HTTP 流量主导着互联网。数据中心也经历了大量的 HTTP 流量,许多企业看到越来越多的收入来自在线销售。然而,随着流行度的增长,风险随之增长,并且就像任何协议一样,HTTP 很容易受到攻击。恒创科技将为您描述针对 HTTP 服务器发起的常见 DDoS 攻击。
首先,HTTP 通过 TCP 运行。因此,Web 服务器可能面临许多与 TCP 相关的攻击。在规划 HTTP 服务保护时,请务必记住,攻击面比 HTTP 协议更广泛。今天任何 DDoS 攻击都使用多个向量来创建拒绝服务,为了防止它,人们应该能够保护所有这些向量。
一、常见的 TCP 网络攻击
• SYN 泛滥- 可能是其中最古老的,但在大多数攻击中仍然用作矢量。攻击者正在发送许多发送到服务器的 SYN 数据包。由于攻击不需要查看返回流量,因此 IP 不必是真实的,通常是欺骗性 IP。这使得更难理解攻击的来源,并帮助攻击者保持匿名。这些年来,SYN 攻击技术仍在发展之中。
SYN 攻击背后的主要思想是发送大量 SYN 数据包以耗尽为 TCP \ IP 堆栈中分配的内存。多年来,SYN 攻击变得越来越复杂。最新的变种是 Tsunami SYN Flood Attack,它使用带有 TCP SYN 位的大数据包来饱和互联网管道,同时对 TCP \ IP 堆栈造成并行损坏。
• 除了 SYN 泛洪之外,TCP 网络攻击正在利用所有其他 TCP,ACK 泛洪、RST 泛洪、推送 – 发送泛洪、FIN 泛洪及其任何组合都在各种攻击中使用。攻击者将尝试一切,只要它有可能造成破坏。
HTTP L7 攻击面很广。HTTP L7 攻击与上述网络攻击之间的主要区别在于,HTTP 事务需要有效的 IP – 不能欺骗 HTTP 请求的 IP,因为 TCP 握手需要 IP 接受并响应包。如果您不拥有 IP,则永远无法建立连接。这种差异曾经给想要使用 HTTP 攻击的攻击者带来了很大困难,然而在当今世界,最近的物联网僵尸网络统治着它的攻击面,拥有大量的真实 IP 地址不再被视为不可能的挑战。从真实 IP 地址建立连接后,可以使用多种选项进行攻击:
• 垃圾洪水 – 最不复杂的攻击媒介是打开与 HTTP 端口(通常是端口 80 或 443)的连接,以向其发送垃圾二进制数据。这种攻击通常在缓解中被忽略,因为服务器以及保护它的安全设备期望 “有效” 的 HTTP 流量。此攻击的目的通常是在 Web 服务器中,甚至在其前面的缓解设备中泛洪内部缓冲区和队列。这种攻击有时也会用来使互联网管道饱和,尽管有更容易的攻击技术。
• GET 泛洪 – HTTP 协议的最常见用法是 GET 请求。GET 泛洪使用相同的 GET 请求方法,但数量很大。攻击者试图使服务器过载并停止提供合法的 GET 请求。此攻击通常遵循 HTTP 协议标准,以避免使用 RFC fcompliancy 检查进行缓解。
• 其他 HTTP 方法 – 除了常见的 GET 方法之外,HTTP 协议也允许其他方法,例如 HEAD,POST 等。使用这些方法的攻击通常与 GET 泛洪并行使用,以便尝试攻击服务器代码中较不常见的区域。POST 请求通常比 GET 请求大,因此大型 POST 请求比大型 GET 请求更不可疑,并且更有可能通过保护它的缓解设备不会注意到服务器。这允许服务器上更多的内存消耗,并且更多的机会拒绝服务。
• 反向带宽泛滥 – 这些攻击试图让服务器发送流量,使服务器的上行链路饱和到局域网或互联网。即使服务器只有一个大页面,攻击者也可以为此特定页面发送许多请求。这将使服务器一次又一次地发送它并使服务器自己的上行链路连接饱和。此技术用于避免从缓解设备进行检测,缓解设备通常测量入站流量以进行饱和,而不是始终测量出站流量。
• HTTP 模糊和非行为字段 – 这些攻击在特定 HTTP 协议字段上发送垃圾或错误值。攻击将发送 G3T 请求(而不是 GET 请求),在 HTTP 版本 1,1(而不是 HTTP 1.1)上发送流量,依此类推。另一种选择是在通信中的字段位置使用随机值。攻击者试图使 Web 服务器崩溃,如果服务器没有检查这些输入值的有效性,就会发生这种情况。请注意,与先前的攻击不同,此攻击不必消耗高流量或高 PPS – 它试图在缓解设备 “雷达” 下造成损害。
• 低速和慢速攻击 – 这些攻击比使用模糊器消耗更低的 BW 和 PPS。攻击使用非常少的流量,因此很难检测到。此攻击发送的是合法的 HTTP 流量,但速度非常慢。攻击将使用许多小数据包发送 GET 请求,它们之间有很大的时间间隔。虽然这是根据 HTTP 和 TCP 协议的合法行为,但这种行为消耗了服务器的大量资源 – 它必须保持连接打开,等待完整的请求到达。由于连接池有限,因此很容易达到游泳池饱和度,而且流量非常小。
• 缓存绕过攻击 – 如今许多 Web 服务器都落后于 CDN,允许更快地将内容传递给全球的全球用户。CDN 给服务器所有者带来了错误的安全感,因为他们希望 CDN 在到达服务器之前阻止任何洪水。但是,通过发送对不可缓存内容的请求,可以轻松绕过 CDN 安全措施。对动态内容以及不存在的内容的请求将使 CDN 到达服务器。可以使用本文中描述的所有攻击来攻击服务器,并且 CDN 实际上将用作攻击本身的一部分。
• OWASP 排名前 10 位的攻击 – 除了上述攻击之外,还有拒绝服务攻击,还有更多的 HTTP 攻击深入到 HTTP 协议中,并尝试从服务器获取其他资产。诸如跨端脚本、SQL 注入等攻击试图使服务器提供它不应该服务的内容。这种性质的前 10 名攻击被称为 OWASP 前 10 名。这些通常不是拒绝服务攻击,Web 应用程序防火墙(WAF)为它们提供了最佳缓解。WAF 可以作为本地设备或云中的服务有效。
二、其他攻击
值得注意的是,保护 Web 服务本身并不足以保证服务。其他攻击仍然可能导致服务中断。一个例子是通道饱和攻击,即使 UDP 垃圾流量与 HTTP 无关。另一次攻击是最近发现的 SMB 攻击。所有这些攻击都针对 Web 服务器周围的服务 – 互联网通道,同一设备提供的其他非 HTTP 服务等,以便创建拒绝服务。
另一种类型的攻击是攻击用于将域转换为 IP 地址的 DNS 服务器。这种方法在 2016 年 10 月使用 Mirai 僵尸网络在着名的 Dyn 攻击中使用。值得注意的是,攻击者能够对 Twitter 和亚马逊等大型网站进行拒绝服务,而不会向网站的方向发送任何数据包。相反,攻击者攻击了允许用户访问这些网站的互联网基础设施 – 他们攻击了作为这些服务的 DNS 提供商的 Dyn,并导致网站进入拒绝服务状态。
三、使用香港高防服务器、高防IP 防御 HTTP 攻击
有许多 HTTP 攻击可能导致拒绝服务。缓解这些攻击的最佳方法是选择可以处理所有这些攻击的保护服务,例如香港高防服务器、高防IP 等。建立真正的 HTTP 攻击防护的唯一方法是使用专业的高防服务,这些服务随着时间的推移而发展。例如恒创科技香港高防服务器,可以全面防御超过 25 种 DDoS 变种攻击及其任意组合,防御峰值高达 310Gbps。拥有香港高防服务器只是成功的一半。与以安全为中心的公司合作非常重要,恒创科技可以提供受到攻击的专家建议,并发展和开发其工具来应对不断演变的攻击。对于 Web 服务以及整个互联网,每一秒都很重要。保持站点始终运行并非易事,但可以使用正确的产品来完成。
