jiù)可(kě)以是(shì)一(yī)個(gè)靶子(zǐ),HTT↑σP協議(yì)在接收到(dào)request之前✘是(shì)不(bù)對(duì)請(qǐng)求內(nèi)容§₹作(zuò)校(xiào)驗的(de),所以即使你(nǐ)的(d♦λe)Web應用(yòng)沒有(yǒu)可(kě)用(yòng)的(£✘de)form表單,這(zhè)個(gè)攻擊一(yī)樣有(y→γ≈"ǒu)效。
在客戶端以單線程方式建立較大(dà)數(sh↑®γù)量的(de)無用(yòng)連接,并保持持續發包的↕≈±(de)代價非常的(de)低(dī)廉。實際試¶∑"£驗中一(yī)台普通(tōng)PC可(kě)以建立的(de)連接在←$✘φ3000個(gè)以上(shàng)。這(zhè)對(duì)一(yī)台☆♦↕☆普通(tōng)的(de)web server,将是(shì)緻命的(d∞δe)打擊。更不(bù)用(yòng)說(shuλ♥ō)結合肉雞群做(zuò)分(fēn)布式DOS了(le)。
鑒于此攻擊簡單的(de)利用(yòng) ∏程度、拒絕服務的(de)後果、帶有(yǒu)逃逸特₹₽性的(de)攻擊方式,這(zhè)類攻擊一(yī)炮而紅(hóng)∏×☆✘,成為(wèi)衆多(duō)攻擊者的(de)研究和(hé)利用(yòng¥λγ)對(duì)象。
慢(màn)速攻擊的(de)種類:
Slow body:攻擊者發送一(yī)個(gè)HTTP POS✘✔T請(qǐng)求,該請(qǐng)求的(de)Cont™ε'εent-Length頭部值很(hěn)大(dà),使得(de)We¥γb服務器(qì)或代理(lǐ)認為(wèi)客戶端要(yào)發∏≈≈送很(hěn)大(dà)的(de)數(shù)據。¥¥↔服務器(qì)會(huì)保持連接準備接收數(shù)據,但(dàn)攻擊↕≈ 客戶端每次隻發送很(hěn)少(shǎo)量的(de)數(shù)據,使該✘∑<₽連接一(yī)直保持存活,消耗服務器(qì)的(de)連接和(hé)內(nèi♠↓←)存資源。
Slow headers:Web應用(yòng)在處理(lǐ↔∞<)HTTP請(qǐng)求之前都(dōu)要(yào)先接收完所有( ↔÷yǒu)的(de)http頭部,因為(wèi)HTTP頭部中包含了(≥>le)一(yī)些(xiē)Web應用(yòng¥±)可(kě)能(néng)用(yòng)到(dào)的(de)重要(yàoλ$εα)的(de)信息。攻擊者利用(yòng)這(z¶∞Ωhè)點,發起一(yī)個(gè)HTTP請(qǐng)求,一(yφ↓ī)直不(bù)停的(de)發送HTTP頭部,消耗服務器(qì)的(de)連接$₩♠ε和(hé)內(nèi)存資源。
Slow read:客戶端與服務器(qì)建立連接并發送了(le₽✔)一(yī)個(gè)HTTP請(qǐng)求,客戶端發送完整的(de)♣ ₹請(qǐng)求給服務器(qì)端,然後一(y↑λ≠¥ī)直保持這(zhè)個(gè)連接,以很(hěn)低(dī)的(de∞•)速度讀(dú)取Response,比如πλ↔¥(rú)很(hěn)長(cháng)一(yī)段時(shí)間(jiān) 客戶端不(bù)讀(dú)取任何數(shù)據,通(tōng)過發送Zero≈✔ Window到(dào)服務器(qì),讓服務器(qì)誤以★✔$←為(wèi)客戶端很(hěn)忙,直到(dào)連接快(kuài)超時(shí∞≤)前才讀(dú)取一(yī)個(gè)字節,以消耗服務✔≤器(qì)的(de)連接和(hé)內(nèi)存資源。
哪些(xiē)服務器(qì)易被慢(màn)速攻擊
慢(màn)速攻擊主要(yào)利用(yò∏♥☆ng)的(de)是(shì)thread-based架 ÷&構的(de)服務器(qì)的(de)特性,這(zhè)種服務器(qì)會(h™£↔•uì)為(wèi)每個(gè)新連接打開(kāi)一(yī)個(gè)★÷Ω線程,它會(huì)等待接收完整個(gè)HTTP頭部才∏'會(huì)釋放(fàng)連接。比如(rú)Apache會$(huì)有(yǒu)一(yī)個(gè)超≥∑↕Ω時(shí)時(shí)間(jiān)來(★£ lái)等待這(zhè)種不(bù)完全連接(默認是(shì)300↕♣s),但(dàn)是(shì)一(yī)旦φ•接收到(dào)客戶端發來(lái)的(de)數(shù)←•α據,這(zhè)個(gè)超時(shí)時(shí)間(jiān&✘)會(huì)被重置。正是(shì)因為(wèi)這(z£✔hè)樣,攻擊者可(kě)以很(hěn)容易保持住一₹₽(yī)個(gè)連接,因為(wèi)攻擊者隻需要(yà∏Ωo)在即将超時(shí)之前發送一(yī)個 ™>♣(gè)字符,便可(kě)以延長(cháng)超時(shí)時(shí)間(×"jiān)。而客戶端隻需要(yào)很(hěn)少(sh↕→ǎo)的(de)資源,便可(kě)以打開(kāi)多(duō)個(gè)連接♦ ♠,進而占用(yòng)服務器(qì)很(hěn)多(duō)的(de)資源。♣"
經驗證,Apache、httpd采用(yòng)thread-based架構"≥,很(hěn)容易遭受慢(màn)速攻擊。而另外(wài)一(y☆←ī)種event-based架構的(de)服務器(qì),比如(rú)ngi∏∏ ©nx和(hé)lighttpd則不(bù)容易遭受慢(màn)速攻擊。'☆γ↓
防禦原理(lǐ)
針對(duì)HTTP慢(màn)速攻擊的(de)特點,A×nti-DDoS設備對(duì)每秒(miǎo)鐘(zhōng)Ω¶↑HTTP并發連接數(shù)進行(xíng)檢查,♥↔當每秒(miǎo)鐘(zhōng)HTTP并發連接數(shù)超σ£¶過設定值時(shí),會(huì)觸發HTTP報£&(bào)文(wén)檢查,檢查出以下(xià)任意一→δπ(yī)種情況,都(dōu)認定受到(dào)H♦♥®₽TTP慢(màn)速連接攻擊,則将該源IP地(dì)址判定為(wèi)攻擊≈•₹↑源,加入動态黑(hēi)名單,同時(shí)斷開(kāi)此I©α$P地(dì)址與HTTP服務器(qì)的(de)連接。
連續多(duō)個(gè)HTTP POST報(bào)文( §αwén)的(de)總長(cháng)度都(dōu)很(hěn)大(dà∞>×),但(dàn)是(shì)其HTTP載荷長(cháng)度都(↔✘dōu)很(hěn)小(xiǎo)。
連續多(duō)個(gè)HTTP GET/POST報(bào)↓文(wén)的(de)報(bào)文(wén)λλ©頭都(dōu)沒有(yǒu)結束标識。
慢(màn)速攻擊怎麽防禦?
傳統的(de)CC攻擊防禦主要(yào)是(shì)通(tōng)過阈值的(dδ↕e)方式來(lái)防護,進行(xíng) $流量清洗,而對(duì)于慢(màn)速 ∏✔攻擊而言,這(zhè)種防禦方式效果并不(bù)明(míng)顯。根據慢Ω§α(màn)速攻擊的(de)攻擊原理(lǐ),可(kě)以通(tōng™☆←₩)過墨者安全自(zì)研的(de)WAF指紋識βα别架構,過濾掉異常的(de)CC攻擊流量。不β ✔(bù)管是(shì)CC攻擊還(hái)是(sα♠♠↔hì)DDoS攻擊,如(rú)果沒有(yǒu)提前做(zuò)好(∏$hǎo)防護措施,都(dōu)會(huì)給企業(yè∑↕)造成難以估算(suàn)的(de)經濟損失。所以企業(yè)一(yī)定要( ≠yào)提高(gāo)網絡安全意識,提前做(zuò)好(hǎo)網絡安 €§全防護措施,保障企業(yè)網絡安全。
熱(rè)門(mén)文(wén)章(zδ≥hāng)
最新文(wén)章( €zhāng)
-
國(guó)外(wài)遊戲公司的(de) ↑₩•βIP 封鎖之道(dào)(圖文(wén))國(guó)外(wài)遊戲公司封鎖 IP 的(de)背景複雜(zá)多(∑γ duō)樣,主要(yào)有(yǒu)以下(xià)幾個(gè)方面α。
一(yī)方面,防止惡意流量攻擊是(shì) -
《DNS 服務器(qì)欺騙請(qǐng)求放(fàng)大(dà₩) DDoS:網絡安全的(de)隐形威脅》(圖文(wén))DNS 服務器(qì)欺騙請(qǐng)求放(fàng)大(dà←₹£) DDoS 是(shì)一(yī)種極具破壞力的(de)網絡攻擊©★手段。其主要(yào)特點是(shì)利用(yòng)了(le) D
-
DDOS 攻擊下(xià)服務器(qì)宕機(jī)後的(de)處理(©≤λ↑lǐ)辦法(圖文(wén))DDOS 攻擊的(de)常見(jiàn)形式
DDOS 攻擊有(yǒu)多(duō)種常見(jiàn)形式。其中,SY←✔λN Flood 攻擊利用(yòng) TCP ★×∑三次握手 -
DNS 服務器(qì)欺騙請(qǐng)求放(f✔&àng)大(dà) DDoS:網絡安全的(de)隐形威脅(圖文(w€♣∞én))DNS 服務器(qì)欺騙請(qǐng)求放(fàng)大($♥∑dà) DDoS 是(shì)一(yī)種極具威脅性的(de§★<)網絡攻擊方式。攻擊者通(tōng)過操縱受損的(de)
-
CC 防護配置:守護網絡安全的(de)堅實護盾(圖文(wé®<Ωn))CC 攻擊是(shì)一(yī)種常見(jiàn₩ ≈∞)的(de)網絡攻擊方式,具有(yǒu)以下(xià)特點: 請(✘≈qǐng)求模拟真實有(yǒu)效請(qǐ $€€ng)求,難以拒絕。攻擊者
-
墨者安全以數(shù)字內(nèi)容資産化(huà≤₩")及交易、網絡安全防護及數(shù)據安全保護為(wèi♥σ)核心,基于大(dà)數(shù)據內(nèi)容智能(néng)精準♥¶分(fēn)析及應用(yòng)為(wèi)基礎拓展多(duō)級©↑生(shēng)态産品線MORE ABOUT US >
Copyright © 2020 深圳市墨者安全科技有★Ω限公司 版權所有(yǒu)
- 京ICP證000000号
-
粵公網安備 44030502003892号
粵網信備44030519847610230019号
