目录
1、DDOS简介
2、应用层DDOS
2.1 CC攻击
2.2 限制请求频率
2.3 道高一尺,魔高一丈
3、验证码 CAPTCHA
4、防御应用层DDOS
5、资源耗尽攻击
5.1 Slowloris攻击
5.2 HTTP POST DOS
5.3 Server Limit DOS
6、正则引发的血案:ReDOS
1、DDOS简介
DDOS又称分布式拒绝服务(Distributed Denial of Service)。DDOS本是利用合理的请求造成资源过载,导致服务不可用。
分布式拒绝服务攻击,将正常请求放大了若干倍,通过若干个网络节点同时发起攻击,以达成规模效应。这些网络节点往往是黑客们所控制的“肉鸡”,数量达到一定规模后,就形成了一个僵尸网络。
常见的DDOS攻击有SYN flood、UDP flood、ICMP flood等。具体的攻击过程可以看我之前的博客,下附链接:
【每天学习一点新知识】网络安全--拒绝服务攻击_RexHarrr的博客-CSDN博客_拒绝服务攻击学习拒绝服务攻击(SYN泛洪、Smurf攻击、DDoS)原理详解https://blog.csdn.net/m0_51683653/article/details/127522087?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522167213068616800211574239%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=167213068616800211574239&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~rank_v31_ecpm-1-127522087-null-null.blog_rank_default&utm_term=%E6%8B%92%E7%BB%9D%E6%9C%8D%E5%8A%A1&spm=1018.2226.3001.4450
2、应用层DDOS
2.1 CC攻击
CC攻击的前身是一个叫fatboy的攻击程序,当时黑客为了挑战绿盟的一款反DDOS设备而开发了它。绿盟是中国著名的安全公司之一,它有一款叫“黑洞”的反DDOS设备能够有效清洗SYN Flood等有害流量,而黑客则挑衅似的将fatboy所实现的攻击方式命名为:Challenge Collapasar(简称CC),意在黑洞的防御下,仍然能有效完成拒绝服务攻击。
CC攻击的原理:对一些消耗资源较大的应用页面不断发起正常的请求,以达到消耗服务端资源的目的。
应用层DDOS攻击还可以通过以下方式完成:在黑客入侵了一个流量很大的网站后,通过篡改页面,将巨大的流量分流到目标网站。
比如,在大流量网站上插入一段代码:
<iframe src="http://target" height=0 width=0 ></iframe>那么所有访问该页面的用户,都将对此target发起一次HTTP GET请求,从而导致target拒绝服务。
2.2 限制请求频率
最常见的针对应用层的DDOS攻击的防御措施,就是在应用中针对每一个“客户端”做一个请求频率的限制。
例如:通过IP地址和Cookie定位一个客户端,如果客户端的请求在一段时间内过于频繁,则对之后来自该客户端的所有请求都重定向到一个出错界面。
2.3 道高一尺,魔高一丈
但是上述的防御方法并不完美。如果用户的IP地址发生改变,Cookie又被清空,则无法再定位到同一个客户端。
如何让IP地址发生变化?使用“代理服务器”是一个常见的做法。在实际的攻击中,大量使用代理服务器或傀儡机来隐藏攻击者的真实IP地址,攻击者可以利用这些方法不断变换IP地址,就可以绕过服务器对单个IP地址请求频率的限制了。
AccessDiver已经自动化地实现了这种变换IP地址的攻击,它可以批量导入代理服务器地址,然后通过代理服务器在线暴力破解用户名和密码。
如何解决?
- 应用代码做好性能优化。合理地使用memcache就是一个很好的优化方案,将数据库的压力尽可能转移到内存中,此外还要及时地释放资源,比如及时关闭数据库连接,减少空连接等消耗。
- 在网络架构上做好优化。善于利用负载均衡分流,避免用户流量集中在单台服务器上,同时可以充分利用好CDN和镜像站点的分流作用,缓解主站的压力。
- 实现一些对抗手段,如限制每个IP地址的请求频率。
3、验证码 CAPTCHA
验证码能有效阻止自动化的重放行为,因为脚本通常无法自动识别出验证码。
随着技术发展,破解验证码的方法变得越来越成熟。通过彩虹表、图像处理技术,都可以破解验证码。
4、防御应用层DDOS
在一般情况下,服务器端应用可以通过判断HTTP头中的User-Agent字段来识别客户端,但User-Agent字段是可以被客户端篡改的,所以也不可靠。
一种比较可靠的方法是让客户端解析一段JavaScript并给出正确的运行结果。因为大部分的自动化脚本都是直接构造HTTP包完成的,并非在一个浏览器环境中发起的请求。因此一段需要计算的JavaScript,可以判断出客户端是不是浏览器,同样发送一个flash让客户端解析也可以起到同样的作用,但这不是万能的。
除了人机识别外,还可以在Web Server这一层做防御,其好处是请求尚未到达后端的应用程序里,可以起到一个保护作用。
在Apache的配置文件中,有一些参数可以缓解DDOS攻击,比如调小Timeout、KeepAliveTimeout值、增加MaxClient值,但这些参数可能会影响到正常应用,因此需要根据实际情况而定。
"mod_qos"是Apache的一个Module,它可以帮助缓解应用层DDOS攻击。
mod_qos从思路上仍然是限制单个IP地址的访问频率,但如果攻击者使用了代理或傀儡机怎么办呢?
因为发起应用层DDOS攻击的IP地址都是真实的,所以在实际情况中,攻击者的IP地址其实也不可能无限制增长。假设攻击者有1000个IP地址发起攻击,如果请求了10000次,则平均每个IP地址请求同一页面达到10次,攻击如果持续下去,单个IP地址的请求也将变多,但无论怎么变,都是在这1000个IP地址的范围内做轮询。
为此Yahoo设计了一套算法,根据IP地址和Cookie等信息,可以计算客户端的请求频率并进行拦截。
5、资源耗尽攻击
5.1 Slowloris攻击
Slow Loris是2009年由著名的Web安全专家RSnake提出的一种攻击方法,其原理是以极低的速度往服务器发送HTTP请求。由于Web Server对于并发的连接数都有一定的上限,因此若是恶意占用住这些连接不释放,那么Web Server的所有连接都将被恶意连接占用,无法接受新的请求,导致拒绝服务。
为了保持住这个连接,RSnake构造了一个畸形的HTTP请求:
在正常的HTTP包头中,是以两个CLRF表示HTTP Headers部分结束的。
由于Web Server只收到了一个\r\n,因此会认为HTTP Headers部分没有结束,并保持此连接不释放,继续等待完整的请求,此时客户端再发送任意HTTP头,保持住连接即可。
当构造多个连接之后,服务器的连接数就会达到上限。
5.2 HTTP POST DOS
其原理是在发送HTTP POST包时,指定一个非常大的 Content-Length值,然后以很低的速度发包,比如10~100s发一个字节,保持住这个连接不断开。当客户端连接数多了以后,占用住了Web Server的所有可用连接,从而导致DOS。
成功实施攻击后会留下错误日志(Apache)
5.3 Server Limit DOS
Cookie造成的拒绝服务攻击。
Web Server对HTTP包头有长度限制,以Apache为例,默认是8192字节,也就是Apache所能接受的最大HTTP包头大小为8192字节(这里指的是Request Header,如果是Request Body,则默认大小限制是2GB)。如果客户端发送的HTTP包头超过这个大小,服务器就会返回一个4xx错误,提示信息为:
假如攻击者通过XSS往客户端里写入了一个超长的Cookie,则该客户端在清空Cookie之前,无法再访问该Cookie所在域的任何页面,因为Cookie是放在HTTP包头里发送的,而Web Server会认为这是一个超长的非正常请求,从而导致客户端的拒绝服务。
6、正则引发的血案:ReDOS
正则表达式是基于NFA的,它是一个状态机,每个状态和输入符号都可能有许多不同的下一个状态。正则解析引擎将遍历所有可能的路径直到最后。由于每个状态都有若干个“下一个状态”,因此决策算法会逐个尝试每个“下一个状态”,直到找到一个匹配的。
例如:
^(a+)+$
当输入只有4个a时
aaaaX
其执行过程如下:
它只有16条可能的路径,很快就能被遍历完。
当输入:
aaaaaaaaaaaaaaaaX
就变成65536条可能的路径,这极大地增加了正则引擎解析数时的消耗。当用户恶意构造输入时,这些有缺陷的正则表达式会消耗大量的系统资源(比如CPU和内存),从而导致整台服务器的性能下降,系统速度变慢甚至失去响应。
如果再增加数量n,则消耗的时间也会翻倍。
下面是一些存在ReDOS的正则表达式:
