安全

  |  手机版

收藏网站

投稿QQ:1745232315

IT专家网,汇聚专业声音 解析IT潮流 IT专家网,汇聚专业声音 解析IT潮流

网络

专家视点在现场环球瞭望
IT专家网 > 安全

浅析防御僵尸网络基于应用层的DDOS攻击

作者:梭子鱼出处:IT专家网2013-08-26 14:37

  近期数据显示,针对应用层的DDOS攻击有加速的趋势。据预测,基于应用层的DDOS攻击每年以三倍的速度增长,Gartner预测DDOS攻击会占2013年所有的应用层攻击中的25%左右。研究指出,黑客现在利用DDOS攻击来分散安全管理员的注意力从而伺机窃取敏感信息或者用户账号中的金钱。Verizon在2012年的数据外泄研究报告中指出“这些攻击比别的攻击更加令人恐惧,无论是真的发生的或者是基于设想的。”连接互联网的设备,社交网络,和云计算的发展更是加速了这些新型的攻击变化。

  过去,DDOS攻击使用大量伪造的UDP, TCP SYN, 或者ICMP流量来意图淹没目标网络。各种供应商提供了不同的解决方案来对付他们,包括各种边界设备和服务提供商提供的防御服务,如,ISPs防火墙,云服务,CDN清洗平台。然而,当今的攻击平台已经进化到包含应用层的DDOS攻击,目标是Web系统和DNS系统。而且,从攻击者的角度来看,应用层的DDOS攻击需要更少的资源和可以更隐秘地进行,他们能使用网络基础设施仍然能有回应的情况下,秘密地使应用服务不可访问,达到拒绝服务的效果。

  接下来,我们简要阐述一些典型的针对应用层的DDOS攻击以及防御解决方案。

  僵尸网络和应用层DDOS攻击

  僵尸网络是感染了恶意程序的网络计算机被C&C服务器控制的一个庞大网络。最新攻击不仅使网络计算机,还能使更多的移动设备和基于云的设备也成为肉鸡。复杂的僵尸网络程序,如Mebroot,可以运行在操作系统之前,避免防病毒软件的检测,从而可以随心所欲地控制成为肉鸡的计算机。

  僵尸网络与C&C服务器之间的通讯是在隐蔽的信道中进行的,并且经过加密,采用先进的逃逸技术来掩盖踪迹,可以轻易地穿过防火墙而不被察觉。控制僵尸网络的黑客,通过C&C僵尸网络控制服务器来发布攻击指令,如发送垃圾邮件,DDOS攻击,遍历银行个人用户密码信息或者信用卡号等信息。

  目前,租用或者创建僵尸网络已经成为繁荣的地下市场。以下的DIY Zeus僵尸网络统计图显示了被感染计算机的地理位置分布情况:

  虽然防御DDOS攻击非常重要,但是防止您的应用服务器和网络资源变成僵尸网络的一部分也同样重要。把应用服务器变为僵尸网络的肉鸡对于黑客来说具有非常大的吸引力,因为服务器可以为他们提供更庞大的系统攻击资源和为他们获取更多的肉鸡提供优秀的平台。

  应用服务器通常会含有定制的,自带的,或者是第三方的应用程序。任何的零日漏洞都会导致被黑客攻击而使您的服务器或网络资源成为僵尸网络的活动区域。梭子鱼Web应用防火墙提供健壮的安全特性来防止恶意软件的上传,命令注入,目录遍历,或者任何其他诸如探测或者攻击等的入侵应用服务器的行为。

  防御HTTP GET和POST洪水攻击

  Web应用通常会有一些调用数据库,内存或者CPU运算等的比较消耗资源的页面或者接口。例如,文本搜索,僵尸网络会频繁地访问这些页面导致Web应用崩溃。

  对于这种情况,梭子鱼第一层的保护是为特定的应用设定合适的人为访问阀值。例如,人们访问银行业务的应用大概会在1分钟内访问10个页面,那我们就把这个阀值设置好,而且,人为的访问会带有有效的客户端报头,如Cookies和Referrers报头。一般通过脚本程序来访问的话都不会有这方面的信息。

相关文章

关键词:僵尸网络,应用安全,DDoS

责任编辑:周钜翔

网警备案