域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)
HTTP 中文名稱為超文本傳輸協(xié)議,常被用于 Web 服務(wù)請(qǐng)求和響應(yīng)數(shù)據(jù)的傳輸。常見(jiàn)的 HTTP 請(qǐng)求有 GET 請(qǐng)求和 POST 請(qǐng)求兩種。通常,GET 請(qǐng)求用于從 Web 服務(wù)器獲取數(shù)據(jù)和資源,例如請(qǐng)求頁(yè)面、獲取圖片和文檔等;
POST 請(qǐng)求用于向 Web 服務(wù)器提交數(shù)據(jù)和資源,例如發(fā)送用戶名/密碼、上傳文件等。在處理這些 HTTP 請(qǐng)求的過(guò)程中,Web 服務(wù)器通常需要解析請(qǐng)求、處理和執(zhí)行服務(wù)端腳本、驗(yàn)證用戶權(quán)限并多次訪問(wèn)數(shù)據(jù)庫(kù),這會(huì)消耗大量的計(jì)算資源和 IO 訪問(wèn)資源。
HTTP Flood(俗稱 CC 攻擊)是針對(duì) Web 服務(wù)在第七層協(xié)議發(fā)起的攻擊。攻擊者相較其他三層和四層,并不需要控制大量的肉雞,取而代之的是通過(guò)端口掃描程序在互聯(lián)網(wǎng)上尋找匿名的 HTTP 代理或者 SOCKS 代理,攻擊者通過(guò)匿名代理對(duì)攻擊目標(biāo)發(fā)起HTTP 請(qǐng)求。匿名代理服務(wù)器在互聯(lián)網(wǎng)上廣泛存在。因此攻擊容易發(fā)起而且可以保持長(zhǎng)期高強(qiáng)度的持續(xù)攻擊,同樣可以隱藏攻擊者來(lái)源避免被追查。HTTP/CC 攻擊的特點(diǎn):
HTTP/CC 攻擊的 ip 都是真實(shí)的,分散的
HTTP/CC 攻擊的數(shù)據(jù)包都是正常的數(shù)據(jù)包
HTTP/CC 攻擊的請(qǐng)求都是有效請(qǐng)求,且無(wú)法拒絕
HTTP/CC 攻擊的是網(wǎng)頁(yè),服務(wù)器可以連接,ping 也沒(méi)問(wèn)題,但是網(wǎng)頁(yè)就是訪問(wèn)不了
如果 IIS 一開(kāi),服務(wù)器很快就死,容易丟包
用三胖的話描述,HTTP/CC 攻擊 就是攻擊者對(duì)受攻擊目標(biāo)秀演技,演的越好越像正常訪問(wèn)者,就越不容易被目標(biāo)識(shí)別,越不容易被過(guò)濾,達(dá)到對(duì)目標(biāo)服務(wù)器資源造成消耗的目的。
那如何造成更大的殺傷呢。
Web 服務(wù)與 DNS 服務(wù)類似,也存在緩存機(jī)制。如果攻擊者的大量請(qǐng)求命中了服務(wù)器緩存,那么這種攻擊的主要作用僅體現(xiàn)在消耗網(wǎng)絡(luò)帶寬資源上,對(duì)于計(jì)算和IO資源的消耗是非常有限的。因此,高效的 HTTP/CC 攻擊 應(yīng)不斷發(fā)出針對(duì)不同資源和頁(yè)面的 HTTP請(qǐng)求,并盡可能請(qǐng)求無(wú)法被緩存的資源( 如關(guān)鍵詞搜索結(jié)果、用戶相關(guān)資料等 ),這樣才能更好的加重服務(wù)器的負(fù)擔(dān),達(dá)到理想的攻擊效果。當(dāng)然 HTTP/CC 攻擊也會(huì)引起嚴(yán)重的連鎖反應(yīng),不僅僅是直接導(dǎo)致被攻擊的Web前端響應(yīng)緩慢,還間接攻擊到后端的 Java 等業(yè)務(wù)層邏輯以及更后端的數(shù)據(jù)庫(kù)服務(wù),增大它們的壓力,HTTP/CC攻擊產(chǎn)生的海量日志數(shù)據(jù)甚至?xí)?duì)日志存儲(chǔ)服務(wù)器都帶來(lái)影響。
如果 Web 服務(wù)器支持HTTPS,那么進(jìn)行HTTPS洪水攻擊是更為有效的一種攻擊方式。原因有二,其一,在進(jìn)行 HTTPS 通信時(shí),Web 服務(wù)器需要消耗更多的資源用來(lái)認(rèn)證和加解密。其二,目前一部分防護(hù)設(shè)備無(wú)法對(duì)HTTPS通信數(shù)據(jù)流進(jìn)行處理,會(huì)導(dǎo)致攻擊流量繞過(guò)防護(hù)設(shè)備,直接對(duì) Web 服務(wù)器造成攻擊。
攻擊靠演技,防護(hù)當(dāng)然是靠火眼精睛叻。HTTP/CC 攻擊 防御主要通過(guò)緩存的方式進(jìn)行,盡量由設(shè)備的緩存直接返回結(jié)果來(lái)保護(hù)后端業(yè)務(wù)。當(dāng)高級(jí)攻擊者穿透緩存時(shí),清洗設(shè)備會(huì)截獲HTTP請(qǐng)求做特殊處理。早期的方法是對(duì)源 IP 的 HTTP 請(qǐng)求頻率設(shè)定閾值,高于既定閾值的 IP 地址加入黑名單。這種方法過(guò)于簡(jiǎn)單,容易帶來(lái)誤殺,并且無(wú)法屏蔽來(lái)自代理服務(wù)器的攻擊,因此逐漸廢止,取而代之的是基于JavaScript跳轉(zhuǎn)的人機(jī)識(shí)別方案。
HTTP Flood 是由程序模擬HTTP請(qǐng)求,一般來(lái)說(shuō)不會(huì)解析服務(wù)端返回?cái)?shù)據(jù),更不會(huì)解析JS之類代碼。因此當(dāng)清洗設(shè)備截獲到 HTTP 請(qǐng)求時(shí),返回一段特殊JavaScript代碼,正常用戶的瀏覽器會(huì)處理并正常跳轉(zhuǎn)不影響使用,而攻擊程序會(huì)攻擊到空處。
由于HTTP/CC攻擊的偽裝方式千變?nèi)f化,很少有策略或者硬件防護(hù)能做到完美清洗,所以,針對(duì) HTTP/CC 攻擊,我們大多時(shí)候需要具備一定技術(shù)的網(wǎng)絡(luò)維護(hù)人員進(jìn)行見(jiàn)招拆招。
總的來(lái)講,HTTP/CC 攻擊 在于極力偽裝正常用戶消耗目標(biāo)服務(wù)器資源。而相應(yīng)的防護(hù)就在于受攻擊者能否精準(zhǔn)識(shí)別出攻擊者的偽裝,來(lái)個(gè)一針見(jiàn)血的策略來(lái)過(guò)濾垃圾訪問(wèn)。
本文來(lái)源:九河互聯(lián)——香港高防服務(wù)器租用()
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!