1、防御应用层DDOS攻击
企业或组织不太愿意采用DDOS防御系统的原因主要是考虑到成本、效果和投资回报率等问题。梭子鱼Web应用防火墙是一个硬件或者虚拟化的应用层解决方案。它整合了实时状态分析技术和历史数据智能分析技术来防御应用层的DDOS攻击。梭子鱼Web应用防火墙可以基于应用阀值,协议检测,会话完整性,主动和被动的客户端挑战应答方式,客户端历史访问信誉,地理位置,匿名代理检查等技术来防御应用层的攻击。所有这些技术都已经集成到加固了的应用防火墙系统平台,提供卓越的ROI和合规性的功能。不像一些服务提供商解决方案那样根据流量收费,梭子鱼web应用防火墙防御DDOS攻击不会根据攻击的流量和频率来收费,可以最低的成本提供实时的防护手段。
| 梭子鱼web应用防火墙的应用层DDOS防护技术 |
| HTTP协议异常检测 |
| HTTP Get, Post 洪水攻击防护 |
| HTTP “Slow Attacks” – Slowloris, R-U-Dead-Yet (RUDY), Slow Read Attack |
| LOIC, HOIC攻击防护 |
| 客户端浏览器JS 挑战应答检测 |
| 验证码检测 |
| 地理位置IP控制 |
| 过滤匿名代理访问 |
| SSL加密流量检测 |
| IP 信誉检测 |
| 会话速率跟踪 |
| 规则库自动升级 |
| 可以和SIEM日志分析系统集成 |
2、防御HTTP GET和POST洪水攻击
Web应用通常会有一些调用数据库,内存或者CPU运算等的比较消耗资源的页面或者接口。例如,文本搜索,僵尸网络会频繁地访问这些页面导致Web应用崩溃。
对于这种情况,我们第一层的保护是为特定的应用设定合适的人为访问阀值。例如,人们访问银行业务的应用大概会在1分钟内访问10个页面,那我们就把这个阀值设置好,而且,人为的访问会带有有效的客户端报头,如Cookies和Referrers报头。一般通过脚本程序来访问的话都不会有这方面的信息。
3、防御HTTP“Slow Attacks”
一些攻击手段会使僵尸主机与攻击目标的交互停留在局部的请求与应答当中,并且提供满足最低交互要求的数据以防止服务器访问超时关闭会话。这种攻击以消耗系统资源来使得应用处理效率降低,最后导致服务器没有能力再处理新来的请求流量。这种攻击称为“low and slow”攻击,因为只需要小部分的客户端通过较低的网络带宽就可以暗地里地和慢慢地完成对服务器的DDOS攻击,这种攻击目前非常流行。
Slowloris攻击是典型的Slow攻击,它会在一定的时间间隔内向攻击目标服务器重复初始化和发送HTTP报头,但是却不会把报头发送完毕,这使得服务器线程和网络资源不能被释放出来,最终导致服务器资源耗尽达到拒绝服务攻击的效果。从协议的合规性分析,这种攻击流量是正常的流量,所以依靠特征库和黑名单技术的防护设备是检测不出这种攻击的。
凭借着反向代理技术,协议和应用可视性的优势,梭子鱼web应用防火墙可以识别和阻断不正常的流量,通过自适应安全算法监控不断增长和聚合的通讯流量,关闭恶意连接,从而防止这些恶意流量过度地消耗系统资源。
4、基于客户端完整性检查防御僵尸网络攻击
除了像Google和百度这些搜索引擎索引Web页面之外,面向互联网访问的绝大部分的web应用流量都是来自于用户的浏览器,如Internet Explorer, Firefox, Chrome, 或者 Safari等。然而来自僵尸网络的流量通常由自动化的脚本程序产生,和浏览器正常产生的流量不一样。因此,采用一些探测性的算法可以把人为产生的流量和僵尸网络产生的流量区分开来。
梭子鱼web应用防火墙提供两种方法来检测和过滤产生这些流量的源头。第一种方法是,通过在可疑的客户端访问中插入检测指令来检验Web浏览器和应用会话是否正常,这是一种被动的挑战应答方式,这种方式不会干涉正常的人为访问流量,但是可以检测和阻断僵尸网络产生的流量。第二种方法是主动的挑战应答方式,通过验证码的方式验证客户端的访问是否正常,这种方法不需要修改后端web服务器的任何配置。
5、使用地理位置IP信息降低DDOS攻击的可能性
僵尸网络分布于世界各个角落,在某些国家和地区尤为严重,在不同的地理位置发动攻击。梭子鱼Web应用防火墙具有内置的地理位置IP信息库,可以定位具体发动攻击的IP地址的地理位置。在攻击发生过程中,可以使用该功能阻断来自某个发动攻击的主要国家或地区的攻击流量。
6、使用客户端IP地址信誉过滤僵尸网络流量
僵尸网络逐步发展得越来越大规模,通常可以被利用来发垃圾邮件,DDOS攻击,APTs等。梭子鱼网络在邮件安全,上网安全,网络安全和Web应用安全等领域可以提供成熟的安全解决方案,并且全球客户数已经超过150000。梭子鱼拥有业界领先的信誉数据库,包括恶意威胁分类规则库和恶意IP信息库,这就是由梭子鱼实验室维护的梭子鱼信誉黑名单(BRBL)。
梭子鱼Web应用防火墙集成BRBL来防御僵尸网络的攻击。在持续不断的DDOS攻击期间,梭子鱼的信誉技术可以很好地检测和阻断针对您的服务器的僵尸网络流量攻击。另外,梭子鱼Web应用防火墙具有阻断来自于匿名和中继代理的流量的能力,这些代理经常被黑客用来探测和执行高级持续性的威胁攻击。
7、防止应用服务器变成僵尸网络的节点
虽然防御DDOS攻击非常重要,但是防止您的应用服务器和网络资源变成僵尸网络的一部分也同样重要。把应用服务器变为僵尸网络的肉鸡对于黑客来说具有非常大的吸引力,因为服务器可以为他们提供更庞大的系统攻击资源和为他们获取更多的肉鸡提供优秀的平台。
应用服务器通常会含有定制的,自带的,或者是第三方的应用程序。任何的零日漏洞都会导致被黑客攻击而使您的服务器或网络资源成为僵尸网络的活动区域。梭子鱼Web应用防火墙提供健壮的安全特性来防止恶意软件的上传,命令注入,目录遍历,或者任何其他诸如探测或者攻击等的入侵应用服务器的行为。
总结:
针对应用层的DDOS攻击有加速的趋势。Gartner的研究指出,黑客现在利用DDOS攻击来分散安全管理员的注意力从而伺机窃取敏感信息或者用户账号中的金钱。Verizon在2012年的数据外泄研究报告中指出“这些攻击比别的攻击更加令人恐惧,不管是真的发生的或者是基于设想的。”连接互联网的设备,社交网络,和云计算的发展更是加速了这些新型的攻击变化。目前针对于移动设备的僵尸网络非常普遍。浏览器即平台和HTML5的发展将会为新的僵尸网络提供更大的平台,创建僵尸网络或者租用僵尸网络将会比以前更加容易。
由于企业和组织Web系统的价值和关键程度的日益增加,他们不能承受服务器变成僵尸网络的目标或者忍受基于Web的应用服务被破坏的风险。僵尸网络会给他们带来非常重大的经济损失和形象损失。如果不采用国际化的防护策略会使得对付僵尸网络成为一件非常困难的事情。但幸运的是,梭子鱼Web应用防火墙可以提供一个应对基于应用层DDOS攻击的完善解决方案,从而可以把因这种攻击而带来的消极影响降到最低。
本文由:知识园地于(2013-08-02)发表了关于web应用防火墙如何防御僵尸网络基于应用层的DDOS攻击的文章 。如转载请注明出处:http://www.cdcy-mail.com
如果您对此感兴趣,可以通过以下联系方式与我们联系:
