企业网站HTTP网站业务被慢连接攻击了该怎么办

news2024/12/24 8:10:36

 企业的网站建设中遇到网络攻击会出现哪些问题?一些中小型企业对于网络安全的认知不足,网站建设种类众多,电子商城类,小型游戏,支付类型,H5页面的网站,开发等等,如遇见网络攻击造成的损失是相当大的。那下面MMC就来说说,网站建设中遇到网络攻击会出现哪些问题?

  各种各样网络攻击因素会对企业造成相当严重的伤害,使企业耗费大量资金来进行数据恢复或者加固网络安全设施,同时找专业的人才立即介入安全服务来消除网络攻击所带来的不良影响。但即使这样做,很多企业也是无法恢复数据,时间稍微长点,损失更为严重,最后企业因此可能面临了破产。

  长此以往,黑客们利用中小企业面对网络攻击无计可施的弱点,便针对其敏感重要数据愿意花费高额赎金解密这一心理来获取暴力。而且黑客们甚至深知中小企业对安全防御等级没那么完善。所以利用用最小的代价来获得最大的利润的规则,开始频繁对中小企业进行网络攻击。

  造成最关键的底基础设施被破坏这是必然的,底层的基础破坏就意味着会使网络运营的业务中断,给企业带来负面的消息。如果受害者是上市的大公司那随之股票市场也会跟随着动荡下跌,有的甚至还会造成该企业或者企业法人陷入法律纠纷中。

为什么黑客要攻击中小企业呢?

诚然,对黑客来说攻克大公司的网络绝对是名利双收的事情:拿到非常多有价值的东西,能够上新闻头条。但是大公司的安全防范和追踪能力都是非常高的,对黑客而已,成本和风险也都随之提高。对于中小企业,安全防范比大公司要低多了,同时有价值的东西也绝对比个人要高非常多。 所以中小企业绝对是黑客最理想的目标和「点心」。

另外一点,就是中小企业安全防范意识比较差,黑客也非常清楚这一点,研究证明:97%的中小企业在将来的业务发展中不重视网络安全,82%的中小企业认为他们没有什么有价值的东西值得黑客来攻击,只有23%的中小企业人他们担心自己的信息被偷窃。

数据还是有点「触目惊心」的,对于特别小的企业,黑客可能没有兴趣专门做针对性的攻击,但是也很难避免广泛的扫描性的攻击,这些攻击都是通过软件自动化对所有网站进行扫描,只要您的网站一上线,可能第一个用户就是各种漏洞扫描工具的攻击。

现在网络上已经没有任何「私人花园」的存在了。这种攻击成本是非常低的,一旦发现你的漏洞,就可以以极小的代价攻破您的网络,一旦攻破,你的网站将被黑客接管,所有有价值的信息都被一扫而空,然后您的网站将可能成为一个「肉鸡」,成为网络攻击的一环。对黑客来说这也是非常有价值的事情。

当然现在有很多关于网络安全事件的报道,很多人都已经有这方面的意思了,但是大家对如何如何防范网络攻击还是没有头绪。下面笔者将一一进行介绍。

网络攻击的常见类型

通常来说,网络攻击的目的是窃取和利用敏感信息比如信用卡号、个人身份证、客户信息等等,黑客可以利用这些信息直接窃取客户的财务或者滥用个人信息牟利。网络攻击的手段和动机多种多样:比如网络黑客或者网络罪犯可能是不加区分的攻击,然后攻击尽可能的目标以获取尽可能多的敏感信息,也可能是去持续的攻击某个特定的目标,也有可能是前雇员为了报复前雇主,还有可能是内部员工为了牟利窃取内部机密。

不管动机如何,网络攻击通常有以下几种常用的攻击方式和手段(由于篇幅和能力的限制,这绝对不是潜在攻击的详尽列表),但是对于这几种非常常用的攻击方式大家还是应该了解一下到底是什么,如何进行防御。

1、APT 高级持续攻击

这种最近几年进行的新型高级攻击方式,它是针对特定的目标进行持续、分阶段的进行攻击,没有有特征码,没有明显的危害行为。防火墙、杀毒软件以及沙箱基本上是根据特征库和行为方式进行防御,对 APT基本上是无能为力。APT 攻击在大部分时间就是一个普通的进程,没有任何威胁,它可以潜伏很长时间,也可以从底层员工逐步渗透到高层员工的电脑里面,一旦找到有价值的信息在很短的时间发起攻击。一个 APT 通常可以分为五个阶段,它们是侦察(研究和了解目标),入侵(通过常用方式将攻击程序嵌入,比如个人简历等),发现(不断渗透发现有价值的目标),捕获(通过长时间来采集数据)和渗出(通过正常途径将敏感信息发出)

   

2、漏洞攻击

漏洞是因为程序的 Bug 导致的,分布范围非常的广泛。从系统角度来看,有路由器、防火墙、服务器的漏洞等。从软件角度来看有操作系统漏洞、服务器容器漏洞、第三方软件漏洞、各种协议的漏洞以及自己编写的应用程序的漏洞。比如「心脏出血漏洞」就是加密通讯软件 OpenSSL 的一个漏洞导致。通常黑客通过扫描工具对一定范围的服务器进行扫描找漏洞,这种成本很低,但是只能找到一些通用的漏洞,大公司一般都会及时修复。还有就是对高价值的服务器进行专门的漏洞挖掘。黑客找到漏洞了,攻击就是比较容易的事情了。漏洞防范需要投入大量的人力和物力,并且总是出现百密一疏的情况。

 

3、DDoS: 分布式拒绝服务

其主要目标是通过巨量网络访问,使目标服务器负载超出设计能力,服务器瘫痪,无法为用户提供服务。如果用户完全依靠被攻击服务器,就可以达到完全拒绝服务的效果。

   

4、内部攻击

内部攻击是最难防范的,大部分成熟的软件可能都没有把这种当成一种攻击,一般有这几种情况发生:有管理员权限的员工故意或者误操作访问公司敏感信息,含恨离开但是还拥有访问权限的员工恶意访问公司敏感信息(这种情况通常通过加强管理和签订保密协定来解决),还有就是黑客通过提升权限或者攻入网络模仿内部访问的方式取得敏感信息。

   

5、恶意软件

这是对所有植入目标系统并对系统进行破坏和未授权访问的所有软件的统称,包括病毒、间谍软件、蠕虫、木马和键盘记录器、勒索等等。更多的恶意软件请搜索百度。

   

6、密码攻击

破解密码是黑客获取目标帐户和数据库最简单的方式。有三种主要类型:暴力破解,攻击者通过系统地组合所有可能性,尝试破解敏感信息;字典攻击,它使用一个程序尝试字典中的单词的不同组合;按键监控,追踪用户所有的按键,包括登录 ID 和密码。

   

7、钓鱼网站

这是通过部署方式进行攻击的最常见方式,黑客通过发邮件或者第三方网站嵌入虚假连接的方式将客户引入一个和原来网站外形非常相识的假网站,盗取用户的个人信息以及登录认证信息。现在各方对钓鱼网站的认识和重视越来越高,比如通过搜索引擎出来的结果都是可信的,大的官方网站也不断的屏蔽钓鱼网站,中钓鱼网站攻击的人也相应的降低了。但是黑客的攻击方式也越来越高明,企业还是要对最这方面的攻击保存足够的重视。

DoS攻击叫做“拒绝服务攻击”,就是让用户的业务无法对外提供正常的服务,比较常见的是DDoS攻击,但一般通过大流量进行分布式攻击。而今天主要给大家介绍的是DoS攻击里的一种HTTP慢速攻击。

什么是慢速攻击?

一、什么是HTTP慢速连接攻击?

慢速攻击全名叫做“缓慢的HTTP拒绝服务攻击”

Slow HTTP Denial of Service Attack

DoS攻击的目的是让服务器的资源和带宽耗尽,从而无法提供正常的服务。所以通常我们理解的DoS攻击一般是同一时间产生大量的请求访问到服务器,使服务器无暇处理正常的访问。

而慢攻击则恰恰相反,并不是通过大流量降低服务器和带宽的处理能力,而是通过缓慢增加维持连接数,让服务器慢慢耗尽自身资源,慢攻击一般不会对带宽有冲突。

比如有一种慢攻击的手段,先跟服务器建立一个正常连接,指定一个比较大的Content-Length,然后等服务器创建好缓存准备接收数据包后,攻击者以非常低的速度发包,比如1-10s发一个字节,但又维持住这个连接不断开。如果攻击者持续建立这样的连接,那么服务器上可用的连接将一点点被占满,最终导致拒绝服务的现象发生。

二、HTTP慢速攻击的特点

1.隐蔽性高:慢速攻击利用的是HTTP协议的合法特性,因此很难被传统的安全设备所识别。

2.占用资源少:每个慢速连接只发送少量的数据,因此攻击者可以使用较少的资源发起大量的攻击。

3.攻击效果显著:通过占用服务器的连接资源,慢速攻击可以迅速导致服务器性能下降,甚至崩溃。

三、HTTP慢速连接攻击原理

HTTP慢速连接攻击是CC攻击的变种,对任何一个允许HTTP访问的服务器,攻击者先在客户端上向该服务器建立一个content-length比较大的连接,然后通过该连接以非常低的速度(例如,1秒~10秒发一个字节)向服务器发包,并维持该连接不断开。

由于HTTP请求底层使用TCP网络连接进行会话,因此如果中间件对会话超时时间设置不合理,并且HTTP在发送请求的时候采用了这种慢速连接发HTTP请求,并维持该连接不断开,就会导致占用一个HTTP连接会话。

如果攻击者在客户端上不断建立这样的连接,服务器上可用的连接和服务器正常资源将慢慢被占满,从而导致服务器拒绝用户正常的访问请求,也就产生了拒绝服务攻击的效果。

四、HTTP慢速连接攻击种类

HTTP慢速连接攻击主要分为三种:Slow read攻击、Slow headers攻击、Slow body攻击。

1.Slow read攻击

攻击者建立连接后发送完整的请求给服务器端,然后一直保持这个连接,以很低的速度读取Response或者让服务器误以为客户端很忙,如很长一段时间客户端不读取任何数据,通过发送Zero Window到服务器,直到连接快超时前才读取一个字节,这样方式以消耗服务器的连接和内存资源。

Slowloris Header攻击是一种针对WEB服务器的慢速HTTP攻击,在HTTP协议中规定,HTTP头部以连续“\r\n\r\n”作为结束标志。服务器在处理HTTP请求的头部信息时,会等待头部传输结束后再进行处理。如果WEB服务器没有接收到连续的“\r\n\r\n”,就会一直接收数据并保持与客户端的连接,利用这个特性,攻击者能够长时间与WEB服务器保持连接,并慢慢耗尽WEB服务器的连接资源。

2.Slow headers攻击

Web应用在处理HTTP请求之前都要先接受完所有的HTTP头部,Web 服务器在没接收到2个连续的\r\n时,会认为客户端没有发送完头部,而持续的等客户端发送数据。

攻击者就是利用了这点,对服务器发起一个HTTP请求,一直不停的发送HTTP头部,但是HTTP头字段不发送结束符,之后发送其他字段,而服务器在处理之前需要先接收完所有的HTTP头部,导致连接一直被占用,这样就消耗了服务器的连接和内存资源;

攻击者在发送HTTP请求时,通常情况下请求的资源为较大的文件,然后以很低的速度读取服务器回应的数据,通过发送“TCP ZeroWindow”数据包到服务器,让服务器误以为自己很忙,无法处理服务回应的数据,服务器收到攻击者“TCP ZeroWindow”数据包后,发送“TCP KeepAlive”数据包给攻击者来保活连接,因连接长时间无法断开,所以消耗了服务器的连接和资源。

3.Slow body攻击

攻击者发送一个HTTP POST请求,并将总报文长度设置为一个很大数值,表示要发送大量数据,服务器就会保持连接准备接收数据。

但是在随后的数据发送中,每次却只发送很小的报文(比如10-100s发一个字节),这样导致服务器端一直等待攻击者发送数据,以此消耗服务器的资源。

攻击者在发送HTTP POST请求时,在请求头部中将“Content-Length”设置一个很大的值,并将HTTP BODY以非常缓慢的速度向WEB服务器发送。这样,Web服务器就需要一直维护与客户端的连接并等待数据传输结束,利用这个特性,攻击者能够长时间与WEB服务器保持连接,并慢慢耗尽WEB服务器的连接资源。

五、针对HTTP慢速攻击,我们可以采取以下防御措施

1.限制连接数

在服务器端设置最大连接数限制,防止攻击者通过大量半开连接占满服务器资源。

2.设定超时时间

对web服务器的HTTP头部传输的最大许可时间进行限制,为每个连接设置合理的超时时间,当连接在一定时间内没有活动时,自动关闭该连接。

3.针对HTTP慢速攻击的特点,对每秒钟HTTP并发连接数进行检查,若发现如POST报文的报文头都没有结束标识等异常,断开此IP地址与HTTP服务器的连接。

4.使用安全设备

部署专业的网络安全设备,像德迅云安全的安全加速SCDN,可以进行慢连接攻击防御,对如Slow Headers攻击,可以通过检测请求头超时时间、最大包数量阈值进行有效防护,提高服务器的安全防护能力。

安全设备方案有以下2款

第一款:德迅云安全高防服务器

德迅云安全在浙江部署的T3级别数据中心,具备完善的机房设施,自建光纤网络,核心骨干网络有效保证高品质的网络环境和丰富的带宽资源,同时接入统一的系统管理平台,资源调配更轻松,使系统安全、可靠、稳定、高效运行。

  • 海量DDoS清洗:大防护带宽,平均延迟小于50ms,从容应对大流量攻击。

  • 全方位防护:全面支持SYN Flood、ACK Flood、ICMP Flood、UDP Flood、NTP Flood、DNS Flood、HTTP Flood、CC攻击等常见攻击类型的防护。

  • 全业务支持:支持TCP、UDP、HTTP/HTTPS等协议,满足游戏、APP、网站、金融等各种类型的业务需求。

  • 指纹式防御算法:防御游戏空连接、慢连接、恶意踢人攻击,采用IP信誉库、IP+Co-okie、IP+Key防御CC攻击,全球僵尸网络库攻击溯源

第二款:安全加速SCDN

安全加速(Secure Content Delivery Network,SCDN)是德迅云安全推出的集分布式DDoS防护、CC防护、WAF防护、BOT行为分析为一体的安全加速解决方案。已使用内容分发网络(CDN)或全站加速网络(ECDN)的用户,可为加速域名一键开启安全防护相关配置,全方位保障业务内容分发。

  • OWASP TOP 10威胁防护:有效防御 SQL注入、XSS攻击、命令/代码执行、文件包含、木马上传、路径穿越、恶意扫描等OWASP TOP 10攻击。专业的攻防团队7*24小时跟进0day漏洞,分析漏洞原理,并制定安全防护策略,及时进行防护。

  • AI检测和行为分析:通过对德迅云积累海量日志进行学习和训练输出多种Web安全防护模型,对用户多请求的多元因子进行智能分析,有效提高检出率,降低误报率;通过信息孤岛、行为检测分析,识别恶意攻击源,保护网站安全。

  • 智能语义解析引擎:提供智能语义解析功能,在漏洞防御的基础上,增强SQL注入和XXS攻击检测能力。

  • 应用层DDoS防护:CC、HTTP Flood攻击防御

  • 人机校验:当请求与网站正常访问基线不一致时,启动人机校验(如JS验证、META验证等)方式进行验证,拦截攻击。

  • 慢连接攻击防御:对Slow Headers攻击,通过检测请求头超时时间、最大包数量阈值进行防护。 对Slow Post攻击,通过检测请求小包数量阈值进行防护。

  • 网页防篡改:采用强制静态缓存锁定和更新机制,对网站特定页面进行保护,即使源站相关网页被篡改,依然能够返回给用户缓存页面。

  • 数据防泄漏:对response报文进行处理,对响应内容和响应进行识别和过滤,根据需要设置数据防泄漏规则,保护网站数据安全。

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1673209.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

LOTO示波器软件PC缓存(波形录制与回放)功能

当打开PC缓存功能后, 软件将采用先进先出的原则排队对示波器采集的每一帧数据, 进行帧缓存。 当发现屏幕中有感兴趣的波形掠过时, 鼠标点击软件的(暂停)按钮, 可以选择回看某一帧的波形。一帧数据的量 是 当前用户选择时基档位缓冲区总数据大小。不同时基档位缓冲区大小不同&am…

002.反应式编程的必要性

在实际应用程序中,您可以在许多情况下发现可能的时变变量—例如,GPS位置、温度、鼠标坐标,甚至文本框的内容。所有这些都有一个随时间变化的值应用程序会发生反应,因此是时变的。还有一点值得一提时间本身就是一个时变;它的值一直…

python爬虫(五)之新出行汽车爬虫

python爬虫(五)之新出行汽车爬虫 接完最后一单,终于肝完了最后一个python爬虫——新出行爬虫,将https://www.xchuxing.com网站上所有的汽车爬虫全部抓取下来。 import requests import json import csv from lxml import etree …

Secnet-智能路由系统 actpt_5g.data 信息泄露漏洞复现

0x01 产品简介 Secnet安网智能AC管理系统是广州安网通信技术有限公司(简称“安网通信”)的无线AP管理系统。 0x02 漏洞概述 Secnet-智能路由系统 actpt_5g.data 接口存在信息泄露漏洞,未经身份验证的远程攻击者可以利用此漏洞获取系统账户…

AI模型部署实战:利用OpenCV的CUDA模块加速视觉模型部署流程

本文首发于公众号【DeepDriving】,欢迎关注。 一. 前言 我在之前的文章《AI模型部署实战:利用CV-CUDA加速视觉模型部署流程》中介绍了如何使用CV-CUDA库来加速视觉模型部署的流程,但是CV-CUDA对系统版本和CUDA版本的要求比较高,在…

政安晨:【Keras机器学习示例演绎】(四十五)—— 使用变换器进行命名实体识别

目录 简介 安装 HuggingFace 的开源数据集库 将 NER 模型类构建为 keras.Model 子类 从数据集库加载 CoNLL 2003 数据集并进行处理 制作 NER 标签查找表 编译和拟合模型 指标计算 结论 政安晨的个人主页:政安晨 欢迎 👍点赞✍评论⭐收藏 收录专栏…

PyTorch进行CIFAR-10图像分类

本节将通过一个实战案例来详细介绍如何使用PyTorch进行深度学习模型的开发。我们将使用CIFAR-10图像数据集来训练一个卷积神经网络。 神经网络训练的一般步骤如图5-3所示。 (1)加载数据集,并做预处理。 (2)预处理后的…

使用PageHelper分页插件,发现获取到的total总记录数量不对,无法获取到正确的total数量

目录 1.1、错误描述 1.2、解决方案 1.1、错误描述 周一在工作中,写了一个列表分页的接口,其中使用的是PageHelper分页依赖,原本想着挺简单的,也就是使用PageHelper.startPage(pageNum, pageSize);方法就可以了,代码…

讨论:WGS84与CGCS2000的坐标系怎么互转

前言: 今天我们要讨论一个问题:WGS84与CGCS2000的坐标系怎么互转? 对于有一定基础的朋友应该知道,WGS84和CGCS2000属于不同的椭球,如果进行严密的数学转换,是需要建立参数模型之后,再进行转换&…

视频素材哪里找?7个无版权视频素材网站

这篇文章为那些正在学习视频剪辑的新手提供了一份宝贵的资源清单,介绍了7个可以找到高质量且免费可商用的视频素材网站。每个网站都有其独特的资源库,可以帮助用户找到适合各种项目的视频素材,从生活vlog到专业旅行记录,都可以在这…

STM32存储左右互搏 USB接口FATS文件读写U盘

STM32存储左右互搏 USB接口FATS文件读写U盘 STM32的USB接口可以例化为Host主机从而对U盘进行操作。SD卡/MicroSD/TF卡也可以通过读卡器转换成U盘使用。这里介绍STM32CUBEIDE开发平台HAL库实现U盘FATS文件访问的例程。 USB接口介绍 常见的USB接口电路部分相似而有不同的连接器…

数据分离和混淆矩阵的学习

1.明确意义 通过训练集建立模型的意义是对新的数据进行准确的预测(测试集的准度高才代表good fit); 2.评估流程 3.单单利用准确率accuracy进行模型评估的局限性 模型一:一共1000个数据(分别为900个1和100个0&#x…

网站服务器备案及域名购买配置教程

一、阿里云服务备案准备工作 1.什么是备案? 备案是指向相关部门提交网站信息,以便监管和管理互联网信息服务,未经备案的网站可能面临罚款甚至被关闭的风险。备案主要看您的网站或App等互联网信息服务解析到的服务器是否在中国内地(大陆),如果服务器在中国内地(大陆),…

Postman基础功能-Collection集合和批量运行

一、Collection(集合)介绍 当我们对一个或多个系统中的很多接口用例进行维护时,首先想到的就是对接口用例进行分类管理,同时还希望对这批接口用例做回归测试。 在 Postman 中也提供了这样一个功能,就是 Collec…

Aim Web API 远程代码执行

摘要 漏洞类型:远程代码执行(RCE)产品:目标版本:> 3.0.0(afaik)受影响的端点: /api/runs/search/run/严重性:临界 描述 在aim项目中发现了一个关键的远程代码执行漏…

设计模式 六大原则之里氏替换原则

文章目录 概念替换逻辑行为不变 拆解小结 概念 子类对象能够替换程序中父类对象出现的任何地方,并且保证原来程序的逻辑行为不变及正确性不被破坏。 替换 替换的前提是面向对象语言所支持的多态特性,同一个行为具有多个不同表现形式或形态的能力。 逻…

js基础-数组-事件对象-日期-本地存储

一、大纲 一、获取元素位置 在JavaScript中,获取一个元素在页面上的位置可以通过多种方法实现。以下是一些常见的方法: getBoundingClientRect() getBoundingClientRect() 方法返回元素的大小及其相对于视口的位置。它提供了元素的left、top、right和bo…

Tkinter组件:Text-显示和处理多行文本

Tkinter组件:Text Text(文本)组件用于显示和处理多行文本。在 Tkinter 的所有组件中,Text 组件显得异常强大和灵活,适用于多种任务。虽然该组件的主要目的是显示多行文本,但它常常也被用于作为简单的文本编…

【单片机调试】mcu调试bug记录

【单片机调试】mcu调试bug记录 2023.5-2023.11待输入 2023.12-2023.22024.3-至今1.spi通信问题 2023.5-2023.11 待输入 2023.12-2023.2 辞职阶段:【STM32调试】寄存器调试不良问题记录持续版 2024.3-至今 1.spi通信问题 现象说明: mcu与afe芯片为spi通…

为什么使用AI 在游戏中不犯法

使用AI在游戏中本身并不违法,甚至在很多情况下,游戏公司自己也会在游戏中集成AI来提高游戏体验,例如通过AI驱动的非玩家角色(NPC)来增加游戏的互动性和挑战性。然而,使用AI是否违法取决于AI的使用方式和目的…