2023-06-22 分類: 網(wǎng)站建設
HTTP 流量主導著互聯(lián)網(wǎng)。數(shù)據(jù)中心也經(jīng)歷了大量的 HTTP 流量,許多企業(yè)看到越來越多的收入來自在線銷售。然而,隨著流行度的增長,風險隨之增長,并且就像任何協(xié)議一樣,HTTP 很容易受到攻擊。創(chuàng)新互聯(lián)將為您描述針對 HTTP 服務器發(fā)起的常見 DDoS 攻擊。
首先,HTTP 通過 TCP 運行。因此,Web 服務器可能面臨許多與 TCP 相關的攻擊。在規(guī)劃 HTTP 服務保護時,請務必記住,攻擊面比 HTTP 協(xié)議更廣泛。今天任何 DDoS 攻擊都使用多個向量來創(chuàng)建拒絕服務,為了防止它,人們應該能夠保護所有這些向量。
一、常見的 TCP 網(wǎng)絡攻擊
• SYN 泛濫- 可能是其中最古老的,但在大多數(shù)攻擊中仍然用作矢量。攻擊者正在發(fā)送許多發(fā)送到服務器的 SYN 數(shù)據(jù)包。由于攻擊不需要查看返回流量,因此 IP 不必是真實的,通常是欺騙性 IP。這使得更難理解攻擊的來源,并幫助攻擊者保持匿名。這些年來,SYN 攻擊技術仍在發(fā)展之中。
SYN 攻擊背后的主要思想是發(fā)送大量 SYN 數(shù)據(jù)包以耗盡為 TCP IP 堆棧中分配的內存。多年來,SYN 攻擊變得越來越復雜。最新的變種是 Tsunami SYN Flood Attack,它使用帶有 TCP SYN 位的大數(shù)據(jù)包來飽和互聯(lián)網(wǎng)管道,同時對 TCP IP 堆棧造成并行損壞。
• 除了 SYN 泛洪之外,TCP 網(wǎng)絡攻擊正在利用所有其他 TCP,ACK 泛洪、RST 泛洪、推送 - 發(fā)送泛洪、FIN 泛洪及其任何組合都在各種攻擊中使用。攻擊者將嘗試一切,只要它有可能造成破壞。
HTTP L7 攻擊面很廣。HTTP L7 攻擊與上述網(wǎng)絡攻擊之間的主要區(qū)別在于,HTTP 事務需要有效的 IP - 不能欺騙 HTTP 請求的 IP,因為 TCP 握手需要 IP 接受并響應包。如果您不擁有 IP,則永遠無法建立連接。這種差異曾經(jīng)給想要使用 HTTP 攻擊的攻擊者帶來了很大困難,然而在當今世界,最近的物聯(lián)網(wǎng)僵尸網(wǎng)絡統(tǒng)治著它的攻擊面,擁有大量的真實 IP 地址不再被視為不可能的挑戰(zhàn)。從真實 IP 地址建立連接后,可以使用多種選項進行攻擊:
• 垃圾洪水 - 最不復雜的攻擊媒介是打開與 HTTP 端口(通常是端口 80 或 443)的連接,以向其發(fā)送垃圾二進制數(shù)據(jù)。這種攻擊通常在緩解中被忽略,因為服務器以及保護它的安全設備期望 “有效” 的 HTTP 流量。此攻擊的目的通常是在 Web 服務器中,甚至在其前面的緩解設備中泛洪內部緩沖區(qū)和隊列。這種攻擊有時也會用來使互聯(lián)網(wǎng)管道飽和,盡管有更容易的攻擊技術。
• GET 泛洪 - HTTP 協(xié)議的最常見用法是 GET 請求。GET 泛洪使用相同的 GET 請求方法,但數(shù)量很大。攻擊者試圖使服務器過載并停止提供合法的 GET 請求。此攻擊通常遵循 HTTP 協(xié)議標準,以避免使用 RFC fcompliancy 檢查進行緩解。
• 其他 HTTP 方法 - 除了常見的 GET 方法之外,HTTP 協(xié)議也允許其他方法,例如 HEAD,POST 等。使用這些方法的攻擊通常與 GET 泛洪并行使用,以便嘗試攻擊服務器代碼中較不常見的區(qū)域。POST 請求通常比 GET 請求大,因此大型 POST 請求比大型 GET 請求更不可疑,并且更有可能通過保護它的緩解設備不會注意到服務器。這允許服務器上更多的內存消耗,并且更多的機會拒絕服務。
• 反向帶寬泛濫 - 這些攻擊試圖讓服務器發(fā)送流量,使服務器的上行鏈路飽和到局域網(wǎng)或互聯(lián)網(wǎng)。即使服務器只有一個大頁面,攻擊者也可以為此特定頁面發(fā)送許多請求。這將使服務器一次又一次地發(fā)送它并使服務器自己的上行鏈路連接飽和。此技術用于避免從緩解設備進行檢測,緩解設備通常測量入站流量以進行飽和,而不是始終測量出站流量。
• HTTP 模糊和非行為字段 - 這些攻擊在特定 HTTP 協(xié)議字段上發(fā)送垃圾或錯誤值。攻擊將發(fā)送 G3T 請求(而不是 GET 請求),在 HTTP 版本 1,1(而不是 HTTP 1.1)上發(fā)送流量,依此類推。另一種選擇是在通信中的字段位置使用隨機值。攻擊者試圖使 Web 服務器崩潰,如果服務器沒有檢查這些輸入值的有效性,就會發(fā)生這種情況。請注意,與先前的攻擊不同,此攻擊不必消耗高流量或高 PPS - 它試圖在緩解設備 “雷達” 下造成損害。
• 低速和慢速攻擊 - 這些攻擊比使用模糊器消耗更低的 BW 和 PPS。攻擊使用非常少的流量,因此很難檢測到。此攻擊發(fā)送的是合法的 HTTP 流量,但速度非常慢。攻擊將使用許多小數(shù)據(jù)包發(fā)送 GET 請求,它們之間有很大的時間間隔。雖然這是根據(jù) HTTP 和 TCP 協(xié)議的合法行為,但這種行為消耗了服務器的大量資源 - 它需要保持連接打開,等待完整的請求到達。由于連接池有限,因此很容易達到游泳池飽和度,而且流量非常小。
• 緩存繞過攻擊 - 如今許多 Web 服務器都落后于 CDN,允許更快地將內容傳遞給全球的全球用戶。CDN 給服務器所有者帶來了錯誤的安全感,因為他們希望 CDN 在到達服務器之前阻止任何洪水。但是,通過發(fā)送對不可緩存內容的請求,可以輕松繞過 CDN 安全措施。對動態(tài)內容以及不存在的內容的請求將使 CDN 到達服務器。可以使用本文中描述的所有攻擊來攻擊服務器,并且 CDN 實際上將用作攻擊本身的一部分。
• OWASP 排名前 10 位的攻擊 - 除了上述攻擊之外,還有拒絕服務攻擊,還有更多的 HTTP 攻擊深入到 HTTP 協(xié)議中,并嘗試從服務器獲取其他資產(chǎn)。諸如跨端腳本、SQL 注入等攻擊試圖使服務器提供它不應該服務的內容。這種性質的前 10 名攻擊被稱為 OWASP 前 10 名。這些通常不是拒絕服務攻擊,Web 應用程序防火墻(WAF)為它們提供了好緩解。WAF 可以作為本地設備或云中的服務有效。
二、其他攻擊
值得注意的是,保護 Web 服務本身并不足以保證服務。其他攻擊仍然可能導致服務中斷。一個例子是通道飽和攻擊,即使 UDP 垃圾流量與 HTTP 無關。另一次攻擊是最近發(fā)現(xiàn)的 SMB 攻擊。所有這些攻擊都針對 Web 服務器周圍的服務 - 互聯(lián)網(wǎng)通道,同一設備提供的其他非 HTTP 服務等,以便創(chuàng)建拒絕服務。
另一種類型的攻擊是攻擊用于將域轉換為 IP 地址的 DNS 服務器。這種方法在 2016 年 10 月使用 Mirai 僵尸網(wǎng)絡在著名的 Dyn 攻擊中使用。值得注意的是,攻擊者能夠對 Twitter 和亞馬遜等大型網(wǎng)站進行拒絕服務,而不會向網(wǎng)站的方向發(fā)送任何數(shù)據(jù)包。相反,攻擊者攻擊了允許用戶訪問這些網(wǎng)站的互聯(lián)網(wǎng)基礎設施 - 他們攻擊了作為這些服務的 DNS 提供商的 Dyn,并導致網(wǎng)站進入拒絕服務狀態(tài)。
三、使用香港高防服務器、高防IP 防御 HTTP 攻擊
有許多 HTTP 攻擊可能導致拒絕服務。緩解這些攻擊的好方法是選擇可以處理所有這些攻擊的保護服務,例如香港高防服務器、高防IP 等。建立真正的 HTTP 攻擊防護的僅有方法是使用專精的高防服務,這些服務隨著時間的推移而發(fā)展。例如創(chuàng)新互聯(lián)高防服務器">香港高防服務器,可以全面防御超過 25 種 DDoS 變種攻擊及其任意組合,防御峰值高達 310Gbps。擁有香港高防服務器只是成功的一半。與以安全為中心的公司合作非常重要,創(chuàng)新互聯(lián)可以提供受到攻擊的專家建議,并發(fā)展和開發(fā)其工具來應對不斷演變的攻擊。對于 Web 服務以及整個互聯(lián)網(wǎng),每一秒都很重要。保持站點始終運行并非易事,但可以使用正確的產(chǎn)品來完成。
新聞標題:HTTP攻擊有哪些類型以及怎樣防御
本文網(wǎng)址:http://jinyejixie.com/news19/266269.html
成都網(wǎng)站建設公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站營銷、移動網(wǎng)站建設、電子商務、動態(tài)網(wǎng)站、網(wǎng)站維護、外貿網(wǎng)站建設
聲明:本網(wǎng)站發(fā)布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經(jīng)允許不得轉載,或轉載時需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內容