HTTP攻擊有哪些類型以及怎樣防御

HTTP 流量主導(dǎo)著互聯(lián)網(wǎng)。數(shù)據(jù)中心也經(jīng)歷了大量的 HTTP 流量，許多企業(yè)看到越來越多的收入來自在線銷售。然而，隨著流行度的增長，風(fēng)險(xiǎn)隨之增長，并且就像任何協(xié)議一樣，HTTP 很容易受到攻擊。創(chuàng)新互聯(lián)建站將為您描述針對 HTTP 服務(wù)器發(fā)起的常見 DDoS 攻擊。

首先，HTTP 通過 TCP 運(yùn)行。因此，Web 服務(wù)器可能面臨許多與 TCP 相關(guān)的攻擊。在規(guī)劃 HTTP 服務(wù)保護(hù)時(shí)，請務(wù)必記住，攻擊面比 HTTP 協(xié)議更廣泛。今天任何 DDoS 攻擊都使用多個(gè)向量來創(chuàng)建拒絕服務(wù)，為了防止它，人們應(yīng)該能夠保護(hù)所有這些向量。

一、常見的 TCP 網(wǎng)絡(luò)攻擊

? SYN 泛濫- 可能是其中最古老的，但在大多數(shù)攻擊中仍然用作矢量。攻擊者正在發(fā)送許多發(fā)送到服務(wù)器的 SYN 數(shù)據(jù)包。由于攻擊不需要查看返回流量，因此 IP 不必是真實(shí)的，通常是欺騙性 IP。這使得更難理解攻擊的來源，并幫助攻擊者保持匿名。這些年來，SYN 攻擊技術(shù)仍在發(fā)展之中。

SYN 攻擊背后的主要思想是發(fā)送大量 SYN 數(shù)據(jù)包以耗盡為 TCP \ IP 堆棧中分配的內(nèi)存。多年來，SYN 攻擊變得越來越復(fù)雜。最新的變種是 Tsunami SYN Flood Attack，它使用帶有 TCP SYN 位的大數(shù)據(jù)包來飽和互聯(lián)網(wǎng)管道，同時(shí)對 TCP \ IP 堆棧造成并行損壞。

?? 除了 SYN 泛洪之外，TCP 網(wǎng)絡(luò)攻擊正在利用所有其他 TCP，ACK 泛洪、RST 泛洪、推送 - 發(fā)送泛洪、FIN 泛洪及其任何組合都在各種攻擊中使用。攻擊者將嘗試一切，只要它有可能造成破壞。

HTTP L7 攻擊面很廣。HTTP L7 攻擊與上述網(wǎng)絡(luò)攻擊之間的主要區(qū)別在于，HTTP 事務(wù)需要有效的 IP - 不能欺騙 HTTP 請求的 IP，因?yàn)?TCP 握手需要 IP 接受并響應(yīng)包。如果您不擁有 IP，則永遠(yuǎn)無法建立連接。這種差異曾經(jīng)給想要使用 HTTP 攻擊的攻擊者帶來了很大困難，然而在當(dāng)今世界，最近的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)統(tǒng)治著它的攻擊面，擁有大量的真實(shí) IP 地址不再被視為不可能的挑戰(zhàn)。從真實(shí) IP 地址建立連接后，可以使用多種選項(xiàng)進(jìn)行攻擊：

? 垃圾洪水 - 最不復(fù)雜的攻擊媒介是打開與 HTTP 端口(通常是端口 80 或 443)的連接，以向其發(fā)送垃圾二進(jìn)制數(shù)據(jù)。這種攻擊通常在緩解中被忽略，因?yàn)榉?wù)器以及保護(hù)它的安全設(shè)備期望 “有效” 的 HTTP 流量。此攻擊的目的通常是在 Web 服務(wù)器中，甚至在其前面的緩解設(shè)備中泛洪內(nèi)部緩沖區(qū)和隊(duì)列。這種攻擊有時(shí)也會用來使互聯(lián)網(wǎng)管道飽和，盡管有更容易的攻擊技術(shù)。

? GET 泛洪 - HTTP 協(xié)議的最常見用法是 GET 請求。GET 泛洪使用相同的 GET 請求方法，但數(shù)量很大。攻擊者試圖使服務(wù)器過載并停止提供合法的 GET 請求。此攻擊通常遵循 HTTP 協(xié)議標(biāo)準(zhǔn)，以避免使用 RFC fcompliancy 檢查進(jìn)行緩解。

? 其他 HTTP 方法 - 除了常見的 GET 方法之外，HTTP 協(xié)議也允許其他方法，例如 HEAD，POST 等。使用這些方法的攻擊通常與 GET 泛洪并行使用，以便嘗試攻擊服務(wù)器代碼中較不常見的區(qū)域。POST 請求通常比 GET 請求大，因此大型 POST 請求比大型 GET 請求更不可疑，并且更有可能通過保護(hù)它的緩解設(shè)備不會注意到服務(wù)器。這允許服務(wù)器上更多的內(nèi)存消耗，并且更多的機(jī)會拒絕服務(wù)。

? 反向帶寬泛濫 - 這些攻擊試圖讓服務(wù)器發(fā)送流量，使服務(wù)器的上行鏈路飽和到局域網(wǎng)或互聯(lián)網(wǎng)。即使服務(wù)器只有一個(gè)大頁面，攻擊者也可以為此特定頁面發(fā)送許多請求。這將使服務(wù)器一次又一次地發(fā)送它并使服務(wù)器自己的上行鏈路連接飽和。此技術(shù)用于避免從緩解設(shè)備進(jìn)行檢測，緩解設(shè)備通常測量入站流量以進(jìn)行飽和，而不是始終測量出站流量。

? HTTP 模糊和非行為字段 - 這些攻擊在特定 HTTP 協(xié)議字段上發(fā)送垃圾或錯(cuò)誤值。攻擊將發(fā)送 G3T 請求(而不是 GET 請求)，在 HTTP 版本 1,1(而不是 HTTP 1.1)上發(fā)送流量，依此類推。另一種選擇是在通信中的字段位置使用隨機(jī)值。攻擊者試圖使 Web 服務(wù)器崩潰，如果服務(wù)器沒有檢查這些輸入值的有效性，就會發(fā)生這種情況。請注意，與先前的攻擊不同，此攻擊不必消耗高流量或高 PPS - 它試圖在緩解設(shè)備 “雷達(dá)” 下造成損害。

? 低速和慢速攻擊 - 這些攻擊比使用模糊器消耗更低的 BW 和 PPS。攻擊使用非常少的流量，因此很難檢測到。此攻擊發(fā)送的是合法的 HTTP 流量，但速度非常慢。攻擊將使用許多小數(shù)據(jù)包發(fā)送 GET 請求，它們之間有很大的時(shí)間間隔。雖然這是根據(jù) HTTP 和 TCP 協(xié)議的合法行為，但這種行為消耗了服務(wù)器的大量資源 - 它必須保持連接打開，等待完整的請求到達(dá)。由于連接池有限，因此很容易達(dá)到游泳池飽和度，而且流量非常小。

? 緩存繞過攻擊 - 如今許多 Web 服務(wù)器都落后于 CDN，允許更快地將內(nèi)容傳遞給全球的全球用戶。CDN 給服務(wù)器所有者帶來了錯(cuò)誤的安全感，因?yàn)樗麄兿Ｍ?CDN 在到達(dá)服務(wù)器之前阻止任何洪水。但是，通過發(fā)送對不可緩存內(nèi)容的請求，可以輕松繞過 CDN 安全措施。對動(dòng)態(tài)內(nèi)容以及不存在的內(nèi)容的請求將使 CDN 到達(dá)服務(wù)器?？梢允褂帽疚闹忻枋龅乃泄魜砉舴?wù)器，并且 CDN 實(shí)際上將用作攻擊本身的一部分。

? OWASP 排名前 10 位的攻擊 - 除了上述攻擊之外，還有拒絕服務(wù)攻擊，還有更多的 HTTP 攻擊深入到 HTTP 協(xié)議中，并嘗試從服務(wù)器獲取其他資產(chǎn)。諸如跨端腳本、SQL 注入等攻擊試圖使服務(wù)器提供它不應(yīng)該服務(wù)的內(nèi)容。這種性質(zhì)的前 10 名攻擊被稱為 OWASP 前 10 名。這些通常不是拒絕服務(wù)攻擊，Web 應(yīng)用程序防火墻(WAF)為它們提供了緩解。WAF 可以作為本地設(shè)備或云中的服務(wù)有效。

二、其他攻擊

值得注意的是，保護(hù) Web 服務(wù)本身并不足以保證服務(wù)。其他攻擊仍然可能導(dǎo)致服務(wù)中斷。一個(gè)例子是通道飽和攻擊，即使 UDP 垃圾流量與 HTTP 無關(guān)。另一次攻擊是最近發(fā)現(xiàn)的 SMB 攻擊。所有這些攻擊都針對 Web 服務(wù)器周圍的服務(wù) - 互聯(lián)網(wǎng)通道，同一設(shè)備提供的其他非 HTTP 服務(wù)等，以便創(chuàng)建拒絕服務(wù)。

另一種類型的攻擊是攻擊用于將域轉(zhuǎn)換為 IP 地址的 DNS 服務(wù)器。這種方法在 2016 年 10 月使用 Mirai 僵尸網(wǎng)絡(luò)在著名的 Dyn 攻擊中使用。值得注意的是，攻擊者能夠?qū)?Twitter 和亞馬遜等大型網(wǎng)站進(jìn)行拒絕服務(wù)，而不會向網(wǎng)站的方向發(fā)送任何數(shù)據(jù)包。相反，攻擊者攻擊了允許用戶訪問這些網(wǎng)站的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施 - 他們攻擊了作為這些服務(wù)的 DNS 提供商的 Dyn，并導(dǎo)致網(wǎng)站進(jìn)入拒絕服務(wù)狀態(tài)。

三、使用香港高防服務(wù)器、高防IP 防御 HTTP 攻擊

有許多 HTTP 攻擊可能導(dǎo)致拒絕服務(wù)。緩解這些攻擊的方法是選擇可以處理所有這些攻擊的保護(hù)服務(wù)，例如香港高防服務(wù)器、高防IP 等。建立真正的 HTTP 攻擊防護(hù)的唯一方法是使用專業(yè)的高防服務(wù)，這些服務(wù)隨著時(shí)間的推移而發(fā)展。例如創(chuàng)新互聯(lián)建站香港高防服務(wù)器，可以全面防御超過 25 種 DDoS 變種攻擊及其任意組合，防御峰值支持無限防。擁有香港高防服務(wù)器只是成功的一半。與以安全為中心的公司合作非常重要，創(chuàng)新互聯(lián)建站可以提供受到攻擊的專家建議，并發(fā)展和開發(fā)其工具來應(yīng)對不斷演變的攻擊。對于 Web 服務(wù)以及整個(gè)互聯(lián)網(wǎng)，每一秒都很重要。保持站點(diǎn)始終運(yùn)行并非易事，但可以使用正確的產(chǎn)品來完成。

文章標(biāo)題：HTTP攻擊有哪些類型以及怎樣防御
URL地址：http://www.muchs.cn/news48/268198.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供用戶體驗(yàn)、網(wǎng)站設(shè)計(jì)、網(wǎng)站改版、網(wǎng)站策劃、域名注冊、軟件開發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)