今天,我们将深入研究一种典型的DDOS攻击类型——TLS洪水攻击,TLS(传输层安全)洪水攻击可以淹没大多数DDoS防护解决方案。因此如果您使用了错误的解决方案,意味着您的Web应用程序面临很大的风险!
今天将由火伞云带大家来看看什么是TLS洪水攻击以及它们是如何工作的,随后火伞云将分享有关如何保护您的Web应用程序免受这种日益严重的威胁的部分实用技巧。
一、TLS流量的隐藏风险
TLS可以针对多种类型的网络攻击提供强有力的保护,但它们不能免受DoS(拒绝服务)攻击。DoS攻击是DDoS攻击的一种,旨在通过发送大量加密流量来使Web应用程序过载。这种类型的攻击从系统逻辑来看是合法的,但实际上却是将请求滥用以破坏应用程序的正常使用的。黑客会创建合乎系统逻辑的TLS连接,甚至可以正确响应发送来确认用户身份的第4层和第7层质询。攻击者对目标网站发起更加频繁和持续的攻击,它们可能会产生 CPS(每秒连接数)或 RPS(每秒请求数)洪水来淹没网站并使其离线。
根据《2022-2023年全球威胁分析报告》,网络攻击的频率正在不断增加,但攻击规模在不断缩小。攻击者使用较小规模的攻击,并将其与其他攻击媒介相结合,以最大限度地发挥其影响,
以下是TLS流量攻击背后可能隐藏的一些额外潜在风险:
恶意软件:黑客可能会使用TLS加密来隐藏恶意软件流量,从而使安全措施更难以检测和阻止它。
数据盗窃:黑客可能会使用TLS窃取通过互联网传输的数据,这可能包括敏感信息,例如登录凭据、财务信息和个人数据。
中间人 (MitM) 攻击:TLS旨在防止MitM攻击,但它并非万无一失,如果攻击者可以拦截TLS流量,他们可能能够解密并读取数据,从而窃取敏感信息或操纵通信。
二、检测和缓解加密洪水攻击时面临的挑战
由于多种原因,检测和缓解加密洪水攻击可能具有一定难度。
最主要的难点在于:
难以识别恶意流量(误报/漏报)。如前所述,TLS 加密可能会导致难以识别和阻止恶意流量,加密洪水攻击可能会产生大量误报,从而导致不必要的安全警报并影响安全解决方案的性能,准确检测这些攻击需要先进的威胁检测解决方案,能够区分合法流量和恶意流量。
资源的巨大消耗。解密流量需要大量的处理能力和内存,包括其他资源。如果DDoS攻击使服务器充满解密流量,它会迅速淹没服务器的资源并使其无法处理合法流量。
信息的巨大传输量。DDoS 洪水攻击会产生大量流量,远远超出服务器的处理能力,如果此流量还执行解密操作,则可能会进一步增加服务器上的延迟和负载,从而使减轻攻击变得更加困难。
成本问题。检测和缓解加密洪水攻击的成本可能很高,尤其是在客户支付处理费用的云环境中,组织需要投资先进的安全解决方案和基础设施来防范这些攻击,这可能成本高昂。
三、为加密洪水攻击做好设备准备
如今,市场上的大多数DDoS解决方案都需要24*7*365天的完全解密来检测和缓解加密的洪水攻击。
而且这个里面依然存在一些问题必须解决:
客户不愿意共享证书/或无权访问证书,导致基于解密的检测和缓解是不可行的。
由于性能影响、延迟(用户体验)、隐私问题、技术挑战和成本,不建议通过24*7*365天解密流量来检测攻击。
以下是火伞云关于如何有效保护您的环境免受加密洪水攻击的建议:
零解密解决方案是一种基于机器学习 (ML) 的行为机制,无需解密即可检测和缓解加密洪水,这是一项关键功能,特别是对于加密的CPS和RPS洪水。
部分解密解决方案旨在通过最小化延迟来优化用户体验,借助这项创新技术,可以在检测到攻击后并且仅在可疑会话上解密流量,对合法流量没有任何影响。检测后,最有效的方法是仅解密“第一个HTTPS请求”并验证源,您可以解密可疑会话并使用传统保护措施减轻攻击。
当流量解密使CPU消耗达到最大时,应使用可扩展的解决方案。在这种情况下,解决方案必须具有支持TLS v1.3的TLS加速器硬件,以通过卸载解密处理来支持CPU。TLS v1.3支持。如果您选择此解决方案,您就已经了解 TLS v1.3 的重要性,只需确保您的环境支持该协议并且可以解密TLS v1.3 流量(如有必要)。
四、请为您的系统配置多层防御策略
总而言之,制定多层防御策略非常重要,这必须包括使用专门的 DDoS 保护,可以通过零解密检测可疑模式,自动缓解加密洪水攻击,并使您的网站和应用程序可供用户使用,火伞云提供支持L3/L4至L7的多层DDoS 防护解决方案,欢迎大家咨询了解。