安全

  |  手机版

收藏网站

投稿QQ:1745232315

IT专家网,汇聚专业声音 解析IT潮流 IT专家网,汇聚专业声音 解析IT潮流

网络

专家视点在现场环球瞭望
IT专家网 > 安全

浅析防御僵尸网络基于应用层的DDOS攻击

作者:梭子鱼出处:IT专家网2013-08-26 14:37

  防御HTTP“Slow Attacks”

  一些攻击手段会使僵尸主机与攻击目标的交互停留在局部的请求与应答当中,并且提供满足最低交互要求的数据以防止服务器访问超时关闭会话。这种攻击以消耗系统资源来使得应用处理效率降低,最后导致服务器没有能力再处理新来的请求流量。这种攻击称为“low and slow”攻击,因为只需要小部分的客户端通过较低的网络带宽就可以暗地里地和慢慢地完成对服务器的DDOS攻击,这种攻击目前非常流行。

  Slowloris攻击是典型的Slow攻击,它会在一定的时间间隔内向攻击目标服务器重复初始化和发送HTTP报头,但是却不会把报头发送完毕,这使得服务器线程和网络资源不能被释放出来,最终导致服务器资源耗尽达到拒绝服务攻击的效果。从协议的合规性分析,这种攻击流量是正常的流量,所以依靠特征库和黑名单技术的防护设备是检测不出这种攻击的。

  凭借着反向代理技术,协议和应用可视性的优势,梭子鱼Web应用防火墙可以识别和阻断不正常的流量,通过自适应安全算法监控不断增长和聚合的通讯流量,关闭恶意连接,从而防止这些恶意流量过度地消耗系统资源。

  基于客户端完整性检查防御僵尸网络攻击

  除了像Google和百度这些搜索引擎索引Web页面之外,面向互联网访问的绝大部分的Web应用流量都是来自于用户的浏览器,如Internet Explorer, Firefox, Chrome, 或者 Safari等。然而来自僵尸网络的流量通常由自动化的脚本程序产生,和浏览器正常产生的流量不一样。因此,采用一些探测性的算法可以把人为产生的流量和僵尸网络产生的流量区分开来。

  梭子鱼Web应用防火墙提供两种方法来检测和过滤产生这些流量的源头。第一种方法是,通过在可疑的客户端访问中插入检测指令来检验Web浏览器和应用会话是否正常,这是一种被动的挑战应答方式,这种方式不会干涉正常的人为访问流量,但是可以检测和阻断僵尸网络产生的流量。第二种方法是主动的挑战应答方式,通过验证码的方式验证客户端的访问是否正常,这种方法不需要修改后端Web服务器的任何配置。

  由于验证码验证方式会干涉用户的访问,所以企业和组织可以合理利用这两种被动和主动的检测算法,只对经过被动式检测到的可疑客户端使用主动式的验证码验证方式。

  使用地理位置IP信息降低DDOS攻击的可能性

  僵尸网络分布于世界各个角落,在某些国家和地区尤为严重,在不同的地理位置发动攻击。梭子鱼Web应用防火墙具有内置的地理位置IP信息库,可以定位具体发动攻击的IP地址的地理位置。在攻击发生过程中,可以使用该功能阻断来自某个发动攻击的主要国家或地区的攻击流量。

  根据僵尸网络分布的足迹,大约30%-70%的攻击流量可以被基于地理位置的访问控制策略阻断。这不仅仅可以使您可以继续为正常地区的用户提供Web应用服务,而且可以释放系统资源和网络带宽。

相关文章

关键词:僵尸网络,应用安全,DDoS

责任编辑:周钜翔

网警备案