网络安全世界中,人们所熟悉的DDoS进犯(散布式拒绝服务进犯),大多数是对带宽或许网络的核算资源进行耗费,终究导致政策网络或许事务瘫痪,无法拜访。
除了常规的DDoS进犯,还有一类典型DDoS进犯办法,只需求很小的本钱,就能够完成更大的损坏作用。与常见的DDoS进犯不同的是,这种DDoS进犯办法能够直接进犯政策的运用层,一同还能够完成不瘫痪政策网络,只瘫痪政策事务。
火山引擎WAF技能团队撰文深入剖析了这种针对运用层DDoS进犯办法,并共享怎么运用火山引擎WAF完成有用防护。据悉,火山引擎WAF是一款开箱即用的网站和API防护产品,针对Web缝隙进犯、拜访控制、API进犯、Bot管理、敏感数据走漏等供给防护计划,全面确保企业的事务安全。
一、DDoS进犯,不止于网络传输层
网络世界里为人们所熟知的DDoS进犯,多数是经过对带宽或网络核算资源的继续、很多耗费,终究导致政策网络与事务的瘫痪;这类DDOS进犯,工作在OSI模型的网络层与传输层,运用协议特色结构歹意的恳求载荷来达成政策资源耗尽的意图。
除了这类在网络传输层大做文章的DDoS进犯,还有一类DDoS进犯把目光聚集到了运用层。随着互联网的飞速发展,接入流量逐年攀高,承载这些流量的网络运用也被黑产、黑客们盯上,在DDoS进犯场景中也不破例。
由于运用层流量更靠近事务逻辑,在运用层建议DDoS进犯能够一同对政策网络与政策服务器的稳定性形成要挟。除此之外,进犯者往往只需较小的带宽本钱,完成更大的损坏作用,这样的不对称性天然更受进犯者们的重视与青睐。
Cloudflare在 《DDoS Attack Trends for 2022 Q1》报告指出,全球范围内运用层DDoS进犯(首要是HTTP DDoS)呈现着继续增加的态势。在俄乌的网络战役中,HTTP DDoS进犯也扮演着重要的角色。
与此一同,运用层DDoS进犯的进犯方法与办法在也在不断演进晋级。从集中式高频恳求逐步演进为散布式低频恳求,从恳求报文中带着显着歹意特征改变为重放合法恳求流量,伪造搜索引擎爬虫流量等;而在进犯的频率与规划上,运用层DDoS进犯也呈现出不断增加的趋势。
针对进犯办法的晋级改变,事务防护能够从两方面着手应对:一是在运营对立上,在进犯产生的事前、事中和过后各阶段,经过整理财物信息、剖析进犯报文并进行特征提取、装备防护战略、复盘防护数据等办法不断提高防护对立作用;二是在防护才干建造上,能够引进支撑多维度特征组合的限速功用、JS Challenge、验证码等功用模块来提高对高档杂乱的运用层 DDoS进犯的辨认处置才干。与此一同,在流量接入链路中与CDN、LB、AGW等各接入层产品进行联动协作,经过在不同接入层级落地相关防护战略,完成进犯流量的分级收敛,在应对大规划运用层DDoS进犯时更能凸显防护作用。
二、0门槛,高收益,一键建议进犯
上面说到的运用层DDoS进犯,是经过向运用程序发送很多歹意恳求完成进犯作用,以每秒恳求数 (QPS) 来衡量进犯量级与规划;这类进犯也称为 7 层 DDoS 进犯,可针对和损坏特定的网络运用程序,而非整个网络。尽管这类 DDoS 进犯难以防备和抵御,但发动起来却相对比较简略,详细有多简略呢?
由于7层DDoS一般不需求过高的带宽本钱,也无需结构杂乱的协议运用报文,在黑灰产交易渠道,能够十分快捷地获取到建议7层DDoS的东西与服务。
 |
 |
|---|
即便是闻名、老练的互联网运用,在这类进犯面前也存在被攻陷的或许与危险。
三、HTTP DDoS进犯的类型与特色
3.1 进犯类型
7层DDoS进犯中,瘫痪政策运用与服务是首要政策,依据HTTP DDoS(CC)进犯建议的原理与方法,能够总结以下进犯类型:
- HTTP floods
这种进犯首要分为两种方法。第一种是HTTP GET request floods,进犯者经过结构HTTP GET恳求报文,向政策服务器发送针对特定资源的很多恳求。在客户端履行一条HTTP恳求的本钱很低,但是政策服务器做出对应的呼应本钱却或许很高。比如加载一个网页,服务端一般需求加载多个文件、查询数据库等才干做出呼应;例如在Web事务的防护中,关于有SSR(Server-side rendering)功用页面的HTTP floods进犯,其量级与频率更加杰出显着,也更简略对事务形成影响与损害。
第二种是HTTP POST request floods,与GET request floods的显着区别是,POST恳求往往需求带着表单参数或恳求体信息,而这一般意味着服务端需求对恳求内容进行相关解析处理,并将数据进行耐久化(一般需求进行DB操作)。发送POST恳求一般仅需较小的核算与带宽本钱,而服务端进行处理操作的进程往往耗费更高。能够说这种进犯方法下,形成这种恳求呼应间资源耗费差异的空间或或许性更大,更简略完成让服务器过载然后拒绝服务的政策。
- Large Payload POST requests
这类进犯一般经过POST办法发送容量大、结构杂乱的恳求体到政策服务器,使得政策服务器在解析这些恳求内容的进程产生过载(CPU或内存);一般来说,进犯者经过结构特定的序列化恳求体,如xml、json等,在服务端履行反序列化操作时引起服务过载。
- Asymmetric requests
这种类型的进犯望文生义,运用的便是恳求与呼应的非对称性,恳求的政策路径会履行高耗费操作而建议进犯恳求垂手可得。一般来说,这类进犯需求对政策服务有必定的熟悉与了解,明确进犯政策哪些地方存在这种非对称性运用的或许及运用方法。比如经过从数据库服务器下载大型文件或很多履行数据库的查询等接口,就简略被这种类型进犯所运用。
- Low&Slow attack(Slowloris/Slow Post/Read attack)
这种类型的进犯更多是面向衔接层面,以基于线程的Web服务器为政策,经过慢速恳求来绑缚每个服务器线程,然后耗费服务器的线程&衔接资源,这类进犯中首要可分为Slowloris、Slow Post/Read 几种进犯方法。
3.2 进犯特色
依据上述总结的HTTP DDoS进犯类型、原理与完成方法,能够总结出HTTP DDoS进犯具有以下特色:
- 进犯门槛、本钱低
相较于4层DDoS进犯,建议HTTP DDoS进犯往往无需结构杂乱的进犯报文,仅需较少的带宽就能完成强大的进犯作用。
- 进犯政策更精密
进犯的政策能够精密到服务接口粒度,例如直播页面等,而不需求瘫痪政策的网络也能让事务出现拒绝服务。
- 损坏范围广,损害程度高
尽管HTTP DDoS进犯的首要政策是瘫痪政策服务,但并不意味着对政策网络的可用性没有要挟。当HTTP floods量级到必定程度时,也存在瘫痪恳求接入层网络的或许性。
- 进犯源散布广,隐匿性强
实际的HTTP DDoS进犯中,进犯者常常运用规划庞大的肉鸡/署理IP,而HTTP DDoS进犯报文中往往不具有或具有难以发觉的歹意特征。对这些进犯源进行封禁处置作用有限甚至有误报危险,进犯者却能够随时更换新一批进犯源。
- 恳求特征简略假装,防护难度大
不同于Web注入进犯场景,HTTP DDoS的进犯恳求的报文特征常常处在一个难以断定好坏的区间,有时部分的反常特征不足以支撑履行阻拦决议计划。进犯者可经过模仿、重放正常恳求来建议进犯,即便在恳求报文中某些特征被防护方捕获并针对性处置,进犯者也能感知到并作出调整。
整体而言,一同杂乱的HTTP DDoS进犯,一般不会运用变形报文,也无需运用假装技巧。对比其他类型的DDoS进犯需求更少的带宽本钱就能瘫痪政策站点或服务,甚至特定的政策集群与接口。在影响政策事务可用性的一同,也或许对接入链路网络的稳定性构成要挟。这类进犯往往经过运用很多的肉鸡+IP署理池建议,所以简略的封禁战略往往难以起到预期作用。也正由于如此,在进行HTTP DDoS进犯防护进程,要求对事务有更深入的理解,关于进犯定制针对性战略来完成误报与漏报的平衡,这也是HTTP DDoS难以检测防护的原因。
四、兵来将挡,火山引擎WAF怎么完成有用防护
依据上述HTTP DDoS的类型与特色,关于来势汹汹的进犯流量,火山引擎WAF怎么完成有用防护呢?
依据进犯的原理与类型,能够大致分为三个首要的防护场景:
4.1 衔接型HTTP DDoS
这类型的HTTP DDoS进犯,对应上面说到的Low&Slow attack。由于进犯是经过树立TCP衔接后在传输HTTP报文的进程完成进犯作用,因而关于事务前面有7层接入层设备的事务(CDN、LB等),这类进犯会被前面的7层接入层设备所承载。所以关于许多事务而言,这类型的进犯感知或许并不显着,但并不表明这类进犯的损害程度低。相反如果针对特定7层接入设备进行此类型进犯,或许形成的事务影响面会更加广泛。
由于这类进犯的特色是“慢速”,那么WAF能够对HTTP的恳求header读取、恳求、呼应body的传输设置好超时时刻。当触发超时战略时可断开相应的TCP衔接,释放衔接资源。一同,可关于反常的header、body做检查与限制(如限制HTTP恳求header的数量)。还能够经过HTTP层面的精密化拜访控制来防止误伤场景(如正常事务的大文件传输场景)。
当然,要完成这些才干需求WAF与7层接入设备做好联动合作才干完成有用防护。
4.2 特征型HTTP DDoS
这类型的HTTP DDoS进犯,对应上面的Large Payload POST requests 和 Asymmetric requests,他们的共同点是需求完成这类HTTP DDoS进犯,在HTTP恳求报文中往往能够提取出要害反常特征。
例如,关于Large Payload POST requests,WAF可经过限制body长度,检查body内容合法性等办法来完成防护;
{
"title": "Liverpool FC (1 million more whitespace)",
"contentFormat": "html",
"content": "<h1>Liverpool FC</h1><p>You’ll never walk alone.</p>",
"canonicalUrl": "http://jamietalbot.com/posts/liverpool-fc",
"tags": ["football", "sport", "Liverpool"],
"publishStatus": "public"
}
例如针对上述的超大反常body,可经过WAF装备自定义战略限制body长度。
关于Asymmetric requests进犯,例如HTTP Range头运用的比如中,WAF可经过限制HTTP Range头的分片战略完成反常检测与防护;关于一些缝隙运用,特别是事务运用的服务框架、中间件产生的缝隙形成的DDoS,运用WAF的Web缝隙检测防护才干便能完成有用防护。
4.3 floods型HTTP DDoS
floods类型的HTTP DDoS在实际网络流量中更为干流与常见,影响事务稳定性的危险更大,是需求要点重视的防护场景;WAF在面对这类型进犯时,可依据floods类型HTTP DDoS进犯的特征、特色,剖析拆解防护战略,经过以下办法、步骤来完成有用防护:
第一步:链路整理,明确事务场景
当事务面对HTTP floods进犯防护需求时,首要需求整理清楚事务的流量接入链路。由于HTTP floods一般具有继续、量级规划大的特色,因而最佳的防护布置是首要经过在最外接入层完成(例如CDN),这样的长处很显着,能将歹意的进犯流量在最外层收敛,削减后续接入层的压力与本钱。但这并不意味着后续接入层无需布置防护,由于防护的精准程度与防护本钱往往是正相相关系,经过收敛的流量在靠近事务的接入层做更精密的检测、处置,往往收益更显着;
一同,明确事务服务的运用场景在应对HTTP floods进犯时也十分要害且必要,事务不同的host、path往往有不同的事务特征。比如后端负载才干、是否有登录态、WebApp还是Native App、是否有API调用场景等,只要在明确事务场景后才干更好地拟定精准、贴合事务需求的防护战略。
事务链路整理&防护布置
第二步:负载兜底,构建防护基线
在HTTP floods产生时,最基本的防护需求是要确保事务的可用性,不能出现因进犯而形成事务瘫痪的状况;在这个需求布景下,最快速有用的战略便是为事务拟定负载兜底战略。与事务共同整理清楚需求防护的政策财物(host、server cluster、path等),依据事务场景先装备全局/粗粒度的限速战略,完成对进犯流量的开始防护收敛;
一同,在明确政策防护财物的负载才干后,进行更细粒度的限流/过载维护战略装备,在流量过载的极点状况下优先确保服务的可用性,构建一层基线防护才干。
第三步:特征剖析,过滤歹意流量
采纳上述战略办法完成开始防护后,需求对HTTP floods流量进一步剖析过滤,才干在确保正常事务流量的一同将歹意流量拒之门外。这里就需求WAF供给基于HTTP恳求、呼应报文的多维组合、匹配才干,辨认出报文中的反常特征并供给针对性的处置办法。例如,在对立事务遭受的HTTP floods歹意流量进犯进程中,除了提取常见的反常IP,Params,UA,Referer,Cookie等特征进行封禁或限速处置外,还会将相关特征进行组合相关,为战略计算与呼应处置供给参考。
|
|
|---|
经过对进犯流量特征的剖析计算,在WAF上进行组合战略装备
除了经过WAF丰厚的特征剖析才干辨认歹意流量,在面对HTTP floods进犯时,供给丰厚、梯度的处置动作关于在防护进程平衡误伤危险也十分要害。WAF可供给封禁、限速、重定向、验证码、JS Challenge、自定义呼应等多种处置动作与特征辨认才干合作,为防护的精准性供给确保。
第四步:才干联动,提高防护作用
关于专业的HTTP floods进犯,进犯者会尽或许地模仿、重放正常的用户恳求流量。因而从“HTTP报文特征”去辨认防护歹意流量,或许还远不足以应对高档杂乱的HTTP floods进犯。关于HTTP floods进犯办法的继续晋级演进,除了从HTTP报文层面抽丝剥茧辨认反常,还需求联动其他维度的信息与才干来提高防护作用,详细而言体现在以下方面:
-
关于高档荫蔽的HTTP floods,进犯者必定需求足够的IP资源,这些IP往往来源于“肉鸡”IP或IP署理池,经过结合高质量的IP情报信息,能够在进犯产生时自动实时处置,完成精准防护;
-
一同,专业的HTTP floods进犯离不开自动化东西的支撑,这类东西往往具有BOT特征。经过对端侧信息的收集、校验,与每个恳求进行相关,能够在进犯产生时自动辨认歹意BOT流量,进一步提高防护作用。
WAF的JS Challenge功用,便是经过才干联动来提高防护作用的一个比如:
不同于对恳求报文检测来辨认反常这种“被动”的防护方法,JS Challenge功用经过在防护检测进程“自动”向客户端植入一段JS逻辑。经过运用前端浏览器的JS渲染履行才干,完成对反常流量的辨认;在详细的完成进程中,为了对立重放进犯、削减绕过危险,或许会引进动态令牌机制;为了更全面地覆盖事务场景,削减误伤状况产生,能够运用JS API调用判断浏览器环境与兼容性;为了对防护状况的实时掌控,还或许引进埋点、监控逻辑等。
在这些技能细节的完成进程中,WAF既需求联动端侧浏览器的才干,也需求联动CDN、LB等接入组件的才干,终究完成防护作用的进一步提高。
五、复盘反思,怎么快人一步
WAF在对立HTTP DDoS进犯的进程中,不断建造、强化本身才干的一同,也需求不断复盘、反思防护状况,力求更完善、高效的应对思路与计划。详细能够总结成以下三点:
5.1 丰厚特征维度
依据HTTP DDoS进犯的特色能够得知,防护难点之一在于进犯流量特征难以捕捉。其间一个原因是依据现有的特征维度,进犯流量能完成高度的模仿假装。从这个角度出发,从防护视角弥补更多维度的特征,就更能辨认检测歹意流量。
就WAF产品而言,能够从两方面着手推动:一方面是丰厚报文特征,除了7层HTTP报文的特征提取,能够测验结合4层报文的字段因子来完成对歹意流量的辨认符号;另一方面是丰厚行为特征,由于HTTP是无状况协议,单次恳求呼应的交互所带着的信息往往是有限的。经过相关、计算具有必定联系的恳求,提取行为特征,也能为拟定防护战略供给参考。
5.2 提高BOT辨认&对立才干
关于BOT流量的辨认对立才干,在HTTP DDoS进犯防护中,往往发挥着重要、要害的作用。但实际事务流量中往往也会稠浊正常的BOT流量,这就要求不仅能辨认出BOT流量,还能区别正常与歹意的BOT流量,具有与歹意BOT流量的对立处置才干。
在落地相关计划时,也需求与事务场景紧密贴合。关于WebApp而言,正常流量多数经过浏览器建议,能够经过JS Challenge的方法完成对端侧的校验与信息收集。经过该计划完成WebApp场景防护的一同,在技能完成上也需求不断迭代优化来满足更多元的事务场景需求。例如关于JS相关逻辑用更高效的混杂方法来防止绕过危险,对引进的JS资源做好缓存/优化战略提高事务性能与用户体会等。
关于NativeApp而言,则能够经过SDK集成方法来验证、收集端侧信息。但无论是哪种方法、场景,都需求有更完善的误伤评价、监控体系来确保防护的精准性。关于无法精确辨认歹意BOT流量的状况,也需求更丰厚的柔性处置战略,来完成对流量的进一步过滤校验。
5.3 战略事前布局
防备为主,防治结合,这是人类应对疾病要挟的重要政策,在网络安全世界中也相同适用。HTTP DDoS进犯产生时往往来势汹汹,事先并没有任何征兆。这就意味着事中、过后的处置战略对当时进犯一般只能起到应急补救的作用。因而,关于存在进犯危险的事务,提前整理事务财物,预先进行战略布局就显得更为重要。
为了完成这个政策可从两方面着手:一个是与事务团队紧密合作,做好宣传引导,在WAF产品中对要害政策财物完成HTTP DDoS防护战略的事前装备;另一个是强化WAF的自动化剖析才干,对承载事务的政策财物、负载才干、报文特征等数据进行自动化计算剖析,输出对应的防护战略,对出产的战略作用进行实时评价、校准,在提高防护作用的一同也能大幅降低战略运营本钱。
六、关于火山引擎WAF团队
火山引擎WAF团队由业界资深安全专家组成,基于多年的Web安全攻防经验积累,为抖音、今日头条等事务供给继续的安全确保。一同,结合智能化剖析、自动化对立等多维才干办法,为火山引擎客户供给专业、牢靠、全方位的Web安全防护服务。
